Power Security Support Wiki - Вклад участника [ru]

HCE

2014-09-16T15:58:53Z

2014-02-05T08:09:21Z

Ana:

'''Сервер аутентификации''' (англ. '''Authentication Server''') – это программный или программно-аппаратный комплекс, реализующий различные методы аутентификации для различных приложений. Сервер аутентификации обладает огромной функциональностью, включая поддержку различных методов и каналов аутентификации. Такие возможности позволят организациям гибко производить его настройки в соответствии со своими требованиями. В качестве примера можно рассмотреть использование различных методов аутентификации и подтверждения транзакций для различных групп клиентов, которые определяются в соответствии со степенями риска при выполнении операций в системе «Банк-Клиент».

На современном рынке информационной безопасности представлено большое количество серверов аутентификации, которые обеспечивают теми или иными функциями. Однако на какие особенности прежде всего следует обращать внимание при выборе продукта такого класса.

==Ключевые особенности==
*Поддержка различных моделей и типов генераторов одноразовых паролей
*Интеграция с сервисами
*Поддержка различных каналов аутентификации, методов аутентификации
*Безопасный доступ к серверу аутентификации
*Поддержка HSM-модулей
*Поддержка протокола RADIUS

Использование [[строгая аутентификация |многофакторной аутентификации]] непременно снижает риски компрометации аутентификационных данных клиента. Применение [[одноразовый пароль |одноразовых паролей]] (One-Time Password; OTP) в качестве одного из факторов в разы уменьшает риск несанкционированного доступа к системе. Ключевой особенностью ОТР является их однократное использование в процессе выполнения каждой операции (аутентификация, подтверждение транзакции…). Таким образом, знание одноразового пароля не предоставляет злоумышленнику дополнительной информации о данных пользователя. Для получения ОТР используются программные или аппаратные генераторы. Примером программного генератора может служить генерация пароля сервером аутентификации или мобильным приложением, а аппаратного – генерация ОТР посредством отчуждаемого носителя (аутентификатора). Разумеется, использование аппаратных генераторов является более безопасным методом. Поэтому сервер аутентификации должен обладать необходимыми функциями поддержки различных ОТР-генераторов, включая различные типы банковских карт с поддержкой стандарта [[OATH |OATH]] ([[TOTP |TOTP]], [[HOTP |HOTP]], [[OCRA |OCRA]]) или [[EMV |EMV]], сертифицированных по стандарту VISA и MasterCard в качестве платежных банковских карт.

''Пример:'' банки обеспечивают клиентов платежными картами. Таким образом, для определенной категории клиентов использование одной банковской карты было бы удобным вариантом как для осуществления платежных операций, так и для работы с системой «Банк-Клиент». Дополнительно к этому, банку удалось бы обеспечить клиента максимально удобным и безопасным решением и избежать расходов на дополнительные аутентификаторы.

С увеличением спроса на дистанционное обслуживание появляются и новые сервисы, разрабатываемые организациями для своих клиентов. Возможность сервера аутентификации интегрироваться с различными типами систем и приложений позволит реализовать доступ к этим сервисам по различным каналам аутентификации. Каналы аутентификации могут использоваться для разграничения доступа клиентов к сервисам в зависимости от типа производимых операций, выполняемых ими действий, либо в качестве дополнительного канала, используемого с целью повышения уровня безопасности для доступа к какому-то определенному сервису. Примеры каналов аутентификации: web, мобильный клиент, корпоративный «толстый» клиент, 3D Secure, IVR.

Для доступа к различным сервисам могут использоваться один или несколько аутентификаторов. Поэтому наряду с поддержкой различных каналов аутентификации, сервер должен обеспечивать и различными методами, на основе которых могут использоваться следующие типы аутентификаторов: PKI-токены (X.509), матричные карты, SMS-сообщения, аппаратные и программные генераторы одноразовых паролей. Такая функциональность позволит организациям не ограничиваться одним методом аутентификации для разрешения доступа клиента к различным сервисам, а, наоборот, обеспечит его максимально удобным и безопасным способом работы с системой в рамках единого комплексного решения. К тому же клиенты могут использовать дополнительные аутентификаторы для подключения к новым сервисам или же использовать несколько устройств сразу в зависимости от уровня риска и решаемых задач.

Говоря об аутентификации клиентов в различных системах и сервисах, необходимо обращать внимание и на безопасный доступ к самому серверу аутентификации. Имеет ли смысл использовать решение по безопасности, не позволяющее реализовать собственную защиту? Очевидно, нет. Доступ к интерфейсу (консоли) управления сервером аутентификации получают специально уполномоченные лица – администраторы, менеджеры, операторы и пр. Они могут конфигурировать сервер, создавать пользователей, назначить им роли. Для входа в консоль управления необходимо предоставлять одновременный доступ нескольким уполномоченным лицам. Разграничение прав доступа таким образом позволит предоставить только необходимые полномочия выше указанным лицам и избежать полного доступа одним сотрудником, тем самым, уменьшая риск НСД и принятия важных решений одним лицом. А использование при аутентификации смарт-карт и PIN-кодов позволит дополнительно увеличить уровень безопасности системы.

Сервер аутентификации выполняет различные криптографические операции и хранит различные данные аутентификации. Чтобы достичь максимального уровня защищенности этих процессов, необходима поддержка аппаратных модулей безопасности (Hardware Security Module; HSM). К сожалению, не каждый сервер поддерживает эти модули. Поэтому при выборе сервера аутентификации в зависимости от требуемого уровня защищенности необходимо рассматривать то решение, которое поддерживает различные HSM ([http://www.thales-esecurity.com/products-and-services/products-and-services/hardware-security-modules/general-purpose-hsms/nshield-connect Thales nShield], [http://www.safenet-inc.com/products/data-protection/hardware-security-modules-hsms/ SafeNet], [http://hsm.utimaco.com/products/ Utimaco], функционирующих в режиме FIPS).

Ключевым процессом является построение отношений между организацией и клиентом как напрямую, так и через Интернет. Однако не стоит упускать из виду, что у организаций есть целый штат сотрудников, часть которых может работать удаленно. В этом случае важным требованием к серверу аутентификации является поддержка протокола RADIUS для реализации безопасного удаленного доступа для сотрудников или при администрировании сетевого оборудования.

==Примеры==
#[http://powersecurity.ru/ru/products/auth/nexus-portwise/auth-server/ neXus Portwise Authentication Server]
#[http://www.hidglobal.com/identity-assurance# ActivID Security Solutions]
#[http://www.thales-esecurity.com/products-and-services/products-and-services/identity-management/authentication/safesign-authentication-server SafeSign Authentication Server]

Смарт-карта

2013-11-11T11:34:31Z

Ana:

Смарт-карта

2013-11-11T11:33:10Z

Ana:

Смарт-карта

2013-11-11T11:32:51Z

Ana: