diff --git a/src/PaaS/Apache-Kafka/base-tier-connection.md b/src/PaaS/Apache-Kafka/base-tier-connection.md index cd603f2..345b7e9 100644 --- a/src/PaaS/Apache-Kafka/base-tier-connection.md +++ b/src/PaaS/Apache-Kafka/base-tier-connection.md @@ -105,7 +105,7 @@ ssl.truststore.password=парольотхранилища ./kafka-topics.sh --bootstrap-server :9092,:9092,:9092 --command-config ../config/client.properties --create --topic <имя топика> --partitions <количество партиций> --replication-factor <значение> --config min.insync.replicas=<значение> ``` -Ознакомиться с рекомендациями по настройке топиков можно здесь - рекомендации. +**Ознакомиться с рекомендациями по настройке топиков можно в разделе [Настройка топиков](./base-tier-topics-guide.md).** По умолчанию топик создаётся с --partitions 10 --replication-factor 3 --config min.insync.replicas=2, поэтому, если нет необходимости создавать топик со специфическими настройками, эти флаги в команде можно не указывать. diff --git a/src/security/Cloud-MFA/MFA-index.md b/src/security/Cloud-MFA/MFA-index.md deleted file mode 100644 index 9e819c9..0000000 --- a/src/security/Cloud-MFA/MFA-index.md +++ /dev/null @@ -1,19 +0,0 @@ ---- -section_links: - - title: Обзор сервиса - link: /security/Cloud-MDM/about.md - description: - - title: Порядок платежей - link: /security/Cloud-MDM/payments.md - description: - - title: Качественные характеристики сервиса - link: /security/Cloud-MDM/characteristics.md - description: - - title: Сроки и условия предоставления сервиса - link: /security/Cloud-MDM/provision.md - description: ---- - -# Cloud Multifactor Authentication (MFA) - -Сервис предназначен для настройки процесса подключения к системе. Процесс состоит из нескольких шагов и требует от пользователя указать дополнительные данные, а не только пароль. \ No newline at end of file diff --git a/src/security/Cloud-MFA/about.md b/src/security/Cloud-MFA/about.md deleted file mode 100644 index 6af6075..0000000 --- a/src/security/Cloud-MFA/about.md +++ /dev/null @@ -1,34 +0,0 @@ -# Cloud Multifactor Authentication (MFA) - -## Основа сервиса - -Сервис **Cloud Multifactor Authentication (MFA)** используется для настройки процесса входа в систему. Процесс состоит из нескольких шагов и требует от пользователя указать больше информации, а не только пароль. Сервис может быть как отдельным, так и опцией к уже существующим. Сервис реализован на базе российского решения Multifactor. - -## Задачи сервиса - -- Защита информационных систем от несанкционированного доступа и компрометации учетных данных. -- Усиленный контроль доступа к данным и приложениям. -- Выполнение требований стандартов в сфере информационной безопасности: - - PCI-DSS; - - HIPAA; - - SOX; - - NERC; - - FISMA; - - ISO; - - GLBA; - - GPG13 и т.д. - -## Особенности и конкурентные преимущества сервиса - -- Сервис работает по принципу zero trust: Multifactor не получает пароли пользователей. -- Пользователи могут самостоятельно настроить аутентификацию при первом входе, без регистрации. Функционал работает в браузере без установки плагинов, драйверов и сторонних приложений. -- Сервис поддерживает следующие факторы: - - бот в Telegram; - - биометрия; - - U2F; - - FIDO; - - OTP; - - Google Authenticator; - - Яндекс.Ключ; - - Звонки; - - SMS. \ No newline at end of file diff --git a/src/security/Cloud-MFA/description/components.md b/src/security/Cloud-MFA/description/components.md deleted file mode 100644 index 1970309..0000000 --- a/src/security/Cloud-MFA/description/components.md +++ /dev/null @@ -1,96 +0,0 @@ -# Компоненты сервиса - -## Виды компонентов - -В зависимости от решаемой задачи и архитектуры защищаемых систем используется один или несколько технических компонентов сервиса **Cloud Multifactor Authentication (MFA)**: - -- личный кабинет администратора; -- radius adapter; -- ldap adapter; -- портал самообслуживания. - -Все перечисленные компоненты разрабатываются и поддерживаются компанией Мультифактор. - -## 1. Личный кабинет администратора - -**Личный кабинет администратора** — это веб-приложение, доступное через интернет. С его помощью ИТ-специалисты управляют четырьмя категориями объектов: - -- пользователями; -- группами пользователей; -- интеграцией с защищаемыми информационными системами; -- списком доступных вторых факторов. - -## 2. Radius Adapter - -**Radius Adapter** — это RADIUS-сервер, обеспечивающий двухфакторную аутентификацию пользователей при удалённом доступе. Компонент