Обзор систем управления ключевыми носителями и цифровыми сертификатами (PKI)

Обзор систем управления ключевыми носителями и цифровыми сертификатами (PKI)

Обзор систем управления ключевыми носителями и цифровыми сертификатами (PKI)

Представляем обзор отечественного и мирового рынка систем управления жизненным циклом ключевых носителей с использованием инфраструктуры открытых ключей (Public Key Infrastructure — PKI). Мы проведём анализ возможностей таких решений, опишем принципы их работы и разберём основные отличия.

 

 

 

 

 

 

  1. Введение
  2. Системы управления ключевыми носителями и цифровыми сертификатами
  3. Мировой рынок систем управления ключевыми носителями и цифровыми сертификатами
  4. Российский рынок систем управления ключевыми носителями и цифровыми сертификатами (PKI)
  5. Краткий обзор возможностей систем управления ключевыми носителями
    1. 5.1. Avanpost PKI
    2. 5.2. HID ActivID Credential Management System
    3. 5.3. Indeed Certificate Manager
    4. 5.4. JaCarta Management System
    5. 5.5. SafeNet Authentication Manager
    6. 5.6. «Рутокен KeyBox»
  6. Выводы

 

Введение

Средства аутентификации, основанные на технологии открытых ключей, постепенно вытесняют традиционные механизмы, основанные на парольной защите. Это связано с большой надёжностью криптографических методов, которые не требуют запоминать и хранить пароли. Вместо этого современные информационные системы всё чаще используют различные варианты электронных подписей и аутентификацию с использованием инфраструктуры открытых ключей (Public Key Infrastructure, PKI).

PKI — это набор методов, основанный на применении сертификата открытого ключа, выпущенного удостоверяющим центром. Открытый ключ подтверждает легитимность владельца закрытого криптоключа, однако сам по себе не представляет ценности и не может быть использован для получения доступа к информационным ресурсам. Использование PKI предполагает применение защищённых носителей данных, в качестве которых выступают токены, смарт-карты, виртуальные контейнеры.

В результате перед каждой организацией, использующей аутентификацию на основе PKI, встаёт проблема управления жизненным циклом ключевых носителей. Даже небольшие компании, применяющие одну-две сотни ключей, вынуждены тратить время и силы ответственных сотрудников на контроль сроков использования сертификатов безопасности, их замену, блокировку или отзыв в случае увольнения работника.

Отдельным аспектом проблемы является групповой выпуск ключей с учётом требований существующих политик безопасности. При создании сертификатов необходимо учитывать ряд параметров, индивидуальных для каждой организации, а филиальная структура может накладывать дополнительные ограничения на этот процесс.

Помимо этого, в рамках одной компании могут использоваться десятки типов ключей и разные виды сертификатов. Часть из них выпускается внутри организации, а часть — передаётся из внешних удостоверяющих центров. Таким образом, предприятиям нужна платформа, которая будет поддерживать токены и смарт-карты разных производителей, иметь возможность работать с виртуальными носителями и мобильными решениями для аутентификации, а также максимально эффективно контролировать «чужие» сертификаты.

Ещё один важный момент связан с регламентным учётом средств криптографической защиты информации (СКЗИ). Нормативные документы диктуют особый порядок регистрации таких носителей и требуют от предприятий, работающих с персональными данными, формирования специализированной отчётности.

Все эти вопросы в разной степени решают специализированные продукты для управления ключевыми носителями и цифровыми сертификатами PKI. С момента выхода нашего предыдущего обзора таких систем на отечественном и мировом рынке произошли значительные изменения, а вендоры существенно обновили функциональность своих решений. В новом материале мы описали основные возможности современных систем управления ключевыми носителями, проанализировали актуальные тенденции глобального рынка и отдельно остановились на продуктах, предлагаемых в России.

 

Системы управления ключевыми носителями и цифровыми сертификатами

Все системы управления ключевыми носителями, представленные на рынке, позволяют выполнять ряд базовых операций, возникающих в течение жизненного цикла электронного средства аутентификации:

  • Выпуск сертификата безопасности при помощи собственного или внешнего удостоверяющего центра.
  • Привязка сертификата к физическому носителю — токену или смарт-карте. Ряд систем реализует управление виртуальными носителями. Это могут быть сертификаты безопасности в реестре ПК или специальные контейнеры (виртуальные смарт-карты и т. п.), которые можно передавать по сети или привязывать к USB-накопителям.
  • Постоянная или временная блокировка ключевого носителя, перевыпуск ключа, создание его дубликата и другие текущие операции.

Большинство систем позволяет вести учёт ключевых носителей, а также ведение журнала действий с ними. К функциям этого блока относятся:

  • Хранение информации о владельце ключа и привязка носителя к определённому рабочему месту.
  • Операции перемещения носителя между подразделениями и филиалами компании.
  • Формирование отчётов о действиях пользователей и администраторов, связанных с ключевыми носителями.

Некоторые решения предоставляют возможность передавать журналы работы с ключами в SIEM-продукты для дальнейшей обработки и анализа. Отечественные системы дополнительно реализуют функции поэкземплярного учёта СКЗИ и составления связанных с ними регламентных отчётов.

На рабочем месте пользователя обычно устанавливается клиентская часть системы управления ключевыми носителями. Она отвечает за проверку валидности ключа, а также за ряд операций с ним. Нередко такие агенты предоставляют администратору возможность удалённой блокировки токена или смарт-карты.

Ещё одной типовой функцией решений для управления ключевыми носителями является поддержка каталогов пользователей, однако подход к её реализации различается. Большинство продуктов взаимодействует с сервисами Active Directory, некоторые решения используют коннекторы к кадровым и CRM-системам, отдельные вендоры пошли по пути создания собственной службы каталогов.

Архитектура большинства систем управления ключевыми носителями включает следующие компоненты:

  • Серверная часть, отвечающая за управление защищёнными носителями и связанными с ними политиками безопасности.
  • База данных, где хранится информация о пользователях, смарт-картах и токенах, а также настройках системы.
  • Панель управления, обеспечивающая административные функции — регистрацию и отзыв ключей, настройку политик безопасности и т. д.
  • Клиентская часть, отвечающая за коммуникацию между ключевым носителем и сервером. В ряде систем такой агент предоставляет пользователю возможность самостоятельно управлять носителем.
  • Плагины и коннекторы, осуществляющие связь системы с удостоверяющими центрами и внешними платформами.

 

Мировой рынок систем управления ключевыми носителями и цифровыми сертификатами

С одной стороны, рынок систем управления ключевыми носителями относительно узок, а количество игроков, имеющих специализированные решения для контроля жизненного цикла физических устройств такого рода, невелико. С другой стороны, в составе продуктов для аутентификации, имеющихся в портфелях десятков производителей, встречаются подсистемы, отвечающие за менеджмент ключей.

Ещё один аспект глобального рынка — решения для управления цифровыми сертификатами, не связанными с физическими устройствами. Здесь мы наблюдаем обратный процесс: разработчики продуктов для управления ключевыми носителями добавляют в свои продукты функции по контролю внешних сертификатов, а также виртуальные ключи. В этом секторе всё большую долю рынка забирают облачные решения, связанные с управлением сертификатами безопасности в распределённых хранилищах.

Аналитики не выделяют системы управления ключевыми носителями и цифровыми сертификатами в самостоятельный рынок. Так, консалтинговая компания Gartner рассматривает их в рамках значительно более широкого сектора User Authentication, а также Access Management. «Магический квадрант» последнего включает глобальные компании, такие как IBM, Microsoft и Oracle, но не учитывает нишевых игроков — решения Thales или HID.

