diff --git a/src/security/Cloud-MFA/about.md b/src/security/Cloud-MFA/about.md new file mode 100644 index 0000000..b531635 --- /dev/null +++ b/src/security/Cloud-MFA/about.md @@ -0,0 +1,39 @@ +# Cloud Multifactor Authentication (MFA) + +## Назначение сервиса + +Сервис **Cloud Multifactor Authentication (MFA)** обеспечивает многоэтапную проверку подлинности при входе в систему. В отличие от стандартной аутентификации по паролю, MFA требует от пользователя предоставления дополнительных данных, что повышает безопасность доступа. + +Сервис может предоставляться как самостоятельное решение или как опция к существующим сервисам платформы. Реализован на базе российского программного обеспечения **Multifactor**. + +## Задачи сервиса + +- защита информационных систем от несанкционированного доступа и компрометации учётных данных; +- усиленный контроль доступа к данным и приложениям. + +Выполнение требований стандартов в сфере информационной безопасности: +- PCI-DSS; +- HIPAA; +- SOX; +- NERC; +- FISMA; +- ISO; +- GLBA; +- GPG13 и т.д. + +## Особенности и конкурентные преимущества сервиса + +- сервис функционирует в соответствии с моделью **Zero Trust**: пароли пользователей не передаются и не обрабатываются в Multifactor; +- пользователи могут самостоятельно настроить аутентификацию при первом входе без предварительной регистрации; +- функционал доступен через веб-браузер, не требует установки плагинов, драйверов или дополнительных приложений; + +Сервис поддерживает следующие факторы: +- бот в Telegram; +- биометрия; +- U2F; +- FIDO; +- OTP; +- Google Authenticator; +- Яндекс.Ключ; +- Звонки; +- SMS. \ No newline at end of file diff --git a/src/security/Cloud-MFA/characteristics.md b/src/security/Cloud-MFA/characteristics.md new file mode 100644 index 0000000..7fc8926 --- /dev/null +++ b/src/security/Cloud-MFA/characteristics.md @@ -0,0 +1,16 @@ +# Качественные характеристики сервиса + +## Уровень обслуживания (SLA) + +Сервис **Cloud Multifactor Authentication (MFA)** предоставляется круглосуточно, 7 дней в неделю (24/7). + +Показатели доступности компонентов сервиса: + +| Компонент | Доступность | +|-----------|-------------| +| RADIUS Adapter | 99,95 % | +| LDAP Adapter | 99,95 % | +| Портал самообслуживания (SelfService Portal) | 99,95 % | +| Личный кабинет администратора | 99,95 % | +| API Multifactor | 99,95 % | +| Сайт multifactor.ru | 99,95 % | \ No newline at end of file diff --git a/src/security/Cloud-MFA/description/components.md b/src/security/Cloud-MFA/description/components.md new file mode 100644 index 0000000..a31bf48 --- /dev/null +++ b/src/security/Cloud-MFA/description/components.md @@ -0,0 +1,101 @@ +# Компоненты сервиса + +## Виды компонентов + +В зависимости от решаемой задачи и типа защищаемых систем применяется один или несколько технических компонентов сервиса **Cloud Multifactor Authentication (MFA)**: + +- **Личный кабинет администратора** +- **RADIUS Adapter** +- **LDAP Adapter** +- **Портал самообслуживания (SelfService Portal)** + +Все перечисленные компоненты разрабатываются и поддерживаются компанией **Мультифактор**. + +## 1. Личный кабинет администратора + +**Личный кабинет администратора** — это веб-приложение, доступное из сети интернет. Предназначено для управления следующими элементами: + +- пользователями; +- группами пользователей; +- интеграцией с защищаемыми информационными системами; +- списком доступных вторых факторов. + +Управление осуществляется ИТ-специалистами. + +## 2. Radius Adapter + +**RADIUS Adapter** — RADIUS‑сервер, используемый для двухфакторной аутентификации пользователей при удалённом доступе. Компонент поставляется с исходным кодом, доступен в Linux‑версии. + +::: warning Примечание + +RADIUS Adapter **не передаёт** пароль пользователя в облако Multifactor. Пароль остаётся в периметре сети, в облако передаётся только логин (для идентификации пользователя и доставки второго фактора). + +::: + +### Возможности + +- приём запросов на аутентификацию по протоколу RADIUS; +- проверка первого фактора (логин и пароль) в Active Directory (включая AD LDS) или Network Policy Server (NPS); +- проверка второго фактора на устройстве пользователя; +- настройка второго фактора в режиме диалога с пользователем; +- настройка доступа на основе принадлежности пользователя к группе AD; +- избирательное включение второго фактора по组成员ству в группе AD; +- настройка атрибутов ответа RADIUS на основе принадлежности к группе AD; +- проксирование запросов и ответов Network Policy Server; +- отправка журналов в Syslog‑сервер или SIEM‑систему; +- режим **bypass** — при недоступности API можно либо пропускать пользователя без второго фактора, либо блокировать доступ. + +## 3. LDAP Adapter + +**LDAP Adapter** — LDAP proxy‑сервер для двухфакторной аутентификации в приложениях, использующих LDAP‑аутентификацию. Поставляется с исходным кодом, доступен в Linux‑версии. + +::: warning Примечание + +Компонент не вмешивается в проверку имени и пароля пользователя. Второй фактор запрашивается только после успешной проверки учётной записи в Active Directory или другом LDAP‑каталоге. + +::: + +### Возможности + +- проксирование сетевого трафика по протоколу LDAP; +- перехват запросов на аутентификацию и подтверждение вторым фактором на телефоне пользователя; +- работа по протоколам LDAP и LDAPS (шифрованный TLS‑канал); +- перехват аутентификационных запросов с механизмами Simple, Digest, NTLM; +- пропуск запросов от сервисных учётных записей (Bind DN) без второго фактора; +- настройка доступа на основе принадлежности пользователя к группе AD; +- избирательное включение второго фактора по членству в группе AD; +- отправка журналов в Syslog‑сервер или SIEM‑систему; +- режим **bypass** — при недоступности API можно пропускать пользователя без второго фактора или блокировать доступ. + +## 4. Портал самообслуживания + +**SelfService Portal** — веб‑сайт для самостоятельной регистрации второго фактора аутентификации пользователями с учётными записями из Active Directory или других LDAP‑каталогов. Поставляется с исходным кодом, доступен в Linux‑ и Windows‑версиях. + +### Назначение и особенности + +Портал предназначен для работы внутри корпоративной сети, но может быть опубликован для доступа из интернета. + +### Возможности + +- проверка логина и пароля пользователя в LDAP‑каталоге или Active Directory; + - Windows‑версия поддерживает работу с несколькими доменами при наличии доверительных отношений; +- настройка второго фактора аутентификации; +- смена пароля пользователя после подтверждения второго фактора; +- смена просроченного или требующего замены пароля; +- единая точка входа (Single Sign‑On, SSO) для корпоративных приложений с поддержкой протоколов SAML, OpenID Connect / OAuth; +- избирательное включение второго фактора на основе членства в группе AD при SSO‑входе; +- управление ActiveSync‑устройствами для доступа к почте Exchange; +- поддержка проверки CAPTCHA на странице входа в портал. + +## Соответствие тарифов и адаптеров + +|Подключаемый сервис | Тип адаптера | +|--------------------|-----------------| +|NGAF ra VPN | LDAP | +|UserGate ra VPN | LDAP | +|Pfsense ra VPN | RADIUS | +|OWA | Модуль для OWA | +|ADFS | Модуль для ADFS | +|Vmware horizon VDI | RADIUS | + +Дополнительно прочтите про настройку двухфакторной аутентификации в VPN на основе межсетевого экрана UserGate. \ No newline at end of file diff --git a/src/security/Cloud-MFA/description/compound.md b/src/security/Cloud-MFA/description/compound.md new file mode 100644 index 0000000..6eb1cd5 --- /dev/null +++ b/src/security/Cloud-MFA/description/compound.md @@ -0,0 +1,42 @@ +# Состав сервиса + +## Варианты услуги + +Сервис Cloud Multifactor Authentication (MFA) предлагает два варианта: + +- **Managed Service**; +- **Self Service**. + +Beeline cloud тарифицирует дополнительные работы по фактическим трудозатратам. + +## Варианты предоставления сервиса + +### Self‑Service + +Вариант **Self‑Service** ориентирован на заказчиков, которые самостоятельно интегрируют сервис с защищаемыми информационными системами, а также самостоятельно поддерживают его компоненты. + +**Beeline Cloud предоставляет:** + +- лицензии на программное обеспечение; +- доступ в личный кабинет Multifactor. + +> Приглашение на доступ действует в течение **25 минут** после отправки. + +### Managed Service + +В рамках варианта **Managed