Разработчики: | Avanpost (Аванпост) |
Дата последнего релиза: | 2022/11/08 |
Технологии: | ИБ - Аутентификация, ИБ - Средства шифрования, СКУД - Системы контроля и управления доступом |
Содержание |
Основные статьи:
- PKI (public key infrastructure) рынок России
- Криптография
- Identity and Access Management - определения
Avanpost PKI — система управления всеми элементами инфраструктуры открытых ключей из единого центра.
2022
Выпуск промежуточной версии с возможностью взаимодействия с сервисом VipNet PKI Service
Компания «Аванпост» сообщила 8 ноября 2022 года о выпуске промежуточной версии Avanpost PKI, продукта, предназначенного для централизованного управления всеми элементами инфраструктуры открытых ключей (PKI) из единого центра.
Среди основных изменений: возможность взаимодействия с криптографическим сервисом облачной подписи VipNet PKI Service, аутентификация через внешний провайдер с использованием OpenId Connect и групповое распространение сертификатов.
В данной версии взаимодействовать с криптографическим сервисом облачной подписи VipNet PKI Service Avanpost PKI может также, как и с КриптоПро DSS. Еще одно обновление — полноценное управление сертификатами и ключами пользователей, размещенными в VipNet PKI Service. Сервис подключается к Avanpost PKI как облачный ключевой носитель, поэтому его можно использовать вместе с другими типами облачных и физических ключевых носителей, он бесшовно встраивается в бизнес-процессы, сохраняя сложившуюся логику работы.TrafficSoft ADC: балансировщик нагрузки с высокой скоростью работы и минимальными аппаратными требованиями
Возможности Avanpost PKI расширяет и аутентификация с использованием внешних провайдеров по протоколу OpenId Connect. Теперь продукт легко подключить к централизованной корпоративной системе аутентификации — это обеспечивает единый механизм доступа к нему, а также позволяет управлять уровнем сложности процесса аутентификации. Более того, Avanpost PKI таким образом можно подключить к Avanpost FAM. Как результат, клиенты могут одновременно использовать эти продукты, что существенно увеличивает эффективность их работы.
В данной версии появилась возможность группового распространения сертификатов сотрудникам.
Допустим, группа сотрудников имеет доступ к общему почтовому ящику и требуется организовать шифрование электронной почты. Теперь, для обеспечения всех этих сотрудников сертификатом и ключом, в Avanpost PKI достаточно создать соответствующую группу сотрудников и настроить для них распространение сертификатов, остальные задачи система выполнит автоматически. В целом, функционал не просто повышает прозрачность связей внутри продукта, он делает работу с массовыми операциями куда более простой и сокращает время выполнения, а, соответственно, и трудозатраты специалистов, работающих в системе, отметил Евгений Галкин, системный архитектор компании «Аванпост».
|
Также Avanpost PKI теперь полнофункционально поддерживает работу с ключевыми носителями JaCarta PKI/ГОСТ. Это позволяет клиентам осуществлять целый ряд операций управления и учета этих ключевых носителей, что расширяет возможности применения Avanpost PKI из коробки.
Существенное развитие также получил модуль «Интеграционный шлюз». С его помощью теперь можно управлять разрешенными расширениями для сотрудников. Кроме того, после полной переработки модели безопасности, модуль позволяет отправлять данные об обращениях к нему из вне по протоколу syslog. Сообщения формируются согласно формату CEF, который поддерживается большинством SIEM-систем.
Данный функционал Avanpost PKI не просто расширяет возможности создания межсистемных интеграционных решений, но и делает возможным полноценный контроль за внешними обращениями, что значительно повышает уровень информационной безопасности, заметил Евгений Галкин.
|
Совместимость Avanpost PKI v.6 с USB-токенами и смарт-картами JaCarta
31 мая 2022 года компании "Аладдин Р.Д."сообщила, что совместно с "Аванпост" завершили тестовые испытания на совместимость своих продуктов.
Результаты тестовых испытаний подтверждают работоспособность и корректность совместного функционирования USB-токенов и смарт-карт JaCarta от "Аладдин Р.Д." и системы управления элементами инфраструктуры открытых ключей Avanpost PKI версии v.6 от "Аванпост".
