Компактность смарт-карт делает удобным их применение в персональных и сетевых компьютерах, киосках, считывателях жетонов доступа и т.д. в зависимости от конкретных PKI-приложений, но при этом возникает необходимость в дополнительных периферийных устройствах - считывателях смарт-карт. В ряде PKI-продуктов для хранения ключей и сертификатов реализованы виртуальные смарт-карты, имитирующие поведение физических аналогов и обеспечивающие доступ пользователей без считывателей смарт-карт.
Не все поставщики технологии поддерживают периферийные устройства в одинаковой степени. Но если поставщики предлагают поддержку периферийных устройств, то должны придерживаться стандартных интерфейсов прикладного программирования.
Безопасность компонентов PKI
Многие организации полагают, что PKI сама по себе создает защищенную инфраструктуру. Это, конечно, не так - помимо PKI, необходимы такие средства безопасности, как межсетевые экраны, антивирусное программное обеспечение и т.п. (см. лекцию 1). Все критически важные компоненты PKI должны быть адекватно защищены. Наиболее строгие требования предъявляются к физической безопасности систем УЦ, иногда требуется в той же мере предотвращать несанкционированный доступ и к системе РЦ. Рекомендуется физически разделять функции УЦ и РЦ при помощи межсетевых экранов.
Система РЦ должна быть хорошо защищена физически и логически от атак внешних и внутренних нарушителей. Поскольку доступ к серверу регистрации должен поддерживаться для большой группы пользователей (неважно, внутренних или внешних для организации), целесообразно его устанавливать в демилитаризованной зоне с системой обнаружения вторжений и возможностями контроля доступа. В связи с тем, что регистрация обычно выполняется посредством web-сервера (ведущие поставщики PKI обеспечивают такую функциональность), организация должна иметь соответствующий компьютер для размещения на нем web-сервера регистрации.
Функции любого РЦ должны быть защищены внешними устройствами типа смарт-карт, требующими двухфакторной аутентификации. В целях минимизации лазеек безопасности следует применять устройства безопасности - простые аппаратные модули с одной или двумя функциями. Межсетевые экраны и антивирусные средства имеют устройства безопасности, которые позволяют быстро развертывать и приводить в состояние готовности защищенные системы.
Серверы PKI должны размещаться в отдельном закрытом помещении, доступ в которое разрешен только обслуживающему персоналу, тщательно контролируется и регистрируется. Серверы должны быть подключены к источнику бесперебойного питания, а на время его отключения серверы должны автоматически создавать резервные копии данных и завершать работу в штатном режиме. Сегмент сети с серверами PKI должен быть защищен по крайней мере при помощи межсетевого экрана, прозрачного только для трафика PKI.
Каждой организации следует определить, где компоненты PKI будут размещаться и каким образом защищаться. Если организация не имеет средств адекватной защиты, то либо должна их приобрести, либо прибегнуть к услугам доверенной третьей стороны. Очевидно, что приобретение потребует значительных капиталовложений, поэтому вариант аутсорсинга может в ряде случаев оказаться экономически более выгодным.
Выбор персонала для обслуживания PKI
Персонал, обслуживающий PKI, составляет часть инфраструктуры. Несмотря на то, что криптография с открытыми ключами появилась два десятилетия назад, она стала широко применяться только недавно. Так как, с точки зрения реализации и
Для развертывания PKI необходимы не только администраторы со знанием технологии цифровых сертификатов, но и специалисты, способные участвовать в разработке правовых документов и соглашений, таких как
Вильям Л Саймон , Вильям Саймон , Наталья Владимировна Макеева , Нора Робертс , Юрий Викторович Щербатых
Зарубежная компьютерная, околокомпьютерная литература / ОС и Сети, интернет / Короткие любовные романы / Психология / Прочая справочная литература / Образование и наука / Книги по IT / Словари и Энциклопедии