 

Рисунок 1. «Магический квадрант» Gartner для сектора Access Management, 2018 год

 «Магический квадрант» Gartner для сектора Access Management, 2018 год

 

В связи с этим можно обозначить три группы вендоров, действующих на рынке систем управления ключевыми носителями и PKI-сертификатами. Мы выделили наиболее важных, по нашему мнению, игроков в каждой из них.

Поставщики специализированных решений по управлению ключевыми носителями:

  • HID Global — Active ID,
  • Thales (Gemalto) — SafeNet Key Secure,
  • Cryptomathic — Crypto Key Management System.

Разработчики продуктов для управления сертификатами безопасности:

  • IBM — Security Key Lifecycle Manager,
  • Amazon — AWS Key Management Service,
  • Google — Cloud Key Management Service,
  • Microsoft — Azure Key Vault,
  • Townsend Security — Alliance Key Manager.

Поставщики комплексных решений для аутентификации с некоторыми функциями управления ключевыми носителями:

  • RSA — Identity and Access Management,
  • SecureAuth — Intelligent Identity Cloud,
  • OneSpan — Intelligent Adaptive Authentication.

 

Российский рынок систем управления ключевыми носителями и цифровыми сертификатами (PKI)

Решения для управления ключевыми носителями весьма востребованы отечественными компаниями. Не в последнюю очередь спрос на такие системы обусловлен нормативными актами регулирующих органов, устанавливающими требования к цифровой подписи и особый порядок учёта криптографических ключей, ограничивающими возможности использования несертифицированных решений.

Базовые документы, регулирующие использование криптографических ключей российскими организациями:

  • Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «О цифровой подписи»,
  • приказ ФАПСИ № 152 от 13 июня 2001 г.,
  • приказ ФСБ России № 66 от 9 февраля 2005 г.,
  • приказ ФСБ России № 378 от 10 июля 2014 г.,
  • приказ председателя Гостехкомиссии России № 114 от 4 июня 1999 г.,
  • приказ ФСТЭК России № 17  от 11 февраля 2013 г.,
  • приказ ФСТЭК России № 21 от 18 февраля 2013 г.,
  • приказ ФСТЭК России № 31 от 14 марта 2014 г.,
  • приказ ФСТЭК России № 239 от 25 декабря 2017 г.

Кроме того, для поставки программных продуктов в государственные органы и муниципальные службы они должны быть сертифицированы ФСТЭК России и включены в реестр отечественного ПО.

Эти факторы существенно ограничивают деятельность зарубежных поставщиков на рынке систем управления ключевыми носителями, что привело к активному развитию решений российских разработчиков. «Большая четвёрка» отечественных вендоров в этом сегменте выглядит следующим образом: «Индид», «Аванпост», «Актив», «Аладдин Р.Д.». Необходимо учитывать тот факт, что «Индид» и «Актив» продают один и тот же продукт — каждая под своим брендом (решение разработано «Индидом» и поставляется «Активом» по концепции White Label).

Следует отметить, что компании «Аладдин Р.Д.» и «Актив» являются также поставщиками аппаратных решений для идентификации — токенов и смарт-карт JaCarta и «Рутокен» соответственно. Мы уже публиковали сравнение ключей различных производителей, представленных на отечественном рынке.

Западные вендоры не в состоянии конкурировать с российскими разработчиками на рынке госконтрактов, но, тем не менее, готовы поставлять свои продукты коммерческим компаниям. Особенно сильны их позиции в секторе автоматизации местных филиалов глобальных компаний. На отечественном рынке работают представительства HID Global и Gemalto (ныне вошедшей в состав Thales).

Отсутствие давления со стороны зарубежных поставщиков, уникальные требования российских регуляторов и высокая конкуренция на внутреннем рынке привели к активному развитию функциональных возможностей отечественных продуктов. Многие из таких систем, представленных в обзоре, не только не уступают западным аналогам, но и превосходят их. Зачастую российские компании способны предоставить заказчику продукт с более широким набором функций и даже предложить более гибкую и экономически эффективную схему лицензирования.

 

Краткий обзор возможностей систем управления ключевыми носителями

В этом разделе представлены описания тех продуктов, которые доступны для приобретения на территории России.

 

 Avanpost PKI

Avanpost PKI

Российская компания «Аванпост» выпустила новую версию своей системы управления ключевыми носителями. Avanpost PKI предназначена для управления сертификатами безопасности, физическими устройствами и СКЗИ на протяжении всего их жизненного цикла — от выпуска до блокировки и отзыва. Решение состоит из серверной части, базы данных, веб-клиента для пользователя и администратора, а также агента, отвечающего за взаимодействие с ключевыми носителями в фоновом режиме.

Avanpost PKI поддерживает большое число носителей, представленных на отечественном рынке, включая полную линейку ключей eToken и «Рутокен», а также разработки JaCarta и ESMART. Система интегрируется с кадровыми решениями отечественных и зарубежных производителей и способна получать сведения о пользователях из LDAP-каталогов, CRM-продуктов и банковского ПО на основе разработок Step Up и BSS.

Решение Avanpost PKI может применяться как на предприятиях, использующих различные виды ключевых носителей в своей деятельности, так и в компаниях, оказывающих услуги по выпуску сертификатов безопасности. Система поддерживает иерархию «центр регистрации — компания — работник» с возможностью многоуровневого разделения доступа администраторов. В качестве конечного пользователя ключа может выступать не только сотрудник компании, но и информационная система. При этом в Avanpost PKI 6 можно вести учёт владельцев таких ИС.

Функциональные возможности Avanpost PKI 6:

  • Управление жизненным циклом сертификатов безопасности — выпуск, отзыв, восстановление, контроль сроков, в том числе и в автоматическом режиме.
  • Генерация ключей и формирование запросов в УЦ на основании алгоритмов ГОСТ или RSA.
  • Возможность работы с удостоверяющим центром в режиме «офлайн».
  • Учёт ключевых носителей по устройствам, пользователям и информационным системам.
  • Сбор данных о фактическом использовании носителей при помощи приложения-агента.
  • Ведение журнала работы с ключевыми носителями.
  • Удалённое администрирование ключевых носителей.
  • Создание ключевых контейнеров на внешних USB-носителях (флеш-память, жёсткие диски).
  • Управление жизненным циклом СКЗИ, учёт по работникам, информационным системам и рабочим местам, ведение журналов использования.
  • Учёт версий и сроков действия СКЗИ в рамках территориально распределённой структуры предприятия.
  • Удалённая блокировка или разблокировка СКЗИ на конкретном рабочем месте.
  • Встроенная система управления бизнес-процессами, затрагивающими ключевые носители.
  • Интеграция с внешними обучающими системами и продуктами для тестирования работников, возможность контроля знаний сотрудников по работе с ключевыми носителями в рамках единого решения.
  • Совместная работа с сервисами «Системы межведомственного электронного взаимодействия» (СМЭВ 3) в части выполнения требований Федерального закона №63-ФЗ.
  • Проверка данных сотрудника по базам данных контролирующих ведомств, получение выписки из ЕГРЮЛ / ЕГРИП.
  • Аудит действий пользователей и администраторов системы, уведомление ответственных лиц об инцидентах в сфере работы с ключевыми носителями (действительный ключ у уволенного сотрудника, истечение сроков действия сертификата и др.).
  • Динамическое вычисление состава запроса на сертификат исходя из атрибутов его субъекта.

Больше информации о решении Avanpost PKI можно найти на сайте разработчика.

 

 HID ActivID Credential Management System

HID ActivID Credential Management System

Один из ведущих производителей средств контроля доступа к физическим и цифровым объектам имеет в своём пакете решений и программное обеспечение для управления ключевыми носителями. Система HID ActivID Credential Management System предназначена для выпуска и управления жизненным циклом USB-токенов, смарт-карт, модулей Windows TPM и других носителей. Решение HID способно управлять средствами аутентификации для доступа к серверам и рабочим станциям как в границах периметра безопасности, так и за его пределами. При этом система может применяться не только для контроля доступа к объектам сетевой инфраструктуры, но и для подписывания и шифрования отдельных документов, электронных писем и других важных данных.

Возможности системы управления средствами идентификации HID ActivID CMS:

  • Выпуск единых смарт-карт с цифровыми сертификатами для доступа к информационным системам и физическим объектам, а также для защиты данных с помощью цифровой подписи и шифрования.
  • Управление жизненным циклом (замена, разблокировка, временный выпуск, приостановка, отзыв и др.) средств идентификации — физических носителей, приложений, цифровых сертификатов, а также данных, включая постоянные пароли и биометрическую информацию.
  • Мониторинг всех действий над средствами идентификации и вывод отчётов на основании собранных журналов.
  • Совместимость и возможность интеграции с широким спектром программного и аппаратного обеспечения.
  • Возможность совместной работы со службами каталогов, удостоверяющими центрами и принтерами смарт-карт.
  • Безопасная передача данных между средствами аутентификации и сервером. Как заявляет производитель, зашифрованная информация с токена или карты передаётся напрямую на чип элемента безопасности.

Решение интегрируется с другими программными продуктами HID Global, работающими с ключевыми носителями. Например, если компания выпускает смарт-карты не самостоятельно, а при помощи авторизованного сервис-бюро, то для передачи больших объёмов конфиденциальных данных можно использовать систему ActivID Batch Management System (BMS). В качестве агента идентификации на рабочих станциях и других объектах ИТ-инфраструктуры используется приложение ActivID ActivClient.

Подробная информация о системе управления средствами идентификации HID ActivID доступна на сайте вендора.

 

 Indeed Certificate Manager

Indeed Certificate Manager

Система управления ключевыми носителями Indeed Certificate Manager предназначена для администрирования жизненного цикла сертификатов безопасности, учёта физических носителей (токенов, смарт-карт и т. д.), а также контроля политик безопасности в отношении средств криптографической защиты. Совместно с другими решениями компании «Индид» продукт реализует механизм двухфакторной аутентификации и систему единого входа (SSO) с использованием физических и электронных ключей. Indeed Certificate Manager соответствует регламентным требованиям, предъявляемым к учёту средств криптографической защиты информации (СКЗИ), и обеспечивает ведение электронного журнала для таких ключей.

Архитектура решения включает следующие компоненты:

  • Сервер, работающий в среде Internet Information Services (IIS).
  • Реестр ключевых носителей, в котором хранится информация обо всех сертификатах, токенах и смарт-картах, зарегистрированных в системе.
  • Журнал СКЗИ, предназначенный для выполнения требований контролирующих органов в сфере учёта криптографических ключей.
  • Журнал событий для фиксации всех действий с ключевыми носителями и анализа инцидентов.
  • Хранилище данных на базе Active Directory или SQL.
  • Пользовательский клиент — агент, устанавливаемый на рабочих станциях в целях контроля действий с ключевыми носителями и дистанционного выполнения операций с ними.

Интеграция с другими продуктами, удостоверяющими центрами и каталогами пользователей осуществляется через набор коннекторов и программный интерфейс (API).

Функциональные возможности Indeed Certificate Manager:

  • Формирование политик безопасности в отношении PKI и выпуск сертификатов на основании их требований.
  • Контроль жизненного цикла сертификатов — выпуск, запись на ключевой носитель, обновление, блокировка, отзыв. Часть операций может выполняться в автоматическом режиме.
  • Учёт носителей применительно к их владельцам и ведение журнала действий с ключами. Система позволяет привязывать токен или смарт-карту к определённому рабочему месту или пользователю, а также автоматически блокировать ключевой носитель в случае нелегитимного использования.
  • Механизм самообслуживания для снижения нагрузки на администраторов системы за счёт передачи пользователям рутинных операций с ключами.
  • Выпуск смарт-карт без физических носителей. Поддерживается выпуск сертификатов в реестр Windows, работа с виртуальными смарт-картами на базе Trusted Platform Module 2.0 и Windows Hello for Business. Контейнеры Indeed AirKey Enterprise могут быть удалённо доставлены на компьютер и обладают всеми возможностями реального ключа.
  • Формирование и распространение политик PIN-кодов, которые задают длину секретной последовательности, возможность или необходимость использования определённых символов, срок применения и другие параметры. PIN-код может быть задан пользователем или назначен системой.
  • Поддержка стандартов PCI DSS 3.2 в части аутентификации сотрудников.

Indeed Certificate Manager поддерживает ключевые носители «Рутокен», JaCarta, eToken, ESMART, а также AvestKey и ID Prime. Система работает с удостоверяющими центрами Microsoft CA и «КриптоПро», а данные о пользователях получает из Active Directory или базы УЦ.

Дополнительную информацию об Indeed Certificate Manager ищите на сайте разработчика.

 

 JaCarta Management System

JaCarta Management System

Компания «Аладдин Р.Д.» разработала комплекс для управления ключевыми носителями JaCarta Management System. Программный продукт решает задачи по учёту токенов, управлению их жизненным циклом и политиками безопасности, а также аудиту пользовательских действий, связанных с применением ключей. Решение позволяет вести поэкземплярный учёт используемых СКЗИ, соответствует требованиям ФСБ и ФСТЭК России, стандартам ЦБ РФ. Лаборатория тестирования Anti-Malware.ru сертифицировала JaCarta Management System в мае 2017 года.

Производитель заявляет, что масштабируемость системы даёт возможность управлять жизненным циклом более чем миллиона ключевых носителей в рамках одной организации. Архитектура решения помимо серверной части, базы данных и клиента включает собственное криптохранилище для критически важных данных. Разработчики создали открытый API, который позволяет эксплуатантам и вендорам разрабатывать коннекторы для интеграции JaCarta Management System с внешними решениями и информационными системами организации. Для связи с мобильными устройствами и IoT-клиентами создатели системы предлагают отдельный модуль JaCarta Mobile Gateway.

Возможности JaCarta Management System:

  • Автоматизация учёта аппаратных средств аутентификации (электронных ключей, ЭК), OTP- и U2F-аутентификаторов и сертификатов пользователей.
  • Автоматизация процесса управления электронными ключами (регистрация и назначение пользователю, инициализация, синхронизация — запись / удаление ключевой информации и аутентификационных данных в соответствии с установленными администратором ПО JMS политиками использования ЭК, блокирование ЭК в случае утери, назначение пользователю нового ЭК при утере, повреждении или выводе из эксплуатации назначенного ранее).
  • Автоматизация операций управления OTP- и U2F-аутентификаторами пользователей (назначение, блокировка, удаление) в соответствии с установленными администратором ПО JMS политиками их использования.
  • Реализация сервера аутентификации (2ФА) с поддержкой протоколов одноразовых паролей (HOTP и TOTP) и протокола U2F для реализации усиленной аутентификации пользователей в целевых системах.
  • Поэкземплярный учёт СКЗИ в соответствии с требованиями регуляторов.
  • Поддержка всех распространённых моделей ЭК — JaCarta, «Рутокен», ESMART.
  • Возможность работы с сертификатами без привязки к ЭК.
  • Возможность учёта и управления жизненным циклом средств контроля отчуждения (переноса) информации со съёмных машинных носителей информации (защищённых USB-устройств).
  • Универсальный коннектор к УЦ («из коробки» — УЦ «КриптоПро», VipNet, Notary-Pro).
  • Коннектор к Offline Certification Authority — компонент, позволяющий из консоли управления JMS выполнять операции запроса, временного блокирования и отзыва сертификатов путём обращения к удостоверяющим центрам, не имеющим сетевого подключения к телекоммуникационным сетям общего пользования.
  • Универсальный коннектор к ресурсным системам («из коробки» — Active Directory, «КриптоПро», JaCarta Directory Service).
  • Коннектор к «КриптоПро DSS», обеспечивающий полнофункциональное управление из консоли администратора JMS.

Полная информация о решении JaCarta Management System доступна на сайте компании «Аладдин Р.Д.».

 

 SafeNet Authentication Manager

SafeNet Authentication Manager

Компания Thales предлагает программный комплекс для централизованного управления ключевыми носителями PKI — SafeNet Authentication Manager (SAМ). Продукт вошёл в состав продуктовой линейки компании Thales после того, как она в 2019 году приобрела компанию Gemalto. Решение предназначено для развёртывания и сопровождения USB-токенов eToken и смарт-карт IDPrime MD в масштабах крупных организаций.

SafeNet Authentication Manager увязывает между собой пользователей, их ключевые носители, приложения и ресурсы, доступ к которым нужно ограничивать, а также политику безопасности — правила и регламенты, принятые в организации.

SafeNet Authentication Manager может быть интегрирован с SafeNet Authentication Client (SAC) — программным клиентом, который включает в себя как драйверы для работы с носителями и информацией на них, так и пользовательские инструменты самостоятельного администрирования ключевых носителей.

SafeNet Authentication Manager обеспечивает:

  • Учёт всех ключевых носителей PKI в организации.
  • Запись ключевой информации и аутентификационных данных на носители.
  • Персонализацию ключевых носителей.
  • Управление жизненным циклом ключевых носителей PKI: обновление цифровых удостоверений, изменение прав доступа к приложениям при изменении служебных обязанностей или увольнении сотрудника.
  • Замену носителей, если их забыли дома, потеряли, сломали или заблокировали.
  • Аудит использования USB-ключей или смарт-карт, при котором фиксируются все факты использования носителей на компьютерах организации, а также изменения хранящейся на носителе информации.
  • Формирование отчётности с помощью встроенного генератора или экспорта во внешние средства построения отчётов.
  • Техническую поддержку пользователей через веб-сайт.

SafeNet Authentication Manager 9.0 поддерживает разные версии операционной системы Microsoft Windows Server (включая 2016) и разные службы каталогов, в том числе Microsoft Active Directory, Active Directory Application Mode (ADAM), OpenLDAP и другие.

Больше информации о SafeNet Authentication Manager можно найти на сайте производителя.

 

 Рутокен KeyBox

«Рутокен KeyBox»

Отечественный производитель электронных идентификаторов и средств контроля доступа предлагает систему управления ключевыми носителями «Рутокен KeyBox», которая представляет собой ребрендинг системы Indeed Certificate Manager. Программный продукт поддерживает всю линейку ключей этого вендора, а также распространённые в России носители других компаний, включая JaCarta, eToken, Gemalto, ESMART и другие. Решение позволяет управлять всем жизненным циклом электронных ключей через связь учётных записей пользователей, средств аутентификации и регламентов безопасности.

Система реализует выпуск сертификатов через удостоверяющие центры, использующие отечественные криптографические стандарты, и поддерживает решения, применяющие усиленную или квалифицированную электронную подпись.

Архитектура «Рутокен KeyBox» состоит из серверных компонентов, включающих:

  • сервер, реализующий основные функции системы,
  • базу данных на основе каталогов Active Directory или SQL-сервера,
  • программные модули, отвечающие за функционирование панели администрирования и пользовательских сервисов самообслуживания,
  • журнал событий для записи действий пользователей и администраторов системы,
  • библиотеку плагинов для интеграции с продуктами других производителей,
  • подсистему взаимодействия с удостоверяющим центром «КриптоПро» или Microsoft Certification Authority.

