РЕШЕНИЕ
Управление жизненным циклом идентификационной и ключевой информации

Введение

С ростом любого предприятия перед отделами ИТ и ИБ встает задача обеспечения безопасности информационных активов. К таким активам можно отнести учетные данные пользователей, их идентификационную и ключевую информацию. Для решения подобных задач активно применяются системы по управлению идентификационной и ключевой информацией пользователей. 

Основной целью подобных систем является предоставление администраторам актуальной информации о состоянии учетной записи пользователя в различных информационных системах (Кадровые системы, базовые сервисы и т.д.) и контроль за правами доступа пользователя к необходимым ему ресурсам.

При этом список задач, которые способны решать подобные системы, достаточно обширен. Вот только небольшой список:

  • Поступление сотрудника на работу, предоставление прав на ресурсы в соответстсвии с его должностью.
  • Перевод в другой отдел, подразделение, офис. Изменение прав доступа.
  • Блокировка доступа на время отпуска, больничного, декретного отпуска.
  • Увольнение сотрудника и блокирование доступа к ресурсам.
  • Предоставление сертификатов, необходимых для работы пользователя.
  • Обновление и приостановка действия сертификатов.
  • Учет носителей пользователя.
  • Учет времени и точки доступа к ресурсам.

Мы предлагаем комплексное масштабируемое решение, состоящее из следующих компонентов:

  • Инфраструктура открытого ключа (Public Key Infrastructure). Является базовым решением  для построения систем управления ключевой информацией.
  • Forefront Identity Manager IDm. Решение, предназначенное для синхронизации и управления учетными данными пользователей в различных кадровых базах и Active Directory.
  • Forefront Identity Manager Certificate Management. Решение позволяет управлять цифровыми сертификатами предприятия. В своей работе использует Инфраструктуру открытых ключей.
  • Safenet Authentication Manager. Использование данного решения позволяет контролировать парк электронных ключей eToken и управлять содержимым ключей. Решение может использоваться как совместно с FIM и PKI, так и отдельно от них.

Данное решение можно представить в виде следующей структуры:

Инфраструктура открытого ключа (Public Key Infrastructure)

Решение базируется на сертификатах стандарта x.509 v 3, основанных на технологии асимметричной криптографии RSA и алгоритмов шифрования 3DES, SHA.

Основная идея концепции Инфраструктуры открытого ключа состоит в том, что критически важные данные защищаются посредством шифрования. Массовое применение криптографии для защищенного обмена информацией неизбежно требует решения задачи надежного распределения ключей. Именно для решения этой задачи была создана асимметричная криптография - система с открытым ключом. Асимметрия состоит в том, что существует два ключа: один из них – закрытый(private key), а второй – открытый(public key). Они связаны особой математической зависимостью, которая гарантирует невозможность восстановления закрытого ключа при наличии открытого. Поэтому открытый ключ можно передавать всем желающим, ничем не рискуя. Таким образом, системы с открытым ключом позволяют не передавать никуда секретную ключевую информацию, а передавать только открытую.

Пользователь зашифровывает сообщение, используя открытый ключ получателя. После получения сообщения пользователь расшифровывает его с помощью своего закрытого ключа.

Учитывая, что таких пар ключей может использоваться довольно много, особую важность приобретают методы администрирования ключей и контроля их применения. Именно эту роль выполняют Центры сертификации, позволяя централизовать создание, распространение, контроль и аннулирование ключей.

Использование на предприятии Инфраструктуры открытых ключей дает следующие преимущества:

  • Защищенная электронная почта. Возможность подписывать и шифровать почтовые сообщения позволяеют решить проблему неотказуемости и несанкционированного доступа к почтовому ящику (к примеру, через OWA).
  • Шифрование файлов и папок. Позволяет защищать важные файлы от несанкционированного доступа.
  • Многофакторная аутентификация. Повышает безопасность аутентификации за счет использования нескольких факторов (смарт-карта плюс пин-код).
  • Обеспечение безопасности беспроводного доступа. Обеспечивает защиту Wi-Fi сетей.
  • Обеспечение безопасности удаленного доступа. Позволяет настраивать аутентификацию и шифрование трафика при помощи сертификатов.
  • Шифрование веб-трафика. Защищает трафик web серверов при помощи протокола SSL.