Совместимость и корректность совместного использования доказана для USB-токенов и смарт-карт JaCarta PKI, JaCarta PRO, JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ, JaCarta-2 PRO/ГОСТ и USB-токенов для хранения цифровых сертификатов и контейнеров программных СКЗИ JaCarta LT. Для корректной совместной работы продуктов необходимо использовать дополнительное ПО "Единый Клиент JaCarta" версии 2.13 или выше. Совместимость подтверждена для следующих операционных систем: Microsoft Windows 7/8/8.1/10 (32/64-bit) и Windows 11 (64-bit).
Система Avanpost PKI предназначена для учёта и управления жизненным циклом цифровых сертификатов и лицензий на СКЗИ, автоматизации процесса выпуска сертификатов на носители, поэкземплярного учёта криптографических средств согласно всем требованиям законодательства и регуляторов. При совместной работе с Avanpost PKI v.6 USB-токены и смарт-карты JaCarta позволяют организовать двухфакторную аутентификацию пользователей в информационных системах, работу электронной подписи, целостность и конфиденциальность передаваемых данных, а также безопасное хранение ключевых контейнеров программных СКЗИ, профилей и паролей.
Компании "Аванпост" и "Аладдин Р.Д." являются технологическими партнёрами уже много лет, и совместимость Avanpost PKI со смарт-картами и USB-токенами JaCarta поддерживается и подтверждается начиная с 4 версии продукта Avanpost PKI. Совместными усилиями мы способствуем не только технологическому развитию наших продуктов, но и внедрению институтов использования криптографических методов защиты информации в России в целом, - сказал Евгений Галкин, системный архитектор компании "Аванпост". |
Мы рады сообщить о завершении тестовых испытаний на совместимость электронных ключей JaCarta с последней версией Avanpost PKI v.6. Возможность централизованного управления всеми элементами, включая управление электронными ключами и смарт-картами, является важной частью при построении безопасной и удобной инфраструктуры открытых ключей. Наши общие заказчики теперь могут быть уверены, что Avanpost PKI v.6 поддерживает все актуальные модели линейки JaCarta, что делает процесс их учёта и управление жизненным циклом простым и максимально автоматизированным, - отметил Сергей Челышев, руководитель группы интеграции "Аладдин Р.Д.". |
Интеграция с удостоверяющими центрами ФНС России и Федерального казначейства
1 марта 2022 года компания «Аванпост», российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM) сообщила, что обновила систему управления корпоративной инфраструктурой открытых ключей Avanpost PKI и реализовала в ней возможность интеграции с удостоверяющими центрами Федеральной налоговой службы и Федерального казначейства России. Представленная функция позволит организациям, взявшим на себя роль доверенных центров этих ведомств, самостоятельно разворачивать и настраивать у себя рабочие места оператора УЦ ФНС и ФК.
Как работает система
Благодаря системе Avanpost PKI уполномоченные доверенные центры смогут развернуть у себя рабочие места оператора ФНС и ФК, что позволит получать доступ к API регуляторов и осуществлять полный цикл операций, связанных с выдачей электронных подписей конечным пользователям.
Avanpost PKI обеспечит весь процесс взаимодействия с УЦ ФНС и ФК с технологической стороны, начиная от сбора пакета документов и подачи заявлений на сертификаты до проверки их у регулятора и получения заявителем ЭП. Все необходимые при этом данные самостоятельно «подтянутся» из различных внешних источников: автоматизированных банковских систем, CRM и баз данных. Всё вместе позволит организовать прозрачный бизнес-процесс и ускорить выдачу сертификатов.
«Avanpost PKI берет на себя всю технологическую часть взаимодействия с удостоверяющими центрами. С его помощью можно организовать бесперебойный и безопасный обмен данными между доверенным лицом и УЦ. Это позволит организации быстро получать доступ к API и всем процессным составляющим на стороне регулятора, оперативно предоставлять ему пакеты документов на проверку и автоматизировать процесс выпуска сертификатов. Важная особенность решения в том, что систему можно адаптировать под себя. Так, подать электронное заявление на выпуск сертификата оператор сможет как вручную, так и автоматически, например, при помощи интеграции с внешними информационными системами», - комментирует Евгений Галкин, системный архитектор компании «Аванпост». |
Предпосылки разработки
В 2019 году были приняты поправки к Федеральному закону от 06.04.2011 № 63-ФЗ «Об электронной подписи», которые уже частично вступили в силу. Процесс окончательного перехода на утвержденные правила завершится в январе 2023 года.
