szczególną ochroną
FortiAuthenticator – zarządzanie tożsamością użytkowników
Jednym z kluczowych aspektów zapewnienia skutecznego udaremniania penetracji naszej sieci przez obecne zagrożenia cyberprzestępców jest konieczność uwierzytelniania użytkowników. Identyfikacja użytkownika jest podstawą procesów AAA (ang. authentication, authorization, accounting), czyli uwierzytelnienia, autoryzacji oraz rozliczania aktywności w sieci. Obecne struktury przedsiębiorstw coraz częściej wymagają potwierdzenia tożsamości użytkownika (uwierzytelnianie) w celu nadania mu uprawnień dostępu do zasobów lub usług (autoryzacja) oraz gromadzenia danych o przeprowadzonych działaniach (rozliczanie).
Zapewnienie dostępu do sieci jest podstawą dla niemal wszystkich roli w przedsiębiorstwie, jednak wymóg ten musi być zrównoważony z ryzykiem, które ze sobą niesie. Dostęp taki powinien być zatem bezpieczny oraz odpowiednio kontrolowany, tak aby miała go właściwa osoba w odpowiednim czasie. Kradzież tożsamości użytkowników, a szczególnie tych, którzy mają wysokie uprawnienia w systemie (dostęp administracyjny) wiąże się z ogromnym ryzykiem włamania do systemu a w konsekwencji utraty danych czy narażenia przedsiębiorstwo na straty finansowe
i wizerunkowe. Systemy AAA umożliwiają zmniejszenie tego typu zagrożeń przez jednoznaczną identyfikację użytkownika na podstawie unikalnych i niemożliwych do wykrycia cech charakterystycznych dla każdego użytkownika systemu IT, np. elementy stałe – login, hasło czy elementy zmienne w czasie – PIN z tokena, sms’a, mail’a czy też zaawansowane technologie identyfikacji danych biometrycznych – odcisk palca, obraz siatkówki oka a także indywidualne dla każdego użytkownika certyfikaty.
W związku z coraz powszechniejszym wykorzystaniem „phishingowych” wiadomości e-mail, mających na celu wyłudzenie danych uwierzytelniających w celu uzyskania dostępu do sieci oraz w obliczu coraz powszechniejszego zjawiska korzystania przez pracowników z prywatnych urządzeń w miejscu pracy (BYOD, ang. Bring Your Own Device), dodatkowy poziom zabezpieczeń związanych z identyfikacją uprawnionych użytkowników zapewnia uwierzytelnianie dwuskładnikowe.
Standardowe systemy uwierzytelniania użytkowników bazują tylko na dwóch informacjach: loginu i hasła, które mogą być w stosunkowo łatwy sposób przechwycone przez zaawansowanych hakerów. Warto zadać sobie pytanie czy taka forma zabezpieczenia dostępu do firmowych danych jest wystarczająca.
Rozwiązania FortiAuthenticator oraz FortiToken zapewniają sprawdzone, dwuskładnikowe uwierzytelnianie dostępu do sieci w ramach samodzielnego systemu lub przy współpracy z dowolną wdrożoną już technologią uwierzytelniania. Połączenie podejść „kim jesteś” i „co wiesz” pozwala wyeliminować luki w kontroli dostępu użytkowników i strategii zarządzania tożsamościami. Po prawidłowym uwierzytelnieniu i zidentyfikowaniu użytkownika funkcje kontroli urządzeń końcowych i dostępu stosowane w rozwiązaniach UTM (np. FortiGate) są w stanie zapewniać i przydzielać poszczególnym użytkownikom i urządzeniom odpowiedni poziom uprawnień.
Użycie tokena sprzętowego lub software’owego jest jedną z form 2FA (ang. two factor authentication), w innych przypadkach token może być np. wysłany mailem lub SMSem. W obu sytuacjach potrzebny jest serwer uwierzytelnienia, który będzie gromadził dane użytkowników oraz wymieniał informacje z urządzeniami sieciowymi. Urządzenia sieciowe muszą w tym celu obsługiwać protokoły takie jak LDAP i RADIUS.
Urządzenie do zarządzania tożsamością użytkowników - FortiAuthenticator pozwala zwiększyć bezpieczeństwo przedsiębiorstwa poprzez uproszczenie i centralizację zarządzania i przechowywania używanych podczas uwierzytelniania informacji o użytkownikach. Platforma FortiAuthenticator została zaprojektowana jako centralna baza danych uwierzytelniających użytkowników. Umożliwia kontrolowanie dostępu użytkowników za pomocą różnorodnych mechanizmów uwierzytelniających, takich jak uwierzytelnianie dwuskładnikowe, weryfikacja tożsamości i kontrola dostępu do sieci. Dodatkowo, gdy elementem infrastruktury zabezpieczeń jest system FortiAuthenticator, możliwe jest zastosowanie takich metod uwierzytelniania jak logowanie jednokrotne (Single Sign-On — SSO), kontrola dostępu do portów 802.1x oraz zarządzanie certyfikatami.
FortiAuthenticator rozszerza funkcjonalność uwierzytelniania dwuskładnikowego, umożliwiając jego stosowanie przez różnorodne urządzenia FortiGate oraz rozwiązania innych firm obsługujące uwierzytelnianie RADIUS lub LDAP. Połączenie danych uwierzytelniających z urządzenia FortiAuthenticator z uwierzytelnieniem FortiToken (w wersji sprzętowej lub software) daje gwarancję, że dostęp do poufnych informacji przedsiębiorstwa uzyskują wyłącznie osoby upoważnione. Ta dodatkowa warstwa zabezpieczeń pozwala w znaczny sposób ograniczyć ryzyko wycieku danych, pomagając firmom spełnić wymagania audytowe wynikające z przepisów i wewnętrznych regulacji w zakresie ochrony danych.
.png)
Wymagając od użytkownika informacji które zna (np. hasła), oraz informacji które posiada (np. tokenu lub hasła jednorazowego), uwierzytelnianie dwuskładnikowe pozwala zwiększyć pewność, z jaką następuje potwierdzenie tożsamości. Metodę tę można stosować w celu kontrolowania dostępu do aplikacji obsługujących m.in. zarządzanie infrastrukturą sieciową, kanał VPN na bazie protokołu SSL lub IPSEC, bezprzewodowe portale Captive Portal, urządzenia sieciowe innych firm czy strony WWW.
Zalety FortiAuthenticator:
Opcje zarządzania:
FortiAuthenticator dostępny jest w wersji sprzętowej a także jako maszyna wirtualna (VM).
.png)
Poniżej przedstawione zostały przykładowe konfiguracje cenowe (ceny katalogowe SRP netto) rozwiązania FotiAuthenticator i FortiToken.
Konfiguracja I
FortiAuthenticator w wersji sprzętowej FAC-200E z licencją dla 500 użytkowników i rocznym wsparciem serwisowym:
FAC-200E - FortiAuthenticator-200E - Management and FSSO appliance - 4 x GE RJ45 ports, 1 TB storage. Supports up to 500 Users
FC-10-AC2HE-247-02-12 - 24x7 FortiCare Contract 1Y
Cena katalogowa SRP = 5 655 EUR
Konfiguracja II
FortiAuthenticator w wersji software-VM z licencją dla 100 użytkowników i rocznym wsparciem serwisowym:
FAC-VM-BASE - Base FortiAuthenticator-VM with 100 user license. Unlimited vCPU. Designed for VMware and Microsoft Hyper-V platforms.
FC1-10-0ACVM-248-02-12 - 24x7 FortiCare Contract 1Y
Cena katalogowa SRP = 2 115 EUR
Konfiguracja III
FortiAuthenticator w wersji software-VM z licencją dla 1100 użytkowników i rocznym wsparciem serwisowym:
FAC-VM-BASE - Base FortiAuthenticator-VM with 100 user license. Unlimited vCPU. Designed for VMware and Microsoft Hyper-V platforms.
FAC-VM-1000-UG - Adds 1,000 users to FortiAuthenticator-VM
FC2-10-0ACVM-248-02-12- 24x7 FortiCare Contract 1Y
Cena katalogowa SRP = 5 583 EUR
Konfiguracja IV
FortiToken-200 w wersji hardware (zestaw 10 sztuk):
FTK-200-10 - Ten pieces one-time password token, time based password generator. Perpetual license.
Cena katalogowa SRP = 546 EUR
Zachęcamy do przeanalizowania swoich sieci pod kątem zabezpieczeń i kontaktu z nami w celu omówienia szczegółów interesujących technologii.
Artykuł w oparciu o materiały producenta Fortinet.
+48 669 STORIO (786746)
