Описание решения
Задача
Технический прогресс идет быстрыми темпами, и на рынке все время появляются усовершенствованные продукты в сфере ИТ: выходят новые версии операционных систем, развиваются и получают дополнительные функции прикладные программы, выпускается новое аппаратное обеспечение.
Однако большинство компаний продолжают использовать устаревшее ПО и не планируют переходить на новое. В числе причин отказа от перемен они называют целый ряд факторов, включая привычку к старым программам, сложность новых систем, их неудобство и непродуманность.
Но если об удобстве и эффективности применения старых или новых продуктов еще можно спорить (поскольку в этом аспекте велика роль субъективной оценки), то в вопросе информационной безопасности существенные компромиссы недопустимы. При этом крайне важно рассматривать не только встроенный защитный функционал программного продукта, но и его способность противостоять кибератакам.
К сожалению, разработать абсолютно неуязвимое программное обеспечение невозможно: рано или поздно обнаружится очередная уязвимость, которую можно будет устранить лишь путем оперативного обновления.
Еще больше трудностей связано с поддержкой нового программного и аппаратного обеспечения. Никто не хочет столкнуться с неразрешимой проблемой, когда новые решения несовместимы с имеющимся устаревшим продуктом, а техническая поддержка последнего и выпуск обновлений для него уже прекращены.
Для управления инфраструктурой открытых ключей (PKI) большинство организаций до сих пор используют иностранные продукты класса Card Management System (CMS), такие как Thales SafeNet Authentication Manager (SAM), vSEC:CMS от компании Versasec, ActiveID CMS от HID Global или платформа EJBCA Enterprise, разработанная PrimeKey.
Если для управления PKI применять программное обеспечение, которое устарело или перестало поддерживаться, либо иностранные решения, это не только создаст очевидные угрозы в сфере информационной безопасности, но и может обусловить ограничения в будущем. Дело в том, что постепенно станут выпускаться новые модели смарт-карт и усовершенствованные алгоритмы, а также будут внедряться новые сторонние программы и операционные системы, которые устаревшее ПО не сможет поддерживать. И это не говоря о совместимости с продуктами, в которых используется шифрование на основе алгоритмов, предусмотренных ГОСТами.
В описанной ситуации оптимальным решением будет миграция на иной продукт для управления PKI, поддерживаемый и развиваемый российским разработчиком.
Решение
Чтобы заменить привычный старый продукт, нужно отыскать его полноценный качественный аналог.
Сегодня для управления инфраструктурой открытых ключей и электронных подписей в основном используются решения класса CMS. Под них ранее подбирались модели смарт-карт и USB-токенов, они интегрированы с имеющимися клиентскими и серверными операционными системами, каталогами пользователей, удостоверяющими центрами. Для эксплуатации подобных продуктов разработаны соответствующие инструкции, регламенты и протоколы.
В ходе миграции на новый продукт крайне важно решить следующие задачи:
- сохранить стабильность и преемственность функциональных особенностей;
- обеспечить удобство эксплуатации новой системы;
- осуществить плавный переход на новый продукт, не прервав бизнес-процессов
Платформа Indeed Certificate Manager (Indeed CM) идеально подходит для замены решений класса CMS, поскольку она:
- поддерживает те же самые протоколы, ОС, аппаратное и программное обеспечение;
- позволяет решать все задачи бизнеса;
- обладает схожей архитектурой и развертывается по аналогичной схеме;
- предоставляет удобный интерфейс и более эффективные инструменты управления и самообслуживания;
- поддерживает сценарии «плавной» миграции с иностранных CMS;
- предоставляет дополнительные функциональные возможности;
- гарантирует техническую поддержку и последующее развитие.
Миграция
Стабильность и преемственность
Сегодня на рынке много решений для управления PKI. У каждого из них есть преимущества и недостатки. Но просто перейти на новый продукт недостаточно – нужно обеспечить полную преемственность и совместимость с имеющимися технологиями.
Поэтому прежде чем принять решение о миграции, необходимо ответить на вопрос о том, позволит ли новый продукт решать все задачи, стоящие перед организацией.
Новое решение должно, как минимум, выполнять все задачи, которые возлагались на CMS, и в идеале не требовать существенной переработки процесса управления PKI. Иными словами, оно должно соответствовать имеющимся регламентам и протоколам, требованиям регулирующих органов и т. д.
Решение Indeed CM выступает достойной заменой CMS, поскольку оно позволяет выполнять все типовые сценарии эксплуатации и предоставляет следующие возможности:
- поддержка аналогичных операционных систем;
- поддержка аналогичных удостоверяющих центров;
- поддержка аналогичных смарт-карт и USB-токенов;
- поддержка работы с несколькими удостоверяющими центрами;
- ролевая система управления полномочиями;
- веб-приложение для администрирования и самообслуживания пользователей;
- широкий и настраиваемый перечень полномочий рядовых пользователей для работы со смарт-картами и USB-токенами;
- поддержка собственных виртуальных смарт-карт.
Удобство использования
При выборе новых операционных систем и программных продуктов огромную роль играет привычка. Миграция на новинки зачастую встречает сопротивление, поскольку людям не хочется тратить время и силы на изучение нового продукта, чтобы решать те же задачи. Они по инерции выполняют необходимые действия привычными способами. Эта проблема особенно актуальна не для администраторов, а для неискушенных в ИТ рядовых пользователей, которым перестроиться на новый продукт намного сложнее.
Безусловно, платформа Indeed CM отличается от других решений класса CMS: у нее иной пользовательский интерфейс. Но окончательный вывод об удобстве Indeed CM можно сделать только по итогам тестовой эксплуатации, в ходе которой нужно получить от сотрудников отзывы о том, насколько эффективно они могут выполнять служебные обязанности при использовании новой системы.
Платформа Indeed CM не только не уступает иностранным CMS в удобстве эксплуатации, но и превосходит их. Это обеспечивают, в частности, следующие ее преимущества:
- Гибкие настройки прав пользователей на самообслуживание, выпуск, обновление и блокировку смарт-карт.
- Организация предварительных демонстраций для ознакомления с интерфейсом и возможностями консолей администратора и пользователя.
- Тестовое развертывание для полноценных испытаний в «боевых» условиях.
- Наличие инструкций, понятных бывшим администраторам и пользователям иных продуктов класса CMS.
- Дальнейшее развитие и совершенствование веб-консолей администратора и пользователя для повышения удобства и эффективности эксплуатации.
Сопровождение миграции
Когда выбирают новое программное обеспечение для управления PKI, в первую очередь оценивают не только поддержку аналогичных технологий и удобство эксплуатации, но и легкость миграции.
Процесс перехода зачастую весьма трудоемок и грозит нарушить бизнес-процесс управления инфраструктурой открытых ключей. При этом не все сведения из базы данных старого продукта могут быть перенесены в базу нового без потерь.
Компания Индид уже разработала сценарий перехода, а также подготовила и протестировала весь необходимый инструментарий. Процесс перехода состоит из следующих этапов:
- полное обследование ИТ-инфраструктуры и процесса управления смарт-картами, USB-токенами и сертификатами;
- тестовая эксплуатация решения Indeed CM применительно к реальным задачам;
- составление детального отчета по итогам тестовой эксплуатации, фиксация всех ключевых моментов;
- разработка плана миграции, плана обучения администраторов и пользователей PKI;
- внедрение компонентов Indeed CM;
- перенос баз данных и сертификатов с серверов CMS при помощи специализированного инструментария;
- опытная эксплуатация и испытания развернутой системы;
- обучение администраторов;
- обучение и поэтапный перевод рядовых сотрудников на новый продукт;
- последующее сопровождение и техническая поддержка в приоритетном режиме для оперативного решения возникающих проблем.
Важно отметить, что Indeed CM и конкурирующая CMS могут работать в общей ИТ-инфраструктуре одновременно и независимо друг от друга, не создавая рисков нарушения работоспособности компонентов CMS. Это позволяет плавно перейти на Indeed CM, параллельно оценивая эффективность решения привычных задач новым продуктом.
В рамках такого сценария окончательный переход осуществляется только после того, как станет ясно, что Indeed CM полностью и эффективно решает все существующие задачи, а сотрудники научились корректно использовать платформу в работе.
Специалисты Компании Индид помогут должным образом провести все подготовительные этапы и деликатно осуществить процесс миграции и обучения.
Технические характеристики
Поддерживаемые каталоги пользователей
- Active Directory
- Многодоменная инфраструктура
Поддерживаемые удостоверяющие центры:
- КриптоПро УЦ
- Microsoft CA
- Валидата УЦ
Поддержка типов носителей ключевой информации:
- Съемные аппаратные носители.
- Реестр ОС семейства Microsoft Windows.
- Trusted Platform Module (TPM).
- Microsoft Windows Hello for Business.
- Indeed AirCard Enterprise.
Поддержка моделей съемных аппаратных носителей ключевой информации:
- ACOS, от ACS
- HID Crescendo, от HID
- ID-One Cosmo, от Bit4id
- SCinterface от cryptovision GmbH
- TicTok V2, V3 от CRYPTAS IT-Security GmbH
- Рутокен от Актив
- eToken и ID Prime от Thales Group (ex SafeNet и Gemalto)
- ESMART от ISBC
- JaCarta от Аладдин Р.Д.
- Yubikey от Yubico
- ePass от Feitian
