Инфраструктура открытых ключей: From Legacy to Modern PKI

by
https://www.anti-malware.ru/files/styles/imagesize400w/public/images/source/13-09-2020-practice.png?itok=5wPq8NmT

Может ли компания управлять своими цифровыми сертификатами, ЭЦП, токенами и прочими атрибутами PKI вручную? Может, если их — два-три десятка. А если их количество приближается к полусотне и больше, то уже не обойтись без системы управления их выпуском, обновлением, заменой или отзывом. Но даже после внедрения такой системы нужно понимать, что управлению PKI потребуется модернизация в будущем.

 

 

 

 

  1. Введение
  2. Проблема отсутствия централизованного управления инфраструктурой PKI
  3. Использование устаревших решений для управления инфраструктурой PKI
  4. Новая эра управления PKI. Современные инструменты для корпоративного использования

      1. 4.1. Централизованное управление и контроль PKI
      2. 4.2. Поддержка ключевых носителей различных производителей
      3. 4.3. Технологии интеграции
      4. 4.4. Автоматическая инвентаризация средств криптографической защиты информации
      5. 4.5. Хранение и использование цифровых сертификатов без съёмных носителей
      6. 4.6. Самообслуживание пользователей

  5. Миграция с устаревших решений
  6. Выводы

 

Введение

В последние годы мы наблюдаем не просто стремительное развитие цифровых технологий, а возрастающее значение полноценной, юридически значимой активности в цифровом мире. Особенно заметно масштабирование применения цифровой подписи как признанного на государственном уровне способа подтверждения подлинности электронных документов, которые прочно закрепились в деятельности каждой компании.

Сегодня электронная подпись и цифровые сертификаты используются не только внутри организаций, но и для реализации межведомственного электронного документооборота, работы с дистанционным банковским обслуживанием, подачи документов на участие в тендерах через электронные площадки и в других сферах деятельности компаний. Технологиями использования электронных подписей и открытых ключей на мобильных устройствах (смартфоны, планшеты), для взаимодействия с устройствами интернета вещей или сегментов АСУ ТП и вовсе уже никого не удивить. Поэтому корректное, грамотное и безопасное использование электронных подписей — жизненно важное условие для работы большинства организаций в России.

Следовательно, в одной организации могут одновременно использоваться десятки, сотни и даже десятки тысяч цифровых сертификатов, но работа с их многообразием не всегда выстроена эффективно. Впрочем, даже при видимом удобстве используемых процессов возникают проблемы их подстройки под растущие корпоративные требования.

Расскажем о том, почему инфраструктура открытых ключей требует передовых технологий для централизованного управления ими и как заменить устаревшие решения на современные.

 

Проблема отсутствия централизованного управления инфраструктурой PKI

Инфраструктура открытых ключей (Public Key Infrastructure, PKI) — это комплекс программных и аппаратных средств для реализации всего спектра операций с цифровыми сертификатами открытого ключа электронной подписи.

PKI решает разные проблемы информационной безопасности:

Однако сопровождение самой инфраструктуры открытых ключей порождает ряд новых задач:

На уровне одного УЦ эти задачи решить невозможно из-за отсутствия поддержки конкурентных решений и сертификатов, выпущенных другими удостоверяющими центрами.

Более того, не все существующие УЦ поддерживают работу с альтернативными носителями цифровых сертификатов (облачные и сетевые хранилища, локальные хранилища в защищённых модулях (HSM, TPM)), а заменить УЦ не всегда представляется возможным или целесообразным.

Для решения этих задач применяют специализированные программные комплексы класса PKI Management, которые не только поддерживают продукты различных производителей, но и осуществляют централизованный контроль за всей инфраструктурой.

 

Использование устаревших решений для управления инфраструктурой PKI

Прогресс неудержимо движется вперёд, и на рынке появляются усовершенствованные ИТ-продукты: выходят новые версии операционных систем, развиваются и обрастают дополнительной функциональностью прикладные программы, выпускается новое аппаратное обеспечение.

