Дистрибьюция Решений
Дистрибьюция Защищённый узел Аудит систем безопасности Статьи
он-лайн поддержка контакты о компании

Дистрибьюция > RSA Security > Управление доступом к WEB-ресурсам

Управление доступом к WEB-ресурсам

1. RSA ClearTrust

Система RSA ClearTrust, разработанная компанией RSA Security, является эффективным, унифицированным решением для управления аутентификацией и авторизацией пользователей при доступе к WEB ресурсам.

Использование ClearTrust позволяет:

  • построить систему однократной аутентификации пользователей в информационной системе, при которой будет обеспечен персонифицированный доступ к информации для сотрудников, заказчиков и деловых партнеров компании;
  • упростить и автоматизировать процесс управления аутентификацией и авторизацией пользователей, с помощью использования интуитивно понятного интерфейса управления и ролевого управления доступом пользователей;
  • легко развернуть решение, которое объединит требуемые сервисы для реализации централизованного контроля и управления пользовательскими привилегиями доступа к веб-приложениям, основанными на статусе пользователя, бизнес-правилах и политике безопасности;
  • предоставить для разнородных Web-серверов и серверов приложений единый унифицированный интерфейс управления , который не зависит от типа Web-сервера и сервера приложений, и не зависит от используемой на сервере операционной системы.

    Кроме неоспоримого удобства для пользователей и администраторов, использование ClearTrust для реализации единой аутентификации выгодно еще и по следующим причинам:

  • ClearTrust позволяет обеспечить единую аутентификацию независимо от типа (платформы, производителя) WEB серверов и серверов приложений.
  • Единая аутентификация будет реализована с помощью ClearTrust независимо от того, имеют ли серверы приложений и web-серверы собственные подобные штатные средства или нет.
  • В настоящее время система ClearTrust имеет широкий спектр поддерживаемых платформ; кроме того, открытая структура API (application programming interface - программный интерфейс приложения) позволяет сделать ClearTrust совместимым практически с любой платформой. Система ClearTrust может быть встроена в любой сервис или в любое приложение.

    2. Компоненты RSA ClearTrust.

    RSA ClearTrust состоит из следующих компонентов:
    • Entitlements Server (Сервер управления правами),
    • Authorization Servers - Серверы авторизации -(один основной и один архивный)
    • Dispatcher (Диспетчер )/Key Server (Сервер ключей),
    • Entitlements Database (База данных Прав Доступа)
    • Entitlements Manager - Менеджер управления правами - (Java Client версия или Web UI версия).

    Следующая диаграмма показывает все требуемые компоненты и их высокоуровневую архитектуру:


    2.1.1 Сервер управления правами (Entitlements Server)
    Сервер управления правами ( Entitlements Server ) - центральный сервер, реализующий административную функциональность в системе RSA ClearTrust. Все изменения в политике безопасности в БД управления правами ( Entitlements Database ) реализуются через Entitlements Server. Всякий раз когда Вы изменяете информацию о пользователе (группе пользователей), защищаемом ресурсе и политике безопасности, для того чтобы обновления начали действовать немедленно, Вы можете очистить кэшированные данные на серверах авторизации (Authorisation Servers).

    2.1.2 Серверы авторизации (Authorisation Servers)
    Серверы авторизации ( Authorisation Servers ) реализуют аутентификацию и авторизацию в реальном времени. Когда пользователь пытается получить доступ к ресурсу, Authorisation Server решает, по существу, две проблемы:
    • с использованием установленного метода аутентификации убеждается, что пользователь именно тот, за кого он себя выдаёт
    • проверяет - имеет ли этот пользователь право доступа к этому ресурсу.
    Для реализации этого, Authorisation Server использует информацию о пользователе, о ресурсе и о политике безопасности, находящуюся в Entitlements Database. При этом, все одобренные запросы кэшируются в Authorisation Server, тем самым улучшая произволительность сервера в режиме реального времени. При стандартной установке RSA ClearTrust, устанавливаются: один основной Authorisation Server и один Authorisation Server горячего резерва.


