+ 7 (495) 721-17-21 доб. 157

Конвергированный доступ к инфраструктуре компании через гибридные карты доступа

18.07.2016

Предпосылки

Конвергированный доступ – это объединение разнородных систем контроля доступа к корпоративной инфраструктуре через общие для этих систем элементы. Такая унификация доступа предпочтительна для компаний, в которых актуален вопрос комплексной безопасности, удобства и рентабельности средств доступа к своей инфраструктуре.

В современных условиях значительно возросшего количества и качества информационных угроз недостаточное внимание к задаче усиления комплексной защиты доступа к корпоративной инфраструктуре может привести к значительным финансовым потерям и репутационным рискам, вплоть до краха компании. Давно прошли времена, когда защита только внешнего физического периметра с помощью СКУД считалась надежной преградой от несанкционированного доступа к внутренним информационным ресурсам, особенно, когда почти в каждой компании часть сотрудников может официально работать в дистанционном режиме через удаленный доступ.

В разделенной архитектуре систем контроля доступа, каждое решение оперирует своими собственными учетными данными, которые привязаны к учетным записям сотрудников и могут храниться на разных физических (например, карты или токены) и информационных (системные пароли) носителях. Если добавить сюда базовые персональные данные сотрудников (ФИО, фото), которые должны быть напечатаны на их пропуске для визуального контроля, то разрозненное управление жизненным циклом этих аутентификаторов (выпуск, персонализация, замена, отзыв, разблокировка и др.) превращается в довольно сложный, долгий, неудобный, слабоконтролируемый и, поэтому, потенциально уязвимый и ресурсоёмкий процесс даже для небольших компаний.

Частично избежать проблем в таком сценарии могут помочь специально разработанные регламенты и системы учета, которые, разумеется, необходимы в любом случае. Но кардинально изменить ситуацию в лучшую сторону поможет только построение конвертированного доступа с возможным внедрением или обновлением дополнительных систем и методов контроля/управления доступом.

Гибридная карта

В самом полном и перспективном сценарии конвергенция доступа подразумевает использование единой многофункциональной карты (пропуск, бейдж), как для доступа сотрудника в офисы компании (физический доступ через системы СКУД и визуальный контроль), так и для аутентификации в корпоративные информационные сетевые ресурсы – рабочие места, WEB-порталы, приложения и др. (логический доступ через решения для усиления его защиты, в том числе удаленный доступ через Интернет для сотрудников, работающих дистанционно).

Объединение физического и логического доступа через единые карты сотрудников (конвергенция «снизу») полностью раскрывает все свои достоинства именно в корпоративной инфраструктуре, где все учетные записи владельцев этих карт расположены в централизованном общем репозитории (корпоративная служба каталогов, домен), с которым интегрируются все используемые системы управления контролем доступа (конвергенция «сверху»).

Таким образом, единым аутентификатором в конвергированном доступе, общим элементом всех систем его контроля и носителем разнородных учетных данных, является гибридная карта, в которую встроены сразу несколько технологий.

В упрощенном случае:

  • бесконтактная метка (RFID) определенного стандарта (например, HID Prox) для прохода в помещения
  • базовые персональные данные владельца карты (ФИО, фото) для визуальной идентификации сотрудника (возможно, с элементами защиты, например, голографические метки).

В более функциональном варианте, карта может включать дополнительно следующие технологии:

  • дополнительная бесконтактная технология (например, iClass)
  • контактный чип смарт-карты для аутентификации в сетевые корпоративные информационные ресурсы, как правило, для работающих внутри офиса сотрудников
  • чип, пьезокнопка и портативный ЖК-дисплей для получения одноразовых паролей (ОТР) для удаленного доступа к сетевым корпоративным информационным ресурсам, как правило, для сотрудников, работающих дистанционно вне офиса (например, из дома или в командировке).

Состав встроенных в гибридную карту технологий зависит сценариев реализации конвергированного доступа, выбор которых может опираться на следующие факторы:

  • уровень защиты унифицированного доступа
  • возможность применения уже используемых в СКУД карт доступа
  • наличие штата дистанционных сотрудников, для которых требуется защита удаленного доступа
  • возможность развертывания дополнительной инфраструктуры, например, сервисов сертификации (PKI) для контактных смарт-карт
  • необходимость автоматизации доступа к корпоративным ресурсам (приложениям или WEB-формам) с собственными прикладными учетными данными с помощью функционала однократной сквозной аутентификации (SSO)
  • суммарные затраты на внедрение, которые, кроме стоимости самих программных лицензий, возможно, должны включать стоимость дополнительного оборудования, например, USB-считывателей бесконтактных карт для рабочих станций сотрудников или новых гибридных карт

Физический доступ

Выбор оптимального варианта конвергированного доступа проще всего осуществить, когда построение защиты инфраструктуры компании начинается с нуля. В этом случае, необходимо, первым делом, оценить требуемый уровень безопасности физического доступа в помещения компании через СКУД. В настоящее время существует довольно много бесконтактных технологий с достаточной степенью защиты, но мы рекомендуем сразу ориентироваться на стандарт iCLASS или его более совершенные модификации. Соответственно, помимо самой встроенной в гибридную карту RFID-метки, надо будет подобрать совместимые с ее типом считыватели (для точек прохода), контроллеры и саму систему контроля доступа.

Логический доступ

В части логического доступа к информационным корпоративным ресурсам, с точки зрения безопасности ориентироваться следует, прежде всего, на методы двухфакторной аутентификации, среди которых бескомпромиссный уровень защиты обеспечивает только инфраструктура смарт-карт и доменные службы сертификации. В этом случае, взаимодействие между удостоверяющими центрами, цифровыми сертификатами и надежно хранимыми в картах секретными ключами, происходит по строгим криптографическим алгоритмам, полностью исключая несанкционированный доступ к корпоративным активам на уровне самой технологии. Добавим, что в отличие от всех остальных методов аутентификации (бесконтактные карты, отпечатки пальцев и др.) только использование контактных смарт-карт позволяет полностью уйти от статических системных паролей, даже на внутреннем уровне самой доменной архитектуры Microsoft. В контексте конвергированного доступа, элементами инфраструктуры смарт-карт будет, прежде всего встроенный в гибридную карту контактный чип, USB-считыватель для подключения контактных карт к компьютерам, развернутые в корпоративной службе каталогов сервисы сертификации (например, Microsoft CA) и, разумеется, программное обеспечение для поддержки и обслуживания смарт-карт. Причем, если речь идет о средних и крупных организациях (более 50 сотрудников), крайне рекомендуется внедрение централизованного управления жизненным циклом смарт-карт с помощью соответствующих систем, которые, помимо автоматизированных процессов обслуживания карт и учетных данных на них, как правило, предоставляют развитый функционал аудита и отчетности.

В плане общей унификации и оптимизации производства важным позитивным следствием внедрения в компании инфраструктуры смарт-карт для логического доступа (особенно, если она построена на службах сертификации от Microsoft) является практически готовый функционал защиты электронной переписки и файлового контента с помощью электронной подписи на цифровых сертификатах, секретные ключи которых будут надежно храниться в защищенной PIN-кодом области памяти в смарт-карте. Причем, дополнительных затрат для этого не потребуется.

Дистанционный доступ

Если в компании часть сотрудников может работать дистанционно и, соответственно, для них требуется защита удаленного доступа к корпоративным активам, то в этом случае, характерным развитием конвергенции доступа, является инфраструктура одноразовых паролей (One Time Password, ОТР). Это связано с тем, что применение для удаленного доступа просто контактных или бесконтактных технологий в смарт-картах, а значит, и считывателей карт, драйверов и, возможно, программного клиента для них, как минимум непрактично, а часто даже невозможно на устройствах дистанционных сотрудников, которые, например, могут представлять собой смартфоны и планшеты на мобильных платформах, не поддерживающих подходящие аппаратные и/или программные интерфейсы подключения. Метод аутентификации по одноразовым паролям, напротив, не предполагает какого-либо физического подсоединения ОТР-генератора к исходному устройству пользователя, с которого производится ввод учетных данных. В случае гибридной карты для конвергированного доступа, в нее, помимо вышеперечисленных элементов (контактный чип и/или бесконтактная технология), встраивается микросхема для генерации одноразового пароля, пьезокнопка для его получения и портативный ЖК-дисплей для вывода его значения, которое владелец карты затем вводит в окно доступа к целевой системы вместе с известным только ему PIN-кодом (двухфакторная аутентификация). Это может быть удаленное RDP-соединение через Интернет с домашнего компьютера к терминальному серверу во внутренней сети или доступ с личного смартфона к корпоративному порталу или почте. С точки зрения безопасности самой технологии ОТР, криптоустойчивые алгоритмы генерации и верификации одноразовых паролей, во-первых, обеспечивают валидность такого пароля только для одного события аутентификации, а, во-вторых, исключает вычисление очередного пароля из любой последовательности предыдущих его значений. Концепция усиления защиты доступа с помощью одноразовых паролей обязательно предполагает наличие сервера аутентификации, который для полноценной реализации конвергированного доступа, как и в случае с контактными смарт-картами, должен обеспечивать централизованное управление жизненным циклом ОТР-генераторов на картах, функционал аудита и возможность интеграции с корпоративной службой каталогов для синхронизации с учетными записями сотрудников – владельцев гибридных карт.

Безопасная печать

Интересным и востребованным расширением применения гибридных карт является их использование для организации безопасной печати внутри компании, что можно отнести также к области логического доступа. Имеется в виду переход с обычной офисной печати документов на явно заданных сотрудниками принтерах, на систему защищенной централизованной печати, когда все пользователи отравляют свои задания на печать через единый драйвер сетевой печати. Эти задания аккумулируйся и контролируются (плюс, опционально, архивируются) на сервере печати, и автоматически распечатываются только на том принтере, к которому сотрудник приложил или подключил свою карту. Таким образом, на принтеры выводятся только «авторизованные» задания прямо в руки их владельцам, что практически исключает несанкционированный доступ к конфиденциальной информации, а также обеспечивает экономную и удобную печать.

Печать на картах

Для визуальной идентификации сотрудника важно предусмотреть возможность нанесения на карту базовой персональной информации о владельце (ФИО, фото и др.). Для такой печати потребуются специальные модели принтеров для пластиковых карт, при необходимости поддерживающие изготовление на карте оптических (например, голограмма) или осязательных (например, гравировка) средств защиты от подделок.

Интеграция

В целях конвергенции выпуска гибридных карт, очень желательно, чтобы процесс их персонализации был как можно сильнее унифицирован. Это цель может быть достигнута с помощью интеграции сервисов доступа друг с другом, с помощью которой, например, первоначальная выдача карты сотруднику с записью и привязкой к его учетной записи разнородных данных (в варианте максимум – это RFID – для СКУД, цифровой сертификат с закрытым кличем и ОТР-идентификатор – для логического внутреннего и внешнего доступа, печать персональной информации – для визуального контроля) будет происходит за один технологический процесс. Другой пример целесообразности такого взаимодействия систем – это реализация сценария, когда отсутствующему в офисе сотруднику (не зарегистрирован его проход через СКУД) запрещен доменный вход на рабочие станции. А если зафиксирован дистанционный доступ сотрудника к опубликованным внутренним информационным ресурсам компании и одновременное присутствие его в офисе, то учетная запись этого пользователя автоматически немедленно блокируется, а все ее учетные данные временно отзываются, с оповещением служб безопасности. Эти и подобные позитивные следствия объединения систем идентификации «сверху» (т. е. друг с другом и с одной и той же смежной сетевой инфраструктурой) является очень сильной стороной комплексного конвергированного доступа.

