Обзор систем управления ключевыми носителями и цифровыми сертификатами (PKI)

19 апреля 2016 года Сегодня информационные технологии являются неотъемлемой частью бизнес-процессов практически любой современной компании. В рамках одной организации может быть различное количество информационных систем и задач, которые решаются с помощью подобных систем. При таком разнообразии информационных систем сотрудникам выдается множество идентификационных и аутентификационных данных (логинов и паролей), необходимых для доступа к этим ресурсам. Кроме того, существуют парольные политики, содержащие требования к сложности паролей, к сроку их действия и т. д. Они затрудняют запоминание аутентификационных данных и сохранение их в тайне. Как следствие, сложные пароли записываются на бумажки и хранятся в небезопасных местах (на мониторе, под клавиатурой, в незапертых ящиках стола и т. д.).

По этой причине в настоящее время получили широкое распространение технологии электронной подписи и строгой аутентификации, основанные на инфраструктуре открытых ключей (Public Key Infrastructure, PKI). PKI представляет собой набор сервисов и компонентов, используемых для управления жизненным циклом ключей и цифровых сертификатов. PKI использует криптографическую систему с открытым ключом и предназначена для решения следующих задач:

  • обеспечение конфиденциальности информации;
  • обеспечение целостности информации;
  • обеспечение аутентификации пользователей и ресурсов, к которым те обращаются;
  • обеспечение возможности подтверждения действий с информацией, совершенных пользователями.

Использование технологий PKI требуют наличия у сотрудников дополнительных средств, а именно персональных носителей ключевой информации.

Аутентификация на основе PKI и применение защищенных носителей ключевой информации (токенов или смарт-карт) обеспечивают несоизмеримо более высокий уровень защиты учетных записей пользователей, чем использование сложных паролей. При использовании подобных средств у администраторов информационных систем появляется новый спектр задач по учету и контролю таких носителей ключевой информации.

Если задачи по генерации ключевой информации и цифровых сертификатов выполняются средствами удостоверяющих центров, то для задач по учету и контролю носителей ключевой информации на рынке появились и развиваются системы управления жизненным циклом ключевых носителей и цифровых сертификатов, направленные на автоматизацию такого управления и, соответственно, снижение нагрузки на администраторов информационных систем.

Далее в статье мы будем говорить именно про средства, автоматизирующие процесс управления ключевыми носителями и цифровыми сертификатами (т. е. сами ключевые носители и средства генерации ключевой информации в данной статье описываться не будут).

Системы управления ключевыми носителями и цифровыми сертификатами

Рассматриваемые системы обеспечивают централизованное управление ключевыми носителями и хранящимися на них сертификатами на протяжении всего их жизненного цикла.

Основными функциями таких систем являются:

  • централизованное управление жизненным циклом ключевых носителей;
  • автоматизация процессов управления сертификатами пользователей;
  • выпуск сертификатов с использованием внешних удостоверяющих центров;
  • резервное копирование ключевой информации;
  • журналирование и аудит действий администраторов и пользователей в рамках системы;
  • функционал самообслуживания для сотрудников.

Как правило, система реализуется с помощью следующих компонентов:

  • серверная часть — осуществляет централизованное управление смарт-картами, токенами, различными политиками и т. д.;
  • база данных системы — обеспечивает централизованное хранение информации об учетных записях пользователей, ключевых носителях, политиках, настройках и т. д.;
  • консоль управления сервером — консоль администратора, позволяющая администраторам регистрировать пользователей, выполнять операции с ключевыми носителями пользователей, настраивать различные политики и т. д.;
  • клиентская часть — устанавливается на стороне пользователя и позволяет выполнять функцию синхронизации содержимого ключевого носителя с данными на сервере, а также позволяет пользователю выполнять ряд операций с ключевыми носителями;
  • коннекторы к целевым системам и удостоверяющим центрам.

Мировой рынок систем управления ключевыми носителями и цифровыми сертификатами

На мировом рынке системы управления ключевыми носителями и цифровыми сертификатами в отдельный класс не выделены. Глобально принято определять рынок средств аутентификации (User Authentication), в который входят продукты в том числе с функционалом по управлению ключевыми носителями и цифровыми сертификатами.

