safenet etoken md что это
SafeNet Authentication Client
Для того, чтобы прикладные приложения могли работать с токенами (зашифровать и расшифровывать данные, вычислять хэши и цифровые подписи, генерировать и хранить ключи и цифровые сертификаты) необходимо промежуточное программное обеспечение, включающее в себя криптопровайдеры, драйверы оборудования, а также интерфейс пользователя для обслуживания токенов (например, смены PIN-кода). В качестве промежуточного ПО для аппаратных токенов Thales можно использовать либо базовый минидрайвер для встроенного в Windows криптопровайдера, либо полнофункциональный клиент SafeNet Authentication Client.
Программный пакет SafeNet Authentication Client (SAC) – это набор драйверов и дополнительных утилит для работы с USB-ключами и смарт-картами производства компании Thales. Он предоставляет приложениям интерфейсы Microsoft CAPI и PKCS#11, тем самым обеспечивая прозрачный доступ любых стандартных приложений безопасности на основе сертификатов к ключам eToken и смарт-картам. Собственный криптопровайдер SafeNet Authentication Client позволяет генерировать и хранить закрытые ключи непосредственно в аппаратных токенах, что снижает риск компрометации секретов. Поддержка виртуальной клавиатуры позволяет отказаться от ввода PIN-кода на физической клавиатуре, обеспечивая защиту от кейлоггеров.
SafeNet Authentication Client сохраняет полную обратную совместимость и функциональность своих предыдущих версий, поддерживает все актуальные и недавно снятые с производства модели USB-ключей eToken и смарт-карт IDPrime, а также ряда сторонних устройств. С его помощью можно обеспечить одновременную поддержу различных механизмов информационной безопасности, включая создание и проверку цифровых подписей, доверенную загрузку компьютера, шифрование дисков и электронной почты. На базе SAC можно построить систему строгой двухфакторной аутентификации на основе цифровых сертификатов и использовать аппаратные токены для защиты входа на локальные компьютеры, удаленного доступа в корпоративную сеть, доступа к прикладным программам и веб-ресурсам.
SafeNet Authentication Client поддерживает платформы Windows, Linux и macOS в едином пользовательском интерфейсе, что позволяет реализовать единую непрерывную среду для приложений на основе инфраструктуры открытых ключей. SAC включает в себя необходимый набор инструментов для локального администрирования, благодаря которому пользователи могут сами управлять своими токенами и цифровыми сертификатами, снижая тем самым нагрузку на администраторов.
Пакет драйверов и дополнительных утилит SafeNet Authentication Client (SAC) предназначен для обеспечения работы USB-ключей eToken и смарт-карт данного семейства, токенов линейки iKey, а также смарт-карт и токенов Gemalto на персональных компьютерах и ноутбуках, рабочих станциях и серверах корпоративной сети, работающих под управлением операционных систем, которые поддерживаются пакетом SAC.
Отличительной особенностью данного набора является поддержка свежих операционных систем линейки Microsoft Windows 10 и Microsoft Windows Server 2016.
SafeNet Authentication Client объединил в себе возможности комплектов драйверов и служебных утилит предыдущих поколений, а именно eToken PKI Client и SafeNet Borderless Security (BSec), благодаря чему пользователи, развёрнутых на eToken, iKey, Gemalto инфраструктур, могут и далее применять имеющиеся у них устройства аутентификации (токены и карты).
Обзор интерфейса SafeNet Authentication Client
Утилиты, входящие в состав SafeNet Authentication Client, позволяют пользователям eToken, iKey и Gemalto, а также администраторам ИТ-отделов, отвечающим за работу смарт-карт и токенов в компании, выполнять различные операции по их обслуживанию
Применение SafeNet Authentication Client обеспечивает внедрение и облегчает обслуживание USB-ключей и смарт-карт eToken, Gemalto, токенов iKey, работающих в составе различных средств защиты информации, аутентификации пользователей.
Операционные системы Astra Linux
Оперативные обновления и методические указания
Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).
1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».
На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.
В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.
Очередные обновления (версии) предназначены для:
Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:
Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.
SafeNet Authentication Service — система управления одноразовыми паролями
Примерно год назад, в статье «eToken жил, eToken жив, eToken будет жить» я упоминал такой продукт как Gemalto Safenet Authentcation Service, пришло время рассказать про него подробнее. Данная статья вводная, но будут и другие, более технические и думаю даже с реальными бизнес кейсами.