Service** сопровождение и поддержка компонентов сервиса выполняются Beeline Cloud. + +**Beeline Cloud:** + +- предоставляет лицензию на ПО; +- предоставляет доступ в личный кабинет Multifactor; +- разворачивает, настраивает и подготавливает компоненты сервиса к интеграции с инфраструктурой заказчика; +- осуществляет сервисную поддержку в части работоспособности компонентов; +- регистрирует инциденты у вендора при нарушениях работоспособности компонентов; +- обеспечивает высокую доступность компонентов: + - ежедневное резервное копирование; + - круглосуточный мониторинг работоспособности; +- участвует в интеграции компонентов с существующей инфраструктурой заказчика; +- вносит изменения в конфигурацию компонентов (за исключением управления пользователями в личном кабинете); +- размещает компоненты сервиса в технологическом пуле Beeline Cloud; +- настраивает сетевую связанность компонентов с инфраструктурой заказчика в облаке Beeline Cloud. \ No newline at end of file diff --git a/src/security/Cloud-MFA/description/default-settings.md b/src/security/Cloud-MFA/description/default-settings.md new file mode 100644 index 0000000..5927df9 --- /dev/null +++ b/src/security/Cloud-MFA/description/default-settings.md @@ -0,0 +1,14 @@ +# Настройки по умолчанию (Managed Service) + +Если заказчик не предоставил техническое задание, Beeline Cloud выполняет настройку сервиса со следующими параметрами: + +## Базовые параметры + +- **Shared secret** — общий ключ для взаимодействия между защищаемым сервисом и компонентами Multifactor. +- **Поставщик учётных записей** — указывается источник проверки первого фактора (каталог инициаций). +- **Исключения для сервисных учётных записей** — настраиваются учётные записи, для которых второй фактор не требуется. +- **Ключ и идентификатор ресурса** — вносятся данные для взаимодействия с API `api.multifactor.ru`. + +## Условия применения + +> По умолчанию многофакторная аутентификация включена для **всех пользователей**, добавленных в личный кабинет Multifactor. \ No newline at end of file diff --git a/src/security/Cloud-MFA/description/fault-tolerance.md b/src/security/Cloud-MFA/description/fault-tolerance.md new file mode 100644 index 0000000..2303e5e --- /dev/null +++ b/src/security/Cloud-MFA/description/fault-tolerance.md @@ -0,0 +1,3 @@ +# Отказоустойчивость + +Отказоустойчивость сервиса **Cloud Multifactor Authentication (MFA)** обеспечивается средствами платформы виртуализации. Для защиты данных выполняется ежедневное резервное копирование виртуального апплаенса с глубиной хранения 7 дней. diff --git a/src/security/Cloud-MFA/description/interaction-scheme.md b/src/security/Cloud-MFA/description/interaction-scheme.md new file mode 100644 index 0000000..bf14fdb --- /dev/null +++ b/src/security/Cloud-MFA/description/interaction-scheme.md @@ -0,0 +1,21 @@ +# Схема взаимодействия компонентов сервиса + +1. **Инициация доступа** + Пользователь инициирует подключение к защищаемому сервису. + +2. **Передача учётных данных** + Защищаемый сервис направляет учётные данные пользователя в компонент Multifactor. + +3. **Проверка первого фактора** + Компонент Multifactor проверяет учётные данные пользователя в Active Directory (AD) заказчика. + +4. **Запрос второго фактора** + После успешной проверки учётных данных запрос направляется в API Multifactor, который инициирует отправку второго фактора аутентификации, настроенного у пользователя. + +::: warning Важно + +Компонент Multifactor **не передаёт** пароль пользователя в облако. Пароль остаётся в пределах периметра сети заказчика. В облако передаётся только логин — для идентификации пользователя и доставки ему второго фактора. + +::: + +![schema-MFA](./../../image/schema-MFA.png) \ No newline at end of file diff --git a/src/security/Cloud-MFA/description/monitoring.md b/src/security/Cloud-MFA/description/monitoring.md new file mode 100644 index 0000000..e224b4a --- /dev/null +++ b/src/security/Cloud-MFA/description/monitoring.md @@ -0,0 +1,6 @@ +# Мониторинг работоспособности + +Для обнаружения отклонений и ошибок в работе сервиса используется система мониторинга. Мониторинг осуществляется **круглосуточно** и включает контроль