Однако многие организации до сих пор используют ПО, разработчики которого прекратили его поддержку и обновление. Консервативно настроенные представители компаний даже не планируют переходить на новое, мотивируя свой отказ множеством факторов, таких как привычка, сложность новых систем, их неудобство и непродуманность.

Одним из наиболее популярных в прошлом решений для управления PKI является продукт SafeNet Authentication Manager (SAM), последняя версия которого вышла в 2012 году. С июня 2021 года поддержка и обновление SAM будут полностью прекращены.

Если вопрос удобства и эффективности использования старых или новых продуктов является спорным, т. к. основывается на субъективной оценке, то вопрос обеспечения информационной безопасности ощущается весьма остро. Речь идёт не просто о встроенной защитной функциональности программного продукта, а именно о его способности противостоять кибератакам.

К сожалению, разработка программного обеспечения, защищённого от атак навсегда, технически невозможна: рано или поздно найдётся очередная уязвимость, которую может закрыть только разработчик, оперативно выпустив соответствующее обновление. Поэтому использование устаревшего и неподдерживаемого ПО несёт риски для информационной безопасности, т. к. возрастает вероятность обнаружения уязвимостей, которые не будут нейтрализованы.

Согласно исследованиям Positive Technologies по итогам 2019 года:

Более того, ни одна компания не захочет столкнуться с неразрешимой задачей: новое программное и аппаратное обеспечение несовместимо с используемым устаревшим продуктом, разработчик которого уже не сможет оказать техническую поддержку и не выпустит обновлений. Миграция с устаревших решений до окончания их поддержки является одной из основных задач современного качественного управления PKI в коммерческих и государственных организациях.

 

Новая эра управления PKI. Современные инструменты для корпоративного использования

Распространение сертификатов в корпоративной среде создаёт дополнительные испытания для бизнеса, требующие формирования эффективного подхода к  автоматизированному управлению инфраструктурой открытых ключей и ключевыми носителями, а также контролю за их корректным использованием.

Для качественного решения описанных задач требуется внедрение системы класса PKI Management, к которому относится, в частности, Indeed Certificate Manager (Indeed CM), разработанный компанией «Индид».

На протяжении 8 лет компания «Индид» непрерывно дорабатывает и совершенствует продукт. Появляется поддержка новых сценариев использования цифровых сертификатов, новых моделей носителей, разрабатываются механизмы интеграции с иными компонентами ИТ-инфраструктуры: контроллеры домена, удостоверяющие центры, средства защиты информации.

 

Централизованное управление и контроль PKI

Использование Indeed CM сокращает издержки компаний на рутинные операции сотрудников в процессе обслуживания инфраструктуры PKI.

Ниже описаны основные функциональные возможности программного комплекса Indeed CM.

Платформа отображает сводную информацию об актуальном состоянии инфраструктуры открытых ключей и носителей цифровых сертификатов.

 

Рисунок 1. Сводная информация о состоянии Indeed CM

 

https://www.anti-malware.ru/files/13-09-2020/ris_1.png

 

Indeed CM отправляет почтовые уведомления администраторам и пользователям в ответ на заданные события системы. Например, администратор и / или пользователь получают уведомление о скором окончании срока действия сертификата для его своевременного обновления и предупреждения простоев в работе сотрудника.

Также в Indeed CM реализована гибкая настройка прав на работу с системой для самостоятельного назначения ролей безопасности с настраиваемым перечнем разрешённых операций. Это позволит администраторам привести ролевую модель Indeed CM в соответствие с принятыми в компании бизнес-процессами.