Сценарии реализации конвергированного доступа

Теперь рассмотрим сценарий построения конвергированного доступа, когда в компании уже внедрена и успешно функционирует система контроля физического доступа (СКУД) и планируется усиление защиты аутентификации к корпоративным информационным активам. Например, переход от входа в них только по системным паролям на два фактора аутентификации или появление штата дистанционных сотрудников с организации для них безопасного удаленного доступа. В этом случае возможны разные варианты конвергенции, отправной точкой для выбора которых может являться оценка важности таких факторов, как:

  • Уровень защиты каждой системы доступа
  • Финансовые и ресурсные затраты на приобретение и обслуживание дополнительного оборудования и программного обеспечения

С точки зрения первого фактора (безопасность), как уже было упомянуто, самой качественной защитой в области физического доступа является применение бесконтактной технологии iClass и дальнейшего ее развития (iCLASS SE, iCLASS Seos). В логическом доступе – это инфраструктура смарт-карт для внутренней аутентификации и, с учетом практичности, одноразовые пароли для дистанционного доступа. В печати данных сотрудника на карте – это специальные технологии защиты, таких как голографические метки и гравировка.

Что касается дополнительных инвестиций на построение конвергированного доступа, как по общей стоимости ПО и оборудования, так и по затратам на внедрение и дальнейшее обслуживание, то, в целом, всё будет зависеть от количества и типа встроенных в гибридную карту технологий. Если заказчик не планирует обновление парка уже применяемых бесконтактных карт для СКУД, считывателей и контроллеров для них, то для усиления логического доступа к корпоративным ресурсам внутри офиса следует ориентироваться на системы логического доступа по бесконтактным картам, поддерживающие используемые в этих картах бесконтактные стандарты (например, HID Prox).

В этом случае, помимо программных лицензий, следует заложить стоимость USB-считывателей бесконтактных карт на каждое рабочее место сотрудника. В отличие от считывателей контактных карт, такие ридеры недешевы (особенно, совместимые с современными высокочастотными бесконтактными технологиями или поддерживающие сразу несколько стандартов). Поэтому общие затраты нередко оказываются сопоставимы с вариантом замены существующих карт на гибридные, с той же (теми же, если несколько) бесконтактной технологией плюс контактным чипом для инфраструктуры смарт-карт. Иными словами, при приблизительно равной стоимости программных решений по двухфакторной аутентификации (например, доменного входа на рабочие станции) по контактным и бесконтактным картам, цена USB-считывателей для последних может быть соизмерима с суммарной стоимостью новых гибридных карт (RFID + чип смарт-карты) и контактных USB-ридеров.

Особенно, это справедливо для устаревших низкочастотных бесконтактных стандартов (HID Prox, Indala и Em-marine). Дополнительным преимуществом гибридных карт с контактным чипом, как уже сказано выше, будет бескомпромиссный уровень безопасности логического доступа, что обеспечивается фундаментальными постулатами, заложенными в инфраструктуру смарт-карт и PKI.

Значительным фактором в пользу замены парка существующих бесконтактных карт доступа на гибридные, может являться намерение заказчика усилить безопасность удаленного доступа к своим корпоративным активам со стороны штата дистанционных сотрудников. Технологически ничто не мешает расширить установленные системы двухфакторной аутентификации по бесконтактным картам и на домашние компьютеры или лэптопы таких пользователей.

Но в связи с низкой практичностью такого сценария (необходимо будет подключать USB-считыватели, устанавливать и настраивать клиентское ПО) наиболее эффективным решением для защиты дистанционного доступа являются описанные выше одноразовые пароли, получать которые, с точки зрения рассматриваемой нами конвергенции, предполагается на единой гибридной карте доступа. Конечно, следует учитывать более высокую стоимость таких карт при переходе на них в рамках объединения доступа.

Требования

Осталось обратить внимание на типичные базовые требования к функционалу решений, на которые следует ориентироваться при построении конвергированного доступа на гибридных картах. Прежде всего, все системы должны быть полностью совместимы с теми стандартами встроенных в карту технологий, за поддержку и управление которыми они отвечают. Ниже приведены проверочные списки совместимости (в т. ч. на уровне интеграции) необходимых решений в порядке их согласования для различных видов доступа и сценариев его конвергенции (в скобках указаны пункты, для которых должна быть заявлена поддержка на уровне решений).

Физический доступ (все сценарии):

  1. Стандарт(-ы) RFID в карте (2)
  2. Считыватели (1, 3)
  3. Контроллеры (2, 4)
  4. СКУД (3, 5)
  5. Корпоративная служба каталогов (уже развёрнута в компании, например, Microsoft AD)

Сценарий с логическим доступом в офисах компании по бесконтактным картам:

  1. Стандарт(-ы) RFID в карте (2, 3)
  2. USB-считыватели бесконтактных карт для рабочих станций (1, 3, 4)
  3. Драйверы и клиентское ПО для поддержки USB-считывателей и карт на рабочих станциях (1, 2, 4)
  4. Серверное ПО для централизованного управления картами (2, 3, 6)
  5. Система однократной сквозной аутентификации SSO (6, 7, может быть встроена в 4)
  6. Корпоративная служба каталогов (уже развёрнута в компании, например, Microsoft AD)
  7. Корпоративные WEB-сервисы и бизнес-приложения с доменными или собственными прикладными учетными данными (если развёрнуты в компании)

Сценарий с логическим доступом в офисах компании по бесконтактным контактным смарт-картам:

  1. Модели контактных чипов смарт-карт (2, 3, 4, опционально 5 или 8)
  2. USB-считыватели контактных карт для рабочих станций (1, 3, 4 – как правило, все модели ридеров технологически совместимы с практически всеми типами смарт-карт и ПО для их поддержки и обслуживания)
  3. Драйверы и, возможно, клиентское ПО для поддержки USB-считывателей и карт на рабочих станциях (1, 2, 4, опционально 5 или 8)
  4. Серверное ПО для централизованного управления картами (1, 2, 3, 6, 7)
  5. Система однократной сквозной аутентификации SSO (6, 8)
  6. Корпоративная служба каталогов (уже развёрнута в компании, например, Microsoft AD)
  7. Корпоративный цент сертификации, например, Microsoft CA (6)
  8. Корпоративные WEB-сервисы и бизнес-приложения с доменными или собственными прикладными учетными данными (если развёрнуты в компании)

Сценарий с удаленным логическим доступом по одноразовым паролям на дисплей-картах для дистанционных сотрудников:

  1. Модели дисплей-карт с генератором одноразовых паролей (3)
  2. Клиентское ПО для поддержки аутентификации по одноразовым паролям на рабочих станциях (3)
  3. Серверное ПО для централизованного управления дисплей-картами (1, 2, 5, 6)
  4. Система однократной сквозной аутентификации SSO (5, 6)
  5. Корпоративная служба каталогов (уже развёрнута в компании, например, Microsoft AD)
  6. Корпоративные WEB-сервисы и бизнес-приложения с доменными или собственными прикладными учетными данными (если развёрнуты в компании)

Сценарий с безопасной печатью в офисах компании по бесконтактным картам:

  1. Стандарт(-ы) RFID в карте (2)
  2. Сетевые принтеры и МФУ со встроенными или подключаемыми считывателями бесконтактных карт (3)
  3. Серверное ПО для управления безопасной печатью (2, 4)
  4. Корпоративная служба каталогов (уже развёрнута в компании, например, Microsoft AD)

В приведенном списке совместимости в разделах логического доступа обозначена система однократной сквозной аутентификации (Single sign-on, SSO) для все более популярного в последнее время сценария расширения конвергированного доступа по гибридным картам до аутентификации в корпоративные WEB-сервисы и бизнес-приложения. Этот функционал обеспечивает автоматизированный вторичный вход в целевые ресурсы по доменным или их собственным прикладным учетным данным (логин, пароль) после успешного входа на рабочую станцию по единому первичному аутентификатору (RFID/PKI/OTP на гибридной карте) и PIN-коду. Решение SSO можно не использовать в случае организации логического доступа по контактным смарт-картам, когда поддержка аутентификации по ним прямо заявлена в целевых корпоративных ресурсах. Также функционал SSO может быть непосредственно встроен в некоторые системы управления логическим доступом по бесконтактным картам, и нередко опционально достаточен для реализации сквозной аутентификации.

