ИНФРАСТРУКТУРА ОТКРЫТЫХ КЛЮЧЕЙ (PKI)

Инфраструктура открытых ключей (или PKI — Public Key Infrastructure) представляет собой совокупность различных средств для управления ключами и цифровыми сертификатами пользователей, приложений и других элементов IT-системы. 

Главными компонентами PKI являются удостоверяющий центр (УЦ), который выпускает сертификаты открытых ключей и удостоверяет их подлинность, и пользователи — владельцы цифровых сертификатов, которыми могут выступать как сотрудники, так и устройства, приложения или другие УЦ.

Для хранения ключевой информации используются персональные ключевые носители в виде смарт-карт или USB-токенов, на которых располагаются соответствующие закрытые ключи и цифровые сертификаты. 

Внедрение PKI в инфраструктуру организации позволяет решить множество проблем, связанных с информационной безопасностью:

  • Замена устаревшей парольной аутентификации на аутентификацию по цифровому сертификату: при доступе в операционную систему и в приложения (VPN, VDI и др.). 
  • Цифровая подпись и шифрование электронной почты. 
  • Применение квалифицированной электронной подписи для соответствия требованиям регуляторов, обеспечения юридически значимого документооборота, взаимодействия с системами дистанционного банковского обслуживания, участия в тендерах и закупках. 
  • Шифрование данных: файлов, дисков и другой информации. 
  • Обеспечение безопасного соединения между сервером и браузером пользователя с помощью TLS сертификата.

Однако сопровождение самой инфраструктуры открытых ключей порождает ряд новых задач: 

  • Выпуск сертификатов пользователям в соответствии с их задачами: необходимо обеспечить наличие на ключевом носителе пользователя требуемых для его работы сертификатов (в том числе выпущенных на разных УЦ), не предоставив при этом избыточных. 
  • Контроль за полным жизненным циклом сертификатов: выпуск, приостановление и возобновление действия, обновление и отзыв.
  • Контроль сроков действия сертификатов, уведомление пользователей и администраторов о приближении окончания сроков действия сертификатов, своевременное их обновление. 
  • Контроль выпущенных сторонними УЦ цифровых сертификатов и уведомление о приближении окончания сроков их действия. 
  • Ведение учёта ключевых носителей, закрепление их за сотрудниками. 
  • Управление настройками PIN-кодов ключевых носителей от разных вендоров: настройки инициализации, политики сложности PIN-кодов, регулярность их смены. 
  • Разблокировка заблокированных устройств. 
  • Замена утраченных (сломанных или потерянных) ключевых носителей. 
  • Ведение журнала учёта средств криптографической защиты информации (СКЗИ) для соответствия требованиям регуляторов. 
  • Возможность интеграции со сторонними информационными системами для автоматизации процессов использования сертификатов и ключевых носителей.

Все эти вопросы нельзя решить, основываясь только на возможностях удостоверяющего центра. Таким образом, основной задачей управления PKI является интеграция между различными продуктами IT-инфраструктуры, которые используются в организации, предоставление нового функционала и единого интерфейса для удобства использования и автоматизации операций управления. При этом нельзя забывать про обеспечение высокого уровня информационной безопасности.
Для управления PKI применяют специализированные программные комплексы класса Card Management (Smart Card Management System — SCMS, Credential Management System — CMS), которые не только поддерживают продукты различных производителей, но и осуществляют централизованный контроль за всей инфраструктурой и управляют жизненным циклом ключевых носителей.

Узнайте больше о российском программном комплексе – Indeed Certificate Manager (Indeed CM) для защиты логического доступа к ИТ-системам вашей компании на странице продукта или запишитесь на бесплатную демонстрацию работы решения:

запланировать демонстрацию

Еще больше полезных материалов от экспертов и свежих новостей Компании Индид в нашем telegram-канале

Присоединиться

Читайте еще по теме

Айдентити Конф 2024 — первая в России конференция на тему безопасности Identity

Открылась регистрация на Айдентити Конф 2024, которая состоится 31 октября в пространстве Кибердома в Москве. Конференция состоится впервые и станет ежегодным событием и центром притяжения экспертизы в области […]

Подробнее

Обновление Indeed Privileged Access Manager (Indeed PAM): версия 2.10

Компания Индид представляет версию 2.10 продукта Indeed Privileged Access Manager (Indeed PAM). Теперь Indeed PAM помимо Active Directory и FreeIPA поддерживает службы каталогов OpenLDAP и ALD PRO. В […]

Подробнее

УДОСТОВЕРЯЮЩИЙ ЦЕНТР

Удостоверяющий центр (УЦ, Certificate Authority, CA) — это доверенная структура, которая имеет право выпускать сертификаты открытого ключа и удостоверяет подлинность их владельца, а также отвечает за управление жизненным […]

Подробнее

СЕРТИФИКАТ ОТКРЫТОГО КЛЮЧА

Цифровой сертификат используется для подтверждения принадлежности открытого ключа его владельцу (пользователю или приложению) и представляет собой электронный документ, выдачу и заверение которого выполняет удостоверяющий центр (УЦ). УЦ является […]

Подробнее

Интервью об эффективном управлении цифровыми сертификатами в ГК «Магнит»

В четвертом номере журнала Information Security, вышедшем в сентябре 2021 года, опубликовано интервью Марии Дордий, начальника отдела ИБ Группы компаний «Магнит». Она рассказала корреспонденту издания о том, как […]

Подробнее