Сертификат AM Test Lab
Номер сертификата: 145
Дата выдачи: 29.01.2015
Срок действия: 29.01.2020
2. Возможности Indeed Card Management
3. Состав Indeed Card Management
5. Поддерживаемые устройства аутентификации
6. Системные требования Indeed Card Management
7. Установка Indeed Card Management
Введение
В контексте современных требований к информационной безопасности привычная для многих парольная аутентификация уже неспособна обеспечить необходимый уровень защиты данных. Количество независимых бизнес-приложений и информационных систем, к которым требуется доступ, неизменно растет. Учитывая, что запомнить многочисленные логины и пароли довольно сложно, пользователи записывают их на бумажках или предпочитают задавать простые пароли.
При таком подходе существенно снижается уровень безопасности и возрастает риск несанкционированного доступа к информации, что, в свою очередь, может повлечь финансовые, репутационные и другие серьезные потери для организаций.
В связи с этим современные компании все шире используют технологии электронной цифровой подписи, строгой аутентификации пользователей и шифрования данных, внедряя у себя системы ИТ-безопасности на основе инфраструктуры открытых ключей (Public Key Infrastructure, PKI).
PKI представляет собой совокупность средств для управления ключами и цифровыми сертификатами пользователей, программ и других элементов ИТ-системы.
В основе PKI лежит система шифрования и/или электронной цифровой подписи (ЭЦП), в которой по открытому (незащищенному) каналу передается открытый ключ, используемый для шифрования данных и проверки ЭЦП. Для расшифровки данных и вычисления ЭЦП используется закрытый ключ, который, в отличие от открытого ключа, хранится в тайне (как правило, в защищенной памяти смарт-карты).
Чаще всего PKI ассоциируется именно с шифрованием, однако, помимо этого, PKI-системы обеспечивают защиту, целостность и конфиденциальность информации, аутентификацию пользователей и ресурсов, к которым они обращаются, а также возможность подтверждения выполняемых действий пользователей.
Основным компонентом любой PKI-системы является удостоверяющий центр, который предназначен для создания и управления сертификатов и открытых ключей. Таким образом, все пользователи взаимодействуют между собой посредством удостоверяющего центра. Поэтому его выбор является одним из важнейших вопросов при внедрении системы на основе PKI.
Поскольку цифровые сертификаты и закрытые ключи шифрования хранятся на персональных носителях ключевой информации (смарт-картах, USB-ключах), другим важным вопросом становится выбор системы управления ключевыми носителями (Smart Card Management System, SCMS). Эта система обеспечивает централизованное управление ключевыми носителями и хранящимися на них сертификатами на протяжении всего их жизненного цикла: учет и контроль использования смарт-карт, автоматизированные выдача, перевыпуск и отзыв цифровых сертификатов, ведение журналов событий.
SCMS должна легко интегрироваться в ИТ-инфраструктуру компании, поддерживать различные удостоверяющие центры и ключевые носители. Желательна также возможность интеграции SCMS с системой управления логическим доступом - в таком случае существенно упрощаются процедуры предоставления и получения доступа к данным.
В этом обзоре рассмотрим систему управления жизненным циклом смарт-карт Indeed Card Management (Indeed CM) от компании Indeed ID и попытаемся определить, насколько эта система соответствует перечисленным требованиям.
Возможности Indeed Card Management
Разработанная российской компанией Indeed ID, специализирующейся на разработке программного обеспечения для решения задач строгой аутентификации и управления доступом к информационным ресурсам, система Indeed Card Management позволяет эффективно решать задачи, связанные с внедрением, управлением и учетом цифровых сертификатов и ключевых носителей. Для этого система предоставляет следующие возможности:
- учет ключевых носителей и хранение информации о них в базе данных;
- поддержка работы с ключевыми носителями различных типов и производителей (эту возможность мы отдельно рассмотрим далее);
- централизованное управление цифровыми сертификатами на протяжении всего жизненного цикла;
- автоматизация процессов управления цифровыми сертификатами пользователей;
- поддержка работы с удостоверяющими центрами Microsoft CA и КриптоПро УЦ;
- аутентификация пользователей сервиса самообслуживания по секретным вопросам;
- резервное копирование ключевой информации (создание дубликатов утерянных или поврежденных ключевых носителей);
- ведение журналов событий и аудит действий администраторов и пользователей с ключевыми носителями;
- самостоятельное оперативное решение пользователями основных задач использования ключевых носителей (через сервис самообслуживания);
- управление картами за пределами сети предприятия, которое пользователи могут выполнять самостоятельно (через удаленный сервис самообслуживания);
- построение отчетов о событиях системы.
Кроме того, система Indeed CM может быть интегрирована с системой управления логическим доступом Indeed AM. Выпуская илиназначая ключевой носитель, администратор в этом случае имеет возможность сразу сконфигурировать профиль доступа сотрудника в приложения (профиль Single Sign-On). Таким образом, к моменту получения ключа от администратора сотрудник уже имеет все необходимое для полноценной работы.
Состав Indeed Card Management
Система Indeed Card Management состоит из серверной и клиентской частей, в состав каждой из которых входят отдельные модули.
На рисунке 1 приведена общая компонентная схема системы.
Рисунок 1. Схема системы Indeed CM
Основным компонентом инфраструктуры Indeed Card Management является компонент Indeed CM Web Application, выполненный в виде web-приложения и функционирующий на сервере Internet Information Services (IIS). Реализуя серверную часть системы, этот компонент обеспечивает централизованное управление пользователями системы, репозиторием карт и политиками безопасности, а также отвечает за выполнение операций разблокировки смарт-карт и журналирование событий.
Все события, связанные с жизненным циклом смарт-карт и изменением параметров системы, фиксируются в журнале Indeed CM. Просмотр журнала доступен в интерфейсе Indeed CM Web Application, который удобен также тем, что в нем можно выполнять построение отчетов по различным критериям.
Взаимодействие системы Indeed Card Management с внешними системами осуществляется с помощью библиотеки модулей Indeed CM Connectors, которые обеспечивают реакцию на события, возникающие в Indeed CM, и выполнение дополнительных действий. Например, данные модули обеспечивают интеграцию с удостоверяющим центром, что позволяет автоматизировать управление сертификатами сотрудников (выпускать, отзывать, приостанавливать).
В качестве средства хранения данных и настроек решения используется Active Directory (AD). При этом все данные системы локализованы в одном контейнере, поэтому нет необходимости расширять схему AD (что не всегда желательно).
Клиентская часть системы состоит из нескольких модулей. Программное обеспечение, устанавливаемое на рабочие места администраторов и пользователей, реализовано в модуле Indeed CM Run-time Environment (сокращенно Indeed CM RTE). Другой модуль - Indeed CM Credential Provider - обеспечивает возможность разблокировки заблокированной смарт-карты на рабочем месте пользователя в online- и offline-режимах без выполнения авторизации в операционной системе.
Все компоненты системы взаимодействуют друг с другом с помощью следующих протоколов:
- ADSI (обеспечивает работу с каталогом пользователей и базой данных AD);
- Encrypted RPC (используется для связи Indeed CM с удостоверяющим центром для работы с сертификатами пользователей);
- HTTPS с использованием SSL (необходим для доступа к Indeed CM Web Application).
Жизненный цикл смарт-карты
Использование смарт-карт связано с выполнением различных операций: инициализация, обновление, блокировка и др. Эти действия (а также последовательность их выполнения) определяют жизненный цикл смарт-карты. В Indeed Card Management он выглядит следующим образом (рисунок 2).
Рисунок 2. Жизненный цикл смарт-карт в Indeed CM
Жизненный цикл смарт-карты в системе начинается с ее регистрации в базе данных Indeed. На этом этапе происходит т.н. "очистка" смарт-карты: удаляются все хранящиеся на ней данные и восстанавливается PIN-код администратора.
После этого выполняется подготовка карты к передаче сотруднику. Осуществляется это путём назначения карты пользователю, когда карта привязывается к конкретному пользователю, но необходимыми для работы данными пока не инициализируется.
Все данные (PIN-код пользователя, политики PIN-кода, сертификаты) записываются на карту при ее выпуске. Удобно, что выпускать карту может не только администратор, но и сам пользователь. В последнем случае задача администратора сводится к назначению карты и отправке ее сотруднику. После выпуска карта готова к работе.
