Secure Authentication Server версия 1.1
  • Что такое SAS?
    Программный комплекс Secure Authentication Server (ПК SAS MFASOFT) для аутентификации (2FA) на базе одноразовых паролей (OTP) разработан российской компанией ООО «СИС РАЗРАБОТКА» (коммерческое наименование MFASOFT). Это российский разработчик средств защиты информации в направлении двухфакторной аутентификации.

    Сейчас, когда появилась потребность в импортозамещении решений зарубежных компаний, тема информационной безопасности все больше становится актуальной и российские компании расширяют свой портфель в этом направлении.

    MFASOFT - это продукт класса enterprise для организации двухфакторной аутентификации с использованием бесконтактных аутентификаторов дополняет портфель по информационной безопасности.

    Продукт включен в Единый реестр российских программ для электронных вычислительных машин и баз данных (Запись в реестре от 18.11.2022 №1554).
  • Почему бесконтактные аутентификаторы?
    У компании большой опыт работы с решениями на базе контактных аутентификаторов, это различные токены на базе PKI-инфраструктуры.
    В пандемию практика показала, что аппаратные аутентификаторы создают сложности с логистикой, с доставкой, с адаптацией решений под конкретную платформу, потому что кто-то работал с планшета, кто-то работал на Mac, кто-то на Linux, то есть из-за "зоопарка" решений были сложности с интеграцией аппаратных ключей.

    В направлении OTP аутентификаторов такой проблемы нет, они не привязаны к инфраструктуре, они непосредственно привязаны к интеграции с сервисом, поэтому это гораздо проще внедрить и это гораздо проще поддерживать, это гораздо привычнее типовому пользователю, потому что все привыкли работать с системой банковского обслуживания, где приходят смс-уведомления. Представьте, что у вас такая смс будет приходить для входа на рабочую станцию, установление VPN соединения и т.д.

    Так как мессенджеры постоянно развиваются, то мы стараемся сделать доставку OTP более привычным способом для рядового пользователя. Например, доставка OTP в Telegram - не надо ставить дополнительные приложения, практически никаких задержек, это всегда под рукой и это очень удобно.

    Когда человек работает с тем, что удобно, к чему он привык, то вместо конфликта между пользователем и сотрудником ИБ, это переходит в нормальный процесс жизнедеятельности, когда и безопасность улучшается и пользователю комфортно работать.
  • Какие типы аутентификаторов поддерживает SAS?
    Аутентификаторы, доступные пользователю - это аппаратные брелки, программные генераторы паролей (Google Authenticator, Yandex ключ, Bitrix OTP), SMS, почта, доставка в Telegram. За счет интерации со сторонними сервисами можно отправлять пароли в другие мессенджеры и соц. сети.

    Таким образом, исходя из потребности и удобства использования решения, всегда есть возможность выбрать оптимальный аутентификатор. Мы защищены от ситуации, когда человек не сможет войти в систему. Всегда есть выход, можно решить вопрос несколькими способами: выдать новый аутентификатор или выдать аутентификатор другого типа.
    Например, был аутентификатор на мобильном телефоне, сломался мобильный телефон, можно использовать второй мобильный телефон, на который отправить смс, установить один вариантов програмного генератора, отправить код доступа в Telegram).
  • Требования регулятора
    Нормативная база регулятора включает в себя документы, которые требуют применения двухфакторной аутентфиикации в информационных системах.

    В частности, 15 ноября 2022г. на SOC-Форуме выступила Елена Торбенко начальник управления ФСТЭК России с докладом "Особенности реализации законодательства в области обеспечения безопасности значимых объектов критической информационной инфраструктуры, в том числе реализация технических мер по повышению защищенности объектов КИИ", где был озвучен рекомендуемый функционал для организации при построении КИИ. Одним из пунктов была организация двухфакторной аутентификации на предприятиях.

    В методических рекомендациях ФСТЭК для государственных информационных системах прописано использование двухфакторной аутентификации при удаленном доступе как для пользователей, так и для администраторов. В требованиях PCI DSS прописано, что необходимо использовать двухфакторную аутентификацию как при удаленном доступе, так и при неконсольном доступе к системе для администраторов инфраструктуры.

    В настоящее время двухфакторная аутентификациыя стала неким стандартом, который должен быть внедрен во всех информационных системах, независимо от объемов и масштабов предприятия. Плюс это становится уже некой практикой для рядового пользователя, так как большинство уже использует двухфакторную аутентификацию, например, для гос. услуг, для мессенджеров, для социальных сетей - везде это становится неким стандартом.

    И когда стандарт переносится на Enterprises направление, то здесь рядовому пользователю понятно, зачем это вообще надо. А если это совпадает с тем механизмом, что он использует для себя лично, то нет проблем с внедрением, с обучением и т.д.

  • ФСТЭК сертификация.
    Получено решение ФСТЭК о проведении сертификации средства защиты информации № 6938 от 11.01.2023.
    В силу архитектуры решения мы не видим сложностей, которые бы могли препятствовать получению сертификата соответствия. Получение сертификата ФСТЭК планируется на осень 2023 года.
  • Как быстро разворачивается система?
    Система разворачивается достаточно быстро вне зависимости от ее масштабов. Можно развернуть систему на одном хосте, где будут располагаться все компоненты. Если нужно дальнейшее масштабировнаие, то это реализуется за счет развертывания аналогичного образа продукта и отключения не используемых компонен на хосте. Развертывание в кластере позволяет обеспечить необходимый уровень SLA без применения дополнительных средств.

    Мы ориентируемся на то, что сам продукт поставляется в виде докер-контейнера, то есть за счёт одной-двух команд можно развернуть продукт, пройти типовой мастер, в котором указать базовые парамеры (почта, IP адреса), подготовить продукт к автономному функционированию.

    Дальше задача сводится к тому, чтобы всё было автоматизировано: синхронизация пользователей, назначение и отзыв аутентификаторов по правилам, уведомление и формирование отчетности. За счет такого функционала упрощается процедура поддержки как самого решения, так и поддержки пользоватлей. Все это приводит к снижению общей стоимости владения решения.


    Платформа может быть абсолютно любая, так как у нас докер контейнер. Докер-контейнер может быть развернут в любом докер окружении - Windows, Linux, Mac.
  • Нужен ли дополнительный софт/ оборудование?
    Дополнительно ПО/ оборудование не нужно. Во-первых, оптимальным решением по развертыванию будет развертывание в виртуальной инфрастуктуре, где уже развёрнуто докер-окружение. Никакого дополнительного оборудования не требуется. Это касается и дополнительного ПО - все используемые сторонние компоненты являются open source (база данных, балансировка и т.д.).