Согласно этим изменениям, на Федеральную налоговую службу и Федеральное казначейство возлагаются функции аккредитованных удостоверяющих центров (УЦ) по выдаче электронных подписей. ФНС становится УЦ, выдающим ЭП юридическим лицам,индивидуальным предпринимателям и нотариусам. Федеральное казначейство берет на себя аналогичные функции в отношении госслужащих, участников бюджетного процесса, юридических лиц, не являющихся участниками бюджетного процесса, а также фермерских хозяйств и ИП при казначейском сопровождении их целевых средств.
Вследствие этих поправок объемы выпуска подписей и всех связанных с этим процедур кратно возросли. Чтобы сократить нагрузку на удостоверяющие центры, оба регулятора создали собственные системы доверенных лиц - это аккредитованные организации, которые имеют право подключаться к инфраструктуре ФНС или ФК и выпускать подобные электронные сертификаты. Однако, для такого рода взаимодействия доверенным лицам нужно либо собственное технологическое переоснащение, либо готовое ПО, позволяющее осуществить интеграцию.
«Мы пристально следим за рынком и изменениями в законодательстве, и понимаем, что самостоятельная интеграция аккредитованной организации с УЦ регулятора часто связана со значительным увеличением затрат на дооснащение своих систем. Поэтому мы готовы поддержать российские организации готовым интеграционным решением», - комментирует Евгений Галкин, системный архитектор компании «Аванпост». |
2021
Поддержка решений ESMART
Компания «Аванпост» 16 декабря 2021 года сообщила о продолжении развития системы Avanpost PKI.
Обновленная версия системы предлагает пользователям больше возможностей для настройки личного кабинета и работы с электронными заявками. Теперь она поддерживает работу с еще большим количеством решений ESMART группы компаний ISBC и последние типы ключевых носителей ФОРОС. Кроме того, у продукта появился Агент информационной системы для ОС семейства Linux.
Система управления корпоративной инфраструктурой открытых ключей, разработанная компанией «Аванпост», стала еще удобнее для пользователей. Ее обновленная версия обладает большими возможностями настройки и редактирования интерфейсов личного кабинета и электронных заявок. Теперь в Avanpost PKI есть возможность полноценно кастомизировать интерфейс системы, к примеру, создать собственную форму электронной заявки, настроить в ней перечень необходимых полей и их расположение, а также добавить actions – действия по заявкам и определить стиль их отображения.
Помимо мастеров создания и отображения заявок, у решения появилась возможность изменения форм самого личного кабинета пользователя. Можно, в частности, определить, какие сведения пользователю показывать и по каким объектам: например, не дать ему возможность просматривать данные по лицензиям или, наоборот, предоставить доступ к дополнительной информации о сертификатах.
Для подобной настройки в систему интегрировали специализированный графический редактор, позволяющий осуществлять ее в веб-интерфейсе. Также в Avanpost PKI добавили механизмы импорта и экспорта настроек в файлы. Они дают возможность эффективно управлять конфигурациями: например, создать какую-либо конфигурацию на тестовом стенде, проверить ее, отладить, а затем легко перенести на промышленную систему. Как результат, в решении появился удобный конфигуратор, благодаря которому клиенты могут самостоятельно выполнять нужные им кастомизации.
Поддержка веб-плагина ESMART также значительно расширила возможности Avanpost PKI. Теперь его можно использовать для аутентификации и подписания документов электронной подписью наравне с другими инструментами, с которыми система уже взаимодействует: речь идет, в частности, о веб-плагине КриптоПро ЭЦП и сервисе КриптоПро DSS. При этом обновленные функции доступны для пользователей как Windows, так и Linux. Возможности применения продукта в различных средах и бизнес-процессах в целом значительно расширяются.
С целью развития функционала управления сертификатами информационных систем и сервисов в Avanpost PKI создали Агент ИС для операционных систем Linux. Он представляет собой аналог обычного Агента продукта, но функционирует на сервере информационной системы и не зависит от сеанса пользователя. Агент ИС позволяет автоматизировать процедуры удаленного создания ключевых пар и генерации запросов на сертификаты непосредственно на сервере информационной системы. Также становится возможной установка уже выпущенных сертификатов или сертификатов и закрытых ключей прямо на сервер. Дополнительная система плагинов, реализованная в Агенте ИС, дает возможность произвести настройку для установленного сертификата: например, задать его в качестве сертификата сайта в Nginx или какого-либо другого сервиса.
Агент ИС для ОС Linux позволяет Avanpost PKI поддерживать такие операционные системы, как RHEL, CentOS, Debian, Ubuntu, Oracle Linux, Fedora, Astra Linux. Продукт теперь имеет куда большие возможности по управлению сервисными сертификатами и гораздо больший потенциал автоматизации.
Свое развитие в Avanpost PKI получил и относительно недавно созданный модуль – "Интеграционный шлюз". В результате его усовершенствования продукт способен выполнять все функции по управлению информационными системами и их сертификатами – это позволяет Avanpost PKI еще больше придерживаться ACME-like подхода в этой области. Кроме того, у "Интеграционного шлюза" появились функции по управлению электронными заявками. Они дают продукту возможности для создания межсистемных интеграционных решений и бесшовного введения продукта Avanpost PKI в ИТ-инфраструктуру компании, – отметил Евгений Галкин, системный архитектор компании «Аванпост». |
Также Avanpost PKI теперь может работать с ключевыми носителями «Форос» компании «СмартПарк»: например, с R301 ФОРОС USB и смарт-картой ФОРОС. Все операции управления и учета этих ключевых носителей, поддерживаемые продуктом, доступны для пользователей. Благодаря поддержке новых типов ключевых носителей у системы существенно расширились возможности применения «из коробки».
Совместимость Avanpost PKI v 6.0 с ключевыми носителями «Форос»
Специалисты компании «Аванпост» и компании «СмартПарк», разработчика средств для обеспечения информационной безопасности, в декабре 2021 года завершили испытания на совместимость ключевых носителей ФОРОС и системы управления всеми элементами инфраструктуры открытых ключей из единого центра Avanpost PKI v 6.0.
Взаимодействуя с Avanpost PKI, USB-ключи и смарт-карты ФОРОС обеспечивают выработку квалифицированной электронной подписи и хранение сертификатов удостоверяющих центров, двухфакторную аутентификацию пользователей в информационных системах, а также предоставляют возможности администрирования и выполнения всего спектра функций криптопровайдера «КриптоПро CSP».
Avanpost PKI v. 6.0 успешно работает с носителями ФОРОС, прошедшими процедуру аттестации на соответствие требованиям ФСТЭК России по безопасности информации по 4-ому уровню доверия: R301 ФОРОС USB; смарт-карта ФОРОС; R301 ФОРОС USB для СКЗИ «КриптоПро CSP»; смарт-карта ФОРОС для СКЗИ «КриптоПро CSP». Также система работает с носителями, реализованными на базе сертифицированного СКЗИ Форос 2: R301 ФОРОС USB для СКЗИ «КриптоПро CSP» (сертификат ФСБ); смарт-карта ФОРОС для СКЗИ «КриптоПро CSP» (сертификат ФСБ).
По результатам испытаний, проведенных специалистами компаний «Аванпост» и «СмартПарк», партнерами подписан сертификат совместимости. Документ свидетельствует, что устройства ФОРОС являются рекомендуемыми ключевыми носителями для Avanpost PKI v 6.0 и более поздних версий системы.
Все операции управления и учета ключевых носителей ФОРОС, поддерживаемые Avanpost PKI v 6.0, теперь доступны пользователям. Благодаря поддержке новых типов ключевых носителей у системы существенно расширились возможности применения "из коробки", – отметил Александр Санин, коммерческий директор компании «Аванпост». |
Подтвержденная испытаниями совместимость продуктов «СмартПарк» с Avanpost PKI расширяет возможности клиентов по выбору носителей ключевой и идентификационной информации, возможности по оптимизации их применения и обеспечения эффективной защиты своих конфиденциальных данных, – прокомментировал начальник управления смарт-технологии компании «СмартПарк» Дмитрий Сергеев. |
Модуль «Агент ИС»
10 августа 2021 года компания «Аванпост» сообщила о расширении возможностей системы управления корпоративной инфраструктурой открытых ключей Avanpost PKI. В обновленной версии начал функционировать модуль «Агент ИС», автоматизирующий удаленное создание ключевых пар и генерации запросов на сертификаты. Также у продукта появилась возможность интеграции с Единой цифровой платформой Удостоверяющего центра Федеральной Налоговой Службы России (УЦ ФНС РФ). Изменения произошли и в личном кабинете: его интерфейс стал более эргономичным.