 

Рисунок 2. Настройка ролевых моделей

 

https://www.anti-malware.ru/files/13-09-2020/ris_2.png

 

Работа с сертификатами подразумевает следующие процессы и операции:

Работа с носителями также предоставляет ряд возможностей:

 

Рисунок 3. Устройства пользователя

 

https://www.anti-malware.ru/files/13-09-2020/ris_3.png

 

Для контроля использования ключевых носителей (смарт-карт, USB-токенов и пр.) и сертификатов на рабочих местах на ПК сотрудников устанавливается клиентский агент. Он выполняет следующие операции:

 

Рисунок 4. Операции с устройством пользователя

 

https://www.anti-malware.ru/files/13-09-2020/ris_4.png

 

На рабочих станциях сотрудников агент выполняет такие задачи, как смена PIN-кода пользователя, блокировка и разблокировка носителя, обновление сертификатов на носителе и удаление информации с него.

 

Поддержка ключевых носителей различных производителей

Технологии совершенствуются, выходят новые виды ключевых носителей, поддерживающие новые алгоритмы шифрования и механизмы защиты.  Предшествующие модели устаревают и выводятся из оборота.

Indeed CM поддерживает операции с различными моделями носителей сертификатов через специализированный модуль — Indeed CM Middleware. Это — клиентское ПО, устанавливаемое на рабочие места администраторов и пользователей. Middleware обеспечивает выполнение операций, требующих доступа к носителю: установка и сброс PIN-кода, генерация ключей, запись сертификатов, инициализация и другие.

Вот неполный список ключевых носителей, работу с которыми поддерживает Indeed CM:

 

Технологии интеграции

Основная задача управления PKI — интеграция и поддержка сторонних продуктов и технологий для обеспечения приемлемого уровня информационной безопасности и автоматизации операций управления.

Для связи с удостоверяющими центрами в Indeed CM имеются специализированные коннекторы. С их помощью продукт выполняет следующие операции:

Indeed Certificate Manager поддерживает работу с удостоверяющими центрами и сервисами электронной подписи Microsoft CA, «КриптоПро УЦ», «Валидата УЦ».

Программный комплекс получает информацию о пользователях из стороннего каталога. В качестве такового могут применяться Microsoft Active Directory или база пользователей «КриптоПро УЦ».

Программный интерфейс (API) Indeed CM предназначен для управления ключевыми носителями и пользовательскими сертификатами из сторонних систем, таких как Identity Management (IdM). API предоставляет функции для реализации следующих сценариев:

Платформа имеет коннектор к системе управления доступом Indeed Access Manager (Indeed AM), который автоматически регистрирует выпускаемый в Indeed CM ключевой носитель в её базе данных. После этого пользователь сразу может применять свою смарт-карту или USB-токен не только для операций с ЭЦП, но и для доступа в прикладные информационные системы с помощью Indeed AM Enterprise SSO.

Ещё один коннектор — к специализированному принтеру смарт-карт — позволяет значительно сократить время на персонализацию и выпуск последних для большого количества сотрудников. Indeed CM за одну операцию в пакетном режиме выпускает сертификаты и записывает их на смарт-карты, а также выполняет персонификацию карт с печатью данных сотрудников на них.

Поддерживается интеграция со специализированным средством защиты от НСД конечного узла (Endpoint Security) Secret Net Studio. Выпускаемый через Indeed CM USB-токен или смарт-карта регистрируется в базе Secret Net Studio, и на него записывается соответствующая аутентификационная информация вместе с сертификатами пользователя.

 

Автоматическая инвентаризация средств криптографической защиты информации

Согласно требованиям приказа ФАПСИ № 152 операторы средств криптографической защиты информации (СКЗИ) обязаны вести журнал СКЗИ на постоянной основе. Эта задача требует дополнительных трудозатрат со стороны сотрудников отделов ИТ и ИБ.

Журнал учета СКЗИ автоматически формирует перечень данных об использовании этих средств. При выпуске сертификата Indeed CM автоматически добавляет соответствующую запись в журнал. Платформа учитывает любые типы СКЗИ: ключевой документ, дистрибутив, лицензия, документация, пользовательский тип. Администратор может экспортировать журнал в формате CSV или PDF для дальнейшей обработки или предъявления его аудиторам.