На рабочие станции устанавливается клиентский модуль и приложение Credential Provider, предназначенное для разблокировки токена без авторизации в ОС.

В «Рутокен KeyBox» выделены четыре базовые роли: пользователь, которому доступны операции по смене PIN-кода токена, обновлению сертификата безопасности и блокировке ключа в случае утраты; оператор службы поддержки (helpdesk), который может выпускать ключи, регистрировать токены и привязывать их к определённому пользователю; администратор системы, отвечающий за разработку шаблонов сертификатов и политик PIN-кодов носителей, а также имеющий возможность настраивать подключения к УЦ и устанавливать параметры жизненного цикла ключей; аудитор, имеющий доступ только для чтения. Доступна возможность настройки других ролей.

Функциональные возможности «Рутокен KeyBox»:

  • Управление жизненным циклом ключевых носителей (токенов и смарт-карт) — от постановки на учёт и ввода в эксплуатацию до вывода из эксплуатации и списания.
  • Управление информацией на ключевых носителях: генерация ключей, запись сертификатов, обновление данных.
  • Управление политиками PIN-кодов носителей.
  • Учёт и контроль носителей с ключами и сертификатами, выпущенными сторонними удостоверяющими центрами.
  • Пользовательские шаблоны взаимодействия для уменьшения времени выполнения операций и снижения вероятности человеческих ошибок.
  • Возможность интеграции с внешними системами: СКУД, SSO, IdM/IAM, СЗНСД, комплексами мониторинга и управления ИБ, кадровыми системами.
  • Возможность ведения автоматизированного учёта СКЗИ в соответствии с нормативными документами.

Решение предназначено для сетей, построенных на базе платформы Windows. Серверная часть работает в рамках Microsoft Windows Server 2008—2012, а веб-клиент — в основных Windows-браузерах.

Всю информацию о «Рутокен KeyBox» можно найти на странице с описанием продукта на сайте производителя.

 

Выводы

Все решения для управления ключевыми носителями, доступные на отечественном рынке, предоставляют пользователям и администраторам полную поддержку жизненного цикла средств контроля доступа. Программные продукты обеспечивают учёт физических и виртуальных ключей, а также ведение журнала операций с ними. Российские решения дополнительно дают возможность вести поэкземплярный учёт СКЗИ в соответствии с требованиями регулирующих органов. Каждая отечественная разработка обладает рядом достоинств, выделяющих её среди аналогичных решений.

  • Indeed Certificate Manager: собственный контейнер виртуальных смарт-карт Indeed AirKey Enterprise, поддержка стандарта PCI DSS 3.2.
  • Avanpost PKI: встроенная система управления бизнес-процессами в части работы с ключевыми носителями, поддержка «Системы межведомственного электронного взаимодействия» (СМЭВ 3).
  • «Рутокен KeyBox»: передача части функций администратора сотрудникам службы поддержки, которые могут заменять и блокировать пользовательские ключи, выполнение действий с ключами и просмотр журнала событий в едином интерфейсе для администраторов и операторов «хелпдеска».
  • JaCarta Management System: возможность учёта и управления жизненным циклом средств контроля отчуждения (переноса) информации со съёмных машинных носителей информации (защищённых USB-устройств), интегрированный сервер усиленной аутентификации в целевых системах (2ФА).

Компании «Аладдин Р.Д.», «Актив», HID Global выпускают собственные ключевые носители в различных форматах, однако все решения, представленные в обзоре, поддерживают широкий набор USB-токенов,  смарт-карт и виртуальных контейнеров, используемых в российской практике.

В заключение следует отметить, что отечественные решения не выглядят слабыми в сравнении с разработками западных вендоров. Напротив, государственное регулирование этого сектора рынка дало  стимул российским разработчикам, чьи продукты по ряду параметров уже превосходят зарубежные системы управления ключевыми носителями.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru