Единая система сетевой аутентификации и авторизации SNAC

Повышение уровня безопасности сети, замена вендорского решения.

Результаты к 2025 году

Повышена производительность системы – х2,78

Снижено потребление ресурсов – х3

Устройств в банке работает через новую систему авторизации – 100%

Устройств online – 500 000+

Устройств ежемесячно используют систему – 6 000 000+

Система внесена в Российский Реестр программного обеспечения

Поддерживаемые протоколы

Radius – для контроля доступа конечных устройств в корпоративную сеть

TACACS+ - для контроля доступа администраторов к сетевому оборудованию

Поддерживаемые методы для протокола Radius

• Authorize Only
  

• Call-Check

• Login-User c поддержкой LDAP

• EAP-MD5

• EAP-TLS

Поддерживаемые методы для протокола TACACS+

• ASCII

• PAP

• CHAP

Реализация 802.1х

Масштабирование решения - проблема хранения логов для 5млн авторизаций в сутки

Реализация схемы active-active

Разработанная "с нуля" система аутентификации и авторизации оконечных устройств в корпоративной сети по протоколу Radius, а также контроль доступа администраторов по протоколу TACACS.

SberNAC или SNAC - интеллектуальная система контроля доступа, предназначенная для защиты сети на основе профилирования и анализа соответствия политикам безопасности. При каждом подключении конечного устройства или пользователя к сети, SNAC проверяет исходные параметры на наличие необходимых атрибутов и анализирует, какие права доступа необходимо предоставить. Это позволяет автоматически распределять уровень доступа и предотвращать несанкционированное подключение к ресурсам сети.

SNAC использует передовые механизмы аутентификации, включая собственный RADIUS-сервер, анализирует параметры устройства, позволяет легко интегрироваться с другими система безопасности, создавая многослойную защиту корпоративной сети.

SNAC - это централизованное управление доступом пользователей и устройств, прозрачность администрирования и уверенность в безопасности информационной среды.

Требования

Система должна:

• Реализовывать аутентификацию и авторизацию для всех типов подключения

• Поддерживать протоколы Radius и TACACS+

• Иметь возможность горизонтального масштабирования

• Обеспечивать отказоустойчивость

• Легко и дешево дорабатываться

• Функционал богаче чем был

• Запускаться на всем

• Не требуются платные продукты для работы

На чем можем работать технологическая независимость

Платформа:

·       Без привязки к вендору и оборудованию. Есть возможность сборки дистрибутива для x86 и RISK

·       Возможность запуска на разных версиях Linux

·       Возможность запуска на физических и виртуальных серверах

·       Работа в режиме standalone или cluster

Сервисы

• Отсутствие необходимости в платных решениях для работы системы

• Open Source с большим и активным community

• Распространенные решения, для упрощения поддержки

Полезные функции

• Настройка профилей конечных устройств на базе DHCP атрибутов

• Возможность формирования и скачивания отчетов

• Snapshot для политик 

• Поддержка разных вендоров сетевого оборудования

• Возможность добавления новых словарей Radius

• Возможность настройки системы и сервисов из web интерфейса

• API для автоматизации

• Настройка отправки syslog во внешние системы

• Мониторинг системы

Россия