Device Trust · On-prem · Keycloak / Authentik

Пароль подтверждает человека.
TrustFlare — его устройство.

Дополнительный этап входа в ваш self-hosted SSO: в корпоративные системы пускаем только с устройств, которые компания знает. Работает даже на личных ноутбуках подрядчиков — без MDM, без админ-прав, за один день внедрения.

$ агент · расширение · модуль IdP — деплой on-prem, данные не покидают контур

Проблема

Украденный пароль и перехваченный MFA-код открывают ваши системы с любого устройства в мире

Подрядчики, аутсорс-команды и личные ноутбуки — это устройства, которые ИБ не контролирует. Классический ответ — MDM плюс EDR — на них не встаёт ни юридически, ни организационно.

до 60%работы в типичной ИТ-компании идёт с устройств вне корпоративного контроля: подрядчики, аутсорс, BYOD
$36–100 тыс./годстоит EDR на 1000 машин — и его всё равно нельзя поставить на личный ноутбук подрядчика
1–3 годазанимает внедрение MDM в крупной компании. TrustFlare встаёт за день

Как работает

Три компонента. Ни одного изменения в ваших приложениях

TrustFlare встраивается в поток аутентификации, который у вас уже есть. Пользователь просто логинится как обычно.

Агент на устройстве

Устанавливается в один клик, не требует прав администратора. Собирает минимальный набор сведений об устройстве и криптографически подписывает их.

macOS · Windows · Linux

Расширение браузера

При входе в SSO передаёт подписанные данные устройства в поток аутентификации. Chrome, Chromium и Яндекс Браузер.

без действий пользователя

Модуль для Keycloak / Authentik

Дополнительный шаг входа: устройство в реестре доверенных, данные подлинные и свежие — вход. Нет — отказ и полное событие в ваш SIEM.

on-prem · ваш контур

Новое устройство сотрудник регистрирует сам за минуту, администратор одобряет в одно действие. Никакого VPN-клиента, PKI и раскатки сертификатов.

Сравнение

То, что делает 1Password XAM — но on-prem и для вашего IdP

Западные device-trust-решения привязаны к облаку и к Okta, Google, Entra. Компании, выбравшей Keycloak ради контроля над инфраструктурой, они недоступны в принципе.

Возможность TrustFlare Kolide / 1Password XAM MDM + EDR Клиентские сертификаты
On-prem, данные в контуре Да Нет, cloud-only Частично Да
Keycloak / Authentik Да, нативный модуль Нет — только Okta, Google, Entra Не про SSO Да, x509-флоу
Личные устройства и подрядчики Да, без админ-прав Да Нет — юридически и организационно Требует PKI и ручной выдачи
Простота развёртывания Легко Легко Требует наличия MDM, сложная установка Сложно — ручная настройка каждого устройства
Внедрение Один день Недоступно в РФ Месяцы — годы Требует CA/SCEP-инфраструктуры
Цена на 1000 пользователей в год $24 тыс. — за пользователя, все его устройства ≈ $72–96 тыс. + подписка XAM, биллинг за каждое устройство $36–100 тыс. только EDR Стоимость PKI-команды

Прозрачность

Спроектирован для мира, где устройство принадлежит человеку

Агент собирает только то, что нужно для решения о входе. Полный список открыт и виден пользователю прямо в агенте.

Что агент собирает

  • Серийный номер и модель устройства
  • Имя учётной записи в системе
  • Версия ОС, язык, часовой пояс
  • Криптографическая подпись этих данных

Чего агент не делает никогда

  • Не читает файлы, почту и переписки
  • Не делает скриншоты и не пишет нажатия клавиш
  • Не отслеживает геолокацию и историю браузера
  • Не имеет прав администратора — физически

Цены

В разы дешевле device-trust-подписок. На порядок дешевле MDM+EDR

Биллинг за пользователя, а не за устройство: ноутбук, домашний компьютер и машина подрядчика одного человека — это одна лицензия. Компания на 1000 человек — $24 тыс. в год.

Старт 0 ₽ до 50 пользователей
  • Полная функциональность
  • Один IdP-реалм
  • Поддержка сообщества
Начать бесплатно
Enterprise По запросу
  • Air-gapped установка
  • Кастомные политики и интеграции
  • Выделенный инженер внедрения
Обсудить

Вопросы

Что спрашивают CISO

Чем это отличается от клиентских сертификатов в Keycloak?

Сертификаты требуют CA/SCEP-инфраструктуры и мертвы без неё, подтверждают только «устройство то самое» и не дают самообслуживания регистрации. TrustFlare ставится за день без PKI и развивается в сторону posture-проверок: шифрование диска, версия ОС, screen lock.

Что мешает атакующему подделать данные агента?

Подпись, реестр доверенных устройств и контроль свежести отсекают массовые атаки с украденными паролями уже в базовой версии. В roadmap — пер-девайс ключи в TPM и Secure Enclave (работают без админ-прав) и challenge-response с nonce от IdP против целевой подделки. Мы публикуем модель угроз каждой версии честно.

Это замена EDR?

Нет, и мы сознательно ей не называемся. TrustFlare — контроль доступа по устройству, а не защита самого устройства. Именно поэтому он стоит в разы дешевле и может стоять на личных ноутбуках без юридических проблем.

Какие браузеры поддерживаются?

Chrome и Chromium-based, включая Яндекс Браузер. Для остальных политика настраивается: блокировать вход или пускать с дополнительным MFA и событием в SIEM.

Пилот

Разверните пилот на своём стенде за один день

Ваш Keycloak или Authentik, ваш контур, 20 устройств на выбор. Через неделю вы увидите в SIEM каждую попытку входа с неизвестного устройства — и решите сами.