Взломай, если сможешь. Двухфакторная аутентификация в облаке

12 июня 2019, 08:50

Ущерб от несанкционированного доступа к корпоративной информации может измеряться миллионами рублей. Чтобы сделать облачную инфраструктуру более надёжной и защищённой, рекомендуется использовать двухфакторный способ проверки подлинности.

Для пользователей компьютерных технологий привычной является аутентификация на основе логина и пароля. Однако логин легко распознать, так как в большинстве случаев он совпадает с адресом электронной почты или номером телефона, а пароль можно взломать или восстановить, например, подбором ответа на контрольные вопросы. В связи с этим для большей безопасности специалисты разработали двухфакторную аутентификацию, которая используется не только в различных интернет-сервисах, но и в облачных системах:

  • IaaS;
  • SaaS;
  • ПО для управления инфраструктурой;
  • сетевых компонентах;
  • системах хранения данных;
  • виртуальных и физических серверах;
  • услугах Managed IT.

Что такое аутентификация

Аутентификацией называют способ проверки подлинности. Это важный компонент безопасности различных данных при попытке получить доступ к информационным системам. Одной из главных задач управления ИТ является надёжная защита от взлома и хищения данных, которая заключается в проверке пользователя — в частности, его права на вход в систему, открытие файлов и запуск различных программ. Подтвердить это право пользователь может посредством логина и пароля. Это стандартный способ аутентификации.

Согласно исследованиям, причиной 63,5% утечек данных стали действия (часто просто по неосторожности) внутренних нарушителей — пользователей, имеющих легитимный доступ к данным. Поэтому каждая крупная компания, которая ответственно подходит к вопросу защиты данных и соблюдает высокий уровень сервиса, должна разработать хотя бы базовую методологию аутентификации в ИТ. Это требование выдвигает общая политика безопасности, которой стоит придерживаться всем подразделениям и работникам компании. Контроль за соблюдением требований безопасности осуществляет специальное подразделение.

Многочисленные случаи взлома паролей (которые работники часто прячут под клавиатурой на отдельном листке) и логинов доказывают, что для крупного бизнеса такого метода аутентификации сегодня недостаточно. Чтобы защитить важные данные от разных обходов проверки подлинности, используется двухфакторная система аутентификации. 

Второй рубеж контроля

Для увеличения уровня безопасности применяется второй рубеж контроля. Под двухфакторной аутентификацией понимают подтверждение прав пользователя на вход в систему ещё одним методом проверки подлинности, кроме введения логина и пароля. Отсюда название «двухфакторная» (сокращенно 2FA).

Несколько лет тому назад биометрические методы проверки подлинности использовались только на территории крупных предприятий, а сегодня практически каждый смартфон оснащён сканером отпечатка пальца, а для  разблокировки iPhone X используется идентификация лица пользователя FaceID.

Согласно недавно проведённому опросу, в котором принимали участие 526 человек, 25% использует 2FA на всех своих сервисах и устройствах, 45% частично применяют 2FA и 28% отдают предпочтение стандартной аутентификации. Несмотря на то, что двухфакторная аутентификация не на 100% надёжна, так как можно получить доступ к файлам cookies и расшифровать требуемые коды доступа или же восстановить пароль, она в несколько раз повышает уровень безопасности данных.

Аутентификация в облаке

Каждый клиент, который заботится о безопасности личных данных, может потребовать от облачного провайдера задействовать систему двухфакторной аутентификации. Однако не все компании, предоставляющие такую услугу, используют в своей работе двухфакторный метод проверки подлинности. Несмотря на это, большинство поставщиков перешли на 2FA. Он занимает больше времени, так как требует от пользователя введения большого количества информации, зато усложняет процесс взлома и надёежно защищает корпоративную сеть. Кроме генератора кодов доступа и аутентификации по смс, применяются программные токены, shared-secret-файлы или публичные ключи.

Главная задача — протестировать все эти методы аутентификации на совместимость с виртуальной или физической инфраструктурой. Также они должны соответствовать требованиям безопасности компании.

Логин и пароль, секретная фраза или пин-код — это способ проверки подлинности, к которому добавляется ещё один метод, например введение биометрических данных (отпечаток пальца, сетчатка глаза и прочее). Именно он создаёт второй фактор проверки подлинности. Сюда также относят физические токены, смс-сообщения с кодом подтверждения и приложения для генерации одноразовых паролей. Среди них следует выделить Яндекс.Ключ, Google Authenticator и другие.

Облачные технологии сегодня применяются повсеместно и физлицами, и компаниями разного размера. Двухфакторную аутентификацию мы уже привычно используем в соцсетях и электронной почте, поэтому полагаться исключительно на логин и пароль в облачной среде — это по меньшей мере неразумно. Двухфакторная аутентификация — эффективный метод проверки подлинности и надёжная защита данных.

Обсуждение