Проектирование и внедрение PKI

Выбор основных средств и оборудования

Успех развертывания PKI во многом зависит от окружающей и поддерживающей инфраструктуры. Под инфраструктурой понимаются основные средства, оборудование и персонал, необходимые для функционирования PKI.

Аппаратное и программное обеспечение УЦ и РЦ

При проектировании PKI прежде всего необходимо выбрать программное и аппаратное обеспечение УЦ и РЦ. Выбор в большей степени зависит от поставщиков программных и аппаратных средств, а также от намерения организации создать собственный УЦ или передать эти функции на аутсорсинг, но можно выделить некоторые основные моменты, не связанные с поставщиком или вариантом развертывания, которые должна гарантировать организация:

• аппаратное обеспечение для защиты ключа подписи, предназначенного для функций РЦ, должно соответствовать требованиям по крайней мере минимального уровня безопасности, который способен обеспечить криптографический модуль, используемый внутри системы безопасности для защиты несекретной информации;
• аппаратное обеспечение защиты ключа подписи, предназначенного для функций УЦ, должно соответствовать требованиям более высокого уровня безопасности, предполагающего аутентификацию субъектов на основе ролей;
• компоненты РЦ должны быть отделены от компонентов УЦ, находиться на разных серверах и, возможно, в разных центрах обработки данных. Поскольку в PKI постоянно поддерживается взаимодействие многих пользователей с УЦ, физическое разделение функций УЦ и РЦ обеспечивает защиту от потенциальных угроз со стороны нарушителей внутри организации [44].

Серверы, предназначенные для PKI, должны обладать высокой производительностью, значительными системными ресурсами и возможностями. При выборе серверов должны оцениваться точный объем оперативной памяти и дискового пространства. Масштабируемость системы PKI может обеспечить аппаратное обеспечение типа SMP-систем (с симметричной мультипроцессорной обработкой).

Такие компоненты PKI, как УЦ, РЦ и репозиторий сертификатов, теоретически могут размещаться на одном сервере, но для распределения рабочей нагрузки и в целях безопасности рекомендуется использовать несколько серверов. Разделение функций немного снижает производительность системы, но повышает защищенность компонентов и позволяет распределить обязанности по их поддержке между несколькими подразделениями. Для защиты и хранения секретного ключа УЦ, который чаще всего является объектом внутренних и внешних атак, должно использоваться криптографическое аппаратное обеспечение.

Периферийные устройства

Для хранения секретных ключей и сертификатов конечных субъектов PKI целесообразно использовать такие портативные криптографические устройства, как смарт-карты или токены безопасности. В некоторых средах необходима многофакторная аутентификация, когда может потребоваться хранение секретных ключей в периферийном модуле, а не на персональных компьютерах конечных пользователей, - с этой целью иногда используются биометрические устройства либо в дополнение к аппаратным токенам или смарт-картам, либо вместо них.

Компактность смарт-карт делает удобным их применение в персональных и сетевых компьютерах, киосках, считывателях жетонов доступа и т.д. в зависимости от конкретных PKI-приложений, но при этом возникает необходимость в дополнительных периферийных устройствах - считывателях смарт-карт. В ряде PKI-продуктов для хранения ключей и сертификатов реализованы виртуальные смарт-карты, имитирующие поведение физических аналогов и обеспечивающие доступ пользователей без считывателей смарт-карт.

Не все поставщики технологии поддерживают периферийные устройства в одинаковой степени. Но если поставщики предлагают поддержку периферийных устройств, то должны придерживаться стандартных интерфейсов прикладного программирования.

Безопасность компонентов PKI

Многие организации полагают, что PKI сама по себе создает защищенную инфраструктуру. Это, конечно, не так - помимо PKI, необходимы такие средства безопасности, как межсетевые экраны, антивирусное программное обеспечение и т.п. ( "Доверие в сфере электронных коммуникаций" ). Все критически важные компоненты PKI должны быть адекватно защищены. Наиболее строгие требования предъявляются к физической безопасности систем УЦ, иногда требуется в той же мере предотвращать несанкционированный доступ и к системе РЦ. Рекомендуется физически разделять функции УЦ и РЦ при помощи межсетевых экранов.

Система РЦ должна быть хорошо защищена физически и логически от атак внешних и внутренних нарушителей. Поскольку доступ к серверу регистрации должен поддерживаться для большой группы пользователей (неважно, внутренних или внешних для организации), целесообразно его устанавливать в демилитаризованной зоне с системой обнаружения вторжений и возможностями контроля доступа. В связи с тем, что регистрация обычно выполняется посредством web-сервера (ведущие поставщики PKI обеспечивают такую функциональность), организация должна иметь соответствующий компьютер для размещения на нем web-сервера регистрации.

Функции любого РЦ должны быть защищены внешними устройствами типа смарт-карт, требующими двухфакторной аутентификации. В целях минимизации лазеек безопасности следует применять устройства безопасности - простые аппаратные модули с одной или двумя функциями. Межсетевые экраны и антивирусные средства имеют устройства безопасности, которые позволяют быстро развертывать и приводить в состояние готовности защищенные системы.

Серверы PKI должны размещаться в отдельном закрытом помещении, доступ в которое разрешен только обслуживающему персоналу, тщательно контролируется и регистрируется. Серверы должны быть подключены к источнику бесперебойного питания, а на время его отключения серверы должны автоматически создавать резервные копии данных и завершать работу в штатном режиме. Сегмент сети с серверами PKI должен быть защищен по крайней мере при помощи межсетевого экрана, прозрачного только для трафика PKI.

Каждой организации следует определить, где компоненты PKI будут размещаться и каким образом защищаться. Если организация не имеет средств адекватной защиты, то либо должна их приобрести, либо прибегнуть к услугам доверенной третьей стороны. Очевидно, что приобретение потребует значительных капиталовложений, поэтому вариант аутсорсинга может в ряде случаев оказаться экономически более выгодным.