мелкие правки
This commit is contained in:
Левченко Людмила Алексеевна
@@ -105,7 +105,7 @@ ssl.truststore.password=парольотхранилища
|
||||
./kafka-topics.sh --bootstrap-server <IP машины 0>:9092,<IP машины 1>:9092,<IP машины X>:9092 --command-config ../config/client.properties --create --topic <имя топика> --partitions <количество партиций> --replication-factor <значение> --config min.insync.replicas=<значение>
|
||||
```
|
||||
|
||||
Ознакомиться с рекомендациями по настройке топиков можно здесь - рекомендации.
|
||||
**Ознакомиться с рекомендациями по настройке топиков можно в разделе [Настройка топиков](./base-tier-topics-guide.md).**
|
||||
|
||||
По умолчанию топик создаётся с --partitions 10 --replication-factor 3 --config min.insync.replicas=2, поэтому, если нет необходимости создавать топик со специфическими настройками, эти флаги в команде можно не указывать.
|
||||
|
||||
|
||||
@@ -1,19 +0,0 @@
|
||||
---
|
||||
section_links:
|
||||
- title: Обзор сервиса
|
||||
link: /security/Cloud-MDM/about.md
|
||||
description:
|
||||
- title: Порядок платежей
|
||||
link: /security/Cloud-MDM/payments.md
|
||||
description:
|
||||
- title: Качественные характеристики сервиса
|
||||
link: /security/Cloud-MDM/characteristics.md
|
||||
description:
|
||||
- title: Сроки и условия предоставления сервиса
|
||||
link: /security/Cloud-MDM/provision.md
|
||||
description:
|
||||
---
|
||||
|
||||
# Cloud Multifactor Authentication (MFA)
|
||||
|
||||
Сервис предназначен для настройки процесса подключения к системе. Процесс состоит из нескольких шагов и требует от пользователя указать дополнительные данные, а не только пароль.
|
||||
@@ -1,34 +0,0 @@
|
||||
# Cloud Multifactor Authentication (MFA)
|
||||
|
||||
## Основа сервиса
|
||||
|
||||
Сервис **Cloud Multifactor Authentication (MFA)** используется для настройки процесса входа в систему. Процесс состоит из нескольких шагов и требует от пользователя указать больше информации, а не только пароль. Сервис может быть как отдельным, так и опцией к уже существующим. Сервис реализован на базе российского решения Multifactor.
|
||||
|
||||
## Задачи сервиса
|
||||
|
||||
- Защита информационных систем от несанкционированного доступа и компрометации учетных данных.
|
||||
- Усиленный контроль доступа к данным и приложениям.
|
||||
- Выполнение требований стандартов в сфере информационной безопасности:
|
||||
- PCI-DSS;
|
||||
- HIPAA;
|
||||
- SOX;
|
||||
- NERC;
|
||||
- FISMA;
|
||||
- ISO;
|
||||
- GLBA;
|
||||
- GPG13 и т.д.
|
||||
|
||||
## Особенности и конкурентные преимущества сервиса
|
||||
|
||||
- Сервис работает по принципу zero trust: Multifactor не получает пароли пользователей.
|
||||
- Пользователи могут самостоятельно настроить аутентификацию при первом входе, без регистрации. Функционал работает в браузере без установки плагинов, драйверов и сторонних приложений.
|
||||
- Сервис поддерживает следующие факторы:
|
||||
- бот в Telegram;
|
||||
- биометрия;
|
||||
- U2F;
|
||||
- FIDO;
|
||||
- OTP;
|
||||
- Google Authenticator;
|
||||
- Яндекс.Ключ;
|
||||
- Звонки;
|
||||
- SMS.
|
||||
@@ -1,96 +0,0 @@
|
||||
# Компоненты сервиса
|
||||
|
||||
## Виды компонентов
|
||||
|
||||
В зависимости от решаемой задачи и архитектуры защищаемых систем используется один или несколько технических компонентов сервиса **Cloud Multifactor Authentication (MFA)**:
|
||||
|
||||
- личный кабинет администратора;
|
||||
- radius adapter;
|
||||
- ldap adapter;
|
||||
- портал самообслуживания.
|
||||
|
||||
Все перечисленные компоненты разрабатываются и поддерживаются компанией Мультифактор.
|
||||
|
||||
## 1. Личный кабинет администратора
|
||||
|
||||
**Личный кабинет администратора** — это веб-приложение, доступное через интернет. С его помощью ИТ-специалисты управляют четырьмя категориями объектов:
|
||||
|
||||
- пользователями;
|
||||
- группами пользователей;
|
||||
- интеграцией с защищаемыми информационными системами;
|
||||
- списком доступных вторых факторов.
|
||||
|
||||
## 2. Radius Adapter
|
||||
|
||||
**Radius Adapter** — это RADIUS-сервер, обеспечивающий двухфакторную аутентификацию пользователей при удалённом доступе. Компонент поставляется с исходным кодом и работает под управлением Linux.
|
||||
|
||||
::: warning Важно
|
||||
|
||||
Пароль пользователя не передаётся в облако Multifactor и не покидает периметр сети. В облако передаётся только логин — для идентификации пользователя и доставки ему второго фактора.
|
||||
|
||||
:::
|
||||
|
||||
### Возможности
|
||||
|
||||
- приём запросов на аутентификацию по протоколу RADIUS;
|
||||
- проверка первого фактора (логина и пароля) в Active Directory (включая AD LDS) или Network Policy Server;
|
||||
- проверка второго фактора на устройстве пользователя;
|
||||
- настройка второго фактора в режиме диалога с пользователем;
|
||||
- управление доступом на основе членства пользователя в группе AD;
|
||||
- выборочное включение второго фактора в зависимости от членства пользователя в группе AD;
|
||||
- настройка атрибутов RADIUS-ответа на основе членства пользователя в группе AD;
|
||||
- проксирование запросов и ответов Network Policy Server;
|
||||
- отправка журналов событий в Syslog-сервер или SIEM-систему;
|
||||
- режим bypass: при недоступности сервера система может пропускать пользователя без второго фактора или блокировать доступ.
|
||||
|
||||
## 3. LDAP Adapter
|
||||
|
||||
**LDAP Adapter** — это LDAP proxy-сервер, разработанный и поддерживаемый компанией Мультифактор для двухфакторной аутентификации пользователей в приложениях, использующих LDAP-аутентификацию. Компонент поставляется с исходным кодом и работает под управлением Linux.
|
||||
|
||||
::: warning Важно
|
||||
|
||||
Компонент не влияет на проверку имени и пароля пользователя. Второй фактор включается только после успешной проверки учётной записи в Active Directory или другом LDAP-каталоге.
|
||||
|
||||
:::
|
||||
|
||||
### Возможности
|
||||
|
||||
- проксирование сетевого трафика по протоколу LDAP;
|
||||
- поиск запросов на аутентификацию и подтверждение вторым фактором на устройстве пользователя;
|
||||
- работа по протоколам LDAP и LDAPS (шифрованный TLS-канал);
|
||||
- перехват запросов на аутентификацию, использующих механизмы Simple, Digital, NTLM;
|
||||
- пропуск запросов от служебных учётных записей (Bind DN) без второго фактора;
|
||||
- настройка доступа на основе принадлежности пользователя к группе AD;
|
||||
- выборочное включение второго фактора в зависимости от принадлежности пользователя к группе AD;
|
||||
- отправка журналов событий в Syslog-сервер или SIEM-систему;
|
||||
- режим bypass: при недоступности API система может пропускать пользователя без второго фактора или блокировать доступ.
|
||||
|
||||
## 4. Портал самообслуживания
|
||||
|
||||
**SelfService Portal (Портал самообслуживания)** — это веб-сайт, разработанный и поддерживаемый компанией Мультифактор для самостоятельной регистрации второго фактора аутентификации пользователями с учётными записями из Active Directory или других LDAP-каталогов. Компонент поставляется с исходным кодом. В рамках сервиса применяются Linux-версия и Windows-версия.
|
||||
|
||||
### Возможности
|
||||
|
||||
Портал предназначен для установки и работы внутри корпоративной сети. Также портал может быть опубликован для доступа из сети интернет.
|
||||
|
||||
- проверка логина и пароля пользователя в LDAP-каталоге или домене Active Directory (Windows-версия может осуществлять проверку в нескольких доменах, если между ними настроены доверительные отношения);
|
||||
- настройка второго фактора аутентификации;
|
||||
- смена пароля пользователя после подтверждения второго фактора;
|
||||
- смена просроченного или требующего замены пароля;
|
||||
- единая точка входа (Single Sign-On) для корпоративных приложений с поддержкой протоколов SAML, OpenID Connect / OAuth;
|
||||
- выборочное включение второго фактора на основе принадлежности пользователя к группе в AD при Single Sign-On входе;
|
||||
- управление ActiveSync-устройствами для доступа к почте Exchange;
|
||||
- поддержка проверки CAPTCHA на странице входа в портал.
|
||||
|
||||
## Соответствие тарифов и адаптеров
|
||||
|
||||
|Подключаемый сервис | Тип адаптера |
|
||||
|--------------------|-----------------|
|
||||
|NGAF ra VPN | LDAP |
|
||||
|UserGate ra VPN | LDAP |
|
||||
|Pfsense ra VPN | RADIUS |
|
||||
|OWA | Модуль для OWA |
|
||||
|ADFS | Модуль для ADFS |
|
||||
|Vmware horizon VDI | RADIUS |
|
||||
|
||||
Дополнительно прочтите про [настройку двухфакторной аутентификации в VPN на основе межсетевого экрана UserGate](https://multifactor.ru/docs/vpn/usergate-2fa-vpn/).
|
||||
@@ -1,83 +0,0 @@
|
||||
# Состав сервиса
|
||||
|
||||
## Варианты услуги
|
||||
|
||||
Сервис **Cloud Multifactor Authentication (MFA)** предлагает два варианта:
|
||||
|
||||
Self-Service,
|
||||
Managed Service.
|
||||
|
||||
Beeline cloud тарифицирует дополнительные работы по фактическим трудозатратам.
|
||||
|
||||
## Личный кабинет администратора
|
||||
|
||||
Личный кабинет администратора — веб-приложение, доступное из сети интернет. Через приложение ИТ-специалисты управляют четыреми элементами:
|
||||
|
||||
- пользователями,
|
||||
- группами пользователей,
|
||||
- интеграцией с защищаемыми информационными системами,
|
||||
- списком доступных вторых факторов.
|
||||
|
||||
## Radius Adapter
|
||||
|
||||
Radius Adapter — RADIUS-сервер, который используется для двухфакторной аутентификации пользователей при использовании удаленного доступа. Компонент доступен вместе с исходным кодом. Radius Adapter использует Linux-версию.
|
||||
|
||||
Radius adapter не передает пароль пользователя в облако Multifactor. Пароль не покидает периметр сети. Передается только логин для идентификации пользователя и доставки ему второго фактора.
|
||||
|
||||
### Возможности
|
||||
|
||||
- Прием запросов на аутентификацию по протоколу RADIUS.
|
||||
- Проверка первого фактора аутентификации — логина и пароля пользователя в Active Directory (в том числе AD LDS) или Network Policy Server.
|
||||
- Проверка второго фактора аутентификации на телефоне пользователя.
|
||||
- Настройка второго фактора в режиме диалога с пользователем.
|
||||
- Настройка доступа на основе принадлежности пользователя к группе в AD.
|
||||
- Избирательное включение второго фактора на основе принадлежности пользователя к группе AD.
|
||||
- Настройка атрибутов ответа RADIUS на основе принадлежности пользователя к группе AD.
|
||||
- Проксирование запросов и ответов Network Policy Server.
|
||||
- Запись журналов в Syslog сервер или SIEM-систему.
|
||||
- Режим bypass. В случае недоступности API система предлагает возможность пропускать пользователя без второго фактора или блокировать.
|
||||
|
||||
## LDAP Adapter
|
||||
|
||||
LDAP Adapter — LDAP proxy-сервер, разработанный и поддерживаемый компанией Мультифактор для двухфакторной аутентификации пользователей в приложениях, использующих LDAP аутентификацию. Компонент доступен вместе с исходным кодом. LDAP Adapter использует Linux-версию.
|
||||
|
||||
Компонент не влияет на проверку имени и пароля пользователя. Второй фактор включается только, после успешной проверки учетной записи в Active Directory или другом LDAP каталоге.
|
||||
|
||||
### Возможности
|
||||
|
||||
- Проксирование сетевого трафика по протоколу LDAP.
|
||||
- Поиск запросов на аутентификацию и подтверждение вторым фактором на телефоне пользователя.
|
||||
- Работа по протоколам LDAP и LDAPS (шифрованный TLS канал).
|
||||
- Перехват запросов на аутентификацию, использующих механизмы Simple, Digital, NTLM.
|
||||
- Пропуск запросов от сервисных учетных записей (Bind DN) без второго фактора.
|
||||
- Настройка доступа на основе принадлежности пользователя к группе AD.
|
||||
- Избирательное включение второго фактора на основе принадлежности пользователя к группе AD.
|
||||
- Звпись журналов в Syslog сервер или SIEM-систему.
|
||||
- Режим bypass. В случае недоступности API система предлагает возможность пропускать пользователя без второго фактора или блокировать.
|
||||
|
||||
## Портал самообслуживания
|
||||
|
||||
SelfService Portal (Портал самообслуживания) — веб-сайт, разработанный и поддерживаемый компанией Мультифактор для самостоятельной регистрации второго фактора аутентификации пользователями с учётными записями из Active Directory или других LDAP каталогов. Компонент доступен вместе с исходным кодом. В рамках сервиса применяется Linux-версия и Windows-версии.
|
||||
|
||||
### Возможности
|
||||
|
||||
Портал предназначен для установки и работы внутри корпоративной сети. Портал может быть опубликован для доступа из сети интернет.
|
||||
|
||||
- Проверка логина и пароля пользователя в LDAP-каталоге или домене Active Directory. Windows-версия может осуществлять проверку в нескольких доменах, если между ними настроены доверительные отношения.
|
||||
- Настройка второго фактора аутентификации.
|
||||
- Смена пароля пользователя после подтверждения второго фактора.
|
||||
- Смена просроченного или требующего замены пароля.
|
||||
- Единая точка входа (Single Sign-On) для корпоративных приложений с поддержкой протоколов SAML, OpenID Connect / Oauth.
|
||||
- Избирательное включение второго фактора на основе принадлежности пользователя к группе в AD при Single Sign-On входе.
|
||||
- Управление ActiveSync устройствами для доступа к почте Exchange.
|
||||
- Поддержка проверки CAPTCHA на странице входа в портал.
|
||||
|
||||
## Соответствие тарифов и адаптеров
|
||||
|
||||
Подключаемый сервис Тип адаптера
|
||||
NGAF ra VPN LDAP
|
||||
UserGate ra VPN LDAP
|
||||
Pfsense ra VPN RADIUS
|
||||
OWA Модуль для OWA
|
||||
ADFS Модуль для ADFS
|
||||
Vmware horizon VDI RADIUS
|
||||
Reference in New Issue
Block a user