- Общие сведения
- Функции безопасности
- Многофакторная/двухфакторная аутентификация в подключенные приложения
- Многофакторная/двухфакторная аутентификация в компоненты продукта
- Усиленная аутентификация
- Строгая аутентификация
- Адаптивная контекстно-зависимая аутентификация с усложнением аутентификации и возможностью запрета доступа
- Риск-адаптивная аутентификация
- Идентификация устройств, с которых выполняется работа пользователей
- Защита от подбора пароля в процессе аутентификации
- Защита от подбора OTP-кодов а в процессе аутентификации
- Защита от перехвата секрета в рамках алгоритма TOTP при использовании функциональности усиленного TOTP
- Авторизация пользователей на уровне доступа к приложениям
- Авторизация пользователей на уровне делегирования прав доступа в целевое приложение
- Безопасная публикация интерфейсов системы, размещённой в on-premise, в интернет через набор специализированных DMZ-компонентов
- Мониторинг состояния компонентов системы
- Мониторинг бизнес-показателей работы системы
- Безопасное хранение учётных данных пользователей и секретов
- Оперативное оповещение пользователей
- Журналирование и отправка во внешние системы событий безопасности
- Мероприятия по контролю безопасности продукта
- Процесс оперативного выпуска патчей к минорным версиям
- Периодический процесс контроля и исправления выявленных уязвимостей
- Периодическое проведение анализа защищённости/пентеста независимыми испытательными лабораториями
- Размещение продукта для открытого тестирования на багбаунти-площадках
- Периодическое обновление сертификата ФСТЭК России
- Соответствие нормативным требованиям регуляторов
- Соответствие отраслевым стандартам
Общие сведения
Продукт является СЗИ (средством защиты информации), обеспечивающим решение задач, связанных с идентификацией, аутентификацией и авторизацией пользователей в любые подключенные приложения, ресурсы и системы.
Продукт реализует следующие функциональные возможности, обеспечивающие высокий уровень защищённости при эксплуатации:
- Многофакторная аутентификация в подключенные приложения;
- Многофакторная аутентификацию в компоненты продукта;
- Риск-адаптивная аутентификация с учетом контекста сессии и свойств пользователя;
- Адаптивная контекстно-зависимая аутентификация с усложнением аутентификации и возможностью запрета доступа;
- Идентификация устройств, с которых выполняется работа пользователей;
- Авторизация пользователей на уровне доступа к приложениям;
- Делегированная авторизация пользователей при помощи механизма claim-based authorization;
- Безопасная публикация интерфейсов системы, размещённой в on-premise, в интернет через набор специализированных DMZ-компонентов;
- Мониторинг состояния компонентов системы;
- Мониторинг бизнес-показателей компонентов системы;
- Безопасное хранение учётных данных пользователей и секретов;
- Защита от подбора пароля в процессе аутентификации;
- Защита от подбора OTP-кодов в процессе аутентификации;
- Защита от перехвата секрета в рамках алгоритма TOTP при использовании функциональности усиленного TOTP;
- Взаимная двусторонняя аутентификация и авторизация компонентов при взаимодействиях;
- Оперативное оповещение пользователей.
При разработке продукта реализуются следующие мероприятия, обеспечивающие поставку надёжного и безопасного программного обеспечения:
- Процесс оперативного выпуска патчей к минорным версиям;
- Периодический процесс контроля и исправления выявленных уязвимостей;
- Периодическое проведение пентеста (тестирования на проникновение) независимыми испытательными лабораториями;
- Размещение продукта для открытого тестирования на багбаунти-площадках;
- Периодическое обновление сертификата ФСТЭК России.
Продукт соответствует следующим нормативным требованиям регуляторов Российской Федерации при использовании продукта в качестве средства защиты информации:
- Соответствует ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация»;
- Сертифицирован ФСТЭК России на соответствие 4 уровню доверия по новым требованиям под регистрационным номером 4492 (срок действия сертификата с 13.12.2021 по 13.12.2026);
- Содержится в реестре отечественного ПО под регистрационным номером ПО 6824.
Продукт соответствует стандартам в части поддержки общепринятых стандартов и протоколов:
- OAuth 2.0/OpenID Connect;
- SAML 2.0;
- RADIUS.
Функции безопасности
Многофакторная/двухфакторная аутентификация в подключенные приложения
Многофакторная, или как частный случай - двухфакторная аутентификация в подключенные приложения обеспечивается встроенными средствами продукта без использования внешних зависимостей. Исключение составляют специфические методов аутентификации, в обязательном порядке требующие использования внешних сервисов (метод аутентификации push в Telegram, требующий использования Telegram Bot API, метод аутентификации OTP по SMS, требующий использования внешнего SMS-шлюза) и компонентов (аутентификация по УКЭП с использованием ГОСТ, требующая использования криптопровайдера КриптоПро CSP).
Подробнее о возможностях многофакторной аутентификации продукта:
- Обзор доступных методов аутентификации
- Инструкция по настройке процессов аутентификации со стороны администратора
Многофакторная/двухфакторная аутентификация в компоненты продукта
В составе продукта поставляется набор пользовательских интерфейсов (административная консоль, личный кабинет, десктопный клиент), которые используют встроенный функционал многофакторной аутентификации. Таким образом можно настроить необходимые сценарии аутентификации как для пользователей, так и для администраторов, используя функциональные возможности продукта.
Усиленная аутентификация
Avanpost FAM реализует механизм усиленной аутентификации, который обеспечивает повышенный уровень безопасности при доступе к критически важным ресурсам. Данный механизм предполагает обязательную проверку дополнительных факторов аутентификации (помимо пароля), таких как одноразовые коды TOTP, push-уведомления в мобильном приложении Avanpost Authenticator, SMS-коды или аппаратные токены. Усиленная аутентификация может быть настроена для конкретных приложений, групп пользователей или сценариев доступа, обеспечивая гибкое управление уровнем безопасности в соответствии с требованиями политики информационной безопасности организации.
Строгая аутентификация
Механизм строгой аутентификации в Avanpost FAM обеспечивает соответствие требованиям регуляторов к идентификации и аутентификации пользователей при доступе к информационным системам и ресурсам. Строгая аутентификация предполагает использование как минимум двух независимых факторов из различных категорий. Продукт поддерживает различные комбинации факторов аутентификации, обеспечивая выполнение требований ГОСТ Р 58833-2020 и нормативных документов ФСТЭК России для государственных информационных систем различных классов защищенности.
Адаптивная контекстно-зависимая аутентификация с усложнением аутентификации и возможностью запрета доступа
Продукт предоставляет возможность определения сценария аутентификации динамически исходя из различных контекстных признаков:
- Атрибутов пользователя, как основных, так и дополнительных;
- Прав доступа пользователя:
- Наличия членства в группах;
- Наличия ролей.
- Атрибутов приложения:
- Идентификатор приложения.
- Атрибутов сессии:
- Проверенных в рамках текущей сессии методы аутентификации;
- Атрибутов других сессий пользователя:
- Проверенных в рамках других сессий методов аутентификации.
Контекстно зависимая-аутентификация настраивается посредством применения скрипта MFA и описана в инструкции по разработке скрипта MFA.
Риск-адаптивная аутентификация
Риск-адаптивная аутентификация (RBA) представляет собой механизм динамического управления сценарием многофакторной аутентификации на основе анализа рисков, связанных с пользователем и текущей сессией. Механизмы RBA позволяют автоматически подстраивать требования безопасности под контекст входа, повышая уровень защиты и удобство использования продукта. При использовании механизма рассчитывается коэффициент риска пользователя и коэффициент риска сессии, в зависимости от значений которых автоматически принимается решение об усложнении/упрощении сценария аутентификации.
Идентификация устройств, с которых выполняется работа пользователей
Продукт предоставляет функционал регистрации и последующей идентификации пользовательских устройств (АРМ/компьютеров, смартфонов, серверов и т.д.). Далее на основе профиля устройства и профиля работы пользователя с данного устройства эти сведения могут использоваться для усложнения/упрощения сценария MFA, обеспечения SSO и запрета устройства.
Также на основе регистрации и идентификации устройств работает механизм запоминания пользователя на устройстве.
Пользователям доступна возможность пометки устройства как скомпрометированного с последующим автоматизированным реагированием на данное событие со стороны продукта.
Подробнее функционал идентификации и регистрации устройств описан в инструкции по управлению устройствами.
Защита от подбора пароля в процессе аутентификации
Avanpost FAM реализует комплекс мер по защите от подбора паролей, включая блокировку учетной записи после заданного количества неудачных попыток аутентификации, ведение журнала неудачных попыток аутентификации с фиксацией IP-адресов и временных меток. Система поддерживает настройку парольных политик с требованиями к сложности паролей, минимальной длине, истории использования паролей и сроку их действия. Дополнительно реализована защита от атак типа brute-force и dictionary attacks на уровне приложения с возможностью интеграции с системами мониторинга и реагирования на инциденты информационной безопасности.
Защита от подбора OTP-кодов а в процессе аутентификации
Для защиты от подбора одноразовых паролей (OTP) Avanpost FAM использует механизмы ограничения количества попыток ввода OTP-кода, автоматической блокировки фактора аутентификации при превышении порогового значения неудачных попыток, а также временной блокировки с экспоненциальным увеличением задержки между попытками. В продукте реализуется проверка уникальности OTP-кодов (защита от replay-атак), контроль временного окна действия кода с учетом возможного рассинхронизирования времени между сервером и клиентским устройством, а также автоматическую инвалидацию OTP-кода после успешного использования.
Защита от перехвата секрета в рамках алгоритма TOTP при использовании функциональности усиленного TOTP
В стандартной реализации TOTP секретный ключ, используемый для генерации одноразовых паролей, хранится на сервере и передаётся пользователю при привязке фактора, что создаёт риск перехвата при компрометации канала связи или устройства. В функциональности «Усиленный TOTP» Avanpost FAM применяет дополнительные меры защиты: секретный ключ генерируется и хранится в защищённом хранилище с использованием алгоритма AES-CBC, передача секрета пользователю осуществляется только по зашифрованному каналу с обязательной аутентификацией, а сам OTP-код формируется с учётом контекстных параметров сессии.
Авторизация пользователей на уровне доступа к приложениям
Механизм авторизации в Avanpost FAM реализуется на основе групповой модели доступа: пользователи получают права на подключение к приложениям через членство в одной или нескольких группах, для которых настроены соответствующие разрешения. Администратор явно указывает, каким группам разрешён или запрещён доступ; проверка прав выполняется после успешной аутентификации и до перенаправления пользователя в целевое приложение. Дополнительно возможна тонкая настройка сценариев аутентификации для отдельных групп, что позволяет адаптировать уровень проверки под критичность приложения, к которому предоставляется доступ.
Авторизация пользователей на уровне делегирования прав доступа в целевое приложение
Avanpost FAM поддерживает механизм делегированной авторизации, позволяющий передавать в подключенные приложения информацию о правах и ролях пользователя для реализации fine-grained access control на уровне отдельных функций и ресурсов приложения. Система использует стандартные протоколы OAuth 2.0/OpenID Connect для передачи claims и scopes, определяющих полномочия пользователя в целевом приложении. Администратор может настраивать маппинг между ролями в FAM и правами доступа в приложениях, определять правила наследования привилегий из групп и настраивать сценарии динамического предоставления прав на основе атрибутов пользователя, контекста сессии и характеристик устройства. Данный механизм обеспечивает реализацию моделей RBAC (Role-Based Access Control) и ABAC (Attribute-Based Access Control) в интегрированных информационных системах.
Безопасная публикация интерфейсов системы, размещённой в on-premise, в интернет через набор специализированных DMZ-компонентов
Avanpost FAM поддерживает архитектуру развёртывания с выделенным периметром безопасности (DMZ), позволяющую безопасно публиковать интерфейсы аутентификации в публичную сеть без прямого доступа к внутренним ресурсам организации. В данной схеме критически важные компоненты системы (база данных, ядро FAM Server, LDAP-каталоги) размещаются во внутренней сети, а взаимодействие с внешними клиентами осуществляется через демилитаризованную зону. Все соединения между компонентами шифруются с использованием TLS, а аутентификация компонентов осуществляется посредством взаимной проверки сертификатов и секретных токенов. Такой подход минимизирует поверхность атаки, соответствует требованиям регуляторов к сегментации сетей и позволяет интегрировать FAM с внешними приложениями без компрометации внутренней инфраструктуры.
Мониторинг состояния компонентов системы
Avanpost FAM предоставляет многоуровневый механизм мониторинга состояния компонентов системы, обеспечивающий контроль работоспособности серверных модулей и клиентских агентов в реальном времени. Мониторинг реализуется посредством стандартных endpoint'ов проверки работоспособности (health checks), экспорта метрик в формате Prometheus, централизованного логирования событий и интеграции с внешними системами наблюдения, что позволяет администраторам своевременно выявлять сбои, анализировать производительность и обеспечивать высокую доступность системы аутентификации.
Мониторинг бизнес-показателей работы системы
Avanpost FAM предоставляет возможности мониторинга бизнес-показателей, характеризующих эффективность функционирования системы аутентификации и удовлетворенность пользователей. К ключевым показателям относятся: общее количество успешных и неуспешных аутентификаций, среднее время прохождения аутентификации, распределение пользователей по методам аутентификации, количество активных сессий, статистика использования различных факторов MFA, показатели доступности системы (uptime/downtime), время отклика компонентов системы. Система обеспечивает визуализацию показателей через встроенные дашборды и интеграцию с внешними системами мониторинга (Prometheus, Grafana, Zabbix), настройку предупреждения при отклонении показателей от нормативных значений, формирование периодических отчетов для анализа.
Безопасное хранение учётных данных пользователей и секретов
Шифрование секретов и одноразовых кодов
Для шифрования секретов используется алгоритм AES в режиме CBC с ключом длиной 512 бит.
Надёжно шифруется и хранится в зашифрованном виде в полях БД следующая информация:
- Пароли учётных записей, которые требуется хранить в обратимом виде для подстановки за пользователя в режимах Reverse Proxy и Enterprise SSO;
- Секреты OpenID Connect-приложений;
- Секреты для TOTP;
- Разделяемые секреты RADIUS NAS;
- Пароли технологических УЗ для подключения к LDAP-каталогам;
- Одноразовые коды, используемые при отправке и временно хранимые в БД:
- OTP в SMS;
- OTP в E-mail;
- одноразовые коды для Avanpost Authenticator;
- OTP в push-оповещениях, отправляемые посредством мессенджера (Telegram).
Необратимое хеширование паролей пользователей
Для защиты основных паролей, которые хранятся в БД, а также секретов, для которых не требуется восстановление, по умолчанию используется необратимое хеширование при помощи алгоритма bcrypt со значением cost равным 10.
Оперативное оповещение пользователей
Avanpost FAM реализует многоканальную систему оперативного оповещения пользователей о событиях, связанных с их учетными записями и процессами аутентификации. Пользователи получают уведомления о успешных/неудачных попытках входа, изменении пароля, обновлении атрибутов учетной записи, запросах на восстановление доступа, истечении срока действия пароля, блокировке учетной записи. Уведомления направляются через электронную почту, SMS-сообщения, push-уведомления в мобильном приложении Avanpost Authenticator и мессенджер Telegram. Продукт поддерживает настройку шаблонов уведомлений с возможностью кастомизации, управление языками уведомлений (русский/английский), а также ведение журнала отправленных уведомлений.
Журналирование и отправка во внешние системы событий безопасности
Avanpost FAM реализует механизм централизованного журналирования событий безопасности, включающий регистрацию попыток аутентификации (успешных и неуспешных), изменений настроек, управления пользователями и факторами аутентификации, а также системных событий. Журналы хранятся в структурированном формате (JSON) с возможностью фильтрации и экспорта. Для интеграции с корпоративными SIEM-системами и системами мониторинга предусмотрена отправка событий во внешние источники посредством стандартных протоколов: Syslog (RFC 5424), HTTP/HTTPS webhook, а также через gRPC-интерфейсы. Администратор может настраивать правила фильтрации событий, определять состав передаваемых атрибутов и задавать периодичность отправки. Все передаваемые данные шифруются, что обеспечивает конфиденциальность и целостность аудиторской информации.
Мероприятия по контролю безопасности продукта
Процесс оперативного выпуска патчей к минорным версиям
Патчи выпускаются в среднем 1 раз в 2-3 недели к текущему минорному релизу и предыдущему минорному релизу.
Информация о выпущенных патчах публикуется на текущем ресурсе в разделе Release Notes по соответствующим компонентам.
Периодический процесс контроля и исправления выявленных уязвимостей
Раз в месяц осуществляется внутренний контроль наличия уязвимостей в продукте, включая автоматизированное сканирование кода и зависимостей, рассылку информации о выявленных уязвимостях и публикацию в базе данных уязвимостей ФСТЭК России. Процесс исправления уязвимостей интегрирован в цикл разработки: критические уязвимости устраняются экстренно, остальные – в рамках плановых патчей и минорных релизов. Информация о выпущенных патчах публикуется в разделе Release Notes соответствующих компонентов, а также рассылается заказчикам через официальные каналы коммуникации.
Периодическое проведение анализа защищённости/пентеста независимыми испытательными лабораториями
Раз в год осуществляется комплексный анализ защищённости приложения независимыми сторонними испытательными лабораториями, имеющими аккредитацию ФСТЭК России. В рамках пентеста проводятся тесты на проникновение, анализ архитектуры безопасности, проверка корректности реализации криптографических механизмов и оценка устойчивости к различным векторам атак. По результатам анализа формируется детальный отчёт с рекомендациями по устранению выявленных недостатков, которые приоритизируются и включаются в план разработки на следующий период.
Размещение продукта для открытого тестирования на багбаунти-площадках
Для повышения уровня защищённости продукта Avanpost FAM поддерживает практику размещения тестовых экземпляров системы на специализированных багбаунти-площадках с целью привлечения независимых исследователей безопасности. Тестовые среды изолированы от продуктивной инфраструктуры, не содержат реальных пользовательских данных и развёртываются с применением тех же механизмов защиты, что и боевые инсталляции. Перед публикацией проводится санация конфигураций: отключаются чувствительные функции, заменяются секретные ключи и токены, ограничивается сетевой доступ. Все обнаруженные уязвимости фиксируются в системе отслеживания ошибок, проходят верификацию разработчиками и устраняются в рамках регулярного процесса выпуска патчей.
Периодическое обновление сертификата ФСТЭК России
Avanpost FAM сертифицирован ФСТЭК России на соответствие 4 уровню доверия (регистрационный номер 4492), что подтверждает его пригодность для применения в государственных информационных системах. По истечении срока действия выполняется проведение повторных испытаний и переоформление документа. Процесс обновления сертификата включает аудит кода и конфигураций на соответствие актуальным требованиям регулятора, тестирование в аккредитованных лабораториях и подачу пакета документов в ФСТЭК.
Соответствие нормативным требованиям регуляторов
Соответствие ГОСТ Р 58833-2020
Соответствует ГОСТ Р 58833-2020 применительно к идентификации и аутентификации для всех уровней доверия аутентификации.
Соответствие 4 уровню доверия ФСТЭК России
ПО Avanpost FAM может применяться в государственных информационных системах до 1 класса защищенности включительно согласно требованиям приказа ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и методического документа ФСТЭК России от 11 февраля 2014 г. «Меры защиты информации в государственных информационных системах», в информационных системах персональных данных до 1 класса защищенности включительно согласно требованиям приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», в автоматизированных системах управления до 1 класса защищенности включительно согласно требованиям приказа ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», в значимых объектах до 1 категории включительно согласно требованиям приказа ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» для реализации мер защиты:
- ИАФ.1 «Идентификация и аутентификация пользователей, являющихся работниками оператора»;
- ИАФ.3 «Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов»;
- ИАФ.4 «Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации»;
- ИАФ.5 «Защита обратной связи при вводе аутентификационной информации»;
- ИАФ.6 «Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)»;
- УПД.1 «Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей»;
- УПД.2 «Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа»;
- УПД.6 «Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)»;
- УПД.7 «Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры по обеспечению безопасности персональных данных, и о необходимости соблюдения установленных оператором правил обработки персональных данных»;
- УПД.8 «Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему»;
- УПД.9 «Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы»;
- УПД.10 «Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу»;
- УПД.11 «Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации»;
- УПД.16 «Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)»;
- РСБ.1 «Определение событий безопасности, подлежащих регистрации, и сроков их хранения»;
- РСБ.2 «Определение состава и содержания информации о событиях безопасности, подлежащих регистрации»;
- РСБ.3 «Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения».
Соответствие стандарту Банка России СТО БР ФАПИ.СЕК-1.6-2024
Avanpost FAM соответствует требованиям стандарта СТО БР ФАПИ.СЕК-1.6-2024 «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID Connect», утверждённого приказом Банка России № ОД-1615 от 07.10.2024. Это подтверждает возможность использования продукта в финансовом секторе для обеспечения безопасной аутентификации и авторизации пользователей.
Соответствие отраслевым стандартам
В части поддержки протоколов OAuth 2.0/OpenID Connect в роли Identity Provider продукт соответствует стандартам:
- RFC 6749 - OAuth 2.0 Framework;
- RFC 7519 - JSON Web Tokens;
- RFC 8693 - Token Exchange;
- RFC 7636 - Proof Key for Code Exchange;
- RFC 9068 - JWT Profile for Access Tokens;
- RFC 7662 - Token Introspection;
- RFC 8252 - OAuth 2.0 for Native Apps;
- RFC 7009 - Token Revocation;
- RFC 8414 - Authorization Server Metadata;
- RFC 9421 - HTTP Message Signatures;
- OpenID Connect Core 1.0 incorporating errata set 1;
- OpenID Connect Discovery 1.0 incorporating errata set 1.
В части поддержки протокола RADIUS в роли RADIUS Server продукт соответствует стандартам:
- RFC 2865 - Remote Authentication Dial In User Service (RADIUS);
- RFC 4679 - DSL Forum Vendor-Specific RADIUS Attributes.
В части поддержки протокола SAML в роли Identity Provider продукт соответствует стандартам:
- OASIS Security Assertion Markup Language (SAML) V2.0.