Аутентификацию на основе паролей легко обойти, внутренняя сеть не защищена от подключения «неизвестных» устройств, почта уязвима к фишингу, сложно обеспечить безопасное подключение удалённых пользователей и устройств. С этими и другими проблемами чаще всего сталкиваются компании в процессе глобального перекраивания ИТ-инфраструктуры. Внедрив PKI, такие проблемы можно успешно решить.
PKI создаёт доверенную среду для безопасного взаимодействия пользователей и систем в сети. Это внутренняя зона безопасности, гарантирующая защиту от умышленных или действий внутренних нарушителей. Нет PKI - нет гарантий безопасности.
Строгая (двухфакторная) аутентификация пользователей в домене (цифровые сертификаты) обеспечивает максимальный уровень доверия между серверами, пользователями и устройствами.
Наличие подсистемы, которая обеспечивает строгую аутентификацию необходимо, так как это один из ключевых и критически важных элементов ИТ-инфраструктуры. Реализовать её правильно - одна из первоочередных задач каждой компании и организации, которая заботится о своей безопасности. Решив эту задачу, можно предотвратить и большое количество инцидентов.
Ситуация с PKI в России
Сейчас компании в России делятся на тех, кто использует PKI на базе Microsoft и тех, кто не использует PKI. И то и другое - это риск для безопасности информационной системы.
Большинство информационных систем в России построены на Microsoft Active Directory и используют Microsoft Certificate Services в качестве сервиса генерации и управления цифровыми сертификатами (сертификаты доступа в PKI-инфраструктуре). Доверие к объекту формируется после предъявления сертификата, но в большинстве отечественных ИТ-инфраструктур до сих пор сертификат можно получить в зарубежном центре сертификации Microsoft Certificate Authority, провалидировать (проверить) сертификат можно в Microsoft Certificate Service.
Компания Microsoft ушла с рынка РФ, приобрести решения не представляется возможным, вполне реален риск полного отключения сервисов, отсутствует поддержка и обновления, импортное решение не соответствует требованиям регулятора - одним словом, минусов сильно больше, чем плюсов.
Нет PKI - нет безопасного импортозамещения
В процессе импортозамещения недостаточно заместить только операционную систему и прикладное ПО, ведь служба каталогов и домен безопасности - это «сердце» ИТ-инфраструктуры. Служба PKI, которая, является компонентом домена безопасности, по своей сути «узкое место». Отказ в обслуживании ИТ-инфраструктуры компании, остановка работы этой инфраструктуры является действительно критическим и недопустимым событием.
Сейчас Linux находится в процессе распространения по всей стране, но остаётся без внимания тот факт, что в российских Linux-дистрибутивах нет вложенных PKI-служб, центров выдачи и управления сертификатами, без которых применение в корпоративном сегменте недопустимо.
Сервисы безопасности, которые взаимодействуют с контроллерами домена и с другими службами, не будут также удобно и комфортно работать в Windows, как они работают в Linux. Понятно, что возникает необходимость параллельной работы в гетерогенной среде - как c наследием Microsoft, так и с отечественными решениями.
Выход есть всегда
Создать PKI-инфраструктуру на базе Open Source для предприятия корпоративного уровня слишком рискованно и слишком сложно: полнофункциональные компоненты отсутствуют, поддержки нет, экспертиза недостаточна.
Значит, стоит задача, найти полнофункциональную замену Microsoft CA, с возможностью интеграции в доменную инфраструктуру, полноценным PKI-функционалом, возможностью бесшовной миграции на Linux, параллельной работой с действующим Microsoft CA, поддержкой MS Active Directory, поддержкой различных архитектур аппаратных платформ, поддержкой отечественных ОС, виртуальных сред, одновременной работы с различными службами каталогов (Window и Linux). Необходимо, чтобы решение отвечало требованиям регуляторов, была возможность гарантированной технической поддержки в России.
У компании Аладдин есть корпоративный центр сертификации для Linux - Aladdin Enterprise CA. Это отечественная замена Microsoft CA, решение обеспечивает создание PKI-инфраструктуры уровня Enterprise на базе отечественных ОС, функционирует в процессе миграции инфраструктуры на Linux, решение в реестре отечественного ПО и в системе сертификация ФСТЭК, доступна техническая поддержка при внедрении и эксплуатации.
Лес рубят - щепки летят
Вторая проблема, с которой сталкиваются в процессе перестройки ИТ-ландшафта в любой организации - это массовая утечка данных как следствие отсутствия шифрования в организации.
Кроме охраны периметра, нужно защищать и работать с самими данными, инструменты для этого существуют - обезличивание персональных данных. .
Secret Disk - система защиты информации на рабочих станциях и серверах. Теперь это решение есть и для ОС семейства Linux любой степени зрелости.
Денис Суховей, руководитель департамента развития технологий компании «Аладдин» сообщил, что «в настоящее время появился продукт, способный поддерживать как версии ОС семейства Linux, так и Windows. . Для сотрудников установка не создаст проблем - ноутбук можно использовать вне офиса, не заметят изменения сотрудники и на стационарных компьютерах, а вот у работодателей перестанет болеть голова от поисков подходящих решений для построения безопасной ИТ-инфраструктуры в Linux».
. .
С помощью ключевого контейнера пользователя происходит двухфакторная аутентификация и вся информация о пользователях передаётся в консоль управления администратора.
Агент может работать как автономно, так и в режиме централизованного управления. Последнее, в свою очередь, позволяет развёртывать системы защиты информации на большом количестве рабочих станций.
В Secret Disk включен сертифицированный ФСБ России модуль СКЗИ Secret Disk Crypto Engine для повышения надёжности системы. Важно, что при установке системы нет привязки к сервисам PKI, удостоверяющего центра и службе каталогов.
Решение Aladdin шифрует диск, автоматически регистрирует пользователей в консоли управления, мониторит процессы зашифрованных ресурсов и производит аутентификацию пользователей при попытке доступа к данным. Конечно же, при этом предусмотрено разграничение ролей на администратора и пользователя.
PKI и шифрование - надежные защитники
По мнению Сергея Груздева, генерального директора компании «Аладдин», «критически важно проектировать сразу правильную и безопасную ИТ-инфраструктуру, основанную сначала на гарантиях, а потом на доверии. Инфраструктура PKI (инфраструктура открытых ключей) помогает обеспечить гарантию безопасности ИТ-инфраструктуры. Основой же доверительных отношений служит надёжная аутентификация, причём всех субъектов ИТ - железа, ПО и самих пользователей».
Правильно расставить приоритеты стоит в отношении защиты данных.
«Часто ошибка в том, что мы продолжаем бороться не с причинами утечки данных, а больше с их следствиями. Приоритеты в обеспечении безопасности критичных информационных систем должны быть сосредоточены не столько на защите инфраструктурного периметра компании, сколько на устранении «точек отказа», в том числе с применением шифрования», - прокомментировал генеральный директор Aladdin.