Презентация по ФГИС ЕСИА. Показана на 21-ой научно-технической конференции "Методы и технические средства обеспечения безопасности информации", Санкт-Петербург, 2012.
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Mikhail Vanin
Выступление на семинаре "Безопасная разработка и защита приложений", прошедшем 20 апреля в Mail.Ru Group.
Видео доступно по ссылке https://it.mail.ru/video/568/
Электронная аутентификация в государственных системахMikhail Vanin
Доклад с моего выступления на PKI Forum.
В докладе рассмотрены опыт США и Европы по электронной идентификации пользователей государственных систем. Оценены возможные подходы, применяемые в России.
Презентация по ФГИС ЕСИА. Показана на 21-ой научно-технической конференции "Методы и технические средства обеспечения безопасности информации", Санкт-Петербург, 2012.
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Mikhail Vanin
Выступление на семинаре "Безопасная разработка и защита приложений", прошедшем 20 апреля в Mail.Ru Group.
Видео доступно по ссылке https://it.mail.ru/video/568/
Электронная аутентификация в государственных системахMikhail Vanin
Доклад с моего выступления на PKI Forum.
В докладе рассмотрены опыт США и Европы по электронной идентификации пользователей государственных систем. Оценены возможные подходы, применяемые в России.
Возрастанию значения подписания кода способствуют две тенденции: рост популярности пользовательских приложений для мобильных и настольных устройств и распространение вредоносных программ. Для киберпреступников это открывает возможность заставить пользователей обманным путем устанавливать вредоносные программы. Прежде чем принять код для распространения, издатели ПО и операторы мобильных сетей все чаще требуют сертификат подписания кода, выданный надежным центром сертификации. Узнайте о преимуществах подписания кода: загрузите нашу официальную публикацию и презентацию SlideShare.
Gemalto - SAM (SafeNet Authentication Manager)Daria Kovalenko
Комплексная платформа аутентификации, которая позволяет организациям реализовывать прогрессивную стратегию строгой аутентификации для обеспечения локального и удаленного доступа к различным корпоративным ресурсам с использованием единого сервера аутентификации
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...Dmitry Tikhovich
Перспективно мыслящие ИТ-специалисты, которым приходится постоянно иметь дело с попытками взлома систем безопасности, целенаправленными устойчивыми угрозами и сотрудниками из поколения 2000-х, которым нужен доступ в Интернет 24 часа в сутки, теперь могут создать единую точку контроля для доступа в Интернет и обеспечения безопасности, используя решение
F5 Secure Web Gateway Services.
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...SelectedPresentations
VII Уральский форум
Информационная безопасность банков
День Практической Безопасности
Илья Митричев, руководитель направления по работе с ключевыми клиентами, компания CTI
Источник: http://ural.ib-bank.ru/materials_2015
Продуктовая линейка компании «Код Безопасности» LETA IT-company
Презентация компании «Код Безопасности», проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...Mail.ru Group
В докладе были рассмотрены возможные подходы к решению задач идентификации, аутентификации и авторизации на уровне инфраструктуры организации.
Защита приложения требует наличия в нем встроенных функций идентификации/аутентификации/авторизации пользователя. Однако полагаться на встроенные функции становится сложно, когда необходимо обеспечить работу пользователей с множеством приложений, развернутых внутри организации и в облаке, и к тому же дать пользователям доступ с разнообразных устройств (ПК, мобильные устройства) и из сети организации, и вне ее периметра. В таких случаях задача обеспечения идентификации/аутентификации/авторизации должна быть решена на уровне инфраструктуры организации.
Возрастанию значения подписания кода способствуют две тенденции: рост популярности пользовательских приложений для мобильных и настольных устройств и распространение вредоносных программ. Для киберпреступников это открывает возможность заставить пользователей обманным путем устанавливать вредоносные программы. Прежде чем принять код для распространения, издатели ПО и операторы мобильных сетей все чаще требуют сертификат подписания кода, выданный надежным центром сертификации. Узнайте о преимуществах подписания кода: загрузите нашу официальную публикацию и презентацию SlideShare.
Gemalto - SAM (SafeNet Authentication Manager)Daria Kovalenko
Комплексная платформа аутентификации, которая позволяет организациям реализовывать прогрессивную стратегию строгой аутентификации для обеспечения локального и удаленного доступа к различным корпоративным ресурсам с использованием единого сервера аутентификации
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...Dmitry Tikhovich
Перспективно мыслящие ИТ-специалисты, которым приходится постоянно иметь дело с попытками взлома систем безопасности, целенаправленными устойчивыми угрозами и сотрудниками из поколения 2000-х, которым нужен доступ в Интернет 24 часа в сутки, теперь могут создать единую точку контроля для доступа в Интернет и обеспечения безопасности, используя решение
F5 Secure Web Gateway Services.
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...SelectedPresentations
VII Уральский форум
Информационная безопасность банков
День Практической Безопасности
Илья Митричев, руководитель направления по работе с ключевыми клиентами, компания CTI
Источник: http://ural.ib-bank.ru/materials_2015
Продуктовая линейка компании «Код Безопасности» LETA IT-company
Презентация компании «Код Безопасности», проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...Mail.ru Group
В докладе были рассмотрены возможные подходы к решению задач идентификации, аутентификации и авторизации на уровне инфраструктуры организации.
Защита приложения требует наличия в нем встроенных функций идентификации/аутентификации/авторизации пользователя. Однако полагаться на встроенные функции становится сложно, когда необходимо обеспечить работу пользователей с множеством приложений, развернутых внутри организации и в облаке, и к тому же дать пользователям доступ с разнообразных устройств (ПК, мобильные устройства) и из сети организации, и вне ее периметра. В таких случаях задача обеспечения идентификации/аутентификации/авторизации должна быть решена на уровне инфраструктуры организации.
Как настроить аналитику для мобильных приложенийНетология
Что происходит с вашим продуктом после того, как его скачает пользователь? Вы узнаете, как выбрать систему аналитики и как внедрить ее в свой бизнес.
— для чего нужна мобильная аналитика;
— какие существуют системы мобильной аналитики;
— как внедрить систему аналитики в ваш бизнес.
WebAuthn в реальной жизни, Анатолий ОстапенкоMail.ru Group
Я расскажу, как мы поддержали вход через WebAuthn в самом крупном почтовом сервисе рунета и какие сложности скрываются за красивыми презентациями о том, какой WebAuthn простой и безопасный:
как сделать WebAuthn понятным и доступным для пользователей;
как поддержать его во всех браузерах и устройствах;
как тестировать WebAuthn, в том числе автоматизированно;
куда двигаться дальше после его запуска и включения.
ПАТЕНТ US20220232015A1: PREVENTING CLOUD-BASED PHISHING ATTACKS USING SHARED ...Ирония безопасности
Ещё один патент, который обещает революционизировать захватывающий мир сетевой безопасности. Приготовьтесь к истории о встроенных прокси, синтетических запросах и невероятно увлекательной логике формирования встроенных метаданных. Это похоже на комикс, но вместо супергероев у нас есть компоненты сетевой безопасности, которые спасают положение. В чем суть этого технологического чуда? По сути, это прославленный вышибала для вашей корпоративной сети, решающий, какие файлы документов будут выставлены напоказ на цифровой красной дорожке, а какие будут загружены.
Решения для бизнеса: криптографические продукты и онлайн сервисыЦифровые технологии
Презентация Чеснокова Сергея Евгеньевича, руководителя проектов ООО «Цифровые технологии». IV Всероссийская конференция по информационной безопасности в сфере электронной торговли «Электронная Россия: торги, документооборот, электронная подпись» Марий Эл, г. Йошкар-Ола, 01-02 ноября 2012 г.
В современном бизнесе все решает время. Доступность корпоративных приложений из любой точки земного шара и с любых мобильных устройств - это и есть облик современного бизнеса. Но как обеспечить подобную доступность? VPN-шлюзы? Доставка приложений через веб-сервисы? Каждая компания свободна в выборе любого из решений. Но насколько безопасны эти решения? В презентации затронута практическая безопасность при организации удаленного доступа к приложениям с использованием решений самых популярных брендов в этой сфере.
2. Назначение
Blitz Identity Provider – платформа создания единого сервиса
доступа в организации.
Единый сервис доступа обеспечивает идентификацию,
аутентификацию и контроль доступа пользователей к
приложениям организации.
3. Благодаря единому сервису доступа
Пользователи с использованием любых устройств
проходят идентификацию и аутентификацию.
Получают доступ к приложениям как внутри, так
и вне организации.
4. Ценности продукта
Пользователям:
1) Используя всего одну учётную
запись пользователь получает
доступ ко всем приложениям
организации. Пользователи
избавлены от необходимости
помнить много логинов и
паролей.
2) Используют надежные методы
двухфакторной
аутентификации.
3) Имеют средства для
самостоятельного контроля
событий безопасности,
связанных с входом/выходом в
приложения.
Владельцам/администраторам:
1) Централизуют управление
аутентификацией, снижают
эксплуатационные затраты.
2) Внедрение новых приложений
происходит быстрее – не нужно
раздавать пользователям
логины и пароли.
3) Увеличивают безопасность.
4) Снижают зависимость от
поставщиков решений по
аутентификации. Легко можно
заменять поставщиков смарт-
карт/токенов.
5) С меньшими затратами
добиваются соответствия
нормативным требованиям по
ИБ.
5. Преимущества Blitz Identity Provider
1) ПО включено в единый реестр российских программ для
ЭВМ и баз данных (подана заявка).
2) Конкурентоспособная цена.
3) Для использования ПО не требуются сторонние лицензии.
4) Бесшовная интеграция с существующей ИТ-
инфраструктурой (LDAP, IDM).
5) Пользователи могут использовать любые устройства
доступа (ПК, Мак, планшеты, смартфоны).
6) Поддержка мобильных приложений и облачных
приложений.
6. 1) Однократный вход (Single Sign On)
2) Двухфакторная аутентификация
3) Регистрация событий доступа
Основные функции Blitz Identity Provider
7. Пользователи устали от парольного хаоса
Я не хочу запоминать много паролей от
своих рабочих учетных записей.
И мне не нравится, что при смене пароля
в каждом приложении свои правила его
задания.
Мне не нравится, что когда переключаюсь
между приложениями, то у меня каждый
раз просят вновь ввести логин и пароль.
И что мешает сделать, чтобы экраны
входа выглядели одинаково?
Я редко использовала приложение и
забыла от него пароль.
И как мне его теперь восстановить?
8. Беспорядок с входом в приложения беспокоит и
администраторов
Я не могу гибко настроить в
приложениях правила
аутентификации.
Придется довольствоваться
парольной аутентификацией.
При внедрении нового приложения мне
нужно готовить для него учетные
записи, давать доступы, выдавать
пользователям пароли. На это я
трачу свои время и энергию.
Пользователи не могут
быстро усвоить новые
пароли. Внедрение новых
приложений происходит
медленно.
Чем больше приложений со
своей системой входа, тем
чаще инциденты «забыл
пароль». Пора что-то с
этим предпринять.
Единая система входа устранит неудобства
9. Беспорядок с входом в приложения беспокоит и
администраторов
У меня нет единой картины,
в какие приложения кто из
пользователей и как часто
ходит.
Я не уверен, что все эти механизмы
аутентификации в разных
приложениях безопасны. Сделанное
«плохо» приложение компрометирует
пароли и несет угрозу безопасности.
Пользователи выбирают
ненадежные пароли. Вход
не защищен. Парольные
политики не эффективны.
Единая система входа повысит безопасность
организации
10. Внедрение SSO и единого сервиса доступа решит
проблемы
Какое решение выбрать?
Что будет актуальным сегодня и завтра?
11. Эволюция условий, в которых должно
функционировать SSO-решение
Пользователи приложений –
исключительно сотрудники компании
Все устройства доступа – это ПК
Все приложения развернуты
исключительно внутри организации
Вчерашний день
Люди
(пользователи)
Устройства
доступа
Приложения
и данные
13. «Я-центричность» – современная парадигма доступа
Защита доступа обеспечивается без ограничений свободы
выбора пользователя, но с соблюдением установленной
политики безопасности
Свобода в
выборе операционной
системы и веб-браузера
Свобода в выборе
устройства доступа
(ПК, Мак, планшет,
смартфон)
Свобода
осуществлять доступ
как из офиса, так и
удаленно
Свобода в выборе удобного
метода аутентификации
Возможность контроля
за использованием
приложениями
персональных данных
14. Способы подключения приложений к Blitz Identity
Provider для обеспечения SSO
Прямое подключение к
поставщику идентификации
Наилучший способ подключения,
но требует, чтобы приложение
поддерживало один из протоколов
или методов интеграции:
1) Подключение приложения по
протоколу SAML (1.0/1.1/2.0).
2) Подключение приложения по
протоколамOpenID Connect 1.0
/ OAuth 2.0.
Подключение через шлюз
Способ применяется для веб-
приложений внутри организации, в
случае если для них неприменимо
подключение с использованием
протоколовSAML/OpenID/OAuth.
Используются следующие техники:
1) Перехват встроенной страницы
аутентификации приложения и
заполнение в ней
аутентификационных данных
средствами шлюза.
2) Формирование сессии путем
установки требуемых
приложению cookie или http-
параметров.
15. Подключение приложений по протоколу SAML
SAML – популярный стандарт для подключения
корпоративных и облачных приложений к серверу
аутентификации.
Большинство популярных приложений имеют или встроенную
поддержку SAML, или сторонние расширения,
обеспечивающие работу по SAML.
Есть библиотеки для реализации SAML-клиентов для всех
популярных платформ разработки, что облегчает поддержку
SAML в приложениях заказной разработки.
17. Типовая схема подключения SAML-приложений к
Blitz Identity Provider
Настройки на стороне
приложения
1) Прописать метаданные Blitz
Identity Provider (берутся из
административной консоли).
2) Выгрузить метаданные
приложения.
3) После завершения настроек в
Blitz Identity Provider проверить
работу приложения –
идентификация пользователей
будет выполняться через Blitz
Identity Provider.
Настройки в Blitz Identity Provider
1) Зарегистрировать в
административной консоли
метаданные приложения.
2) Создать необходимые
приложению SAML-
утверждения и установить их
связь с пользовательскими
атрибутами.
3) Настроить перечень
передаваемых приложению
атрибутов, а также требований
к их шифрованию и
подписанию в соответствии с
нуждами приложения.
20. Схема подключения OpenID Connect приложения
Настройки на стороне
приложения
1) Прописать URL-адресаOAuth-
сервисов Blitz Identity Provider
или дать ссылку на «.well-
known»-сервис.
2) Задать в приложении client_id
и client_secret.
3) После завершения настроек в
Blitz Identity Provider проверить
работу приложения –
идентификация пользователей
будет выполняться через Blitz
Identity Provider.
Настройки в Blitz Identity Provider
1) Зарегистрировать в
административной консоли
настройки приложения
(client_id, client_secret,
redirect_url и др.).
2) При необходимости создать
для приложения отдельные
OAuth scope.
Или разрешить
автоматическую настройку.
1) При необходимости включить
режим OpenID Connect
automatic discovery.
23. Схема подключения приложения через шлюз
Настройки на стороне приложения
На стороне приложения не требуется
вносить никакие настройки.
Настройки на шлюзе (nginx)
1) Задать правило перенаправления
http-запроса в Blitz Identity
Provider при обращении
пользователя к странице
аутентификации приложения.
2) Задать правило встройки JS-
скрипта при ответе приложения в
результате аутентификации.
Настройки в Blitz Identity Provider
1) Зарегистрировать в
административной консоли
настройки приложения (имя
приложения, домен).
2) Зарегистрировать профиль
приложения (селекторы формы
аутентификации, селектор поля
ввода логина, признак
использования SSL, перечень
сессионных cookie для очистки при
логауте, JS-скрипты проверки
успешности идентификации).
Действия при первом входе
пользователя в приложение
При первичном входе в приложение
через Blitz Identity Provider
пользователь должен будет ввести
свой логин и пароль от приложения.
24. 1) Однократный вход (Single Sign On)
2) Двухфакторная аутентификация
3) Регистрация событий доступа
Основные функции Blitz Identity Provider
25. Пользователи не доверяют паролям
Источник: 2015 Accenture DigitalConsumer Survey
Я нуждаюсь в
альтернативе
логинам/паролям для
своей защиты в
Интернете
Логины и
пароли
громоздки в
использовании
В следующем
году я бы
использовал
уникальный чип в
моем
телефоне/ПК для
своей защиты в
Интернете
В следующем
году я бы
использовал
биометрию для
своей защиты в
Интернете
Я знаю не менее
одной
альтернативы
логину/паролю
для своей
защиты в
Интернете
26. Поддерживаемые методы аутентификации
Идентификация /
аутентификация по логину и
паролю
Строгая идентификация /
аутентификация
(ПИН-код и смарт-карта/токен)
Сквозная идентификация
• на основе результатов входа в
домен Windows
• на основе установленного
VPN-соединения
Усиленная аутентификация
(пароль и 2-й фактор):
• вырабатываемые
устройствами числовые коды
• вырабатываемые
приложениями числовые коды
• отправляемые по SMS
числовые коды
• устройства стандарта U2F
• таблицы разовых ключей
Федеративная идентификация
• с использованием учетной
записи в соц.сети
• с использование
федеративного поставщика
идентификации
28. Вход по логину и паролю
Можно хранить пароли в любом хранилище, только бы был
API для их проверки.Также поддерживаются различные
механизмы беспарольной идентификации пользователя, так
что пароль является опциальным.
Поддерживаются парольные политики, настроенные в Active
Directory / LDAP.
30. Вход по смарт-карте / USB-токену
При получении аутентификационного запроса пользователь
присоединяет к компьютеру средство аутентификации и
вводит ПИН-код.
С помощью записанного в электронном чипе средства
аутентификации приватного ключа формируется и
отсылается на сервер электронная подпись.
Сервер сверяет аутентификационный запрос и полученную
электронную подпись, а также проверяет действительность и
доверие к сертификату электронной подписи.
Пользователь идентифицируется на основе данных,
извлеченных из его сертификата.
31. Поддерживаемые в Blitz Identity Provider
средства строгой аутентификации
JaCarta / eToken
(Аладдин Р.Д.)
Рутокен ЭЦП/S/Lite
(Компания Актив)
ESMARTToken
(ISBC Группа
компаний)
32. Плагин Blitz Smart Card Plugin для строгой
аутентификации
В первый раз для строгой аутентификации пользователи должны
установить на свой компьютер плагин Blitz Smart Card Plugin.
Для установки пользователю не потребуются ни пароль
администратора, ни перезапуск браузера.
33. Плагин Blitz Smart Card Plugin для строгой
аутентификации
Ввод ПИН-кода осуществляется не в браузере, а отображенным
операционной системой окном плагина. ПИН-код используется
локально и не передается по сети.
34. Плагин Blitz Smart Card Plugin для строгой
аутентификации
Плагин предоставляется для ОС Windows/Linux/Mac OS X и
совместим с популярными браузерами этих ОС.
35. Усиленная аутентификация – отправляемые по
SMS коды подтверждения
Принцип работы
• После успешной проверки логина и пароля пользователя
осуществляется отправка SMS с цифровым кодом на
ассоциированный с учетной записью пользователя номер
телефона.
• Пользователь в течение разрешенного времени вводит
полученный по SMS цифровой код.
Для отправки SMS используется SMS-шлюз. Blitz Identity
Provider можно настроить на использование любого
популярного в РФ SMS-шлюза.
36. Усиленная аутентификация – вырабатываемые
устройствами числовые коды (HOTP)
Принцип работы
• Устройство предварительно привязывается к учётной записи
пользователя.
• При каждом нажатии устройство вырабатывает числовой
аутентификационный код.
• После ввода логина и пароля пользователь вводит
выработанный устройством числовой код в качестве 2
фактора аутентификации.
Работа алгоритма специфицирована в RFC4226 «HOTP: An
HMAC-Based One-Time Password Algorithm».
38. Настройка HOTP в Blitz Identity Provider
1) В административной консоли Blitz Identity Provider
администратор загружает файл, описывающий купленную
партию HOTP-устройств. Поддерживаются файлы
описания устройств всех популярных форматов.
2) Устройства по серийным номерам привязываются к
учетным записям пользователей.
3) После этого устройства выдаются пользователям.
4) Возможно также разрешить пользователям
самостоятельно привязать устройство к своей учетной
записи в процессе входа или в профиле
самообслуживания.
42. Пример экрана для проведения синхронизации
HOTP-устройства с учетной записью
43. Усиленная аутентификация – вырабатываемые
мобильными приложениями числовые коды (TOTP)
Принцип работы
• Мобильное приложение привязывается к учётной записи
пользователя.
• Каждые 30 секунд в мобильном приложении вырабатывает
числовой аутентификационный код.
• После ввода логина и пароля пользователь вводит
выработанный устройством числовой код в качестве 2
фактора аутентификации.
Работа алгоритма специфицирована в RFC6238 «TOTP:Time-
Based One-Time Password Algorithm».
45. НастройкаTOTP в Blitz Identity Provider
Пользователь самостоятельно в профиле самообслуживания
привязывает к своей учетной записи мобильное приложение,
вырабатывающееTOTP-код.
Привязка возможна как по QR-коду, так и путем ввода
текстовой строки привязки.
47. 1) Однократный вход (Single Sign On)
2) Двухфакторная аутентификация
3) Регистрация событий доступа
Основные функции Blitz Identity Provider
48. Преимущества единой точки контроля
Единый сервис входа фиксирует все события доступа
пользователя в подключенные приложения, каким бы
устройством доступа он ни воспользовался.
Централизованный аудит позволяет администратору иметь
полное представление о том, какие пользователи какие
приложения используют.
52. Архитектура Blitz Identity Provider
Слой «Веб»
SAML поставщик идентификации
Blitz Web Gate
OAuth-сервер
REST-поставщик ресурсов
Слой «Сервисы»
Атрибуты Пользователи Устройства Приложения …Слой «Объекты»
Слой «Серверный кэш»
Слой «Бизнес-логика»
Веб-приложение «Профиль» Веб-приложение «Консоль администратора»
Слой «Хранение» или
Фреймворк Bootstrap
Memcached
53. Варианты развертывания
На одном сервере
1) ОСWindows или OC Linux
2) ВстроеннаяСУБД (Mab DB)
В кластере
1) ОС Linux
2) Кластеризуемая СУБД Riak KV
3) Серверный кэш Memcached
4) Балансировщик нагрузки Nginx
54. Что дальше
1. Загрузите и опробуйте пробную версию Blitz Identity Provider
http://identityblitz.ru/products/blitz-identity-provider/download/
2. Свяжитесь с нами, мы с удовольствием ответим на ваши
вопросы.
ООО «РЕАК СОФТ» +7 (499) 322-14-04 info@reaxoft.ru
http://identityblitz.ru