ИНФРАСТРУКТУРА ОТКРЫТЫХ КЛЮЧЕЙ (PKI)
Инфраструктура открытых ключей (или PKI — Public Key Infrastructure) представляет собой совокупность различных средств для управления ключами и цифровыми сертификатами пользователей, приложений и других элементов IT-системы.
Главными компонентами PKI являются удостоверяющий центр (УЦ), который выпускает сертификаты открытых ключей и удостоверяет их подлинность, и пользователи — владельцы цифровых сертификатов, которыми могут выступать как сотрудники, так и устройства, приложения или другие УЦ.
Для хранения ключевой информации используются персональные ключевые носители в виде смарт-карт или USB-токенов, на которых располагаются соответствующие закрытые ключи и цифровые сертификаты.
Внедрение PKI в инфраструктуру организации позволяет решить множество проблем, связанных с информационной безопасностью:
- Замена устаревшей парольной аутентификации на аутентификацию по цифровому сертификату: при доступе в операционную систему и в приложения (VPN, VDI и др.).
- Цифровая подпись и шифрование электронной почты.
- Применение квалифицированной электронной подписи для соответствия требованиям регуляторов, обеспечения юридически значимого документооборота, взаимодействия с системами дистанционного банковского обслуживания, участия в тендерах и закупках.
- Шифрование данных: файлов, дисков и другой информации.
- Обеспечение безопасного соединения между сервером и браузером пользователя с помощью TLS сертификата.
Однако сопровождение самой инфраструктуры открытых ключей порождает ряд новых задач:
- Выпуск сертификатов пользователям в соответствии с их задачами: необходимо обеспечить наличие на ключевом носителе пользователя требуемых для его работы сертификатов (в том числе выпущенных на разных УЦ), не предоставив при этом избыточных.
- Контроль за полным жизненным циклом сертификатов: выпуск, приостановление и возобновление действия, обновление и отзыв.
- Контроль сроков действия сертификатов, уведомление пользователей и администраторов о приближении окончания сроков действия сертификатов, своевременное их обновление.
- Контроль выпущенных сторонними УЦ цифровых сертификатов и уведомление о приближении окончания сроков их действия.
- Ведение учёта ключевых носителей, закрепление их за сотрудниками.
- Управление настройками PIN-кодов ключевых носителей от разных вендоров: настройки инициализации, политики сложности PIN-кодов, регулярность их смены.
- Разблокировка заблокированных устройств.
- Замена утраченных (сломанных или потерянных) ключевых носителей.
- Ведение журнала учёта средств криптографической защиты информации (СКЗИ) для соответствия требованиям регуляторов.
- Возможность интеграции со сторонними информационными системами для автоматизации процессов использования сертификатов и ключевых носителей.
Все эти вопросы нельзя решить, основываясь только на возможностях удостоверяющего центра. Таким образом, основной задачей управления PKI является интеграция между различными продуктами IT-инфраструктуры, которые используются в организации, предоставление нового функционала и единого интерфейса для удобства использования и автоматизации операций управления. При этом нельзя забывать про обеспечение высокого уровня информационной безопасности.
Для управления PKI применяют специализированные программные комплексы класса Card Management (Smart Card Management System — SCMS, Credential Management System — CMS), которые не только поддерживают продукты различных производителей, но и осуществляют централизованный контроль за всей инфраструктурой и управляют жизненным циклом ключевых носителей.
Узнайте больше о российском программном комплексе – Indeed Certificate Manager (Indeed CM) для защиты логического доступа к ИТ-системам вашей компании на странице продукта или запишитесь на бесплатную демонстрацию работы решения:
Читайте еще по теме
Айдентити Конф 2024 — первая в России конференция на тему безопасности Identity
Открылась регистрация на Айдентити Конф 2024, которая состоится 31 октября в пространстве Кибердома в Москве. Конференция состоится впервые и станет ежегодным событием и центром притяжения экспертизы в области […]
Обновление Indeed Privileged Access Manager (Indeed PAM): версия 2.10
Компания Индид представляет версию 2.10 продукта Indeed Privileged Access Manager (Indeed PAM). Теперь Indeed PAM помимо Active Directory и FreeIPA поддерживает службы каталогов OpenLDAP и ALD PRO. В […]
УДОСТОВЕРЯЮЩИЙ ЦЕНТР
Удостоверяющий центр (УЦ, Certificate Authority, CA) — это доверенная структура, которая имеет право выпускать сертификаты открытого ключа и удостоверяет подлинность их владельца, а также отвечает за управление жизненным […]
СЕРТИФИКАТ ОТКРЫТОГО КЛЮЧА
Цифровой сертификат используется для подтверждения принадлежности открытого ключа его владельцу (пользователю или приложению) и представляет собой электронный документ, выдачу и заверение которого выполняет удостоверяющий центр (УЦ). УЦ является […]
Интервью об эффективном управлении цифровыми сертификатами в ГК «Магнит»
В четвертом номере журнала Information Security, вышедшем в сентябре 2021 года, опубликовано интервью Марии Дордий, начальника отдела ИБ Группы компаний «Магнит». Она рассказала корреспонденту издания о том, как […]