следующих параметров: + +- нагрузка на вычислительные ресурсы виртуального апплаенса; +- состояние сетевых интерфейсов (up/down). \ No newline at end of file diff --git a/src/security/Cloud-MFA/description/responsibility-zone.md b/src/security/Cloud-MFA/description/responsibility-zone.md new file mode 100644 index 0000000..19535e8 --- /dev/null +++ b/src/security/Cloud-MFA/description/responsibility-zone.md @@ -0,0 +1,24 @@ +# Зоны ответственности + +Сервис Cloud Multifactor Authentication (MFA) предполагает прямое участие заказчика. Зоны ответственности зависят от варианта сервиса: + +- Self-Service; +- Managed Service. + +::: warning Важно + +**«К» — консультирующая сторона**: Beeline Cloud выполняет настройки и изменения на основании инструкций и требований, предоставленных заказчиком. + +::: + +| Зоны ответственности | Self-Service | Managed Service | +|-------------------------------------------------------------------------------------------------------|------------------------------|-----------------| +|Поддержка работоспособности личного кабинета администратора | Beeline Cloud | Beeline Cloud | +|Поддержка работоспособности компонентов сервиса | Заказчик | Beeline Cloud | +|Системные настройки компонентов сервиса | Заказчик | Beeline Cloud | +|Мониторинг доступности компонентов сервиса | Заказчик | Beeline Cloud | +|Мониторинг доступности компонента личного кабинета и API | Beeline Cloud | Beeline Cloud | +|Сбор диагностической информации при неисправностях | Beeline Cloud / Заказчик "К" | Beeline Cloud | +|Заведение кейсов в техническую поддержку (ТП) вендора в случае неработоспособности компонентов сервиса | Заказчик | Beeline Cloud | +|Заведение кейсов в ТП вендора в случае неработоспособности личного кабинета и API | Beeline Cloud | Beeline Cloud | +|Управление пользователями | Заказчик | Заказчик | diff --git a/src/security/Cloud-MFA/description/work/dop-work.md b/src/security/Cloud-MFA/description/work/dop-work.md new file mode 100644 index 0000000..3c3b15d --- /dev/null +++ b/src/security/Cloud-MFA/description/work/dop-work.md @@ -0,0 +1,12 @@ +# Дополнительные работы + +Beeline cloud отдельно тарифицирует дополнительные работы по фактическим трудозатратам. Работы не входят в состав сервиса Cloud Multifactor Authentication (MFA). + +| Работа | Трудозатраты, ч/ч | Квалификация специалиста | +|-------------------------------------------------------------------------------------------------------------------------|-------|----------------------------------| +| Рассылка пользователям Мультифактора ссылки для регистрации второго фактора | 6 | Специалист третьего уровня (ДИБ) | +| Рассылка ссылки для регистрации второго фактора только тем пользователям Мультифактора, у которых он не зарегистрирован | 6 | Специалист третьего уровня (ДИБ) | +| Удаление всех пользователей из личного кабинета Мультифактора | 6 | Специалист третьего уровня (ДИБ) | +| Удаление всех дубликатов пользователей в личном кабинете Мультифактора | 6 | Специалист третьего уровня (ДИБ) | +| Внесение изменений в настройки компонентов Мультфактора | 2 | Специалист третьего уровня (ДИБ) | +| Разворачивание дополнительных компонентов Мультифкатора | 4 | Специалист третьего уровня (ДИБ) | \ No newline at end of file diff --git a/src/security/Cloud-MFA/description/work/work.md b/src/security/Cloud-MFA/description/work/work.md new file mode 100644 index 0000000..9e783b5 --- /dev/null +++ b/src/security/Cloud-MFA/description/work/work.md @@ -0,0 +1,22 @@ +# Состав работ + +Состав работ зависит от варианта сервиса **Cloud Multifactor Authentication (MFA)**: + +- Self-Service; +- Managed Service. + +|Работа | Self-Service | Managed Service | +|-------------------------------------------------------------------------------------------------------------|--------------------|--------------------| +|Предоставление лицензии | :heavy_check_mark: | :heavy_check_mark: | +|Выделение необходимых вычислительных ресурсов для функционирования компонентов сервиса | - | :heavy_check_mark: | +|Развертывание и настройка компонентов сервиса | - | :heavy_check_mark: | +|Резервное копирование компонентов сервиса | - | :heavy_check_mark: | +|Мониторинг работоспособности компонентов сервиса | - | :heavy_check_mark: | +|Мониторинг доступности компонента личного кабинета администратора и API | :heavy_check_mark: | :heavy_check_mark: | +|Интеграция компонентов услуги с инфраструктурой заказчика | - | :heavy_check_mark: | +|Консультация по работе компонентов сервиса | :heavy_check_mark: | :heavy_check_mark: | +|Внесение изменений в настройки компонентов сервиса | - | :heavy_check_mark: | +|Управление пользователями, группами и настройками вариантов второго фактора в личном кабинете администратора | - | - | +|Консультации по работе личного кабинета администратора | :heavy_check_mark: | :heavy_check_mark: | + +Beeline cloud отдельно тарифицирует дополнительные работы. \ No newline at end of file diff --git a/src/security/Cloud-MFA/payment-procedure.md b/src/security/Cloud-MFA/payment-procedure.md new file mode 100644 index 0000000..470450e --- /dev/null +++ b/src/security/Cloud-MFA/payment-procedure.md @@ -0,0 +1,9 @@ +# Порядок платежей + +Сервис **Cloud Multifactor Authentication (MFA)** предоставляется как самостоятельный и оформляется в бланке заказа (БЗ). Ежемесячный платеж фиксирован и зависит от выбранной квоты. + +Расчетный период — календарный месяц. Сервис, активированный в течение расчетного периода, оплачивается по тарифу в полном объеме независимо от фактического срока использования. Перерасчет по календарным дням не производится. Доступ к сервису считается предоставленным, а сервис — оказанным в полном объеме с момента активации. + +Если квота меняется в течение расчетного периода, оплата производится по наибольшей квоте этого периода. + +[Дополнительные работы](../Cloud-SA/discription/work/dop-work.md) оплачиваются отдельно. Основание для оплаты — заявки уполномоченных представителей заказчика, указанных в БЗ. diff --git a/src/security/Cloud-MFA/provision.md b/src/security/Cloud-MFA/provision.md new file mode 100644 index 0000000..0ce5718 --- /dev/null +++ b/src/security/Cloud-MFA/provision.md @@ -0,0 +1,45 @@ +# Сроки и условия предоставления сервиса + +## Порядок подключения сервиса + +### Заказчик + +1. Заполните и подпишите бланк заказа (БЗ) на предоставление сервиса **Cloud Multifactor Authentication (MFA)**. +2. Отправьте отсканированную копию подписанного БЗ на e-mail presales@datafort.ru и корпоративный e-mail менеджера по продажам Beeline Cloud, указанный в заказе. +3. Предоставьте ФИО и e-mail администратора платформы. +4. Направьте оригинал БЗ в Beeline Cloud в порядке, установленном договором. + +### Beeline Cloud + +1. Проверяет корректность заполнения БЗ и регистрирует заказ. +2. Уведомляет заказчика по e-mail о принятии заказа в работу. +3. Подключает сервис. +4. Предоставляет заказчику доступ к сервису не позднее двух рабочих дней с момента принятия заказа в работу. + +## Настройка нестандартных конфигураций + +Если требуется настройка нестандартных конфигураций, заказчик предоставляет необходимую информацию в Beeline Cloud. + +## Прием запросов от заказчика + +Beeline Cloud принимает запросы только от уполномоченных лиц заказчика, указанных в БЗ. Если конечный пользователь обращается в службу поддержки Beeline Cloud напрямую, он получает рекомендацию направить обращение через уполномоченных лиц. + + +## Зона ответственности Beeline Cloud + +#### Ограничение ответственности Beeline Cloud + +Beeline Cloud **не несёт ответственности** за обеспечение защиты от угроз информационной безопасности. + +Сервис предоставляется на программном обеспечении, разработанном сторонней компанией. Beeline Cloud **не гарантирует**, что данное программное обеспечение: + +- свободно от ошибок разработчика; +- работает непрерывно; +- является надёжным. + +#### Порядок действий при выявлении ошибок + +При обнаружении проблем или ошибок в программном обеспечении, на базе которого реализован сервис, Beeline Cloud: + +1. регистрирует инцидент в технической поддержке вендора; +2. содействует в ходе его решения. \ No newline at end of file diff --git a/src/security/image/schema-MFA.png b/src/security/image/schema-MFA.png new file mode 100644 index 0000000..941e4f2 Binary files /dev/null and b/src/security/image/schema-MFA.png differ