Рекомендации по внедрению сервиса «Мультифактор» в качестве MFA

Существует множество инструментов, с помощью которых можно реализовать MFA. Настоящие рекомендации основаны на опыте применения в качестве MFA сервиса компании «Мультифактор».

Принципы внедрения сервиса «Мультифактор» в существующую инфраструктуру

Несмотря на то что большинство приложений разрабатывается без учета использования MFA, это не означает, что для таких приложений нельзя использовать MFA.

Использовать MFA для существующих приложений можно, если эти приложения поддерживают аутентификацию по следующим протоколам:

• RADIUS;
• LDAP;
• SAML.

Для этих протоколов у сервиса «Мультифактор» подготовлены адаптеры (специализированные прокси-серверы), которые добавляют в процесс аутентификации проверку второго фактора.

Описания этих адаптеров доступны по ссылкам:

• для RADIUS: https://multifactor.ru/docs/radius-adapter;
• для LDAP: https://multifactor.ru/docs/ldap-adapter;
• для SAML: https://multifactor.ru/docs/adfs-2fa.

Примечание: протокол SAML в инфраструктуре Windows реализует служба Active Directory Federation Services (ADFS).

Особенности настройки адаптеров

Важно! Многие приложения имеют настройки и отдельную логику действий на случай сбоя или недоступности сервиса. У адаптеров «Мультифактор» также есть такая настройка. По умолчанию в случае недоступности сервиса «Мультифактор» (по любой причине) адаптер аутентифицирует пользователей без подтверждения второго фактора.

При таких настройках по умолчанию возможно организовать обход MFA. При этом достаточно нарушить любым способом доступность сервера «Мультифактор», на котором находится адаптер. Чтобы исключить эту возможность, в конфигурационном файле адаптеров укажите следующий параметр:

<add key="bypass-second-factor-when-api-unreachable" value="false"/>

Описание работы этого параметра приведено в документации по ссылкам:

• для LDAP-адаптера: https://multifactor.ru/docs/ldap-adapter/windows#защита-от-сбоев;
• для RADIUS-адаптера: https://multifactor.ru/docs/radius-adapter/windows#защита-от-сбоев.

Для ADFS-адаптера этот параметр в документации не описан по состоянию на январь 2024 года, но в конфигурационном файле он присутствует и работает.

Использование MFA для системы 1C

Для внедрения MFA в систему 1С рекомендуется использовать собственные возможности 1С. Документация разработчика по подключению MFA к системе 1С доступна по ссылке: https://infostart.ru/journal/news/mir-1s/v-platforme-1s-realizovali-mekhanizm-dvukhfaktornoy-autentifikatsii-polzovateley_1022216/.

Организация процесса использования MFA для сотрудников

1. Новый сотрудник

Для настройки MFA для нового пользователя можно использовать один из двух сценариев:

• самостоятельная настройка пользователем MFA через портал самообслуживания, если пользователь физически находится в одном из офисов компании;
• отправка пользователю на почту одноразовой ссылки для настройки MFA, если пользователь физически находится вне офиса (подробная информация доступна по ссылке: https://multifactor.ru/docs/api/users#регистрация-пользователя).

С описанием принципов работы и настройки портала самообслуживания можно ознакомиться по ссылке: https://multifactor.ru/docs/self-service-portal.

Важно! Портал самообслуживания должен быть доступен только из локальной сети и из VPN. Размещение портала самообслуживания на внешнем периметре недопустимо.

2. Замена устройства, на котором настроено получение дополнительного фактора аутентификации

В случае смены или утери сотрудником устройства, на котором ранее было настроено получение дополнительного фактора аутентификации, сотрудник должен обратиться в ИТ-подразделение (или подразделение, отвечающее за ИБ) самостоятельно или через своего руководителя. После получения запроса сотрудник ИТ-или ИБ-подразделения удаляет старое или утерянное устройство и высылает одноразовую ссылку на регистрацию нового устройства.

Резервный доступ в инфраструктуру на случай сбоя

Следует понимать, что внедрение MFA добавляет в инфраструктуре компании еще одну точку отказа в обслуживании. В дополнение к внедрению MFA необходимо предусмотреть меры и порядок действий в случае сбоев этой системы.

При применении настроек, описанных в разделе «Особенности настройки адаптеров», в случае недоступности сервера «Мультифактор» или самого сервиса «Мультифактор» сотрудник не сможет подключиться к своему приложению или серверу.

Поэтому как минимум для системных администраторов и специалистов службы информационной безопасности необходимо предусмотреть резервные варианты подключения к инфраструктуре и управления ею на случай сбоев.

В качестве резервного варианта работы рекомендуется использовать MFA в виде TOTP, так как для этого варианта возможно реализовать MFA локально в инфраструктуре, без использования внешних сервисов.

Реализовать резервный вариант подключения к инфраструктуре с помощью TOTP можно, используя следующие продукты:

• https://www.aladdin-rd.ru/catalog/jas/;
• https://www.linotp.org;
• https://github.com/multiOTP.

Для резервного варианта подключения необходимо организовать регулярное автоматизированное тестирование работоспособности, чтобы гарантировать возможность подключения в случае сбоев.