Thales STA (SafeNet Trusted Access) aduce securitate pentru acces și autentificare

Dacă sunteţi în căutarea unui soluţii atotcuprinzătoare de gestionare a identităţii și accesului (Identity and Access Management, IAM), care să vă poată rezolva majoritatea situaţiilor de autentificare și să vă poată oferi securitate solidă pentru aplicaţiile de business, ar trebui să luaţi în considerare SafeNet Trusted Access, soluţia oferită de către Thales.

de David Strom@dstrom, strom.com

Aplicația are o gamă largă de instrumente care acoperă o varietate de metode de autenticare multifactor (MFA), acceptă dispozitive de autentificare (token) cu diverși factori de formă și poate oferi protecție de tip Single Sign-On (SSO) precum și autenticare pe bază de factori de risc.
Thales duce mai departe curentul care a început în Israel cu Aladdin Knowledge Systems, achiziționată de SafeNet, la rândul său cumpărată de Gemalto. Produsele au fost păstrate ca o unitate separată a companiei multinaționale franceze. Thales are 80.000 de angajați în 68 de țări și vinde o gamă largă de produse de comunicații, de apărare și aerospațiale.

Peste 30000 dintre cele mai mari organizații din lume se bazează pe identitatea digitală Thales pentru a obține acces la servicii și a-și cripta datele

Ca urmare a acestor achiziții, Thales este acum unul dintre acei furnizori de securitate care oferă linii de produse IAM, SSO și MFA (ceilalți sunt divizia RSA de la Dell, HID și One Span). Thales a reușit o mai bună integrare a celor trei linii într-o singură ofertă coerentă de servicii. Oferta este complet bazată pe cloud, necesitând doar agenți locali. Concurenții săi au fost mai lenți în introducerea acestor servicii cloud. Am testat produsul în noiembrie și decembrie 2019. Această recenzie acoperă următoarele elemente: modul în care oferă protecție MFA, caracteristicile sale de creare și gestionare a politicilor, sprijinul său SSO, rapoartele și rutinele de automatizare.

MFA

MFA a devenit important ca primă linie de apărare împotriva compromiterii parolelor, deoarece alte măsuri de protecție a rețelei sunt ineciente în prevenirea atacurilor de tip phishing. Problema este ca multe aplicații – atât locale cât și livrate ca serviciu – nu au suport pentru autenticare suplimentară.

STA a găsit o modalitate elegantă de a ocoli acest lucru și a făcut autenticarea pas-cu-pas sau bazată pe risc, mai ușor de implementat pentru un întreg portofoliu de aplicații. STA este sprijinit de o colecție largă de token-uri, atât hardware cât și software, SMS și e-mail, noticări push și biometrie.

Congurarea se face cu o serie de reguli și integrări în ActiveDirectory, împreună cu suport pentru două metode nontoken: utilizarea Windows kerberos încorporat și alte certicate. Am testat două metode avansate token, una pentru o mostră de aplicație web și alta pentru a autentica diverse aplicații SAML. Una dintre caracteristicile STA, este că face congurarea ușoară prin utilizarea aplicației sale pentru smartphone-uri numită MobilePass+. Odată ce MobilePass+ este descărcat, codul de autenticare este împins spre telefon pentru a analiza procesul de
configurare. MobilePass+ este disponibil pe smartphone-uri iPhone și Android și desktop-uri Windows, ceea ce mulți concurenți Thales nu oferă. Aplicațiile pentru smartphone devin atractive din două motive: în primul rând, nu este nevoie ca utilizatorii să dețină componenta hardware separată, deoarece au deja smartphone-urile.

În al doilea rând, ele nu pot compromite securitatea precum SMS-ul sau e-mail-ul care pot vulneralbile. STA acceptă o mare varietate de metode de autenticare, inclusiv push OTP, recunoașterea unui model grafic (pentru a evita ca parolele să e capturate de keyloggers), acreditările PKI, Google Authenticator, biometria și metodele vocale.

STA funcționează cu standardele de autenticare obișnuite, inclusiv Radius, OpenID și SAML. S-a depus mult efort pentru crearea unei infrastructuri de identitate exibile, care să poată funcționa cu aceste standarde. Proiectarea acesteia include principiile Fast Identity Organization (FIDO): separarea metodelor de autenticare de fluxul de date de autenticare. STA are suport FIDO într-o varietate de metode, inclusiv suport MobilePass+ pentru autenticări Windows Hello bazate pe FIDO, token-uri USB și cartele inteligente bazate pe FIDO. Thales
intenționează să lanseze anul viitor tokenuri software FIDO.

Managementul politicilor STA

În centrul STA se aă politicile de securitate. Acestea sunt flexibile, permițând crearea de reguli granulare și specifice, realizate rapid cu instrumentul vizual de editare a politicii din tabloul de bord web.

Politicile pot  configurate pentru aplicații specice, se aplică zonelor de rețea, sistemelor de operare, grupurilor de utilizatori și geolocațiilor. Aceste politici sunt enumerate în meniu și funcționează ca un set de reguli de firewall, cu cele mai permisive, afișate primele. De asemenea,
puteți verica dacă un utilizator accesează rețeaua printr-un proxy anonimizator, regulile sale putând  cât mai dinamice și cât mai specifice contextului.

Flexibilitatea STA este un câștig aditional, comparând cu alte produse de securitate. Deoarece STA a decuplat identitatea de acreditările și dispozitivele utilizate pentru autenticare, puteți combina metodele și procesele menținand cea mai strictă securitate. Metodele de integrare și APIurile sunt bine documentate.

Suport SSO

Accentul unui produs SSO este pe modul în care controlează accesul la aplicație. Regulile aplicațiilor sunt similare cu alte produse SSO, unde puteți adăuga codurile URL specifice la conectări automate pentru servicii de tip SaaS. STA acceptă metode de acces SAML, OIDC și include șabloane pentru utilizare cu aplicații particularizate. În plus, STA creează un portal web pentru utilizatori, pentru evitarea ocupării resurselor IT cu solicitări administrative cum ar  resetarea parolei, cereri tokenuri sau metode de autenticare. Administratorii pot restricționa accesul la portal din ecranele de gestionare a politicilor.

Unul dintre marile avantaje ale STA este capacitatea de a adăuga MFA la aplicații care de obicei nu-l suportau. Pe măsură ce portofoliul aplicațiilor continuă să se extindă, aceasta este o caracteristică importantă de securitate. Politicile pot fi create pentru a funcționa cu mai mult
de o duzină de agenți software, inclusiv pentru Radius, clienți Cisco AnyConnect și diverse instrumente Windows.

Rapoarte și metode de automatizare

STA vine cu 49 de șabloane de raport și facilitatea de a le personaliza cu ajutorul interfeței web. Rularea acestora poate fi programată la intervale specificate iar rapoartele pot avea diferite formate de ieșire, inclusiv HTML. În plus, sunt disponibile numeroase jurnale de audit,
utile în depanarea problemelor apărute în procesul de autenticare.

Un alt aspect al STA este automatizarea. Configurarea produselor de autenticare se bazează pe multe metode manuale. Dar ce-ar fi dacă ați vrea să automatizați procesul de configurare al unei aplicații sau să înregistrați un volum mai mare de token-uri deodată, sau alte operații ce consumă timp? Un motiv în plus pentru a folosi STA, care are și aici răspuns.

Recapitulare și recomandări

STA oferă un ansamblu convingător de soluții de securitate care fac legătura între MFA, SSO și gestionarea accesului într-un pachet bine integrat. STA realizează asta oferind controale de acces bazate pe politici și SSO cu autenticare puternică. Aceste politici sunt suficient de flexibile încât să puteți aborda o gamă largă de scenarii de acces.

Deoarece STA acoperă mai multe scenarii, există multe locuri în care se poate implica în cadrul general al protecției datelor.

În cazul în care MFA este principalul obiectiv pentru achiziționarea unui nou produs de identitate, STA ar trebui să fie pe lista scurtă de furnizori.

„Recomand să apelați la partenerul nostru PROVISION pentru o sesiune de demo sau proof of concept în care să puteți experimenta capabilitățile soluției”– Mircea Murgu, Regional Sales Manager(Authentication Products – CEE Region) la Thales.

Mai multe detalii găsiți la www.provision.ro/ itsecurity@provision.ro/ https://cpl.thalesgroup.com.