    2.1.3 Диспетчер авторизации (Authorisation Dispatcher) / Сервер ключей (Key Server)

    Диспетчер ( Dispatcher ) реализует две функции:
    • отслеживает все доступные Authorisation Servers;
    • При поступлении запроса на доступ от Web Server Agent, Диспетчер (Dispatcher) перенаправляет запрос ближайшему доступному Authorisation Server.
    Сервер ключей ( Key Server ) - это отдельный процесс, который периодически генерирует новые токены ключей шифрования (или сессионные ключи). Агенты делают запросы к Key Server для получения последнего сгенерированного ключа. Когда пользователь аутентифицируется в системе RSA ClearTrust, то ему издаются токены для его аутентификации при будущих взаимодействиях с системой. Данные токены - по существу небольшие зашифрованные элементы данных которые содержат сессионную информацию. Для того, чтобы любой RSA ClearTrust Agent мог расшифровать любой сессионный токен, даже токен который был сгенерирован для других Agents, то они все должны использовать один и тот же ключ шифрования. По причинам безопасности этот ключ изменяется достаточно часто.

    2.1.4 База данных Прав доступа (ClearTrust Entitlements Database)

    База данных Прав Доступа ( Entitlements Database ) - это центр управления системой RSA ClearTrust. Здесь хранится вся информация о пользователях, защищаемых ресурсах и политике безопасности. Вы можете внести изменения в базу данных при помощи либо инструментов Entitlement Manager, либо при помощи Administrative Application Programming Interface (API). Имеется возможность импортировать существующие директории, такие как LDAP, в базу данных прав, используя Directory (LDAP) Replication Manager. Вы можете сконфигурировать информацию об этом соединении любым образом, который позволит Вам контролировать местоположение и использовать систему управления реляционными базами данных (RDBMS) для разворачивания Entitlements Database.

    Объектная модель RSA ClearTrust ( RSA ClearTrust Object Model ) может быть вставлена в существующую БД если новая инсталляция не требуется. С RSA ClearTrust поставляется Oracle 8.1.6, если Вы не имеете RDBMS.

    2.1.5 Агент WEB ресурсов RSA ClearTrust (RSA ClearTrust Web Server Agent)

    Агенты RSA ClearTrust (RSA ClearTrust Agent) соответствуют имеющимся архитектурам web серверов. Например, имеются модули для Apache, фильтр для Microsoft IIS, plug-ins для Netscape, и так далее. В данном обзоре решения они упоминаются как Агенты (Agents) или Агенты Web Server (Web Server Agents).

    По существу, Агенты замещают или дополняют имеющиеся защитные механизмы WEB серверов. RSA ClearTrust -Агенты (Web Server Agent) работают на той же машине, что и сам WEB сервер и вызываются всякий раз когда web-серверу необходимо определить права доступа для частного Uniform Resource Identifier (URI). Агент RSA ClearTrust (Web Server Agent) перенаправляет запрос на предоставление доступа к RSA ClearTrust Authorisation Server и затем передает ответы, которые он получил назад web серверу.

    2.1.6 Менеждер управления правами RSA ClearTrust (RSA ClearTrust Entitlements Manager)

    Менеджер управления правами (Entitlements Manager) - это административный инструмент который Вы можете использовать для управления данными которые в свою очередь управляют всей системой RSA ClearTrust. Из менеджера управления правами (Entitlements Manager) вы можете устанавливать группы и роли, добавлять пользователей, указывать как защищать ресурсы и определять Ваши политики безопасности.

    Web User Interface (UI). Это web-основанное приложение, которое Вы можете установить на сервер приложений (или сервлет). Ваши Администраторы безопасности (Security Administrators) таким образом могут иметь доступ к Менеджеру управления правами (Entitlements Manager) с любого компьютера через браузер.