 

Рисунок 5. Учёт СКЗИ

 

https://www.anti-malware.ru/files/13-09-2020/ris_5.png

 

С использованием журнала можно формировать отчёты, соответствующие требованиям приказа ФАПСИ № 152. Его применение удобно для сокращения трудозатрат сотрудников отдела безопасности компании, т. к. с его помощью можно выполнять требования регуляторов в части учёта средств криптографической защиты без применения бумажных носителей и ручного заполнения необходимых данных.

 

Рисунок 6. Версия журнала СКЗИ для печати

 

https://www.anti-malware.ru/files/13-09-2020/ris_6.png

 

Хранение и использование цифровых сертификатов без съёмных носителей

При всех своих преимуществах цифровые сертификаты вводят одно ключевое требование: наличие защищённого аппаратного компонента, который будет использоваться для хранения ключевой информации и реализовывать все криптографические операции.

Классическое решение этой задачи заключается в использовании специализированных аппаратных аутентификаторов: смарт-карт или USB-токенов.

Однако для целей реализации корпоративной мобильности и удалённого доступа сотрудников в информационные системы компании применение таких выделенных технических устройств кроме преимуществ с точки зрения информационной безопасности несёт ряд ограничений:

Кроме того, компания должна учитывать требования законодательства в сфере обращения с ключевыми носителями и цифровыми сертификатами.

Альтернативным решением такой задачи будет использование платформы, не требующей обязательного наличия внешнего (съёмного) носителя ключевой информации. Такая платформа может быть использована совместно с аппаратными устройствами для минимизации последствий утери или повреждения токена либо в случае ожидания его доставки.

Indeed CM поддерживает ряд технологий для использования цифровых сертификатов без съёмного аппаратного носителя. Все технологии отображаются в карточке пользователя в виде отдельных носителей сертификатов; поддерживаются все базовые операции с такими носителями — отзыв, удаление, обновление сертификата, блокировка носителя, смена PIN-кода.

 

 

https://www.anti-malware.ru/files/13-09-2020/1.png

Trusted Platform Module

Trusted Platform Module (TPM) — специализированный модуль (криптопроцессор), в котором хранятся криптографические ключи для защиты информации. Он выполняет операции, поддерживаемые аппаратными носителями с соответствующим уровнем безопасности. Этот модуль встроен в мобильное устройство (ноутбук, смартфон).

 

 

https://www.anti-malware.ru/files/13-09-2020/2.png

Windows Hello for Business

В Windows 10 Hello for Business заменяет пароли на компьютерах и мобильных устройствах, которые имеют строгую двухфакторную проверку подлинности. Для аутентификации в этом случае используется новый тип пользовательских учётных данных, привязанных к устройству и основанных на биометрических параметрах или PIN-коде.

 

 

https://www.anti-malware.ru/files/13-09-2020/3.png

Indeed AirCard Enterprise (ранее — Indeed AirKey Enterprise)

Программные смарт-карты не требуют какого-либо дополнительного аппаратного обеспечения со стороны пользователя. Эмуляция смарт-карты осуществляется на уровне операционной системы или соответствующего приложения. При этом закрытый ключ хранится на стороне сервера.

 

 

https://www.anti-malware.ru/files/13-09-2020/4.png

Хранение сертификата в реестре

Хранение сертификата в реестре является встроенной функцией ОС Microsoft Windows. Такие сертификаты могут быть автоматически использованы соответствующими приложениями.

 

Самообслуживание пользователей

С целью повышения эффективности работы PKI часть полномочий по управлению собственными сертификатами и ключевыми носителями можно передать самим пользователям. Это снизит нагрузку на департаменты ИТ и ИБ.

 

Рисунок 7. Сервис самообслуживания пользователя

 

https://www.anti-malware.ru/files/13-09-2020/ris_7.png

 

Рядовым пользователям системы предоставляется удобный кабинет самообслуживания, выполненный в формате веб-приложения. В этом кабинете пользователи могут самостоятельно производить выпуск и обновление сертификатов, если это им разрешено политикой. Набор доступных операций задаётся администратором системы.

