О функциональности, структуре, применении и преимуществах программного комплекса – сервер аутентификации JaCarta Authentication Server (JAS)

Вигель Антонов

Повсеместная цифровизация, массовый перевод всех видов сервисов в «цифровую» форму при всем их удобстве и доступности в любом месте и в любое время благодаря использованию глобальных телекоммуникационных сетей и мобильных устройств требуют перехода к соответствующим методам проверки подлинности, безопасного доступа, а также защиты идентификационных данных от возможной утраты.

В таких условиях традиционные методы аутентификации, использующие парольную защиту, становятся недостаточными для исключения инцидентов предоставления доступа к информационным ресурсам неверно аутентифицированным сотрудникам. Парольная защита отличается низким уровнем устойчивости к методам ее вскрытия, а также подвержена утрате в силу случайных причин или целенаправленных действий. Кроме того, традиционные методы аутентификации практически не защищены от использования их злоумышленниками.

Сегодня эта проблема решается путем перехода к механизмам мультифакторной аутентификации (multi-factor authentication), суть которого заключается в использовании нескольких методов проверки подлинности клиента (учетной записи) для принятия решения о предоставлении доступа, несвязанных напрямую друг с другом (наиболее практически распространенный случай — двухфакторная аутентификация).

Применение централизованных программных решений позволяет упростить процедуры аутентификации пользователей, облегчая соответственно переход к защищенным методам предоставления доступа к ресурсам информационных систем. Сервер аутентификации представляет собой специализированное программное средство, позволяющее унифицировать и централизовать сервис аутентификации, предоставляя его различным категориям пользователей.

Российский программный комплекс JaCarta Authentication Server (JAS) может быть использован в составе корпоративных информационных инфраструктур для импортозамещения аналогичных систем западных вендоров:

• Thales SafeNet Trusted Access;
• RSA secure ID;
• IBM Verify;
• Auth0 Authentication Platform;
• Frontegg;
• PingIdentity;
• Okta.

Высокопроизводительный сервер аутентификации JaCarta Authentication Server, глубоко интегрирован в платформу JaCarta Management System, что позволяет ему использовать его возможности в информационных системах Enterprise-класса. Корпоративная система управления JaCarta Management System разработана компанией «Аладдин Р.Д.» и внесена в Единый реестр российских программ для электронных вычислительных машин и баз данных, реестровая запись № 11260 от 05.08.2021.

Функциональность

JaCarta Authentication Server отвечает за реализацию ключевого сервиса обеспечения безопасного доступа к ресурсам информационных систем — аутентификации (проверки подлинности) пользователей. Сервисы и процедуры аутентификации в общем виде отвечают за функциональные области, связанные со следующими технологическими задачами в информационной инфраструктуре:

• предоставление доступа (входа) в информационную систему идентифицирующим себя пользователям на основе проверки подлинности, а также верификации учетных данных на основе комплекса различных методов валидации их принадлежности;
• обнаружение и предотвращение первичных инцидентов несанкционированного и неавторизованного доступа к информационным сервисам, а также попыток проникновения и нецелевого использования прикладных информационных систем со стороны лиц, не являющихся целевыми пользователями;
• автоматизация и обеспечение жизненного цикла учетных данных, факторов аутентификации и предоставления инструментов аутентификации в соответствии с требованиями регуляторов, нормативных и руководящих документов.

Сервер аутентификации JAS ориентирован на возможность применения в информационных системах корпоративного уровня и критических «цифровых» сервисах с самыми строгими требованиями к информационной безопасности. JAS тесно интегрирован со смежными ИБ-продуктами компании «Аладдин Р.Д.», что позволяет выстраивать целостную систему информационной безопасности, с рациональным выбором инструментов и сервисов для различных организаций, оптимизируя затраты на ее развертывание и сопровождение.

Особенности и функциональные возможности сервера аутентификации JAS в наибольшей степени представлены в редакции для комплексной платформы JaCarta Management System (JMS и JMS 4LX), сертифицированной корпоративной системы управления средствами аутентификации и электронной подписи, защищенными носителями информации для информационных сред на основе операционных систем семейства MS Windows и Linux.

В составе платформы JaCarta Management System сервер JAS отвечает за функционал инструментов предоставления дополнительных факторов аутентификации, на основе применения различных аппаратных и программных токенов или аутентификаторов. Управление жизненным циклом токенов и аутентификаторов осуществляется в рамках платформы JaCarta Management System. Основная функциональность, собственно, JAS связана с реализацией процедур усиленной аутентификации по одноразовым паролям (OTP) и строгой аутентификации на основе открытого протокола U2F.

