Читаем Инфраструктуры открытых ключей полностью

Компактность смарт-карт делает удобным их применение в персональных и сетевых компьютерах, киосках, считывателях жетонов доступа и т.д. в зависимости от конкретных PKI-приложений, но при этом возникает необходимость в дополнительных периферийных устройствах - считывателях смарт-карт. В ряде PKI-продуктов для хранения ключей и сертификатов реализованы виртуальные смарт-карты, имитирующие поведение физических аналогов и обеспечивающие доступ пользователей без считывателей смарт-карт.

Не все поставщики технологии поддерживают периферийные устройства в одинаковой степени. Но если поставщики предлагают поддержку периферийных устройств, то должны придерживаться стандартных интерфейсов прикладного программирования.

Многие организации полагают, что PKI сама по себе создает защищенную инфраструктуру. Это, конечно, не так - помимо PKI, необходимы такие средства безопасности, как межсетевые экраны, антивирусное программное обеспечение и т.п. (см. лекцию 1). Все критически важные компоненты PKI должны быть адекватно защищены. Наиболее строгие требования предъявляются к физической безопасности систем УЦ, иногда требуется в той же мере предотвращать несанкционированный доступ и к системе РЦ. Рекомендуется физически разделять функции УЦ и РЦ при помощи межсетевых экранов.

Система РЦ должна быть хорошо защищена физически и логически от атак внешних и внутренних нарушителей. Поскольку доступ к серверу регистрации должен поддерживаться для большой группы пользователей (неважно, внутренних или внешних для организации), целесообразно его устанавливать в демилитаризованной зоне с системой обнаружения вторжений и возможностями контроля доступа. В связи с тем, что регистрация обычно выполняется посредством web-сервера (ведущие поставщики PKI обеспечивают такую функциональность), организация должна иметь соответствующий компьютер для размещения на нем web-сервера регистрации.

Функции любого РЦ должны быть защищены внешними устройствами типа смарт-карт, требующими двухфакторной аутентификации. В целях минимизации лазеек безопасности следует применять устройства безопасности - простые аппаратные модули с одной или двумя функциями. Межсетевые экраны и антивирусные средства имеют устройства безопасности, которые позволяют быстро развертывать и приводить в состояние готовности защищенные системы.

Серверы PKI должны размещаться в отдельном закрытом помещении, доступ в которое разрешен только обслуживающему персоналу, тщательно контролируется и регистрируется. Серверы должны быть подключены к источнику бесперебойного питания, а на время его отключения серверы должны автоматически создавать резервные копии данных и завершать работу в штатном режиме. Сегмент сети с серверами PKI должен быть защищен по крайней мере при помощи межсетевого экрана, прозрачного только для трафика PKI.

Каждой организации следует определить, где компоненты PKI будут размещаться и каким образом защищаться. Если организация не имеет средств адекватной защиты, то либо должна их приобрести, либо прибегнуть к услугам доверенной третьей стороны. Очевидно, что приобретение потребует значительных капиталовложений, поэтому вариант аутсорсинга может в ряде случаев оказаться экономически более выгодным.

Персонал, обслуживающий PKI, составляет часть инфраструктуры. Несмотря на то, что криптография с открытыми ключами появилась два десятилетия назад, она стала широко применяться только недавно. Так как, с точки зрения реализации и внедрения, эта технология достаточно нова, пока явно не хватает знающих специалистов в этой области, более того - их трудно привлечь к работе и удержать.

Для развертывания PKI необходимы не только администраторы со знанием технологии цифровых сертификатов, но и специалисты, способные участвовать в разработке правовых документов и соглашений, таких как политики применения сертификатов и соглашения о кросс-сертификации (по сути, о функциональной совместимости между доменами PKI). Более того, важно, чтобы сама стратегия развертывания PKI была хорошо продумана и оформлена в виде документа, что также невозможно осуществить без опытного и знающего персонала. Конечно, в случае использования аутсорсинговой модели эти функции могут быть переданы поставщику услуг, но при самостоятельном развертывании PKI организации необходим квалифицированный и обученный персонал. Организации следует определить количество и уровень квалификации необходимого персонала, которые зависят от масштаба PKI, а также от того, в какой мере инфраструктура поддерживается собственными силами организации [44].