Выпуск карт и способы их визуальной защиты

Также, в случае расширенного сценария конвергированного доступа, следует отдельно затронуть тему печати на гибридных картах базовой персональной информации об их владельцах для визуального контроля за сотрудниками. Как правило, речь идет о термопечати с помощью специальных принтеров и программного обеспечения для управления печатью. Причем, если требуется, есть модели устройств и расходных материалов с возможностью нанесения на карту оптической и тактильной защиты, например, с помощью голограммы и гравировки.

Главным базовым требованием к ПО для печати на картах является функционал интеграции с центральным хранилищем учетных данных сотрудников с запросом контента для печати. В рамках объединения систем управления доступом в качестве такого репозитория рассматривается корпоративная службы каталогов. Существенным плюсом программного обеспечения для печати на картах может быть возможность его интеграции с одной из смежных систем доступа, например, СКУД. Это позволит, например, выпускать карту для сотрудника и распечатывать на ней персональную информацию за один технологический цикл.

Совместимость на уровне встроенных в гибридную карту технологий и корпоративной службы каталогов (централизованного хранилища учетных записей сотрудников) является только необходимым условием работоспособности всех видов доступа, но, в большинстве случаев, явно недостаточным для эффективного обслуживания и контроля.

Требования к решениям СКУД

Для построения конвергированного доступа с высоким уровнем безопасности, практичности и рентабельности, перечислим рекомендованные требования к упомянутым типам серверных решений для контроля доступа:

  • Высокая автоматизация и оптимизация, гибкие настройки и политики безопасности, полное протоколирование всех процессов управления жизненным циклом и моделей обслуживания учетных данных на картах: выпуск, персонализация, замена, блокировка/разблокировка, обновление, перевыпуск, отзыв, очистка
  • Полная и гибкая настройка пользовательских прав, в т. ч. на основе доменных групп, узлов и атрибутов
  • Эффективная ролевая система управления через WEB-порталы и консоли операторов по преднастроенным административным ролям с возможностью дальнейшего детального распределения полномочий
  • Удобный и интуитивно понятный функционал самообслуживания через WEB-порталы для пользователей с возможностью кастомизации интерфейса
  • Развитый функционал административных и пользовательских уведомлений по Email через интеграцию с корпоративными почтовым сервером, с возможностью кастомизации шаблонов сообщений
  • Функционал аудита и мониторинга с возможностью визуализации, фильтрации, экспорта, печати и сетевой передачи отчетов в различных форматах
  • Встроенные механизмы и интерфейсы интеграции (готовые программные коннекторы, XML, RADIUS, SDK/(WEB-)API и др.) с различными системами смежной инфраструктуры (LDAP, CA, DB, IDM, почтовые серверы, сетевое оборудование и др.)
  • Защищенные каналы сетевого взаимодействия модулей и интерфейсов системы с поддержкой современных криптоустойчивых стандартов
  • Встроенный функционалы отказоустойчивости, высокой доступности, резервного копирования и оперативного восстановления

Конечно, с точки зрения возможности технологического согласования систем друг с другом, самым оптимальным вариантом будет подбор известных решений от одного разработчика, который занимает лидирующие позиции в области контроля доступа. В этом случае, в результате взаимной интеграции систем можно достичь предельной конвергенции управления жизненным циклом гибридных карт, когда один цикл обслуживания включает сразу несколько технологических операций с разнородными учетными данными на карте. В таком сценарии, предпочтительно также использование всеми системами контроля доступа единого репозитория баз данных в качестве хранилища идентификаторов карт и аудита.

Резюме

Выбор многофункциональной гибридной карты со встроенными разнородными технологиями в качестве единого аутентификатора в архитектуре конвергированного доступа является в настоящее время самой эффективной точкой входа для построения по настоящему безопасной, удобной и рентабельной объединенной системы комплексной защиты корпоративных активов. А последующая интеграция решений доступа между собой и со смежной инфраструктурой сделает обслуживание и контроль всех систем наиболее эффективным за счет автоматизации и централизации управления жизненным циклов гибридных карт. 

Михаил Ашарин, технический консультант TerraLink

Опубликовано в "Каталог "СКУД. Антитерроризм"-2016" 


Возврат к списку