Проект по внедрению Инфраструктуры Открытых Ключей, как правило, имеет небольшую длительность и состоит из следующих этапов:

  • Обследование. Анализ технических и бизнес потребностей. Сбор информации о текущем состоянии инфраструктуры.
  • Проектирование. Выработка и согласование проектных решений.
  • Документирование. Разработка необходимой документации.
  • Внедрение. Развертывание Инфраструктуры Открытых Ключей согласно проектным решениям
  • Опытная эксплуатация. Сбор и исправление замечаний.

Наши специалисты помогут правильно спроектировать и развернуть PKI в вашей компании за короткое время и с минимальными затратами.

Forefront Identity Manager Certification Management

Инфраструктура открытых ключей предоставляет мощную платформу для выпуска цифровых сертификатов широкого спектра использования. Сертификаты и смарт-карты позволяют существенно повысить информационную безопасность предприятия, но вместе с тем, управление их жизненным циклом является сложной и ресурсоемкой задачей. Сертификат, согласно требований стандарта RFC 3208 имеет срок действия (данный срок задается настройками вашего Центра сертификации). Чем больше становится сертификатов, тем сложнее установить, когда истекает срок действия цифрового удостоверения. Cлучается так, что пользователь увольняется, теряет или уничтожает свой сертификат. И за этим тоже необходимо следить. И задача управления этими процессами без специальных программых средств уже становится практически невыполнимой. В таком случае предприятию необходимо централизованное решение, имеющее следующие функциональные возможности:

  • Самообслуживание пользователей при выполнении операций с сертификатами и смарт-картами.
  • Система делегирования права одобрения выпуска сертификатов и смарт-карт, в том числе бизнес-менеджерам, например, непосредственным руководителям сотрудников.
  • Автоматическое обновление сертификатов и смарт-карт при истечении срока их действия.
  • Возможность восстановления утерянных сертификатов и смарт-карт, выдачи дубликатов, временной приостановки их действия, а также обеспечения других бизнес-сценариев использования сертификатов и смарт-карт.
  • Оповещение сотрудников, задействованных в процессах жизненного цикла сертификатов и смарт-карт, при помощи электронной почты.
  • Возможность построения различных отчетов, отражающих аспекты использования сертификатов и смарт-карт.

Весь вышеописанный функционал может быть реализован с помощью Центра регистрации, который позволит существенно снизить нагрузку на администраторов Инфраструктуры открытых ключей, сократить затраты на управление сертификатами и смарт-картами, увеличить степень контроля за использованием сертификатов. Все это в конечном итоге позволит повысить общую информационную безопасность ИТ-инфраструктуры.

Центр регистрации на основе Microsoft Forefront Identity Manager Certificate Management позволяет решать все задачи, связанные с управлением жизненным циклом сертификатов и смарт-карт. Вместе с тем, грамотное проектирование и внедрение данного продукта является нетривиальной задачей. Наши знания и опыт позволяют делать это качественно, в короткие сроки, в полном соответствии с потребностями Заказчика.

Типовой проект по внедрению FIM CM имеет следующие этапы:

  • Обследование. Выявление потребностей, сбор информации.
  • Проектирование. Создание проектных решений.
  • Стендовое моделирование. Развертывание проектных решений на тестовом стенде.
  • Документирование. Создание необходимой документации.
  • Внедрение. Развертывание проектных решений в продуктивной среде.
  • Опытная эксплуатация. Сбор замечаний заказчика и их устранение.

Forefront Identity Manager - IdM

SafeNet Authentication Manager

SafeNet Authentication Manager - является наиболее подходящим решением, если вам необходимо внедрить на предприятии электронные ключи eToken и количество сотрудников превышает 50 человек.

При увеличении штата сотрудников и высокой текучке кадров, ошибки в процессе предоставления доступа сотрудникам и его блокировка могут приводить к самым негативным последствиям:

  • Увеличение времени от момента према сотрудника на работу до начала выполнения им своих непосредственных обязанностей. Пользователь, прежде чем приступить к работе должен получить доступы и пароли к различным приложениям. Графически такой процесс может быть представлени на рисунке ниже.

