Avanpost Device Control – модульное расширение, предназначенное для идентификации, классификации и управления доверием к устройствам, с которых пользователи получают доступ к корпоративным ресурсам. Avanpost DC реализует принципы Zero Trust, обеспечивая контроль доступа на основе состояния и характеристик устройства.
Avanpost Device Control обеспечивает решение следующих задач:
Безопасная идентификация и регистрация устройств (как десктопных, так и мобильных) в Avanpost FAM/MFA+/WSSO.
Сбор и анализ сигналов безопасности (наличие антивируса, root-доступ, версия ОС, шифрование диска и др.) для формирования профиля доверия.
Формирование профиля доверия устройства на основе политик безопасности.
Контроль доступа: разрешение, упрощение или блокировка аутентификации в зависимости от уровня доверия к устройству.
Обеспечение режима самообслуживания для пользователей в случае компрометации устройства.
Обнаружение компрометации устройств и оперативное реагирование (автоматический разрыв сессий, уведомление администратора).
Предоставление аналитики по парку устройств и соответствию политикам безопасности.
Функционал Device Control активируется автоматически при наличии лицензии и использует следующие компоненты для сбора данных:
- Avanpost FAM Agent / Windows Logon / Linux Logon – используются для идентификации и контроля десктопных устройств.
- Avanpost Authenticator – используется для идентификации и контроля мобильных устройств.
- Механизм "evercookie" – используется для идентификации и контроля браузеров.
Сценарии использования
Упрощенная аутентификация с доверенного устройства
Пользователь аутентифицируется в корпоративную систему с личного ноутбука, на котором установлен Avanpost FAM Agent. Avanpost Device Control регистрирует устройство, собирает его fingerprint и запоминает связь между устройством и учетной записью пользователя. При всех последующих входах с данного устройства система автоматически идентифицирует пользователя, упрощая процесс аутентификации (например, запрашивается один фактор вместо двух).
Обработка компрометации устройства с использованием интерфейса самообслуживания
Пользователь теряет свой корпоративный смартфон, на котором установлен Avanpost Authenticator. Через веб-интерфейс личного кабинета Avanpost FAM, куда входит с другого устройства, пользователь помечает утерянный смартфон как скомпрометированный. Avanpost FAM немедленно завершает все активные сессии, связанные с данным устройством. Блокируется возможность входа с данного смартфона до тех пор, пока администратор не изменит статус устройства.
Легковесная альтернатива MDM
Организация стремится контролировать, с каких устройств происходит доступ к ее ресурсам, но не рассматривает внедрение полноценной MDM-системы из-за неудобства эксплуатации для рядового сотрудника и общей сложности настройки. Более простой и легковесный Avanpost Device Control позволяет идентифицировать все устройства (через агентские приложения на десктопах и Avanpost Authenticator на смартфонах) и вести их реестр. Администратор получает отчет о характеристиках устройств (ОС, тип) и может как вручную приостанавливать доступ с подозрительных или неизвестных устройств, так и усложнять механизм аутентификации в соответствии с настроенными политиками безопасности.
Безопасность
Сбор сигналов безопасности устройств
Avanpost DC реализует механизм сбора сигналов безопасности устройств, в рамках которого получает и анализирует информацию о платформе, антивирусе (наличие, дата обновления, настройки), наличии у пользователя привилегий администратора или специфического ПО. На основании полученных данных и настроенных политик безопасности принимается решение о разрешении/отказе на прохождение авторизации и усложнении/упрощении процесса аутентификации.
Мониторинг и контроль устройств
Avanpost DC позволяет администратору получать статистический отчёт по характеристикам устройств для дальнейшего анализа и выстраивания более гибких или жестких политик безопасности.