21 мая, 2018, BIS Journal №2(29)/2018

На смену SSO


Конусов Андрей

генеральный директор (компания Аванпост)

Web SSO — однократная аутентификация для всех каналов взаимодействия пользователей с информационными системами

Специалисты по информационной безопасности (ИБ) прекрасно знают, как упорно пользователи информационных систем (ИС) предприятий сопротивляются внедрению жестких политик безопасности в отношении аутентификации. Это и понятно: человек просто не в состоянии держать в голове стойкие, часто меняющиеся, пароли для каждой нужной ему программы или защищенного информационного ресурса. Стоит службе ИБ ослабить свои требования, пользователи тут же устанавливают одинаковые простейшие пароли и перестают их менять. Если же политики ИБ не смягчаются, пароли оказываются на бумажке, зачастую наклеенной прямо на монитор. Оба варианта позволяют злоумышленникам легко выдавать себя за других пользователей ИС, становиться невидимыми для сколь угодно навороченных средств ИБ. И спокойно совершать компьютерные преступления, не оставляя следов.

Противоречие между удобством пользователей и безопасной аутентификацией снимается с помощью систем (Single Sign-On, или SSO), после однократной аутентификации открывающих пользователю все необходимые бизнес-приложениям. Но радикальные изменения организаций и их ИС не вписываются в возможности классических систем SSO. На смену приходит новый класс ИБ-решений — Web SSO. Первое и пока единственное российское ПО этого класса выпустила компания Аванпост. Ниже мы кратко расскажем о технологии и трёх актуальных сферах применения этого инновационного ИТ-продукта.

БАНКОВСКИЙ СЕКТОР

Крупные банки, работающие с физическими лицами, стремятся максимально развить онлайн-бизнес и применить отработанный в ритейле комплекс технологий взаимодействия с клиентом. Для этого крайне важно повышать разнообразие каналов электронных коммуникаций и через них предоставить клиенту множество персонифицированных услуг. Естественно доступ к ним нужно контролировать. С помощью Avanpost Web SSO банк может создать единую точку аутентификации для расширяющегося множества каналов коммуникации с клиентами (через Web-сайты, мобильные приложения, веб-сервисы и др.)

Второе требование — эффективная работа с большим и неконтролируемым числом внешних пользователей ИС, сохранение качества сервиса при пиковых нагрузках. Avanpost Web SSO поддерживает десятки миллионов пользователей, что подтверждено независимым тестированием и вполне достаточно для любого банка. При этом продукт Аванпост реализован в виде ПО (с лицензированием по ядрам), рассчитанного на работу в высоконагруженном режиме с уровнем надежности и готовности характерным для критически важных элементов ИС. Это резко упрощает, ускоряет и удешевляет масштабирование Avanpost Web SSO по сравнению с аналогичными западными решениями, реализованными как программно-аппаратные комплексы.

КРУПНЫЕ ХОЛДИНГОВЫЕ СТРУКТУРЫ  

Аутентификация в крупной организации холдингового типа имеет свои особенности и проблемы. Учесть и эффективно решить их без системы Web SSO практически невозможно.

В холдинговой структуре, объединяющей сотни разнопрофильных подразделений, происходит огромное число кадровых событий (прием на работу, увольнения, отпуска, включение сотрудников в различные проектные группы и др.). Но выстроить классическую схему аутентификации, где учетные данные корректируются в ответ на каждое кадровое событие, здесь совершенно нереально. С одной стороны, крайне сложно поддерживать в актуальном состоянии централизованную базу данных о сотрудниках всех подразделений холдинга, всех ролях, всех защищенных ресурсах. А без такой БД лица, администрирующие учетные данные, просто не имеют информации о пользователях на местах.

С другой стороны, такая централизованная БД, даже если бы ее удалось создать и поддерживать в актуальном состоянии, была бы неприемлемо избыточной. В подразделениях холдингов доля сотрудников, работающих с ИС, зачастую не превышает 2-3%. Причем до самого момента обращения к защищенному ресурсу совершенно неясно, кому и когда аутентификация потребуется. Обычную систему SSO это ставит в тупик. Но для Avanpost Web SSO это не проблема, т.к. система обрабатывает запросы на аутентификацию именно тогда, когда конкретный сотрудник определенного подразделения пытается начать работать с нужным ему приложением или ресурсом.

Именно поэтому уже сегодня Web SSO — это необходимый элемент ИБ-инфраструктуры холдингов.

КЛАСТЕРЫ И ДЕЛОВЫЕ СЕТИ

Чтобы система SSO не стала источником ограничений и рисков, организация не должна думать лишь о технологических тенденциях и своем внутреннем мире. Меняются модели управления отраслями, крупными проектами федерального и регионального масштаба, самими предприятиями. И появляется все больше кластеров нескольких типов: корпоративных (складывающихся вокруг крупных организаций), отраслевых, территориальных (в пределах города, региона, особой экономической зоны) и проектных. В пределах кластеров выстраиваются производственные связи и цепочки поставок, осуществляется передача функций на аутсорсинг. И происходит интенсивное перекрестное использование информационных ресурсов и прикладного ПО (обычно в виде SaaS-сервисов или терминального доступа). Через эти каналы члены кластера открывают партнерам свои бизнес-функции и конфиденциальную информацию. При большом числе пользователей, работающих с “чужими” приложениями и ресурсами, оптимальным вариантом является т.н. федеративная аутентификация, «из коробки» поддерживает Avanpost Web SSO.

ТЕХНОЛОГИЯ

Avanpost Web SSO позволяет реализовать не только рассмотренные, но и другие сценарии использования, покрывающие как классические задачи внутрикорпоративной аутентификации, так и сценарии аутентификации во внешних по отношению к сети организации системах. Благодаря защищенности протоколов, для аутентификации можно использовать открытые каналы связи (интернет).

А поддержка многофакторной аутентификации позволяет лучше защитить внутренние ресурсы при обращении пользователей из внешнего периметра, а также сделать Web SSO фронтальной системой аутентификации для различных каналов взаимодействия с клиентами. Отметим: решения класса Web SSO могут определить откуда идет обращение и избирательно задействовать различные дополнительные факторы аутентификации: SMS, специальные мобильные приложения, электронную подпись и др.

Эти особенности открывают широчайшие возможности применения Avanpost Web SSO, такие как прозрачная аутентификация пользователей организации в информационных системах контрагентов, прозрачная и безопасная аутентификация пользователей в SaaS-сервисах, организация общей системы аутентификации для портальных решений, организация защищенного доступа через интернет к внутренним ресурсам предприятия.

ЗАКЛЮЧЕНИЕ

Сегодня актуальна еще одна особенность Avanpost Web SSO. Предпочтительная среда исполнения для данного ПО — это Linux. В то же время технологический стек, на котором построен продукт (язык программирования, дополнительные библиотеки и фреймворки) имеет эффективные реализации и для Windows. Полностью переносим между обеими платформами и исходный код продукта, созданный разработчиками Аванпост. Благодаря этому Avanpost Web SSO одинаково хорошо подходит и заказчикам, переходящим на импортонезависимые ИТ-решения, и коммерческим организациям, продолжающим ориентироваться на ИТ-инфраструктуру на основе Windows. 

Отметим также простоту внедрения Avanpost Web SSO. И то, что этот продукт, как и другие разработки компании Аванпост, включен в Реестр российского ПО и баз данных.