сервис MFA
This commit is contained in:
Левченко Людмила Алексеевна
@@ -0,0 +1,39 @@
|
|||||||
|
# Cloud Multifactor Authentication (MFA)
|
||||||
|
|
||||||
|
## Назначение сервиса
|
||||||
|
|
||||||
|
Сервис **Cloud Multifactor Authentication (MFA)** обеспечивает многоэтапную проверку подлинности при входе в систему. В отличие от стандартной аутентификации по паролю, MFA требует от пользователя предоставления дополнительных данных, что повышает безопасность доступа.
|
||||||
|
|
||||||
|
Сервис может предоставляться как самостоятельное решение или как опция к существующим сервисам платформы. Реализован на базе российского программного обеспечения **Multifactor**.
|
||||||
|
|
||||||
|
## Задачи сервиса
|
||||||
|
|
||||||
|
- защита информационных систем от несанкционированного доступа и компрометации учётных данных;
|
||||||
|
- усиленный контроль доступа к данным и приложениям.
|
||||||
|
|
||||||
|
Выполнение требований стандартов в сфере информационной безопасности:
|
||||||
|
- PCI-DSS;
|
||||||
|
- HIPAA;
|
||||||
|
- SOX;
|
||||||
|
- NERC;
|
||||||
|
- FISMA;
|
||||||
|
- ISO;
|
||||||
|
- GLBA;
|
||||||
|
- GPG13 и т.д.
|
||||||
|
|
||||||
|
## Особенности и конкурентные преимущества сервиса
|
||||||
|
|
||||||
|
- сервис функционирует в соответствии с моделью **Zero Trust**: пароли пользователей не передаются и не обрабатываются в Multifactor;
|
||||||
|
- пользователи могут самостоятельно настроить аутентификацию при первом входе без предварительной регистрации;
|
||||||
|
- функционал доступен через веб-браузер, не требует установки плагинов, драйверов или дополнительных приложений;
|
||||||
|
|
||||||
|
Сервис поддерживает следующие факторы:
|
||||||
|
- бот в Telegram;
|
||||||
|
- биометрия;
|
||||||
|
- U2F;
|
||||||
|
- FIDO;
|
||||||
|
- OTP;
|
||||||
|
- Google Authenticator;
|
||||||
|
- Яндекс.Ключ;
|
||||||
|
- Звонки;
|
||||||
|
- SMS.
|
||||||
@@ -0,0 +1,16 @@
|
|||||||
|
# Качественные характеристики сервиса
|
||||||
|
|
||||||
|
## Уровень обслуживания (SLA)
|
||||||
|
|
||||||
|
Сервис **Cloud Multifactor Authentication (MFA)** предоставляется круглосуточно, 7 дней в неделю (24/7).
|
||||||
|
|
||||||
|
Показатели доступности компонентов сервиса:
|
||||||
|
|
||||||
|
| Компонент | Доступность |
|
||||||
|
|-----------|-------------|
|
||||||
|
| RADIUS Adapter | 99,95 % |
|
||||||
|
| LDAP Adapter | 99,95 % |
|
||||||
|
| Портал самообслуживания (SelfService Portal) | 99,95 % |
|
||||||
|
| Личный кабинет администратора | 99,95 % |
|
||||||
|
| API Multifactor | 99,95 % |
|
||||||
|
| Сайт multifactor.ru | 99,95 % |
|
||||||
@@ -0,0 +1,101 @@
|
|||||||
|
# Компоненты сервиса
|
||||||
|
|
||||||
|
## Виды компонентов
|
||||||
|
|
||||||
|
В зависимости от решаемой задачи и типа защищаемых систем применяется один или несколько технических компонентов сервиса **Cloud Multifactor Authentication (MFA)**:
|
||||||
|
|
||||||
|
- **Личный кабинет администратора**
|
||||||
|
- **RADIUS Adapter**
|
||||||
|
- **LDAP Adapter**
|
||||||
|
- **Портал самообслуживания (SelfService Portal)**
|
||||||
|
|
||||||
|
Все перечисленные компоненты разрабатываются и поддерживаются компанией **Мультифактор**.
|
||||||
|
|
||||||
|
## 1. Личный кабинет администратора
|
||||||
|
|
||||||
|
**Личный кабинет администратора** — это веб-приложение, доступное из сети интернет. Предназначено для управления следующими элементами:
|
||||||
|
|
||||||
|
- пользователями;
|
||||||
|
- группами пользователей;
|
||||||
|
- интеграцией с защищаемыми информационными системами;
|
||||||
|
- списком доступных вторых факторов.
|
||||||
|
|
||||||
|
Управление осуществляется ИТ-специалистами.
|
||||||
|
|
||||||
|
## 2. Radius Adapter
|
||||||
|
|
||||||
|
**RADIUS Adapter** — RADIUS‑сервер, используемый для двухфакторной аутентификации пользователей при удалённом доступе. Компонент поставляется с исходным кодом, доступен в Linux‑версии.
|
||||||
|
|
||||||
|
::: warning Примечание
|
||||||
|
|
||||||
|
RADIUS Adapter **не передаёт** пароль пользователя в облако Multifactor. Пароль остаётся в периметре сети, в облако передаётся только логин (для идентификации пользователя и доставки второго фактора).
|
||||||
|
|
||||||
|
:::
|
||||||
|
|
||||||
|
### Возможности
|
||||||
|
|
||||||
|
- приём запросов на аутентификацию по протоколу RADIUS;
|
||||||
|
- проверка первого фактора (логин и пароль) в Active Directory (включая AD LDS) или Network Policy Server (NPS);
|
||||||
|
- проверка второго фактора на устройстве пользователя;
|
||||||
|
- настройка второго фактора в режиме диалога с пользователем;
|
||||||
|
- настройка доступа на основе принадлежности пользователя к группе AD;
|
||||||
|
- избирательное включение второго фактора по组成员ству в группе AD;
|
||||||
|
- настройка атрибутов ответа RADIUS на основе принадлежности к группе AD;
|
||||||
|
- проксирование запросов и ответов Network Policy Server;
|
||||||
|
- отправка журналов в Syslog‑сервер или SIEM‑систему;
|
||||||
|
- режим **bypass** — при недоступности API можно либо пропускать пользователя без второго фактора, либо блокировать доступ.
|
||||||
|
|
||||||
|
## 3. LDAP Adapter
|
||||||
|
|
||||||
|
**LDAP Adapter** — LDAP proxy‑сервер для двухфакторной аутентификации в приложениях, использующих LDAP‑аутентификацию. Поставляется с исходным кодом, доступен в Linux‑версии.
|
||||||
|
|
||||||
|
::: warning Примечание
|
||||||
|
|
||||||
|
Компонент не вмешивается в проверку имени и пароля пользователя. Второй фактор запрашивается только после успешной проверки учётной записи в Active Directory или другом LDAP‑каталоге.
|
||||||
|
|
||||||
|
:::
|
||||||
|
|
||||||
|
### Возможности
|
||||||
|
|
||||||
|
- проксирование сетевого трафика по протоколу LDAP;
|
||||||
|
- перехват запросов на аутентификацию и подтверждение вторым фактором на телефоне пользователя;
|
||||||
|
- работа по протоколам LDAP и LDAPS (шифрованный TLS‑канал);
|
||||||
|
- перехват аутентификационных запросов с механизмами Simple, Digest, NTLM;
|
||||||
|
- пропуск запросов от сервисных учётных записей (Bind DN) без второго фактора;
|
||||||
|
- настройка доступа на основе принадлежности пользователя к группе AD;
|
||||||
|
- избирательное включение второго фактора по членству в группе AD;
|
||||||
|
- отправка журналов в Syslog‑сервер или SIEM‑систему;
|
||||||
|
- режим **bypass** — при недоступности API можно пропускать пользователя без второго фактора или блокировать доступ.
|
||||||
|
|
||||||
|
## 4. Портал самообслуживания
|
||||||
|
|
||||||
|
**SelfService Portal** — веб‑сайт для самостоятельной регистрации второго фактора аутентификации пользователями с учётными записями из Active Directory или других LDAP‑каталогов. Поставляется с исходным кодом, доступен в Linux‑ и Windows‑версиях.
|
||||||
|
|
||||||
|
### Назначение и особенности
|
||||||
|
|
||||||
|
Портал предназначен для работы внутри корпоративной сети, но может быть опубликован для доступа из интернета.
|
||||||
|
|
||||||
|
### Возможности
|
||||||
|
|
||||||
|
- проверка логина и пароля пользователя в LDAP‑каталоге или Active Directory;
|
||||||
|
- Windows‑версия поддерживает работу с несколькими доменами при наличии доверительных отношений;
|
||||||
|
- настройка второго фактора аутентификации;
|
||||||
|
- смена пароля пользователя после подтверждения второго фактора;
|
||||||
|
- смена просроченного или требующего замены пароля;
|
||||||
|
- единая точка входа (Single Sign‑On, SSO) для корпоративных приложений с поддержкой протоколов SAML, OpenID Connect / OAuth;
|
||||||
|
- избирательное включение второго фактора на основе членства в группе AD при SSO‑входе;
|
||||||
|
- управление ActiveSync‑устройствами для доступа к почте Exchange;
|
||||||
|
- поддержка проверки CAPTCHA на странице входа в портал.
|
||||||
|
|
||||||
|
## Соответствие тарифов и адаптеров
|
||||||
|
|
||||||
|
|Подключаемый сервис | Тип адаптера |
|
||||||
|
|--------------------|-----------------|
|
||||||
|
|NGAF ra VPN | LDAP |
|
||||||
|
|UserGate ra VPN | LDAP |
|
||||||
|
|Pfsense ra VPN | RADIUS |
|
||||||
|
|OWA | Модуль для OWA |
|
||||||
|
|ADFS | Модуль для ADFS |
|
||||||
|
|Vmware horizon VDI | RADIUS |
|
||||||
|
|
||||||
|
Дополнительно прочтите про настройку двухфакторной аутентификации в VPN на основе межсетевого экрана UserGate.
|
||||||
@@ -0,0 +1,42 @@
|
|||||||
|
# Состав сервиса
|
||||||
|
|
||||||
|
## Варианты услуги
|
||||||
|
|
||||||
|
Сервис Cloud Multifactor Authentication (MFA) предлагает два варианта:
|
||||||
|
|
||||||
|
- **Managed Service**;
|
||||||
|
- **Self Service**.
|
||||||
|
|
||||||
|
Beeline cloud тарифицирует дополнительные работы по фактическим трудозатратам.
|
||||||
|
|
||||||
|
## Варианты предоставления сервиса
|
||||||
|
|
||||||
|
### Self‑Service
|
||||||
|
|
||||||
|
Вариант **Self‑Service** ориентирован на заказчиков, которые самостоятельно интегрируют сервис с защищаемыми информационными системами, а также самостоятельно поддерживают его компоненты.
|
||||||
|
|
||||||
|
**Beeline Cloud предоставляет:**
|
||||||
|
|
||||||
|
- лицензии на программное обеспечение;
|
||||||
|
- доступ в личный кабинет Multifactor.
|
||||||
|
|
||||||
|
> Приглашение на доступ действует в течение **25 минут** после отправки.
|
||||||
|
|
||||||
|
### Managed Service
|
||||||
|
|
||||||
|
В рамках варианта **Managed Service** сопровождение и поддержка компонентов сервиса выполняются Beeline Cloud.
|
||||||
|
|
||||||
|
**Beeline Cloud:**
|
||||||
|
|
||||||
|
- предоставляет лицензию на ПО;
|
||||||
|
- предоставляет доступ в личный кабинет Multifactor;
|
||||||
|
- разворачивает, настраивает и подготавливает компоненты сервиса к интеграции с инфраструктурой заказчика;
|
||||||
|
- осуществляет сервисную поддержку в части работоспособности компонентов;
|
||||||
|
- регистрирует инциденты у вендора при нарушениях работоспособности компонентов;
|
||||||
|
- обеспечивает высокую доступность компонентов:
|
||||||
|
- ежедневное резервное копирование;
|
||||||
|
- круглосуточный мониторинг работоспособности;
|
||||||
|
- участвует в интеграции компонентов с существующей инфраструктурой заказчика;
|
||||||
|
- вносит изменения в конфигурацию компонентов (за исключением управления пользователями в личном кабинете);
|
||||||
|
- размещает компоненты сервиса в технологическом пуле Beeline Cloud;
|
||||||
|
- настраивает сетевую связанность компонентов с инфраструктурой заказчика в облаке Beeline Cloud.
