Cмарт карты и USB-токены — компактные устройства, предназначенные для обеспечения двухфакторной аутентификации (2FA) к информационным ресурсам с использованием стойких криптографических протоколов.
Суть проекта
Повышение доверия к облачному провайдеру Microsoft и общего уровня безопасности путём обеспечения единого входа и внедрения усиленной двухфакторной аутентификации на ВСЕ облачные сервисы и локальные ресурсы с помощью внешних устройств – смарт карт (или USB-токенов).
Что защищает
-
Все приложения, опубликованныев Marketplace Azure и Office365
Больше 2500 приложений – SAP, Sales Force, Dropbox, Citrix, BizTalk, Google Apps…
-
SaaS
Приложения пакета Office365, CRM Online, пакет решений EMS, Power BI, EMS, Operational Insight…
-
IaaS
Защита доступа к VM-инфраструктуре Point-to-Site VPN, SSL, RDP...
-
Контроль PR-аккаунтов
Пользователь использует, но не знает пароля к корпоративной учётной записи Facebook, Twitter…
Что даёт
-
Полное избавление от паролей
Применение строгой аутентификации с использованием криптографических возможностей смарт-карты позволяет полностью исключить риски слабой парольной аутентификации. У пользователя есть смарт-карта, но нет пароля к своей учётной записи.
-
Безопасная гибридная среда
Единый вход с применением одной смарт-карты на локальные и облачные ресурсы позволяет плавно и максимально безопасно добавлять современные облачные сервисы к текущей классической инфраструктуре, приобретая новые возможности, но не снижая общего уровня безопасности информационной системы.
-
Повышение доверия к облачному провайдеру
Разделение зон контроля – облачный провайдер обеспечивает бизнес-функционал, доступность и отказоустойчивость сервиса, локальная служба ИБ управляет и полностью контролирует учётные данные пользователей, не передавая их в облако.
-
Удобство использования и администрирования
Не требуется высоких компетенций от пользователя, утеря устройства не приводит к несанкционированному доступу и отказу в обслуживании. Использование порталов самообслуживания снижает нагрузку на административный персонал. Для VIP-пользователей и администраторов возможно дополнительное усиление безопасности – использование биометрической идентификации (отпечатки пальцев).
Сроки и стоимость
Итоговая стоимость складывается из:
-
стоимости устройств (одно устройство на каждого пользователя);
-
необходимых облачных подписок (Azure, Office365, CRM Online…);
-
работ по развёртыванию и настройке:
-
работы на стороне локальной инфраструктуры:
-
внедрение PKI (Public Key Infrastructure);
-
развёртывание и настройка федеративных сервисов и SSO;
-
активация и настройка облачного сервиса.
Примерный расчёт стоимости проекта
Суть проекта – обеспечения SSO в локальную корпоративную среду и одно облачное решение Office365. Количество пользователей – 500
Итоговая* стоимость за первый год ~ 3 млн. руб./год, последующие – 2,4 млн. руб./год.
-
Закупка USB-токенов – 0,65 млн. руб. (разово)
-
Office365 корпоративный E1 – 2,4 млн. руб./год
Необходимые продукты и технологии
Серверные продукты
-
Windows Server 2012 R2 Roles (AD DS, AD FS, AD CS)
-
Система управления жизненным циклом (опционально)
Подписки
-
Любая облачная подписка Microsoft
Дополнительные выгоды
-
Возможность применения электронной подписи, включая ГОСТ (сертификат ФСБ России)
-
Шифрование сообщений электронной почты, защита EFS, VPN, SSL, RDP, WiFi и т.д.
-
Единая карта сотрудника/студента (пропуск через СКУД, транспорт, платёжное приложение MasterCard)
Для кого
Безопасность актуальна для ВСЕХ бизнес-вертикалей как в государственном, так и коммерческом секторах экономики. Однако наибольшую отдачу и выгоду от использования получат зрелые компаний среднего и крупного размера, а также любые организации, где:
-
есть потребность в усилении информационной безопасности;
-
требуется обеспечить единую среду доступа при переходе к облачным сервисам;
-
необходимо повысить управляемость и контроль за удалённым доступом мобильных пользователей;
-
необходимо разграничить внутрикорпоративное и теневое IT;
-
есть наличие широкого мультивендорного IT-ландшафта;
-
уже используются или рассматриваются к внедрению смарт-карты или облачные сервисы.
Архитектура решения
Процесс аутентификации