Zavádění SecurID vyžaduje pečlivé plánování

Systém dvoufaktorové autentizace ve firmě dospěl do fáze masového nasazení. Je třeba se připravit na možné problém...


Systém dvoufaktorové autentizace ve firmě dospěl do fáze masového nasazení. Je
třeba se připravit na možné problémy.
Jak jsem již zmínil v jednom ze svých předchozích příspěvků, naše společnost
investovala do produktu RSA SecurID. A to proto, aby mohla nasadit
dvoufaktorovou autentizaci pro přístup k naší klíčové infrastruktuře, jmenovitě
ke směrovačům, k přepínačům, k firewallům a k produkčním unixovým serverům.
Dvoufaktorová autentizace vyžaduje něco, co máte (například kartu do
bankomatu), a něco, co víte (třeba váš PIN). Token SecurID (to, co máte)
zobrazuje v naší síti náhodné číslo, takzvaný tokencode, který se mění každých
60 sekund. Ten tvoří v kombinaci s uživatelským PINem (něčím, co znáte) to, co
nazýváme heslovým kódem.
K dnešnímu dni jsme zprovoznili 150 tokenů. Dostali je především síťoví
technici, systémoví administrátoři a pracovníci oddělení informační
bezpečnosti. Všichni jsou důkladně znalí problematiky, takže nasazení, podpora
a administrace proběhly zcela bez komplikací.

Rozšíření působnosti
Brzy ale začneme rozšiřovat dvoufaktorové ověřování identity do ostatních
oddělení společnosti. Každý zaměstnanec, který musí vzdáleně přistupovat do
sítě prostřednictvím naší VPN založené na produktech firmy Cisco, bude k
autentizaci do sítě potřebovat token SecurID. A tokeny budou také vyžadovány
pro bezdrátová připojení k některému z našich přístupových bodů. Uživatelé je
rovněž budou potřebovat, když si budou chtít zvenku přečíst e-maily přes webové
rozhraní Microsoft Outlooku. A seznam aplikací se stále prodlužuje.
Nakonec bude mít token SecurID každý zaměstnanec. Až se to stane, bude docela
snadné otevírat přes SecurID přístup k jakýmkoli novým aplikacím a jiným
oblastem podnikových činností, protože použití tokenu bude stále stejné bez
ohledu na to, kam se uživatel pokouší dostat.
Nyní se chystáme na více než 5 000 zaměstnanců, ale nasazení tokenů u takového
množství uživatelů a jejich následná podpora vyžaduje správné naplánování.
Vyčlenili jsme projektového manažera, aby koordinoval různé kroky tohoto
projektu, z nichž první se bude týkat informování a školení. Chceme, aby
koncoví uživatelé byli s tokeny SecurID dobře obeznámeni ještě dříve, než je
dostanou. Školicí a informační proces v sobě bude zahrnovat hromadné zasílání
e-mailových zpráv, webové stránky s odpověďmi na časté otázky a powerpointové
prezentace. Část těchto materiálů připravila moje skupina pro informační
bezpečnost, ostatní nám poskytli představitelé výrobce, RSA Security.

Logistika pro tokeny
Dalším krokem bude distribuce. Oněch 5 000 zaměstnanců je rozmístěno v téměř
každém státě a významném městě USA, dále v Indii, Singapuru, Číně, Mexiku i v
Evropě. Abychom tuto logistickou obludu zvládli, rozdělujeme příjemce tokenů do
tří skupin.
Zdaleka největší skupinu tvoří stávající zaměstnanci, kteří token SecurID
potřebují. Rozhodli jsme se, že nejefektivnějším způsobem jak jim tokeny
poskytnout, bude použít specializované konzultanty, kteří tokeny rozešlou
kontaktním osobám vybraným podle umístění, a ty je pak doručí jednotlivým
uživatelům. Konzultanti se budou moci zcela soustředit jen na nasazování tokenů
a nebudou rozptylováni jinými povinnostmi.
Druhá skupina se skládá z nových zaměstnanců. Pro ně je nejjednodušší zavést
kancelář spravující bezpečnostní přívěsky (tj. tokeny). Každý nově příchozí,
dokonce i ten, který pracuje z domova, musí mít bezpečnostní přívěsek. Jediné,
co musíme udělat, je upravit proces registrace nových uživatelů, aby označoval
pracovníky potřebující bezpečnostní token.
Do třetí skupiny patří stávající zaměstnanci, u nichž jsme nezjistili potřebu
mít token, ale kteří jej náhle budou požadovat. Tito uživatelé budou požádáni,
aby se spojili s oddělením podpory (helpdeskem) a získali u něj osvědčení. Poté
jim token vydá kancelář bezpečnostních přívěsků.
Jakmile zaměstnanec dostane bezpečnostní token, musí jej inicializovat webovou
aplikací z balíku RSA SecurID, jež je označována jako Deployment Manager. Každý
uživatel navštíví webovou stránku, kde zodpoví řadu otázek, aby byla ověřena
jeho identita, zadá sériové číslo na svém tokenu a pak si nastaví PIN.
Deployment Manager běží pod webovým serverem Apache a spolupracuje s firemním
oraclovským databázovým serverem, takže naši databázoví administrátoři jsou do
souhrnného projektového plánu zapojeni také. Právě teď vytvářejí příslušnou
databázi, abychom mohli funkčnost otestovat před nasazením do provozu.

První pomoc
Nedílnou součástí našeho úsilí při nasazování SecurID bude oddělení podpory.
Někteří uživatelé nevyhnutelně zapomenou svůj PIN, ztratí token nebo způsobí,
že bude špatně synchronizován se serverem. Oddělení podpory se bude vypořádávat
s nejběžnějšími záležitostmi pomocí jiné webové aplikace od RSA Security
nazývané Quick Admin. Tuto aplikaci už používáme pro podporu našich počátečních
150 zasvěcených uživatelů, ale budeme muset zajistit příslušný počet školení
pro osazenstvo oddělení podpory, aby se mohli podílet na vyřizování hlavního
náporu požadavků o pomoc. Skupina informační bezpečnosti se pak bude zabývat
vším, co je mimo možnosti aplikace Quick Admin.
Na hardwarové frontě momentálně zpracovávají transakce pro tokeny SecurID
primární autentizační server a jeho dvě repliky. Na primárním serveru běží
programový balík RSA ACE/Server, jenž obsahuje databázi autorizovaných
uživatelů včetně povolených souvztažností mezi jednotlivými uživateli a
chráněnými službami. Primární server je často synchronizován s kopiemi a jejich
zatížení je automaticky vyvažováno, což také zajišťuje patřičnou odolnost této
sestavy proti selhání. I kdyby primární server nebo kterákoli z replik selhaly,
ostatní servery zvládnou všechny žádosti o autentizaci.
Přestože by se náš současný systém pravděpodobně vypořádal se zvýšením počtu
žádostí o ověření odpovídající růstu od 150 uživatelů k více než 5 000
plánujeme upgrade serverů a zvýšení počtu replik, přičemž některé z nich budou
umístěny na klíčových místech v zahraničí.
S tím vším dohromady a s pomocí šéfa projektu máme pevný a úplný plán. Očekávám
tedy, že až to konečně spustíme, proběhne nasazení hladce a my budeme mít
systém podpory, který se vypořádá s potřebami uživatelů.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.