Device Trust · On-prem · Keycloak / Authentik
Пароль подтверждает человека.
TrustFlare — его устройство.
Дополнительный этап входа в ваш self-hosted SSO: в корпоративные системы пускаем только с устройств, которые компания знает. Работает даже на личных ноутбуках подрядчиков — без MDM, без админ-прав, за один день внедрения.
$ агент · расширение · модуль IdP — деплой on-prem, данные не покидают контур
Проблема
Украденный пароль и перехваченный MFA-код открывают ваши системы с любого устройства в мире
Подрядчики, аутсорс-команды и личные ноутбуки — это устройства, которые ИБ не контролирует. Классический ответ — MDM плюс EDR — на них не встаёт ни юридически, ни организационно.
Как работает
Три компонента. Ни одного изменения в ваших приложениях
TrustFlare встраивается в поток аутентификации, который у вас уже есть. Пользователь просто логинится как обычно.
Агент на устройстве
Устанавливается в один клик, не требует прав администратора. Собирает минимальный набор сведений об устройстве и криптографически подписывает их.
macOS · Windows · LinuxРасширение браузера
При входе в SSO передаёт подписанные данные устройства в поток аутентификации. Chrome, Chromium и Яндекс Браузер.
без действий пользователяМодуль для Keycloak / Authentik
Дополнительный шаг входа: устройство в реестре доверенных, данные подлинные и свежие — вход. Нет — отказ и полное событие в ваш SIEM.
on-prem · ваш контурНовое устройство сотрудник регистрирует сам за минуту, администратор одобряет в одно действие. Никакого VPN-клиента, PKI и раскатки сертификатов.
Сравнение
То, что делает 1Password XAM — но on-prem и для вашего IdP
Западные device-trust-решения привязаны к облаку и к Okta, Google, Entra. Компании, выбравшей Keycloak ради контроля над инфраструктурой, они недоступны в принципе.
| Возможность | TrustFlare | Kolide / 1Password XAM | MDM + EDR | Клиентские сертификаты |
|---|---|---|---|---|
| On-prem, данные в контуре | Да | Нет, cloud-only | Частично | Да |
| Keycloak / Authentik | Да, нативный модуль | Нет — только Okta, Google, Entra | Не про SSO | Да, x509-флоу |
| Личные устройства и подрядчики | Да, без админ-прав | Да | Нет — юридически и организационно | Требует PKI и ручной выдачи |
| Простота развёртывания | Легко | Легко | Требует наличия MDM, сложная установка | Сложно — ручная настройка каждого устройства |
| Внедрение | Один день | Недоступно в РФ | Месяцы — годы | Требует CA/SCEP-инфраструктуры |
| Цена на 1000 пользователей в год | $24 тыс. — за пользователя, все его устройства | ≈ $72–96 тыс. + подписка XAM, биллинг за каждое устройство | $36–100 тыс. только EDR | Стоимость PKI-команды |
Прозрачность
Спроектирован для мира, где устройство принадлежит человеку
Агент собирает только то, что нужно для решения о входе. Полный список открыт и виден пользователю прямо в агенте.
Что агент собирает
- Серийный номер и модель устройства
- Имя учётной записи в системе
- Версия ОС, язык, часовой пояс
- Криптографическая подпись этих данных
Чего агент не делает никогда
- Не читает файлы, почту и переписки
- Не делает скриншоты и не пишет нажатия клавиш
- Не отслеживает геолокацию и историю браузера
- Не имеет прав администратора — физически
Цены
В разы дешевле device-trust-подписок. На порядок дешевле MDM+EDR
Биллинг за пользователя, а не за устройство: ноутбук, домашний компьютер и машина подрядчика одного человека — это одна лицензия. Компания на 1000 человек — $24 тыс. в год.
- Полная функциональность
- Один IdP-реалм
- Поддержка сообщества
- Все устройства пользователя включены
- Неограниченно реалмов
- Экспорт событий в SIEM
- Approval-workflow регистрации устройств
- Поддержка с SLA
- Air-gapped установка
- Кастомные политики и интеграции
- Выделенный инженер внедрения
Вопросы
Что спрашивают CISO
Чем это отличается от клиентских сертификатов в Keycloak?
Сертификаты требуют CA/SCEP-инфраструктуры и мертвы без неё, подтверждают только «устройство то самое» и не дают самообслуживания регистрации. TrustFlare ставится за день без PKI и развивается в сторону posture-проверок: шифрование диска, версия ОС, screen lock.
Что мешает атакующему подделать данные агента?
Подпись, реестр доверенных устройств и контроль свежести отсекают массовые атаки с украденными паролями уже в базовой версии. В roadmap — пер-девайс ключи в TPM и Secure Enclave (работают без админ-прав) и challenge-response с nonce от IdP против целевой подделки. Мы публикуем модель угроз каждой версии честно.
Это замена EDR?
Нет, и мы сознательно ей не называемся. TrustFlare — контроль доступа по устройству, а не защита самого устройства. Именно поэтому он стоит в разы дешевле и может стоять на личных ноутбуках без юридических проблем.
Какие браузеры поддерживаются?
Chrome и Chromium-based, включая Яндекс Браузер. Для остальных политика настраивается: блокировать вход или пускать с дополнительным MFA и событием в SIEM.
Пилот
Разверните пилот на своём стенде за один день
Ваш Keycloak или Authentik, ваш контур, 20 устройств на выбор. Через неделю вы увидите в SIEM каждую попытку входа с неизвестного устройства — и решите сами.