    3 Важность сильной аутентификации

    3.1 Необходимость в защищенной аутентификации

    В век информационных технологий организации по всему миру меняют способы ведения бизнеса. Конкуренция и быстро развивающаяся новая среда делового общения вынудили организации открыть свои сети и вести свой бизнес с использованием электронных методов хотя бы только для того, чтобы быть конкурентно способными. Как следствие, Интернет приобретает большое значение, предоставляя гибкий и недорогой способ проведения электронных операций. Этот подход помогает организациям работать более эффективно и рационально, предоставляя доступ к корпоративной информации способом, о котором они никогда и не мечтали.

    Однако, как только организация открывает свою сеть широкому кругу удаленных пользователей - включающему свой собственный мобильный персонал, клиентов, деловых партнеров, посредников и поставщиков - она одновременно подвергает опасности ценную информацию, доступ к которой должен буть строго контролируемым. В такой ситуации приходится уделять более пристальное внимание вопросам информационной безопасности - контролируя кто, когда и к каким данным получает доступ. Коротко говоря, надо знать, с кем вы ведете бизнес, и если вы этого не знаете, то подвергаете себя большому риску.

    Один из способов обеспечить безопасность - это использовать надежные средства аутентификации как неотъемлемую часть политики безопасности. Аутентификация представляет из себя идентификацию пользователя на основе того, что он знает и того, чем он владеет - такая аутентификация называется двухфакторной - или чего-то, кем он является (биометрическая). Наиболее распространенная форма аутентификации - обычные пароли - это то, что пользователь знает. К сожалению, пароли создают слабую защиту, так как они могут быть легко раскрыты или разгаданы (наиболее распространенный пароль - "пароль). Политика безопасности, основанная на одних паролях, делает организацию уязвимой.

    Кроме того, с юридической точки зрения, позиция организации, делающей выбор в пользу паролей, бесперспективна. Связано это с тем, что в случае мошенничества, организация не сможет предоставить суду свидетельства того, что пользователь совершил должностной проступок. Пользователь может заявить, что пароль был разгадан и отрицать свое соучастие в мошенничестве, либо отклонить обвинение в халатности. Организация же не сможет выиграть это изначально слабое дело, т.к. доказать, что пароль пользователя не был разгадан а передан мошенникам им самим, практически невозможно.


    Двухфакторная аутентификация является единственным методом защиты, при котором организации могут однозначно идентифицировать человека, находящегося на противоположном конце электронной операции. Двухфакторная аутентификация обеспечивает более сильную защиту сети по сравнению с традиционным паролем, объединяя то, что пользователь знает (секретный PIN) и то, чем он владеет (аутентификатор или код токена). Взломать систему, основанную на двухфакторной аутентификации практически невозможно.

    3.2 Устойчивая двухфакторная аутентификация RSA SecurID


    3.2.1 Общее описание

    Этот ряд продуктов по двухфакторной аутентификации обеспечивает надежную защиту от несанкционированного доступа, а в сочетании с Сервером RSA ACE , представляет собой наилучшее, из существующих на рынке, решение в сфере информационной безопасности. Оно включает в себя широкий выбор аутентификационных устройств таких, как персональные аутентификаторы (токены), смарт карты и программные токены.

    Технология RSA SecurID дает платформо-независимое, проверенное и простое в использовании решение, защищающее сегодня информационные системы 100 ведущих мировых компаний с более чем десятью миллионами пользователей по всему миру.

    Технология RSA Keon является единственным решением, позволяющим провести полное объединение с существующей инфраструктурой аутентификации RSA SecurID. Кроме того, предложенное решение RSA Keon уникально в возможности использовать "виртуальные смарт карты" для распределения сертификатов среди аутентифицированных пользователей.

    3.2.2 Технология RSA SecurID

    Существует несколько способов организации защиты информационной среды предприятия. Она может быть либо всеобъемлющей, когда доступ к любому ресурсу должен быть аутентифицирован, либо продумана таким образом, чтобы защитить наиболее важные элементы инфраструктуры от конкретных угроз. Один сервер ACE может выполнять любую или все перечисленные функции:
    • Аутентифицирует удаленных пользователей входящих в систему через сервер удаленного доступа по коммутируемым линиям (dial-up)
    • Аутентифицирует запросы проходящие во внутреннюю сеть из Интернета через Виртуальные Частные Сети (VPN) или через межсетевые экраны.
    • Аутентифицирует доступ ко всем ресурсам сети предприятия (всех сотрудников, либо группы сотрудников, либо только тех, кто запрашивает данные, требующие определенного уровня доступа).
    • Защищает конфиденциальную информацию в интра- и экстра- сетях, ограничивая доступ к Web-страницам, URL и каталогам.
    • Ограничивает доступ к жизненно-важным приложениям, файлам или другим ресурсам.
    • Предотвращает несанкционированное изменения административных настроек.
    Вне зависимости от конкретного применения, принцип двухфакторной аутентификации остается тем же. Когда пользователь пытается получить доступ к защищаемому ресурсу, специальный агент - RSA ACE/Agent защищающий этот ресурс - сервер доступа, Web-страницу, файл или приложение - выставляет запрос на аутентификацию. Чтобы получить доступ, пользователь обязан ввести свое имя, код своего токена и PIN. Аутентификационный запрос кодируется и направляется на сервер ACE.

    Сервер ACE хранит программные "копии" токенов, которые заносятся в момент их регистрации. Таким образом, используя тот же алгоритм, сервер способен самостоятельно вычислить код токена, находящегося у пользователя.


    Получив запрос, сервер ACE запрашивает свою базу данных пользователей. Найдя пользователя, сервер сравнивает введенный PIN и код токена с вычисленными самостоятельно. Если данные совпадают, пользователю разрешается доступ, а его компьютер получает временный цифровой сертификат, который делает излишней повторную аутентификацию при запросе на доступ к другим защищаемым ресурсам на который пользователь имеет право - так называемая однократная регистрация - Single Sign-on.

    Один ACE Сервер может обрабатывать аутентификационные запросы от сотен тысяч пользователей. Кроме того, можно построить систему из нескольких серверов таким образом, чтобы каждый сервер защищал свою зону, и в то же время мог взять на себя обработку запросов при выходе из строя своего собрата.

    3.2.3 Устройства аутентификации RSA SecurID

    RSA SecurID предоставляет широкий выбор типов аутентификаторов - электронные и программные токены, смарт карты и наладонные компьютеры (PDA); ниже приведено краткое описание наиболее распространенных электронных токенов. Каждый аутентификатор RSA SecurID, независимо от реализации, содержит уникальное, выбранное случайным образом, невоспроизводимое 64-битное число ("посев") и активные часы. Каждые 60 секунд по специальному алгоритму, разработанному корпорацией RSA Security, вычисляется новое случайное число, являющееся комбинацией посева и текущего времени.

    Токены RSA SecurID имеют встроенную батарею рассчитанную на все время жизни - от двух до пяти лет, в зависимости от типа. В период эксплуатации устройство не нуждается в обслуживании и замене батареи. Кроме того, процесс регистрации токенов автоматизирован и администраторам не требуется загружать PIN или значение посева. Результатом является платформенно-независимое решение для аутентификации, которое отличается крайней простотой в использовании, установке и администрировании.

    На сегодняшний день доступны три модели аппаратных токенов:


    Токен в форме брелока для ключей RSA SecurID: показывает псевдо-случайное шести-восьми (в зависимости от модификации) разрядное число (код), расчитанное по специальному алгоритму как функция значения посева и текущего времени. Код обновляется каждые 60 секунд. Это устройство представляет из себя небольшой по размеру брелок для ключей.




    Карта RSA SecurID: Это устройство по форме напоминает кредитную карту, в остальном действует так же.





    Карта RSA SecurID PinPad™: с помощью этого токена пользователь может вводить PIN-код через 10-кнопочную панель, расположенную на карте. Показываемый код - это зашифрованный хэш комбинации PIN'а и текущего кода аутентификатора, скрывающий PIN. Когда RSA ACE/Server получает этот код, он проводит аналогичную операцию, и в случае совпадения результата с посланным пользователем числом, аутентифицирует пользователя.



    Смарт-карты RSA SecurID 4100/5100: являются наиболее безопасным способом хранения цифровых средств персональной идентификции для Рабочего Стола RSA Keon. Они (идентификаторы) хранятся на портативной криптографической смарт-карте, представляющей физический контейнер для хранения цифровых удостоверений. Кроме функции однократной регистрации - Single Sign-on - смарт карта также позволяет осуществлять шифрование файлов, аутентификацию клиентов в SSL, защиту электронной почты, защищенный доступ к рабочей станции и мобильность цифровых удостоверений.


    RSA SecurID 5100 является альтернативой виртуальной смарт-карте RSA Keon, выполняющей те же функции, только в форме электронного контейнера, доступ к которому осуществляется с помощью других типов аутентификаторов. Дополнительным преимуществом крипто смарт-карты RSA SecurID 5100 является самоблокирующийся механизм, активирующийся в случае попытки взлома. Кроме того, магнитная полоса, нанесенная на карту и (опционально) встроенная антенна для бесконтактного считывания, позволяет использовать ее и в качестве электронного ключа в системах контроля доступа в помещения.

    RSA SecurID Passage - инновационное решение, позволяющее предприятию усилить аутентификацию пользователя с помощью смарт-карт. Оно создано для обеспечения беспрецедентного уровня защиты, гибкости и контроля доступа к информации. Вместо статических паролей при аутентификации доступа к рабочим станциям, сети и конфиденциальной информации, RSA SecurID Passage предлолагает использование смарт-карт. То, что в основе технологии лежит Java Card, позволяет применять одни и те же карты для самого широкого спектра приложений - от электронного кошелька до специализированного программного обеспечения.


    По желанию, на любой токен или карту можно нанести логотип и другие атрибуты предприятия. Наиболее распространено использование смарт-карт с нанесенными фотографиями и именами сотрудников, например, не только в качестве носителя цифровых идентификаторов, но и как пропуск в здания и помещения предприятия.


    3.2.4 Программный токен RSA - SoftID

    Программная версия аутентификатора RSA SecurID - SoftID - разработана для всех текущих версий Windows. SoftID использует тот же алгоритм, что и токены. На персональном компьютере пользователя SoftID вырабатывает одноразовый код каждые 60 секунд. Для централизованного администрирования и развертывания технологии на предприятии используется специальное программное обеспечение, позволяющее за считанные часы развернуть всю систему для тысяч пользователей.


    3.2.5 RSA ACE/Server

    RSA ACE/Server® является управляющим компонентом продуктов RSA SecurID®, и используется для обработки аутентификационных запросов и администрирования политики безопасности в сети предприятия.


    Представляя собой решение класса крупных телеком-операторов, RSA ACE/Server может расширяться до масштаба крупных предприятий, нуждающихся в защите сотен тысяч пользователей в разнородных и географически разнесенных сетях, а также может взаимодействовать с гораздо большим числом сетевых, Интернет - и прикладных решений, чем какая-либо другая система аутентификации.
    • Сервер безопасности, который используется в совокупности для более 10 миллионов конечных пользователей по всему миру;
    • Эффективно взаимодействует с более 180 сетевыми продуктами и приложениями, предоставляемыми 115 поставщиками;
    • RSA ACE/Server поддерживает сотни тысяч пользователей на каждом сервере;
    • Максимум гибкости в управлении и администрировании;
    • Совместим с основными стандартами в области аутентификации;
    • Набор разработчика позволяет осуществлять разработку собственных приложений.

Регистрация

 
Имя:
Пароль:
 
META-Ukraine

free counters