Привет, Хабр! Это Алексей Деев, backend-разработчик в компании Avanpost. В этой статье я коротко расскажу о мире параллельной обработки данных с помощью акторной модели, приведу примеры кода на разных реализациях акторов под .net.

Привет, Хабр!
В этой статье мы расскажем, как работают современные системы управления доступом, и какие преимущества получает организация при использовании системы IAM Avanpost FAM и MFA+ вместе с аутентификаторами Рутокен.

Для построения базового сценария внедрения многофакторной аутентификации необходимы:
— поддержка современных методов многофакторной аутентификации в целевых прикладных сервисах и ПО, где обрабатывается чувствительная информация;
— программные или аппаратные средства для многофакторной аутентификации у пользователя. В случае использования аппаратных устройств их называют аутентификаторами.

Компания «Актив» производит три устройства, использующие три основные технологии многофакторной аутентификации:

Рутокен ЭЦП 3.0 — универсальный аутентификатор на основе технологии инфраструктуры открытых ключей (PKI). Может работать как аутентификатор и одновременно являться средством электронной подписи.

Рутокен OTP — аппаратное средство для генерации криптографически вычисляемых одноразовых паролей (алгоритм TOTP).

Рутокен MFA — первый отечественный USB-токен на базе технологии FIDO2. Технология MFA позволяет полностью отказаться от ненадежных паролей при работе с веб-приложениями, обеспечивая при этом строгую и надежную аутентификацию.

(Cпойлер) Преимущества аутентификаторов Рутокен

Аутентификаторы Рутокен:

Привет, Хабр! Меня зовут Александр Щербаков. Расскажу, как системы Privileged Access Management помогают контролировать действия привилегированных пользователей (таких как системные администраторы, управленцы, девопсы и проч.) с помощью сигнатурного анализа. Привилегированные пользователи обладают расширенным доступом к инфраструктуре. Их ошибки, небрежность или недобросовестные действия могут нанести организации большой вред.

Привет, Хабр! На связи Дмитрий Грудинин, ваш гуру многофакторной аутентификации.  Почва для размышления на сегодня: легко ли уследить за правами доступа, когда в компании работают тысячи сотрудников, используется множество ролей, а количество систем насчитывает десятки, и даже сотни?.. 

Рынок решений по ИБ предлагает 100500 аббревиатур:  IDM, IAM, IAG, DAG, etc. Давайте вспомним (ну или запомним) самые распространенные из них:

PAM (Privileged Access Management):

Всем привет!

Мы в Avanpost поставили перед собой амбициозную цель: предложить рынку инновационный продукт, который обеспечит высокий уровень защиты за счет проактивного реагирования на угрозы. Кроме того, у нас есть стратегическое желание усилить линейку фокусирующихся на управлении доступом продуктов. В этом году мы анонсировали Avanpost SmartPAM – систему управления привилегированным доступом.  Сейчас мы нацелены на предоставление эффективных инструментов для управления привилегированным доступом, способствующих снижению рисков и повышению уровня безопасности информационных систем в целом.

О мотивации поговорили, давайте переходить к заявленной теме – как устроена наша система.

Расскажем о том, как мы используем BadgerDB в качестве базы данных для LDAP-каталога, также вспомним технические основы LDAP и обсудим критерии выбра BadgerDB для наших целей.

Привет, Хабр. На связи снова Avanpost. В этой статье мы решили поговорить про управление рисками доступа в привязке к решениям класса Identity Management/Identity Governance. Сам класс решений на Хабре освещен достаточно хорошо, в том числе, стараниями уважаемых конкурентов, но данная тема затронута слабо. И, как нам кажется, зря. Развитие западных решений и повторный виток интереса на западном рынке к классу обеспечены, в том числе, выходом этого функционала из статуса экспериментального на продуктивное плато.

В компании Avanpost мы занимаемся разработкой собственной службы каталогов Avanpost DS. Она плотно интегрируется с Microsoft Active Directory для обеспечения долговременного сосуществования инфраструктур: поддерживает различные виды доверительных отношений, включая двусторонние, специфичные расширения Kerberos и еще много закрытых функций, имплементация которых требует глубокого понимания устройства доменных служб MS. Для их реализации нам пришлось изучить множество документации, а кое-где и прибегнуть к реверс-инжинирингу. Соответственно, сейчас мы следим за изменениями, которые вносит MS в свой продукт и, в особенности, за изменениями в области безопасности, ведь чаще всего именно они приводят к нарушению работоспособности интеграций. 

Наткнувшись на статью Giulio Pierantoni на Medium, мы не смогли пройти мимо и решили поделиться ей с русскоязычным сообществом.

В предыдущей статье мы рассмотрели взаимодействие с VMware с помощью Python. В этой же обсудим взаимодействие с VMware с помощью Ansible.

Ansible — система управления конфигурациями, написанная на языке программирования Python с использованием декларативного языка разметки для описания конфигураций. Про Ansible на Хабре уже есть множество статей, но стоит еще раз упомянуть, что одним из ключевых свойств playbook'a является идемпотентность. Это значит, что сколько бы раз подряд вы не запускали свой playbook, результат будет один и тот же.

Аутентификация в ASP.Net (Core) — тема довольно избитая, казалось бы, о чем тут еще можно писать. Но по какой-то причине за бортом остается небольшой кусочек — сквозная доменная аутентификация (ntlm, kerberos). Да, когда мы свое приложение хостим на IIS, все понятно — он за нас делает всю работу, а мы просто получаем пользователя из контекста. А что делать, если приложение написано под .Net Core, хостится на Linux машине за Nginx, а заказчик при этом предъявляет требования к прозрачной аутентификации для доменных пользователей? Очевидно, что IIS нам тут сильно не поможет. Ниже я расскажу, как можно данную задачу решить c минимальными трудозатратами. Написанное актуально для .Net Core версии 2.0-2.2. Скорее всего, будет работать на версии 3 и с той же вероятностью не будет работать на версии 1. Делаю оговорку на версионность, поскольку .Net Core довольно активно развивается, и частенько методы, сервисы, зависимости могут менять имена, местоположение, сигнатуры или вообще пропадать.

Что такое Kerberos, и как это работает, кратко можно прочитать в Wiki. В нашей задаче Kerberos в паре с keytab файлом дает возможность приложению на Linux сервере (на Windows, само собой, тоже), который не требуется включать в домен, пропускать сквозной аутентификацией пользователей на windows-клиентах.

Ace (Ajax.org Cloud9 Editor) — популярный редактор кода для веб-приложений. У него есть как плюсы, так и минусы. Одно из больших преимуществ библиотеки — возможность использования пользовательских сниппетов и подсказок. Однако, это не самая тривиальная задача, к тому же не очень хорошо документированная. Мы активно используем редактор в своих продуктах и решили поделиться рецептом с сообществом.

Всем привет!

Мы решили поддержать тему миграции проекта, использующего Windows Workflow Foundation на .Net Core, которую начали коллеги из DIRECTUM, поскольку столкнулись с аналогичной задачей пару лет назад и пошли собственным путем.