SSO+MFA+IDM+PAM em um único ecossistema: Magnus ID e o primeiro caso de uso - módulo MFA
A Magnus Tech apresenta o Magnus ID, uma solução que integra SSO, MFA, IDM e PAM em um único ecossistema, simplificando a segurança corporativa. O artigo detalha a arquitetura, os módulos e um estudo de caso real, demonstrando como a solução pode reduzir custos e riscos de segurança.
MundiX News·01 de junho de 2026·8 min de leitura·👁 12 views
8K+
Alcance em 30 dias
Magnus Tech
66,69
Classificação
187
Assinantes
Assinar
full_moon
57 minutos atrás
SSO+MFA+IDM+PAM em um único ecossistema. Complexo Magnus ID e o primeiro caso de uso - módulo MFA
8 min
2.6K
Blog da Magnus Tech
Segurança da Informação
*
Administração de Sistemas
*
Tecnologias de Rede
*
Infraestrutura de TI
*
Quanto mais ferramentas de segurança você compra, mais difícil é administrá-las: SSO para login, MFA para confirmação, IDM para gerenciamento de direitos, PAM para controle de acesso a recursos de rede. Quatro produtos, quatro fornecedores, quatro consoles. E quatro suportes técnicos com os quais você precisa interagir. As integrações levam meses e podem "cair" ou perder dados, a atualização de um componente quebra a conexão com os demais, e os profissionais de segurança, em vez de proteger a infraestrutura, domam esse zoológico.
Nós nos cansamos de ver os clientes sofrerem e combinamos todas as quatro classes de soluções em um único ecossistema. Abaixo, como o Magnus ID é estruturado por dentro, exemplos de implementação e números concretos de economia.
Como o conceito Magnus ID nasceu
Antes de entrar em detalhes, vamos sincronizar a terminologia. No "zoológico" de ferramentas de proteção de redes corporativas, quatro classes de soluções estão estabelecidas há muito tempo. Elas geralmente vivem em janelas de navegador ou clientes diferentes, exigem licenças diferentes e são administradas por pessoas diferentes:
Sistemas de Single Sign-On e autenticação (SSO).
Sistemas de autenticação multifator (MFA).
Sistemas de gerenciamento de identidade e acesso (IDM).
Sistemas de controle de acesso privilegiado para administradores, desenvolvedores, etc. (PAM).
Por muito tempo, os desenvolvedores russos olharam para esse segmento com cautela: competir com gigantes globais parecia uma loucura. Mas após o "grande êxodo" de fornecedores estrangeiros, o mercado começou a ser preenchido com análogos domésticos. Surgiram ótimos MFAs, bons PAMs e uma série de IDMs.
Hoje, o principal problema não é nem a escolha de soluções específicas, mas sua integração.
Imagine que você está montando um modelo de navio usando peças de diferentes conjuntos. O casco é de Lego, os mastros são de plasticina, as velas são de origami - e tudo isso precisa ser colado com fita adesiva azul.
Quando uma empresa adquire quatro soluções diferentes, ela enfrenta uma tarefa semelhante. Os administradores recebem quatro faturas de licença, quatro interfaces de gerenciamento e quatro serviços de suporte técnico.
Quando vários clientes vieram até nós com essa dor, pensamos: por que não combinar essas ferramentas? A ideia estava na superfície, mas não havia um produto híbrido "tudo em um" no mercado. Assim começou o desenvolvimento do Magnus ID.
Por que um ecossistema é melhor que um zoológico
Já na fase da ideia, as vantagens dessa abordagem para os negócios ficaram claras.
Integração pronta para uso.
A equipe de segurança da informação não precisa integrar quatro soluções separadas entre si. Os componentes usam objetos comuns por padrão e fornecem uma única interface.
Interface unificada.
Mesmo uma nova interface de gerenciamento é frequentemente percebida como um painel de controle de uma espaçonave. Se vários sistemas forem implementados de uma vez, é hora de pegar um tambor xamânico. Afinal, não se trata apenas do botão "Iniciar". É também a lógica relacionada ao gerenciamento de acesso, autenticação, emissão e bloqueio de contas, etc. Tudo isso está ligado ao aplicativo, integrações entre sistemas (IDM-PAM, IDM-MFA, MFA-PAM), notificações. Outra questão é quando quatro sistemas têm uma interface, que para um usuário comum e o chefe de segurança da informação difere apenas no número de ações disponíveis.
Atualizações unificadas.
É mais fácil atualizar uma solução do que quatro. Especialmente quando todos os agentes, serviços e protocolos suportados são atualizados automaticamente. E você não precisa se preocupar com novas versões quebrando integrações existentes ou excluindo dados importantes.
Suporte técnico centralizado.
Este é o trunfo de qualquer produto da classe Enterprise. Os usuários precisam ter certeza de que não serão abandonados. Além disso, em vez de interagir com vários serviços de suporte, tudo pode ser obtido em uma única janela.
O que está sob o capô
Arquiteturalmente, o Magnus ID é um servidor que se integra a sistemas de autenticação e fornece uma API para aplicativos cliente. Toda a arquitetura é construída em microsserviços, que se assemelham a peças de um construtor. Ao combinar seus recursos, implementamos várias funções.
O software Magnus ID é dividido em vários módulos.
Módulos principais
Magnus ID: Core - o núcleo e o console de gerenciamento. Garante a interação entre os módulos e soluções externas usando um broker de filas, cache de dados, etc. Todos os outros componentes são sobrepostos a ele, como em uma fundação. Juntamente com o núcleo, um serviço de autenticação com suporte a OIDC (OpenID Connect) é fornecido.
Magnus ID Access. Access é responsável por gerenciar o acesso dos usuários aos recursos de destino: controle de contas e alterações nelas, bloqueios operacionais. Em suma, o módulo fornece funções de Gerenciamento de Identidade.
Magnus ID: Control (atualmente em desenvolvimento).
É uma solução PAM para garantir o controle de sessões de administradores ao se conectar a RDP, SSH, VNC ou bancos de dados.
Magnus ID: Auth é um servidor de autenticação multifator que protege sistemas corporativos. Os agentes e serviços do módulo Magnus ID: Auth são responsáveis pela autenticação multifator:
WinLogon fornece o segundo fator em sistemas modernos Microsoft Windows;
RADIUS-proxy ajuda a implementar o segundo fator de autenticação para a rede corporativa, por exemplo, ao conectar funcionários a uma VPN;
O RADIUS-Proxy também possui um modo RADIUS Server com verificação de autenticação em diretórios LDAP/domínios Active Directory conectados;
LDAP Proxy fornece o segundo fator para autenticação de domínio via Active Directory;
Para sistemas Linux, suportamos recursos integrados para trabalhar com autenticação multifator baseada em RADIUS (são bibliotecas pam_*);
Para sistemas Mac OS, a autenticação de dois fatores também é suportada via RADIUS.
Aplicativo "Magnus ID-passe digital". Um aplicativo clássico para sincronização e trabalho com códigos TOTP. O aplicativo é gratuito, assim como FreeOTP, Yandex.Key, Google Authenticator, etc. Ao mesmo tempo, o Magnus ID implementa a criptografia de segredos TOTP com um comprimento de chave de até 512 bits. E quando usado em conjunto com o complexo Magnus ID, a função de notificações PUSH é ativada no aplicativo para facilitar a confirmação da identidade (segundo fator) pelo funcionário. Afinal, é mais fácil clicar em "Sim, sou eu" do que inserir códigos de seis dígitos.
O aplicativo está disponível para smartphones Android no Google Play e para iPhone na App Store.
Principais tecnologias
Agora, vamos dar uma olhada rápida nas tecnologias que usamos. Todo o código é escrito em Java - essa linguagem é a mais adequada para aplicativos de negócios, então somos Javaístas convictos. O Magnus ID usa Spring Boot e Spring Framework, brokers de mensagens Kafka e RabbitMQ, JOOQ e outras bibliotecas para trabalhar com DBMS, bem como JNDI para gerenciar nomes e atributos de objetos em diretórios. C#, C++ são usados ao trabalhar com bibliotecas e sistemas de baixo nível.
Essa pilha se encaixa bem em microsserviços, contêineres, caches modernos e bancos de dados NoSQL. Isso fornece alto desempenho por unidade de energia e monitoramento de carga claro.
Dou um exemplo da prática. Recentemente, testamos um recurso que sobrecarrega muito o sistema e exige alta velocidade de interação com os usuários. Tentamos derrubar o serviço - mas ele não caiu e continuou funcionando, embora tenha desacelerado.
Ao mesmo tempo, o complexo foi implantado em uma máquina com um processador, um gigabyte de RAM e 5 GB de armazenamento para tudo, incluindo logs. Um smartphone médio em comparação com isso parecerá um supercomputador.
Casos de uso do Magnus ID: Auth (módulo de autenticação multifator)
Para não sermos vazios, vamos considerar um exemplo específico da implementação de nosso ecossistema. Os detalhes do projeto são protegidos por NDA, então faremos sem nomes e nomes.
Estudo de caso real: grande holding
A empresa possui recursos de notícias e entretenimento populares. As pedras angulares foram a necessidade de gerenciamento de acesso, proteção contra vetores de ataque com credenciais (TA0006 MITRE) e controle de sessões de contratados que têm acesso à rede corporativa.
Proteção contra ataques por meio de cadeias de suprimentos
Tais ataques são a praga dos últimos cinco anos. O cenário usual: o contratado recebeu acesso ao sistema, e os invasores "roubaram" sua conta, realizaram movimento horizontal e chegaram a dados valiosos da empresa. Mesmo "cidadelas digitais" impenetráveis com dez perímetros de proteção não salvam de tais esquemas.
A autenticação de dois fatores no Magnus ID se tornou uma barreira adicional dentro da infraestrutura. Mesmo que um invasor obtenha uma conta, 2FA com a pergunta "É realmente você?" estará em seu caminho. Informações sobre tentativas de login malsucedidas, tempos limite ao inserir confirmações 2FA são enviadas para o SIEM. Se a conta do contratado for roubada, ele verá notificações no aplicativo sobre tentativas de login em seu nome e clicará em "Não, não sou eu". Esse sinal voa instantaneamente para o SIEM como um aviso.
Autenticação do primeiro fator por meios próprios
Esta é uma modificação específica para as necessidades do cliente. O Magnus ID possui uma função de proxy de solicitações de autenticação de rede (RADIUS Proxy). Mas nós e o cliente decidimos ir mais longe: o sistema não envia solicitações para o Radius existente (por exemplo, Microsoft NPS), mas verifica as credenciais do usuário - nos serviços de diretório. Na verdade, o Magnus ID executa as tarefas de um servidor RADIUS. Sim, isso complicou a lógica do aplicativo e o modelo de segurança. Mas a empresa reduziu seu "zoológico" de ISF (ferramentas de proteção de informações) em uma solução especializada.
O módulo RADIUS, ao contrário de outras soluções, pode funcionar com segurança com valores longos de serviços de diretório (muitos outros fornecedores enfrentam essa restrição). Além disso, no momento da publicação deste material - com uma grande probabilidade - a verificação da autenticação de domínio também será implementada diretamente dos gateways, VPNs e, se necessário, de dispositivos de rede. Mas isso definitivamente não é sobre sistemas da classe MFA, mas sobre algum tipo de zero-trust já entediante. Quase como firewalls com o prefixo Next Generation.
Cobertura de sistemas Windows (a partir do Windows 8.1 e até as versões H22)
Tais tarefas são resolvidas com a ajuda do agente Windows Logon. O agente funciona com as ferramentas nativas do Windows, mas, ao contrário de muitos, não possui código-fonte aberto. Afinal, qualquer nível "baixo" de programação pode indicar a um potencial invasor com redes neurais uma maneira de obter acesso ao sistema.
Autenticação via Windows Logon
A propósito, uma das principais características do complexo e suas funções é a ausência de contas ocultas, todos os tipos de códigos e senhas "para o caso". Em artigos subsequentes, abriremos a cortina do trabalho do complexo no modo de tolerância a falhas, incluindo a ausência do modo bypass padrão (nota - ignorar sem inserir o segundo fator).
Controle de proxy LDAP e autenticação de domínio
O sistema permite rastrear quem está se autenticando no "mecanismo há muito compreendido". Afinal, o mecanismo que confia em tokens com 90 dias de duração só pode ser considerado confiável por especialistas em TI, e mesmo assim, raramente.
Cobertura com o segundo fator de muitos sistemas da organização
Outro componente importante é o agente AD FS. Conhecendo as especificidades desta solução e seus protocolos, você pode entrar no amplo conjunto de sistemas da empresa. Por que não cobrir esta parte da infraestrutura corporativa com o segundo fator, que certamente interromperá os invasores mesmo no estágio de seleção de chaves e tokens?
E agora imagine quanto trabalho teria que ser feito ao integrar MFAs, IDMs, PAMs separados para criar objetos e a lógica geral do sistema. Adicione a isso o custo de manutenção das atualizações, que no IDM são medidas em milhões e milhões.
Graças ao Magnus ID, todas essas despesas e dificuldades podem ser evitadas, pois cada módulo funciona em estreita colaboração com os outros antes mesmo do lançamento do projeto.
Evitando perdas e riscos relacionados a vazamentos de dados
Agora, vamos lembrar de um caso sensacional com um grande operador turístico russo, que, infelizmente, não tinha o Magnus ID, e discutir como nosso ecossistema ajudaria a evitar consequências indesejadas para os negócios.
Então, a conta de um funcionário foi hackeada e os dados pessoais de milhares de clientes vazaram. Os invasores entraram na rede sob a conta hackeada, realizaram movimento horizontal, deixaram agentes C2 e, um mês depois, bombearam informações dos bancos de dados. Vazaram nomes, contatos, dados de passaporte, informações sobre parentes, histórico de viagens. Até detalhes picantes da vida de celebridades surgiram. A agência de turismo sofreu enormes perdas materiais e de reputação, além de processo criminal.
E agora vamos imaginar que nosso sistema foi usado na empresa. O funcionário foi hackeado ou ele mesmo entregou a conta. Ao tentar entrar no e-mail corporativo, o segundo fator é solicitado. Se o funcionário inseriu o 2FA, então ele está quase certamente envolvido. Suponha que o funcionário tenha recorrido a um truque e declarado o roubo do telefone. Nessas situações, o segundo fator é redefinido imediatamente. O invasor não poderá inseri-lo após entrar na rede. Três tentativas malsucedidas - e a notificação voa para os profissionais de segurança. O sistema soa o alarme, a conta é bloqueada com urgência. O ataque é repelido, o "toupeira" é trazido à tona, os dados dos clientes estão seguros.
Em vez de conclusão
Não inventamos novas abreviações - SSO, MFA, IDM e PAM existem há muito tempo. Mas, por alguma razão, essas ferramentas ainda vivem em consoles diferentes, exigem licenças separadas e não se encaixam bem umas nas outras. O Magnus ID é uma solução que permite construir proteção em uma única janela e reduzir custos.
A frente é o lançamento do módulo PAM, módulo IDM, novas integrações. Mas as primeiras implementações mostraram que a abordagem 3 em 1 funciona.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
8K+
Alcance em 30 dias
Magnus Tech
66,69
Classificação
187
Assinantes
Assinar
full_moon
57 minutos atrás
SSO+MFA+IDM+PAM em um único ecossistema. Complexo Magnus ID e o primeiro caso de uso - módulo MFA
8 min
2.6K
Blog da Magnus Tech
Segurança da Informação
*
Administração de Sistemas
*
Tecnologias de Rede
*
Infraestrutura de TI
*
Quanto mais ferramentas de segurança você compra, mais difícil é administrá-las: SSO para login, MFA para confirmação, IDM para gerenciamento de direitos, PAM para controle de acesso a recursos de rede. Quatro produtos, quatro fornecedores, quatro consoles. E quatro suportes técnicos com os quais você precisa interagir. As integrações levam meses e podem "cair" ou perder dados, a atualização de um componente quebra a conexão com os demais, e os profissionais de segurança, em vez de proteger a infraestrutura, domam esse zoológico.
Nós nos cansamos de ver os clientes sofrerem e combinamos todas as quatro classes de soluções em um único ecossistema. Abaixo, como o Magnus ID é estruturado por dentro, exemplos de implementação e números concretos de economia.
Como o conceito Magnus ID nasceu
Antes de entrar em detalhes, vamos sincronizar a terminologia. No "zoológico" de ferramentas de proteção de redes corporativas, quatro classes de soluções estão estabelecidas há muito tempo. Elas geralmente vivem em janelas de navegador ou clientes diferentes, exigem licenças diferentes e são administradas por pessoas diferentes:
Sistemas de Single Sign-On e autenticação (SSO).
Sistemas de autenticação multifator (MFA).
Sistemas de gerenciamento de identidade e acesso (IDM).
Sistemas de controle de acesso privilegiado para administradores, desenvolvedores, etc. (PAM).
