Снижение затрат на управление
инфраструктурой открытых ключей

Автоматизация задач по работе с ключевыми носителями, сертификатами и удостоверяющими центрами

Certificate Manager

Использование инфраструктуры открытых ключей сопряжено с множеством рутинных операций по выпуску, контролю использования и отзыву сертификатов и ключевых носителей. Базовый инструментарий Удостоверяющих Центров не ориентирован на управления смарт-картами пользователей и позволяет выполнять только основные операции работы с сертификатами. Необходимость использования специализированных средств управления жизненными циклами карт и сертификатов возникает в условиях, когда:

    • Сертификаты пользователей используются для выполнения критичных с точки зрения бизнеса операций. В этом случае необходимо полноценно использовать возможности смарт-карт как защищенных носителей информации. Это требует контроля за использованием ключевых носителей.
    • Организация использует более одного сертификата для одного пользователя. С увеличением количества сертификатов растет нагрузка на службы ИТ и ИБ в части выпуска и своевременного обновления сертификатов.
    • Удаленное использование ключевых носителей. В случае блокировки смарт-карт в удаленном режиме использования, необходимо иметь возможность безопасной разблокировки носителя, без компрометации PIN-кода администратора.
    • Построение интегрированной системы управления доступом на базе сертификатов и смарт-карт. Современные смарт-карты имеют возможность использования их за контуром PKI. Примерами таких сценариев являются применение гибридных смарт-карт с RFID-чипом для прохода через турникеты СКУД, использование систем класса Single Sign-On и др.

Описание задачи

В общем виде можно сформулировать следующие задачи повышения эффективности управления носителями и сертификатами:

    • Использовать централизованные политики выпуска сертификатов, определяющие, каким сотрудникам какие сертификаты необходимо выпустить или отозвать
    • Своевременно уведомлять пользователей и/или администраторов о приближении окончания срока действия сертификатов
    • Централизованно распространять политики PIN-кодов
    • Предоставить сотрудникам механизм самообслуживания для оперативного решения основных задач использования ключевых носителей
    • Вести журнал операций выпуска, приостановления и отзыва сертификатов

Решение

Для решение всех указанных задач в Indeed Certificate Manager (Indeed CM) реализованы соответствующие функции.

Централизованные политики выпуска сертификатов

Все параметры работы Indeed CM распространяются через механизм политик. Политика содержит в себе необходимые данные для подключения к удостоверяющим центрам, перечень сертификатов для выпуска и дополнительные параметры сертификатов (такие как создание резервной копии ключей, автоматическое одобрение выпуска и др.). Политика назначается на узел организационной структуры (например, OU домена Active Directory) и все пользователи, находящиеся в данном узле или в его дочерних объектах получают настройки из политики. Дополнительно область действия политики можно отфильтровать пользовательской группой, например, на один объект организационной структуры можно назначить несколько политик и разделить пользователей между ними с помощью групп.

Сертификат в политике может быть отмечен как обязательный к выпуску, в этом случае при выпуске ключевого носителя сертификат будет автоматически выпущен и записан в память устройства; также сертификат может быть отмечен как необязательный, в этом случае при выпуске смарт-карты у оператора будет возможность решить, нужно ли выпускать такой сертификат или нет.

Уведомления пользователей и администраторов

В Indeed CM реализован механизм почтовых уведомлений, любое событие системы может быть отправлено администратору, пользователю или руководителю пользователя. Примерами таких события является приближение окончание срока действия сертификата, блокировка устройства, перевыпуск сертификата и др.

Централизованное распространение политик PIN-кодов

Перед выпуском устройства Indeed CM может выполнять его инициализацию, устанавливая необходимые параметры для PIN: минимальная и максимальная длина, необходимые символы, время жизни и другое, конкретный набор параметров определяется производителем устройств. Кроме того, система может генерировать случайный PIN пользователя и, например, отправлять PIN по email или печатать его на PIN-конверте.

Механизм самообслуживания

Indeed CM включает в себя сервис самообслуживания, который выполнен в формате web-приложения. В этом сервисе пользователи могут выполнить выпуск устройства, обновление сертификатов, смену PIN-кода, отзыв сертификатов и др. Конкретный набор доступных пользователям операций определяется администратором в политиках Indeed CM.

Журналирование операций с сертификатами и ключевыми носителями

Все операции, выполняемые в системе фиксируются в журнале событий. Журнал хранится на сервере системы и доступен для просмотра администратором в web-консоли управления. При необходимости, события журнала можно отфильтровать по пользователю, устройству, конкретному событию или компоненту, в котором произошло событие.

Ниже приведена общая схема решения.

Схема управления инфраструктурой открытых ключей

Особенности Indeed CM

Поддержка различных производителей смарт-карт

Indeed CM ориентирован на работу с различными смарт-картами, при этом все поддерживаемые карты можно использовать в рамках одной инфраструктуры. Архитектура решения построена таким образом, чтобы иметь возможность оперативной поддержки новых ключевых носителей. На данном этапе поддерживаются следующие ключевые носители:

Виртуальная смарт-карта

Indeed CM поддерживает виртуальную смарт-карту Indeed AirKey Enterprise, которая представляет собой программную реализацию смарт-карты, позволяющую выполнять полный набор операций, доступный аппаратным ключевым носителям. Виртуальная карта может быть доставлена на ПК пользователя в удаленном режиме. Это позволяет, например, оперативно выпустить виртуальный дубликат смарт-карты пользователю, если он забыл или сломал аппаратную карту.

Поддержка принтеров смарт-карт

Использование специализированного принтера смарт-карт позволяет значительно сократить время на персонализацию и выпуск большого количества смарт-карт сотрудникам. Indeed CM позволяет за одну операцию в пакетном режиме выпустить сертификаты и записать их на смарт-карты, а также выполнить персонификацию карт с печатью фото и данных сотрудников на них.

Узнайте больше
Задайте вопрос в чате на нашем сайте
  • Какие задачи решает продукт?
  • Какие требования к инфраструктуре?
  • Как провести пилот?
  • Сколько стоит внедрение?
Клиенты о наших решениях
Анатолий Скородумов
Мы отказались от парольного доступа к информационным системам (ИС) банка и внедрили строгую аутентификацию на основе биометрических сканеров. Основная ценность для бизнеса при внедрении такого класса системы — снижение потерь рабочего времени и повышение комфорта при работе с ИС.
Анатолий Скородумов
Начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»
Иван Чернокнижников
«Проблемы с паролями в большой степени определяются человеческим фактором, поэтому простые организационные меры в данном случае малоэффективны. Для обеспечения безопасности данных необходимо использовать более защищенные методы аутентификации
Иван Чернокнижников
Руководитель отдела информационных технологий компании ООО «Газпром сера»
Алексей Иванов
Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.
Алексей Иванов
Начальник Управления защиты информации Службы информационной безопасности АКБ "Абсолют Банк" (ПАО)
Александр Синицын
Количество систем и приложений выросло настолько, что стало практически невозможно дать ответ на простой вопрос: «Кто, к чему и на каких основаниях имеет доступ?». С помощью централизованных инструментов у администратора появилась возможность управлять правилами и политиками предоставления доступа.
Александр Синицын
начальник службы информационной безопасности ОАО «Крайинвестбанк»
Юрий Юрченко
Для "ОКБМ Африкантов", имеющего только в одной сети свыше 3000 рабочих станций, возможность централизованного управления доступом и аутентификацией крайне важна, ведь это позволяет не только в разы сэкономить время ИТ-персонала, но и в первую очередь сократить время ожидания для бизнес-пользователей.
Юрий Юрченко
руководитель IT-отдела ОАО «ОКБМ Африкантов»