MFA + правки структуры

2026-05-29 02:48:09 +03:00
parent 06ed9845f1
commit 1140a0295d
96 changed files with 992 additions and 791 deletions
@@ -0,0 +1,83 @@
+---
+section_links:
+  - title: Состав сервиса
+    link: /security/Cloud-MFA/compound.md
+    description: Два варианта услуги — Self-Service и Managed Service
+  - title: Компоненты сервиса
+    link: /security/Cloud-MFA/components.md
+    description: Технические компоненты в зависимости от защищаемых систем
+  - title: Схема взаимодействия компонентов сервиса
+    link: /security/Cloud-MFA/interaction-scheme.md
+    description: Как пользователь проходит многофакторную аутентификацию
+  - title: Состав работ
+    link: /security/Cloud-MFA/scope-work.md
+    description: Что входит в Self-Service и Managed Service
+  - title: Дополнительные работы
+    link: /security/Cloud-MFA/additional-work.md
+    description: Работы сверх состава сервиса, тарификация по фактическим трудозатратам
+  - title: Настройки по умолчанию (Managed Service)
+    link: /security/Cloud-MFA/default-settings.md
+    description: Дефолтная конфигурация при отсутствии ТЗ от заказчика
+  - title: Зоны ответственности
+    link: /security/Cloud-MFA/responsibility.md
+    description: Кто за что отвечает в Self-Service и Managed Service
+  - title: Мониторинг работоспособности
+    link: /security/Cloud-MFA/monitoring.md
+    description: Круглосуточный контроль параметров виртуального аплаенса
+  - title: Отказоустойчивость
+    link: /security/Cloud-MFA/fault-tolerance.md
+    description: Ежедневное резервное копирование, глубина хранения 7 дней
+  - title: Качественные характеристики сервиса
+    link: /security/Cloud-MFA/characteristics.md
+    description: Уровень обслуживания (SLA), режим 24/7
+  - title: Сроки и условия предоставления сервиса
+    link: /security/Cloud-MFA/provision.md
+    description: Порядок подключения и оформление бланка заказа
+  - title: Порядок платежей
+    link: /security/Cloud-MFA/payments.md
+    description: Фиксированный ежемесячный платёж в зависимости от выбранной квоты
+---
+
+# Cloud Multifactor Authentication (MFA)
+
+## Назначение сервиса
+
+Сервис **Cloud Multifactor Authentication (MFA)** обеспечивает многоэтапную проверку подлинности при входе в систему. В отличие от обычной парольной аутентификации, MFA запрашивает у пользователя дополнительные данные. Это повышает безопасность доступа.
+
+Сервис подключается отдельно или как опция к существующим сервисам платформы. В основе — российское программное обеспечение **Multifactor**.
+
+## Задачи сервиса
+
+- защита информационных систем от несанкционированного доступа и компрометации учетных данных;
+- усиленный контроль доступа к данным и приложениям.
+
+## Соответствие стандартам информационной безопасности
+
+Сервис помогает соответствовать стандартам:
+
+- PCI-DSS;
+- HIPAA;
+- SOX;
+- NERC;
+- FISMA;
+- ISO;
+- GLBA;
+- GPG13 и др.
+
+## Особенности и преимущества
+
+- сервис работает по модели Zero Trust: пароли пользователей не попадают в Multifactor и там не обрабатываются;
+- пользователи самостоятельно настраивают аутентификацию при первом входе — без предварительной регистрации;
+- сервис работает в веб-браузере и не требует плагинов, драйверов или дополнительных приложений.
+
+## Поддерживаемые факторы
+
+- бот в Telegram;
+- биометрия;
+- U2F;
+- FIDO;
+- OTP;
+- Google Authenticator;
+- Яндекс.Ключ;
+- звонки;
+- SMS.
@@ -0,0 +1,15 @@
+# Дополнительные работы
+
+Beeline Cloud отдельно тарифицирует дополнительные работы по фактическим трудозатратам.
+
+> Работы не входят в состав сервиса Cloud Multifactor Authentication (MFA).
+
+| Работа                                                                                                                  | Трудозатраты, ч/ч | Квалификация специалиста         |
+|-------------------------------------------------------------------------------------------------------------------------|-------------------|----------------------------------|
+| Рассылка пользователям Multifactor ссылки для регистрации второго фактора                                               | 6                 | Специалист третьего уровня (ДИБ) |
+| Рассылка ссылки для регистрации второго фактора пользователям, у которых не зарегистрирован Multifactor  | 6                 | Специалист третьего уровня (ДИБ) |
+| Удаление всех пользователей из личного кабинета Multifactor                                                              | 6                 | Специалист третьего уровня (ДИБ) |
+| Удаление всех дубликатов пользователей в личном кабинете Multifactor                                                     | 6                 | Специалист третьего уровня (ДИБ) |
+| Изменение настроек компонентов Multifactor                                                                               | 2                 | Специалист третьего уровня (ДИБ) |
+| Развертывание дополнительных компонентов Multifactor                                                                     | 4                 | Специалист третьего уровня (ДИБ) |
+
@@ -0,0 +1,16 @@
+# Качественные характеристики сервиса
+
+## Уровень обслуживания (SLA)
+
+Сервис Cloud Multifactor Authentication (MFA) доступен круглосуточно, 7 дней в неделю (24/7).
+
+Показатели доступности компонентов:
+
+| Компонент | Доступность |
+|-----------|-------------|
+| RADIUS Adapter | 99,95 % |
+| LDAP Adapter | 99,95 % |
+| Портал самообслуживания (SelfService Portal) | 99,95 % |
+| Личный кабинет администратора | 99,95 % |
+| API Multifactor | 99,95 % |
+| Сайт multifactor.ru | 99,95 % |
@@ -0,0 +1,101 @@
+# Компоненты сервиса
+
+## Виды компонентов
+
+В зависимости от задачи и типа защищаемых систем сервис Cloud Multifactor Authentication (MFA) использует один или несколько технических компонентов:
+
+- Личный кабинет администратора
+- RADIUS Adapter
+- LDAP Adapter
+- Портал самообслуживания (SelfService Portal)
+
+> Все перечисленные компоненты разрабатывает и поддерживает компания Мультифактор.
+
+## Личный кабинет администратора
+
+Личный кабинет администратора — веб-приложение, которое доступно из интернета. В нем вы можете управлять:
+
+- пользователями;
+- группами пользователей;
+- интеграцией с защищаемыми информационными системами;
+- списком доступных вторых факторов.
+
+## RADIUS Adapter
+
+RADIUS Adapter — RADIUS-сервер, который проводит двухфакторную аутентификацию пользователей при удаленном доступе. Компонент поставляется с исходным кодом, есть Linux-версия.
+
+::: warning Примечание
+
+RADIUS Adapter не передает пароль пользователя в облако Multifactor. Пароль остается в периметре сети. В облако отправляется только логин для идентификации пользователя и доставить ему уведомление с запросом на вход.
+
+:::
+
+### Возможности
+
+- прием запросов на аутентификацию по протоколу RADIUS;
+- проверка первого фактора (логин и пароль) в Active Directory (включая AD LDS) или Network Policy Server (NPS);
+- проверка второго фактора на устройстве пользователя;
+- настройка второго фактора в режиме диалога с пользователем;
+- настройка доступа на основе принадлежности пользователя к группе AD;
+- избирательное включение второго фактора по принадлежности пользователя в группе AD;
+- настройка атрибутов ответа RADIUS на основе принадлежности к группе AD;
+- проксирование запросов и ответов Network Policy Server;
+- отправка журналов в Syslog-сервер или SIEM-систему;
+- режим bypass — если API недоступен, можно пропустить пользователя без второго фактора или заблокировать доступ.
+
+## LDAP Adapter
+
+LDAP Adapter — LDAP proxy-сервер для двухфакторной аутентификации в приложениях, которые используют LDAP-аутентификацию. Поставляется с исходным кодом, есть Linux-версия.
+
+::: warning Примечание
+
+Компонент не участвует в проверке имени пользователя и пароля. Второй фактор запрашивается только после успешной проверки учетной записи в Active Directory или другом LDAP-каталоге.
+
+:::
+
+### Возможности
+
+- проксирование сетевого трафика по протоколу LDAP;
+- перехват запросов на аутентификацию и подтверждение вторым фактором на телефоне пользователя;
+- работа по протоколам LDAP и LDAPS (шифрованный TLS-канал);
+- перехват аутентификационных запросов с механизмами Simple, Digest, NTLM;
+- пропуск запросов от сервисных учетных записей (Bind DN) без второго фактора;
+- настройка доступа на основе принадлежности пользователя к группе AD;
+- избирательное включение второго фактора по членству в группе AD;
+- отправка журналов в Syslog-сервер или SIEM-систему;
+- режим bypass — если API недоступен, можно пропустить пользователя без второго фактора или заблокировать доступ.
+
+## Портал самообслуживания
+
+SelfService Portal — веб-сайт, на котором пользователи с учетными записями из Active Directory или других LDAP-каталогов самостоятельно регистрируют второй фактор аутентификации. Поставляется с исходным кодом, есть Linux- и Windows-версии.
+
+### Назначение и особенности
+
+Портал работает внутри корпоративной сети, но его можно опубликовать для доступа из интернета.
+
+### Возможности
+
+- проверка логина и пароля пользователя в LDAP-каталоге или Active Directory;
+- настройка второго фактора аутентификации;
+- смена пароля пользователя после подтверждения второго фактора;
+- смена просроченного или требующего замены пароля;
+- единая точка входа (Single Sign-On, SSO) для корпоративных приложений с поддержкой протоколов SAML, OpenID Connect / OAuth;
+- избирательное включение второго фактора на основе членства в группе AD при SSO-входе;
+- управление ActiveSync-устройствами для доступа к почте Exchange;
+- проверка CAPTCHA на странице входа в портал.
+
+::: info Примечание
+Версия для Windows поддерживает несколько доменов, между которыми установлены доверительные отношения.
+:::
+
+## Соответствие тарифов и адаптеров
+
+| Подключаемый сервис | Тип адаптера    |
+| ------------------- | --------------- |
+| NGAF ra VPN         | LDAP            |
+| UserGate ra VPN     | LDAP            |
+| Pfsense ra VPN      | RADIUS          |
+| OWA                 | Модуль для OWA  |
+| ADFS                | Модуль для ADFS |
+| Vmware horizon VDI  | RADIUS          |
+
@@ -0,0 +1,42 @@
+# Состав сервиса
+
+## Варианты услуги
+
+Сервис Cloud Multifactor Authentication (MFA) предлагает два варианта:
+
+- Managed Service;
+- Self Service.
+
+Beeline Cloud отдельно тарифицирует дополнительные работы по фактическим трудозатратам.
+
+## Варианты предоставления сервиса
+
+### Self-Service
+
+Self-Service ориентирован на заказчиков, которые самостоятельно интегрируют сервис с информационными системами, а также самостоятельно поддерживают его компоненты.
+
+Beeline Cloud предоставляет:
+
+- лицензии на программное обеспечение;
+- доступ в личный кабинет Multifactor.
+
+> Приглашение на доступ действует 25 минут после отправки.
+
+### Managed Service
+
+При выборе Managed Service Beeline Cloud сопровождает и поддерживает компоненты сервиса.
+
+Beeline Cloud:
+
+- предоставляет лицензию на ПО;
+- предоставляет доступ в личный кабинет Multifactor;
+- разворачивает, настраивает и подготавливает компоненты сервиса к интеграции с инфраструктурой заказчика;
+- поддерживает работоспособность компонентов;
+- регистрирует инциденты у вендора, если компоненты не работают;
+- обеспечивает высокую доступность компонентов:
+  - ежедневное резервное копирование;
+  - круглосуточный мониторинг работоспособности;
+- помогает с интеграцией компонентов с существующей инфраструктурой заказчика;
+- редактирует конфигурацию компонентов (кроме управления пользователями в личном кабинете);
+- размещает компоненты сервиса в технологическом пуле Beeline Cloud;
+- настраивает сетевую связанность компонентов с инфраструктурой заказчика в облаке Beeline Cloud.
@@ -0,0 +1,18 @@
+# Настройки по умолчанию (Managed Service)
+
+Если заказчик не предоставил техническое задание, Beeline Cloud настраивает сервис со следующими параметрами:
+
+## Базовые параметры
+
+- **Shared secret** — общий ключ для взаимодействия между защищаемым сервисом и компонентами Multifactor.
+- **Поставщик учетных записей** — источник проверки первого фактора (каталог инициаций).
+- **Исключения для сервисных учетных записей** — учетные записи, для которых второй фактор не нужен.
+- **Ключ и идентификатор ресурса** — данные для взаимодействия с API `api.multifactor.ru`.
+
+## Условия применения
+
+::: warning  Примечание
+
+По умолчанию многофакторная аутентификация включена для всех пользователей, которых добавили в личный кабинет Multifactor.
+
+:::
@@ -0,0 +1,4 @@
+# Отказоустойчивость
+
+Отказоустойчивость сервиса Cloud Multifactor Authentication (MFA) обеспечивает платформа виртуализации. Для защиты данных Beeline Cloud ежедневно делает резервное копирование виртуального апплаенса. Глубина хранения — 7 дней.
+
@@ -0,0 +1,19 @@
+# Схема взаимодействия компонентов сервиса
+
+## Порядок подключения к сервису
+
+1. Пользователь запускает подключение к защищаемому сервису.
+
+1. Защищаемый сервис направляет учетные данные пользователя в компонент Multifactor.
+
+1. Компонент Multifactor проверяет учетные данные пользователя в Active Directory (AD) заказчика.
+
+1. После успешной проверки запрос отправляется в API Multifactor. API отправляет пользователю второй фактор аутентификации, который тот настроил.
+
+::: warning Важно
+
+Компонент Multifactor не передает пароль пользователя в облако. Пароль остается в периметре сети заказчика. В облако компонент передает только логин — чтобы идентифицировать пользователя и доставить ему уведомление с запросом на вход.
+
+:::
+
+![schema-MFA](../image/schema-MFA.png)
@@ -0,0 +1,6 @@
+# Мониторинг работоспособности
+
+Чтобы обнаружить отклонения и ошибки в работе сервиса, Beeline Cloud использует систему мониторинга. Она работает круглосуточно и контролирует следующие параметры:
+
+- нагрузка на вычислительные ресурсы виртуального апплаенса;
+- состояние сетевых интерфейсов (up/down).
@@ -0,0 +1,10 @@
+# Порядок платежей
+
+Сервис Cloud Multifactor Authentication (MFA) предоставляется как самостоятельный и оформляется в бланке заказа (БЗ). Размер ежемесячного платежа фиксирован и зависит от выбранной квоты.
+
+Расчетный период — календарный месяц. Если сервис активирован в течение расчетного периода, заказчик оплачивает его по тарифу полностью — независимо от фактического срока использования. Перерасчет по календарным дням не производится. С момента активации доступ к сервису считается предоставленным, а сервис — оказанным в полном объеме.
+
+Если квота меняется в течение расчетного периода, заказчик платит по наибольшей квоте этого периода.
+
+[Дополнительные работы](./additional-work.md) оплачиваются отдельно. Основание для оплаты — заявки уполномоченных представителей заказчика, которые указаны в БЗ.
+
@@ -0,0 +1,44 @@
+# Сроки и условия предоставления сервиса
+
+## Порядок подключения сервиса
+
+### Заказчик
+
+1. Заполните и подпишите бланк заказа (БЗ) на предоставление сервиса Cloud Multifactor Authentication (MFA).
+2. Отправьте отсканированную копию подписанного БЗ на e-mail presales@datafort.ru и корпоративный e-mail менеджера по продажам Beeline Cloud, который указан в заказе.
+3. Предоставьте ФИО и e-mail администратора платформы.
+4. Направьте оригинал БЗ в Beeline Cloud в порядке, который установлен договором.
+
+### Beeline Cloud
+
+1. Проверяет корректность заполнения БЗ и регистрирует заказ.
+2. Уведомляет заказчика по e-mail о принятии заказа в работу.
+3. Подключает сервис.
+4. Предоставляет заказчику доступ к сервису не позднее двух рабочих дней с момента, когда заказ принят в работу.
+
+## Настройка нестандартных конфигураций
+
+Запросы по настройке нестандартной конфигурации обрабатываются отдельно. Для этого оставьте запрос специалистам Beeline Cloud.
+
+## Прием запросов от заказчика
+
+Beeline Cloud принимает запросы только от уполномоченных лиц заказчика, которые указаны в БЗ.
+
+## Зона ответственности Beeline Cloud
+
+### Ограничение ответственности Beeline Cloud
+
+Beeline Cloud не отвечает за защиту от угроз информационной безопасности.
+
+Сервис работает на программном обеспечении, которое разработала сторонняя компания. Beeline Cloud не гарантирует, что это программное обеспечение:
+
+- не содержит ошибок;
+- работает непрерывно;
+- работает надежно.
+
+### Порядок действий при выявлении ошибок
+
+Если в программном обеспечении сервиса обнаружены ошибки или проблемы, Beeline Cloud:
+
+1. Регистрирует инцидент в технической поддержке вендора;
+2. Содействует в решении инцидента.
@@ -0,0 +1,25 @@
+# Зоны ответственности
+
+Сервис Cloud Multifactor Authentication (MFA) предполагает прямое участие заказчика. Зоны ответственности зависят от варианта сервиса:
+
+- Self-Service;
+- Managed Service.
+
+::: warning Важно
+
+**«К» — консультирующая сторона**: Beeline Cloud выполняет настройки и изменения на основании инструкций и требований, которые предоставил заказчик.
+
+:::
+
+| Зоны ответственности                                                                    | Self-Service                 | Managed Service |
+| --------------------------------------------------------------------------------------- | ---------------------------- | --------------- |
+| Поддержка работоспособности личного кабинета администратора                             | Beeline Cloud                | Beeline Cloud   |
+| Поддержка работоспособности компонентов сервиса                                         | Заказчик                     | Beeline Cloud   |
+| Системные настройки компонентов сервиса                                                 | Заказчик                     | Beeline Cloud   |
+| Мониторинг доступности компонентов сервиса                                              | Заказчик                     | Beeline Cloud   |
+| Мониторинг доступности компонента личного кабинета и API                                | Beeline Cloud                | Beeline Cloud   |
+| Сбор диагностической информации при неисправностях                                      | Beeline Cloud / Заказчик "К" | Beeline Cloud   |
+| Создание обращения в техническую поддержку вендора, если компоненты сервиса не работают | Заказчик                     | Beeline Cloud   |
+| Создание обращения в ТП вендора, если не работают личный кабинет или API                | Beeline Cloud                | Beeline Cloud   |
+| Управление пользователями                                                               | Заказчик                     | Заказчик        |
+
@@ -0,0 +1,27 @@
+# Состав работ
+
+Состав работ зависит от варианта сервиса Cloud Multifactor Authentication (MFA):
+
+- Self-Service;
+- Managed Service.
+
+|Работа                                                                                                       | Self-Service       | Managed Service    |
+|-------------------------------------------------------------------------------------------------------------|--------------------|--------------------|
+|Предоставление лицензии                                                                                      | :heavy_check_mark: | :heavy_check_mark: |
+|Выделение вычислительных ресурсов для работы компонентов сервиса                                             | -                  | :heavy_check_mark: |
+|Развертывание и настройка компонентов сервиса                                                                | -                  | :heavy_check_mark: |
+|Резервное копирование компонентов сервиса                                                                    | -                  | :heavy_check_mark: |
+|Мониторинг работоспособности компонентов сервиса                                                             | -                  | :heavy_check_mark: |
+|Мониторинг доступности компонента личного кабинета администратора и API                                      | :heavy_check_mark: | :heavy_check_mark: |
+|Интеграция компонентов услуги с инфраструктурой заказчика                                                    | -                  | :heavy_check_mark: |
+|Консультация по работе компонентов сервиса                                                                   | :heavy_check_mark: | :heavy_check_mark: |
+|Внесение изменений в настройки компонентов сервиса                                                           | -                  | :heavy_check_mark: |
+|Управление пользователями, группами и настройками вариантов второго фактора в личном кабинете администратора | -                  | -                  |
+|Консультации по работе личного кабинета администратора                                                       | :heavy_check_mark: | :heavy_check_mark: |
+
+::: warning Примечание
+
+Beeline Cloud отдельно тарифицирует [дополнительные работы](./additional-work.md).
+
+:::
+