Пользователи могут применять ключевые носители при удалённой работе. Для ситуаций, когда ключевой носитель заблокирован, повреждён или утерян, в Indeed CM имеется специализированный интерфейс, предназначенный для удалённого подключения и оперативного решения проблем, возникших с носителем. Используя этот интерфейс, пользователь может уведомить администратора, например, о необходимости блокировки устройства.

 

Миграция с устаревших решений

Как говорилось выше, для управления инфраструктурой открытых ключей зачастую используется устаревшее и неподдерживаемое программное обеспечение, например SafeNet Authentication Manager (SAM).

Если сейчас SafeNet Authentication Manager является в компании «ядром» реализованного процесса управления инфраструктурой открытых ключей, то под него приходится подбирать поддерживаемые модели смарт-карт и USB-токенов. Он интегрирован с имеющимися клиентскими и серверными операционными системами, каталогами пользователей, удостоверяющими центрами и иными компонентами ИТ-инфраструктуры. Для эксплуатации SAM требуется разработка соответствующих инструкций, регламентов и протоколов, что усложняет дальнейшее использование устаревшего решения.

Программный комплекс Indeed Certificate Manager является современной заменой SafeNet Authentication Manager и других аналогичных продуктов, так как реализует поддержку всех типовых сценариев эксплуатации:

Когда стоит задача выбора нового программного обеспечения для управления PKI, простота миграции является одним из ключевых условий наряду с поддержкой аналогичных технологий и удобством эксплуатации. Следует принять во внимание такие вопросы миграции, как трудозатратный процесс, риск нарушения бизнес-процесса управления инфраструктурой открытых ключей или риск потери данных при переносе из старого продукта в новый.

В компании «Индид» разработан сценарий перехода, подготовлен и протестирован весь инструментарий для успешной миграции с устаревшего решения на Indeed Certificate Manager. Процесс перехода на новую платформу осуществляется по плану:

 

Рисунок 8. Схема миграции на Indeed CM

 

https://www.anti-malware.ru/files/13-09-2020/ris_8.png

 

Отметим, что Indeed Certificate Manager и SafeNet Authentication Manager могут работать одновременно и независимо друг от друга в единой ИТ-инфраструктуре без риска нарушения работоспособности компонентов SafeNet Authentication Manager. Это позволит реализовать сценарий плавного и постепенного перехода на новую платформу с оценкой эффективности реализации привычных задач в Indeed Certificate Manager.

При таком сценарии миграции окончательный переход осуществляется при полной уверенности заказчика в том, что решение Indeed CM эффективно закрывает все задачи его компании.

 

Выводы

Безусловно, можно использовать программное обеспечение, обновление и поддержка которого завершена или завершится в ближайшее время, но только до того момента, когда оно перестанет отвечать требованиям растущего бизнеса. Как только этот момент наступит, компания будет вынуждена принять меры по оперативной миграции. Мы понимаем, что такие масштабные действия, совершённые в спешке, не могут пройти бесследно — наоборот, они способны нанести урон бизнес-процессам.

Даже принимая во внимание проблемы, связанные с эксплуатацией устаревшего программного обеспечения, недостаточно просто заменить один продукт другим. Процесс миграции трудоёмок, затратен по времени, поэтому важно быть уверенным в том, что новый продукт не только закрывает все актуальные задачи, но и сможет соответствовать будущим потребностям компании, предоставляя обновляемую платформу и качественный сервис технической поддержки.

Поэтому компания «Индид» призывает пересмотреть отношение к использованию устаревающих решений и обдумать переход на новую, современную платформу централизованного управления PKI.

Программный комплекс Indeed Certificate Manager обладает дополнительной функциональностью (по сравнению с SafeNet Authentication Manager):

При планировании своих задач в долгосрочной перспективе заказчик не всегда может спрогнозировать, какие новые ИТ-ресурсы и технологии он будет использовать. Понимая это, компания «Индид» предоставляет услугу по доработке функциональности программного комплекса под потребности заказчиков. Кроме того, наша служба технической поддержки оперативно приходит на помощь заказчикам, используя современные технологии.