Мировой рынок средств аутентификации представлен компаниями, в портфель решений которых входят функционал строгой аутентификации, мобильные решения аутентификации, решения для обеспечения безопасного удаленного доступа, решения локальной и облачной аутентификации. Кроме того, в составе данных продуктов присутствуют решения по непосредственному управлению средствами аутентификации (ключевыми носителями и цифровыми сертификатами).

В числе лидеров последних двух квадрантов присутствуют решения таких компаний, как EMC (RSA), SafeNet и Gemalto.

В 2015 году компания Gemalto завершила сделку по покупке компании SafeNet, являющейся лидером магического квадранта Gartner на протяжении последних нескольких лет. Таким образом компания расширила свой портфель решений в области средств аутентификации пользователей. Одним из таких продуктов, который также достаточно хорошо представлен на российском рынке, является система управления инфраструктурой аутентификации в масштабах предприятия.

Российский рынок систем управления ключевыми носителями и цифровыми сертификатами

В России, в отличие от мирового рынка, устоялся более узкий рынок, куда вошли системы управления ключевыми носителями и цифровыми сертификатами.

Они применяются как в государственном, так и в коммерческом секторе. Одним из главных преимуществ российских продуктов является то, что они работают со всеми самыми распространенными в нашей стране моделями токенов (SafeNet eToken, JaCarta, Rutoken и т. д.) и смарт-карт, а также интегрируются с российскими удостоверяющими центрами.

Кроме того, отличительной особенностью российских продуктов является функция ведения поэкземплярного учета средств криптографической защиты информации (СКЗИ) в соответствии с требованиями ФСБ России, которые присущи только нашему рынку.

Российские известные решения представлены такими компаниями, как «Аванпост», «Аладдин Р.Д.», Indeed ID и «Актив».

Из зарубежных производителей в России широко представлены продукты таких компаний, как Gemalto (купившая SafeNet) и HID Global. При этом компания Gemalto является обладателем прав на продукцию SafeNet, включая популярную у нас линейку eToken (первоначально принадлежавшую Aladdin Knowledge Systems и ранее приобретенную SafeNet).

Часть представленных решений являются сертифицированными средствами защиты информации и имеют сертификаты соответствия ФСТЭК России. Ниже представлен перечень сертифицированных продуктов с указанием имеющихся у них сертификатов соответствия ФСТЭК России:

  • программный комплекс Avanpost (компания «Аванпост») — сертификат ФСТЭК России № 2710 от 07.09.2012 до 07.09.2018 на соответствие ТУ и 4 уровню РД НДВ (серия);
  • программное обеспечение JaCarta Management System (компания «Аладдин Р.Д.») — сертификат ФСТЭК России № 3355 от 02.03.2015 до 02.03.2018 по 4 уровню РД НДВ и ТУ (серия);
  • программное обеспечение SafeNet Authentication Manager 8.2 (компания Gemalto) — сертификат ФСТЭК России № 2769 от 03.12.2012 до 03.12.2018 на ТУ и 4 РД НДВ с ограничениями (серия).

Краткий обзор продуктов, представленных на российском рынке, приведен ниже.

Краткий обзор систем управления ключевыми носителями и цифровыми сертификатами

Аванпост

Компанией «Аванпост» на рынке представлен программный комплекс Avanpost, решающий задачи по автоматизации задач, связанных с организацией и управлением доступом к информационным ресурсам предприятия. В его состав входит модуль, обеспечивающий централизованное управление всеми элементами инфраструктуры открытых ключей из единого интерфейса.

Avanpost PKI предусматривает возможность управления неограниченным количеством ключевых носителей и сертификатов пользователей. В его составе реализованы такие функции, как управление электронными сертификатами, управление информацией о токенах и централизованной базой с информацией о токенах, ведение поэкземплярного учета средств криптографической защиты информации, автоматизация процесса выпуска сертификатов, реализация полного цикла workflow, ведение различных журналов событий.

Возможности:

  • централизованное управление электронными сертификатами пользователей в течение всего жизненного цикла (инициализация / выпуск сертификата, ввод в эксплуатацию / выдача, обслуживание, вывод из эксплуатации / блокирование);
  • поддержка работы со всеми распространенными в России моделями ключевых носителей: токенов, смарт-карт, биометрических считывателей (eToken, Rutoken, JaCarta, ISBC, MS_Key, BioLink и др.);
  • инициализация ключевых носителей;
  • учет (инвентаризация) электронных ключей с хранением данных о них в базе данных (идентификация ключей производится по серийному номеру, уникальному для каждого ключа);
  • создание дубликатов испорченных ключевых носителей;
  • ведение журналов событий, в которых фиксируются все действия администраторов и операторов подсистемы с электронными ключами;
  • автоматизация процесса выпуска сертификатов пользователей на этапе назначения электронных ключей пользователям;
  • ведение учета лицензий на средства криптографической защиты информации;
  • ведение учета дистрибутивов средств криптографической защиты информации;
  • создание отчетов о выпущенных электронных сертификатах, о запросах на генерацию электронных сертификатов и о закрепленных за сотрудниками и организациями ключевых носителях;
  • запрос прав на доступ к приложениям, находящимся в централизованной сети (для автоматической синхронизации пользователю его связки логин-пароль);
  • интеграция в единый комплекс прикладных систем, таких как CRM, системы Банк-Клиент, кадровые системы и удостоверяющие центры;
  • поддержка следующих удостоверяющих центров: КриптоПро, Microsoft, RSA Keon, Signal-COM, CheckPoint, Валидата;
  • имеет сертификат соответствия ФСТЭК России (сертификат ФСТЭК № 2710 от 07.09.2012 до 07.09.2018 на соответствие ТУ и 4 уровню РД НДВ).

Indeed ID

Компанией Indeed ID на рынке представлена система управления ключевыми носителями и цифровыми сертификатами пользователей Indeed Card Management.

Indeed Card Management обеспечивает решение задач, связанных с применением инфраструктуры открытых ключей в масштабах предприятия. В рамках представленной системы поддерживаются различные смарт-карты и удостоверяющие центры (в том числе поддерживающие ГОСТ-шифрование).

Возможности:

  • управление жизненным циклом ключевых носителей;
  • учет средств криптографической защиты информации;
  • поддержка работы с ключевыми носителями разных типов и производителей: USB-ключи Rutoken компании «Актив», USB-ключи и смарт-карты eToken компании SafeNet, USB-ключи и смарт-карты JaCarta компании «Аладдин Р.Д.», USB-ключи и смарт-карты ESMART компании ISBC, USB-ключи AvestKey компании «Авест», смарт-карты ID Prime компании Gemalto. При этом все поддерживаемые носители можно использовать в рамках одной инфраструктуры;
  • возможность использования уникальной виртуальной смарт-карты Indeed AirKey Enterprise, полностью эмулирующей поведение физической смарт-карты и исключающей затраты, связанные с приобретением, сопровождением и заменой пластиковых смарт-карт, считывателей, USB-токенов;
  • централизованное управление цифровыми сертификатами на протяжении всего жизненного цикла;
  • автоматизация процессов управления цифровыми сертификатами пользователей;
  • поддержка работы с удостоверяющими центрами Microsoft CA, КриптоПро УЦ 1.5 и КриптоПро УЦ 2.0;
  • аутентификация пользователей сервиса самообслуживания по секретным вопросам;
  • резервное копирование ключевой информации (создание дубликатов утерянных или поврежденных ключевых носителей);
  • ведение журналов событий и аудит действий администраторов и пользователей с ключевыми носителями;
  • самостоятельное оперативное решение пользователями основных задач использования ключевых носителей (через сервис самообслуживания);
  • возможность разблокировки ключевых носителей на стороне пользователя до входа в ОС;
  • управление картами за пределами сети предприятия, которое пользователи могут выполнять самостоятельно (через удаленный сервис самообслуживания);
  • ведение электронного журнала учета СКЗИ в соответствии с требованиями регуляторов;
  • возможность печати на картах и выпуск сертификатов в пакетном режиме;
  • построение отчетов о событиях системы;
  • веб-интерфейс, который адаптируется к размеру экрана пользователя (удобно работать на персональном компьютере, планшете или смартфоне);
  • интеграция с системами управления логическим доступом Indeed EA и Indeed ESSO, что позволяет синхронизировать жизненные циклы смарт-карт и учетных данных (в момент выпуска ключевого носителя администратор может сразу сконфигурировать SSO-профиль пользователя);
  • наличие API для интеграции с внешними системами класса Identity Management и др.

«Актив»

Компанией «Актив» на рынке представлен Рутокен KeyBox, средство администрирования и управления жизненным циклом ключевых носителей (USB-токенов, смарт-карт и других устройств), ориентированный на использование в корпоративных сетях, построенных на технологиях Microsoft Windows. Рутокен KeyBox представляет собой Indeed Card Management, продаваемый под брендом Рутокен.

Рутокен KeyBox позволяет эффективно управлять жизненным циклом ключевых носителей, дает возможность вести журнал и осуществлять аудит действий с ключевыми носителями, автоматизировать процессы управления сертификатами пользователей, выполнять резервное копирование ключевой информации. Рутокен KeyBox позволяет существенно снижать издержки и повышать уровень комфорта при внедрении PKI.

Возможности:

  • автоматизированное управление процессами жизненного цикла ключевых носителей;
  • поддержка различных ключевых носителей (Рутокен S, Рутокен ЭЦП, Рутокен Lite, Kaztoken, Avest);
  • управление жизненным циклом сертификатов пользователей;
  • учет СКЗИ в соответствии с требованиями регулятора;
  • поддержка отечественных криптопровайдеров;
  • выпуск сертификатов на удостоверяющих центрах Microsoft CA , КриптоПро УЦ 1.5 и КриптоПро УЦ 2.0;
  • выпуск сертификатов в нескольких центрах сертификации (удостоверяющих центрах);
  • печать на смарт-картах необходимой информации и изображений;
  • пакетный выпуск смарт-карт и токенов;
  • журналирование событий в системе и построение отчетов с использованием различных критериев отбора событий;
  • аудит событий с ключевыми носителями на основе журналов;
  • сервис самообслуживания с настраиваемым списком разрешений для пользователя;
  • доступ к пользовательскому сервису самообслуживания из любой точки мира;
  • простота взаимодействия конечного пользователя с системой через лаконичный и понятный интерфейс;
  • интеграция с другими системами управления информационной безопасностью через API.

Подробнее с продуктом Рутокен KeyBox можно ознакомиться здесь.

Выводы

Системы управления ключевыми носителями и цифровыми сертификатами — это решения для централизованного учета, управления и аудита ключевых носителей и цифровых сертификатов, которые позволяют автоматизировать большинство перечисленных операций и значительно снизить нагрузку на администраторов информационных систем, операторов удостоверяющих центров и других сотрудников компании (например, сотрудников Help Desk). Широкое применение методов аутентификации на основе PKI, а также использование защищенных носителей ключевой информации способствуют появлению в инфраструктуре компаний таких решений, как системы управления ключевыми носителями и цифровыми сертификатами.

Из зарубежных производителей систем управления ключевыми носителями и цифровыми сертификатами на российском рынке активно присутствуют Gemalto (SafeNet) и HID Global. В рамках импортозамещения наблюдается рост популярности продуктов российских разработчиков — таких, как «Аванпост», Indeed ID и «Актив»:

  1. Avanpost PKI — предназначен для централизованного управления всеми элементами PKI из единого интерфейса. Сюда входит управление электронными сертификатами, ключевыми носителями, ведение поэкземплярного учета СКЗИ, автоматизация процесса выпуска сертификатов, реализация полного цикла workflow, ведение журналов событий.
  2. Indeed Card Management — система, позволяющая выполнять учет и управление ключевыми носителями, сертификатами и СКЗИ, резервное копирование ключевой информации. Она автоматизирует работу с несколькими УЦ и предоставляет сервис самообслуживания пользователей и возможность использования виртуальной смарт-карты.
  3. Рутокен KeyBox — средство администрирования и управления жизненным циклом ключевых носителей (USB-токенов, смарт-карт и других устройств), ориентированное на использование в корпоративных сетях, построенных на технологиях Microsoft Windows. Рутокен KeyBox является системой, обеспечивающей связь между учетными записями пользователей, средствами аутентификации, приложениями и регламентами ИБ (корпоративной политикой безопасности).

В заключение подчеркнем, что сравнение функциональности систем от глобальных лидеров рынка и отечественных компаний требует дополнительного глубокого изучения и грозит перерасти в отдельную большую статью — следите за обновлениями на Anti-Malware.ru!

Клиенты и партнеры

  • Анкад
  • Минздрав России
  • КРИПТО-ПРО
  • СКБ Контур
  • НУЦ
  • Код Безопасности
  • Такснет
  • ЦентрИнформ
  • АЭТП
  • Сигнал КОМ
  • ИнфотекС
  • Альфа Директ
  • Электронная Москва
  • Digital Design
  • Тензор
  • Депо
  • Связной
  • Банк Нордеа
  • БелИнфоНалог
  • Татарстан

Карта сайта