САКУРА — программный комплекс, обеспечивающий соответствие подключаемых к инфраструктуре клиентов требованиям по информационной безопасности, принятым в компании. В обновлённой версии САКУРА 2.30.1 появилось собственное мобильное приложение для двухфакторной аутентификации.
Введение
Модель «нулевого доверия» (Zero Trust) уже несколько лет является одной из основных при построении корпоративных ИТ-архитектур. Принцип заключается в том, что пользователям выделяется минимум необходимых привилегий, а каждое подключаемое к сети устройство должно пройти тщательную проверку на соответствие корпоративным требованиям. В свою очередь, ИТ-подразделение должно иметь возможность управлять устройствами и приложениями. Внедрять концепцию Zero Trust весьма трудно: требуется большое количество трудовых и материальных ресурсов. В Российской Федерации эта задача осложняется необходимостью импортозамещать продукцию лидеров зарубежного рынка (Cisco, Fortinet и др.).
Одним из отечественных инструментов для реализации этого принципа является программный комплекс САКУРА. Кроме упомянутой ранее двухфакторной аутентификации, САКУРА обеспечивает выполнение ряда задач: контроль доступа к корпоративным ресурсам, соответствие удалённых рабочих мест внутренним политикам безопасности, инвентаризация оборудования и ПО на подключаемых хостах, мониторинг действий сотрудников на рабочих местах. Это решение класса ZTNA интегрируется с российскими VPN-шлюзами «КриптоПро NGate», ViPNet и S-Terra.
Архитектурно САКУРА делится на агентскую и серверную части и совместимо как с зарубежными, так и с отечественными операционными системами: Astra Linux, ALT Linux, РЕД ОС. При подключении к корпоративным ресурсам сервер, используя установленный на подключающемся хосте агент, собирает информацию о целом ряде параметров: ОС и её версия, наличие важных обновлений безопасности, присутствие антивируса и дата последнего обновления его баз и др. Всего таких параметров насчитывается более трёхсот. По итогам сравнения собранных сведений с установленными политиками сервер принимает решение о предоставлении доступа к корпоративным ресурсам.
Рисунок 1. Категории параметров безопасности, проверяемых САКУРА
Рисунок 2. Архитектура САКУРА
Программный комплекс позволяет настроить сценарии, при которых нарушение политик безопасности приводит как к формированию инцидента в информационной безопасности, так и к отключению хоста от корпоративной сети и его переводу в разряд недоверенных.
Практическое применение двухфакторной аутентификации при использовании САКУРА
В обновлённой версии САКУРА 2.30.1 к существующему в системе модулю двухфакторной аутентификации добавилась поддержка мобильного приложения САКУРА. Теперь удостоверить личность можно через него или через телеграм-бот.
Типовая схема работы при подключении по VPN с использованием САКУРА — следующая. ПК по умолчанию может подключаться только к «демилитаризованному» сегменту, в котором находятся сервер САКУРА и сервер обновлений. Для проведения операции сотрудник подтверждает подключение через приложение САКУРА либо телеграм-бот, после чего ПК проходит проверку на соответствие заданным параметрам. При положительном результате машина перемещается в соответствующую доменную группу и получает доступ к необходимым информационным ресурсам; при отрицательном — запрос отклоняется.
В зависимости от настройки системы пользователю может быть назначен один из следующих типов «провайдеров»: «чёрный список» — для пользователей, которым всегда запрещено удалённое подключение по VPN; «белый список» — для пользователей, которым всегда разрешён доступ и не требуется проверка второго фактора; «Telegram» — для подтверждения подключения через телеграм-бот; последний тип — провайдер мобильного приложения САКУРА.
Рисунок 3. Схема подключения ПК к корпоративным ресурсам с подтверждением через 2FA САКУРА
Рисунок 4. Настройка политик двухфакторной аутентификации в программном комплексе САКУРА
При необходимости можно присвоить разные типы провайдеров аутентификации разным группам сотрудников. Это потребуется в том случае, если в организации есть работники, у которых, например, нет возможности установить приложение САКУРА. Тогда им можно назначить в качестве провайдера телеграм-бот.
Рисунок 5. Настройка групп пользователей 2FA
Рассмотрим более подробно варианты подключения к инфраструктуре с использованием двухфакторной аутентификации.
Регистрация и подключение пользователя с применением двухфакторной аутентификации впервые
Когда пользователь подключается к системе САКУРА впервые, начинается процесс первичной регистрации в системе. Если в качестве провайдера выбран Telegram, пользователю направляется сообщение о необходимости поиска соответствующего бота. Когда бот будет найден, понадобится ввести уникальный код, сгенерированный сервером САКУРА для регистрации. После этого подтверждение подключения по VPN будет производиться в телеграм-боте.
Рисунок 6. Запрос подтверждения подключения к инфраструктуре в телеграм-боте
Текст для телеграм-бота индивидуализируется и может быть настроен под требования заказчика.
Для подтверждения подключения в мобильном приложении САКУРА необходимо установить его на мобильное устройство и зарегистрироваться с использованием уникального кода, указанного в инструкции.
Рисунок 7. Регистрация в мобильном приложении САКУРА
После регистрации в приложении пользователю остаётся подтвердить или опровергнуть подключение.
Рисунок 8. Запрос подтверждения подключения к инфраструктуре в мобильном приложении САКУРА
Преимущества использования мобильного приложения САКУРА при двухфакторной аутентификации
После эпидемии коронавируса многие компании не стали возвращать сотрудников с «удалёнки», приняв этот формат работы. Однако зачастую для таких работников есть условие: удалённое подключение должно производиться с территории Российской Федерации.
При использовании мобильного приложения САКУРА возможен сбор информации о географических координатах пользователя. Это даёт возможность сопоставить места расположения мобильного устройства и АРМ и при их существенном несовпадении сформировать инцидент либо запретить подключение.
Ещё одним преимуществом использования мобильного приложения является хранение всей информации на управляемых заказчиком серверах, в то время как использование внешних сервисов несёт угрозу компрометации информации третьим лицом.
Отчёты САКУРА по использованию двухфакторной аутентификации
САКУРА имеет несколько форм отчётов по эксплуатации этого модуля. График подключений может быть полезен при анализе работоспособности двухфакторной аутентификации и выявлении попыток компрометации учётных записей.
Рисунок 9. Отчёт с графиком подключений в САКУРА
Отчёт по истории аутентификаций позволяет детально проанализировать временные промежутки аутентификации конкретных пользователей, виды используемых ими провайдеров, результаты аутентификации и местоположение мобильного устройства, на котором установлено приложение САКУРА.
Рисунок 10. Отчет об истории аутентификаций в САКУРА
Рисунок 11. Определение геолокации сотрудника при использовании мобильного приложения САКУРА
Выводы
Программный комплекс САКУРА позволяет выстроить контроль подключаемых к инфраструктуре устройств с точки зрения информационной безопасности и обеспечить реагирование на их несоответствие требованиям — начиная от предупреждения пользователя и офицера безопасности и заканчивая автоматическим отключением хоста от сети организации.
Внедрение модуля двухфакторной аутентификации позволяет увеличить уровень защищённости пользовательских учётных записей в случае их компрометации, а функция сопоставления геолокаций мобильного устройства пользователя и его компьютера — выявить попытки использования украденных учётных данных или случаи обмана со стороны недобросовестных сотрудников.
Ещё одним преимуществом системы является возможность работы на отечественных операционных системах Astra Linux, ALT Linux и РЕД ОС, что расширяет возможности компаний при импортозамещении.