|
||||||
@@ -0,0 +1,14 @@
|
|||||||
|
# Настройки по умолчанию (Managed Service)
|
||||||
|
|
||||||
|
Если заказчик не предоставил техническое задание, Beeline Cloud выполняет настройку сервиса со следующими параметрами:
|
||||||
|
|
||||||
|
## Базовые параметры
|
||||||
|
|
||||||
|
- **Shared secret** — общий ключ для взаимодействия между защищаемым сервисом и компонентами Multifactor.
|
||||||
|
- **Поставщик учётных записей** — указывается источник проверки первого фактора (каталог инициаций).
|
||||||
|
- **Исключения для сервисных учётных записей** — настраиваются учётные записи, для которых второй фактор не требуется.
|
||||||
|
- **Ключ и идентификатор ресурса** — вносятся данные для взаимодействия с API `api.multifactor.ru`.
|
||||||
|
|
||||||
|
## Условия применения
|
||||||
|
|
||||||
|
> По умолчанию многофакторная аутентификация включена для **всех пользователей**, добавленных в личный кабинет Multifactor.
|
||||||
@@ -0,0 +1,3 @@
|
|||||||
|
# Отказоустойчивость
|
||||||
|
|
||||||
|
Отказоустойчивость сервиса **Cloud Multifactor Authentication (MFA)** обеспечивается средствами платформы виртуализации. Для защиты данных выполняется ежедневное резервное копирование виртуального апплаенса с глубиной хранения 7 дней.
|
||||||
@@ -0,0 +1,21 @@
|
|||||||
|
# Схема взаимодействия компонентов сервиса
|
||||||
|
|
||||||
|
1. **Инициация доступа**
|
||||||
|
Пользователь инициирует подключение к защищаемому сервису.
|
||||||
|
|
||||||
|
2. **Передача учётных данных**
|
||||||
|
Защищаемый сервис направляет учётные данные пользователя в компонент Multifactor.
|
||||||
|
|
||||||
|
3. **Проверка первого фактора**
|
||||||
|
Компонент Multifactor проверяет учётные данные пользователя в Active Directory (AD) заказчика.
|
||||||
|
|
||||||
|
4. **Запрос второго фактора**
|
||||||
|
После успешной проверки учётных данных запрос направляется в API Multifactor, который инициирует отправку второго фактора аутентификации, настроенного у пользователя.
|
||||||
|
|
||||||
|
::: warning Важно
|
||||||
|
|
||||||
|
Компонент Multifactor **не передаёт** пароль пользователя в облако. Пароль остаётся в пределах периметра сети заказчика. В облако передаётся только логин — для идентификации пользователя и доставки ему второго фактора.
|
||||||
|
|
||||||
|
:::
|
||||||
|
|
||||||
|
|
||||||
@@ -0,0 +1,6 @@
|
|||||||
|
# Мониторинг работоспособности
|
||||||
|
|
||||||
|
Для обнаружения отклонений и ошибок в работе сервиса используется система мониторинга. Мониторинг осуществляется **круглосуточно** и включает контроль следующих параметров:
|
||||||
|
|
||||||
|
- нагрузка на вычислительные ресурсы виртуального апплаенса;
|
||||||
|
- состояние сетевых интерфейсов (up/down).
|
||||||
@@ -0,0 +1,24 @@
|
|||||||
|
# Зоны ответственности
|
||||||
|
|
||||||
|
Сервис Cloud Multifactor Authentication (MFA) предполагает прямое участие заказчика. Зоны ответственности зависят от варианта сервиса:
|
||||||
|
|
||||||
|
- Self-Service;
|
||||||
|
- Managed Service.
|
||||||
|
|
||||||
|
::: warning Важно
|
||||||
|
|
||||||
|
**«К» — консультирующая сторона**: Beeline Cloud выполняет настройки и изменения на основании инструкций и требований, предоставленных заказчиком.
|
||||||
|
|
||||||
|
:::
|
||||||
|
|
||||||
|
| Зоны ответственности | Self-Service | Managed Service |
|
||||||
|
|-------------------------------------------------------------------------------------------------------|------------------------------|-----------------|
|
||||||
|
|Поддержка работоспособности личного кабинета администратора | Beeline Cloud | Beeline Cloud |
|
||||||
|
|Поддержка работоспособности компонентов сервиса | Заказчик | Beeline Cloud |
|
||||||
|
|Системные настройки компонентов сервиса | Заказчик | Beeline Cloud |
|
||||||
|
|Мониторинг доступности компонентов сервиса | Заказчик | Beeline Cloud |
|
||||||
|
|Мониторинг доступности компонента личного кабинета и API | Beeline Cloud | Beeline Cloud |
|
||||||
|
|Сбор диагностической информации при неисправностях | Beeline Cloud / Заказчик "К" | Beeline Cloud |
|
||||||
|
|Заведение кейсов в техническую поддержку (ТП) вендора в случае неработоспособности компонентов сервиса | Заказчик | Beeline Cloud |
|
||||||
|
|Заведение кейсов в ТП вендора в случае неработоспособности личного кабинета и API | Beeline Cloud | Beeline Cloud |
|
||||||
|
|Управление пользователями | Заказчик | Заказчик |
|
||||||
@@ -0,0 +1,12 @@
|
|||||||
|
# Дополнительные работы
|
||||||
|
|
||||||
|
Beeline cloud отдельно тарифицирует дополнительные работы по фактическим трудозатратам. Работы не входят в состав сервиса Cloud Multifactor Authentication (MFA).
|
||||||
|
|
||||||
|
| Работа | Трудозатраты, ч/ч | Квалификация специалиста |
|
||||||
|
|-------------------------------------------------------------------------------------------------------------------------|-------|----------------------------------|
|
||||||
|
| Рассылка пользователям Мультифактора ссылки для регистрации второго фактора | 6 | Специалист третьего уровня (ДИБ) |
|
||||||
|
| Рассылка ссылки для регистрации второго фактора только тем пользователям Мультифактора, у которых он не зарегистрирован | 6 | Специалист третьего уровня (ДИБ) |
|
||||||
|
| Удаление всех пользователей из личного кабинета Мультифактора | 6 | Специалист третьего уровня (ДИБ) |
|
||||||
|
| Удаление всех дубликатов пользователей в личном кабинете Мультифактора | 6 | Специалист третьего уровня (ДИБ) |
|
||||||
|
| Внесение изменений в настройки компонентов Мультфактора | 2 | Специалист третьего уровня (ДИБ) |
|
||||||
|
| Разворачивание дополнительных компонентов Мультифкатора | 4 | Специалист третьего уровня (ДИБ) |
|
||||||
@@ -0,0 +1,22 @@
|
|||||||
|
# Состав работ
|
||||||
|
|
||||||
|
Состав работ зависит от варианта сервиса **Cloud Multifactor Authentication (MFA)**:
|
||||||
|
|
||||||
|
- Self-Service;
|
||||||
|
- Managed Service.
|
||||||
|
|
||||||
|
|Работа | Self-Service | Managed Service |
|
||||||
|
|-------------------------------------------------------------------------------------------------------------|--------------------|--------------------|
|
||||||
|
|Предоставление лицензии | :heavy_check_mark: | :heavy_check_mark: |
|
||||||
|
|Выделение необходимых вычислительных ресурсов для функционирования компонентов сервиса | - | :heavy_check_mark: |
|
||||||
|
|Развертывание и настройка компонентов сервиса | - | :heavy_check_mark: |
|
||||||
|
|Резервное копирование компонентов сервиса | - | :heavy_check_mark: |
|
||||||
|
|Мониторинг работоспособности компонентов сервиса | - | :heavy_check_mark: |
|
||||||
|
|Мониторинг доступности компонента личного кабинета администратора и API | :heavy_check_mark: | :heavy_check_mark: |
|
||||||
|
|Интеграция компонентов услуги с инфраструктурой заказчика | - | :heavy_check_mark: |
|
||||||
|
|Консультация по работе компонентов сервиса | :heavy_check_mark: | :heavy_check_mark: |
|
||||||
|
|Внесение изменений в настройки компонентов сервиса | - | :heavy_check_mark: |
|
||||||
|
|Управление пользователями, группами и настройками вариантов второго фактора в личном кабинете администратора | - | - |
|
||||||
|
|Консультации по работе личного кабинета администратора | :heavy_check_mark: | :heavy_check_mark: |
|
||||||
|
|
||||||
|
Beeline cloud отдельно тарифицирует дополнительные работы.
