КЕЙСЫ
 

Как и с чем автоматизировать PKI?

О целях, задачах и наиболее эффективных подходах к автоматизации PKI рассказывает Кирилл Лебедев, генеральный директор Power Security.
Power Security
Российский дистрибьютор программного обеспечения в области информационной безопасности таких вендоров, как EverTrust, Nexus Group, и ряда других. Компания также выступает центром компетенции ряда ведущих производителей, специализирующихся на PKI, аутентификации, безопасном доступе и других направлениях

Развитие ИТ-инфраструктуры компании — это непрерывный эволюционный процесс, и каждый этап развития несет в себе как новые возможности, так и новые вызовы. Аналогичным образом должна развиваться и информационная безопасность, не отставая от ИТ-направления. При этом тезис про новые возможности, которые, в свою очередь, влекут за собой и новые вызовы, справедлив и в отношении ИБ.

Рассмотрим, как может выглядеть типичный сценарий развития step-by-step, на укрупненном примере:

  1. Количество ИТ-ресурсов неуклонно растет, как и аудитория их пользователей. В результате управление статическими паролями от десятка-­другого информационных систем с тысячами пользователей превратилось в масштабную задачу, которая становится одной из главных проблем современной инфраструктуры. Кроме того, сами статические пароли уже не отвечают современным требованиям безопасности.
  2. В ответ службы ИБ компаний, предоставляющих те или иные розничные сервисы, предлагают вводить строгую аутентификацию пользователей, хотя бы по сертификатам. Это достаточно простой способ усилить безопасность доступа на текущем этапе, хотя на самом деле существуют и гораздо более эффективные решения. Однако предположим, что внедрение DFA+SSO — двухфакторной аутентификации (Dual-­Factor Authentication) по схеме Singe Sign-­On, позволяющей пользователю однократно пройти процедуру аутентификации и затем использовать несколько разных сервисов без дополнительного подтверждения, по ­каким-то причинам пока не рассматривается, и проблему надо решить на базе имеющихся в наличии средств.
  3. В этом случае компанией налаживается выпуск сертификатов через удостоверяющий центр на базе MSCA/ADCS (Microsoft Certification Authority, Active Directory Certificate Services), и все пользователи ее сервисов получают возможность входить на многие ресурсы, используя один и тот же сертификат и ПИН-код.
  4. Теперь, когда у компании появился удостоверяющий центр, для различных информационных систем и серверов также становится стандартом использовать такие протоколы защиты, как SSL/TLS (Secure Sockets Layer/Transport Layer Security), в том числе со временем — и для различного оборудования.
  5. Проходит некоторое время, и количество сертификатов, которые надо выпускать, обновлять или отзывать у пользователей, серверов и устройств, возрастает настолько, что теперь к обслуживанию этих процессов приходится постоянно привлекать целую команду сотрудников. При этом периодически начинают возникать инциденты: тут сертификат забыли обновить, там пользователь вовремя не обратился за обновлением, про ­какой-то сертификат и вовсе забыли, а при выполнении ­какой-то запланированной синхронизации между системами все вдруг пошло не так, и проблему заметили не сразу. В общем, человеческий фактор накладывается на объем задач, усугубляя и без того непростую ситуацию. Таким образом, с одной стороны, одни проблемы этим способом вроде бы решить удалось, а с другой — мы получили массу других. Особенно критичной становится ситуация на фоне тренда, в рамках которого все больше рыночных и собственных программных продуктов компаний переходит на использование микросервисов. Такой подход позволяет решать проблемы масштабирования и отказоустойчивости, а также ускоряет процессы внедрения и развития, но он же делает инфраструктуру очень динамичной и требует для управления специальных оркестраторов и сильно автоматизирован. В частности, регулярный и своевременный выпуск сертификатов для микросервисов и для их фронтендов становится большой проблемой, требующей автоматизации.

Отдельные детали и факторы могут отличаться, но описанная выше картина довольно типична для многих крупных, средних и динамично развивающихся компаний с сильным ИТ-подразделением. И раз уж мы выбрали в качестве основного «виновника торжества» корпоративные удостоверяющие центры (или попросту инфраструктуру открытых ключей — Public Key Infrastructure, PKI), попробуем рассмотреть некоторые из наиболее актуальных аспектов такого подхода в настоящей статье.

Вначале немного статистики об эффективности функционирования неавтоматизированных PKI, где все сертификаты выпускаются сотрудниками вручную, которые пока еще часто встречаются среди больших и средних компаний с собственными PKI. Итак, по данным французской компании EverTrust, одного из французских разработчиков ПО для PKI и сферы информационной безопасности, обладающей уникальной экспертизой в этой области:

  • 80% корпоративных SSL сертификатов практически не контролируются без автоматизации;
  • 70% веб-сайтов и приложений по-прежнему используют небезопасные протоколы TLS 1.0 или SSL 2.0/3.0;
  • до 75% сокращаются затраты человеческих ресурсов с автоматизацией PKI.

Главными ответами на такую проблематику являются, во‑первых, автоматизация, а во‑вторых, самообслуживание. Для этого индустрия предлагает сегодня довольно много различных инструментов, но и сами эти инструменты нуждаются в комплексных способах управления.
Вопросы автоматизации PKI

Если говорить об инструментарии для оборудования, существуют протоколы SCEP и CMPv2, которые позволяют запрашивать и обновлять сертификаты автоматически. Однако нам необходимо ­каким-то образом управлять учетными данными устройств и при этом быть уверенными, что сертификаты выпускаются только для тех конкретных девайсов, для которых они предназначены.

