Swivel Secure
Power of knowing…
www.swivelsecure.com
Swivel Secure
• Компания Swivel Secure основана в 2000
году и в настоящий момент является
мировым технологическим лидером
бестокенной аутентификации. Платформа
аутентификации Swivel, включающая в себя
запатентованную технологию PINsafe,
является де-факто технологическим
стандартом бестокенной аутентификации.
• Решения Swivel используются крупнейшими частными и государственными
компаниями, а также представителями малого и среднего бизнеса.
Потребители продукции Swivel получают возможность организации
безопасного локального и удалённого доступа к корпоративным сетям,
виртуальным машинам и облачным приложениям. PINsafe – единственная
технология бестокенной аутентификации, используемая в Microsoft Office
365.
• Компания Swivel Secure является частью Marr T&T, входящей в состав
международной инвестиционной компании Marr Group.
www.swivelsecure.com
Привычные способы аутентификации
• Высокая стоимость инфраструктуры и управления
ей. Необходимость замены/обновления токенов)
• Неудобны для пользователей (их забывают, теряют
и т.п.)
• Неприменимы для масштабных B2B и B2C
приложений
• Сложные правила провоцируют частое использование
одинаковых паролей в разных приложениях
• Необходимость наличия системы управления
изменениями паролей
• Сложности управления при нерегулярном
использовании или использовании третьей стороной
• Непрактичны для приложений более низкой
критичности
Токены
• Пароли в социальных сетях и корпоративных
приложениях часто идентичны
Пароли
www.swivelsecure.com
Виды аутентификации
UNP 1 Пара логин\пароль. Данный вид аутентификации не отличается
высоким уровнем безопасности. Не является достаточным для систем
удаленного доступа и облачных сервисов.
Особый вид аутентификации от Swivel, основанный на использовании
изображения. Повышает стойкость и безопасность процесса UNP, но
без полноценной двухфакторной аутентификации
2FA 3 Двухфакторная аутентификация. Отличается высоким уровнем
безопасности, используется для защиты высококритичных систем и
сервисов.
www.swivelsecure.com
Платформа аутентификации Swivel
• Представляет собой серверное решение
(физические или виртуальное),
позволяющее использовать различные
способы аутентификации при доступе к
различным системам и приложениям.
• Включает в себя более 50 вариантов
аутентификации к сотням систем.
• В качестве каналов аутентификации
используется: классический веб-браузер,
SMS, мобильное приложение (для всех
популярных платформ) и голосовой вызов.
• Имеется интеграция для VPN-систем, веб-
приложений, облачных решений и рабочих
станций.
www.swivelsecure.com
Платформа аутентификации Swivel
Сотрудники
Клиенты
ИТ-ресурсы компании
Платформа аутентификации Swivel
www.swivelsecure.com
SMS
• При попытке доступа к системе или приложению платформа генерирует SMS-сообщение,
содержащее OTC (one time code), либо Security string, из которой вычисляется OTC по заранее
известному пользователю PIN-коду.
• Сообщение отправляется заранее или по запросу
• Сообщения могут настраиваться
• Возможна работа с использованием или без PINsafe технологии
• Система очень гибко настраивается. В частности возможна отправка нескольких строк в одном
SMS-сообщении (до 5 строк в сообщении)
• Каждая строка имеет метку с номером. Веб-страница, на которой находится пользователь,
содержит информацию какую строку использовать
• Работает с любым смс-шлюзом, поддерживающем SMPP.
www.swivelsecure.com
Мобильные
приложения
• Получать Security string возможно с
использованием мобильного приложения
• На основе Security string пользователь
вычисляет OTC по известному только ему PIN
• Приложения разработаны под все популярные
мобильные платформы и доступны для
скачивания самим пользователем
• Приложение содержит до 99 Security string
• Пользователь может пополнить число строк в
любое время
• PIN никогда не используется
• Нет SMS сообщений
• Номер мобильного телефона не запрашивается
www.swivelsecure.com
Телефония
1 вариант:
• Платформа осуществляет звонок пользователю в голосовом режиме и
запрашивает OTC
• Пользователь вводит OTC через клавиатуру с изображения, находящегося на
другом устройстве (веб-браузер, мобильное приложение и т.д.)
2 вариант:
• Платформа совершает звонок пользователю сообщая OTC, чтобы пользователь
ввел его на другом устройстве
3 вариант:
• Платформа совершает звонок пользователю и запрашивает подтверждение
аутентификации (Например, “Нажмите ‘#’ чтобы подтвердить процесс
аутентификации?”)
• Пользователь нажимает клавишу ‘#’ чтобы завершить аутентификацию
• Содержание запроса и набор клавиш для подтверждения может настраиваться.
www.swivelsecure.com
Виды аутентификации
Помимо двухфакторной аутентификации Swivel развивает направление усиленной
аутентификации
UNP 1 Пара логин\пароль. Данный вид аутентификации не отличается
высоким уровнем безопасности. Не является достаточным для систем
удаленного доступа и облачных сервисов.
Особый вид аутентификации от Swivel, основанный на использовании
изображения. Повышает стойкость и безопасность процесса UNP, но
без полноценной двухфакторной аутентификации
2FA 3 Двухфакторная аутентификация. Отличается высоким уровнем
безопасности, используется для защиты высококритичных систем и
сервисов.
www.swivelsecure.com
Технология TURing • При входе в приложение Платформа выдает
10-тизначную Security string, которая
отображается в браузере
• На основе своего PIN’а и Security string
пользователь вычисляет код для
аутентификации (OTC)
• Технология имеет защиту от атак перебора
(bruteforce) и других автоматизированных
атак
Технология PINpad • При входе в приложение Платформа выдает
10-тизначную Security string, которая
отображается в браузере в виде сот
• Соты могут отображаться в любом дизайне
• Пользователь вводит свой PIN с
использованием мыши
• На сервер уходит сгенерированный OTC
• Технология имеет защиту от атак перебора
(bruteforce) и других автоматизированных
атак
Усиленная
аутентификация
demouser
****
www.swivelsecure.com
Применения Swivel: VPN
• SSL VPN
• IPSec
• RADIUS
• XML API
• AD Integration
• База знаний Swivel:https://kb.swivelsecure.com/wiki/index.php/Category:Integration
www.swivelsecure.com
Применения Swivel: Веб-приложения
Web: • Swivel позволяет обеспечить защиту
любого сайта
• Работает в любом браузере
• Готовые решения для IIS и ISA
• OWA
SharePoint: • SharePoint
• Гибкое развертывание на SharePoint Applications
• Создает ‘Claims Token’
• SharePoint защищается посредством .NET http
фильтра
Domain\user name:
Password:
One-Time Code:
www.swivelsecure.com
Применения Swivel: Облака
• SAML • Возможна усиленная и
двухфакторная
аутентификация
• Совместимо с ADFS
• Одобрено Microsoft
• Microsoft Azure
• Identity kept local
www.swivelsecure.com
• Особое применение. Дает возможность контролировать доступ в облако
• Возможность контроля облака из собственной инфраструктуры
• Востребовано службами ИБ компаний, где внедряются облачные сервисы
DMZ Внутренние ресурсы
Интернет
ldP
Применения Swivel: Облака
www.swivelsecure.com
Одобрение Microsoft
“Двухфакторная аутентификация Microsoft
Office 365 использует* решения только двух
вендоров: RSA и Swivel”.
* - http://technet.microsoft.com/en-us/library/jj916649.aspx
Steve Patrick
www.swivelsecure.com
Применение Swivel: VDI и Desktop
• Terminal Service 2008
• Windows Desktop:
• GINA
• Credentials Provider
• VDI
• Citrix
• VM View 5.1
• Windows taskbar
application
www.swivelsecure.com
Swivel аппаратное решение (black box):
• Сервер Dell
• Автономное
• Active / Active (Data Centre redundancy)
• Active / Active & Active / Passive (Data Centre redundancy & Hardware redundancy)
• Active / Active & DR (Data Centre redundancy & DR site)
Виртуальное решение:
• Поддержка:
• VM Ware
• Hyper V
• Xen App Server
• Автономное
• Active / Active (Data Centre redundancy)
• Active / Active & DR (Data Centre redundancy & DR site)
Только ПО:
• Swivel требует Tomcat и JAVA оборудование
Swivel: Варианты развертывания
www.swivelsecure.com
Swivel: Ценообразование
Ценообразование
• Единоразовая оплата за ПО Swivel (бессрочная лицензия).
• Лицензирование по количеству пользователей.
• Цена за пользователя зависит от числа пользователей.
• Лицензия включает в себя весь функционал:
• SMS (PINsafe и PINless)
• Мобильные приложения (iPhone, Android, BlackBerry, Windows mobile)
• PINpad / TURing
• Credential Provider / GINA
Поддержка
• Ежегодная поддержка и плата за продление:
• 18% в год за обслуживание и поддержку (рабочее время UK).
• 40% в год за обслуживание и поддержку (24*7).
www.swivelsecure.com
Техподдержка в России
• Первая линия технической поддержки может осуществляться
как специалистами интеграторов, так и специалистами NGS
Distribution.
• В России есть сертифицированные специалисты по продукту,
прошедшие обучение в Великобритании
• Готовится курс по обучению сертифицированных специалистов
интеграторов в России
• На выбор заказчика может предоставляться техподдержка в
режиме 24х7 или 9х5
www.swivelsecure.com
Сертификация ФСТЭК
• Имеется положительное решение ФСТЭК на
сертификацию продукта
• Готовятся документы на сертификацию по ТУ и
НДВ 4 в системе ФСТЭК
• Ориентировочная дата получения сертификатов:
ноябрь 2013
www.swivelsecure.com
Основные требования к сертификации
• Клиент-серверная архитектура
• Проверка на НДВ
• Проверка в рамках ТУ требований по доступу и аутентификации:
• 152-ФЗ,
• Профиль защиты средства двухфакторной аутентификации,
• НПС,
• СТО БР ИББС,
• 27001,
• PCI DSS,
и др.
www.swivelsecure.com
21 приказ ФСТЭК по ПДн. Требования по
аутентификации «+»
+ другие требования
www.swivelsecure.com
Профиль защиты средства двухфакторной
аутентификации
www.swivelsecure.com
СТО БР ИББС
• 7.4.3. В организации БС РФ должны быть документально определены и утверждены
руководством, выполняться и контролироваться процедуры идентификации,
аутентификации, авторизации; управления доступом; контроля целостности;
регистрации событий и действий.
• Процедуры управления доступом должны исключать возможность
“самосанкционирования”.
…
• 7.4.11. В организации БС РФ должны применяться защитные меры, направленные
на обеспечение защиты от НСД и НРД, повреждения или нарушения целостности
информации, необходимой для регистрации, идентификации, аутентификации и
(или) авторизации клиентов и работников организации БС РФ. Все попытки НСД и
НРД к такой информации должны регистрироваться. При увольнении или
изменении должностных обязанностей работников организации БС РФ, имевших
доступ к указанной информации, необходимо выполнить документированные
процедуры соответствующего пересмотра прав доступа.
…
www.swivelsecure.com
PCI DSS (Назначить уникальный идентификатор
каждому лицу, имеющему доступ к
информационной инфраструктуре)
8.1 Назначение пользователям уникальных
идентификаторов
8.2 Механизмы аутентификации пользователей
8.3 Механизм двухфакторной аутентификации
8.4 Передача и хранение паролей в зашифрованном виде
8.5 Процедуры аутентификации пользователей и
управления паролями учетных записей
8.5.1 Контроль над добавлением, удалением и
изменением объектов идентификации
8.5.2 Проверка подлинности пользователя перед сменой
пароля
8.5.3 Установка уникального первоначальный пароль и его
смена при первом входе в систему
8.5.4 Отзыв доступа при увольнении пользователя
8.5.5 Удаление/блокировка неактивных учетных записей
8.5.6 Контроль над учетными записями поставщиков
8.5.7 Информирование пользователей о положениях
парольных политик и процедур
8.5.8 Запрет использования групповых, разделяемых и
стандартных учетных записей и паролей
8.5.9 Периодичность изменения пароля пользователя
8.5.10 Длина пароля
8.5.11 Использование в пароле цифровых и буквенных
символов
8.5.12 Запрет выбора использованного ранее пароля
8.5.13 Блокировка учетной записи после неудачных
попыток ввода пароля
8.5.14 Период блокировки учетной записи
8.5.15 Блокировка рабочей сессии
8.5.16 Аутентификация доступа к базе данных,
содержащей данные о держателях карт
www.swivelsecure.com
Резюме
• Платформа аутентификации Swivel – первое поданное на
сертификацию в системе ФСТЭК России решение бестокенной
аутентификации
• Решение уже является де-факто стандартом бестокенной
аутентификации в мире
• Решение представляет собой единую платформу аутентификации,
покрывающую потребности в аутентификации всех сервисов компании
• В России действует собственное представительство Swivel Secure в
лице ООО «Свивэл Секьюрити»
Вопросы?
Power of knowing…