Перейти к содержанию
AM_Bot

Обзор решений Рутокен для электронной подписи и двухфакторной аутентификации

Автор AM_Bot, в Выбор корпоративных средств защиты

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано
Обзор решений Рутокен для электронной подписи и двухфакторной аутентификации
О том, почему USB-токены и смарт-карты выдержали проверку временем и используются в большинстве коммерческих компаний и государственных организаций, расскажем на примере продуктов Рутокен компании «Актив», российского разработчика и производителя программно-аппаратных средств информационной безопасности, крупнейшего в России производителя токенов и смарт-карт.   ВведениеРутокен для электронной подписиРутокен для мобильной электронной подписиРутокен для систем дистанционного банковского обслуживанияРутокен для двухфакторной аутентификацииРутокен для защиты удаленного доступаУправление токенами и сертификатамиИспользование в ЕГАИСКлючевые носители РутокенПрограммное обеспечение РутокенВыводы ВведениеРутокен — первая в России полностью отечественная линейка аппаратных продуктов и решений для аутентификации и создания электронной подписи. Продукты Рутокен представлены в различных форм-факторах: от стандартного USB-токена или смарт-карты до Bluetooth-устройств. Карточная операционная система Рутокен, драйверы Рутокен для Windows, Рутокен Плагин, Рутокен KeyBox входят в Единый реестр отечественного ПО. У продуктов Рутокен есть все необходимые сертификаты ФСБ и ФСТЭК России.Все продукты создаются на собственном производстве компании «Актив», расположенном на территории России. Поскольку специалисты «Актива» самостоятельно проектируют и изготавливают и аппаратное, и программное обеспечение, то могут гарантировать надежную работу и отсутствие программных и аппаратных «закладок» в своих продуктах. Наличие собственного производства позволяет более гибко реагировать на требования заказчика, как в плане внешнего вида изделий, так и в плане электронной «начинки».Рутокен используется везде, где необходимо безопасное хранение и использование паролей, цифровых сертификатов, ключей шифрования и ключей электронной подписи.Продукты Рутокен поддерживают как новейшие российские алгоритмы ГОСТ, так и международные криптографические алгоритмы. Благодаря этому Рутокен полностью совместимы с ключевыми продуктами в сфере ИТ, такими как операционные системы Microsoft Windows, macOS X и Linux, продукты из отрасли ИБ, скажем, от компаний Check Point и Symantec, и прикладными системами, например SAP HANA. Эта совместимость подтверждена протоколами испытаний и многочисленными успешными внедрениями. Рутокен для электронной подписиПожалуй, в России скоро не останется ни одной организации, которая не пользовалась бы электронной подписью. Юридически значимый электронный документооборот, взаимодействие с государственными органами, внутренний документооборот , электронная почта, подписание транзакций в системе дистанционного банковского обслуживания — во всех этих случаях только электронная подпись может гарантировать авторство отправителя и неизменяемость содержимого документа.Сейчас партнерами компании «Актив» являются более 80% аккредитованных удостоверяющих центров Российской Федерации. Миллионы клиентов удостоверяющих центров используют продукты Рутокен.Чтобы подписать электронный документ, необходим ключ электронной подписи. И тут перед каждым владельцем ключа встает важный вопрос, где его хранить. Федеральный закон ФЗ-63 «Об электронной подписи» не регламентирует способ хранения ключей: их можно хранить на жестком диске компьютера — в реестре или файле, на флешке, или даже на листе бумаги. Но закон требует обеспечивать конфиденциальность ключей электронной подписи. В частности, не допускать использования ключей без согласия их владельцев, а также уведомлять удостоверяющий центр, выдавший сертификат ключа проверки электронной подписи, и иных участников электронного взаимодействия о нарушении конфиденциальности ключа и не использовать ключ при наличии оснований полагать, что его конфиденциальность нарушена.Обратимся к истории. Изначально все криптографические вычисления на компьютерах реализовывались исключительно с помощью программных криптопровайдеров, потому что в те времена производительность процессоров компактных размеров при выполнении криптографических вычислений была слишком низкой, а более мощные процессоры обладали слишком большими габаритами и стоимостью. Программные криптопровайдеры хранили ключи электронной подписи на жестком диске компьютера в реестре или файловой системе, на дискетах и флешках. Но быстро выяснилось, что когда злоумышленник получал доступ к компьютеру, то мог скопировать ключи и подписывать документы от имени и без ведома владельца. Но самое главное — владелец никогда не мог быть уверен, скомпрометированы его ключи или нет.Чтобы защититься от подобных угроз, были придуманы ключевые носители, которые умели хранить ключи электронной подписи, но еще не умели самостоятельно подписывать электронные документы. Типичным примером такого ключевого носителя является Рутокен Lite. Перед началом работы пользователь подключает Рутокен Lite к компьютеру и вводит секретный PIN-код, который разблокирует доступ к защищенной памяти устройства. После этого программный криптопровайдер может загрузить из токена ключи электронной подписи и вычислить саму подпись. Без знания PIN-кода доступ к ключам невозможен. При неоднократном вводе неверного PIN-кода устройство блокируется.Прошло время, и миниатюрные защищенные контроллеры стали намного мощнее, дешевле и меньше в размерах. Это позволило создать токены со встроенным криптографическим ядром (например, Рутокен ЭЦП 2.0, Рутокен 2151, Рутокен ЭЦП PKI и другие). В этих токенах ключи электронной подписи создаются внутри токена и никогда не покидают защищенной памяти. Документ, который должен быть подписан, передается в токен, а возвращается вычисленная электронная подпись. Все Рутокены, имеющие криптографическое ядро, поддерживают российские и международные алгоритмы электронной подписи, но одни токены оптимизированы для использования алгоритмов ГОСТ (Рутокен ЭЦП 2.0, Рутокен 2151 и др.), а другие — RSA (Рутокен ЭЦП PKI). Поэтому модель токена необходимо выбирать в соответствии с тем, какие задачи необходимо решать. Рисунок 1.  Рутокен ЭЦП 2.0, Рутокен 2151, Рутокен ЭЦП PKI  Токены с криптографическим ядром позволяют обойтись без установки программного криптопровайдера, а также защититься от вредоносных программ, крадущих ключи электронной подписи из памяти компьютера.Для пользователей, которые оставляют свои токены постоянно подключенными к компьютеру, в качестве дополнительной меры безопасности рекомендуется использовать Рутокен ЭЦП 2.0 Touch. Они полностью идентичны базовым моделям, но дополнительно оснащены кнопкой. Подписание документов возможно только в момент нажатия кнопки пользователем. Это позволяет защититься от попыток взлома с помощью удаленного управления рабочим столом компьютера. Рутокен для мобильной электронной подписиВ последнее время растет количество мобильных устройств, которые используются в работе. В командировке или в отпуске руководителю гораздо удобнее оперативно подписать электронный документ, используя смартфон или планшет.Есть два способа обеспечения такой мобильности. Можно передать ключи электронной подписи на сервер и на нем же подписывать документы, используя мобильное устройство лишь как элемент управления. А можно хранить ключи на мобильных токенах, совместимых со смартфонами и планшетами, полностью сохраняя контроль над ключами, исключающий их использование злоумышленниками. Ключевые носители Рутокен реализуют второй вариант.Существуют три способа подключения Рутокена к мобильному устройству.USBДля смартфонов, имеющих интерфейс USB Type-C, используется новая разработка Рутокен ЭЦП 2.0 Type-C и Рутокен ЭЦП PKI Type-C.   Рисунок 2. Рутокен ЭЦП 2.0 Type-C  Сразу же после подключения и ввода PIN-кода токен готов к работе.BluetoothДля электронной подписи на мобильных устройствах компании Apple — iPhone и iPad — используют Рутокен ЭЦП Bluetooth, который работает по беспроводному протоколу Bluetooth, получая от мобильного устройства электронный документ и возвращая электронную подпись.Рутокен Bluetooth интегрирован в ЭДО Directum Solo и в информационную систему «Защищенная мобильность» как средство подключения и взаимодействия сотрудников коммерческих организаций и государственных учреждений при помощи мобильных устройств. Также мобильную электронную подпись можно использовать в продуктах компании ЭОС и в мобильных приложениях «КриптоАРМ» и «Трансфер Подпись». Рисунок 3. Рутокен BluetoothNFCПри третьем способе подключения используется беспроводной протокол NFC. Смарт-карту Рутокен достаточно приложить к считывателю NFC — и можно будет передать на карту электронный документ для подписи.Также USB-токены Рутокен полностью совместимы с технологией Samsung DeX, что позволяет получить полноценное рабочее место на базе Android с возможностью электронной подписи документов.  Также можно использовать мобильное приложение для Android «Удаленный доступ (RDP) к компьютеру с Рутокен» для электронной подписи документов на удаленном ПК с использованием Рутокена, подключенного к смартфону, и VPN-клиент с возможностью хранения ключа на токене. Рутокен для систем дистанционного банковского обслуживанияПродукция компании «Актив» занимает лидирующие позиции в системах дистанционного банковского обслуживания (ДБО). Сотни банков внедрили поддержку Рутокен ЭЦП 2.0 в свои системы ДБО и ежедневно совершают с его помощью тысячи транзакций.В этом им помогает Рутокен Плагин — программное обеспечение, предоставляющее web-приложениям интерфейс для работы с токенами, генерации ключевых пар, хэширования, шифрования и электронной подписи. Простой и понятный, он позволяет в короткое время интегрировать ДБО с продуктами Рутокен с использованием практически любых браузеров для ПК и Mac.Специально для рынка ДБО компания «Актив» разработала продукт Рутокен PINPad. Он представляет собой USB-токен, дополненный экраном, который позволяет отображать детали финансовых транзакций не на мониторе компьютера, а на собственном. Подпись происходит после подтверждения оператором в виде нажатия на экран устройства. Так важные и крупные финансовые транзакции будут защищены от мошенничества путем подмены реквизитов транзакции на фальшивые.Важным достоинством Рутокен PINPad является то, что он представляет собой полностью готовое к работе устройство, а не конструктор в виде экрана с разъемами, к которым нужно подключать токены или смарт-карты. Рутокен PINPad сертифицирован ФСБ России как СКЗИ и средство неавтоматической электронной подписи с визуализацией подписываемых данных. Рисунок 4. Рутокен PINPad  Рутокен для двухфакторной аутентификацииКажется невероятным, но восемь символов пароля — это все, что защищает информационные системы организации от кражи данных и уничтожения. А если пароль написан прямо на мониторе, подсмотрен через плечо или перехвачен вредоносной программой, то доступ для злоумышленника полностью открыт. Поэтому для надежной защиты необходимо обязательно использовать двухфакторную аутентификацию.Работает она следующим образом. Каждому сотруднику выдается аппаратное устройство — USB-токен или смарт-карта. Факт обладания этим устройством является первым фактором аутентификации. Если токен будет утерян или украден, то его владелец сразу же это заметит и токен будет заблокирован для дальнейшего использования. Перед аутентификацией токен необходимо подключить к компьютеру и разблокировать, введя аналог пароля — PIN-код. Знание этого PIN-кода будет являться вторым фактором аутентификации. Без обладания токеном PIN-код бесполезен.Есть два способа организации двухфакторной аутентификации. Если в компании развернута инфраструктура открытых ключей (PKI), например на базе Microsoft Certification Server, то можно использовать встроенные возможности Microsoft Windows и обойтись без закупки и установки дополнительного программного обеспечения.А для случаев, когда PKI отсутствует или в организации есть компьютеры, не подключенные к общей сети, компания «Актив» создала собственный продукт Рутокен Логон. Он устанавливается на каждый защищаемый компьютер и реализует на нем возможность двухфакторной аутентификации.Также двухфакторная аутентификация может быть реализована с помощью прикладных систем или систем единого входа (Single Sign-On). Так, по результатам проведенных компанией SAP испытаний, было признано, что продукты Рутокен полностью совместимы с флагманским продуктом SAP HANA. Сертификаты совместимости с продуктами Citrix и VMWare находятся в стадии подготовки. А все российские производители систем SSO давно являются партнерами компании.Компания «Актив» выводит на рынок новый продукт Рутокен U2F, реализующий относительно новый стандарт FIDO U2F для двухфакторной аутентификации на таких сайтах и web-сервисах,  как Google GMail, Drive, Cloud; Youtube; Facebook; LastPass; Dropbox; Evernote; WordPress; Github. Рутокен U2F работает в любых браузерах Google Chrome (версия 38+), Firefox (версия 62+), Opera (40+) на Windows, macOS и Linux.  Один токен может использоваться для доступа к различным сайтам и сервисам. Также с помощью Рутокен U2F можно настроить двухфакторную аутентификацию в корпоративных публичных и закрытых сервисах. Рисунок 5. Рутокен U2F и Рутокен OTP  А если организации необходимо реализовать классический механизм одноразовых паролей — One Time Password (OTP), то для этого может быть использован Рутокен OTP, который появится на рынке в этом году. Он подключается к компьютеру с использованием интерфейса USB. Когда пользователю будет необходимо ввести пароль, он нажмет на кнопку, находящуюся на токене — и пароль будет автоматически введен в необходимое поле формы аутентификации. Рутокен для защиты удаленного доступаЕсли сотрудник отправляется в командировку, в офис заказчика или работает из дома, то есть пользуется общедоступными каналами, то помимо двухфакторной аутентификации в сеть организации необходимо шифрование и подписание передаваемой информации, чтобы предотвратить кражу или изменение данных при передаче. Эту задачу успешно решает продукт Рутокен VPN. Его серверная часть реализована в виде небольшого аппаратного модуля или виртуальной машины, а клиентская может быть установлена на компьютер или мобильное устройство. Для реализации криптографических операций и двухфакторной аутентификации на клиенте используются токены и смарт-карты Рутокен. Интерфейс максимально простой, не требует внедрения PKI, а встроенный портал самообслуживания позволяет переложить часть задач по настройке с системных администраторов на сотрудников.Если в организации уже установлен сервер OpenVPN, то компания «Актив» предлагает использовать собственный клиент для операционной системы Android, реализующий двухфакторную аутентификацию.Также Рутокен ЭЦП 2.0 и Рутокен ЭЦП PKI позволяют защитить подключения к удаленным рабочим столам, устанавливаемые с помощью технологий Citrix, Microsoft и VMWare. Управление токенами и сертификатамиЧтобы создать ключи электронной подписи для нового сотрудника и выдать подписанный сертификат на токене, необходимо выполнить множество последовательных действий. Когда сертификаты устаревают, их необходимо обновлять. Когда сотрудники теряют свои токены, им необходимо выдавать новые и заново создавать ключи и сертификаты. У увольняющихся сотрудников необходимо забрать токены и поместить их сертификаты в список отозванных. Если в компании достаточно большое количество сотрудников, то высококвалифицированным системным администраторам придется тратить много времени только на управление сертификатами и токенами. А поскольку токены и смарт-карты могут являться СКЗИ, то, в соответствии с законодательством, придется вести журнал учета.Чтобы решать эти проблемы, и был создан Рутокен KeyBox. Он позволяет администраторам эффективно управлять жизненным циклом ключевых носителей удобным и безопасным способом. А также вести журнал и осуществлять аудит действий с ключевыми носителями, автоматизировать процессы управления сертификатами пользователей, выполнять резервное копирование ключевой информации. Разработчики Рутокен KeyBox уделили особое внимание вопросу удобства для конечных пользователей, в том числе при работе с web-порталом самообслуживания, сотрудники могут самостоятельно, без участия администратора, выписать себе сертификат (в соответствии с политиками организации) и поместить его на токен. Рисунок 6. Рутокен KeyBox  Возможно использование Рутокен KeyBox совместно с удостоверяющими центрами и с криптопровайдерами,  поддерживающими российские криптографические стандарты. Рутокен KeyBox в первую очередь ориентирован на поддержку линейки продуктов Рутокен. В нем реализована поддержка практически всех популярных ключевых носителей. Использование в ЕГАИСПродукты Рутокен считаются наиболее надежным инструментом для Единой государственной автоматизированная информационной системы (ЕГАИС), предназначенной для государственного контроля над объемом производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции. Это подтверждается минимальным количеством вышедших из строя токенов и положительными отзывами пользователей и экспертов отрасли. Ключевые носители РутокенКак уже говорилось, под брендом Рутокен выпускаются USB-токены и смарт-карты. По своему устройству и функциональности оба вида продукции очень похожи, отличаясь в основном форм-фактором и интерфейсом подключения к компьютеру, который у USB-токенов уже впаян в устройство, а у смарт-карт является отдельным внешним элементом. Поэтому в дальнейшем продукцию в этих двух форм-факторах мы будем называть просто токенами. Рисунок 7. USB-токены и смарт-карты Рутокен    Рутокен может состоять из трех частей:интерфейс взаимодействия с ПК или считывателем смарт-карт;защищенная память для хранения ключей шифрования, сертификатов, паролей и прочей критически важной информации;криптографическое ядро, реализующее алгоритмы электронной подписи, симметричного и асимметричного шифрования, хэширования и генерации ключевых пар.В смарт-карты можно интегрировать дополнительные беспроводные интерфейсы — NFC и RFID. Благодаря этому они, помимо своего основного назначения, могут быть использованы для беспроводного обмена данными и в системах контроля и управления доступом (СКУД). Смарт-карты можно использовать для большего количества задач. Например, одна и та же карта может быть использована в качестве пропуска с фотографией, устройства для подписания электронных документов и устройства для двухфакторной аутентификации с помощью интерфейса NFC.USB-токены могут выпускаться в корпусах стандартного или уменьшенного размера. Таблица 1. Особенности различных моделей РутокенМодельКриптографическое ядроОбъем защищенной памятиОсобенностьОсновное назначение устройстваРутокен ЭЦП PKI, Рутокен ЭЦП PKI Type-CОптимизировано для использования алгоритмов RSA-1024 и RSA-204864КбСкоростная реализация зарубежных криптоалгортимовДвухфакторная аутентификация, защита подключения к удаленным рабочим столам с помощью технологий Citrix, Microsoft и VMWareРутокен ЭЦП 2.0 Type-CОптимизировано для использования алгоритмов ГОСТ ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-201264КбОбладает интерфейсом USB Type-CЭлектронная подпись и двухфакторная аутентификация для мобильных устройств на базе Android и компьютеров MacBookРутокен 2151Оптимизировано для использования алгоритмов ГОСТ ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-201272КбОснащен отечественной микросхемой, произведенной компанией «Микрон», проходит сертификацию ФСБ КС3Электронная подпись, системы ДБО, ЕГАИС, защита удаленного подключенияРутокен ЭЦП 2.0 FlashОптимизировано для использования алгоритмов ГОСТ ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012. Обладает повышенной производительностью по сравнению с криптоядром обычного Рутокен ЭЦП 2.0128Кб + 4-64Гб Flash-памяти для хранения файловЯвляется комбинацией USB-токена и защищенного флэш-диска. Совместно с ПО Рутокен Диск позволяет надежно хранить данные вне корпоративных информационных системЭлектронная подпись и защищенное хранение файловРутокен ЭЦП 2.0Оптимизировано для использования алгоритмов ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-201264КбКриптографический токен для квалифицированной электронной подписи и шифрования с аппаратной поддержкой ГОСТ 2012Электронная подпись, системы ДБО, ЕГАИС, защита удаленного подключенияРутокен PINPadОптимизировано для использования алгоритмов ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-201264КбОснащен дисплеем, отображающим содержимое подписываемой транзакцииЭлектронная подпись финансовых транзакций в системах ДБОРутокен ЭЦП BluetoothОптимизировано для использования алгоритмов ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-201264КбОбладает как интерфейсом USB для работы с ПК, так и беспроводным интерфейсом Bluetooth для работы с мобильными устройствамиЭлектронная подпись для мобильных устройств на базе iOS и AndroidРутокен LiteОтсутствует, для выполнения криптографических операций необходима установка программного криптопровайдера64КбТолько хранение секрета.Для вычисления электронной подписи требуется внешнее программное средствоЭлектронная подпись, хранение паролей и иных секретных данных Поскольку компания «Актив» является разработчиком полного цикла и самостоятельно создает все программное обеспечение — от карточной операционной системы до веб-сервисов, то обладает возможностью предоставлять регуляторам  ФСТЭК и ФСБ гораздо больше информации, которая требуется для сертификации по высоким классам.Продукты Рутокен сертифицированы ФСТЭК России на соответствие требованиям НДВ3 и НДВ4, а также ФСБ на соответствие требованиям КС1 и КС2.Надежность продукции Рутокен косвенно подтверждается тем, что несколько сотен партнеров активно используют токены и смарт-карты при внедрении своих решений. В настоящий момент в эксплуатации находятся миллионы устройств. При этом по статистике, предоставленной компанией «Актив», гарантийный выход из строя устройств Рутокен за последние 10 лет не превышает 0,017%. Программное обеспечение РутокенКомпания «Актив» самостоятельно создает не только аппаратные токены, но и программное обеспечение для них. Создана и поддерживается карточная операционная система, полный набор драйверов, криптопровайдер, минидрайвер, система управления токенами и сертификатами Рутокен KeyBox, комплект разработчика (SDK) и плагин для браузера Рутокен Плагин. Программное обеспечение, которое компания считает критически важным для пользователей Рутокен, зарегистрировано в Едином реестре отечественного ПО. Таблица 2. Программное обеспечение Рутокен для решения различных задач  ЗадачаПродукт компании «Актив»Защита конфиденциальных данныхРутокен Диск создает специальные скрытые дисковые разделы на носителях с флеш-памятью Рутокен ЭЦП 2.0 Flash, для безопасного хранения конфиденциальной информацииДистанционное банковское обслуживаниеСочетание Рутокен Плагина с устройствами семейства Рутокен ЭЦП 2.0 позволяет создавать комплексные решения для ДБО, решая все типичные задачи использования электронной подписи и аутентификацииБезопасная аутентификацияРутокен Логон — защищает вход в Windows используя Рутокен вместо обычного пароля. Даже на не доменных компьютерах при входе в Windows будет использоваться двухфакторная аутентификацияАдминистрирование и управление жизненным циклом ключевых носителейРутокен KeyBox — это средство администрирования и управления жизненным циклом всех популярных токенов и смарт-карт в РФ. Решение предназначено для организаций, внедряющих двухфакторную аутентификацию. Настраивает связующее звено между пользователями, средствами аутентификации и политиками безопасности, которые приняты в компании. Поддерживает отечественные криптопровайдеры и удостоверяющие центры ВыводыНикто не может предсказать, какие новинки появятся в сфере информационной безопасности уже завтра. Но на сегодня продукция Рутокен, построенная на основе самых современных технологий и востребованная миллионами потребителей, успешно зарекомендовала себя на рынке информационной безопасности. Решения на базе Рутокен проверены временем. Собственное производство в Москве позволяет компании «Актив» выпускать действительно качественные и надежные продукты. В стационарных компьютерах и ноутбуках, в Android- и iOS-устройствах, даже в кассовых терминалах — Рутокен работает везде, пройдя многократное тестирование на совместимость с любым программным обеспечением и аппаратными компонентами.

Читать далее

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Выбор корпоративных средств защиты

  • Сообщения

    • Ego Dekker
      Актуальные версии антивируса 16-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 16.2.15.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Желательно чтобы uVS проверял записи защитника и помечал все файлы в исключениях как подозрительные. Если есть информация почему она не используется? https://forum.kasperskyclub.ru/uploads/monthly_2020_12/1607963082071-1990362701.thumb.jpg.fce65d13df469559a736960ab2de447a.jpg    
    • AM_Bot
      Пассворк — современный менеджер паролей для компаний, организаций и бизнеса

      От AM_Bot · Опубликовано

      В обновлённом релизе корпоративного менеджера паролей «Пассворк 6.0» представлен ряд улучшений для более гибкой и комфортной совместной работы с паролями, оптимизированы пользовательский интерфейс и раздел настроек, усилена безопасность.      ВведениеКогда будет полезен менеджер паролей «Пассворк»Функциональные возможности «Пассворк»3.1. Сейфы и папки3.2. Работа с паролями3.3. Управление пользователями и безопасность3.4. Прочие возможности и особенностиНовые возможности «Пассворк 6.0»4.1. Ярлыки4.2. Безопасная отправка паролей4.3. Оптимизация работы с LDAP4.4. Управление настройками4.5. Прочие улучшенияВыводыВведениеЦифровизация жизни современного человека привносит в повседневность удобство и комфорт, экономит время. Множество различных веб-сервисов и приложений для работы, спорта, здоровья, шопинга и т. п. рано или поздно накапливаются у каждого пользователя, и наступает момент упорядочить хаос доступов в удобную структуру. А если речь заходит о бизнесе или госсекторе, то важнейшими атрибутами становятся безопасность и возможность коллективной работы с конфиденциальными данными.Настанет день, когда придётся задаться простым вопросом: где хранить сотни корпоративных паролей и как ими делиться с коллегами?Единственным на данный момент продуктом подобного типа, внесённым в реестр Минцифры России, является корпоративный менеджер паролей «Пассворк», который начал свой путь ещё в 2014 году и за прошедшее время завоевал симпатии сотен компаний.«Пассворк» упрощает совместную работу с доступами к корпоративным сервисам и обеспечивает при этом необходимую безопасность.Парольные данные в «Пассворк» зашифрованы, хранятся строго на серверах клиента, не выгружаются в облако и не передаются наружу. Отдел ИБ управляет правами пользователей, контролирует все действия с паролями и проводит аудит безопасности.Необходимые доступы к корпоративным ресурсам всегда находятся у сотрудника под рукой: «Пассворк» представлен не только в виде удобной веб-платформы, но и в качестве мобильного приложения (Android, iOS), а также расширения для браузера (поддерживаются Chrome, Firefox, Edge, Safari).Когда будет полезен менеджер паролей «Пассворк»Допустим, компанию покинул работник — службе безопасности необходимо знать, какие пароли к каким сервисам необходимо изменить. Если, наоборот, в компанию поступил новый человек, то необходимо оперативно выдать доступ к ресурсам с учётом рисков испытательного срока. Менеджер паролей для бизнеса «Пассворк» позволяет экономить время в рутинных делах, удобно организовывая безопасную работу с паролями в компании.Зачастую доступ к самым ценным данным есть у ограниченного круга сотрудников. В случае когда важный работник отдела не на связи, а логин и пароль к нужному ресурсу по той или иной причине находятся только у него, корпоративные данные рискуют оказаться заблокированными. «Пассворк» позволяет организовать контролируемый доступ к важным данным компании без задержек для бизнеса, при этом снижая риски в информационной безопасности.В случае роста компании и увеличения штата администраторов в «Пассворк» безопасно устроена совместная работа с базой паролей, что усиливает киберзащиту, исключая утечки данных из внешних облачных хранилищ.Рабочих сценариев, когда «Пассворк» экономит время и оказывается полезным, множество. Помимо корпоративной безопасности парольный менеджер ориентирован на удобство в рутинных задачах, что делает его важным инструментом сотрудников на каждый день.Предлагаем рассмотреть возможности и взглянуть на интересные решения актуальной на этот момент версии корпоративного менеджера паролей «Пассворк» — 6.0.Функциональные возможности «Пассворк»Сейфы и папкиИспользуя принцип защищённых контейнеров (сейфов), «Пассворк» хранит пароли в зашифрованном виде на сервере организации. Рисунок 1. Зашифрованное хранилище паролей (сейф) Сейф может содержать как пароли, так и вложенные папки. Папка тоже является контейнером и позволяет структурировать пароли в рамках сейфа, объединяя тематически схожие кодовые слова в удобные иерархические структуры.«Пассворк» поддерживает два типа сейфов: доступ в личный сейф есть только у его владельца, доступ к сейфам организации определяется политикой доступа.256-битный мастер-пароль ограничивает доступ к каждому сейфу и автоматически генерируется случайным образом при создании хранилища. Криптографический алгоритм (ГОСТ или AES-256, на выбор администратора) отвечает всем современным требованиям по безопасности. Рисунок 2. Импорт данных в сейф «Пассворк» Поддерживается возможность импортировать пароли в сейф из файлов CSV, JSON или в формате KeePass XML.Администратор может создать, переименовать, удалить сейф или просмотреть историю действий с ним, а также добавить или удалить пользователя, просмотреть права доступа к сейфу. Рисунок 3. Добавление пользователя в папку Ролевая модель позволяет удобно разграничить права доступа работников компании к сейфам на этапе добавления пользователя.Работа с паролямиПароли можно редактировать, копировать в буфер или отправлять другому пользователю системы. Есть история действий с паролями для отслеживания всех редакций. Рисунок 4. Добавление нового пароля в «Пассворк» При добавлении новых реквизитов доступа необходимо заполнить ряд стандартных полей, а также активировать дополнительные опции, если нужно — например, добавить поле для секрета двухфакторной аутентификации или указать тег для дополнительной категоризации.Нельзя не отметить, что разработчики удобно внедрили опцию генерации паролей в одноимённое поле. По щелчку можно быстро сгенерировать пароль с учётом всех требований по сложности и безопасности.История изменений пароля отображается на вкладке «История действий», рядом на вкладке «Редакции» можно откатиться к предыдущим версиям пароля.Поле «Поиск» позволит найти строки во всей базе с учётом прав доступа. Рисунок 5. Поиск по базе доступов в «Пассворк» Здесь же можно быстро отфильтровать данные по цветовым меткам или тегам.«Пассворк» позволяет безопасно поделиться паролем с конкретным сотрудником напрямую, отправив пароль в личные сообщения. Рисунок 6. Личные доступы в «Пассворк» У владельца сохраняется контроль над паролем, все изменения будут отображаться у всех сотрудников, с кем пользователь поделился данными.Также возможно безопасно передать пароль в виде URL любому человеку за пределы «Пассворк» (но в пределах периметра сети компании), создав одноразовую ссылку или ссылку со сроком жизни.Управление пользователями и безопасностьКак мы отметили выше, в «Пассворк» реализована гибкая ролевая модель: каждому пользователю назначаются определённые уровни доступа к паролям. Рисунок 7. Управление пользователями в «Пассворк» По каждому пользователю представлено своего рода досье: роль, сейфы, активные доступы, статус, настройки, последние действия. Здесь же можно деактивировать, отредактировать и удалить учётную запись, сбросить её пароль, настроить права и применить роль. В один щелчок деактивированный пользователь лишается доступа ко всем паролям организации.Для регистрации нового пользователя в системе администратор в ручном режиме создаёт новый аккаунт или генерирует ссылку-приглашение для самостоятельной регистрации, после которой потребуется подтверждение от администратора (лично или через специальный код). Рисунок 8. Панель безопасности в «Пассворк» В сводной панели администраторы могут обзорно оценить текущее состояние системы. «Пассворк» собирает все события и метаданные, которые связываются с паролями, и на базе анализа даёт заключения и рекомендации.Панель интерактивна, можно по наведению курсора получить подсказку о рисках и статусе, быстро внести необходимые изменения, по щелчку переходя в соответствующий раздел. Рисунок 9. История действий в «Пассворк» Полезная функция для проведения аудита безопасности или расследований — запись всех действий пользователей и администраторов в системе. История действий может быть экспортирована по протоколу Syslog в комплексы управления событиями (SIEM).Прочие возможности и особенностиОбзорно отметим наиболее важные особенности «Пассворк»:Устанавливается на локальные серверы, все данные шифруются, доступ и контроль осуществляет только заказчик.Гибкое управление пользователями и правами.Поддержка Active Directory / LDAP позволяет проводить авторизацию в среде «Пассворк» по соответствующему протоколу.Поддержка прикладного интерфейса (API) для более богатого обмена данными с инфраструктурой компании.Поддержка сквозного входа (SAML SSO) и двухфакторной аутентификации благоприятна для безопасности и экономит время.Открытый исходный код позволяет провести аудит на предмет уязвимостей или нелегитимных функций.Полностью российский продукт, входит в единый реестр российского ПО.Поддерживает кластеризацию и позволяет организовать отказоустойчивую инфраструктуру.Гибкое лицензирование удовлетворит потребности компании на любом этапе роста.Сертифицированный партнёр Astra Linux и «РЕД СОФТ».Простой интерфейс и быстрая интеграция в любую ИТ-инфраструктуру.Поддержка алгоритмов шифрования ГОСТ открывает возможности для внедрения «Пассворк» в государственном секторе и отвечает политике импортозамещения.Качественный портал с документацией и оперативная техподдержка.Расширение «Пассворк» для браузера является полноценным приложением для работы с паролями, которое включает в себя следующие функции: доступ ко всем паролям, автоматическое сохранение данных и заполнение форм аутентификации, добавление и редактирование паролей, поиск, генератор паролей, блокировка расширения ПИН-кодом. Рисунок 10. Вид мобильной версии менеджера паролей «Пассворк» Мобильная редакция «Пассворк» поддерживает все ключевые возможности настольной версии и гарантирует, что важные данные компании защищены и находятся всегда под рукой у сотрудника.Новые возможности «Пассворк 6.0»В «Пассворк 6.0» расширены возможности совместной работы с паролями, усилена безопасность действий администраторов, улучшено управление LDAP, добавлены новые уведомления и в целом оптимизирован интерфейс, что делает взаимодействие с программным комплексом ещё более удобным в повседневной корпоративной рутине.ЯрлыкиЕщё один способ быстро предоставить дополнительный доступ к паролю — создать ярлык. Теперь нет необходимости дублировать пароли в разных сейфах, достаточно создать несколько ярлыков в нужных директориях, и команда получит доступ к паролю. Рисунок 11. Дополнительный доступ к паролю через ярлык в «Пассворк» В случае смены пароля коллеги будут в курсе всех изменений: в зависимости от настроек ролевой модели пользователи имеют возможность просматривать или редактировать данные через ярлык.Безопасная отправка паролейТеперь, когда администратор выдаёт доступ к паролю (через «Входящие» или ярлык), пользователю предоставляется доступ непосредственно к кодовому слову без выдачи «частичного доступа» в сейф. Рисунок 12. Отправка пароля сотруднику в «Пассворк» Такой подход повышает общую безопасность системы и усиливает контроль доступа как к сейфам, так и к определённым паролям.Оптимизация работы с LDAPРазработчики изменили интерфейс раздела LDAP в «Пассворк» и переосмыслили логику управления пользователями: добавлять новые учётные записи посредством протокола LDAP стало проще и безопаснее, особенно если активировано клиентское шифрование.Теперь при первом входе в систему работник самостоятельно устанавливает мастер-пароль и после этого администратор подтверждает добавление нового пользователя. Рисунок 13. Добавление нового пользователя из LDAP в «Пассворк» Добавление новых пользователей из AD происходит через отдельное модальное окно, а зарегистрированные ранее представлены на вкладке «Пользователи». Все данные обновляются в фоновом режиме.Важно отметить, что «Пассворк 6.0» отображает больше данных о группах безопасности: те, которые связаны с ролями или не подгрузились после обновления, помечаются соответствующими тегами. Так администратор видит, что необходимо изменить настройки поиска или удалить группу из списка, плюс это даёт информацию о том, какие именно пользователи входят в состав каждой группы безопасности.Управление настройкамиВендор доработал раздел настроек: переосмыслил логику и привёл всё к единому визуальному стилю. Рисунок 14. Оптимизированные системные настройки в «Пассворк» В настройках системы на вкладке «Глобальные» все, у кого есть соответствующий уровень доступа к сейфу (права на редактирование и выше), могут создавать ссылки на пароли и отправлять их другим пользователям «Пассворк».В «Пассворк 6.0» любые изменения в настройках необходимо подтверждать для устранения рисков от случайных действий; для этого добавлены кнопки «Сохранить» и «Отменить изменения» в системных настройках.Также сотрудники теперь могут самостоятельно настроить индивидуальный тайм-аут для выхода из системы; администраторы задают только максимальную длительность сеанса при неактивности.Администраторы могут разрешить пользователям самостоятельно выбирать язык интерфейса.Прочие улучшенияВ контексте оптимизации интерфейса в «Пассворк 6.0» доработали перетаскивание: теперь система предлагает действия на выбор (переместить, копировать или создать ярлык). Рисунок 15. Улучшенный интерфейс при перетаскивании Также выделим из улучшений:Отдельные окна для доступа в сейф и дополнительного доступа. Информация о доступе теперь отображается в двух окнах: в одном — пользователи и роли, у которых есть доступ в сейф, в другом — доступ к паролям из сейфа через ярлыки, ссылки или отправленные пароли.Кнопки действий с паролем. Для оптимизации работы с паролем добавлена кнопка «Редактировать», а для дополнительного доступа к паролю — кнопки для ярлыка, ссылки или отправки лично пользователю.Дополнительные поля при импорте и экспорте паролей. «Пассворк 6.0» позволяет перенести не только логин и пароль, но и дополнительную информацию, которая хранится внутри карточки пароля.Новые уведомления. Администраторы теперь получают уведомления о новых неподтверждённых пользователях, а сотрудники — о новых паролях во «Входящих».Более полная информация о «Пассворк 6.0» представлена на официальном ресурсе вендора.Разработчик отмечает, что для обновления до версии 6.0 необходимо выполнить несколько шагов по инструкции: сначала обновиться до версии 5.4, пройти миграцию данных и подтвердить это на клиентском портале «Пассворк».ВыводыКорпоративный менеджер паролей «Пассворк» — программный комплекс от российского разработчика, минималистичный удобный продукт для безопасной совместной работы с паролями в компании.«Пассворк» функционирует на базе защищённых хранилищ (сейфы), которые могут содержать парольные данные от любых систем (веб-ресурс, сервер, приложение, накопитель и т. д.), файлы ключей или сертификатов.Браузерное расширение и мобильное приложение, удобная иерархическая структура, полная интеграция с Active Directory / LDAP, авторизация с помощью SSO и 2FA, собственный API, ролевая модель доступа и отслеживание действий сотрудников обеспечивают безопасность, гибкость и комфорт в рутинных процессах организации каждый день.Программный комплекс разворачивается на мощностях компании-заказчика, данные хранятся в зашифрованном виде согласно требованиям регуляторов (ГОСТ или AES-256), что в контексте импортозамещения последних лет добавляет платформе веса. Кроме того, «Пассворк» поставляется с открытым исходным кодом, зарегистрирован в реестре отечественного ПО, имеет гибкую схему лицензирования, которая подойдёт как крупной состоявшейся корпорации, так и начинающей свой путь компании.«Пассворк» востребован на рынке РФ, ему доверяет множество организаций с 2014 года, продукт постоянно развивается и растёт. В свежем релизе «Пассворк 6.0» оптимизирован интерфейс, совместная работа стала ещё более гибкой и удобной, переработаны и расширены настройки, усилены безопасность и контроль за действиями пользователей, что увеличивает возможности специалистов по безопасности при расследовании инцидентов и предотвращении утечек конфиденциальных данных. Всё это делает «Пассворк» важным инструментом в корпоративном арсенале для продуктивной и безопасной совместной работы с данными доступа.Читать далее
    • Ego Dekker
      Актуальные версии антивируса 6-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для macOS были обновлены до версии 6.11.414. Добавлена поддержка macOS Sonoma (версия 14).
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Можно добавить в uVS Категорию: Автоскрипт: "Вариант" т.е. оператор пишет скрипт > отдаёт команду - запомнить. Команда запоминаться. ( записывается в файл ) ( или это происходить автоматически по настройке - settings.ini ) В конце концов формируется файл с сотнями команд. ( команды - дубли исключаются ) Оператор может открыть Категорию и посмотреть что ему предлагается = Вариант... Фактически Оператору  предлагаться сырой вариант скрипта ( на основе предшествующего... опыта ) Но всё это сразу не идёт  в сам скрипт. А отображается в Категории - "Вариант"    
×