официальный блог компании индид

многофакторная аутентификация, контроль администраторов и управление сертификатами

Indeed-Id ESSO PKI Edition

В первом квартале 2012 года будет выпущен финальный релиз продукта Indeed-Id ESSO, в которой реализована интеграция с инфраструктурой открытых ключей (PKI). Поддержка PKI позволяет использовать сертификаты пользователей для шифрования учетных данных, что позволяет получить качественно новый уровень защищенности системы. Использование Indeed-Id ESSO в PKI режиме наиболее актуально и дает максимальный эффект в следующих ситуациях (по сравнению со стандартным режимом работы Indeed-Id ESSO):

  • В организации уже развернута и используется инфраструктура открытых ключей (PKI).
  • Организация использует средства двухфакторной аутентификации на базе Aladdin eToken.
  • Организация стремится задействовать современные средства криптографии при осуществлении операций аутентификации в сети, информационных системах, унаследованных приложениях, которые штатно не поддерживают такую возможность
  • Организация стремится обеспечить возможность централизованно приостанавливать (или дистанционно блокировать) доступ сотрудника ко всем информационным ресурсам за счет инициирования операции отзыва сертификата
  • Сотрудники организации используют смешанный режим работы с информационными ресурсами, получая к ним доступ в моменты офисного присутствия, при работе из дома, из командировки, в моменты обрыва соединения с центральным офисом и т.п. Для прозрачной работы пользователей в этих ситуациях, информация об учетных данных и паролях, используемая ESSO системой, требует гибридной модели хранения (централизованное управление и хранение на сервере с автоматической синхронизацией в локальном кеше). Indeed-Id ESSO в PKI режиме позволяет достичь высочайшего уровня безопасности кеша за счет хранения данных в формате криптокапсулы.

Использование Indeed-Id ESSO в PKI режиме позволяет получить компании ряд важных преимуществ, по сравнению со стандартным режимом работы Indeed-Id ESSO или другими ESSO-системами:

  • Защита данных пользователя Indeed-Id ESSO (сведения об учетных записях, паролях, параметрах доступа и т.п.) осуществляется с использованием персонального сертификата сотрудника (формируется уникальная криптокапсула). Только сотрудник, владеющий закрытой частью выпущенного сертификата, имеет техническую возможность расшифровать криптокапсулу, содержащую данные ESSO-профиля. Администратор ESSO-системы такой возможности не имеет, что минимизирует риск превышения администратором своих полномочий.
  • Данные пользователя передаются по каналам коммуникации только в формате криптокапсулы.
  • Проверка валидности сертификата сотрудника перед извлечением данных из криптокапсулы (отказ в случае отзыва или окончания срока действия сертификата).
  • Децентрализованная схема шифрования данных, осуществляемая с использованием персональных сертификатов пользователей. Сервер Indeed-Id не осуществляет операции шифрования данных и не хранит ключи шифрования. С одной стороны  это повышает производительность сервера, с другой — исключает риск хищения серверных ключей шифрования и, как следствие, компрометации данных.
  • Для аварийного восстановления данных (в случае невозможности использовать сертификат пользователя для расшифровки) предусмотрена возможность прозрачного шифрования данных с использованием персонального сертификата Backup-оператора (с помощью которого выполняется процедура восстановления данных).
  • Поддержка устройств Aladdin eToken Pro USB/Smartcard: операция двухфакторной аутентификации пользователя; хранение private-ключа сертификата сотрудника; выполнение криптографических операций на борту аппаратного устройства.
  • Поддержка стандартных протоколов PKCS#11 и Microsoft Crypto API 2.0 позволяет задействовать криптографию на основе отечественных ГОСТ алгоритмов.

Метки: , , ,

Опубликовал автор: Михаил Елычев, 22 Ноя 2011 в рубрике Новости Компании Индид, Обновление продуктов



Leave a comment