Get best of the week

BarsUP.AM: كيف طورنا أداة لحماية معلومات تطبيقات الويب

صورة

BarsUp.Access Manager (BarsUp.AM) - حزمة برامجنا لحماية المعلومات السرية. عند تصميم وتطوير هذا النظام وفقًا لمتطلبات المستندات التنظيمية لـ FSTEC في روسيا ، واجهنا صعوبات في إدارة الوصول إلى تطبيقات الويب باستخدام أدوات أمان المعلومات المعتمدة.

أمر FSTEC من روسيا رقم 17 يقول أنه يجب أن يتم الاختيار من بين وسائل حماية المعلومات المعتمدة للامتثال لمتطلبات أمن المعلومات ، مع مراعاة تكلفتها وتوافقها مع تقنيات المعلومات والوسائل التقنية. نظرنا إلى ما كان موجودًا في السوق في ذلك الوقت وفهمنا: غالبًا ما تجاوزت تكلفة الحلول المتوافقة مع أنظمة المعلومات لدينا تكلفة الأنظمة نفسها ، أو كانت غير متوافقة.

في هذه الحالة ، يفيد المنظم أنه في حالة عدم وجود وسائل مناسبة لحماية المعلومات ، يتم تنظيم تطويرها (المراجعة) والشهادة وفقًا لتشريعات الاتحاد الروسي أو تعديل قرارات التصميم . قررنا تطوير واعتماد برنامج FSTEC في روسيا الذي يطبق وظائف تحديد هوية المستخدم والمصادقة والتحكم في الوصول وتسجيل الأحداث الأمنية لاستخدامها المحتمل:

  • في الأنظمة المؤتمتة حتى درجة الأمان 1G شاملة وفقًا لمتطلبات وثيقة التوجيه "الأنظمة الآلية. الحماية من الوصول غير المصرح به إلى المعلومات. تصنيف الأنظمة الآلية ومتطلبات حماية المعلومات "(اللجنة الفنية الحكومية لروسيا ، 1992) ؛
  • 11 2013 . № 17 « , , » 11 2014 . « »;
  • 1 18 2013 . № 21 « ».

المنتج يسمى BarsUP.Access Manager أو BarsUP.AM . سأقوم بإزالة المشكلات المتعلقة بالحصول على قرار من FSTEC وإبرام الاتفاقيات مع معمل الاختبار وهيئة إصدار الشهادات خارج حدود هذه المادة ، وسأشرح كيف قمنا بتطوير برنامج لحماية تطبيقات الويب.

بداية


لقد شكلنا فريقًا يتألف من مدير مشروع ومهندس أمن معلومات ومحلل ومهندس برمجيات واثنين من المطورين الرائدين. أثناء تنفيذ المشروع ، حددنا مراحل العمل التالية:

صورة

في مرحلة التحليل ، قمنا بجمع المتطلبات من الوثائق التنظيمية التي يمكن تنفيذها كأداة أمان للويب ، ثم عملنا مع المطورين على إمكانية تنفيذها من حيث الموارد المستهلكة والوقت. عند مناقشة المتطلبات ، قمنا بترجمة الصياغة من الأفعال القانونية إلى لغة كانت مفهومة للمحللين والمطورين ، وشكلت خريطة طريق: ما الذي يجب تنفيذه في المقام الأول ، وهو اختياري. كتبنا وثائق للحصول على شهادة بالتوازي وبعد تطوير المنتج.

عند الإخراج ، تلقينا منتجًا يحل المهام التالية:

  • (SSO) ;
  • ;
  • ;
  • ;
  • ;
  • .
  • , ;
  • ;
  • () , TOTP ;
  • ;
  • ;
  • () ;
  • ;
  • ;
  • قابلية التوسع الأفقية للنظام بسبب التجميع.

يدعم البرنامج معيارين لتطبيق الدخول الموحّد:

  • لغة ترميز تأكيد الأمان (SAML) ؛
  • OpenID Connect 1.0.

تنفيذ الدخول الموحّد لـ SAML


وفقًا لشروط معيار SAML ، يعمل البرنامج كموفر للهوية (IdP). تعمل أنظمة IP الفرعية كمزودي خدمة (SPs).

الإجراء العام للعمل مع الدخول الموحّد عبر SAML معروض أدناه:

صورة

  1. يحاول المستخدم تنفيذ الوصول عبر الويب إلى التطبيق (SP) ؛
  2. يتحقق التطبيق من وجود سياق أمان ، ويقوم في حالة غيابه بإنشاء رسالة AuthnRequest وإعادة توجيه متصفح المستخدم إلى خادم التفويض BarsUP.AM (IdP) ؛
  3. يتصل المستخدم بخادم التفويض ويدخل بيانات اعتماده ؛
  4. , ;
  5. Response;
  6. , Response. Response .

تبادل الرسائل بين الطرفين في شكل بيانات (تأكيدات) SAML . يتم إرسال مطالبات SAML باستخدام بروتوكول HTTPS الآمن.

يتم إنشاء علاقة ثقة بين موفر هوية IdP وموفري خدمة SP. يتم توقيع رسائل SAML المرسلة ، بما في ذلك AuthRequest و AuthResponse ، باستخدام الشهادات الرقمية SP و IdP ، على التوالي.

يتم توقيع رسالة AuthRequest باستخدام المفتاح الخاص للتطبيق وتسليمها إلى خادم التفويض باستخدام رسائل HTTP Redirect أو HTTP POST أو HTTP Artifact. تحتوي رسالة AuthRequest ، على وجه الخصوص ، على المعلومات التالية:

  • عنوان URL للتطبيق
  • عنوان URL لموفر هوية IdP (خادم مصادقة BarsUP.AM) ؛
  • معرف ووقت إنشاء الطلب.

يتم توقيع رسالة استجابة AuthnResponse باستخدام المفتاح الخاص لخادم التفويض. تحتوي رسالة AuthnResponse ، على وجه الخصوص ، على المعلومات التالية:

  • معرّف طلب AuthRequest الذي يتوافق معه هذا الرد ؛
  • عنوان URL لمعالج الاستجابة
  • الفترة التي تعتبر خلالها الاستجابة صالحة ؛
  • تاريخ ووقت مصادقة المستخدم
  • معرف جلسة المستخدم ؛
  • سمات المستخدم وقيمها.

تطبيق الدخول الموحّد بناءً على OpenID Connect


OpenID Connect هو امتداد مصمم لتوفير تعريف المستخدم والمصادقة من خلال بروتوكول OAuth 2.0.

في عملية تنفيذ الدخول الموحّد باستخدام تقنية OpenID Connect ، يعمل BarsUP.AM كموفر OpenID (موفر OpenID ، OP). تعمل أنظمة المعلومات (أي تطبيقات الويب المستهدفة التي يصل إليها المستخدم) كطرف الاعتماد (RP) ، الذي يستخدم البروتوكول الاختياري لمصادقة المستخدم.

تم وصف تنفيذ الدخول الموحّد عبر OpenID Connect في الشكل أدناه:

صورة

  1. يحاول مستخدم الوصول إلى تطبيق ويب (SP) ؛
  2. يقوم التطبيق بإنشاء طلب كود التفويض (بروتوكول OAuth2.0) وإعادة توجيه متصفح المستخدم إلى خادم التفويض BarsUP.AM (OP) ؛
  3. يدخل المستخدم أوراق اعتماده في OP ؛
  4. OP ;
  5. , OP RP . , Authorization Response, ;
  6. RP OP, (Token Request). TLS;
  7. , OP RP (ID Token, Access Token);
  8. RP .

BarsUP.AM web-


لتجنب الهجمات التي تهدف إلى التحايل على OP أو RP ، يجب عليهم المصادقة المتبادلة.

يدعم BarsUP.AM أساليب المصادقة المحددة في مواصفات OpenID Connect. يعتمد مبدأ تشغيل OpenID Connect و OAuth 2.0 على استخدام رموز التعريف المميزة (رمز مميز ID) والتفويض (رمز الوصول).

سأعطي تنفيذ وظائف الأمن الأساسية في البرمجيات:

  • تعريف المستخدم والمصادقة ؛
  • صلاحية التحكم صلاحية الدخول؛
  • تسجيل الأحداث الأمنية.

مصادقة المستخدم والمصادقة


يتم تنفيذ التعريف والمصادقة في BarsUP.AM بناءً على اسم المستخدم وكلمة المرور. يقوم المستخدم بإدخال بيانات الاعتماد الخاصة به على صفحة ويب مصادقة BarsUP.AM. في هذه الحالة ، يتم إرسال بيانات الاعتماد في شكل آمن عبر بروتوكول HTTPS. لا يُسمح بالوصول إلى التطبيق المستهدف إلا في حالة نجاح المصادقة. وبالتالي ، يتم تحقيق هوية المستخدم والمصادقة مع وصول الويب عن بعد إلى IP.

عند إدخال كلمة المرور ، لا يتم عرض كلمة المرور في نموذج الويب ويتم استبدال كلمة المرور الخاصة. الشخصيات. ونتيجة لذلك ، يتم تنفيذ حماية الملاحظات عند إدخال معلومات المصادقة.

يوفر نهج Password Bars.AM الإعدادات التالية:

  • خوارزمية التجزئة
  • حظر اسم المستخدم في كلمة المرور ؛
  • الحد الأدنى من الأرقام في كلمة المرور ؛
  • الحد الأدنى لطول كلمة المرور ؛
  • الحد الأدنى لعدد الحروف الصغيرة ؛
  • الحد الأدنى لعدد الأحرف الكبيرة ؛
  • الحد الأدنى لعدد الأحرف الخاصة ؛
  • طول محفوظات كلمة المرور ؛
  • تغيير كلمة المرور الإجبارية بعد فترة زمنية معينة ؛
  • تم تغيير الحد الأدنى لعدد الأحرف في كلمة المرور الجديدة.

كما يدعم BarsUP.AM أيضًا مصادقة المستخدم متعدد العوامل (ثنائي العوامل).

صلاحية التحكم صلاحية الدخول


يقوم BarsUP.AM بتطبيق الدعم الآلي لإدارة حساب المستخدم وقفل حساب المستخدم تلقائيًا.

يمكن للمسؤول إنشاء حسابات المستخدمين وتعديلها وحذفها وحظرها وإلغاء حظرها وفقًا لتقديره. يقوم المسؤول بإنشاء حسابات المستخدمين باستخدام وحدة تحكم الويب الخاصة بخادم إدارة BarsUP.AM. عند إنشاء حساب ، يشار إلى الاسم وعنوان البريد الإلكتروني وفترة صلاحية الحساب ، وإذا لزم الأمر ، سمات المستخدم الأخرى. يتم تغيير كلمة المرور من قبل المستخدم عند تسجيل الدخول الأول وفقًا لسياسة كلمة المرور. يمكن تجميع حسابات المستخدمين مع سمات وأذونات مجموعة محددة.

آليات تأمين حساب المستخدم التالية هي:

  • حظر المسؤول ؛
  • الحظر في نهاية الفترة الزمنية المحددة لاستخدام الحساب ؛
  • الحظر بعد فترة من الوقت المحدد لعدم استخدام الحساب ؛
  • الحظر عند تجاوز محاولات تسجيل الدخول غير الناجحة ؛
  • منع عند تجاوز عدد الجلسات المتزامنة.

سيتم إلغاء حظر الحساب من قبل المسؤول أو بعد انقضاء مهلة الحظر (على سبيل المثال ، عندما يتم حظره بسبب تجاوز عدد محاولات تسجيل الدخول الفاشلة).

يقوم BarsUP.AM بتطبيق التحكم في الوصول إلى الموضوعات عند دخول IP. يمكن تعيين أدوار وحقوق لكل مستخدم أو مجموعة مستخدمين في BarsUP.AM. يمكن أن تنطبق الحقوق على نظام معين أو على النطاق بأكمله الذي يتضمن أنظمة (تطبيقات) متعددة. يتم تعيين المعلومات حول الدور والحقوق بواسطة المسؤول ويتم إصلاحها في شكل سمات الوصول.

تسجيل أحداث الأمان


يقوم BarsUP.AM بتنفيذ عملية جمع وتسجيل وتخزين المعلومات حول الأحداث الأمنية أثناء الوصول عن بعد إلى شبكة الإنترنت إلى IP. على وجه الخصوص ، يتم تسجيل الأحداث المتعلقة بتغيير كلمات مرور المستخدم ، وإعداد وحذف حسابات المستخدمين ، وتغيير قواعد التحكم في الوصول وأذونات المستخدم.

يتم تسجيل الأحداث الأمنية في سجل الأحداث. لكل حدث ، يتم تسجيل التاريخ والوقت ونوع الحدث والنظام المتأثر والمستخدم المرتبط بالحدث وعنوان IP للعقدة. يتم استخدام خادم التسجيل لتخزين سجلات الأحداث.

تنقسم الأحداث إلى فئات ، بما في ذلك الأحداث الأمنية وأحداث النظام. يتم منح حقوق عرض سجل الأحداث للمسؤول.

يمكن تخصيص تكوين الأحداث الأمنية لتسجيلها. يتم تسجيل تعريف الأحداث الأمنية التي سيتم تسجيلها وفترات تخزينها في الوثائق التنظيمية والإدارية لحماية المعلومات

مجموع


استغرق المشروع 6 أشهر ، باستثناء وقت الاختبار وعمل هيئة التصديق. الآن ، عند تنفيذ المشاريع لضمان حماية المعلومات في أنظمة المعلومات ، ليس لدينا صداع ، وكيفية حماية تطبيقات الويب.

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles