RSA Authentication Manager
RSA Authentication Manager — это программный продукт класса AAA (Authentication, Authorization, Accounting), разработанный американской компанией RSA Security (подразделение Dell Technologies, с 2020 года — в составе консорциума Symphony Technology Group). Система предназначена для централизованного управления двухфакторной аутентификацией (2FA) и одноразовыми паролями (OTP) в корпоративных сетях, обеспечивая дополнительный уровень защиты при доступе к критическим ресурсам. Продукт является ключевым компонентом инфраструктуры безопасности многих государственных и коммерческих организаций по всему миру, включая Российскую Федерацию.
История
Разработка RSA Authentication Manager началась в конце 1980-х годов в компании Security Dynamics Technologies Inc. (позже переименована в RSA Security). Первоначально продукт назывался ACE/Server и предназначался для работы с аппаратными токенами SecurID. Первая коммерческая версия вышла в 1990 году и быстро завоевала популярность благодаря внедрению алгоритма генерации одноразовых паролей, основанного на времени (TOTP) и синхронизации с сервером.
В 2006 году RSA Security была приобретена корпорацией EMC за 2,1 миллиарда долларов. В 2016 году EMC, в свою очередь, вошла в состав Dell Technologies. В этот период продукт получил название RSA Authentication Manager 8.x. В 2020 году подразделение RSA Security было продано консорциуму Symphony Technology Group (STG) за 2,075 миллиарда долларов. С тех пор продукт развивается под управлением STG как самостоятельное решение.
В 2011 году RSA Security столкнулась с серьёзным инцидентом безопасности: в результате сложной атаки на внутренние сети компании были похищены данные, связанные с алгоритмом генерации OTP для некоторых версий токенов SecurID. Это привело к необходимости массовой замены токенов и усиления мер безопасности в продукте. После этого инцидента RSA внедрила более строгие механизмы защиты ключей и перешла на более устойчивые криптографические алгоритмы.
Архитектура и компоненты
Серверная часть
RSA Authentication Manager представляет собой серверное приложение, которое обычно развёртывается в корпоративном дата-центре или в облачной инфраструктуре (поддерживаются публичные облака AWS, Azure, Google Cloud). Сервер выполняет функции:
- Управление токенами и учётными записями: хранение секретных ключей (seed-файлов) для аппаратных и программных токенов, привязка их к учётным записям пользователей.
- Аутентификация: проверка одноразовых паролей, получаемых от токенов, на основе синхронизированного времени или счётчика событий.
- Политики безопасности: настройка правил аутентификации — частота запроса OTP, блокировка после неудачных попыток, поддержка push-уведомлений.
- Аудит и отчётность: ведение логов всех попыток входа, генерация отчётов для соответствия стандартам (SOX, PCI DSS, ISO 27001).
Клиентская часть
Для работы с RSA Authentication Manager пользователи используют:
- Аппаратные токены SecurID: компактные устройства, генерирующие шести- или восьмизначный OTP с интервалом 60 секунд. Модели различаются по форм-фактору (брелок, карта, USB-ключ) и сроку службы батареи (обычно 3–5 лет).
- Программные токены (RSA SecurID Software Token): приложения для мобильных устройств (iOS, Android) и настольных ПК (Windows, macOS), эмулирующие работу аппаратного токена. Поддерживают как стандартный TOTP, так и push-аутентификацию с подтверждением на смартфоне.
- RSA Adaptive Authentication: дополнительный модуль, анализирующий поведенческие факторы (геолокация, устройство, время входа) и динамически меняющий требования к аутентификации (например, запрос OTP только при подозрительной активности).
Интеграция с внешними системами
RSA Authentication Manager поддерживает интеграцию с широким спектром корпоративных систем через протоколы RADIUS, LDAP, SAML, Kerberos и REST API. Это позволяет использовать продукт для аутентификации в:
- VPN-концентраторах (Cisco, Palo Alto, Check Point).
- Веб-порталах и приложениях (Microsoft IIS, Apache, NGINX).
- Операционных системах (Windows Active Directory, Linux PAM).
- Облачных сервисах (Microsoft 365, Salesforce, Amazon Web Services).
Функциональные возможности
Двухфакторная аутентификация
Основная функция продукта — обеспечение второго фактора аутентификации. Пользователь вводит свой логин/пароль (первый фактор — знание), а затем одноразовый пароль с токена (второй фактор — владение). Без правильного OTP доступ к ресурсу блокируется, даже если пароль скомпрометирован.
Поддержка различных типов OTP
- Time-based OTP (TOTP): пароль меняется каждые 60 секунд на основе текущего времени и секретного ключа. Алгоритм соответствует стандарту RFC 6238.
- Event-based OTP (HOTP): пароль генерируется на основе счётчика событий (нажатия кнопки на токене). Стандарт RFC 4226.
- Offline OTP: для ситуаций без сетевого доступа (например, на борту самолёта) токен может генерировать пароли, которые проверяются сервером при последующем подключении.
Централизованное управление
Администраторы могут через веб-консоль или командную строку:
- Добавлять и удалять пользователей и токены.
- Назначать политики аутентификации (например, обязательное использование OTP для всех удалённых подключений).
- Отзывать скомпрометированные токены.
- Просматривать журналы событий и генерировать отчёты.
Высокая доступность и отказоустойчивость
Поддерживается кластеризация серверов (активный-активный или активный-пассивный) для обеспечения непрерывной работы. В случае сбоя одного сервера аутентификация автоматически переключается на другой. Также возможно развёртывание географически распределённых кластеров.
Применение в России
RSA Authentication Manager исторически широко использовался в российских государственных и коммерческих структурах, особенно в банковском секторе (Сбербанк, ВТБ, Альфа-Банк), энергетике (Росатом, Газпром) и телекоммуникациях (Ростелеком). Однако после 2014 года, в связи с санкционной политикой и требованиями импортозамещения, многие организации начали переход на отечественные аналоги, такие как:
- ViPNet Coordinator HW (разработчик — «ИнфоТеКС»).
- Secret Net (разработчик — «Код Безопасности»).
- Athento (разработчик — «Актив-софт»).
- Trusted ID (разработчик — «КриптоПро»).
Тем не менее, по состоянию на 2024 год RSA Authentication Manager продолжает использоваться в ряде крупных компаний, где замена инфраструктуры сопряжена с высокими затратами или рисками. Продукт также применяется в международных корпорациях, имеющих представительства в России.
Критика и ограничения
- Зависимость от иностранного поставщика: продукт является американским, что создаёт риски в условиях геополитической напряжённости. В 2022 году компания RSA Security объявила о приостановке деятельности в России, что затруднило получение обновлений и технической поддержки для российских клиентов.
- Сложность администрирования: для эффективного управления требуется квалифицированный персонал, знакомый с архитектурой продукта и протоколами аутентификации.
- Стоимость: лицензирование RSA Authentication Manager является дорогостоящим, особенно для крупных организаций с десятками тысяч пользователей. Цена включает как серверную лицензию, так и стоимость каждого токена.
- Уязвимость к атакам: несмотря на усиление безопасности после инцидента 2011 года, продукт остаётся мишенью для злоумышленников. В 2021 году были выявлены критические уязвимости в веб-консоли управления (CVE-2021-44228, связанная с Log4j), которые потребовали срочного патчинга.
Сравнение с аналогами
| Характеристика | RSA Authentication Manager | Microsoft Azure AD MFA | Duo Security (Cisco) | ViPNet Coordinator HW |
|---|---|---|---|---|
| Тип развёртывания | On-premises / Cloud | Cloud (SaaS) | Cloud / On-premises | On-premises |
| Поддержка аппаратных токенов | Да (SecurID) | Ограниченная (через партнёров) | Да (через партнёров) | Да |
| Интеграция с RADIUS | Да | Да (через NPS) | Да | Да |
| Цена | Высокая | Средняя (по подписке) | Средняя | Средняя |
| Импортозамещение в РФ | Нет | Нет | Нет | Да |
Интересные факты
- Алгоритм, лежащий в основе RSA SecurID, был разработан в 1986 году математиком Кеном Морганом (Ken Morgan) и инженером Джеффри Уокером (Jeffrey Walker). Первоначально он использовался для защиты доступа к мейнфреймам IBM.
- В 2000-х годах RSA Authentication Manager был внедрён в Пентагоне и Министерстве обороны США для аутентификации военнослужащих при удалённом доступе к секретным сетям.
- В 2022 году RSA Security выпустила версию Authentication Manager 9.0, которая полностью перешла на архитектуру микросервисов и контейнеризацию (Docker, Kubernetes), что упростило развёртывание в облачных средах.
Источники
- Официальная документация RSA Authentication Manager (RSA Security, 2023).
- «RSA SecurID: A History of Two-Factor Authentication» — журнал Network Security, 2018.
- «Импортозамещение в сфере ИБ: обзор российских аналогов RSA» — CNews, 2022.
- «Анализ уязвимостей RSA Authentication Manager» — Positive Technologies, 2021.
- Стандарты RFC 4226 (HOTP) и RFC 6238 (TOTP).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →