Централизованное управление инфраструктурой открытых ключей

Решение на основе Indeed CM контролирует использование сертификатов КЭП и их носителей с ведением журнала СКЗИ

Описание решения

Задача

Сегодня электронная подпись и цифровые сертификаты используются не только внутри организаций для собственных нужд, но и для реализации межведомственного электронного документооборота, для работы с дистанционным банковским обслуживанием, для подачи заявок на конкурсных площадках. Иными словами, корректное, грамотное и безопасное применение электронной подписи жизненно необходимо для любой организации.

Внедрение PKI и асимметричной криптографии решает следующие задачи информационной безопасности:

  • замена устаревшей парольной аутентификации на усиленную двухфакторную при доступе в операционную систему и приложения (VPN, VDI и др.);
  • цифровая подпись и шифрование электронной почты;
  • применение квалифицированной электронной подписи для соответствия требованиям регуляторов, обеспечения юридически значимого документооборота, взаимодействия с системами дистанционного банковского обслуживания, участия в конкурсах и закупках;
  • шифрование данных: файлов, дисков и другой информации.

Однако сопровождение и управление PKI порождает ряд новых задач:

  • проблемы реализации единых подходов для управления устройствами разных моделей, а также сертификатами, выпущенными разными удостоверяющими центрами;
  • выпуск сертификатов пользователей в соответствии с их задачами: необходимо обеспечить наличие на смарт-карте пользователя требуемых для его работы сертификатов, не предоставив при этом избыточных сертификатов;
  • централизованное управление политиками PIN-кодов устройств (смарт-карт и USB-токенов): политики сложности PIN-кодов, регулярность их смены;
  • контроль сроков действия сертификатов, своевременное их обновление;
  • ведение учета смарт-карт и USB-токенов, закрепление их за сотрудниками и за их рабочими станциями для контроля за использованием ключевых носителей в организации;
  • ведение журнала учета средств криптографической защиты информации (СКЗИ) для соответствия требованиям регуляторов;
  • разблокировка заблокированных устройств, когда пользователь забывает свой PIN.

С развитием облачных технологий и распространением формата удаленной работы все популярнее становятся различные технологии, позволяющие использовать сертификаты без аппаратного ключевого носителя: сетевые и виртуальные смарт-карты, электронная подпись в облаке и на смартфоне.

Сложности, возникающие при администрировании и эксплуатации PKI, могут привести к финансовым и временным потерям организации, не говоря уже об угрозах информационной безопасности. Оптимальным решением будет использование специализированного продукта класса PKI Management – продукта для централизованного мониторинга и управления.

Продукты данного класса в первую очередь позволяют выполнять функции “менеджера сертификатов”. Соответственно, применение подобных программных комплексов позволит существенно повысить эффективность управления PKI и уровень информационной безопасности.

Решение

Для повышения эффективности и снижения издержек при администрировании PKI предлагается использовать комплексное решение Indeed Certificate Manager. Продукт направлен на централизацию и повышение эффективности операций, связанных с сертификатами, а также носителями ключевой информации.

Схема системы управления инфраструктурой открытых ключей

Важно отметить, что продукт Indeed CM не зависит от разработчиков удостоверяющих центров и аппаратных носителей. Соответственно, решение универсально для применения с разными продуктами.

Платформа Indeed CM предоставляет следующий функционал:

Платформа Indeed CM
  • политики управления (выпуск, обновление, отзыв) всеми сертификатами, находящимися в обращении в компании;
  • политики управления носителями ключевой информации;
  • интеграция с компонентами инфраструктуры открытых ключей: удостоверяющие центры и центры регистрации, принтеры смарт-карт и т.п.;
  • интеграция с компонентами ИТ-инфраструктуры: службы каталогов, хранилища сертификатов, почтовые сервисы и т.п.
  • интеграция со средствами защиты информации: системы управления аутентификацией, средства защиты рабочих мест;
  • сервисы управления для администраторов и операторов системы;
  • сервисы самообслуживания пользователей;
  • предоставление сводной информации о контролируемых объектах (сертификаты, носители ключевой информации, пользователи);
  • предоставление программных интерфейсов (API) для интеграции со сторонними системами.

Поддерживаются следующие операции с ключами и сертификатами:

  • генерация ключевой пары и передача запроса на сертификат на УЦ;
  • выдача и отзыв сертификата открытого ключа;
  • обновление сертификатов.

Поддерживаются следующие операции с носителями ключевой информации:

  • инициализация и присвоение пользователю;
  • блокировка и разблокировка носителя;
  • установка и смена PIN-кода (поддерживаются требования к парольным политикам).

Иными словами, Indeed CM предоставляет администраторам и операторам PKI многофункциональную консоль управления сертификатами и ключевыми носителями.

Все параметры Indeed CM распространяются через механизм политик. Политика содержит в себе необходимые данные для подключения к удостоверяющим центрам, перечень сертификатов для выпуска и дополнительные параметры сертификатов (создание резервной копии ключей, использование ключей повторно при обновлении истекающих/истекших сертификатов и др.).

Политика назначается на узел организационной структуры (например, OU домена Active Directory), и все пользователи, находящиеся в данном узле или в его дочерних объектах, получают настройки из политики.

Дополнительно область действия политики можно отфильтровать пользовательской группой – на один объект организационной структуры можно назначить несколько политик и разделить пользователей между ними с помощью групп.

Технические характеристики

Поддержка интеграции с каталогом пользователей:

  • Active Directory

Поддерживаемые Удостоверяющие центры:

  • КриптоПро УЦ
  • Microsoft CA
  • Валидата УЦ

Поддерживаемый сервис облачной электронной подписи:

  • КриптоПРО DSS

Поддерживаемые типы операций с УЦ:

  • Получение шаблонов сертификатов
  • Одобрение запросов на сертификаты
  • Выпуск и перевыпуск сертификатов
  • Приостановка действия и отзыв сертификатов
  • Проверка статуса сертификата
  • Создание и обновление данных пользователя УЦ

Поддержка типов носителей ключевой информации:

  • Съемные аппаратные носители
  • Реестр ОС семейства Microsoft Windows
  • Trusted Platform Module (TPM)
  • Microsoft Windows Hello for Business
  • Indeed AirCard Enterprise

Поддержка моделей съемных аппаратных носителей ключевой информации:

  • ACOS от ACS
  • HID Crescendo от HID
  • ID-One Cosmo от Bit4id
  • SCinterface от cryptovision GmbH
  • TicTok V2, V3 от CRYPTAS IT-Security GmbH
  • Рутокен от Актив
  • eToken и ID Prime от Thales Group (ex SafeNet и Gemalto)
  • ESMART от ISBC
  • JaCarta от Аладдин Р.Д.
  • Yubikey от Yubico
  • ePass от Feitian
ACSHIDBit4idcryptovision GmbHАктив (Рутокен)Thales GroupISBCАладдин Р.Д.YubicoFeitian

Демонстрация работы решения

Посмотрите трехминутный ролик о личном кабинете пользователя в Indeed CM

Технические характеристики Indeed CM

Перейти на продуктовую страницу Indeed CM

Другие решения Indeed CM

  • Учет СКЗИ

  • Автоматизация внедрения строгой аутентификации

  • Виртуальные смарт-карты

  • Аутентификация по смарт-картам и цифровым сертификатам

Indeed PAM
Контроль и управление доступом привилегированных пользователей
Indeed ITDR
Комплексная защита инфраструктуры айдентити
Indeed AM
Управление доступом к цифровым активам компании с возможностью многофакторной аутентификации (MFA)
Octopus IdM
Централизованное управление привилегиями и доступом к цифровым активам компании
BearPass
Безопасное хранение и администрирование корпоративных паролей и других секретов
Indeed MFA
Усиленная защита корпоративных данных с использованием технологий многофакторной аутентификации

Связаться с нами

Оставьте свои контактные данные, и наши эксперты расскажут, как предотвратить угрозы для кибербезопасности с помощью специализированных решений команды Индид