Vasco. Обслуживание розничных клиентов

Vasco

Американская компания Vasco Data Security является одним из мировых лидеров двухфакторной аутентификации и решений цифровой подписи для финансовых учреждений. Более половины из 100 ведущих мировых банков полагаются на решения Vasco для повышения безопасности, защиты мобильных приложений и соответствия нормативным требованиям. Vasco также защищает доступ к данным и приложениям в облаке и предоставляет инструменты для разработчиков приложений для лёгкой интеграции функций безопасности в собственные веб и мобильные приложения.

Решения Vasco по двухфакторной аутентификации сертифицировано в OATH (Initiative for Open Authentication), соответствуют стандарту безопасности EPCS (стандарт США для медицинских организаций), используются для выполнения требований по Директив PSD2 и GDPR по использованию многофакторной аутентификации.

Решение

Вашему вниманию предоставляется проект построения системы усиленной аутентификации в российском коммерческом банке, предназначенной для проверки внешних пользователей при подключении к локальным ресурсам корпоративной сети.

Исходя из требований заказчика по безопасности, удобству использования, и стоимости конечного продукта, была выбрана система двухфакторной аутентификации от Vasco Data Security. С её помощью можно организовать защищенный удаленный доступ для работы сотрудников посредством генерации одноразовых паролей. Данное решение является наиболее удобным для организации удаленной работы, а также соответствует всем критериям безопасности, установленным заказчиком

Использование в качестве сервера усиленной аутентификации решения Vasco IdentiKey Server позволит обеспечить проверку личности пользователя на основе одноразовых паролей.

В основе архитектуры Vasco лежит Vacman Controller – лидирующее решение на рынке одноразовых паролей, которое генерирует OTP, опираясь на временную отметку. Контроллер, работающий в паре с RADIUS-сервером, может быть быстро интегрирован в любую инфраструктуру, поддерживающую указанный протокол.

Отдельные типы программного обеспечения могут быть интегрированы с использованием агентов и проприетарного протокола SEAL.

Существующая сетевая архитектура, представленная на рисунке 1, дополняется отказоустойчивым кластером серверов Vasco Identikey Server 3.11 (рисунок 2).

 

1

Рисунок 1 – Элементы текущей инфраструктуры системы удаленного доступа на базе Citrix Netscaler

  

 

2 

Рисунок 2 – Предлагаемая инфраструктура системы удаленного доступа

на базе Citrix Netscaler и сервера усиленной аутентификации Vasco IdentiKey

  

Использование протокола RADIUS позволит реализовать несколько сценариев работы с одноразовыми паролями: одно и двухшаговый процесс аутентификации.

Первый сценарий подразумевает использование физического или софтового (мобильного) токена для генерации одноразовых паролей. Второй сценарий позволит запросить короткое сообщение на мобильный телефон пользователя в случае, если первый сценарий не применим.

Использование такого сценария, позволит упростить эксплуатацию системы пользователями и снять лишнюю нагрузку с отдела технической поддержки.

В состав предлагаемого решения входит два полнофункциональных сервера Vasco Identikey 3.6.11 соединенных в Active-Active кластер, представленный на рисунке 3. Синхронизация данных происходит на уровне базы данных. Оба устройства могут как обрабатывать аутентификационные запросы, так и использоваться для администрирования. Для оптимизации нагрузки производителем рекомендуется разделить административную и функциональную роль.

3 

Рисунок 3 – Кластер Vasco Identikey Server

 

Внутренняя архитектура решения представлена на рисунке 4. Интерфейс администратора работает на базе Apache-Tomcat. Встроенная база данных – PostgreSQL. Message Delivery Component – модуль отвечающий за доставку сообщений содержащих одноразовый пароль сгенерированный Virtual Digipass. LDAP Synchronization Tool – компонента обеспечивающая синхронизацию списков пользователей в базе данных Identikey сервера и каталоге Active Directory.

 

 4

Рисунок 4 – Внутренняя архитектура Vasco Identikey Server

 

Условно можно выделить два предлагаемых сценария входа: одношаговый – с использованием токена и двухшаговый с запросом одноразового пароля по СМС. Рассмотрим подробнее процесс аутентификации в каждом из предложенных сценариев.

 

Аутентификация с использованием токена

Типовые коммуникации между рабочим местом удаленного пользователя представлены на рисунке 5.

 

5 

Рисунок 5 – Схема коммуникации всех компонентов системы усиленной аутентификации при использовании токена

 

Для получения доступа к внутренним ресурсам корпоративной сети пользователь в окне браузера набирает адрес портала, тем самым, открывая приветственную страницу аутентификации (рисунок 5) – этап 2 представленной выше схемы.

Шлюз проводит проверку пары «User name-Password» на контроллере домена – этап 4 и 5. В случае получения ответа из каталога, об успешном прохождении аутентификации Citrix по протоколу RADIUS передаст на Vasco Identikey Server пару «User name - Password 2» - этап 6.

Сервер усиленной аутентификации ищет в локальной базе данных пользователя соответствующим именем. При нахождении, анализируются пользовательские настройки политики и имеющиеся о нем данные, в частности, наличие в кэше сохраненного статического пароля, присвоены ли пользователю токены, строка PIN-кода токена, строка запроса для высылки пароля по СМС.

 

Генерация пароля с использованием токена

Для генерации пароля на заранее установленном и настроенном мобильном приложении пользователю необходимо открыть установленное приложение Digipass– рисунок 6:

 

6 

Рисунок 6 – Приложение Digipass: выбор типа приложения OTP

 

После введения пароля для доступа к приложению, пользователю будет сгенерирован одноразовый пароль. Сгенерированный пароль необходимо ввести в соответствующее текстовое поле на входной странице пользовательского портала.ф2

Результат

Таким образом для достижения цели внедрения системы были предприняты следующие шаги:

  • Выполнение базовой настройки.
  • Развертывание отказоустойчивого кластера системы, функционирующего в режиме Active-Passive.
  • Интеграция системы усиленной аутентификации с Active Directory, Citrix NetScaler и СМС шлюзом call4all.
  • Проведение тестирования работоспособности и опытной эксплуатации.
  • Переключение на работу через систему усиленной аутентификации всех удаленных пользователей. Приемочные испытания и перевод в промышленную эксплуатацию.

В результате реализации проекта были достигнуты следующие результаты:

  • Выполнены требования корпоративной политики информационной безопасности
  • Выполнены требования международного стандарта безопасности EPCS, а также требования соответствующие директивам PSD2 и GDPR по использованию многофакторной аутентификации.
  • Снижен риск неавторизованного доступа к корпоративным информационным системам заказчика
  • Снижены возможности сотрудников заказчика по передаче аутентификационной информации другим сотрудникам
  • Выполнены требования РД.2 «Идентификация и многофакторная аутентификация пользователей» нового ГОСТ 57580.1 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» по первому уровню защиты информации.