Меню 1 (mobile)
Данные клиентов и компании под угрозой. Что поможет их защитить
2021-10-25
У любой компании сегодня есть ИТ-инфраструктура, защищенная множеством сертификатов доступа. Если вовремя их не обновлять, то возникает риск утечки данных. Евгений Галкин («Аванпост») — о том, как ее предотвратить при помощи системы управления PKI.
Инфраструктура открытых ключей (PKI) представляет собой комплекс стандартов, технических средств и процессов, которые позволяют решать задачи в области криптографической защиты информации. Основные элементы такой инфраструктуры — закрытый и соответствующий ему открытый ключ. Используя первый, можно, например, создать электронную подпись или выполнить аутентификацию в системе, а открытый ключ и соответствующий ему цифровой сертификат позволяет в точности установить принадлежность закрытого ключа его владельцу.
Чтобы следить за всеми элементами инфраструктуры открытых ключей из единого окна, используют специальные решения — системы управления PKI. Если, например, происходит кража ключа, то, проанализировав данные из системы, можно сделать важные выводы об инциденте и справиться с его последствиями. Таким образом, системы управления PKI отвечают за безопасность предприятия и представляют собой значимую часть стратегии управления рисками.
Кроме того, решение позволяет проводить аудит всех действий в системе, вести единую базу знаний. Это облегчает взаимодействие с регулирующими органами: когда администратор знает, где и какой ключ находится, ответить на запросы не составляет труда.
Некоторые системы управления PKI также самостоятельно взаимодействуют с внешними сервисами. Например, могут передавать в них информацию о том, что пользователь, который подключился к какому-либо компьютеру, использует чужой ключ. Также подобные решения работают с кадровыми системами. Это необходимо, чтобы вовремя обновлять данные о статусе владельцев сертификатов. Так, система управления PKI автоматически удалит ключи, доступные уволенному сотруднику, и выпустит новые, если работник сменил фамилию.
Когда компании стоит задуматься о внедрении системы управления PKI? Рассмотрим четыре основные ситуации.
Ситуация № 1. Большой объем точек для установки сертификатов
Один из вариантов защиты — хорошо известная технология безопасного соединения SSL и TLS. У сервера есть валидный сертификат, который выдает удостоверяющий центр. Закрытый замочек в адресной строке покажет пользователю, что он зашел на сайт, к примеру, своего банка, а не на страницу мошенников.
Механизмы шифрования и сертификаты устаревают. Если у компании много онлайн-сервисов, то за всеми ими бывает сложно уследить. Администраторы могут забыть о серверах, на которых установлены сертификаты, и вспомнить о них, только когда проблемы уже возникли. Система управления PKI-инфраструктурой позволяет контролировать сроки действия сертификатов. В процессе аудита инфраструктуры она сканирует сети и серверы, выявляет действующие и просроченные сертификаты, ставит их на учет и собирает в единый реестр.
Администратор получает уведомление, если срок действия сертификатов подходит к концу или уже закончился, и не забывает вовремя их поменять на портале или в информационной системе. Кроме того, аудит позволяет оценивать безопасность сертификатов: контролировать длину ключей и их надежность, проверять используемые алгоритмы.
Ситуация № 2. Платежные порталы и банковская сфера
Актуальность сертификатов критически важна для порталов, так или иначе связанных с онлайн-оплатой, например, для интернет-магазинов или банков. Когда у сертификата кончается срок действия, пользователи начинают получать предупреждения от браузера о небезопасном соединении — и уходят в другую компанию. Таким образом, системы управления PKI помогают предотвратить финансовые потери бизнеса.
Особенно это актуально для банков. У них есть процессинговый сегмент, где через защищенные каналы связи взаимодействуют даже серверы. Таковы требования PCI DSS — общепринятого стандарта безопасности на финансовом рынке, который касается использования платежных карт. Если вовремя не обновить нужные сертификаты, то сервисы перестанут работать или начнут функционировать неправильно. Под угрозой окажутся данные клиентов.
Ситуация № 3. Крупная внутренняя инфраструктура
Сертификаты есть не только у порталов, но и у сетевых устройств, межсетевых экранов, шлюзов, VPN-решений. В инфраструктуре крупной ИТ- или телеком-компании их огромное множество — и администраторам еще сложнее следить за ними и обновлять вручную. Современные системы управления PKI-инфраструктурой могут полностью автоматизировать процесс перевыпуска сертификатов. И к этому существует два подхода.
1. На сервер или сетевое оборудование устанавливается специальное ПО — агент. Когда срок действия сертификата истекает, он запускает обновление. Через агентскую подсистему сертификат отправляется на конкретный сервер, размещается в хранилище, после чего происходит донастройка приложения.
2. Этот подход основан на распространенной за рубежом концепции ACME (automated certificate management environment). Ее отличие в том, что у системы управления сертификатами есть внешнее API, к которому обращаются информационные ресурсы. Технология работает на базе «интеграционного шлюза» — благодаря ему решение может «позаботиться» о себе само.
Подобная автоматизация снижает нагрузку на администраторов, ИТ-департамент и отдел информационной безопасности. Специалисты могут решать более сложные задачи, а бизнес — минимизировать затраты.
Ситуация № 4. Согласование выдачи сертификатов
Системы управления PKI-инфраструктурой упрощают этот процесс. Раньше администратору необходимо было подготовить несколько заявок, дождаться их согласования в разных системах. Теперь он может работать над этими задачами в режиме одного окна, что значительно облегчает выполнение операций с заявками и контроль всего процесса.
В целом подобные решения позволяют выстроить вокруг инфраструктуры открытых ключей полноценный бизнес-процесс: от заказа сертификата, его согласования и оплаты до более частных моментов, например интеграции с платежной системой заказчика. И на каждом из этих этапов компания получает возможность оптимизировать как финансовые, так и трудовые ресурсы.
Инфраструктура открытых ключей (PKI) представляет собой комплекс стандартов, технических средств и процессов, которые позволяют решать задачи в области криптографической защиты информации. Основные элементы такой инфраструктуры — закрытый и соответствующий ему открытый ключ. Используя первый, можно, например, создать электронную подпись или выполнить аутентификацию в системе, а открытый ключ и соответствующий ему цифровой сертификат позволяет в точности установить принадлежность закрытого ключа его владельцу.
Чтобы следить за всеми элементами инфраструктуры открытых ключей из единого окна, используют специальные решения — системы управления PKI. Если, например, происходит кража ключа, то, проанализировав данные из системы, можно сделать важные выводы об инциденте и справиться с его последствиями. Таким образом, системы управления PKI отвечают за безопасность предприятия и представляют собой значимую часть стратегии управления рисками.
Кроме того, решение позволяет проводить аудит всех действий в системе, вести единую базу знаний. Это облегчает взаимодействие с регулирующими органами: когда администратор знает, где и какой ключ находится, ответить на запросы не составляет труда.
Некоторые системы управления PKI также самостоятельно взаимодействуют с внешними сервисами. Например, могут передавать в них информацию о том, что пользователь, который подключился к какому-либо компьютеру, использует чужой ключ. Также подобные решения работают с кадровыми системами. Это необходимо, чтобы вовремя обновлять данные о статусе владельцев сертификатов. Так, система управления PKI автоматически удалит ключи, доступные уволенному сотруднику, и выпустит новые, если работник сменил фамилию.
Когда компании стоит задуматься о внедрении системы управления PKI? Рассмотрим четыре основные ситуации.
Ситуация № 1. Большой объем точек для установки сертификатов
Один из вариантов защиты — хорошо известная технология безопасного соединения SSL и TLS. У сервера есть валидный сертификат, который выдает удостоверяющий центр. Закрытый замочек в адресной строке покажет пользователю, что он зашел на сайт, к примеру, своего банка, а не на страницу мошенников.
Механизмы шифрования и сертификаты устаревают. Если у компании много онлайн-сервисов, то за всеми ими бывает сложно уследить. Администраторы могут забыть о серверах, на которых установлены сертификаты, и вспомнить о них, только когда проблемы уже возникли. Система управления PKI-инфраструктурой позволяет контролировать сроки действия сертификатов. В процессе аудита инфраструктуры она сканирует сети и серверы, выявляет действующие и просроченные сертификаты, ставит их на учет и собирает в единый реестр.
Администратор получает уведомление, если срок действия сертификатов подходит к концу или уже закончился, и не забывает вовремя их поменять на портале или в информационной системе. Кроме того, аудит позволяет оценивать безопасность сертификатов: контролировать длину ключей и их надежность, проверять используемые алгоритмы.
Ситуация № 2. Платежные порталы и банковская сфера
Актуальность сертификатов критически важна для порталов, так или иначе связанных с онлайн-оплатой, например, для интернет-магазинов или банков. Когда у сертификата кончается срок действия, пользователи начинают получать предупреждения от браузера о небезопасном соединении — и уходят в другую компанию. Таким образом, системы управления PKI помогают предотвратить финансовые потери бизнеса.
Особенно это актуально для банков. У них есть процессинговый сегмент, где через защищенные каналы связи взаимодействуют даже серверы. Таковы требования PCI DSS — общепринятого стандарта безопасности на финансовом рынке, который касается использования платежных карт. Если вовремя не обновить нужные сертификаты, то сервисы перестанут работать или начнут функционировать неправильно. Под угрозой окажутся данные клиентов.
Ситуация № 3. Крупная внутренняя инфраструктура
Сертификаты есть не только у порталов, но и у сетевых устройств, межсетевых экранов, шлюзов, VPN-решений. В инфраструктуре крупной ИТ- или телеком-компании их огромное множество — и администраторам еще сложнее следить за ними и обновлять вручную. Современные системы управления PKI-инфраструктурой могут полностью автоматизировать процесс перевыпуска сертификатов. И к этому существует два подхода.
1. На сервер или сетевое оборудование устанавливается специальное ПО — агент. Когда срок действия сертификата истекает, он запускает обновление. Через агентскую подсистему сертификат отправляется на конкретный сервер, размещается в хранилище, после чего происходит донастройка приложения.
2. Этот подход основан на распространенной за рубежом концепции ACME (automated certificate management environment). Ее отличие в том, что у системы управления сертификатами есть внешнее API, к которому обращаются информационные ресурсы. Технология работает на базе «интеграционного шлюза» — благодаря ему решение может «позаботиться» о себе само.
Подобная автоматизация снижает нагрузку на администраторов, ИТ-департамент и отдел информационной безопасности. Специалисты могут решать более сложные задачи, а бизнес — минимизировать затраты.
Ситуация № 4. Согласование выдачи сертификатов
Системы управления PKI-инфраструктурой упрощают этот процесс. Раньше администратору необходимо было подготовить несколько заявок, дождаться их согласования в разных системах. Теперь он может работать над этими задачами в режиме одного окна, что значительно облегчает выполнение операций с заявками и контроль всего процесса.
В целом подобные решения позволяют выстроить вокруг инфраструктуры открытых ключей полноценный бизнес-процесс: от заказа сертификата, его согласования и оплаты до более частных моментов, например интеграции с платежной системой заказчика. И на каждом из этих этапов компания получает возможность оптимизировать как финансовые, так и трудовые ресурсы.
Каким компаниям система пока не нужна?
1. Если в компании простые бизнес-процессы, а электронные подписи используют, например, всего 20−30 человек. В таком случае с их контролем и обслуживанием справятся системные администраторы.
2. Если бизнес уже использует систему, как правило, самописную, которая решает конкретную задачу. Например, такое решение обладает базовым функционалом для учета объектов инфраструктуры открытых ключей и выпуска сертификатов — и в таком виде оно соответствует запросам компании на сегодняшнем этапе ее развития.
2. Если бизнес уже использует систему, как правило, самописную, которая решает конкретную задачу. Например, такое решение обладает базовым функционалом для учета объектов инфраструктуры открытых ключей и выпуска сертификатов — и в таком виде оно соответствует запросам компании на сегодняшнем этапе ее развития.
Как выбрать систему управления PKI
1. Интеграционные возможности
С одной стороны, необходимо, чтобы решение прямо «из коробки» могло поддерживать все виды необходимых устройств, ОС и внешних систем, например СЭД или кадровых систем. С другой стороны, не менее важно, чтобы оно взаимодействовало с максимально широким списком удостоверяющих центров, ключевых носителей и источников данных.
Возможности интеграции напрямую влияют на сроки, удобство и качество внедрения системы управления PKI. Можно установить решение и долго вносить в него данные вручную, прежде чем оно заработает. Или же использовать систему, которая сама «свяжется» с другими источниками данных и быстро начнет их анализировать.
2. Комплексный подход
Все функции системы должны быть направлены на то, чтобы сделать бизнес-процесс простым и «бесшовным». Например, важно, чтобы сотруднику не приходилось в разных системах заполнять заявки на выдачу сертификатов, отправлять их на согласование и запрашивать бюджеты. Такой подход позволяет экономить средства: компания меньше тратит на обучение сотрудников, ведь работать с одной системой легче, чем с несколькими. Кроме того, нет необходимости в дополнительных интеграциях.
3. Адаптивность
Даже если новая система позволяет справляться почти с любыми задачами, ее внедрение — все равно стресс для сотрудников. Поэтому лучше адаптировать решение под уже существующие внутренние практики в организации, а не перестраивать их с нуля. Для этого система должна быть внедрена в ИТ-инфраструктуру. И в этом как раз поможет интеграционная составляющая.
4. Возможности автоматизации
Чтобы снизить количество рутинных операций в ИТ-департаменте и отделе информационной безопасности, а также не допустить простоя онлайн-сервисов, система управления PKI должна иметь возможность полностью автоматизировать ряд процессов. Например, самостоятельно перевыпускать сертификат.
С одной стороны, необходимо, чтобы решение прямо «из коробки» могло поддерживать все виды необходимых устройств, ОС и внешних систем, например СЭД или кадровых систем. С другой стороны, не менее важно, чтобы оно взаимодействовало с максимально широким списком удостоверяющих центров, ключевых носителей и источников данных.
Возможности интеграции напрямую влияют на сроки, удобство и качество внедрения системы управления PKI. Можно установить решение и долго вносить в него данные вручную, прежде чем оно заработает. Или же использовать систему, которая сама «свяжется» с другими источниками данных и быстро начнет их анализировать.
2. Комплексный подход
Все функции системы должны быть направлены на то, чтобы сделать бизнес-процесс простым и «бесшовным». Например, важно, чтобы сотруднику не приходилось в разных системах заполнять заявки на выдачу сертификатов, отправлять их на согласование и запрашивать бюджеты. Такой подход позволяет экономить средства: компания меньше тратит на обучение сотрудников, ведь работать с одной системой легче, чем с несколькими. Кроме того, нет необходимости в дополнительных интеграциях.
3. Адаптивность
Даже если новая система позволяет справляться почти с любыми задачами, ее внедрение — все равно стресс для сотрудников. Поэтому лучше адаптировать решение под уже существующие внутренние практики в организации, а не перестраивать их с нуля. Для этого система должна быть внедрена в ИТ-инфраструктуру. И в этом как раз поможет интеграционная составляющая.
4. Возможности автоматизации
Чтобы снизить количество рутинных операций в ИТ-департаменте и отделе информационной безопасности, а также не допустить простоя онлайн-сервисов, система управления PKI должна иметь возможность полностью автоматизировать ряд процессов. Например, самостоятельно перевыпускать сертификат.
О компании AVANPOST:
Avanpost — российский вендор-новатор в области безопасности идентификационных данных, развивает свою экспертизу с 2007 г.
Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:
Экосистема решений по управлению доступом построена на базе полностью собственного ПО, лучшего в своем классе, не зависящего от сторонних решений и Open Source компонентов.
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.
Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируются и объединяются с программными компонентами различных вендоров.
Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:
- Avanpost IDM/IGA — система управления учетными записями и доступом к корпоративным ресурсам предприятия;
- Avanpost SmartPAM для контроля привилегированного доступа;
- Avanpost DS — российская служба каталогов, предназначенная для управления Linux-инфраструктурами и замены MS AD, каталог для промышленных нагрузок, протестированный на 30 млн объектах);
- Avanpost CA (российский доменный сервис сертификации, универсальный для различных доменов, включая MS);
- Avanpost PKI (управление жизненным циклом объектов инфраструктуры открытых ключей из единого центра);
- Продукты линейки аутентификации Avanpost Access: FAM, MFA+, USSO, WSSO, Device Control.
Экосистема решений по управлению доступом построена на базе полностью собственного ПО, лучшего в своем классе, не зависящего от сторонних решений и Open Source компонентов.
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.
Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируются и объединяются с программными компонентами различных вендоров.
Другие новости
Получайте свежие новости первыми!
