Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Корпоративна мобільна безпека і управління доступом користувачів

2018-04-11
Автор: Телесфера

Периметр ІТ-безпеки постійно змінюється і деформується під впливом хмарних обчислень, проникнення ІТ в життя користувачів і інтенсифікації робочого часу. Особам, які приймають рішення в сфері інформаційних технологій та інформаційної безпеки, доводиться знаходити тонкий баланс між дотриманням безпеки корпоративних даних і збереженням простоти, доступності та зручності в експлуатації, якого очікують користувачі. Потреба в тому, щоб закрити прогалину між ідентифікацією користувача і забезпеченням мобільного доступу, привела до розвитку інноваційних рішень для управління ідентифікаційними даними і управління доступом (IAM), огляд яких ми і пропонуємо нижче.



Отже, в чому ж полягає фундаментальна проблема безпеки при реалізації корпоративних ініціатив щодо розширення мобільного доступу?

В першу чергу, і це найголовніша проблема, за замовчуванням доступ до більшості корпоративних додатків захищений лише статичним паролем, який може бути скомпрометований або викрадений як за допомогою фішингу або перебору, так і за допомогою злому користувацьких баз даних, наприклад, використовуваних організаціями і постачальниками хмарних сервісів. Розвиток хмарних додатків в корпоративному оточенні - таких як Salesforce, AWS або Office 365, призвело до того, що користувачам тепер доводиться запам'ятовувати по безлічі пар імен користувачів і паролів для виконання своїх безпосередніх робочих завдань, в результаті чого у них з'являється синдром, який отримав назву «парольна втома ». Більш того, додатки, доступ до яких здійснюється зовні корпоративного брандмауера, захищені виключно статичними паролями. Цілком очевидно, що використання статичних паролів ставить під загрозу дані і комп'ютерні мережі організацій. А з урахуванням того, що співробітники нерідко використовують по два і більше мобільних пристрої в робочих цілях, побоювання з приводу безпечного доступу лише зростають.

За даними Звіту Verizon про розслідування витоків даних за 2016 рік, фактично 63% витоків даних стали можливими за рахунок використання зламаних, вкрадених або повторно використовуваних паролів (recycled passwords), і вплив цих витоків можна б було скоротити, якби застосовувалася двофакторна аутентифікація (2FA ).

На щастя, організації починають проявляти обережність і поступово впроваджують відповідні механізми управління доступом. Згідно з недавнім опитуванням Gemalto, 40% організацій по всьому світу в даний час впроваджують механізми двофакторної аутентифікації для забезпечення безпечного доступу до своїх мереж і додатків. Тому «рівень впевненості» того, що користувач дійсно є тим, за кого він себе видає, значно збільшується, і не важливо, чи йде мова про доступ до корпоративних ресурсів, що здійснюється зовні корпоративного брандмауера, або про доступ до корпоративних ресурсів з мобільних пристроїв.

Другою найбільш часто згадуваною проблемою після безпеки є те, що розширення мобільного доступу призводить до створення додаткового навантаження на ІТ-менеджмент, при цьому керівництву доводиться замислюватися про те, що збільшення гнучкості буде створювати додаткове навантаження на персонал.

Третьою найбільш поширеною проблемою є витрати.

IAM рішення для захищеного мобільного доступу

Але що ж саме слід робити організаціям, які з одного боку зазнають тиск бізнес-керівництва, яке вимагає підвищувати мобільність для збільшення продуктивності співробітників, а з іншого боку - побоювання з приводу безпеки, збільшення навантаження на ІТ-менеджмент і підвищення витрат?

На щастя, існують різні інновації в галузі технологій аутентифікації, завдяки яким підвищення мобільності можна зробити більш безпечним, доступним і комфортним для користувача і зручним з точки зору управління. У число цих інновацій входять сервіси, що доставляються за допомогою хмарних технологій, такі як аутентифікація у вигляді сервісу і управління обліковими записами в вигляді сервісу (identity-as-a-service). Вони дозволяють знизити витрати на забезпечення більш високого рівня безпеки у вигляді багатофакторної аутентифікації і технологій управління доступом за рахунок усунення необхідності щоденних операційних витрат, пов'язаних з технічним обслуговуванням і експлуатацією цих рішень. При переміщенні в хмару адміністративного навантаження, в тому числі пов'язаного з обслуговуванням програмного і апаратного забезпечення, установкою патчів безпеки, створенням резервних копій і відновленням даних, забезпеченням надмірності і високої доступності інфраструктури, вартісний бар'єр при реалізації більш ефективних рішень для забезпечення безпечного доступу помітно знижується.