Por muito tempo, os desenvolvedores russos olharam para esse segmento com cautela: competir com gigantes globais parecia uma loucura. Mas após o "grande êxodo" de fornecedores estrangeiros, o mercado começou a ser preenchido com análogos domésticos. Surgiram ótimos MFAs, bons PAMs e uma série de IDMs.
Hoje, o principal problema não é nem a escolha de soluções específicas, mas sua integração.
Imagine que você está montando um modelo de navio usando peças de diferentes conjuntos. O casco é de Lego, os mastros são de plasticina, as velas são de origami - e tudo isso precisa ser colado com fita adesiva azul.
Quando uma empresa adquire quatro soluções diferentes, ela enfrenta uma tarefa semelhante. Os administradores recebem quatro faturas de licença, quatro interfaces de gerenciamento e quatro serviços de suporte técnico.
Quando vários clientes vieram até nós com essa dor, pensamos: por que não combinar essas ferramentas? A ideia estava na superfície, mas não havia um produto híbrido "tudo em um" no mercado. Assim começou o desenvolvimento do Magnus ID.
Por que um ecossistema é melhor que um zoológico
Já na fase da ideia, as vantagens dessa abordagem para os negócios ficaram claras.
Integração pronta para uso.
A equipe de segurança da informação não precisa integrar quatro soluções separadas entre si. Os componentes usam objetos comuns por padrão e fornecem uma única interface.
Interface unificada.
Mesmo uma nova interface de gerenciamento é frequentemente percebida como um painel de controle de uma espaçonave. Se vários sistemas forem implementados de uma vez, é hora de pegar um tambor xamânico. Afinal, não se trata apenas do botão "Iniciar". É também a lógica relacionada ao gerenciamento de acesso, autenticação, emissão e bloqueio de contas, etc. Tudo isso está ligado ao aplicativo, integrações entre sistemas (IDM-PAM, IDM-MFA, MFA-PAM), notificações. Outra questão é quando quatro sistemas têm uma interface, que para um usuário comum e o chefe de segurança da informação difere apenas no número de ações disponíveis.
Atualizações unificadas.
É mais fácil atualizar uma solução do que quatro. Especialmente quando todos os agentes, serviços e protocolos suportados são atualizados automaticamente. E você não precisa se preocupar com novas versões quebrando integrações existentes ou excluindo dados importantes.
Suporte técnico centralizado.
Este é o trunfo de qualquer produto da classe Enterprise. Os usuários precisam ter certeza de que não serão abandonados. Além disso, em vez de interagir com vários serviços de suporte, tudo pode ser obtido em uma única janela.
O que está sob o capô
Arquiteturalmente, o Magnus ID é um servidor que se integra a sistemas de autenticação e fornece uma API para aplicativos cliente. Toda a arquitetura é construída em microsserviços, que se assemelham a peças de um construtor. Ao combinar seus recursos, implementamos várias funções.
O software Magnus ID é dividido em vários módulos.
Módulos principais
Magnus ID: Core - o núcleo e o console de gerenciamento. Garante a interação entre os módulos e soluções externas usando um broker de filas, cache de dados, etc. Todos os outros componentes são sobrepostos a ele, como em uma fundação. Juntamente com o núcleo, um serviço de autenticação com suporte a OIDC (OpenID Connect) é fornecido.
Magnus ID Access. Access é responsável por gerenciar o acesso dos usuários aos recursos de destino: controle de contas e alterações nelas, bloqueios operacionais. Em suma, o módulo fornece funções de Gerenciamento de Identidade.
Magnus ID: Control (atualmente em desenvolvimento).
É uma solução PAM para garantir o controle de sessões de administradores ao se conectar a RDP, SSH, VNC ou bancos de dados.
Magnus ID: Auth é um servidor de autenticação multifator que protege sistemas corporativos. Os agentes e serviços do módulo Magnus ID: Auth são responsáveis pela autenticação multifator:
WinLogon fornece o segundo fator em sistemas modernos Microsoft Windows;
RADIUS-proxy ajuda a implementar o segundo fator de autenticação para a rede corporativa, por exemplo, ao conectar funcionários a uma VPN;
O RADIUS-Proxy também possui um modo RADIUS Server com verificação de autenticação em diretórios LDAP/domínios Active Directory conectados;
LDAP Proxy fornece o segundo fator para autenticação de domínio via Active Directory;
Para sistemas Linux, suportamos recursos integrados para trabalhar com autenticação multifator baseada em RADIUS (são bibliotecas pam_*);
Para sistemas Mac OS, a autenticação de dois fatores também é suportada via RADIUS.
Aplicativo "Magnus ID-passe digital". Um aplicativo clássico para sincronização e trabalho com códigos TOTP. O aplicativo é gratuito, assim como FreeOTP, Yandex.Key, Google Authenticator, etc. Ao mesmo tempo, o Magnus ID implementa a criptografia de segredos TOTP com um comprimento de chave de até 512 bits. E quando usado em conjunto com o complexo Magnus ID, a função de notificações PUSH é ativada no aplicativo para facilitar a confirmação da identidade (segundo fator) pelo funcionário. Afinal, é mais fácil clicar em "Sim, sou eu" do que inserir códigos de seis dígitos.
O aplicativo está disponível para smartphones Android no Google Play e para iPhone na App Store.
Principais tecnologias
Agora, vamos dar uma olhada rápida nas tecnologias que usamos. Todo o código é escrito em Java - essa linguagem é a mais adequada para aplicativos de negócios, então somos Javaístas convictos. O Magnus ID usa Spring Boot e Spring Framework, brokers de mensagens Kafka e RabbitMQ, JOOQ e outras bibliotecas para trabalhar com DBMS, bem como JNDI para gerenciar nomes e atributos de objetos em diretórios. C#, C++ são usados ao trabalhar com bibliotecas e sistemas de baixo nível.
Essa pilha se encaixa bem em microsserviços, contêineres, caches modernos e bancos de dados NoSQL. Isso fornece alto desempenho por unidade de energia e monitoramento de carga claro.
Dou um exemplo da prática. Recentemente, testamos um recurso que sobrecarrega muito o sistema e exige alta velocidade de interação com os usuários. Tentamos derrubar o serviço - mas ele não caiu e continuou funcionando, embora tenha desacelerado.
Ao mesmo tempo, o complexo foi implantado em uma máquina com um processador, um gigabyte de RAM e 5 GB de armazenamento para tudo, incluindo logs. Um smartphone médio em comparação com isso parecerá um supercomputador.
Casos de uso do Magnus ID: Auth (módulo de autenticação multifator)
Para não sermos vazios, vamos considerar um exemplo específico da implementação de nosso ecossistema. Os detalhes do projeto são protegidos por NDA, então faremos sem nomes e nomes.
Estudo de caso real: grande holding
A empresa possui recursos de notícias e entretenimento populares. As pedras angulares foram a necessidade de gerenciamento de acesso, proteção contra vetores de ataque com credenciais (TA0006 MITRE) e controle de sessões de contratados que têm acesso à rede corporativa.
Proteção contra ataques por meio de cadeias de suprimentos
Tais ataques são a praga dos últimos cinco anos. O cenário usual: o contratado recebeu acesso ao sistema, e os invasores "roubaram" sua conta, realizaram movimento horizontal e chegaram a dados valiosos da empresa. Mesmo "cidadelas digitais" impenetráveis com dez perímetros de proteção não salvam de tais esquemas.
A autenticação de dois fatores no Magnus ID se tornou uma barreira adicional dentro da infraestrutura. Mesmo que um invasor obtenha uma conta, 2FA com a pergunta "É realmente você?" estará em seu caminho. Informações sobre tentativas de login malsucedidas, tempos limite ao inserir confirmações 2FA são enviadas para o SIEM. Se a conta do contratado for roubada, ele verá notificações no aplicativo sobre tentativas de login em seu nome e clicará em "Não, não sou eu". Esse sinal voa instantaneamente para o SIEM como um aviso.
Autenticação do primeiro fator por meios próprios
Esta é uma modificação específica para as necessidades do cliente. O Magnus ID possui uma função de proxy de solicitações de autenticação de rede (RADIUS Proxy). Mas nós e o cliente decidimos ir mais longe: o sistema não envia solicitações para o Radius existente (por exemplo, Microsoft NPS), mas verifica as credenciais do usuário - nos serviços de diretório. Na verdade, o Magnus ID executa as tarefas de um servidor RADIUS. Sim, isso complicou a lógica do aplicativo e o modelo de segurança. Mas a empresa reduziu seu "zoológico" de ISF (ferramentas de proteção de informações) em uma solução especializada.
O módulo RADIUS, ao contrário de outras soluções, pode funcionar com segurança com valores longos de serviços de diretório (muitos outros fornecedores enfrentam essa restrição). Além disso, no momento da publicação deste material - com uma grande probabilidade - a verificação da autenticação de domínio também será implementada diretamente dos gateways, VPNs e, se necessário, de dispositivos de rede. Mas isso definitivamente não é sobre sistemas da classe MFA, mas sobre algum tipo de zero-trust já entediante. Quase como firewalls com o prefixo Next Generation.
Cobertura de sistemas Windows (a partir do Windows 8.1 e até as versões H22)
Tais tarefas são resolvidas com a ajuda do agente Windows Logon. O agente funciona com as ferramentas nativas do Windows, mas, ao contrário de muitos, não possui código-fonte aberto. Afinal, qualquer nível "baixo" de programação pode indicar a um potencial invasor com redes neurais uma maneira de obter acesso ao sistema.
Autenticação via Windows Logon
A propósito, uma das principais características do complexo e suas funções é a ausência de contas ocultas, todos os tipos de códigos e senhas "para o caso". Em artigos subsequentes, abriremos a cortina do trabalho do complexo no modo de tolerância a falhas, incluindo a ausência do modo bypass padrão (nota - ignorar sem inserir o segundo fator).
Controle de proxy LDAP e autenticação de domínio
O sistema permite rastrear quem está se autenticando no "mecanismo há muito compreendido". Afinal, o mecanismo que confia em tokens com 90 dias de duração só pode ser considerado confiável por especialistas em TI, e mesmo assim, raramente.
Cobertura com o segundo fator de muitos sistemas da organização
Outro componente importante é o agente AD FS. Conhecendo as especificidades desta solução e seus protocolos, você pode entrar no amplo conjunto de sistemas da empresa. Por que não cobrir esta parte da infraestrutura corporativa com o segundo fator, que certamente interromperá os invasores mesmo no estágio de seleção de chaves e tokens?
E agora imagine quanto trabalho teria que ser feito ao integrar MFAs, IDMs, PAMs separados para criar objetos e a lógica geral do sistema. Adicione a isso o custo de manutenção das atualizações, que no IDM são medidas em milhões e milhões.
Graças ao Magnus ID, todas essas despesas e dificuldades podem ser evitadas, pois cada módulo funciona em estreita colaboração com os outros antes mesmo do lançamento do projeto.
Evitando perdas e riscos relacionados a vazamentos de dados
Agora, vamos lembrar de um caso sensacional com um grande operador turístico russo, que, infelizmente, não tinha o Magnus ID, e discutir como nosso ecossistema ajudaria a evitar consequências indesejadas para os negócios.
Então, a conta de um funcionário foi hackeada e os dados pessoais de milhares de clientes vazaram. Os invasores entraram na rede sob a conta hackeada, realizaram movimento horizontal, deixaram agentes C2 e, um mês depois, bombearam informações dos bancos de dados. Vazaram nomes, contatos, dados de passaporte, informações sobre parentes, histórico de viagens. Até detalhes picantes da vida de celebridades surgiram. A agência de turismo sofreu enormes perdas materiais e de reputação, além de processo criminal.
E agora vamos imaginar que nosso sistema foi usado na empresa. O funcionário foi hackeado ou ele mesmo entregou a conta. Ao tentar entrar no e-mail corporativo, o segundo fator é solicitado. Se o funcionário inseriu o 2FA, então ele está quase certamente envolvido. Suponha que o funcionário tenha recorrido a um truque e declarado o roubo do telefone. Nessas situações, o segundo fator é redefinido imediatamente. O invasor não poderá inseri-lo após entrar na rede. Três tentativas malsucedidas - e a notificação voa para os profissionais de segurança. O sistema soa o alarme, a conta é bloqueada com urgência. O ataque é repelido, o "toupeira" é trazido à tona, os dados dos clientes estão seguros.
Em vez de conclusão
Não inventamos novas abreviações - SSO, MFA, IDM e PAM existem há muito tempo. Mas, por alguma razão, essas ferramentas ainda vivem em consoles diferentes, exigem licenças separadas e não se encaixam bem umas nas outras. O Magnus ID é uma solução que permite construir proteção em uma única janela e reduzir custos.
A frente é o lançamento do módulo PAM, módulo IDM, novas integrações. Mas as primeiras implementações mostraram que a abordagem 3 em 1 funciona.
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
