Открыть сервис

RSA Authentication Manager

RSA Authentication Manager — это программный продукт класса AAA (Authentication, Authorization, Accounting), разработанный американской компанией RSA Security (подразделение Dell Technologies, с 2020 года — в составе консорциума Symphony Technology Group). Система предназначена для централизованного управления двухфакторной аутентификацией (2FA) и одноразовыми паролями (OTP) в корпоративных сетях, обеспечивая дополнительный уровень защиты при доступе к критическим ресурсам. Продукт является ключевым компонентом инфраструктуры безопасности многих государственных и коммерческих организаций по всему миру, включая Российскую Федерацию.

История

Разработка RSA Authentication Manager началась в конце 1980-х годов в компании Security Dynamics Technologies Inc. (позже переименована в RSA Security). Первоначально продукт назывался ACE/Server и предназначался для работы с аппаратными токенами SecurID. Первая коммерческая версия вышла в 1990 году и быстро завоевала популярность благодаря внедрению алгоритма генерации одноразовых паролей, основанного на времени (TOTP) и синхронизации с сервером.

В 2006 году RSA Security была приобретена корпорацией EMC за 2,1 миллиарда долларов. В 2016 году EMC, в свою очередь, вошла в состав Dell Technologies. В этот период продукт получил название RSA Authentication Manager 8.x. В 2020 году подразделение RSA Security было продано консорциуму Symphony Technology Group (STG) за 2,075 миллиарда долларов. С тех пор продукт развивается под управлением STG как самостоятельное решение.

В 2011 году RSA Security столкнулась с серьёзным инцидентом безопасности: в результате сложной атаки на внутренние сети компании были похищены данные, связанные с алгоритмом генерации OTP для некоторых версий токенов SecurID. Это привело к необходимости массовой замены токенов и усиления мер безопасности в продукте. После этого инцидента RSA внедрила более строгие механизмы защиты ключей и перешла на более устойчивые криптографические алгоритмы.

Архитектура и компоненты

Серверная часть

RSA Authentication Manager представляет собой серверное приложение, которое обычно развёртывается в корпоративном дата-центре или в облачной инфраструктуре (поддерживаются публичные облака AWS, Azure, Google Cloud). Сервер выполняет функции:

  • Управление токенами и учётными записями: хранение секретных ключей (seed-файлов) для аппаратных и программных токенов, привязка их к учётным записям пользователей.
  • Аутентификация: проверка одноразовых паролей, получаемых от токенов, на основе синхронизированного времени или счётчика событий.
  • Политики безопасности: настройка правил аутентификации — частота запроса OTP, блокировка после неудачных попыток, поддержка push-уведомлений.
  • Аудит и отчётность: ведение логов всех попыток входа, генерация отчётов для соответствия стандартам (SOX, PCI DSS, ISO 27001).

Клиентская часть

Для работы с RSA Authentication Manager пользователи используют:

  • Аппаратные токены SecurID: компактные устройства, генерирующие шести- или восьмизначный OTP с интервалом 60 секунд. Модели различаются по форм-фактору (брелок, карта, USB-ключ) и сроку службы батареи (обычно 3–5 лет).
  • Программные токены (RSA SecurID Software Token): приложения для мобильных устройств (iOS, Android) и настольных ПК (Windows, macOS), эмулирующие работу аппаратного токена. Поддерживают как стандартный TOTP, так и push-аутентификацию с подтверждением на смартфоне.
  • RSA Adaptive Authentication: дополнительный модуль, анализирующий поведенческие факторы (геолокация, устройство, время входа) и динамически меняющий требования к аутентификации (например, запрос OTP только при подозрительной активности).

Интеграция с внешними системами

RSA Authentication Manager поддерживает интеграцию с широким спектром корпоративных систем через протоколы RADIUS, LDAP, SAML, Kerberos и REST API. Это позволяет использовать продукт для аутентификации в:

  • VPN-концентраторах (Cisco, Palo Alto, Check Point).
  • Веб-порталах и приложениях (Microsoft IIS, Apache, NGINX).
  • Операционных системах (Windows Active Directory, Linux PAM).
  • Облачных сервисах (Microsoft 365, Salesforce, Amazon Web Services).

Функциональные возможности

Двухфакторная аутентификация

Основная функция продукта — обеспечение второго фактора аутентификации. Пользователь вводит свой логин/пароль (первый фактор — знание), а затем одноразовый пароль с токена (второй фактор — владение). Без правильного OTP доступ к ресурсу блокируется, даже если пароль скомпрометирован.

