-Поиск по дневнику

Поиск сообщений в cZerro

 -Статистика

Статистика LiveInternet.ru: показано количество хитов и посетителей
Создан: 30.04.2004
Записей:
Комментариев:
Написано: 2345

Одноразовая аутентификация в облаке

Дневник

Среда, 11 Сентября 2013 г. 00:21 + в цитатник
Облака - это услуги информационной безопасности. Потому, что как минимум без надёжной аутентификации пользователь просто не получит доступ к своим данным. Про это рассуждает Михаил Ашарин, технический специалист Rainbow Security.

1. Какие методы идентификации пользователей требуются для перехода на облачные технологии?

При переходе на облачные технологии не требуется кардинальной модификации методов аутентификации, уже применяемых в большинстве современных корпоративных информационных систем. Для доступа в облачные сервисы, как правило, потребуется выбрать наиболее удобные с точки зрения использования и надежные с точки зрения защищенности методы аутентификации. Это, прежде всего, двухфакторная аутентификация по одноразовым паролям и строгая двухфакторная аутентификация по цифровым сертификатам.

Одноразовый пароль – это динамический пароль, который генерируется каждый раз для события аутентификации, не подходит для повторного использования. Такие пароли могут генерироваться и доставляться пользователям различными способами, но, с учетом того, что основное отличие облачной инфраструктуры от корпоративной по существу заключается в большей масштабируемости и более широкой географической распределённости, на первый план выходит использование для получения одноразовых паролей мобильных гаджетов. Вторым вариантом получения одноразового пароля, который, конечно, может применяться и совместно с вышеупомянутым в качестве резервного, является использование программного токена, устанавливаемого на смартфон пользователя. Это можно сделать, например, из AppStore или Google Play. В этом случае для генерации корректного одноразового пароля пользователь вместо статического пароля вводит на смартфоне известный только ему PIN-код.

Для выделенного обслуживания в облачных сервисах также может использоваться упомянутая выше строгая двухфакторная аутентификация по сертификатам. Хотя этот метод доступа к «облаку», как правило, требует от пользователей наличия дополнительного аппаратного аутентификатора (и, соответственно, его обслуживания), но зато предоставляет более защищенный канал доступа. В качестве аппаратного устройства для безопасного хранения пользовательского цифрового сертификата, чаше всего используется портативный USB-токен. В этом случае проверка клиентского сертификата для успешной идентификации пользователя на предоставленном облачном сервисе возлагается на специальный сервер аутентификации. Более того, облачный сервис-провайдер должен взаимодействовать с инфраструктурой открытых ключей (PKI).

2. Какие продукты нужны операторам облака для организации надежной аутентификации пользователей?

В контексте вышеизложенного становится ясно, что для внедрения продвинутых методов идентификации при построении облачных технологии необходима интеграция облачного сервис-провайдера со специальными решениями, выполняющими роль сервера аутентификации. С учетом современных высокотехнологических требований к безопасности и обслуживанию облачной инфраструктуры, такой сервер аутентификации должен поддерживать разнообразные устройства и методы аутентификации, в том числе и многоуровневые, встроенный механизм интеграции с внешним SMS-шлюзом для доставки одноразового пароля по независимому GSM-каналу, расширяемые политики доступа и ролевой принцип управления. С другой стороны, решение должно предоставлять необходимые сервисы обслуживания для операторов (техническую поддержку) и самообслуживания (например, настраиваемые веб-порталы для удобного самостоятельного обслуживания пользователями своих аутентификаторов – активация, замена, разблокировка, отзыв, ресинхронизация, временный доступ и так далее). Оптимальным продуктом, поддерживающим весь вышеизложенный функционал и вместе с тем содержащий все возможные дополнения для организации надежной и удобной аутентификации в облачной среде, является сервер аутентификации ActivID 4TRESS Authentication Server от компании HID.

3. Насколько усложняют работу с облаком процедуры надежной аутентификации пользователей?

Если оценивать влияние на простоту процесса аутентификации в облачной среде по соотношению надежности и удобства применения, то методы доступа к облачным сервисам по одноразовым паролям, полученным через личные мобильные устройства, или по цифровым сертификатам с использованием выдаваемых портативных USB-токенов (например, для VIP-клиентов или пользователей с повышенными правами), практически не усложняют и не замедляют работу в облаке конечных пользователей. Кроме того, замечено, что упомянутые методы не только не создают трудностей, но и в отличие от простой аутентификации по статическим паролям вызывают у пользователей ясное понимание и чувство уверенности в надежной защите собственной конфиденциальной информации при работе в облаке.

4. Насколько легко можно интегрировать процедуры надежной аутентификации в современные продукты для построения облачных решений?