поставляется с исходным кодом и работает под управлением Linux. - -::: warning Важно - -Пароль пользователя не передаётся в облако Multifactor и не покидает периметр сети. В облако передаётся только логин — для идентификации пользователя и доставки ему второго фактора. - -::: - -### Возможности - -- приём запросов на аутентификацию по протоколу RADIUS; -- проверка первого фактора (логина и пароля) в Active Directory (включая AD LDS) или Network Policy Server; -- проверка второго фактора на устройстве пользователя; -- настройка второго фактора в режиме диалога с пользователем; -- управление доступом на основе членства пользователя в группе AD; -- выборочное включение второго фактора в зависимости от членства пользователя в группе AD; -- настройка атрибутов RADIUS-ответа на основе членства пользователя в группе AD; -- проксирование запросов и ответов Network Policy Server; -- отправка журналов событий в Syslog-сервер или SIEM-систему; -- режим bypass: при недоступности сервера система может пропускать пользователя без второго фактора или блокировать доступ. - -## 3. LDAP Adapter - -**LDAP Adapter** — это LDAP proxy-сервер, разработанный и поддерживаемый компанией Мультифактор для двухфакторной аутентификации пользователей в приложениях, использующих LDAP-аутентификацию. Компонент поставляется с исходным кодом и работает под управлением Linux. - -::: warning Важно - -Компонент не влияет на проверку имени и пароля пользователя. Второй фактор включается только после успешной проверки учётной записи в Active Directory или другом LDAP-каталоге. - -::: - -### Возможности - -- проксирование сетевого трафика по протоколу LDAP; -- поиск запросов на аутентификацию и подтверждение вторым фактором на устройстве пользователя; -- работа по протоколам LDAP и LDAPS (шифрованный TLS-канал); -- перехват запросов на аутентификацию, использующих механизмы Simple, Digital, NTLM; -- пропуск запросов от служебных учётных записей (Bind DN) без второго фактора; -- настройка доступа на основе принадлежности пользователя к группе AD; -- выборочное включение второго фактора в зависимости от принадлежности пользователя к группе AD; -- отправка журналов событий в Syslog-сервер или SIEM-систему; -- режим bypass: при недоступности API система может пропускать пользователя без второго фактора или блокировать доступ. - -## 4. Портал самообслуживания - -**SelfService Portal (Портал самообслуживания)** — это веб-сайт, разработанный и поддерживаемый компанией Мультифактор для самостоятельной регистрации второго фактора аутентификации пользователями с учётными записями из Active Directory или других LDAP-каталогов. Компонент поставляется с исходным кодом. В рамках сервиса применяются Linux-версия и Windows-версия. - -### Возможности - -Портал предназначен для установки и работы внутри корпоративной сети. Также портал может быть опубликован для доступа из сети интернет. - -- проверка логина и пароля пользователя в LDAP-каталоге или домене Active Directory (Windows-версия может осуществлять проверку в нескольких доменах, если между ними настроены доверительные отношения); -- настройка второго фактора аутентификации; -- смена пароля пользователя после подтверждения второго фактора; -- смена просроченного или требующего замены пароля; -- единая точка входа (Single Sign-On) для корпоративных приложений с поддержкой протоколов SAML, OpenID Connect / OAuth; -- выборочное включение второго фактора на основе принадлежности пользователя к группе в AD при Single Sign-On входе; -- управление ActiveSync-устройствами для доступа к почте Exchange; -- поддержка проверки CAPTCHA на странице входа в портал. - -## Соответствие тарифов и адаптеров - -|Подключаемый сервис | Тип адаптера | -|--------------------|-----------------| -|NGAF ra VPN | LDAP | -|UserGate ra VPN | LDAP | -|Pfsense ra VPN | RADIUS | -|OWA | Модуль для OWA | -|ADFS | Модуль для ADFS | -|Vmware horizon VDI | RADIUS | - -Дополнительно прочтите про [настройку двухфакторной аутентификации в VPN на основе межсетевого экрана UserGate](https://multifactor.ru/docs/vpn/usergate-2fa-vpn/). \ No newline at end of file diff --git a/src/security/Cloud-MFA/description/compound.md b/src/security/Cloud-MFA/description/compound.md deleted file mode 100644 index ed09c40..0000000 --- a/src/security/Cloud-MFA/description/compound.md +++ /dev/null @@ -1,83 +0,0 @@ -# Состав сервиса - -## Варианты услуги - -Сервис **Cloud Multifactor Authentication (MFA)** предлагает два варианта: - -Self-Service, -Managed Service. - -Beeline cloud тарифицирует дополнительные работы по фактическим трудозатратам. - -## Личный кабинет администратора - -Личный кабинет администратора — веб-приложение, доступное из сети интернет. Через приложение ИТ-специалисты управляют четыреми элементами: - -- пользователями, -- группами пользователей, -- интеграцией с защищаемыми информационными системами, -- списком доступных вторых факторов. - -## Radius Adapter - -Radius Adapter — RADIUS-сервер, который используется для двухфакторной аутентификации пользователей при использовании удаленного доступа. Компонент доступен вместе с исходным кодом. Radius Adapter использует Linux-версию. - -Radius adapter не передает пароль пользователя в облако Multifactor. Пароль не покидает периметр сети. Передается только логин для идентификации пользователя и доставки ему второго фактора. - -### Возможности - -- Прием запросов на аутентификацию по протоколу RADIUS. -- Проверка первого фактора аутентификации — логина и пароля пользователя в Active Directory (в том числе AD LDS) или Network Policy Server. -- Проверка второго фактора аутентификации на телефоне пользователя. -- Настройка второго фактора в режиме диалога с пользователем. -- Настройка доступа на основе принадлежности пользователя к группе в AD. -- Избирательное включение второго фактора на основе принадлежности пользователя к группе AD. -- Настройка атрибутов ответа RADIUS на основе принадлежности пользователя к группе AD. -- Проксирование запросов и ответов Network Policy Server. -- Запись журналов в Syslog сервер или SIEM-систему. -- Режим bypass. В случае недоступности API система предлагает возможность пропускать пользователя без второго фактора или блокировать. - -## LDAP Adapter - -LDAP Adapter — LDAP proxy-сервер, разработанный и поддерживаемый компанией Мультифактор для двухфакторной аутентификации пользователей в приложениях, использующих LDAP аутентификацию. Компонент доступен вместе с исходным кодом. LDAP Adapter использует Linux-версию. - -Компонент не влияет на проверку имени и пароля пользователя. Второй фактор включается только, после успешной проверки учетной записи в Active Directory или другом LDAP каталоге. - -### Возможности - -- Проксирование сетевого трафика по протоколу LDAP. -- Поиск запросов на аутентификацию и подтверждение вторым фактором на телефоне пользователя. -- Работа по протоколам LDAP и LDAPS (шифрованный TLS канал). -- Перехват запросов на аутентификацию, использующих механизмы Simple, Digital, NTLM. -- Пропуск запросов от сервисных учетных записей (Bind DN) без второго фактора. -- Настройка доступа на основе принадлежности пользователя к группе AD. -- Избирательное включение второго фактора на основе принадлежности пользователя к группе AD. -- Звпись журналов в Syslog сервер или SIEM-систему. -- Режим bypass. В случае недоступности API система предлагает возможность пропускать пользователя без второго фактора или блокировать. - -## Портал самообслуживания - -SelfService Portal (Портал самообслуживания) — веб-сайт, разработанный и поддерживаемый компанией Мультифактор для самостоятельной регистрации второго фактора аутентификации пользователями с учётными записями из Active Directory или других LDAP каталогов. Компонент доступен вместе с исходным кодом. В рамках сервиса применяется Linux-версия и Windows-версии. - -### Возможности - -Портал предназначен для установки и работы внутри корпоративной сети. Портал может быть опубликован для доступа из сети интернет. - -- Проверка логина и пароля пользователя в LDAP-каталоге или домене Active Directory. Windows-версия может осуществлять проверку в нескольких доменах, если между ними настроены доверительные отношения. -- Настройка второго фактора аутентификации. -- Смена пароля пользователя после подтверждения второго фактора. -- Смена просроченного или требующего замены пароля. -- Единая точка входа (Single Sign-On) для корпоративных приложений с поддержкой протоколов SAML, OpenID Connect / Oauth. -- Избирательное включение второго фактора на основе принадлежности пользователя к группе в AD при Single Sign-On входе. -- Управление ActiveSync устройствами для доступа к почте Exchange. -- Поддержка проверки CAPTCHA на странице входа в портал. - -## Соответствие тарифов и адаптеров - -Подключаемый сервис Тип адаптера -NGAF ra VPN LDAP -UserGate ra VPN LDAP -Pfsense ra VPN RADIUS -OWA Модуль для OWA -ADFS Модуль для ADFS -Vmware horizon VDI RADIUS