  • Использование идентификатора после увольнения, потому что администратор забыл заблокировать доступ сотруднику.

В качестве решения подобных проблем мы готовы предложить вам современное решение на базе продукта SafeNet Authentication Manager.

SAM позволяет решить подобные проблемы и предоставлять весь функционал из одной консоли.

При этом решаются следующие задачи:

  • Управление идентификационной и аутентификационной информацией из единой точки. Пользователю теперь нет необходимости проходить долгую процедуру получения доступа к приложениям, обходя одного администратора за другим.

  • Получение только тех паролей и сертификатов, которые необходимы пользователю для работы. Использование механизмов коннекторов и внутренних политик SAM, тесно интегрированных со службой каталогов, позволяет в автоматическом режиме предоставлять доступ только к тем приложеням, которые действительно нужны пользователю.
  • Контроль за устройствами. Возможность составления отчетов о состоянии устройств, их количестве, остатках и т.д. позволяет эффективно решать вопросы контроля за использованием устройств.

Также предлагаемое решение имеет следующие преимущества:

  • Гибкость решения позволяет с легкостью реализовать различные сценарии использования системы.
  • Интергация с Active Directory и AD LDS позволяет внедрить данное решение за короткое время и запустить в эксплуатацию с минимальными затратами.
  • Решение использует в своей работе веб-службы, что обеспечивает администраторам большую мобильность при управлении электронными ключами. Теперь имеется возможность распределять нагрузку между пользователями при решении различных проблем (обновление контента, смена ПИН-кода, переименование ключа и.т.д.).
  • Ролевая модель SafeNet Authentication Manager позволяет реализовать различые сценарии передачи смарт-карты в эксплуатацию, ее сопровождения и вывода.

Стандартный проект внедрения включает следующие этапы:

  • Обследование. На данном этапе мы рассмотрим вашу инфраструктуру на предмет возможности внедрения SAM.
  • Планирование. Мы подготовим план внедрения решения. Определим основные бизнес-приложения, с которыми будет производиться интеграция решения.
  • Проектирование. Мы дадим описание решения в технических деталях.
  • Внедрение.
  • Подготовка документации. Во время выполнения этапа внедрения мы подготовим необходимую документацию в соответствии с особенностями конкретного проекта.

При этом в результате внедрения вы получаете полноценное масштабируемое решение, позволяющее в дальнейшем добавлять новый функционал.

Ключевые носители

Использование на предприятии смарт-карт или электронных ключей дает неоспоримые преимущества:

  • Двухфакторная аутентификация. Для получения доступа  пользователю необходимо иметь нечто и знать нечто. Такими атрибутами могут быть физический ключ eToken и его ПИН-код. 
  • Надежное хранилище ключевой информации. Доступ к памяти ключа осуществляется опять же только после ввода ПИН-кода. Скопировать закрытую ключевую информацию невозможно. Ее можно только удалить.
  • Использование в качестве пропуска. Современные технологии позволяют имплантировать RFID-метки в карты и USB-ключи, что еще больше повышает надежность вашего предприятия.

Установка поддержки смарт-карт не представляет особой сложности - для этого необходимо установить на рабочую станцию драйвера (для ряда систем эти драйвера уже встроены) для считывателя карт, самой карты, и можно приступать к работе. 

Однако для эффективного использования всего функционала смарт-карт необходимо подробно описать процедуры использования ключей:

  • Предоставление ключа сотруднику.
  • Обновление контента ключа (сертификаты, пароли).
  • Действия сотрудника в случае порчи ключа.
  • Действия сотрудника в случае потери ключа.
  • Действия сотрудника в случае увольнения.

Мы готовы предложить решения на базе электронных ключей eToken от компании Аладдин Р.Д.

Мы готовы подготовить для Вас необходимые регламенты, чтобы вы могли использовать 100% возможностей этого решения в своей организации. 

Если вы планируете расширяться, то мы также рекомендуем обратить внимание на системы управления смарт-картами.