Андрей Шпаков: О настоящем и будущем аутентификации на российском рынке

В начале февраля в прямом эфире AM Live мы обсуждали с экспертами российских ИБ-компаний состояние рынка средств многофакторной аутентификации, а также возросшую активность вендоров, работающих в этом направлении. О том, как изменились ожидания пользователей и какие сложности побудили Компанию «Актив» инвестировать в развитие линейки продуктов для MFA, мы поговорили с Андреем Шпаковым, руководителем проектов по информационной безопасности. 

Андрей, в Компании «Актив» вы отвечаете за развитие средств аутентификации и защиты доступа как направления. Расскажите, пожалуйста, об интересных проектах. Чем сейчас занимается ваша компания? Какие вызовы рынка вы считаете наиболее актуальными для себя? 

А. Ш.: Сейчас наше внимание приковано к технологии Passkey, которая является частью стандарта FIDO и активно развивается. Passkey — это очень мощный рывок к соблюдению концепции Zero Trust. Такого мнения придерживаемся не только мы, но и многие игроки на рынке аутентификации. Особенно приятно, что наша компания первой в России освоила Passkey и выступила её евангелистом.

В прошлом году мы анонсировали «Рутокен MFA» — новую линейку аппаратных аутентификаторов, работающих по стандарту FIDO2. В ней представлены очень симпатичные миниатюрные USB-токены с датчиком касания. Последние относятся к очевидным отличиям этих токенов от привычных PKI-аутентификаторов и дают возможность доказать, что пользователь находится рядом с устройством.

Также мы разработали технологии, которые позволили нам создать современные устройства «Рутокен ЭЦП 3.0», поддерживающие работу через NFC. Доступны разные варианты: и привычные смарт-карты, и прогрессивные форматы вроде брелка, и даже керамические кольца для ношения на пальце.

Сейчас мы активно развиваем экосистему продуктов «Рутокен MFA», налаживаем нужные связи, потдверждаем совместимость с решениями ключевых российских вендоров. Наша задача — сделать так, чтобы большие популярные сервисы предлагали пользователям защищать свои учётные записи с помощью FIDO2-совместимых устройств, а разработчикам сервисов было понятно, как добавить наш продукт в свою структуру.

На сегодняшний день мы добились немалых успехов: пользователи могут задействовать устройства «Рутокен MFA» при работе с учётными записями на Mail.ru, во ВКонтакте и на Яндексе. Вместе с нашими партнёрами, ведущими российскими производителями систем управления правами доступа и учётными записями пользователей (Identity and Access Management, IAM), мы существенно расширили возможность применения FIDO2 в корпоративной инфраструктуре. Теперь «Рутокен MFA» можно активизировать, обращаясь к ресурсам, поддерживающим протоколы OpenID Connect + OAuth 2.0, а также SAML.

Ещё одно большое направление нашей работы — поддержка надёжной двухфакторной аутентификации в Linux. 

Расскажите, пожалуйста, в чём заключается проблема с аутентификацией в Linux?

А. Ш.: Ни для кого не секрет, что сейчас вместо рабочих мест Windows крупные корпорации активно устанавливают продукты на Linux. И это понятно: никто не хочет выстраивать инфраструктуру с нуля, по большей части предпочитают сохранять привычные инструменты, но в оболочке Linux. Неплохой результат получается с Office, почтовым клиентом и веб-браузером: интерфейсы у них довольно стандартные и привычные. Более серьёзные проблемы возникают на уровне домена. 

Если у заказчика всё ещё в ходу контроллер домена на Windows Server, то добавить в него рабочую станцию на Linux — задача хоть и не сложная, но совершенно не похожая на аналогичную с Windows и к тому же требующая знания некоторых «заклинаний» в командной строке. Однако если в Windows настроить вход в домен по смарт-карте или USB-токену можно за один день, то на Linux вам придётся собрать сложный пазл из различных модулей, плохо документированных и не очень совместимых между собой. Те, кто справляется с задачей своими силами, — просто герои. 

Довольно сложная ситуация возникает, когда контроллер домена у заказчика тоже импортозамещён и переведён на Linux. Хорошо известно, что на рынке существуют распространённые контроллеры доменов, например FreeIPA и Samba DC. В то же время у производителей отечественных ОС есть свои варианты: ALD Pro, «РЕД АДМ», «Альт Домен».

У всех этих контроллеров доменов есть ряд особенностей и отличий, если сравнивать с привычным Active Directory. И то и другое усугубляет необходимость использовать отдельный центр регистрации (удостоверяющий центр). 