Трудоемкость интегрирования вышеописанных процедур аутентификации в уже функционирующие современные продукты для построения облачных решений сильно зависит от разнообразия и глубины предлагаемых такими решениями средств интеграции с технологической инфраструктурой. Например, один из самых универсальных серверов аутентификации ActivID 4TRESS Authentication Server от HID предоставляет для гибкой и оперативной интеграции с облачной средой такие средства как интуитивно понятный пользовательский веб-интерфейс администратора, а также средства разработчиков (SDK) и поддержку стандартных кроссплатформенных технологий взаимной интеграции, таких как SOAP, SAML и других.
Рубрики:  Продукты
Защита

Метки:  

Особенности MDM

Дневник

Пятница, 19 Апреля 2013 г. 07:40 + в цитатник
Недели две назад меня неожиданно попросили быстро подготовить обзор по MDM-решениям. Времени было мало, поэтому пришлось обращаться к тем источникам, которые отвечают наиболее оперативно. Наиболее оперативно отвечаетАлексей Лукацкий, директор по развитию бизнеса компании Cisco. Представляю ответы, которые он накропал буквально за несколько часов.

1. Какие особенности в защите мобильных бизнес-приложений? Какие тенденции в развитии продуктов MDM?

Первая особенность заключается в миниатюризации устройства и, как следствие, недостаточности ресурсов для решения ряда задач, требующих достаточной мощности процессора или оперативной памяти. Например, по этой причине для мобильных платформ сегодня отсутствуют DLP-решения и существующие продукты просто перенаправляют трафик в облако, где он и проверяется на предмет соответствия требованиям политик безопасности. Вторая особенность заключается в мобильности устройства, которое может быть утеряно или украдено, а может и сотрудник внезапно уволится. Это в свою очередь требует более пристального внимания к технологиям геолокации мобильных устройств и технологиям дистанционного контроля и уничтожения конфиденциальных данных на устройстве. Третья особенность касается только России и требований ФСБ по применению шифровальных средств. Для мобильных платформ адекватных сертифицированных в ФСБ решений в достаточно количестве, да еще и не нарушающих никаких прав на интеллектуальную собственность, нет.

Из тенденций можно отметить постепенный рост интереса к технологиям управления мобильным устройством не на уровне устройства, а на уровне приложений (например, решения RhoGallery или Antenna). В этом случае компания получает более гибкие возможности по защите данных в конкретном приложении, а не на всем устройстве.

2. Насколько вопросы защиты мобильных приложений влияют на внедрение BYOD и связанных с ним технологий?

Влияют, но как вторичные факторы. Первично желание бизнеса получать доступ к корпоративным ресурсам из любой точки мира. Если речь идет о почте, календаре и адресной книге, то тут и защиту, как таковую, выстраивать не надо - обычно хватает встроенных в мобильную платформу возможностей по интеграции с MS Exchange или иными почтовыми сервисами. Если же предприятию требуется более глубокое использование мобильных устройств - доступ через внутреннюю сеть Wi-Fi к внутренним ресурсам, доступ к корпоративным приложениям, терминальный доступ (VDI), доступ к ЦОДу, то вопросы защиты становятся превалирующими и без их решения, проект по внедрению BYOD обычно стопорится.

3. Какие методы защиты мобильных приложений предпочитают российские пользователи?

По экспертным оценкам в тройку лидирующих методов входят антивирусы, дистанционное уничтожение данных и функция "найти телефон", а также шифрование данных на уровне устройства (как правило, встроенное). Если говорить о корпоративных пользователях мобильных устройств, то к этой тройке добавляются потребности в VPN-клиенте, методах резервного копирования и восстановления, а также средства мониторинга и управления приложениями и обрабатываемыми ими данными.

Вообще, для ознакомления с темой можно посмотреть мою презентацию по защите BYOD - она достаточно объемная, но зато многие вопросы рассмотрены.
Рубрики:  Блог
Защита

Метки:  

Облака и безопасность

Дневник

Воскресенье, 07 Апреля 2013 г. 20:11 + в цитатник
При подготовке обзоров для журналов "Сети" и Computerworld Россия я часто получаю в ответ целые готовые статьи и интервью, но для обзора мне нужно всего несколько цитат. Мне всегда жалко проделанной спикером работы, поэтому решил, что буду публиковать в своём блоге полные тексты подобных интервью.

Начну с недавнего обзора по защите коммуникационных облаков, подготовленного для журнала "Сети". На мои вопросы по теме отвечает Алексей Бессарабский, руководитель отдела маркетинга «Манго Телеком».

Какие типы мошенничества характерны для корпоративных и гибридных коммуникационных облаков?

Главные особенности коммуникационных облачных сервисов с точки зрения информационной безопасности — это отсутствие или размывание понятия «периметр» и сложное разделение сфер ответственности между провайдером и клиентом. С одной стороны, такое разделение часто не осознается и не отражается в контрактах. С другой — одних контрактов, зачастую, недостаточно, так как защита должна иметь комплексный характер. Она должна охватывать и серверы провайдера, и клиентское оборудование — в чьей бы сфере ответственности оно ни находилось.

Не менее важно и то, что широкие возможности и многочисленные удобства облачных сервисов  могут привести бизнес к новым точкам уязвимости. И часто, чем больше в облаках удобства, тем меньше безопасности и наоборот. Например, эластичность и неограниченная масштабируемость облачных сервисов — это, в том числе, неограниченные возможности для воровства трафика. А самостоятельное управление услугами —  это, одновременно, и новая точка уязвимости. Мощные  сервисы распределения вызовов, переадресации, записи разговоров дают новые (по сравнению, например, со взломом SIP) возможности перехвата звонков, подслушивания, доступа к конфиденциальной информации и так далее.

Еще одна особенность ситуации состоит в том, что современные провайдеры коммуникационных облачных услуг могут предоставлять одновременно ИТ- и коммуникационные сервисы. Поэтому они сталкиваются  не только с ситуациями, знакомыми  ИТ-компаниям, но и с банальным телефонным мошенничеством.

Таким образом, основные угрозы, которые характерны для корпоративных и гибридных коммуникационных облаков — это кража трафика, несанкционированный доступ к данным клиентов, повреждение этих данных,  потеря управления своими коммуникациями, DoS-атаки. Эти же проблемы, как правило, беспокоят и клиентов облачных сервисов. Так, по данным исследования Information Week Cloud GRC Survey, при переходе на облачные сервисы клиентов беспокоят вопросы безопасности.  Перечисленные мной особенности занимают первые строчки среди факторов, вызывающих опасения клиентов при переходе в облака, и составляют в сумме более 50 %.

Положительные моменты при использовании облачных сервисов тоже есть. Обычно серьезный сервис-провайдер обладает гораздо большими ресурсами по сравнению со своими клиентами, может нанять штат квалифицированных специалистов и обеспечить такие меры по защите клиентских данных и коммуникаций, которые для самих клиентов с финансовой точки зрения просто невозможны. И, наконец, чтобы избежать мошенничества, важно, конечно, изначально правильно выбрать провайдера. Потребитель услуг должен убедиться, что провайдер пришел на рынок всерьез и надолго. И действительно будет вкладывать средства в ИБ, то есть, по сути, в будущее своего бизнеса. Так, 15% клиентов в процитированном обзоре отметили среди факторов, способствующих распространению облаков,  лучшую безопасность, обеспечиваемую провайдером.

В чем особенность защиты облачных коммуникационных сервисов?

Первая особенность — борьба с  кражами  трафика  методами, которые обычно используют телефонные компании. Это эвристическая оценка профиля активности клиента, производимая иногда в ручном, иногда в автоматическом режиме. Как ни банально это звучит, основной метод взлома — подбор простых пользовательских паролей роботами.  Мы пытаемся приучить наших клиентов не использовать пароли типа «12345», в то же время наши SIP-серверы блокируют подозрительную активность, например, слишком частые попытки авторизации или слишком большое количество попыток установить соединение в секунду.

Облачные коммуникационные сервисы во многом основаны на SIP-протоколе.  Мы используем аккуратную схему авторизации  запрос-ответ, которая исключает кражи паролей. Однако легкая доступность каналов  IP-коммуникаций упрощает возможность  атак типа man-in-the-middle, прослушивания и перехвата сессий. Для защиты необходимо шифрование с помощью TLS  или S/MIME.  А это уже тянет за собой необходимость использования PKI (альтернативные технологии  слабо поддерживаются оборудованием).

Другая особенность облаков — удобный интерфейс самообслуживания. Я не буду сейчас говорить о защите провайдером своих серверов, на эту тему написано много.  Новая опасность в простом доступе злоумышленника к удобному интерфейсу. В основном, она появилась из-за того, что у типичного пользователя облачных сервисов отсутствует система управления учетными записями для этих сервисов, а попытки провайдера  внедрить определенные политики внутренней безопасности могут по большей части клиентами игнорироваться. Выход лежит в предоставлении облачных услуг Identity Management. Роль таких услуг будет возрастать, по мере того, как компании будут интегрировать свои ИТ-системы со все большим количеством облачных сервисов,  для доступа к которым необходима единая политика управления учетными записями, правами и ролями.

Борьба с DoS-атаками в случае облачных коммуникационных сервисов не имеет заметных особенностей, за исключением того, что появляется еще один канал атаки — телефонные сети. Атаки оттуда, впрочем, блокируется гораздо проще, чем из IP-сетей. Ну, и важно, пожалуй, строить SIP-инфраструктуру с учетом  того, что она открыта внешнему миру, и может быть объектом атаки типа DoS.

Насколько в России актуальны атаки на коммуникационные сервисы?

Крупные инциденты пока встречаются не очень часто, но такая возможность всегда присутствует. А вот попытки недорогих атак с понятной и очевидной всем монетизацией идут постоянно. Речь идет об атаках на SIP-аккаунты и краже трафика, которая встречается чаще, чем принято думать.
Рубрики:  Блог
Аналитика
Защита

Метки:  

 Страницы: [1]