Общее описание
Рутокен KeyBox — система, предназначенная для внедрения, управления и учета аппаратных средств аутентификации пользователей в масштабах предприятия. Рутокен KeyBox обеспечивает централизованное управление средствами аутентификации в течение всего жизненного цикла, ведет учет средств криптографической защиты информации и аудит их использования. Система также позволяет быстро и самостоятельно решать проблемы пользователей без обращения к администраторам, в том числе за пределами предприятия.
Задачи
Сокращение издержек компании на рутинные операции обслуживания PKI
Выпуск сертификатов. Рутокен KeyBox автоматически формирует список сертификатов для выпуска на основе механизма политик использования PKI. Все пользователи, подпадающие под действия одной политики получают идентичный набор настроек и сертификатов. Операции по созданию запросов на сертификаты, их выпуску и записи на ключевой носитель выполняется в автоматизированном режиме.
Рядовым пользователям системы предоставляется удобный кабинет самообслуживания, выполненный в формате веб-приложения. В этом кабинете пользователи, если им разрешено политикой, могут самостоятельно производить выпуск и обновление сертификатов, снижая нагрузку на департамент ИТ.
Рутокен KeyBox отправляет почтовые уведомления администраторам и пользователям на заданные события системы. Например, администратор и (или) пользователь получают уведомление о приближении окончания срока действия сертификата, что позволяет вовремя обновить сертификат и избежать простоев в работе.
Рутокен KeyBox позволяет производить разблокировку заблокированного носителя без визита пользователя к администратору. Такая разблокировка может быть выполнена до или после входа пользователя в операционную систему, а также с или без явного участия администратора.
Рутокен KeyBox предоставляет программный интерфейс (API) через который он интегрируется со сторонними системами. Такая интеграция расширяет возможности по автоматизации процессов использования сертификатов и ключевых носителей. Например, по событию из системы класса Identity Management Рутокен KeyBox может отозвать сертификат уволенного сотрудника.
В состав Рутокен KeyBox входит электронный журнал учета средств криптографической защиты информации (СКЗИ), соответствующий приказу ФАПСИ №152. Используя этот журнал, сотрудники безопасности выполняют требования регуляторов в части учета средств криптографической защиты без применения бумажных носителей и ручного заполнения необходимых данных.
Учет сертификатов, выданных сторонними организациями. Если в организации применяются сертификаты, выданные сторонними (не собственными) удостоверяющими центрами, Рутокен KeyBox позволяет занести информацию о таких сертификатов в базу решения и своевременно напомнить администратору и пользователю о скором истечении таких сертификатов. Это позволяет избежать простоев в работе с банками и торговыми площадками.
Повышение общего уровня информационной безопасности
Централизованное применение политики PIN-кодов. При выпуске ключевого носителя на него записываются требования к PIN-коду: сложность, частота смены, глубина истории и другие, набор параметров зависит от модели устройства. Политики хранятся и распространяются централизованно, администраторам не нужно прописывать политики для каждого отдельного носителя.
Учет ключевых носителей. Каждое устройство (смарт-карта или USB-токен) закрепляется за ответственным сотрудником. Операции по выпуску или обновлению сертификатов на носителе могут выполнить администратор Рутокен KeyBox или сам пользователь (владелец устройства).
Своевременный отзыв сертификатов уволенных сотрудников. Для того, чтобы оперативно прекращать доступ уволенных сотрудников к информационным ресурсам компании, Рутокен KeyBox включает специализированный сервис, который с заданной периодичностью проверяет каталог пользователей и отзывает сертификаты у пользователей, отмеченных как уволенные.
Гибкая настройка прав на работу с системой. Рутокен KeyBox позволяет компаниям определить собственные роли безопасности с настраиваемым перечнем разрешенных операций. Это позволяет администраторам привести ролевую модель Рутокен KeyBox в соответствие с принятыми в компании бизнес-процессами.
Контроль использования ключевых носителей на ПК пользователей. Рутокен KeyBox позволяет компаниям отслеживать, какие носители и кем подключаются к компьютеру организации. Администратор может жестко закрепить ключевой носитель за пользователем или конкретным компьютером. Если система обнаружит несоответствие (например, носитель подключен в сессии нелегитимного пользователя или к неразрешенному компьютеру), ключевой носитель может быть заблокирован.
Архитектура системы
Система состоит из базовых модулей, модулей интеграции и дополнительных функций.
К базовым модулям относятся:
- Консоль администратора;
- KeyBox сервер;
- Card Monitor;
- Хранилище;
- Инструменты самообслуживания;
- Журнал событий.
К модулям интеграции относятся:
- Коннекторы к удостоверяющим центрам;
- Коннекторы к каталогам пользователей;
- Коннектор к принтеру смарт-карт;
- Middleware;
- API.
К дополнительным функциям относятся:
- Журнал СКЗИ;
- Клиентский агент.
Компоненты системы
Рутокен KeyBox состоит из серверной и клиентской части.
Компонентом серверной части является Rutoken Server, который состоит из веб-сервисов и вспомогательных утилит.
Веб-сервисы:
- Management Console — Консоль управления.
- Self Service — Сервис самообслуживания.
- Remote Self Service — Сервис удаленного обслуживания за пределами домена.
- CredProvAPI — Сервис онлайн-разблокировки и выключения смарт-карт.
- ICMAPI — Cервис управления жизненным циклом смарт-карт (для интеграции со сторонним ПО).
- MSCA Proxy — позволяет запрашивать и записывать на устройства при помощи Рутокен KeyBox сертификаты со всех УЦ, находящихся за пределами того домена, в котором развернут Рутокен KeyBox.
- Event Log Proxy — позволяет записывать события со всех серверов Рутокен KeyBox в единый журнал событий Windows.
- Indeed Log Server — позволяет записывать события со всех серверов Рутокен KeyBox в единый журнал событий Windows или базу данных Microsoft SQL.
- Agent — Компонент для удаленного выполнения задач (блокировки, разблокировки, смены PIN-кода администратора и т.п.) на устройствах пользователей.
Вспомогательные утилиты:
- IndeedCM.Agent.Cert.Generator.exe – Утилита для создания сертификатов клиентского агента.
- IndeedCM.Persistence.AD.Cfg.exe – Утилита для создания хранилища данных в Active Directory.
- IndeedCM.Persistence.KeyGen.exe – Утилита для создания ключа шифрования.
- IndeedCM.CertEnroll.MsCA.exe – Утилита для выпуска сертификата "Агент регистрации”.
- IndeedCM.CardMonitor.exe – Утилита мониторинга состояния смарт-карт.
- IndeedCM.Unblock.exe – Утилита для разблокировки смарт-карт.
- IndeedCM.Wizard.exe – Мастер настройки Рутокен KeyBox.
- Storage.sql и Storage_Indices.sql – Скрипты наполнения базы данных Microsoft SQL, используемой для хранения данных Рутокен KeyBox.
Клиентская часть состоит из следующих компонентов:
Indeed CM Middleware — компонент, предоставляющий единый интерфейс остальным компонентам системы по управлению устройствами, подключенными к рабочей станции.
Indeed CM Client Tools:
— Credential Provider — компонент для разблокировки смарт-карт, используемых для аутентификации в операционной системе Windows, в офлайн и онлайн режимах.
— Indeed CM Unblock — компонент для разблокировки смарт-карт, которые не используются для входа в операционную систему.
- Indeed CM Agent — компонент для удаленного выполнения задач (блокировки, разблокировки, смены PIN-кода администратора и т.п.) на устройствах пользователей.
- Indeed CM Client Browser Extension — компонент для поддержки множественных сессий пользователей на терминальном сервере.