Построение безопасной аутентификации к сервисам приватных и публичных облаков на базе решений Gemalto – ключевого компонента безопасной инфраструктуры Microsoft
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
1. Безопасная аутентификация в гибридной среде
Владимир Боянжи Директор по развитию бизнеса vboianji@isspgroup.com
Построение безопасной аутентификации к сервисам приватных и публичных облаков на базе решений Gemalto – ключевого компонента безопасной инфраструктуры Microsoft
2. ISSP - Information Systems Security Partners – специализированная компания по обеспечению безопасности информационных систем на основе технологий и комплексных аппаратных и программных решений
ЗАЩИТА СЕТИ И ПЕРИМЕТРА
- Шлюзы сетевой безопасности
- Предотвращение вторжений
- Фильтрация web & email
- Мониторинг и управление
- Защита беспроводных сетей
ЗАЩИТА РАБОЧИХ СТАНЦИЙ
- Комплексная защита
- Защита мобильных устройств
- Защита виртуальных сред
- Антивирусы и антишпионы
- Контроль протоколов портов и приложений
ЗАЩИТА ПРИЛОЖЕНИЙ
- Защита веб-приложений
- Защита серверов баз данных
- Управление уязвимостями
- Управление приложениями
ЗАЩИТА ДАННЫХ И ДОКУМЕНТОВ
- Предотвращение утечек информации
- Шифрование и цифровая подпись
- Защита мобильных данных
- Защита документов
- Архивация и резервирование
КОНТРОЛЬ ДОСТУПА
- Мультифакторная аутентификация
- Удаленный доступ
- Управление ролями и учетными данными
- Инфраструктура открытых ключей
УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ
- Управление событиями и инцидентами
- Мониторинг и управление политиками
- Управление рисками и соответствием
- Управление изменения
4. Проблема идентификации в «Цифровом» мире
«Мы» - это запись в БД
-
Простые пароли
-
Секретные ключи хранятся в открытом виде
Цифровой идентификатор можно украсть и предъявить “за нас”
5. Способы решения проблем аутентификации
-
Алгоритмы аутентификации 2-х или 3-х факторная аутентификация (OTP, биометрия)
-
Шифрование пользовательских данных Хранение секретных ключей на безопасных носителях (смарт- карты или токены)
6. Проблемы при «решении проблем аутентификации»
-
Необходима инсталляция драйверов поддержки смарт-карт
-
Разные технологии – разные серверы аутентификации
-
А если нужно и OTP и PKI
7. Мировой лидер в информационной безопасности
#1
Оборот компании за 2013 год составил более 2.4 миллиарда Euro
Инженеров, участвующих в разработках
Более 2000
Исследовательских центров и центров разработки ПО 25
Новых патентов в за 2013
Более 110
Поставщики услуг, должны быть уверены, что идентификация конечных пользователей действительна и верно управляется
Платформы и услуги
Gemalto постоянно контролирует и управляет этими устройствами через сотни сетей, проверяя идентификационные данные и управляя транзакциями
Услуги финансовым и розничным институтам Безопасный путь осуществления платежей Услуги правительству Перевод общественных услуг в электронный (цифровой) формат Идентификация и доступ В любом месте и времени - Безопасная доступность данных Автоматизация Интеллектуализация устройств и средств Услуги в Мобильной связи
Клиентами являются более 80 программ электронного правительства
Клиентами являются более 3000 финансовых институтов по всему миру
Около 80% смартфонов используемых в работе сотрудниками являются их собственностью
К 2017 году будет насчитываться более 4,5 миллиардов машин подключенных в единую сеть
Клиентами являются более 450 операторов связи
Решениями Gemalto пользуются более 2 миллиардов человек
Встроенное программное обеспечение и продукты
Gemalto встраивает программное обеспечение, осуществляющее функцию безопасности данных в такие продукты как СИМ карты, Банковские карты, Электронные паспорта и идентификационные (ID) карточки граждан
Конечные пользователи должны обладать безопасной идентификацией при пользовании различными цифровыми услугами
8. Миллиарды устройств Gemalto используются ежедневно
Сервис Over-the-air (OTA)
Онлайн аутентификация
Приложения и решения на базе NFC
Чиповые и бесконтактные платежные карты
Сервисы мобильной подписи
Двухфакторная аутентификация
Услуги по персонализации, управлению безопасностью и данными
Электронные удостоверения
Решения для государственных программ
Генераторы крипто-паролей
Объем поставок Gemalto в 2012 году составил ~ 2 миллиарда устройств !!!
10. Кого и Что мы защищаем?
•
Аутентификация для обеспечения безопасности профилей пользователей подверженных угрозам
Привилегированные пользователи
•
Защита конфиденциальных данных без ущерба в удобстве пользования
•
Безопасное использование устройств на различных платформах
Удаленные пользователи/ Пользователи мобильных устройств
•
Обеспечение безопасного соединения
•
Обеспечение мобильности при строгой аутентификации
•
Возможность применять устройства как аутентификаторы (Mobile OTP)
BYOD/ Подрядчики
•
Предоставление временного безопасного доступа для подрядных пользователей
•
Использование BYOD в организации без ущерба безопасности
12. Бесшовная интеграция с Microsoft
•
Драйверы смарт-карт Gemalto интегрированы в Microsoft Windows (начиная с XP SP2)
•
Для PKI на основе Gemalto достаточно Microsoft CA
•
Gemalto поддерживает Microsoft Direct Access
•
Поддержка BitLocker
•
Решения для инфраструктуры Microsoft:
http://www.gemalto.com/identity/solutions/microsoft.html
•
Windows XP, Vista, 7, 8
•
Windows Server 2003, 2008, 2012
•
Intune
•
Microsoft Office
•
Office 365
•
Azure
•
EFS / Bitlocker
•
SharePoint
•
Exchange
•
ISA
•
IAG / UAG / TMG
•
AD, CA, DA
•
ADFS
13. Криптография по стандарту ГОСТ
Возможности:
•
генерация ключей для использования в криптографических алгоритмах по стандартам ГОСТ 28147-89, ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012 в микроконтроллере;
•
шифрование/расшифрование данных по ГОСТ 28147-89;
•
контроль целостности данных посредством вычисления имитовставки по стандарту ГОСТ 28147-89;
•
вычисление значения хэш-функции по стандарту ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012;
•
формирование и проверка электронной подписи по стандартам ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012;
•
вычисление ключа согласования Диффи Хеллмана (RFC 4357);
•
полная интеграция с КриптоПро УЦ;
•
безопасное хранение и использование ключей внутри микроконтроллера без возможности извлечения
Применение:
Электронной подпись и средство криптографической защиты информации в российских системах PKI использующих электронную подпись, шифрование и аутентификацию, например:
•
информационные системы органов государственной власти и местного самоуправления;
•
системы защищенного юридически значимого электронного документооборота;
•
системы клиент-банк;
•
электронные торговые площадки;
•
системы сдачи отчетности в электронном виде в исполнительные органы государственной власти;
•
информационные системы предоставления государственных услуг физическим лицам.
•
Сертификация
•
В настоящее время КриптоПро CSP 4.0 ФКН (Gemalto) находится в процессе сертификации по требованиям ФСБ России.
КриптоПро CSP 4.0 ФКН (Gemalto)
Совместное решение КРИПТО-ПРО и Gemalto, представляющее собой программно-аппаратное средство криптографической защиты информации и электронной подписи.
Форм-фактор:
•Стандартная смарт-карт Gemalto IDCore 30
•USB-токен Gemalto IDBridge K30 со смарт-картой формата SIM
15. Идентификация и доступ
•
Market Trends
На сегодня пароль не является эффективным средством защиты
BYOD - это возможность обеспечить более усовершенствованную защиту, используя устройство для процедуры строгой аутентификации
Руководители используют в работе свои собственные устройства (BYOD), обладая доступом к конфиденциальной информации
16. IDProve 300 Mobile - Регистрация
1. Администратор инициирует процесс регистрации IDProve 300 Mobile OTP
1. User Self Service: Пользователь создает запрос на регистрацию на User Portal
2. Пользователь получает письмо с информацией о регистрации
2. QRCode отображается на экране смартфона для активации
17. IDProve 300 Mobile - Активация
2. User Scan QRCode
3. User choose the PIN (if required)
4. Mobile token activated
1. User Accept EULA
18. Аутентификация в одно касание
2. Пользователь вводит PIN
3. Пользователь нажимает “Send Passcode”
1. Пользователь вводит User ID и Password
Сервис ожидает OOB OTP для предоставления доступа
This image cannot currently be displayed.