З точки зору поліпшення юзабіліті для мобільних співробітників, існує технологія єдиного входу в систему (single sign-on, SSO), яка покликана позбавити користувачів від «парольної втоми» за рахунок забезпечення єдиного імені користувача і пароля для доступу до всіх робочих додатків - замість 15 , 20 або 25 подібних пар. Єдиний вхід можна реалізувати за допомогою чималої кількості різних протоколів і технологій, наприклад, SAML 2.0, збереження паролів (password vaulting), зворотних проксі або технології Open ID Connect.

Ще однією інновацією, яка забезпечує захищений і зручний для користувача мобільний доступ, є використання смарт-сканерів PKI Bluetooth Smart readers. Ці Bluetooth смарт-сканери зчитують захищені за допомогою PKI облікові дані, присутні на смарт-картах і USB-токенах, і відправляють їх по протоколу Bluetooth Smart на мобільні пристрої, фактично забезпечуючи PKI аутентифікацію через Bluetooth з'єднання. Сканери PKI Bluetooth Smart дозволяють реалізувати складніші сценарії використання PKI на мобільних пристроях - все те, що до сьогоднішнього дня можна було виконати на ноутбуках або настільних комп'ютерах. Розширені сценарії використання PKI включають в себе цифрові підписи, наприклад, при виписуванні електронних рецептів, здачі податкової звітності тощо, шифрування і дешифрування поштового трафіку, а також механізми двофакторної аутентифікації на основі PKI для онлайн-додатків і навіть для контейнеризації корпоративних мобільних додатків.

Наприклад, PKI Bluetooth смарт-сканер зчитує зі смарт-карти зашифровані за допомогою PKI дані, відправляє їх на проміжне ПЗ, встановлене на планшеті або смартфоні користувача, і таким чином забезпечує можливість повноцінної роботи з різними додатками, де потрібно PKI сертифікація, які раніше були доступні лише на настільних ПК і ноутбуках.

Таким чином, це дозволяє підвищити мобільність в безлічі різних вертикальних застосувань, не нехтуючи міркуваннями корпоративної безпеки, і не викликаючи «втому» у користувача.

Джерело: https://habrahabr.ru/company/gemaltorussia/blog


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

 

КОММЕНТАРІ ДО СТАТТІ

Налаштування QoS на пограничному маршрутизаторі Cisco

Налаштування QoS на пограничному маршрутизаторі Cisco
cisco,router,Налаштування,QoS,Налаштування Cisco

Пограничний маршрутизатор в мережі офісу це точка, де вирішується доля всього мережевого трафіку, що прямує в Інтернет. Саме пограничний маршрутизатор вирішує, який трафік надіслати без затримок, а який притримати і пропустити потім.

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN
Aruba Networks,Блог Телесфера,Налаштування Aruba Instant,Налаштування Aruba

Був час, коли рішення SD-WAN були орієнтовані лише на віртуалізацію WAN без особливих міркувань безпеки. Щоб заповнити цю прогалину в безпеці, з'явилися передові безпечні рішення SD-WAN, які включають найвищі можливості захисту від загроз. Фактично розширені функції безпеки, які тепер підтримуються на передових платформах SD-WAN, дозволяють клієнтам повністю відмовитися від виділених міжмережевих екранів філій і ще більше спростити інфраструктуру філій WAN.

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE
Aruba Networks,Блог Телесфера,Налаштування Aruba

Програми SaaS, робочі навантаження IaaS, розповсюдження пристроїв IoT і гібридна робоча сила продовжують спонукати підприємства переглядати свої глобальні мережі та архітектури безпеки. Традиційні технології WAN, які базувалися на жорсткій архітектурі WAN, орієнтованій на маршрутизатор, повільно реагували на потреби бізнесу, пропонували непостійну якість роботи та були складними в управлінні. SD-WAN забезпечує кращу та стабільнішу продуктивність хмарних додатків, консолідує функціональні можливості глобальної мережі та підтримує нульову довіру та структуру SASE. Минулого року IDC дослідила Північну Америку та виявила, що 72% підприємств планують перейти на SD-WAN у 2021–2023 роках (1).