При необходимости (например, если сотрудник забыл карту дома) Indeed Card Management позволяет временно заблокировать карту. В этом случае действие всех сертификатов, хранящихся на карте, приостанавливается, и карта становится недоступна для работы. На этот период для ее замены может быть выпущена временная карта с ограниченным сроком действия. На эту карту будут записаны действительные сертификаты и ключи, которые по истечении срока действия временной смарт-карты автоматически отзываются без возможности восстановления. Возможность использования заблокированной карты восстанавливается после ее разблокировки.
В случае повреждения или утери карты, она может быть безвозвратно заблокирована (отозвана). После этого активация карты будет невозможна: при отзыве карты все сертификаты, хранящиеся на ней, отзываются без возможности восстановления.
Поддерживаемые устройства аутентификации
Indeed Card Management поддерживает работу со следующими ключевыми носителями известных производителей:
- USB-ключи Rutoken компании Актив;
- USB-ключи и смарт-карты eToken компании SafeNet;
- USB-ключи и смарт-карты ESMART компании ISBC;
- USB-ключи AvestKey компании Авест;
- смарт-карты ID Prime компании Gemalto.
При этом все поддерживаемые карты можно использовать в рамках одной инфраструктуры.
Однако использование Indeed Card Management не ограничивается только этими носителями. Система ориентирована на работу с различными смарт-картами. Архитектура решения построена таким образом, чтобы обеспечить возможность оперативной поддержки новых ключевых носителей.
Системные требования
Поскольку, внедрение системы Indeed Card Management задействует комплекс программных и аппаратных средств, технические требования продукта определяются набором требований для отдельных компонентов решения и требованиями для ИТ-инфраструктуры компании.
Требования для инфраструктуры компании
- домен Microsoft Active Directory 2003/2008/2008 R2 (Native режим);
- уровень функциональности леса и домена не ниже Windows Server 2003.
Требования для установки серверной части
Аппаратные требования | Требования к окружению | Поддерживаемые ОС |
Минимальные:
Рекомендуемые:
| Поддерживаемые типы хранилищ данных:
Поддерживаемые центры сертификации:
|
|
С первого взгляда может смутить разница в минимальных и рекомендуемых требованиях к размеру свободного пространства. Однако она объяснима и связана с возможностью включения сбора отладочных логов, которые используются разработчиком в случае возникновения проблемной ситуации для диагностики.
Требования для установки клиентской части
Аппаратные требования | Требования к окружению | Поддерживаемые ОС |
Минимальные:
Рекомендуемые:
|
|
|
Развертывание (установка) Indeed Card Management
Развертывание Indeed Card Management состоит из нескольких этапов.
Подготовительный этап
В первую очередь в Active Directory необходимо создать хранилище данных Indeed CM. Для этого в составе дистрибутива имеется специальная утилита, которая автоматически создает локализованный контейнер с определенной структурой вложенных элементов, а также необходимые группы безопасности.
Следующим шагом предварительной подготовки является настройка работы с Центром сертификации. Этот процесс будет отличаться в зависимости от того, какое программное обеспечение было выбрано для выполнения роли удостоверяющего центра - Microsoft CA или КриптоПро.
Все данные, с которыми работает система Indeed Card Management, хранятся в зашифрованном виде, поэтому ключ шифрования необходимо подготовить заранее. Для этого в дистрибутив включена специальная утилита.
Завершающим этапом подготовки к развертыванию является настройка сервисов системы. Здесь задаются общие параметры системы (такие, как путь к хранилищу данных системы и т.п.).
Установка серверной части
После завершения предварительного этапа выполняется непосредственно установка сервера Indeed CM. Этот процесс не требует дополнительных настроек, поэтому для его успешного выполнения достаточно просто следовать указаниям мастера программы установки.
Для повышения доступности и отказоустойчивости системы рекомендуется в качестве сервера Indeed CM использовать выделенный сервер в составе целевой ИТ-инфраструктуры, а также рассмотреть возможность развертывания нескольких серверов Indeed CM.
Установка клиентской части
Клиентская часть системы устанавливается на рабочих местах операторов службы поддержки пользователей и на рабочих станциях пользователей системы Indeed CM.
Процесс установки достаточно прост и выполняется согласно указаниям инсталлятора.
Централизованную установку компонентов клиентской части на большое количество рабочих станций можно выполнить с помощью стандартного механизма групповых политик Microsoft (или других средств управления ИТ-инфраструктурой).
Начальная настройка системы
К процессу установки Indeed Card Management (а, скорее, к завершающему ее этапу) можно отнести также начальную настройку системы, которую необходимо выполнить прежде, чем приступить непосредственно к работе с системой.
Для этого администратору системы, во-первых, необходимо добавить лицензии, которые поставляются вместе в дистрибутивом серверного компонента Indeed CM Server.
Далее, поскольку Indeed Card Management поддерживает работу с устройствами аутентификации различных производителей и видов (USB-токены, смарт-карты), необходимо задать типы карт, с которыми будут работать пользователи системы.
После этого выполняется настройка политик (правил) использования смарт-карт, определяющих такие параметры как необходимость инициализации, настройка выдачи смарт-карт, параметры аутентификации и прочее.
Работа с системой
Общие сведения
Система логическим образом разделена на отдельные сервисы, которые позволяют организовать работу рядовых сотрудников, операторов службы поддержки пользователей и администраторов безопасности.
Рядовым пользователям доступны различные операции, связанные с жизненным циклом их ключевых носителей: добавление и выпуск карты, блокировка и разблокировка карты, отзыв карты, изменение PIN-кода карты. Эти операции выполняются либо через интерфейс сервиса самообслуживания, либо в интерфейсе входа на ПК (для сценариев разблокировки карты).
Сотрудники службы поддержки пользователей в Indeed CM имеют доступ ко всем операциям, связанным с управлением жизненным циклом смарт-карт пользователей. Они могут добавлять, выпускать и назначать карту, отзывать и удалять карту из базы, выполнять блокировку и разблокировку карты, а также осуществлять постоянную и временную замену карты на новую.
Наконец, самыми широкими полномочиями в Indeed CM обладают администраторы. Они не только управляют жизненным циклом смарт-карт, но также выполняют конфиругирование Indeed CM: настройку подключений к удостоверяющим центрам, настройку жизненного цикла смарт-карт, шаблонов сертификатов, политики PIN-кодов смарт-карт, а также настройку параметров ключевых вопросов для аутентификации пользователей.
Взаимодействие всех пользователей с системой выполняется через веб-интерфейс соответствующего сервиса (веб-приложения) системы: Indeed CM Management Console, Indeed CM Self Service, Indeed CM Remote Self Service.
Indeed CM Management Console
Сервис Indeed CM Management Console предназначен для управления ключевыми носителями пользователей и администрирования системы Indeed CM. Соответственно, доступ к приложению имеют администраторы системы и сотрудники службы поддержки пользователей.
Интерфейс приложения функционально состоит из четырех вкладок, представленных отдельными вкладками: “Служба поддержки”, “Репозиторий карт”, “Аудит”, “Конфигурация” (рисунок 3).
Рисунок 3. Раздел “Служба поддержки” в приложении Indeed CM Management Console
При запуске приложения открывается раздел “Служба поддержки” . С него и начнем рассмотрение возможностей, предоставляемых приложением Indeed CM Management Console.
Раздел “Служба поддержки”
"Адресованный" операторам службы поддержки пользователей, данный раздел предназначен для выполнения различных операций со смарт-картами сотрудников.
Все действия со смарт-картой, имеющие отношение к пользователю системы Indeed CM, выполняются в так называемой карточке пользователя, представляющей собой страницу, на которой отображается информация о пользователе и его смарт-картах (рисунок 4).
Рисунок 4. Карточка пользователя Indeed CM
Переход к карточке пользователя выполняется простым и понятным способом - выбором нужного пользователя среди всех пользователей домена (рисунок 5).
Рисунок 5. Результаты поиска пользователя Indeed CM
Раздел “Репозиторий карт”
Еще один раздел для операторов службы поддержки пользователей, который позволяет управлять зарегистрированными в системе смарт-картами и добавлять в систему новые смарт-карты.
Выполнив поиск смарт-карт(-ы) по определенным критериям, оператор службы поддержки может узнать, у какого пользователя и в каком состоянии находится интересующая его смарт-карта (рисунок 6).
Рисунок 6. Раздел “Репозиторий карт” в приложении Indeed CM Management Console
Здесь же карта может быть удалена или изъята из системы. Причем сделать это можно как при наличии карты, так и без нее.
Раздел “Аудит”
В этом разделе администратор системы может получить необходимую информацию обо всех операциях, выполненных в системе (рисунок 7). Результаты поиска при необходимости можно экспортировать в pdf-документ.
Рисунок 7. Раздел “Аудит” вприложении Indeed CM Management Console
Раздел “Конфигурация”
Как легко догадаться из названия, этот раздел предназначен для администрирования системы Indeed Card Management. Здесь выполняется управление лицензиями, типами и политиками использования смарт-карт.
Про лицензирование системы мы поговорим в этом обзоре немного позже. Сейчас более детально остановимся на возможностях, предоставляемых в данном разделе для управления типами и политиками использования смарт-карт.
Используемые в компании типы ключевых носителей (смарт-карты, USB-токены) должны быть зарегистрированы в системе Indeed CM. Описание типа карты доступно администратору в интерфейсе и содержит имя модели карты, а также PIN-коды администратора и пользователя, установленные производителем карты по умолчанию (рисунок 8).
При этом следует отметить, что заводской PIN-код администратора можно изменить при добавлении карты в систему. Такая возможность оказывается весьма полезной, если в компании уже используются карты определенного типа с отличным от заводского PIN-кодом администратора. В этом случае администратору системы достаточно будет добавить нужный тип карты и изменить PIN-код, установленный производителем карты, на используемый в компании.
Рисунок 8. Список зарегистрированных типов карт
Правила использования смарт-карт определяются в Indeed Card Management так называемыми политиками использования смарт-карт.
Каждая политика имеет свою область действия (например, весь домен или определенное подразделение домена) и задает параметры использования смарт-карт в рамках этой области.
В политике определяются такие параметры, как настройки удостоверяющих центров, шаблонов сертификатов и другие настройки PKI, набор допустимых действий со смарт-картой, параметры выпуска смарт-карты и аутентификации по смарт-карте (рисунок 9).
Кроме того, можно настроить отправку почтовых уведомлений о событиях системы Indeed CM. Например, система может сообщать о приближении даты окончания жизни сертификата. Соответственно, получая такие сообщения, пользователи и администраторы могут вовремя реагировать на важные события. Таким образом, появляется возможность своевременно выявлять угрозы безопасности.
Рисунок 9. Страница настройки политики использования смарт-карт
Indeed CM Self Service
Приложение Indeed CM Self Service предназначено для пользователей системы Indeed CM и позволяет им самостоятельно выполнять операции со смарт-картой, а именно: выпускать, включать, выключать и отзывать смарт-карту, изменять ее PIN-код. Здесь же предоставляется возможность управлять секретными вопросами, необходимыми в ряде случаев для аутентификации (такая необходимость возникает, например, при работе за пределами корпоративной сети, когда требуется доступ к операциям со смарт-картой, или при выполнении действий со смарт-картой без выполнения входа в операционную систему).
При этом администратор может определять набор действий, которые будут доступны пользователю для самостоятельного выполнения.
В интерфейсе приложения отображаются все доступные действия, а также информация о пользователе (рисунок 10).
Рисунок 10. Приложение Indeed CM Self Service
Indeed CM Remote Self Service
Выполнять некоторые действия со смарт-картой сотрудники могут не только внутри корпоративной сети, но также и за ее пределами (например, находясь в командировке или дома). Именно для таких ситуаций предназначено приложение Indeed CM Remote Self Service.
Для выполнения любых операций в этом приложении не требуется подключения смарт-карты к компьютеру (соответственно, операции, для которых необходимо наличие подключенной карты, в этом приложении выполнять нельзя).
Без наличия смарт-карты пользователь может отозвать свою карту для предотвращения использования хранящихся на ней данных. В том случае, если карта в течение длительного периода времени пользователю не требуется, он может ее временно выключить. Все эти действия выполняются непосредственно в интерфейсе приложения (рисунок 11). Разблокировка смарт-карты выполняется с использованием специальной утилиты, входящей в комплект поставки, по механизму запрос-ответ.
Рисунок 11. Приложение Indeed CM Remote Self Service
Лицензирование системы
Лицензирование Indeed Card Management осуществляется по схеме использования бессрочных лицензий клиентского доступа (CAL, Client Access License).
Одна клиентская лицензия дает право на использование Indeed CM и регистрацию смарт-карт для одного конкретного пользователя. Однако при необходимости клиентские лицензии можно перераспределить между сотрудниками: отозвав лицензию у одного сотрудника, ее можно выделить другому.
Используемая схема лицензирования учитывает количество учетных записей пользователей системы Indeed Card Management. При этом количество инсталляций решения (рабочих станций) и число смарт-карт для одного пользователя не учитывается.
Выгодным моментом является то, что не учитывается и срок действия лицензий. Иначе говоря, лицензии являются бессрочными, и после их приобретения компании не требуется ежегодно оплачивать использование системы. Более того, в течение года после покупки лицензий предоставляется бесплатная поддержка системы. После этого срока можно продлить поддержку, заключив соответствующий договор на следующий календарный год.
Выводы
В данном обзоре мы рассмотрели систему Indeed Card Management. Проанализировав ее возможности, можно утверждать, что данная система в достаточной мере соответствует требованиям эффективной системы управления жизненным циклом ключевых носителей и позволяет решать следующие задачи:
- управление жизненным циклом ключевых носителей;
- автоматизация процессов управления сертификатами пользователей;
- резервное копирование ключевой информации;
- журналирование и аудит действий пользователей и администраторов с ключевыми носителями;
- предоставление сотрудникам механизма самообслуживания для оперативного решения основных задач использования ключевых носителей.
Важным преимуществом системы является поддержка смарт-карт различных производителей. Не все аналогичные системы предоставляют такую возможность. Благодаря поддержке большого набора смарт-карт и токенов, можно свободно выбирать модели ключевых носителей, которые оптимально подходят по стоимости и функциональности для решаемых задач.
Система поддерживает работу с различными удостоверяющими центрами. В их числе КриптоПро УЦ, засчет поддержки которого Indeed CM подходит для инфраструктур, где требуется ГОСТ-шифрование.
В состав дистрибутива системы входят утилиты для выполнения различных операций на этапе развертывания, которые существенно упрощают процесс внедрения системы.
Indeed CM обладает простым и интуитивно понятным интерфейсом, что делает взаимодействие с системой удобным и эффективным.
Существует возможность интеграции Indeed CM с системой управления логическим доступом Indeed AM этого же разработчика. В этом случае существенно упрощаются процедуры предоставления и получения доступа в ОС и приложения.
Помимо возможностей, еще одним выгодным отличием Indeed CM является схема бессрочного лицензирования, не требующая ежегодной оплаты использования системы, и бесплатная поддержка в течение года после покупки лицензий.
Однако несмотря на то, что в целом система произвела хорошее впечатление, можно отметить некоторые недостатки.
Существенным ограничением для внедрения системы в некоторых случаях может стать отсутствие поддержки независимых от AD хранилищ. Но следует отметить, что поддержка новых хранилищ входит в планы разработчика. Скорее всего, это будут OpenLDAP и SQL.
Есть незначительные неудобства в первоначальной настройке системы, связанные с необходимостью заполнения конфигурационных файлов. Несмотря на то, что эта процедура выполняется только один раз во время развертывания системы, было бы удобно иметь для нее какое-то средство, избавляющее от необходимости ручной правки файлов.
Возможность своевременного выявления угроз безопасности с помощью почтовых уведомлений можно было бы расширить возможностью отправки уведомлений по SMS (хотя это уже, скорее, относится к пожеланиям для реализации, нежели к недостаткам).
Однако, учитывая активное развитие рассматриваемой системы, можно ожидать, что в ближайших версиях появятся новые функции и возможности, устраняющие эти недостатки.
Подводя итог, резюмируем выявленные преимущества и недостатки рассмотренной системы.
Преимущества
- поддержка ключевых носителей различных типов и производителей;
- поддержка различных удостоверяющих центров;
- простота взаимодействия с системой;
- интеграция с системой управления логическим доступом Indeed AM;
- удобная схема лицензирования, бесплатная поддержка в течение одного года.
Недостатки
- поддержка только одного типа хранилища (AD);
- необходимость заполнения конфигурационных файлов в процессе первоначальной настройки системы.