Алексей Халин
Олег СенченкоРекомендации по внедрению сервиса «Мультифактор» в качестве MFA
Алексей ХалинОлег СенченкоАлексей ХалинОлег СенченкоАлексей ХалинОлег СенченкоСуществует множество инструментов, с помощью которых можно реализовать MFA. Настоящие рекомендации основаны на опыте применения в качестве MFA сервиса компании «Мультифактор».
Несмотря на то что большинство приложений разрабатывается без учета использования MFA, это не означает, что для таких приложений нельзя использовать MFA.
Использовать MFA для существующих приложений можно, если эти приложения поддерживают аутентификацию по следующим протоколам:
Для этих протоколов у сервиса «Мультифактор» подготовлены адаптеры (специализированные прокси-серверы), которые добавляют в процесс аутентификации проверку второго фактора.
Описания этих адаптеров доступны по ссылкам:
Примечание: протокол SAML в инфраструктуре Windows реализует служба Active Directory Federation Services (ADFS).
Важно! Многие приложения имеют настройки и отдельную логику действий на случай сбоя или недоступности сервиса. У адаптеров «Мультифактор» также есть такая настройка. По умолчанию в случае недоступности сервиса «Мультифактор» (по любой причине) адаптер аутентифицирует пользователей без подтверждения второго фактора.
При таких настройках по умолчанию возможно организовать обход MFA. При этом достаточно нарушить любым способом доступность сервера «Мультифактор», на котором находится адаптер. Чтобы исключить эту возможность, в конфигурационном файле адаптеров укажите следующий параметр:
<add key="bypass-second-factor-when-api-unreachable" value="false"/>
Описание работы этого параметра приведено в документации по ссылкам:
Для ADFS-адаптера этот параметр в документации не описан по состоянию на январь 2024 года, но в конфигурационном файле он присутствует и работает.
Для внедрения MFA в систему 1С рекомендуется использовать собственные возможности 1С. Документация разработчика по подключению MFA к системе 1С доступна по ссылке: https://infostart.ru/journal/news/mir-1s/v-platforme-1s-realizovali-mekhanizm-dvukhfaktornoy-autentifikatsii-polzovateley_1022216/.
Для настройки MFA для нового пользователя можно использовать один из двух сценариев:
С описанием принципов работы и настройки портала самообслуживания можно ознакомиться по ссылке: https://multifactor.ru/docs/self-service-portal.
Важно! Портал самообслуживания должен быть доступен только из локальной сети и из VPN. Размещение портала самообслуживания на внешнем периметре недопустимо.
В случае смены или утери сотрудником устройства, на котором ранее было настроено получение дополнительного фактора аутентификации, сотрудник должен обратиться в ИТ-подразделение (или подразделение, отвечающее за ИБ) самостоятельно или через своего руководителя. После получения запроса сотрудник ИТ-или ИБ-подразделения удаляет старое или утерянное устройство и высылает одноразовую ссылку на регистрацию нового устройства.
Следует понимать, что внедрение MFA добавляет в инфраструктуре компании еще одну точку отказа в обслуживании. В дополнение к внедрению MFA необходимо предусмотреть меры и порядок действий в случае сбоев этой системы.
При применении настроек, описанных в разделе «Особенности настройки адаптеров», в случае недоступности сервера «Мультифактор» или самого сервиса «Мультифактор» сотрудник не сможет подключиться к своему приложению или серверу.
Поэтому как минимум для системных администраторов и специалистов службы информационной безопасности необходимо предусмотреть резервные варианты подключения к инфраструктуре и управления ею на случай сбоев.
В качестве резервного варианта работы рекомендуется использовать MFA в виде TOTP, так как для этого варианта возможно реализовать MFA локально в инфраструктуре, без использования внешних сервисов.
Реализовать резервный вариант подключения к инфраструктуре с помощью TOTP можно, используя следующие продукты:
Для резервного варианта подключения необходимо организовать регулярное автоматизированное тестирование работоспособности, чтобы гарантировать возможность подключения в случае сбоев.