|
||||||
@@ -0,0 +1,9 @@
|
|||||||
|
# Порядок платежей
|
||||||
|
|
||||||
|
Сервис **Cloud Multifactor Authentication (MFA)** предоставляется как самостоятельный и оформляется в бланке заказа (БЗ). Ежемесячный платеж фиксирован и зависит от выбранной квоты.
|
||||||
|
|
||||||
|
Расчетный период — календарный месяц. Сервис, активированный в течение расчетного периода, оплачивается по тарифу в полном объеме независимо от фактического срока использования. Перерасчет по календарным дням не производится. Доступ к сервису считается предоставленным, а сервис — оказанным в полном объеме с момента активации.
|
||||||
|
|
||||||
|
Если квота меняется в течение расчетного периода, оплата производится по наибольшей квоте этого периода.
|
||||||
|
|
||||||
|
[Дополнительные работы](../Cloud-SA/discription/work/dop-work.md) оплачиваются отдельно. Основание для оплаты — заявки уполномоченных представителей заказчика, указанных в БЗ.
|
||||||
@@ -0,0 +1,45 @@
|
|||||||
|
# Сроки и условия предоставления сервиса
|
||||||
|
|
||||||
|
## Порядок подключения сервиса
|
||||||
|
|
||||||
|
### Заказчик
|
||||||
|
|
||||||
|
1. Заполните и подпишите бланк заказа (БЗ) на предоставление сервиса **Cloud Multifactor Authentication (MFA)**.
|
||||||
|
2. Отправьте отсканированную копию подписанного БЗ на e-mail presales@datafort.ru и корпоративный e-mail менеджера по продажам Beeline Cloud, указанный в заказе.
|
||||||
|
3. Предоставьте ФИО и e-mail администратора платформы.
|
||||||
|
4. Направьте оригинал БЗ в Beeline Cloud в порядке, установленном договором.
|
||||||
|
|
||||||
|
### Beeline Cloud
|
||||||
|
|
||||||
|
1. Проверяет корректность заполнения БЗ и регистрирует заказ.
|
||||||
|
2. Уведомляет заказчика по e-mail о принятии заказа в работу.
|
||||||
|
3. Подключает сервис.
|
||||||
|
4. Предоставляет заказчику доступ к сервису не позднее двух рабочих дней с момента принятия заказа в работу.
|
||||||
|
|
||||||
|
## Настройка нестандартных конфигураций
|
||||||
|
|
||||||
|
Если требуется настройка нестандартных конфигураций, заказчик предоставляет необходимую информацию в Beeline Cloud.
|
||||||
|
|
||||||
|
## Прием запросов от заказчика
|
||||||
|
|
||||||
|
Beeline Cloud принимает запросы только от уполномоченных лиц заказчика, указанных в БЗ. Если конечный пользователь обращается в службу поддержки Beeline Cloud напрямую, он получает рекомендацию направить обращение через уполномоченных лиц.
|
||||||
|
|
||||||
|
|
||||||
|
## Зона ответственности Beeline Cloud
|
||||||
|
|
||||||
|
#### Ограничение ответственности Beeline Cloud
|
||||||
|
|
||||||
|
Beeline Cloud **не несёт ответственности** за обеспечение защиты от угроз информационной безопасности.
|
||||||
|
|
||||||
|
Сервис предоставляется на программном обеспечении, разработанном сторонней компанией. Beeline Cloud **не гарантирует**, что данное программное обеспечение:
|
||||||
|
|
||||||
|
- свободно от ошибок разработчика;
|
||||||
|
- работает непрерывно;
|
||||||
|
- является надёжным.
|
||||||
|
|
||||||
|
#### Порядок действий при выявлении ошибок
|
||||||
|
|
||||||
|
При обнаружении проблем или ошибок в программном обеспечении, на базе которого реализован сервис, Beeline Cloud:
|
||||||
|
|
||||||
|
1. регистрирует инцидент в технической поддержке вендора;
|
||||||
|
2. содействует в ходе его решения.
|
||||||
Binary file not shown.
|
After Width: | Height: | Size: 87 KiB |
Reference in New Issue
Block a user