IT специалисты часто сталкиваются с вопросом об усилении безопасности того или иного сервиса. И вопрос идентификации пользователя с прохождением аутентификации так же играет ключевую роль в безопасности сервиса.
Допустим, при работе пользователь из недоверенной среды вводит свои пользовательские данные для идентификации и пароль для прохождения аутентификации, находясь за чужим компьютером, скажем в интернет-кафе. Тем временем, злоумышленники могут перехватить либо сетевые пакеты, либо вводимые данные с клавиатуры, что позволит им в дальнейшем использовать пользовательские данные. Так же вся вводимая пользователем информация в недоверенной среде может локально кэшироваться на компьютере, которым он воспользовался.
Разумеется, использование отчуждаемых носителей в виде смарт-карт или USB-токенов значительно надёжнее, чем использование паролей. Но что делать, когда наступает частный случай, когда пользователю необходимо в данный момент воспользоваться смарт-картой или USB-токеном вне офиса. Не говоря уже о том, что для каждого типа смарт-карт и USB-токенов необходимо наличие специализированного программного обеспечения (ПО) на компьютере. На что в публичной зоне, надеяться не приходится и мало вероятно удастся его установить. Так же нельзя исключать, необходимость наличия свободного USB порта, который может быть заблокирован для подключения USB-токенов или оборудования ПК со считывателем для работы смарт-карт. А с учётом возросшей популярности у пользователей работать за мобильными устройствами, вероятность использования на них отчуждаемых носителей существенно ниже.
Куда легче в использовании одноразовые пароли — OTP — One-Time Password для однократной процедуры аутентификации пользователя. Такой пароль проще и удобней в использовании. Одноразовый пароль нет смысла перехватывать с помощью кейлогера или опасаться, что он будет закэширован на компьютере. Бесполезно подглядывать одноразовый пароль или думать, что его могут перехватить в виде сетевых пакетов. На сегодняшний момент это единственный вид токенов, которые не требуют ни подключения к персональному компьютеру, ни наличия на нём специализированного ПО, работая с любой платформой в любой среде. А большой выбор модельного ряда в виде генераторов одноразовых паролей позволит предприятиям обеспечить усиленную безопасность в предоставлении доступа к корпоративным ресурсам, порталу (-ам) или личному кабинету пользователя, к которым сейчас со стороны бизнеса идет отдельное требование по безопасности.
Что делать, когда мы определились с методом прохождения пользователем аутентификации? Кому передать роль ответственного за управление и поддержку сервисом? Как управлять жизненным циклом OTP-токенов, которые раздали пользователям? Как отслеживать их статусы? Как повысить сервис поддержки пользователей? Эти, а также ещё множество вопросов может возникнуть перед IT менеджерами.
Ключевую роль в решении данных вопросов занимает выбор решения, которое будет справляться с задачей управления жизненным циклом OTP-токенов. Так как основная задача, после ввода токенов в эксплуатацию и передачу их в руки пользователям, — это оказание в максимально короткие сроки своевременного сервиса пользователям токенов. Конечно на рынке присутствует достаточное количество систем управления, но в первую очередь всё же стоит обращать внимание на моно-вендорность решений. Никто лучше, как вендор свои токены не знает.
Нельзя пройти и мимо решения компании Gemalto-SafeNet – SafeNet Authentication Service, которое ежегодно номинируется на «Лучшее решение по мульти-факторной аутентификации» авторитетными изданиями и исследовательскими компаниями.
 | | |
Выбор правильного решения для аутентификации имеет большое значение в снижение бизнес рисков. Разумеется, лучшие решения имеют самый большой ряд поддерживаемых моделей токенов, и могут защитить как облачные, так и локальные приложения, и сервисы, а также любой сетевой доступ с любого устройства. Но речь идет не только о безопасности, речь идет так же о том, как легко вы сможете развертывать, управлять и масштабировать решение аутентификации.
Что из себя представляет SafeNet Authentication Service.
SafeNet Authentication Service — это полностью автоматизированный сервис многофакторной аутентификации, целью которого является обслуживание пользователей с токенами. SafeNet Authentication Service распространяется в 2-х видах редакций. Локальная версия, которую можно самостоятельно развернуть в собственной инфраструктуре предприятии. А также в виде облачной редакции — такой сервис уже развернут и не надо задаваться вопросом: «где найти ресурсы на его разворачивание?». Управление SafeNet Authentication Service осуществляется в браузерной консоли администратора. В консоли оптимальные условия управления процессов: автоматическая подготовка пользователей и репозитария пользователей, скажем, если у вас за основу пользователей берётся LDAP-каталог или СУБД; настройка пользователей самообслуживания; широчайшие настройки механизмов проверки подлинности и защита для всех ваших самых ценных корпоративных ресурсов, как локальных, так и веб-ресурсов или ресурсов в «облаке».
SafeNet Authentication Service поддерживает следующие методы аутентификации и форм-факторы:
Аппаратные OTP-токены используются для создания высокозащищённых одноразовых паролей. Большой выбор модельного ряда аппаратных токенов eToken PASS, eToken GOLD, KT-4, RB-1 позволяет авторизовываться пользователям к критически важным приложениям и данным.
SafeNet Authentication Service использует Enterprise- стандарт RADIUS и SAML-протоколов, которые, по сути означают, что сервис может быть интегрирован в любую сеть и приложение, в том числе в решения от всех ведущих вендоров. С SafeNet Authentication Service можно будет защитить любой доступ к любому приложению.
|
SafeNet Authentication Service из «коробки» поддерживает VPN с усиленной аутентификацией, как IPSec, так и SSL VPN, другими словами идёт совместимость на уровне вендоров таких производителей, как Cisco, Checkpoint, Juniper, F5, Palo Alto, SonicWall, Citrix и WatchGuard. Расширение усиленной аутентификации в инфраструктуре виртуализации (VDI), позволят обеспечить надежность аутентификации на «тонких клиентах», мобильных терминалах и собственных устройств сотрудников (BYOD) в средах виртуализации от Citrix, VMware и AWS (Amazon Web Services).
|
Не так давно, официальный дистрибьютор решений Gemalto-SafeNet в России TESSIS (Technologies, Systems and Solutions for Information Security) объявил о том, что был продлён сертификат соответствия ФСТЭК №3070 до 27 января 2020 года. Решение можно использовать в информационных системах и систем обработки персональных данных для 3 и 4 класса защищенности с актуальной угрозой отсутствия не декларированных возможностей 3 типа.
Кейсы, когда и где может использовать решение SAS?
Финансовые организации и дистанционное банковское обслуживание:
Safenet etoken md что это
Компактный USB токен для двухфакторной аутентификации и электронной подписи. Устройство позволяет генерировать и хранить закрытые ключи, пароли и цифровые сертификаты внутри защищенного чипа объемом до 72 килобайт, пришло на смену ключам eToken Pro. В России существует сертифицированная ФСТЭК версия ключей SafeNet eToken 5110.
Ключи SafeNet eToken 5110 пришли на смену устаревшим ключам eToken 72k Java и полностью совместимы со всеми решениями, в которых поддерживался eToken 72k:
Поддержка операционных систем:
Windows Server 2008 R2, Windows Server 2012 и 2012 R2, Windows 7, Windows 8, Windows 10, macOS, Linux.
Поддерживаемые API и стандарты:
PKCS#11, Microsoft CAPI, PS/SC, X.509 v3 certificate storage, SSL v3, IPSec/IKE, MS minidriver (CCID), CNG.
Объём памяти:
Размеры:
Соответствие ISO:
Поддержка стандарта ISO 7816 c 1 по 4 спецификацию.
Допустимая влажность:
0 – 100% без образования конденсата.
Сертификат влагоустойчивости:
Характеристики USB:
USB тип A, поддержка USB 1.1 и 2.0.
Корпус:
Твёрдый пластик, с защитой незаметного вскрытия.
Срок хранения данных:
Количество циклов перезаписи:
Не менее 500 000 циклов.
Алгоритмы, реализованные аппаратно:
Симметричные алгоритмы: 3DES, AES 128/192/256 bit.
HASH: SHA 1, SHA 256.
RSA: 1024 bit, 2048 bit.
Эллиптические кривые:
Сертификаты безопасности:
FIPS 140-2 level 2 (SC chip и OS).
Платформа:
Gemalto IDCore 30 и апплет eToken.
Gemalto
TESSIS – официальный дистрибьютор в России