Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

Инфоберег. Будущее аутентификации - сегодня

Download as PPTX, PDF
Евгений Царев
Евгений Царев
1 of 23
Будущее аутентификации - сегодня Евгений Царев Глава представительства Swivel Secure
www.swivelsecure.com Бестокенная аутентификация как есть
www.swivelsecure.com Привычные способы аутентификации • Высокая стоимость инфраструктуры и управления ей. Необходимость замены/обновления токенов) • Неудобны для пользователей (их забывают, теряют и т.п.) • Неприменимы для масштабных B2B и B2C приложений • Сложные правила провоцируют частое использование одинаковых паролей в разных приложениях • Необходимость наличия системы управления изменениями паролей • Сложности управления при нерегулярном использовании или использовании третьей стороной • Непрактичны для приложений более низкой критичности Токены • Пароли в социальных сетях и корпоративных приложениях часто идентичны Пароли
www.swivelsecure.com Платформа аутентификации Swivel • Представляет собой серверное решение (физические или виртуальное), позволяющее использовать различные способы аутентификации при доступе к различным системам и приложениям. • Включает в себя более 50 вариантов аутентификации к сотням систем. • В качестве каналов аутентификации используется: классический веб-браузер, SMS, мобильное приложение (для всех популярных платформ) и голосовой вызов. • Имеется интеграция для VPN-систем, веб- приложений, облачных решений и рабочих станций.
www.swivelsecure.com Сертификация ФСТЭК • Имеется решение ФСТЭК на сертификацию продукта • Готовятся документы на сертификацию по ТУ и НДВ 4 в системе ФСТЭК • Ориентировочная дата получения сертификатов: ноябрь 2013
www.swivelsecure.com Способы аутентификации
www.swivelsecure.com SMS • При попытке доступа к системе или приложению платформа генерирует SMS-сообщение, содержащее OTC (one time code), либо Security string, из которой вычисляется OTC по заранее известному пользователю PIN-коду. • Сообщение отправляется заранее или по запросу • Сообщения могут настраиваться • Возможна работа с использованием или без PINsafe технологии • Система очень гибко настраивается. В частности возможна отправка нескольких строк в одном SMS-сообщении (до 5 строк в сообщении) • Каждая строка имеет метку с номером • Веб-страница, на которой находится пользователь, содержит информацию какую строку использовать
www.swivelsecure.com Мобильные приложения • Получать Security string возможно с использованием мобильного приложения • На основе Security string пользователь вычисляет OTC по известному только ему PIN • Приложения разработаны под все популярные мобильные платформы и доступны для скачивания самим пользователем • Приложение содержит до 99 Security string • Пользователь может пополнить число строк в любое время • PIN никогда не используется • Нет SMS сообщений • Номер мобильного телефона не запрашивается
www.swivelsecure.com Виды аутентификации Помимо двухфакторной аутентификации Swivel развивает направление усиленной аутентификации UNP1 Пара логинпароль. Данный вид аутентификации не отличается высоким уровнем безопасности. Не является достаточным для систем удаленного доступа и облачных сервисов. Особый вид аутентификации от Swivel, основанный на использовании изображения. Повышает стойкость и безопасность процесса UNP, но без полноценной двухфакторной аутентификации 2FA3 Двухфакторная аутентификация. Отличается высоким уровнем безопасности, используется для защиты высококритичных систем и сервисов.
www.swivelsecure.com Технология TURing • При входе в приложение Платформа выдает 10-тизначную Security string, которая отображается в браузере • На основе своего PIN’а и Security string пользователь вычисляет код для аутентификации (OTC) • Технология имеет защиту от атак перебора (bruteforce) и других автоматизированных атак Технология PINpad • При входе в приложение Платформа выдает 10-тизначную Security string, которая отображается в браузере в виде сот • Соты могут отображаться в любом дизайне • Пользователь вводит свой PIN с использованием мыши • На сервер уходит сгенерированный OTC • Технология имеет защиту от атак перебора (bruteforce) и других автоматизированных атак Усиленная аутентификация demouser ****
www.swivelsecure.com Применения Swivel: VPN • SSL VPN • IPSec • RADIUS • XML API • AD Integration • База знаний Swivel:https://kb.swivelsecure.com/wiki/index.php/Category:Integration
www.swivelsecure.com Применения Swivel: VPN Demouser ********** ****
www.swivelsecure.com Применения Swivel: Веб-приложения Web: • Swivel позволяет обеспечить защиту любого сайта • Работает в любом браузере • Готовые решения для IIS и ISA • OWA SharePoint: • SharePoint • Гибкое развертывание на SharePoint Applications • Создает ‘Claims Token’ • SharePoint защищается посредством .NET http фильтра Domainuser name: Password: One-Time Code:
www.swivelsecure.com Применение Swivel: VDI и Desktop • Terminal Service 2008 • Windows Desktop: • GINA • Credentials Provider • VDI • Citrix • VM View 5.1 • Windows taskbar application
www.swivelsecure.com Применения Swivel: Облака • SAML• Возможна усиленная и двухфакторная аутентификация • Совместимо с ADFS • Одобрено Microsoft • Microsoft Azure • Identity kept local
www.swivelsecure.com Бестокенная аутентификация. Что дальше?
www.swivelsecure.com «Традиционная модель» • Используется для аутентификации при удаленном доступе • Взаимодействие между сервером аутентификации и внутренними ресурсами • Все взаимодействие в DMZ • Все элементы подконтрольны компании DMZВнутренние ресурсы Интернет
www.swivelsecure.com «Федеративная модель» • Взаимодействие между облачным сервисом и Identity Provider (IdP) • Взаимодействие через Интернет • Аутентификация на стороне компании, подконтрольна компании, а сервис расположен на стороне облачного провайдера DMZ Интернет ldP
www.swivelsecure.com «Гибридная модель» • Комбинация двух моделей • Применяется сегодня • Та самая «Единственная платформа аутентификации, которая нужна» • Схема сегодня устраивает почти всех. Что дальше? DMZВнутренние ресурсы Интернет ldP
www.swivelsecure.com Интерфейс общения с пользователем • У предприятий самые разные требования к этому элементу • Главное требования – высокая гибкость настройки для администратора и пользователя • Та самая «Единственная страница аутентификации, которая нужна» DMZВнутренние ресурсы Интернет ldP Портал аутентификации
www.swivelsecure.com Строится по «федеративной модели» • Решения SAML, ADFS, OpenID, Open Auth собираются в единый модуль (Портал аутентификации) • Все запросы на доступ проходят через Портал аутентификации SAML ldP ADFS STS Open Auth Интернет Портал аутентификации пользователя
www.swivelsecure.com «Будущая» схема бестокенной аутентификации DMZ Интернет Портал аутентификации
Спасибо за внимание!

More Related Content

Инфоберег. Будущее аутентификации - сегодня

  • 3. www.swivelsecure.com Привычные способы аутентификации • Высокая стоимость инфраструктуры и управления ей. Необходимость замены/обновления токенов) • Неудобны для пользователей (их забывают, теряют и т.п.) • Неприменимы для масштабных B2B и B2C приложений • Сложные правила провоцируют частое использование одинаковых паролей в разных приложениях • Необходимость наличия системы управления изменениями паролей • Сложности управления при нерегулярном использовании или использовании третьей стороной • Непрактичны для приложений более низкой критичности Токены • Пароли в социальных сетях и корпоративных приложениях часто идентичны Пароли
  • 4. www.swivelsecure.com Платформа аутентификации Swivel • Представляет собой серверное решение (физические или виртуальное), позволяющее использовать различные способы аутентификации при доступе к различным системам и приложениям. • Включает в себя более 50 вариантов аутентификации к сотням систем. • В качестве каналов аутентификации используется: классический веб-браузер, SMS, мобильное приложение (для всех популярных платформ) и голосовой вызов. • Имеется интеграция для VPN-систем, веб- приложений, облачных решений и рабочих станций.
  • 5. www.swivelsecure.com Сертификация ФСТЭК • Имеется решение ФСТЭК на сертификацию продукта • Готовятся документы на сертификацию по ТУ и НДВ 4 в системе ФСТЭК • Ориентировочная дата получения сертификатов: ноябрь 2013
  • 7. www.swivelsecure.com SMS • При попытке доступа к системе или приложению платформа генерирует SMS-сообщение, содержащее OTC (one time code), либо Security string, из которой вычисляется OTC по заранее известному пользователю PIN-коду. • Сообщение отправляется заранее или по запросу • Сообщения могут настраиваться • Возможна работа с использованием или без PINsafe технологии • Система очень гибко настраивается. В частности возможна отправка нескольких строк в одном SMS-сообщении (до 5 строк в сообщении) • Каждая строка имеет метку с номером • Веб-страница, на которой находится пользователь, содержит информацию какую строку использовать
  • 8. www.swivelsecure.com Мобильные приложения • Получать Security string возможно с использованием мобильного приложения • На основе Security string пользователь вычисляет OTC по известному только ему PIN • Приложения разработаны под все популярные мобильные платформы и доступны для скачивания самим пользователем • Приложение содержит до 99 Security string • Пользователь может пополнить число строк в любое время • PIN никогда не используется • Нет SMS сообщений • Номер мобильного телефона не запрашивается
  • 9. www.swivelsecure.com Виды аутентификации Помимо двухфакторной аутентификации Swivel развивает направление усиленной аутентификации UNP1 Пара логинпароль. Данный вид аутентификации не отличается высоким уровнем безопасности. Не является достаточным для систем удаленного доступа и облачных сервисов. Особый вид аутентификации от Swivel, основанный на использовании изображения. Повышает стойкость и безопасность процесса UNP, но без полноценной двухфакторной аутентификации 2FA3 Двухфакторная аутентификация. Отличается высоким уровнем безопасности, используется для защиты высококритичных систем и сервисов.
  • 10. www.swivelsecure.com Технология TURing • При входе в приложение Платформа выдает 10-тизначную Security string, которая отображается в браузере • На основе своего PIN’а и Security string пользователь вычисляет код для аутентификации (OTC) • Технология имеет защиту от атак перебора (bruteforce) и других автоматизированных атак Технология PINpad • При входе в приложение Платформа выдает 10-тизначную Security string, которая отображается в браузере в виде сот • Соты могут отображаться в любом дизайне • Пользователь вводит свой PIN с использованием мыши • На сервер уходит сгенерированный OTC • Технология имеет защиту от атак перебора (bruteforce) и других автоматизированных атак Усиленная аутентификация demouser ****
  • 11. www.swivelsecure.com Применения Swivel: VPN • SSL VPN • IPSec • RADIUS • XML API • AD Integration • База знаний Swivel:https://kb.swivelsecure.com/wiki/index.php/Category:Integration
  • 13. www.swivelsecure.com Применения Swivel: Веб-приложения Web: • Swivel позволяет обеспечить защиту любого сайта • Работает в любом браузере • Готовые решения для IIS и ISA • OWA SharePoint: • SharePoint • Гибкое развертывание на SharePoint Applications • Создает ‘Claims Token’ • SharePoint защищается посредством .NET http фильтра Domainuser name: Password: One-Time Code:
  • 14. www.swivelsecure.com Применение Swivel: VDI и Desktop • Terminal Service 2008 • Windows Desktop: • GINA • Credentials Provider • VDI • Citrix • VM View 5.1 • Windows taskbar application
  • 15. www.swivelsecure.com Применения Swivel: Облака • SAML• Возможна усиленная и двухфакторная аутентификация • Совместимо с ADFS • Одобрено Microsoft • Microsoft Azure • Identity kept local
  • 17. www.swivelsecure.com «Традиционная модель» • Используется для аутентификации при удаленном доступе • Взаимодействие между сервером аутентификации и внутренними ресурсами • Все взаимодействие в DMZ • Все элементы подконтрольны компании DMZВнутренние ресурсы Интернет
  • 18. www.swivelsecure.com «Федеративная модель» • Взаимодействие между облачным сервисом и Identity Provider (IdP) • Взаимодействие через Интернет • Аутентификация на стороне компании, подконтрольна компании, а сервис расположен на стороне облачного провайдера DMZ Интернет ldP
  • 19. www.swivelsecure.com «Гибридная модель» • Комбинация двух моделей • Применяется сегодня • Та самая «Единственная платформа аутентификации, которая нужна» • Схема сегодня устраивает почти всех. Что дальше? DMZВнутренние ресурсы Интернет ldP
  • 20. www.swivelsecure.com Интерфейс общения с пользователем • У предприятий самые разные требования к этому элементу • Главное требования – высокая гибкость настройки для администратора и пользователя • Та самая «Единственная страница аутентификации, которая нужна» DMZВнутренние ресурсы Интернет ldP Портал аутентификации
  • 21. www.swivelsecure.com Строится по «федеративной модели» • Решения SAML, ADFS, OpenID, Open Auth собираются в единый модуль (Портал аутентификации) • Все запросы на доступ проходят через Портал аутентификации SAML ldP ADFS STS Open Auth Интернет Портал аутентификации пользователя

Editor's Notes

  1. RADIUSXML APIhttps://kb.swivelsecure.com/integrations
  2. RADIUSXML APIhttps://kb.swivelsecure.com/integrations