Проанализировав эти «боли», мы решили аккумулировать весь наш опыт по настройке аутентификации в настольных решениях и предложить рынку новинку — «Рутокен Логон» для Linux. Продукт позволяет системному администратору ввести рабочую станцию в домен с помощью одной-двух команд, выпустить сертификат с неизвлекаемым ключом на токене или смарт-карте и отрегулировать Linux-подсистему аутентификации так, чтобы она функционировала с этим сертификатом. 

Если у заказчика нет своего удостоверяющего центра, на токен записывается длинный и сложный пароль, состоящий из 63 символов. Такова максимальная длина, поддерживаемая современными доменами. Пользователю не под силу запомнить его, но этого и не требуется. Ему достаточно помнить только короткий PIN-код, который защищён средствами токена от перебора. Усиление защиты за счёт нашего продукта совместимо с существующими парольными политиками контроллеров доменов, например с ротацией пароля раз в три месяца.

Очень удобно, но почему никто до вас этим не занимался? Есть ли аналоги у «Рутокен Логон»?

А. Ш.: Главный аналог и конкурент нашего продукта — это ручной труд системных администраторов. Почти всё, что он делает, специалист может выполнить, лично исправляя десятки конфигурационных файлов. Допустим, у кого-нибудь есть время и нервы, а главное, желание всё это чинить в случае поломки при обновлении операционной системы. 

Даже таким заказчикам нам есть что предложить. К их услугам централизованное логирование, принудительная смена PIN-кода по умолчанию, современный и красивый локскрин с экраном блокировки «из коробки» в модном корпоративном стиле, с широкими возможностями брендирования и стилизации. 

Сама по себе идея близка к тому, что предлагают производители IAM-систем. В случае Windows-систем хорошим тоном считалось предусмотреть специальное программное обеспечение для IAM, так называемые агенты. Последним предоставлены повышенные права в операционной системе: они могут распространить сертификат, заменить его, перевыпустить, выполнить какие-то небольшие системные настройки. Такой функциональности вполне хватало, чтобы с помощью агента переключать настройки аутентификации в Windows. 

К сожалению, не у всех производителей IAM Linux агенты находятся в зрелом состоянии. Если соответствующее программное обеспечение может хотя бы контролировать пользовательский сертификат, это уже хорошо. Фактически у нас синергия с IAM-вендорами. Они контролируют и доставляют на рабочее место сертификат, а мы используем его для настройки подсистемы аутентификации.

Как я уже и говорил, если у заказчика нет IAM-системы, «Рутокен Логон» способен сам запросить сертификат у центра регистрации и зарегистрировать его в домене.

Сейчас примерно половина наших заказчиков рассматривают применение продукта «Рутокен Логон» для Linux вместе с IAM-системой, а другая половина — без неё. Поэтому мы с одинаковым упорством работаем над тем, чтобы обеспечить поддержку обеих схем работы. 

Андрей, какие у вас планы по развитию «Рутокен Логон» для Linux?

А. Ш.: Сейчас главное для нас — это поддержка всех доступных на нашем рынке операционных систем и доменов. Здесь мы верны своему общему принципу: «Рутокен» должен работать везде и с любыми системами. Заказчики эксплуатируют разные системы, а некоторые — даже отличающиеся версии одной и той же системы. 

Различия между ними бывают довольно значительные. Сейчас на российском рынке нет корпорации Microsoft. Стоит сказать, что её разработчики потом и кровью поддерживают совместимость Windows от XP до Windows 11, благодаря чему написанная 15 лет назад программа для Windows функционирует до сих пор. В Linux завтра может сломаться то, что хорошо действовало ещё в прошлом году. Поэтому поддержка совместимости и обеспечение непрерывной работоспособности — это наши приоритеты. 

Много внимания мы уделяем расширению возможностей кастомизации для заказчика, улучшению логирования и мониторинга, а также поддержке различных аутентификаторов, например «Рутокен OTP» и «Рутокен MFA». Важно отметить, что уже сейчас мы сопровождаем устройства «Рутокен» и JaCarta, то есть предоставляем заказчику выбор, какие аутентификаторы использовать.

На третьем месте — работа с прикладными решениями в интересах заказчика уже упомянутых IAM-систем и систем управления жизненным циклом ключей и сертификатов. Чтобы наши клиенты могли применять многофакторную аутентификацию в течение всего её существования, необходимо обеспечить широкую и, по возможности, бесшовную интеграцию с такими системами.

И ещё один важный момент: мы очень серьёзно тестируем совместимость с отечественными центрами сертификации (удостоверяющими центрами), заменяющими аналогичную структуру Microsoft, так как видим, что многие наши заказчики начали активно мигрировать на них. 

Андрей, спасибо за интервью! Было очень интересно и познавательно. Удачи в развитии всех ваших проектов!