NetIQ Advanced Authentication Framework
Transkrypt
NetIQ Advanced Authentication Framework
Broszura informacyjna www.netiq.pl BEZPIECZEŃSTWO I ZARZĄDZANIE TOŻSAMOŚCIĄ NetIQ Advanced Authentication Framework str. 2 Wprowadzenie Przedsiębiorstwa, które wprowadzają uwierzytelnianie dwuelementowe i inwestują w takie rozwiązanie czas i zasoby, często kierują się przy tym tylko obsługą określonego mechanizmu uwierzytelniania. Te same firmy nierzadko wdrażają potem kolejne rozwiązanie, dostosowane do nowych potrzeb. Co gorsza, bywa i tak, że nie jest to ostatni raz. Dlatego warto wiedzieć, że istnieje lepszy sposób. NetIQ AAF to rozwiązanie, które optymalizuje i wzmacnia bezpieczeństwo dla standardowych procesów uwierzytelniania użytkowników, umożliwiając logowanie za pomocą różnych metod uwierzytelniania. Popularne metody uwierzytelniania Za pomocą metody uwierzytelniania weryfikowana jest tożsamość osoby, która chce uzyskać dostęp do danych, zasobów lub aplikacji. Potwierdzenie tej tożsamości pozwala stworzyć zaufaną relację umożliwiającą dalsze interakcje. NetIQ AAF umożliwia korzystanie z najszerszego na rynku zakresu technologii i metod uwierzytelniania z zastosowaniem haseł SMS, tokenów sprzętowych i programowych, smartfonów, kart procesorowych (Smard Card), haseł jednokrotnych, potwierdzania e-mailem, pamięci Flash USB, urządzeń biometrycznych i innych. Tworzenie łańcuchów uwierzytelniania Łańcuch uwierzytelniania to połączenie metod uwierzytelniania. W celu dokonania udanego uwierzytelniania użytkownik musi przejść wszystkie metody. Jeśli np. stworzymy łańcuch obejmujący hasło LDAP i wiadomość SMS, użytkownik będzie musiał najpierw wprowadzić swoje hasło LDAP. Jeśli hasło okaże się poprawne, system na przykład wyśle na telefon komórkowy użytkownika wiadomość SMS z hasłem. Aby dokonać uwierzytelniania użytkownik musi wówczas wprowadzić prawidłowe hasło jednorazowe. Można stworzyć dowolny łańcuch, który w przypadku środowisk wymagających szczególnych zabezpieczeń może obejmować wiele metod, co pozwala zwiększyć bezpieczeństwo. Uwierzytelnianie może składać się z 3 różnych elementów. Należą do nich: „coś, co wiesz” — hasło, kod PIN, pytania zabezpieczające, „coś, co masz” — karta procesorowa, token, telefon, „to, kim jesteś” — dane biometryczne, takie jak odcisk palca lub obraz tęczówki. Z uwierzytelnianiem wieloelementowym lub silnym mamy do czynienia w przypadku zastosowania 2 z 3 wymienionych elementów. Połączenie hasła z tokenem lub karty procesorowej z odciskiem palca uznaje się za uwierzytelnianie wieloelementowe. Nie jest nim natomiast kombinacja hasła i kodu PIN, ponieważ elementy te należą do tego samego obszaru. Łańcuchy uwierzytelniania są powiązane z grupami użytkowników w repozytoriach. W związku z tym określonego łańcucha uwierzytelniania może używać określona grupa. Zdarzenie uwierzytelniania Zdarzenie uwierzytelniania jest aktywowane przez zewnętrzne urządzenie lub system albo aplikację, która musi przeprowadzić uwierzytelnianie. Może je również wywołać klient RADIUS (Citrix Netscaler, Cisco VPN, Juniper VPN itp.) lub żądanie API. Dla każdego zdarzenia uwierzytelniania można skonfigurować co najmniej jeden łańcuch uwierzytelniania, który umożliwia użytkownikowi uwierzytelnienie w środowisku. str. 3 Jedna platforma uwierzytelniania do wszystkiego Firmy stosujące urządzenia lub metody uwierzytelniania dwu- lub wieloelementowego są zwykle zmuszone do zarządzania wieloma infrastrukturami i ich utrzymywania. Zarządzanie licznymi infrastrukturami uwierzytelniania jest nie tylko skomplikowane, lecz także mniej bezpieczne. Dlatego potrzebna jest jedna platforma uwierzytelniania dwu- lub wieloelementowego, która obejmie wszystkie urządzenia i metody stosowane w firmie. Jedna platforma NetIQ AAF pozwala obniżyć koszty i może być dostosowana do środowiska każdej wielkości. Centralny mechanizm reguł NetIQ AAF to rozwiązanie na tyle solidne, że poradzi sobie z dużymi środowiskami i zróżnicowanymi potrzebami w dziedzinie uwierzytelniania. Jednocześnie jest też jednak na tyle proste, że nie wymaga czasochłonnej administracji. Dzięki naszym narzędziom do uwierzytelniania dwu- lub wieloelementowego można tworzyć reguły uwierzytelniania dostosowane do konkretnych użytkowników, grup, urządzeń lub lokalizacji. Internetowy interfejs zapewnia przejrzystość konfiguracji niezależnie od jej złożoności. Możliwość przydzielania uprawnień administracyjnych i śledzenia zmian pozwala utrzymać spójność i bezpieczeństwo reguł. A ponieważ mechanizm reguł w NetIQ AAF jest elastyczny, obejmuje wszystkie metody uwierzytelniania, ograniczając w ten sposób zbędne czynności i niespójności. Uwierzytelnianie wykraczające poza hasła Większość przedsiębiorstw dysponuje określonymi informacjami prywatnymi (danymi finansowymi, danymi klientów, informacjami regulowanymi itp.). Wymagają one weryfikacji użytkowników na wyższym poziomie, którego nie można osiągnąć przy użyciu tradycyjnych danych uwierzytelniających. W zależności od sytuacji dla pewnych typów informacji konieczny może być kolejny poziom uwierzytelniania. Czy osoba, która chce uzyskać dostęp do informacji, znajduje się zgodnie z oczekiwaniami w budynku, czy w całkiem innym miejscu w kraju lub za granicą? Czy użytkownik korzysta ze znanego urządzenia, czy też ze sprzętu nieodnotowanego dotychczas w systemie? Możliwe są też inne kryteria, na podstawie których firma będzie dobierać metody uwierzytelniania. Oferujemy kontrolę dostępu opartą na ryzyku, która pozwala dopasować typ uwierzytelniania do potencjalnego ryzyka uzyskania dostępu do określonych informacji lub usług. Rejestrowanie zdarzeń NetIQ AAF pozwala określić, jakiego typu zdarzenia uwierzytelniania mają być zapisywane w dzienniku z myślą o późniejszym odtworzeniu. Zwykle należą do nich udane i nieudane próby uwierzytelnienia, a także zmiany w obszarze rejestracji lub konfiguracji. Wysoka dostępność — nadmiarowość i równoważenie obciążenia NetIQ AAF stworzono z myślą o zapewnieniu wysokiej dostępności i ciągłego, nieprzerwanego działania. O dostępność, niezawodność i wydajność aplikacji dbają wewnętrzne funkcje równoważenia obciążenia serwera. Replikacja między lokalizacją główną i dodatkową (za pośrednictwem sieci LAN lub WAN) zapewnia integralność danych. Natomiast na potrzeby szybkiego odtwarzania danych po awarii zawsze dostępnych jest wiele magazynów danych. Internetowa rejestracja użytkowników NetIQ AAF udostępnia łatwy w obsłudze, przejrzysty proces rejestracji użytkowników. Uproszczenie rejestracji urządzeń z systemem iOS, Android i Windows Phone oraz podłączone do stacji roboczych rozwiązania str. 4 biometryczne, czytniki kart procesorowych i inne narzędzia sprawiają, że użytkownicy szybko zarejestrują swoje urządzenia, system będzie bezproblemowo dostosowywał się do ich liczby, a stanowisko pomocy nie będzie tonęło w zgłoszeniach dotyczących kłopotów z rejestracją. Internetowy portal do administracji i konfiguracji Do wykonywania czynności administracyjnych i konfiguracyjnych związanych z platformą AAF służą narzędzia internetowe. Prosty, elegancki interfejs umożliwia konfigurację sieci i integrację z wieloma serwerami danych MS AD, LDAP, RADIUS, połączenie z bazą danych, konfigurację wszystkich tokenów uwierzytelniania, projekt i przypisanie łańcucha uwierzytelniania (dwu-/wieloelementowe), przydzielanie ról oraz wykonywanie innych kluczowych operacji — wszystko to za pomocą jednego narzędzia. Moduł Help Desk Moduł Help Desk udostępnia funkcje pozwalające zapewnić właściwą, kompleksową obsługę użytkowników. Pomaga w realizacji takich działań jak wyrejestrowywanie i ponowna rejestracja, przypisywanie tokenów (w razie potrzeby) i przydzielanie użytkownikom określonych ról. Gdy użytkownik skontaktuje się ze stanowiskiem pomocy w związku z problemem w zakresie uwierzytelniania na platformie NetIQ AAF, pracownik będzie w stanie odpowiednio mu pomóc. Przyczynia się to do budowania silnych relacji i wspomaga starania podejmowane przez przedsiębiorstwo w obszarze uwierzytelniania wieloelementowego. Awaryjne hasła jednorazowe Ta funkcja NetIQ AAF jest przydatna, gdy dany użytkownik nie jest w stanie skorzystać z zarejestrowanej dla niego wcześniej metody uwierzytelniania. Być może zgubił swój token, przypadkowo wrzucił telefon do wody lub korzysta ze stacji roboczej, w której nastąpiła awaria czytnika kart. Niezależnie od sytuacji użytkownik musi jednak uzyskać dostęp do systemu. Proces uzyskiwania dostępu przy użyciu awaryjnego hasła jednorazowego jest częścią modułu Help Desk i umożliwia wygenerowanie hasła jednorazowego dla użytkownika w tego typu nagłych przypadkach. Obsługa wielu platform Zależy nam na zapewnieniu klientom bezpieczeństwa na wielu platformach. Dlatego dodaliśmy do naszego rozwiązania NetIQ AAF wtyczkę OSX Authentication. Uzupełnia ona dotychczasowe narzędzie Windows Credential Provider. Teraz w przypadku ważnych inicjatyw można korzystać z metod opartych na systemach iOS, Android i Windows Mobile do uwierzytelniania na komputerach z systemami Windows 7+ oraz OS X 10+. Dodatek ten pozwala przedsiębiorstwom szybciej zwiększyć zasięg systemu uwierzytelniania i obniżyć koszty wynikające z konieczności stosowania wielu rozwiązań. Ponadto zapewniamy obsługę dodatkowego czynnika przy uwierzytelnianiu do systemów Linux za pomocą Linux Pluggable Authentication Module. str. 5 Architektura podstaw owa NetIQ AAF Na poniższym schemacie przedstawiono architekturę podstawową dla rozwiązania NetIQ AAF w wersji 5. Serwer z główną bazą danych (NetIQ DB Master) dysponuje wbudowanym serwerem RADIUS, który może uwierzytelnić każdego klienta RADIUS za pomocą jednego z łańcuchów skonfigurowanych dla tego zdarzenia. Architektura podstawowa jest zalecana wyłącznie do przeprowadzania testów lub weryfikacji koncepcji. Architektura korporacyjna z wysoką dostępnością Na poniższym schemacie przedstawiono interakcję między serwerem głównym (DB Master) oraz kilkoma katalogami i zdarzeniami. Serwer główny wchodzi jednocześnie w interakcję z serwerem podrzędnym (DB Slave), który zawiera kopię bazy danych z serwera głównego. W przypadku awarii serwera głównego serwer podrzędny przejmuje jego zadania (przełączanie podczas pracy). str. 6 Architektura korporacyjna z wysoką dostępnością i replikacją między lokalizacjami data center Na poniższym schemacie przedstawiono interakcje między komponentami architektury korporacyjnej dla implementacji rozwiązania w trybie wysokiej dostępności (HA) i disaster recovery z replikacją między lokalizacjami centr danych ( Multi-Site Support Replication). Architektura korporacyjna z mechanizmem wyrównywania obciążenia Na poniższym schemacie przedstawiono interakcje między komponentami architektury korporacyjnej i serwerem z mechanizmem wyrównywania obciążenia. Mechanizm ten może zostać wywołany przez serwer główny lub serwery członkowskie. Serwer członkowski nie ma własnej bazy danych i dane zapisuje na serwerze głównym. str. 7 Podsumowanie Przedsiębiorstwa stosujące urządzenia lub metody uwierzytelniania dwu- lub wieloelementowego są zwykle zmuszone do zarządzania wieloma infrastrukturami i ich utrzymywania. Zarządzanie licznymi infrastrukturami uwierzytelniania jest nie tylko skomplikowane, lecz także mniej bezpieczne. Dlatego potrzebna jest jedna platforma uwierzytelniania dwu- lub wieloelementowego, która obejmie wszystkie urządzenia i metody stosowane w firmie. Jedna platforma AAF pozwala obniżyć koszty i może być dostosowana do środowiska każdej wielkości. Dlaczego warto wybrać oferowane przez NetIQ rozwiązanie AAF? „zapewnia prostotę i bezpieczeństwo procesu uwierzytelniania (bez skomplikowanych haseł, „sekretnych słów” itp.), zapobiega nieautoryzowanemu używaniu komputera, chroni przed oszustwami, phishingiem i podobnymi nielegalnymi działaniami online, pozwala zadbać o bezpieczny dostęp do biura. Zalety korzystania z urządzenia serwerowego NetIQ Server widać jak na dłoni. Urządzenie serwerowe NetIQ AAF... jest wieloplatformowe, zawiera wbudowany serwer RADIUS, umożliwia integrację z rozwiązaniem NetIQ Access Manager, nie wymaga rozszerzania projektu, umożliwia administratorom edytowanie skonfigurowanych ustawień za pośrednictwem internetowego portalu administracyjnego NetIQ. Więcej informacji na temat oprogramowania NetIQ AAF można uzyskać kontaktując się z bezpłatną infolinią firmy NetIQ w Polsce (nr tel. 800 22 66 85) oraz na stronach internetowych www.netiq.com/products/advanced-authentication NetIQ w Polsce ul. Postępu 21 02-676 Warszawa tel. 22 537 5000 bezpłatna infolinia 800 22 66 85 [email protected] Copyright © 2016 NetIQ Inc. Wszelkie prawa zastrzeżone. NetIQ i logo NetIQ są zastrzeżonymi znakami towarowymi firm NetIQ i Novell Inc. w Stanach Zjednoczonych oraz innych krajach. Pozostałe znaki towarowe należą do odpowiednich właścicieli. str. 8