Rambler's Top100
Все новости Новости компаний

В Avanpost PKI появился уникальный функционал для автоматизированного управления инфраструктурой открытых ключей

30 марта 2021

Компания Аванпост расширяет функциональные возможности системы управления корпоративной инфраструктурой открытых ключей Avanpost PKI. Многие новые функции являются уникальными для отечественного рынка, не реализованы ни в одном другом специализированном продукте и являются результатом планомерной работы над продуктом на протяжении последнего полугодия.

Новые возможности продукта связаны как с дальнейшим развитием его интеграционных возможностей и расширенной поддержкой ключевых отраслевых стандартов, так и с обеспечением более глубокой и комплексной автоматизации различных бизнес-процессов управления PKI-инфраструктурой.

Так, в последней версии Avanpost PKI была реализована поддержка «из коробки» всех операций учета и управления новыми типами ключевых носителей – накопителями USB-флэш и токенами «Сбера» (Token++; Token++ Light и VPN-key TLS). Отметим, что поддержка этих типов ключевых носителей пока не была заявлена ни у одного конкурента компании Аванпост (по информации из открытых источников). Помимо этого, в обновленном продукте была расширена поддержка линейки токенов и смарт-карт JaCarta, включая комбинированную JaCarta, содержащую апплеты PKI, ГОСТ и ГОСТ2.

В новом Avanpost PKI к перечню удостоверяющих центров, на программных комплексах которых можно организовать выпуск сертификатов, добавились сервисы GlobalSign и CheckPoint ICA. Отметим, что хотя поддержка CheckPoint ICA уже была реализована ранее, однако, с изменением самого продукта и появлением в нем новых функций, данное интеграционное решение было полностью переработано и теперь поддерживает новый функционал распространения сертификатов и ключей. В свою очередь, поддержка GlobalSign позволяет встроить взаимодействие с этим известным во всем мире сервисом сертификации в корпоративные процессы управления инфраструктурой открытых ключей, – наряду с такими распространенными корпоративными центрами сертификации, как Microsoft CA или КриптоПро УЦ 2.0. Таким образом, для конечных администраторов и пользователей был создан единообразный процесс взаимодействия как с локальными УЦ, так и с облачными сервисами. По имеющейся информации, поддержка данных УЦ также не заявлена ни у одного конкурента компании Аванпост. Кроме того, специалистами Аванпост была протестирована и подтверждена полная совместимость Avanpost PKI с криптографическим провайдером КриптоПро CSP 5.0, что дает пользователям уверенность в том, что обновление того или иного продукта в их инфраструктуре не приведет к нежелательным последствиям.

Напомним, что начиная с 6 версии Avanpost PKI имеет возможность управлять сертификатами информационных систем (SSL-сертификаты, технологические сертификаты и т. д.). Однако, если ранее данный функционал использовался в основном для выпуска и учета сертификатов и информационных систем, то теперь продукт поддерживает возможность организации полноценных бизнес-процессов управления сертификатами информационных систем с вовлечением в них владельцев и администраторов ИС. Данный функционал, с одной стороны, обеспечивает удобный сервис самообслуживания для владельцев и администраторов ИС, а с другой – снижает излишнюю нагрузку на сотрудников УЦ за счет вовлечения в процесс большего числа участников. Встроенный в продукт «движок» позволяет автоматизировать целый ряд бизнес-процессов. Так, с помощью Avanpost PKI Администратор ИС в «Личном кабинете» может запросить новый сертификат или отозвать его, а также выгрузить готовый сертификат из Avanpost PKI (в том числе в формате PFX) для каждой своей ИС. Например, Avanpost PKI самостоятельно инициирует процесс перевыпуска сертификата по истечению его срока действия и последовательно проводит через все его этапы, включая согласование сертификата с ответственными лицами и оповещение Администратора ИС о готовности. Администратору останется лишь перейти в свой «Личный кабинет», скачать готовый сертификат и обновить его непосредственно на сервере соответствующей информационной системы. Подчеркнем, что подобное объединение функционала в едином решении по управлению инфраструктурой открытых ключей является уникальным для отечественного рынка.

Аванпост продолжает активно развивать функции взаимодействия с ключевыми носителями. Теперь Avanpost PKI поддерживает просмотр, контроль и импорт (если это позволено регламентами и технически поддерживается производителем ключевого носителя) сертификатов и закрытых ключей непосредственно с подключенных в контур ключевых носителей с использованием агентской подсистемы – в том числе и удаленно. Данная возможность будет полезна в целом ряде сценариев использования продукта: для инвентаризации инфраструктуры открытых ключей при внедрении Avanpost PKI; актуализации информации о сертификатах, появляющихся в контуре; при создании базового функционала для аудита и контроля появления незарегистрированных сертификатов, а также с целью проверки наличия легитимных сертификатов на ключевых носителях. Эти функции, по имеющейся открытой информации, также реализованы только в Avanpost PKI.

Теперь в Avanpost PKI реализована полноценная поддержка аутентификации администраторов и пользователей в системе по сертификату, включая поддержку аутентификации по сертификатам ГОСТ. Это гарантирует соответствие требованиям к аутентификации со стороны регуляторов, а также упрощает организацию юридической применимости действий в системе на основании факта аутентификации. Наряду с поддержкой сквозной аутентификации, эта функция будет особенно востребована организациями, полностью отказавшимися от аутентификации по логинам и паролям и перешедшими на аутентификацию по сертификатам (прежде всего организациями кредитно-финансовой сферы). Отметим, что помимо аутентификации пользователей, была реализована аутентификация по сертификатам агентов Avanpost PKI, что дает дополнительную защиту процесса взаимодействия агента с сервером, а также позволяет применять агентов в гетерогенных и не доменных инфраструктурах.

В Avanpost PKI появилась возможность максимально гибко настраивать «динамические» шаблоны сертификатов. Наличие в Avanpost PKI полноценной информации о сотрудниках, информационных системах, компаниях и пр., а также динамические шаблоны сертификатов,  позволяет гибкого вычислять их параметры (как и отслеживать сам факт попадания тех или иных параметров в состав сертификата или запроса). Например, разрешение на доступ к какой-либо системе, аутентификация в которой осуществляется по сертификату, позволит автоматически добавить в запрос на сертификат расширение (например, EKU), отвечающее за доступ к данной системе. Кроме того, при формировании запроса на сертификат, в соответствии с настройками шаблона, администратор может непосредственно добавить или удалить какие-либо расширения (для которых это позволено в настройках шаблона сертификата). Данная возможность является основой для дальнейшей гибкой настройки сложных бизнес-процессов, что, в свою очередь, делает продукт более адаптивным и лучше учитывает индивидуальные потребности тех или иных заказчиков.

В Avanpost PKI был добавлен новый модуль – Интеграционный шлюз. Его задачей является обеспечение потребностей интеграции с Avanpost PKI внешними информационными системами. На первом этапе были реализованы все функции управления субъектами, а также основные методы создания запросов на сертификаты (подачи запросов с запуском процедуры рассмотрения и одобрения) и получения выпущенных сертификатов. Интеграционный шлюз позволяет создавать на базе Avanpost PKI полнофункциональный инфраструктурный сервис, построить и полностью автоматизировать процессы выпуска и обновления сертификатов, а также подключить Avanpost PKI к корпоративной IDM-системе или иному источнику данных о субъектах. Примером такого решения является организация процессов выпуска сертификатов для систем класса ДБО, где запрос создается непосредственно клиентом на стороне ДБО, а затем импортируется, рассматривается и выпускается в Avanpost PKI. Таким образом, Avanpost PKI абстрагирует все внешние системы от особенностей и трудностей реализации интеграций со всеми видами программных комплексов УЦ, унифицирует процесс интеграции и при этом остается системой контроля и учета субъектов и объектов инфраструктуры отрытых ключей. В дальнейшем планируется развивать возможности Интеграционного шлюза как для управления информационными системами и их сертификатами (а также создания ACME, Automated Certificate Management Environment), так и для управления объектами учета – ключевыми носителями и СКЗИ.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.