Для информационных систем разработаны, например, протоколы ACME и EST, которые также позволяют автоматически запрашивать и выпускать сертификаты для различных сайтов, серверных приложений, программных модулей, общающихся друг с другом по сети и требующих безопасной взаимной аутентификации. Но и в этом случае очень важно реализовать механизмы проверки и выдачи доступа.

Также у компании могут быть различные системы типа MDM (Mobile Device Management) — решения для управления настройками и безопасностью мобильных устройств, используемых сотрудниками компании (например, Intune или Jamf). Этим системам также необходимо обеспечить прозрачный и управляемый доступ к выпускающему УЦ для выдачи сертификатов на различные мобильные устройства.

Ну и вишенкой на торте остается вопрос контроля процесса выдачи доступа после того, как он полностью автоматизирован, и офицеры безопасности практически его не наблюдают. Стоит ли полагаться на то, что эти процессы полностью отлажены и выполняются правильно и без сбоев?
Возможности EverTrust Horizon

Поддержка протоколов ACME (v2, RFC 8555 + drafts), WCCE, EST, SCEP
Поддержка УЦ: Nexus Smart ID Enterprise PKI, IDnomic OTPKI, EJBCA, MS ADCS
Поддержка внешних УЦ: DigiCert, CertEurope, GlobalSign, Entrust CS, TrustyKey, Let's Encrypt
Поддержка продуктов/сервисов: MS Intune, Jamf, AirWatch, F5, Azure Key Vault, AWS ACM PCA, Googe, K8S cert-manager и др.
Дополнительные компоненты: Auto-enrollment Proxy для AD, WinCertes для Windows машин.
Ключевые особенности:
  • Конфигурация на базе системы профилей:
    • Поддержка одновременно нескольких разных PKI и различных шаблонов сертификатов
    • Разные режимы развертывания
    • Настраиваемые криптографические ограничения
    • Настройка ограничений по именам
    • Расширенное сопоставление данных
  • Расширенный мониторинг, KPI, системный журнал
  • Управление цепочкой доверия с большинством режимов развертывания
  • Мощный и удобный веб-интерфейс для настройки и регистрации

Два пути реализации

Итак, мы обозначили основные вопросы и теперь попробуем разобраться, как с ними работать дальше. На самом деле путей много, но основных и самых логичных всего два:

  • замена PKI на более функциональный и гибкий;
  • внедрение специального ПО, которое возьмет на себя функции автоматизации и аудита.

Самое забавное, что оба этих пути могут не исключать, а дополнять друг друга, но тут все зависит от деталей и от того, какими инструментами уже владеет ИБ-подразделение вашей компании.

Если идти по первому пути, т. е. по пути замены PKI, можно рассматривать такие комплексные решения, как Nexus Smart ID Enterprise PKI (Nexus Group) или EJBCA (PrimeKey), которые гораздо функциональнее своих аналогов. Вероятно, Nexus Smart ID более предпочтительный вариант, ведь это решение может предложить не только сам PKI с поддержкой всех протоколов автоматизации выпуска, но и один из самых мощных на рынке IAM (Identity and Access Management), при помощи которого можно реализовать не только самообслуживание для пользователей, но и вообще практически неограниченное множество процессов, связанных с безопасностью и доступом.

Также в составе Nexus Smart ID имеется и решение по двухфакторной аутентификации и безопасному доступу Digital Access, которое полностью закроет вопросы аутентификации и доступа к информационным системам, причем даже облачным, а также обеспечит удаленный доступ. У компании Nexus есть представители и в России, что также добавляет ценности решениям этого вендора.
В случае выбора второго пути вариантов реализации немного, но они есть, например, уже упомянутая компания EverTrust недавно объявила о релизе нового решения EverTrust Horizon, которое специализируется на управлении процессами, связанными с жизненным циклом сертификатов в масштабе крупной организации. Решение представляет собой сервер, обеспечивающий слой автоматизации с поддержкой большинства современных протоколов, связанных с PKI. EverTrust Horizon поддерживает работу со всеми популярными PKI-решениями, причем до определенного момента можно даже не отказываться от MSCA/ADCS, ведь это решение расширит их функционал.

EverTrust Horizon предоставляет удобный интерфейс, позволяющий не только управлять всеми процессами выпуска, автоматизированными и ручными, но и вести поиск сертификатов в инфраструктуре организации, аккумулировать знание обо всех сертификатах, которые были выпущены в компании, а также давать возможность пользователям и различным представителям департаментов самим запрашивать и выпускать сертификаты для внутренних нужд. Таким образом, компания получает мощный инструмент автоматизации, а офицеры безопасности — полную исчерпывающую картину, аудит-­отчеты, а также возможность управлять доступом и разрешениями.
P.S.

Если задача автоматизации PKI в вашей компании уже назрела и требует решения, определите предпочтительный путь и начните тестировать и внедрять выбранные решения. Рынок PKI предлагает сегодня эффективные продукты, которые при этом достаточно комплексные, чтобы решать проблемы автоматизации с широким спектром особенностей и потребностей.

В том числе — с помощью компетенций компании Power Security и ее партнеров!