Отправной точкой при замене решения должен быть не поиск полного аналога, а определение перечня решаемых задач из всего пула задач, предъявляемых к корпоративному IAM.

Многофакторная аутентификация получила широкое распространение. При всем скепсисе, который сопровождает эти технологии, эксперты оценивают рынок IAM-решений (Identity & Access Management) для обеспечения 2FA/MFA как весьма перспективный: к 2025 году в глобальном масштабе он должен достигнуть почти $18 млрд, прибавляя ежегодно около 15%. Более того, использование многофакторной (или как минимум двухфакторной) аутентификации стало обязательным и для множества веб-сервисов, включая банковские, и для корпоративных приложений. При этом массовый переход на гибридный режим работы и удаленный доступ к корпоративным системам значительно расширили применение 2FA/MFA предприятиями любого уровня.

Санкции в отношении России ощутимо коснулись зарубежных решений класса IAM. Многие российские заказчики использовали решения, вендоры которых объявили о прекращении работы в России. В результате они столкнулись с целым рядом «побочных эффектов»: одни лишились возможности продления лицензии, а другие даже при наличии активной лицензии частично или полностью потеряли ключевой функционал и получили проблемы с доступностью сервисов.

Санкционные риски

Последствия ухода иностранных вендоров ПО для двух- и многофакторной аутентификации неодинаковы для разных категорий заказчиков.

К примеру, наиболее известные зарубежные вендоры, предоставлявшие IAM-решения и услуги, на неопределенный срок прекратили работать с такими российскими контрагентами, как: Microsoft с SaaS IAM-решением Azure MFA (в составе сервиса Azure AD); Cisco с облачным IAM-решением Duo Security; Thales с продуктом Gemalto; Fortinet с продуктом FortiAuthenticator; IBM с рядом продуктов линейки IAM; Cisco с продуктами IAM и CIAM; Okta с SaaS-продуктами Workforce и CIAM; Auth0 с одноименным облачным сервисом.

В наиболее сложной ситуации, которая требует немедленной реакции, оказались те компании, которые предпочитали использовать облачные продукты. Часть из них уже неработоспособна – как правило, в тех случаях, когда заказчики выбирали помесячную оплату подписки и не имели технической возможности продления лицензии. К ним же относятся пользователи сервисов, чьи провайдеры просто перестали обслуживать клиентов, принадлежащих к российской юрисдикции. Таким компаниям приходится заниматься поисками альтернативы уже сегодня.

Для других организаций, успевших оплатить сервисы на год, «время X» наступит несколько позже, после истечения срока подписки. В любом случае это короткий отрезок, за который необходимо успеть выбрать альтернативное решение и перевести на него свои системы.

В несколько иной ситуации находятся предприятия, которые предпочитали решения on-premise, размещенные на собственных серверах. В зависимости от вендора, они сохраняют полную или частичную работоспособность, но в большинстве случаев уже лишены обновлений и вендорской поддержки. Однако у заказчиков, как правило, сохраняется возможность пользоваться поддержкой, которую предлагают российские интеграторы. К слову, у нас в стране достаточно компаний, обладающих необходимыми компетенциями, чтобы такую поддержку оказывать на самом высоком уровне.

Такие решения тоже требуют замены на импортонезависимое ПО, но предприятия-пользователи имеют значительно больше времени на выбор и внедрение альтернативного софта.

Критерии выбора

Импортозамещение IAM-решений для 2FA или MFA, увы, не отличается простотой. Связано это прежде всего с широким разнообразием задач, решаемых в сфере корпоративных IAM-решений, различием подходов к их решению и тем, что не все IAM-продукты взаимозаменяемы. Поэтому отправной точкой при замене решения должен быть не поиск полного аналога, а определение перечня решаемых задач из всего пула задач, предъявляемых к корпоративному IAM. А он весьма и весьма разнообразен:

• Защита корпоративных систем, публикуемых в Интернете, в том числе VPN и VDI, при помощи 2FA/MFA (технологии RADIUS, SAML, OpenID Connect).

• Прозрачная аутентификация при переходе между приложениями при помощи SSO/SLO (технологии SAML, OpenID Connect, Reverse Proxy).

• 2FA для серверов и компьютеров под управлением Windows и Linux (Logon Provider’ы – компонент Credential Provider, PAM Linux/OpenPAM-модуль).

• Кросс-доступ к приложениям для холдинговых организаций с поддержкой мультидоменности (поддержка SAML и OpenID Connect Federation в режиме RP).

• Унификация процесса аутентификации в корпоративных приложениях различных типов (целый пул технологий – RADIUS, SAML, OpenID Connect, Reverse Proxy, Enterprise SSO).

• Защита унаследованных (legacy) корпоративных информационных систем при помощи 2FA/MFA (Enterprise SSO, Reverse Proxy).

• Аутентификация для API и M2M (OpenID Connect).

Как видим, за каждой из задач скрыт целый пласт обычно применяемых технологий. Так как корпоративные IAM-решения требуют глубокой интеграции с другими используемыми организацией системами, одним из основных критериев выбора импортонезависимой альтернативы становится определение всего пула используемых технологий интеграции и сопоставление их с технологиями, необходимыми для решения выбранных задач.

Необходимость интеграции 2FA/MFA-решения с другими заменяемыми системами формирует и другой критерий – возможность поэтапного ввода в эксплуатацию по отделам и подключаемым системам. Это позволит и внедрить 2FA/MFA уже на начальном этапе эксплуатации новой инфраструктуры, и обеспечить планомерность всего процесса импортозамещения. Поэтому простота подключения дополнительных информационных систем без остановки сервиса выступает важным критерием при ограниченных сроках на выполнение этих работ.

Еще одним качеством, которое станет важным конкурентным преимуществом решения-кандидата, – его «всеядность»: совместимость с системами, которые уже используются предприятием, а следовательно, возможность обеспечить защиту унаследованных (legacy) систем.

Еще один критерий диктуется сжатыми сроками, в которые приходится проводить импортозамещение. Речь идет о возможности минимизации в ходе выполнения проекта нагрузки на ИТ- и ИБ-службы предприятия, быстрое и безболезненное обучение пользователей и даже возможность их самообслуживания в тех случаях, когда им требуется техническая поддержка.

Обязательная функциональность

В каждой организации могут быть свои, оригинальные особенности использования 2FA/MFA-решений. Но в любом случае при выборе импортонезависимой альтернативы необходимо принимать во внимание требуемую функциональность.

Важное условие – наличие у IAM-решения мобильного приложения для аутентификации. Оно стало обязательной опцией для этого класса решений, что во многом связано с его «универсальностью» — совместимостью с различными приложениями и поддержкой разнообразных сценариев использования.

Приложения-аутентификаторы из состава отечественных IAM-решений, в обязательном порядке использующие любые облачные или зарубежные сервисы от компании-вендора для взаимодействия с мобильными приложениями, также находятся под угрозой. Частным случаем этого может являться механизм push-уведомлений, который встроен в операционные системы Android и iOS и требует использования сервисов производителя ОС (Google Cloud Messaging, Apple Push Notifications). Поэтому возможность сохранения работоспособности мобильного приложения без доступа к сервисам Google и Apple является также важным критерием.

Здесь в первую очередь важно упомянуть возможность работы с одноразовыми паролями с использованием различных каналов коммуникаций, будь то СМС, электронная почта или применяемые в организации мессенджеры. Кроме того, непременным требованием сегодня стала поддержка TOTP – одноразовых паролей с ограниченным временем действия.

Импортозамещение как развитие

Импортозамещение – в силу его неизбежности – можно (и даже необходимо) использовать как еще одну возможность для развития ИТ организации. Ведь в подавляющем большинстве случаев заказчики сталкиваются с необходимостью не просто замены иностранной системы на отечественную, а разработки нового ИТ-ландшафта. В этом случае стоит учитывать перспективы развития и при выборе 2FA/MFA. Это ПО должно давать предприятию возможность дальнейшего масштабирования и расширения сферы его применения.

Здесь в первую очередь следует упомянуть усиленную аутентификацию для рабочих станций пользователей и серверов, которая особенно актуальна в свете постоянно возрастающей интенсивности кибератак, многие из которых нацелены на получение контроля за пользовательскими аккаунтами.

Для различных бизнес-приложений, применяемых в организации, будет актуально использование механизмов прозрачной аутентификации при помощи SSO и SLO (технология единого входа, когда пользователь при переходе из одной системы в другую не проходит повторную аутентификацию). Для крупных компаний холдингового типа, где используются общие для всех структур системы, будет актуальна такая возможность, как кросс-доступ к приложениям с поддержкой мультидоменности.

Наконец, стоит предусмотреть и такую функциональность будущего решения, как унификация аутентификации пользователей в корпоративных приложениях различных типов. В этом случае – вне зависимости от особенностей применяемых политик доступа и реализации процесса аутентификации – пользователи получат единую «точку входа» для всех необходимых систем.

Автор: Дмитрий Грудинин, системный архитектор компании Аванпост
Источник: IT World