Vasco. Обслуживание розничных клиентов

Американская компания Vasco Data Security является одним из мировых лидеров двухфакторной аутентификации и решений цифровой подписи для финансовых учреждений. Более половины из 100 ведущих мировых банков полагаются на решения Vasco для повышения безопасности, защиты мобильных приложений и соответствия нормативным требованиям. Vasco также защищает доступ к данным и приложениям в облаке и предоставляет инструменты для разработчиков приложений для лёгкой интеграции функций безопасности в собственные веб и мобильные приложения.
Решения Vasco по двухфакторной аутентификации сертифицировано в OATH (Initiative for Open Authentication), соответствуют стандарту безопасности EPCS (стандарт США для медицинских организаций), используются для выполнения требований по Директив PSD2 и GDPR по использованию многофакторной аутентификации.
Решение
Вашему вниманию предоставляется проект построения системы усиленной аутентификации в российском коммерческом банке, предназначенной для проверки внешних пользователей при подключении к локальным ресурсам корпоративной сети.
Исходя из требований заказчика по безопасности, удобству использования, и стоимости конечного продукта, была выбрана система двухфакторной аутентификации от Vasco Data Security. С её помощью можно организовать защищенный удаленный доступ для работы сотрудников посредством генерации одноразовых паролей. Данное решение является наиболее удобным для организации удаленной работы, а также соответствует всем критериям безопасности, установленным заказчиком
Использование в качестве сервера усиленной аутентификации решения Vasco IdentiKey Server позволит обеспечить проверку личности пользователя на основе одноразовых паролей.
В основе архитектуры Vasco лежит Vacman Controller – лидирующее решение на рынке одноразовых паролей, которое генерирует OTP, опираясь на временную отметку. Контроллер, работающий в паре с RADIUS-сервером, может быть быстро интегрирован в любую инфраструктуру, поддерживающую указанный протокол.
Отдельные типы программного обеспечения могут быть интегрированы с использованием агентов и проприетарного протокола SEAL.
Существующая сетевая архитектура, представленная на рисунке 1, дополняется отказоустойчивым кластером серверов Vasco Identikey Server 3.11 (рисунок 2).
Рисунок 1 – Элементы текущей инфраструктуры системы удаленного доступа на базе Citrix Netscaler
Рисунок 2 – Предлагаемая инфраструктура системы удаленного доступа
на базе Citrix Netscaler и сервера усиленной аутентификации Vasco IdentiKey
Использование протокола RADIUS позволит реализовать несколько сценариев работы с одноразовыми паролями: одно и двухшаговый процесс аутентификации.
Первый сценарий подразумевает использование физического или софтового (мобильного) токена для генерации одноразовых паролей. Второй сценарий позволит запросить короткое сообщение на мобильный телефон пользователя в случае, если первый сценарий не применим.
Использование такого сценария, позволит упростить эксплуатацию системы пользователями и снять лишнюю нагрузку с отдела технической поддержки.
В состав предлагаемого решения входит два полнофункциональных сервера Vasco Identikey 3.6.11 соединенных в Active-Active кластер, представленный на рисунке 3. Синхронизация данных происходит на уровне базы данных. Оба устройства могут как обрабатывать аутентификационные запросы, так и использоваться для администрирования. Для оптимизации нагрузки производителем рекомендуется разделить административную и функциональную роль.
Рисунок 3 – Кластер Vasco Identikey Server
Внутренняя архитектура решения представлена на рисунке 4. Интерфейс администратора работает на базе Apache-Tomcat. Встроенная база данных – PostgreSQL. Message Delivery Component – модуль отвечающий за доставку сообщений содержащих одноразовый пароль сгенерированный Virtual Digipass. LDAP Synchronization Tool – компонента обеспечивающая синхронизацию списков пользователей в базе данных Identikey сервера и каталоге Active Directory.
Рисунок 4 – Внутренняя архитектура Vasco Identikey Server
Условно можно выделить два предлагаемых сценария входа: одношаговый – с использованием токена и двухшаговый с запросом одноразового пароля по СМС. Рассмотрим подробнее процесс аутентификации в каждом из предложенных сценариев.
Аутентификация с использованием токена
Типовые коммуникации между рабочим местом удаленного пользователя представлены на рисунке 5.
Рисунок 5 – Схема коммуникации всех компонентов системы усиленной аутентификации при использовании токена
Для получения доступа к внутренним ресурсам корпоративной сети пользователь в окне браузера набирает адрес портала, тем самым, открывая приветственную страницу аутентификации (рисунок 5) – этап 2 представленной выше схемы.
Шлюз проводит проверку пары «User name-Password» на контроллере домена – этап 4 и 5. В случае получения ответа из каталога, об успешном прохождении аутентификации Citrix по протоколу RADIUS передаст на Vasco Identikey Server пару «User name - Password 2» - этап 6.
Сервер усиленной аутентификации ищет в локальной базе данных пользователя соответствующим именем. При нахождении, анализируются пользовательские настройки политики и имеющиеся о нем данные, в частности, наличие в кэше сохраненного статического пароля, присвоены ли пользователю токены, строка PIN-кода токена, строка запроса для высылки пароля по СМС.
Генерация пароля с использованием токена
Для генерации пароля на заранее установленном и настроенном мобильном приложении пользователю необходимо открыть установленное приложение Digipass– рисунок 6:
Рисунок 6 – Приложение Digipass: выбор типа приложения OTP
После введения пароля для доступа к приложению, пользователю будет сгенерирован одноразовый пароль. Сгенерированный пароль необходимо ввести в соответствующее текстовое поле на входной странице пользовательского портала.ф2
Результат
Таким образом для достижения цели внедрения системы были предприняты следующие шаги:
- Выполнение базовой настройки.
- Развертывание отказоустойчивого кластера системы, функционирующего в режиме Active-Passive.
- Интеграция системы усиленной аутентификации с Active Directory, Citrix NetScaler и СМС шлюзом call4all.
- Проведение тестирования работоспособности и опытной эксплуатации.
- Переключение на работу через систему усиленной аутентификации всех удаленных пользователей. Приемочные испытания и перевод в промышленную эксплуатацию.
В результате реализации проекта были достигнуты следующие результаты:
- Выполнены требования корпоративной политики информационной безопасности
- Выполнены требования международного стандарта безопасности EPCS, а также требования соответствующие директивам PSD2 и GDPR по использованию многофакторной аутентификации.
- Снижен риск неавторизованного доступа к корпоративным информационным системам заказчика
- Снижены возможности сотрудников заказчика по передаче аутентификационной информации другим сотрудникам
- Выполнены требования РД.2 «Идентификация и многофакторная аутентификация пользователей» нового ГОСТ 57580.1 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» по первому уровню защиты информации.