Усиленная аутентификация по одноразовым паролям (OTP) включает в себя следующие возможности:

• программные токены HOTP по событию (HOTP согласно RFC 4226) и по времени HOTP (TOTP согласно RFC 6238);
• аппаратные токены OTP (HOTP согласно RFC 4226 и TOTP согласно RFC 6238);
• PUSH-уведомления;
• messaging-токены (SMS);
• одноразовые пароли TelegramOTP;
• учет геолокации для OTP и PUSH.

Строгая аутентификация реализуется путем использования открытого протокола U2F, совместимого и поддерживаемого универсальным USB-токеном JaCarta U2F для использования в качестве второго фактора при парольной аутентификации конечных пользователей онлайн-сервисов, поддерживающих стандарт. Применение протокола U2F позволяет организовать строгую двухфакторную аутентификацию по U2F-токену без разворачивания инфраструктуры открытых ключей (PKI).

JaCarta Authentication Server реализует поддержку программных OTP-аутентификаторов — с помощью собственного мобильного приложения Aladdin 2FA или аналогичных приложений сторонних разработчиков. Программный OTP-аутентификатор представляет собой приложение, предназначенное для генерации одноразовых паролей пользователей для доступа к различным ресурсам. Мобильное приложение Aladdin 2FA реализует функцию безопасной передачи пользовательского аутентификатора на этапе регистрации и позволяет использовать PUSH аутентификацию в качестве второго фактора.

PUSH-аутентификация — это интерактивный механизм аутентификации, где подтверждение входа происходит по нажатию кнопки в приложении Aladdin 2FA или непосредственно в PUSH-уведомлении.

Cервер аутентификации JAS поддерживает возможность работы со следующими видами OTP-токенов:

• мобильное приложение Aladdin 2FA компании Аладдин (обеспечивает работу программных OTP- и PUSH-токенов);
• eToken PASS;
• eToken NG OTP;
• eToken NG OTP (Java);
• JC-WebPass;
• Google Authenticator;
• «Яндекс Ключ»;
• OTP-токены, реализующие спецификации RFC 4226 и 6238.

Возможные варианты режимов аутентификации с применением OTP-токенов:

• только OTP;
• OTP + OTP PIN-код;
• доменный пароль + OTP;
• доменный пароль + OTP + OTP PIN-код.

JaCarta Authentication Server предоставляет возможности:

• двухфакторной аутентификации в среде операционной системы Linux посредством продукта Aladdin SecurLogon (клиент для Linux с поддержкой усиленной и строгой аутентификации, импортозамещение для Microsoft Smart Card Logon);
• двухфакторной аутентификации в среде операционной системы Windows посредством компонента JAS OTP Logon (JOL), представляющего собой дополнительный поставщик учетных данных (Credential Provider), устанавливаемый на клиентской машине требующий для аутентификации пользователя ввода обычного и OTP- паролей.

В комплекте JaCarta Authentication Server предоставляется набор модулей расширения (плагинов) для интеграции служб операционной системы Windows с сервером JAS:

• для сервера политики сети Network Policy Sever (NPS), плагин позволяет использовать одноразовые пароли для аутентификации пользователей в приложениях, использующих протокол RADIUS;
• для Microsoft Remote Desktop Gateway (MS RDG) позволяет пользователям выполнять аутентификацию на шлюзе Microsoft RDG с применением усиленной аутентификации на основе OTP для дальнейшего подключения к удаленному рабочему столу;
• для службы Active Directory Federation Services (AD FS), обеспечивает интеграцию службы AD FS с сервером JAS.
• JAS RADIUS SERVER (JRS) Radius сервер собственной разработки Аладдин Р.Д.

Возможности интеграции сервера аутентификации JAS со смежными и взаимодействующими информационными системами основывается на использовании стандартных протоколов:

• RADIUS, KERBEROS;
• WCF/REST;
• WS-Federation (ADFS)
• HTTP

Интеграция посредством API и встроенных конфигураций позволяет использовать сервер аутентификации JAS для работы со следующими программными и аппаратными комплексам:

• шлюзы удаленного доступа Citrix, Palo Alto, Check Point, Fortinet, NGate;
• межсетевые экраны и VPN шлюзы UserGate, КриптоПро Ngate, Solar SafeConnect, Solar SafeInspect;
• корпоративные порталы и электронная почта Microsoft SharePoint и Microsoft Outlook Web Access.

Данный перечень совместимых устройств и приложений не ограничивается приведенными в списке.

Расширенные функциональные возможности сервера аутентификации JAS в части автоматизации управления аутентификаторами и пользователями реализуются при работе в составе платформы JaCarta Management System:

• реализация профилей (политик), не зависящая от конкретной службы/служб каталогов, используемых заказчиками;
• поддержка всех распространенных служб каталогов;
• централизация управления через единую консоль;
• регистрация пользователей из ресурсных систем, в том числе в автоматическом режиме;
• управление на основе политик с фильтрацией назначения по группам безопасности Active Directory и глобальным группам JMS;
• поддержка атрибутов пользователя только в системе JMS без указания подобных в службе каталогов;
• автоматическое использование ролевой модели JMS для разделения полномочий администрирования;
• автоматизация процессов назначения/отзыва аппаратных и программных аутентификаторов за счет планов обслуживания;
• поддержка сервиса безопасной передачи вектора инициализации.

В части автоматизации управления аутентификаторами можно рассмотреть JAS совместно со специальным механизмом безопасной передачи вектора инициализации Aladdin2FA:

• специальный механизм усиленной безопасности в процессе передачи секрета (вектора инициализации) при использовании сервиса и мобильного приложения Aladdin 2FA (для iOS, Android, Аврора) с целью невозможности повторного использования QR-кода;
• отслеживание состояния OTP-аутентификаторов, выпущенных через сервис Aladdin 2FA;
• отслеживание изменений атрибутов пользователя и обработка изменений в соответствии с политиками;
• автоматический перевыпуск OTP-токенов при изменении учетных данных пользователя;
• автоматическая блокировка неактивных OTP-токенов;
• автоматическая разблокировка OTP-токенов, заблокированных по перебору через определенный промежуток времени;
• предупреждения об исчерпании лимита лицензий JAS для Aladdin 2FA;
• отправка по электронной почте QR-кода, строки ручной регистрации, ссылки на автоматическую регистрацию OTP-аутентификаторов, выпущенных через сервис Aladdin 2FA.

Отчеты, формируемые при работе сервера аутентификации JAS, включают в себя:

• отчеты по действующим на пользователя профилям и привязанным OTP, PUSH и SMS аутентфикаторам;
• выгрузку журнала аутентификаций JAS в машиночитаемом формате;
• выгрузка списка OTP-токенов пользователей в виде отчета.

JaCarta Authentication Server ведет журналы аудита и событий аутентификации (отображение информации об IP адресе клиента и IP адресе Radius сервера, откуда пришел запрос).

Управление сервером аутентификации JAS и использование его сервисов осуществляется через платформу JMS, предназначенную для внедрения и учета аппаратных средств аутентификации и электронной подписи и защищенных носителей информации.

Платформа JMS обеспечивает:

• централизованное управление средствами аутентификации защищенных носителей информации и средств дистанционной работы в течение всего их жизненного цикла (инициализация/выпуск, ввод в эксплуатацию/выдача, обслуживание, вывод из эксплуатации/блокирование);
• учет средств аутентификации, защищенных носителей информации и средств криптографической защиты информации, а также аудит их использования;
• автоматизацию типовых операций и сценариев администрирования в соответствии с политиками безопасности, принятыми в организации;
• режим самообслуживания пользователей без обращения к администраторам.

Возможно использование портала самообслуживания (JMS Web Manager), позволяющего выполнять базовые операции с электронными ключами и аутентификаторами без обращения в службы ИТ и ИБ.

Интерфейс портала самообслуживания (JMS Web Manager)

Преимущества

Достоинством JaCarta Authentication Server является удобство автоматизации процессов при помощи профилей (политик) и планов обслуживания.

JaCarta Authentication Server поддерживает использование, как аппаратных, так и программных токенов. Это дает возможность в единой системе применять различные способы аутентификации на основе аппаратных токенов для автоматизированных рабочих мест, рабочих станций и ноутбуков, а также на основе программных PUSH/OTP/SMS/TG-OTP аутентификаторов для мобильных устройств.

Для корпоративного сектора JaCarta Authentication Server обеспечивает требуемую для больших организаций производительность на основе, вертикального масштабирования серверов системы в части вычислительных ресурсов. Качество программного кода и рациональная архитектура сервера аутентификации JAS позволяет достичь производительности свыше 5000 аутентификаций в секунду на одном сервере в минимальной конфигурации.

Сервер аутентификации JAS поддерживает развертывания в отказоустойчивых кластерных конфигурациях с обеспечением постоянной доступности предоставляемых сервисов. JAS использует отказоустойчивый кластер с моделью «Active-Standby» с применением кластера Corosync (Corosync Cluster Engine) и менеджера ресурсов Pacemaker для синхронизации серверов JAS.

JaCarta Authentication Server позволяет использовать внешние системы управления базами данных в собственных отказоустойчивых конфигурациях. Возможно использование «ванильного» дистрибутива СУБД PostgreSQL, а также поддерживаются использование дистрибутивов Jatoba и PostgresPRO. Кроме того, обеспечивается совместимость с СУБД Microsoft SQL Server 2008 — 2019.

JaCarta Authentication Server является сертифицированным продуктом: сертификат ФСТЭК России № 4516 от 25.01.2022 на соответствие техническим условиям и 4 уровню доверия, что позволяет использовать ее для защиты информации в ИСПДн до 1 уровня включительно и при создании автоматизированных информационных систем до класса защищенности 1Г включительно.

Структура

Автономный сервер аутентификации JaCarta Authentication Server (JAS) имеет структуру, обеспечивающую простоту его развертывания, высокую производительность, отказоустойчивость функционирования постоянно доступного сервиса, а также расширение и интеграцию на основе использования дополнительных модулей (плагинов).

Единый пакет установки серверного компонента JAS, включает в себя сервер бизнес-логики JAS и его консольный агент (только для 64-битных систем). Модули расширения (плагинов) используют собственные пакеты установки.

Сервер, используемый для развертывания JaCarta Authentication Server, должен иметь установленный клиентский компонент соответствующей ресурсной системы (Active Directory, FreeIPA и т.п.). Сервер аутентификации JAS необходимо зарегистрировать в том же домене ресурсной системы, что и связанный сервер платформы JMS.

Для развертывания сервера аутентификации JAS требуется наличие доступной для него системы управления базами данных, которая также должна быть доступна для связанного сервера платформы JMS. СУБД может быть развернута в собственной отказоустойчивый конфигурации, используются совместимые дистрибутивы PostgreSQL.

Серверный компонент JAS совместим и может быть развернут в средах следующих операционных систем (список постоянно пополняется):

• Astra Linux SE 1.6 Смоленск;
• Astra Linux SE 1.7;
• Astra Linux SE 1.8;
• Astra Linux CE 2.12 Орел
• РЕД ОС 7.2, 7.3;
• ALT Linux 8 СП
• ALT Linux 10.

Архитектура сервера аутентификации JAS логически формируется следующими структурными компонентами:

• сервер аутентификации JAS, ядро системы, реализующее функции аутентификации с помощью программных и аппаратных токенов OTP, Messaging (SMS), PUSH и U2F аутентификаторов (позволяет вести отправку событий аутентификаций на сервер Syslog и записывать события в базу данных для последующего аудита);
• база данных на общем с платформой JMS сервере управления базами данных, обеспечивает хранение информации о токенах пользователей;
• JAS Server API, открытый клиентский API, благодаря которому можно реализовать двухфакторную аутентификацию с помощью OTP, Messaging (SMS), Push и U2F-аутентификаторов (интеграция с различными системами)
• Aladdin 2FA Service, сервис безопасной передачи секрета и сервис PUSH-аутентификации.

Автономный сервер аутентификации JAS использует единую консоль управления с платформой JMS.

Применение

Программный комплекс JaCarta Authentication Server (JAS) решает основную задачу создания высокопроизводительного сервера аутентификации корпоративного класса, а также предоставления различных сервисов аутентификации пользователей с возможностью построения кастомизированных процессов аутентификации с примененным необходимых методов, средств и инструментов с высоким уровнем автоматизации и удобства использования.

Сервер аутентификации JAS применяется в составе соответствующей корпоративной платформы JaCarta Management System и использует возможности смежных продуктов экосистемы компании «Аладдин».

JaCarta Authentication Server позволяет создать единый центр предоставления и администрирования безопасного доступа к прикладным приложениям и информационным ресурсам. JAS автоматизирует деятельность администраторов и операторов информационной безопасности, а также предоставляет централизованный платформенный сервис аутентификации командам разработки и целевым пользователям.

Сервер аутентификации JAS может быть использован для решения задачи предоставления безопасного удаленного доступа сотрудникам организаций с распределенной структурой команд, использующими инфраструктуру виртуальных рабочих мест и мобильных устройств с использованием оптимальных инструментов и методов аутентификации.

JaCarta Authentication Server может быть рекомендован для повышения защищенности данных и разграничения доступа к информационным ресурсам в различных прикиданных системах электронного документооборота, медицинских информационных системах, биллинговых системах, а также в программном обеспечении для банковских и кредитно-финансовых учреждений.

Продукт JAS компании «Аладдин Р.Д.» доступен в Merlion. На виртуальном полигоне дистрибьютора можно детально ознакомиться с продуктами и записаться на демонстрацию >>>

Материал предоставлен директором технического центра Вигелем Антоновым.