Виртуальная смарт-карта Indeed Enterprise AirKey и новые возможности PKI
Давно работая на рынке ИБ и имея большой объем соответствующих компетенций, мы хорошо знаем проблемы и потребности клиентов в этой области. Поэтому постоянно расширяя возможности наших решений, мы не только развиваем существующие продукты, но и создаем новые. Сегодня расскажем об одном из них — разработанной нами первой на российском ИБ-рынке технологии сетевой виртуальной смарт-карты Indeed Enterprise AirKey.
Компании с развернутой PKI-инфраструктурой, где смарт-карта является для сотрудника персональным ключом для использования технологий электронной цифровой подписи, строгой аутентификации и шифрования данных, часто сталкиваются с организационными проблемами, связанными с применением аппаратных ключевых носителей.Если пользователь забыл устройство дома, потерял его или оно вышло из строя, доступ к данным и их защита становятся невозможны. При этом замена устройства (выпуск дубликата) не всегда может быть выполнена оперативно.Таким образом, аппаратная составляющая становится “слабым звеном” в процессе использования смарт-карт в рамках PKI-инфраструктуры. Для исключения этой составляющей и устранения связанных с ней недостатков, мы разработали технологию сетевой виртуальной смарт-карты Indeed Enterprise AirKey.Виртуальная смарт-карта Indeed Enterprise AirKey полностью эмулирует поведение физической смарт-карты и позволяет выполнять весь спектр операций и пользовательских сценариев, доступный аппаратным ключевым носителям: электронно-цифровая подпись, расшифровка данных, двухфакторная аутентификация пользователей, организация доступа в режиме Single Sign-On.Технология реализует виртуальную смарт-карту несколькими способами. В одном случае физический носитель заменяется специальным хранилищем ключей и цифровых сертификатов на сервере системы, в другом — роль персонального ключевого носителя выполняет смартфон с установленным на него приложением AirKey.Работа виртуальной смарт-карты Indeed Enterprise AirKey осуществляется в соответствии со штатными протоколами, интерфейсами и механизмами PKI-инфраструктуры. Так же, как обычные криптографические ключевые носители, для выполнения криптоопераций виртуальная смарт-карта использует стандарт PKCS#11 и интерфейс Microsoft CryptoAPI.При этом закрытые ключи шифрования не передаются на ПК пользователя. В зависимости от реализации технологии виртуальной смарт-карты, ключи хранятся либо в зашифрованном виде в базе данных на сервере системы, либо в защищенной памяти смартфона. Все криптографические операции, соответственно, также выполняются на сервере системы или на смартфоне пользователя. При таком подходе ни вредоносное ПО на рабочем месте сотрудника, ни злоумышленник не могут скомпрометировать соответствующие закрытые ключи.Для обеспечения безопасности выполняется шифрование каналов связи между всеми элементами системы (сервером, ПК и/или смартфоном пользователя) с применением асимметричных алгоритмов шифрования по протоколу TLS. На ПК пользователя доставляется уже готовый результат криптооперации.Отсутствие аппаратной составляющей определяет ряд преимуществ виртуальной смарт-карты по сравнению с традиционными ключевыми носителями. Для получения смарт-карты не требуется личный визит сотрудника к оператору системы — доставка виртуальной смарт-карты на компьютер пользователя осуществляется удаленно. Для специалистов ИБ значительно упрощается процедура изъятия карты из системы: чтобы прекратить ее использование администратору достаточно выполнить удаленный отзыв смарт-карты с уничтожением закрытых ключей.Для операционной системы компьютера и целевых приложений, с которыми работает пользователь, виртуальная смарт-карта неотличима от физического аналога.Таким образом, исключая из процесса использования PKI-инфраструктуры аппаратную составляющую на стороне пользователя, виртуальная смарт-карта Indeed Enterprise AirKey позволяет сделать этот процесс непрерывным и более эффективным.Читайте еще по теме
Портал документации Компании Индид
Теперь техническая документация программного обеспечения Компании Индид находится в одном месте — на портале https://docs.indeed-company.ru/. У документации каждого продукта свой сайт: Indeed Access Manager — централизованное управление доступом […]
Обновление Indeed Privileged Access Manager (Indeed PAM): версия 2.10
Компания Индид представляет версию 2.10 продукта Indeed Privileged Access Manager (Indeed PAM). Теперь Indeed PAM помимо Active Directory и FreeIPA поддерживает службы каталогов OpenLDAP и ALD PRO. В […]
Indeed AM 5.4: Изменения и новые возможности
Тем, кто следит за разделом с демо видео наших продуктов, уже известно, что в ушедшем году мы активно работали над новым инструментом управления системами Indeed AM. Первая версия […]
Совместимость продуктов виртуализации VeiL и Indeed AM
В октябре 2021 года проведено тестирование на совместимость и корректность работы программного комплекса Indeed Access Manager и программных продуктов VeiL. Экосистема виртуализации VeiL разработана АО «НИИ «Масштаб», входящего […]
Новая версия Enterprise Authentication 7.0
Готовя новую версию решения по организации доступа сотрудников к ИТ инфраструктуре компании (Indeed Enterprise Authentication), мы тщательно проанализировали изменения ИТ ландшафта, которые произошли у наших клиентов за последние […]