Поддержка различных типов OTP

  • Time-based OTP (TOTP): пароль меняется каждые 60 секунд на основе текущего времени и секретного ключа. Алгоритм соответствует стандарту RFC 6238.
  • Event-based OTP (HOTP): пароль генерируется на основе счётчика событий (нажатия кнопки на токене). Стандарт RFC 4226.
  • Offline OTP: для ситуаций без сетевого доступа (например, на борту самолёта) токен может генерировать пароли, которые проверяются сервером при последующем подключении.

Централизованное управление

Администраторы могут через веб-консоль или командную строку:

  • Добавлять и удалять пользователей и токены.
  • Назначать политики аутентификации (например, обязательное использование OTP для всех удалённых подключений).
  • Отзывать скомпрометированные токены.
  • Просматривать журналы событий и генерировать отчёты.

Высокая доступность и отказоустойчивость

Поддерживается кластеризация серверов (активный-активный или активный-пассивный) для обеспечения непрерывной работы. В случае сбоя одного сервера аутентификация автоматически переключается на другой. Также возможно развёртывание географически распределённых кластеров.

Применение в России

RSA Authentication Manager исторически широко использовался в российских государственных и коммерческих структурах, особенно в банковском секторе (Сбербанк, ВТБ, Альфа-Банк), энергетике (Росатом, Газпром) и телекоммуникациях (Ростелеком). Однако после 2014 года, в связи с санкционной политикой и требованиями импортозамещения, многие организации начали переход на отечественные аналоги, такие как:

  • ViPNet Coordinator HW (разработчик — «ИнфоТеКС»).
  • Secret Net (разработчик — «Код Безопасности»).
  • Athento (разработчик — «Актив-софт»).
  • Trusted ID (разработчик — «КриптоПро»).

Тем не менее, по состоянию на 2024 год RSA Authentication Manager продолжает использоваться в ряде крупных компаний, где замена инфраструктуры сопряжена с высокими затратами или рисками. Продукт также применяется в международных корпорациях, имеющих представительства в России.

Критика и ограничения

  • Зависимость от иностранного поставщика: продукт является американским, что создаёт риски в условиях геополитической напряжённости. В 2022 году компания RSA Security объявила о приостановке деятельности в России, что затруднило получение обновлений и технической поддержки для российских клиентов.
  • Сложность администрирования: для эффективного управления требуется квалифицированный персонал, знакомый с архитектурой продукта и протоколами аутентификации.
  • Стоимость: лицензирование RSA Authentication Manager является дорогостоящим, особенно для крупных организаций с десятками тысяч пользователей. Цена включает как серверную лицензию, так и стоимость каждого токена.
  • Уязвимость к атакам: несмотря на усиление безопасности после инцидента 2011 года, продукт остаётся мишенью для злоумышленников. В 2021 году были выявлены критические уязвимости в веб-консоли управления (CVE-2021-44228, связанная с Log4j), которые потребовали срочного патчинга.

Сравнение с аналогами

ХарактеристикаRSA Authentication ManagerMicrosoft Azure AD MFADuo Security (Cisco)ViPNet Coordinator HW
Тип развёртыванияOn-premises / CloudCloud (SaaS)Cloud / On-premisesOn-premises
Поддержка аппаратных токеновДа (SecurID)Ограниченная (через партнёров)Да (через партнёров)Да
Интеграция с RADIUSДаДа (через NPS)ДаДа
ЦенаВысокаяСредняя (по подписке)СредняяСредняя
Импортозамещение в РФНетНетНетДа

Интересные факты

  • Алгоритм, лежащий в основе RSA SecurID, был разработан в 1986 году математиком Кеном Морганом (Ken Morgan) и инженером Джеффри Уокером (Jeffrey Walker). Первоначально он использовался для защиты доступа к мейнфреймам IBM.
  • В 2000-х годах RSA Authentication Manager был внедрён в Пентагоне и Министерстве обороны США для аутентификации военнослужащих при удалённом доступе к секретным сетям.
  • В 2022 году RSA Security выпустила версию Authentication Manager 9.0, которая полностью перешла на архитектуру микросервисов и контейнеризацию (Docker, Kubernetes), что упростило развёртывание в облачных средах.

Источники

  • Официальная документация RSA Authentication Manager (RSA Security, 2023).
  • «RSA SecurID: A History of Two-Factor Authentication» — журнал Network Security, 2018.
  • «Импортозамещение в сфере ИБ: обзор российских аналогов RSA» — CNews, 2022.
  • «Анализ уязвимостей RSA Authentication Manager» — Positive Technologies, 2021.
  • Стандарты RFC 4226 (HOTP) и RFC 6238 (TOTP).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →