Pull to refresh
0

Корпоративная мобильная безопасность и управление доступом пользователей

Reading time 4 min
Views 2.5K
Периметр ИТ-безопасности постоянно меняется и деформируется под влиянием облачных вычислений, проникновения ИТ в жизнь пользователей и интенсификации рабочего времени. Лицам, принимающим решения в сфере информационных технологий и информационной безопасности, приходится находить тонкий баланс между соблюдением безопасности корпоративных данных и сохранением простоты, доступности и удобства в эксплуатации, которого ожидают пользователи. Потребность в том, чтобы закрыть пробел между идентификацией пользователя и обеспечением мобильного доступа, привела к развитию инновационных решений для управления идентификационными данными и управления доступом (IAM), обзор которых мы и предлагаем ниже.



Итак, в чем же заключается фундаментальная проблема безопасности при реализации корпоративных инициатив по расширению мобильного доступа?

В первую очередь, и это самая главная проблема, по умолчанию доступ к большинству корпоративных приложений защищен всего лишь статичным паролем, который может быть скомпрометирован или похищен как с помощью фишинга или перебора, так и посредством взлома пользовательских баз данных, например, используемых организациями и поставщиками облачных сервисов. Развитие облачных приложений в корпоративном окружении – таких как Salesforce, AWS или Office 365, привело к тому, что пользователям теперь приходится запоминать по множеству пар имен пользователей и паролей для выполнения своих непосредственных рабочих задач, в результате чего у них появляется синдром, получивший название «парольная усталость». Более того, приложения, доступ к которым осуществляется снаружи корпоративного брандмауэра, защищены исключительно статическими паролями. Совершенно очевидно, что использование статических паролей ставит под угрозу данные и компьютерные сети организаций. А с учетом того, что сотрудники нередко используют по два и более мобильных устройства в рабочих целях, опасения о поводу безопасного доступа лишь возрастают.

По данным Отчета Verizon о расследованиях утечек данных за 2016 год, фактически 63% утечек данных стали возможными за счет использования взломанных, украденных или повторно используемых паролей (recycled passwords), и влияние этих утечек можно бы было сократить, если бы применялась двухфакторная аутентификация (2FA).

К счастью, организации начинают проявлять осторожность и постепенно внедряют соответствующие механизмы управления доступом. Согласно недавнему опросу Gemalto, 40%организаций по всему миру в настоящее время внедряют механизмы двухфакторной аутентификации для обеспечения безопасного доступа к своим сетям и приложениям. Поэтому «уровень уверенности» того, что пользователь действительно является тем, за кого он себя выдает, значительно увеличивается, и не важно, идет ли речь о доступе к корпоративным ресурсам, осуществляемом снаружи корпоративного брандмауэра, или о доступе к корпоративным ресурсам с мобильных устройств.

Второй наиболее часто упоминаемой проблемой после безопасности является то, что расширение мобильного доступа приводит к созданию дополнительной нагрузки на ИТ-менеджмент, при этом руководству приходится задумываться о том, что увеличение гибкости будет создавать дополнительную нагрузку на персонал.

Третьей наиболее распространенной проблемой являются издержки.

IAM решения для защищенного мобильного доступа


Но что же именно следует предпринимать организациям, с одной стороны испытывающим давление бизнес-руководства, которое требует повышать мобильность для увеличения продуктивности сотрудников, а с другой стороны – опасения по поводу безопасности, увеличения нагрузки на ИТ-менеджмент и повышению издержек?

К счастью, существуют различные инновации в области технологий аутентификации, благодаря которым повышение мобильности можно сделать более безопасным, доступным и комфортным для пользователя и удобным с точки зрения управления. В число этих инноваций входят сервисы, доставляемые с помощью облачных технологий, такие как аутентификация в виде сервиса и управление учетными записями в виде сервиса (identity-as-a-service). Они позволяют снизить затраты на обеспечение более высокого уровня безопасности в виде многофакторной аутентификации и технологий управления доступом за счет устранения необходимости ежедневных операционных издержек, связанных с техническим обслуживанием и эксплуатацией этих решений. При перемещении в облако административной нагрузки, в том числе связанной с обслуживанием программного и аппаратного обеспечения, установкой патчей безопасности, созданием резервных копий и восстановлением данных, обеспечением избыточности и высокой доступности инфраструктуры, стоимостной барьер при реализации более эффективных решений для обеспечения безопасного доступа заметно снижается.

С точки зрения улучшения юзабилити для мобильных сотрудников, существует технология единого входа в систему (single sign-on, SSO), которая призвана избавить пользователей от «парольной усталости» за счет обеспечения единого имени пользователя и пароля для доступа ко всем рабочим приложениям – вместо 15, 20 или 25 подобных пар. Единый вход можно реализовать с помощью целого множества различных протоколов и технологий, например, SAML 2.0, сохранения паролей (password vaulting), обратных прокси или технологии Open ID Connect.

Еще одной инновацией, которая обеспечивает защищенный и удобный для пользователя мобильный доступ, является использованием смарт-сканеров PKI Bluetooth Smart readers. Эти Bluetooth смарт-сканеры считывают защищенные с помощью PKI учетные данные, присутствующие на смарт-картах и USB-токенах, и отправляют их по протоколу Bluetooth Smart на мобильные устройства, фактически обеспечивая PKI аутентификацию через Bluetooth соединение. Сканеры PKI Bluetooth Smart позволяют реализовать более сложные сценарии использования PKI на мобильных устройствах – все то, что до сегодняшнего дня можно было выполнить на ноутбуках или настольных компьютерах. Расширенные сценарии использования PKI включают в себя цифровые подписи, например, при выписывании электронных рецептов, сдаче налоговой отчетности и т.д., шифрование и дешифрование почтового трафика, а также механизмы двухфакторной аутентификации на основе PKI для онлайн-приложений и даже для контейнеризации корпоративных мобильных приложений.

К примеру, PKI Bluetooth смарт-сканер считывает со смарт-карты зашифрованные с помощью PKI данные, отправляет их на промежуточное ПО, установленное на планшете или смартфоне пользователя, и таким образом обеспечивает возможность полноценной работы с различными приложениями, где требуется PKI сертификация, которые ранее были доступны лишь на настольных ПК и ноутбуках.

Таким образом, это позволяет повысить мобильность во множестве различных вертикальных применений, не пренебрегая соображениями корпоративной безопасности, и н вызывая «усталость» у пользователя.
Tags:
Hubs:
+2
Comments 1
Comments Comments 1

Articles

Information

Website
www.gemalto.com
Registered
Founded
Employees
Unknown
Location
Россия