4. Отсылка OTP
5. OTP отослана, доступ предоставлен This image cannot currently be displayed. This image cannot currently be displayed.This image cannot currently be displayed.
19. Управление несколькими учетными записями
-
Каждый аккаунт запускает генерацию OTP, базируясь на уникальном ключе аккаунта
-
Изменение PIN
-
Добавление/удаление и переименование аккаунта
20. Демонстрация
Гибридная облачная среда
Партнерский портал Gemalto: https://www.esp.gemalto.com
OWA портал компании ISSP https://mail.isspgroup.com/owa
Office 365 компании ISSP
https://portal.office.com
21. Complete Corporate Identity Solution
Потребности заказчика
•Единое решение для визуального, физического и логического доступа
•Бесшовная интеграция с инфраструктурой Microsoft и предоставление бейдж- сервиса для отдельных сотрудников. Предоставленное решение
•Комплексное глобальное решение идентификации. В тесном сотрудничестве с Microsoft достигнута интеграция с продуктами Forefront Identity manager (FIM), дополнительно включающая и OTP аутентификацию начиная с Windows 7 и выше.
•Предоставлен бейдж-сервиса для всех сотрудников Microsoft Успех решения
•Разработано более 100 тыс корпоративных идентификационных бейджей для сотрудников Microsoft по всему миру. И на текущий момент Gemalo занимает первое место в номинации “Identity provider”
22. Замена RSA решения в Amazon Corp
Проблема
После того как RSA SecureID продукты были скомпрометированы и стали достоянием общественности, Amazon принял решение, после многих лет использования RSA, найти более гибкое перспективное решение, которое помогло бы им своевременно развиваться с изменениями потребностей в безопасности.
Основные причины перехода:
•
Высокая стоимость владения RSA (TCO )
•
Забота о безопасности самого решения
•
Требовалось решение, которое поддерживало бы PKI (шифрование email и электронная подпись)
Требование бизнеса (Pain Points)
•
Защита бренда
•
OTP решение для VPN доступа
•
Решение для растущего кол-ва BYOD устройств
Конкуренция
•
ActivIdentity
•
RSA
•
SafeNet
•
Vasco
Описание:
Headquarters: Seattle, WA USA Revenue 2012: $61.09B
Geographical focus/reach: Global Website: amazon.com Number of employees: 88,400
Noteworthy customers: eCommerce, general public
Industry: Catalog & Mail Order Houses
Профиль решения:
Кол-во пользователей с RSA решением: 22,000
Кол-во пользователей с Gemalto решением : > 60,000
Внедрение: Концепция решения Gemalto приводит к полному внедрению OTP
Реализация : 6 Месяцев
Почему Gemalto?
•
Единое решение при низком показателе TCO
•
Универсальность форм-факторов
•
Готовый путь миграции на PKI (Перспективность решения)
•
Существующий успех сотрудничества с AWS (Amazon Web Service)
Что было внедрено?
Полное OTP аутентификационное решение для 60 тыс пользователей на базе:
•
IDProve 100 tokens
•
IDConfirm 1000 (authN server)
Требования интеграции:
•
OATH (Open Standards)
•
Active Directory
•
Cisco VPN
Миграция к смешанному форм- фактору авторизации:
корп. бейжд и мобильное приложение
23. Multi-Function Identity Solution
Потребности заказчика
•Совмещение в решении нескольких функций безопасности в одном идентификационном продукте – “One Card” Project
•Добавление в единое решение и функции бесконтактной оплаты внутри организации Предоставленное решение
•Внедрено решение позволяющее осуществлять физический доступ сотрудников в здания и логический в сеть организации в виде “One Card”
•Внедрено приложение позволяющее сотрудникам использовать смарт-карту для осуществления оплаты услуг автоматов самообслуживания и столовой Успех решения
•Более 6 тыс смарт-карт “One Cards” было предоставлено сотрудникам в первые 6 месяцев проекта при условии соглашения на дальнейшее развитие проекта для всех сотрудников компании (24 тыс)