Журнал "Information Security/ Информационная безопасность" #5, 2024

Во-первых, можно воспользоваться встроенными средствами ОС для под- держки токенов и смарт-карт. Этот вари- ант можно назвать условно бесплатным, но поскольку операционные системы на базе Linux не имеют механизмов быстрой настройки аутентификации, то все опе- рации придется проводить вручную на каждом рабочем месте. Второй вариант – это использование IAM-системы. Такой вариант существен- но расширит возможности аутентифи- кации. Однако, внедрение IAM – процесс достаточно долгий и требующий от заказчика определенных организацион- ных действий. Компания "Актив" разработала третий, промежуточный вариант – Рутокен Логон. Это ПО существенно снижает усилия на настройку двухфакторной аутентификации в Linux, расширяя при этом функциональность системы, и сто' ит относительно недорого. Рутокен Логон предназначен для рас- ширения возможностей аутентификации операционных систем на базе Linux и сокращения затрат на настройку аутен- тификации для инфраструктур любого размера. Аутентификация возможна по сертификату, либо по длинному и слож- ному паролю (63 символа), который хра- нится на токене. В таком сценарии поль- зователю известен только короткий PIN- код от токена, но не сам пароль. В первом релизе Рутокен Логон под- держиваются три самых популярных рос- сийских операционных системы (Astra Linux, РЕД ОС и ОС "Альт") и все акту- альные контроллеры домена на россий- ском рынке (Active Directory, ALD Pro, FreeIPA, SambaDC). ПО позволяет настраивать 2FA по сертификату и паро- лю на токене или смарт-карте и устанав- ливать политики безопасности при извлечении токена, а также имеет свои экраны входа и блокировки компьютера. При этом готовятся инструменты, кото- рые позволят централизованно и гибко масштабировать внедрение для боль- шого количества рабочих мест. Плани- руется также интеграция продукта с системой управления ключевой инфор- мацией Рутокен KeyBox. Выход Рутокен Логон запланирован на I квартал 2025 г. Помимо задачи защиты входа поль- зователя в свое рабочее место, аутен- тификаторы Рутокен решают и другие задачи. Аутентификация в СЗИ от НСД Чаще всего задача защиты рабочих станций реализуется с помощью аппа- ратных модулей доверенной загрузки или средств защиты от несанкционированного доступа. Ключевые носители Рутокен ЭЦП 3.0 позволяют идентифицировать и аутентифицировать пользователей и администраторов в такие средства. Токены и смарт-карты Компании "Актив" поддерживаются во всех отече- ственных продуктах этого класса, вклю- чая замки "Соболь", "Аккорд", комплексы VipNet SafeBoot и Safepoint, DallasLock, Secret Net и Secret Net Studio и многие другие. Беспарольный FIDO2 для защиты веб-приложений Существует много подходов для защи- ты доступа в веб-приложения, но наибо- лее инновационным и удобным является использование технологии FIDO2. FIDO2 – часть спецификации WebAuthn, которая была разработана консорциумом FIDO Alliance для реали- зации беспарольной аутентификации пользователей в Интернете. В основе технологии лежит стойкая ассиметрич- ная криптография, соответствующая международным стандартам. Как же работает такое решение? 1. На веб-сервис добавляются биб- лиотеки для поддержки спецификации FIDO2, либо заказчик использует IAM- систему с поддержкой данного стан- дарта. 2. Далее пользователям раздаются пустые токены, которые они могут купить сами или получить в своей организа- ции. 3. В настройках своей учетной записи на веб-ресурсе пользователь выбирает опцию "добавить ключ безопасности", используя браузер. После нескольких несложных действий ключ оказывается добавленным, и пользователь может входить в свою учетную запись без ввода логина и пароля. Достаточно про- сто вставить ключ, ввести PIN-код и нажать на сенсорную кнопку. Такой подход называется беспароль- ной (passwordless) аутентификацией и максимально просто реализуется для пользователя, поскольку не требует уста- новки каких-либо драйверов практически на всех современных операционных системах и в браузерах. Рутокен MFA – первая и пока един- ственная линейка отечественных устройств на базе технологии FIDO2. Она предназначена для замены "ушед- ших" из России ключей, таких как Yubikey и Feitian. Аутентификация в облачных сервисах Разработчики уделяют особое внима- ние вопросам интеграции устройств Рутокен с разнообразными сервисами. Продукт Рутокен MFA полностью совместим с отечественными опера- ционными системами и способен рабо- тать не только в корпоративной домен- ной структуре, но и предоставляет воз- можность входа в локальные учетные записи на компьютерах. Более того, совместно с ведущими российскими ИТ-компаниями, такими как VK и Яндекс, реализована поддержка интеграции аутентификатора Рутокен MFA с провайдерами аутентификации VK ID и Яндекс ID. Сегодня Яндекс ID активно используется в экосистеме сер- висов Яндекса, а VK ID обеспечивает аутентификацию в более чем пятнадцати облачных системах. Кроме того, популяр- ные сервисы, включая Mail.Ru и плат- форму Nextcloud, уже поддерживают решение Рутокен MFA. Аппаратные или программные аутентификаторы? При выборе решения для аутентифи- кации заказчики неизменно сталкивают- ся с дилеммой: отдать предпочтение программным или аппаратным сред- ствам? Оба подхода имеют свои достоинства и недостатки, и выбор зави- сит от конкретных задач и приоритетов. Однако аппаратные решения обладают рядом преимуществ, которые делают их особенно привлекательными. 1. Аппаратные устройства обеспечи- вают максимальную защиту благодаря ограниченному числу векторов атак. Их операционная система закрыта, а взаи- модействие с ними возможно исключи- тельно через безопасные интерфейсы. 2. В отличие от программных решений, аппаратные устройства надежно защи- щают ключевые данные. Их извлечение с помощью вредоносного программного обеспечения невозможно. 3. Аппаратные решения значительно меньше зависят от операционных систем на рабочих станциях, ноутбуках, план- шетах или смартфонах. Они мобильны, удобны в транспортировке и эффектив- ны в условиях, где внедрение программ- ных решений затруднено. 4. Для работы с аппаратными сред- ствами, такими как токены или смарт- карты, требуется лишь небольшая уни- версальная библиотека. В некоторых случаях, например, с использованием технологии FIDO, дополнительное про- граммное обеспечение и вовсе не нужно. Кроме того, аппаратные устройства нередко оснащены дополнительными уровнями защиты. Например, они могут использовать сенсорные кнопки для под- тверждения операций, что позволяет убедиться в физическом присутствии пользователя. В заключение Устройства Рутокен являются передо- выми аппаратными средствами пользо- вательской аутентификации на россий- ском рынке. Совместно с другими сред- ствами защиты они обеспечивают пол- ный цикл MFA и позволяют решить любую задачу заказчика в этой обла- сти. Реагируя на текущие потребности рос- сийских организаций, Компания "Актив" создает не только аппаратные, но и про- граммные решения. В частности, такие продукты, как Рутокен Логон, позволяют реализовать комплексный подход к MFA, сочетая удобство использования с высо- кой степенью надежности в управлении аутентификацией. l • 53 Безопасный Linux www.itsec.ru На правах рекламы