По информации компании, функции и инструменты, которые появляются в Avanpost PKI, увеличивают интеграционные возможности системы и обеспечивают более глубокую и комплексную автоматизацию управления PKI-инфраструктурой.
Разработчики расширили функционал управления сертификатами информационных систем (ИС) и сервисов. Так, у администраторов появилась возможность задавать и настраивать дополнительные атрибуты ИС через редактируемый справочник. Также была расширена поддержка работы с массивами IP-адресов и DNS-имен, включая их автоматическую подстановку сразу в запрос на сертификат (в виде массива). В личном кабинете администратора и владельца ИС доступен раздел «Мои ИС», в котором тот может просмотреть перечень сертификатов и ключевых носителей, скачать сертификат и ключ в PFX-контейнере, а также ПИН-код от ключевого носителя.
Появившийся в обновленной версии Avanpost PKI модуль «Агент ИС» является аналогом предыдущего «Агента», но функционирует на сервере системы и не зависит от сеанса пользователя. Он позволяет автоматизировать процедуры удаленного создания ключевых пар и генерации запросов на сертификаты непосредственно на сервере. Также модуль выполняет автоматическую установку на него тех сертификатов, которые уже выпущены, и закрытых ключей. Дополнительная система плагинов позволяет произвести настройку для установленного сертификата, например, задать его в качестве сертификата сайта в IIS или выложить в каталог. Используя движок бизнес-процессов, встроенный в Avanpost PKI ранее, и обновленные возможности, реализованные для ИС, пользователи могут без труда построить полностью автоматические процессы перевыпуска сертификата.
Также Avanpost PKI теперь может быть интегрирован с Единой цифровой платформой Удостоверяющего центра Федеральной Налоговой Службы России при выпуске сертификатов и предварительной проверке электронных заявлений в сервисах системы межведомственного электронного взаимодействия (СМЭВ). Продукт поддерживает два сценария: разделенный и полный. При первом проверки в СМЭВ проводятся независимо от выпуска сертификата и могут быть выстроены и обработаны в любом порядке и по самым разным правилам. При полном сценарии проверки полностью делегируются Единой цифровой платформе – Avanpost PKI только контролирует статус операции.
Обновленный функционал позволяет создать на базе продукта полноценное рабочее место Оператора УЦ ФНС РФ. Подать электронное заявление на выпуск сертификата в нем можно как вручную, так и автоматически, например, при помощи интеграции с внешними информационными системами.
В Avanpost PKI также полностью переработан дизайн личного кабинета пользователя. Причин для изменений было несколько: увеличение масштабов внедрения продукта, особенности его использования заказчиками и их пожелания. В результате совместной работы дизайнеров и разработчиков интерфейс личного кабинета стал гораздо более удобным и эргономичным.
Система Avanpost PKI постепенно обретает все больше различных функций, позволяющих применять ее для построения современных процессов управления всеми элементами инфраструктуры открытых ключей. Функции, которые появились в обновленной версии, дают весомый синергический эффект. Продукт теперь обладает механизмами для автоматического обновления сертификатов. отметил Евгений Галкин, системный архитектор компании «Аванпост» |
Функционал для автоматизированного управления инфраструктурой открытых ключей
30 марта 2021 года компания Аванпост, российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM), сообщила о расширении функциональных возможностей системы управления корпоративной инфраструктурой открытых ключей Avanpost PKI.
По информации компании, обновленные возможности продукта связаны как с дальнейшим развитием его интеграционных возможностей и расширенной поддержкой ключевых отраслевых стандартов, так и с обеспечением более глубокой и комплексной автоматизации различных бизнес-процессов управления PKI-инфраструктурой.
Так, в последней версии Avanpost PKI была реализована поддержка «из коробки» всех операций учета и управления типами ключевых носителей – накопителями USB-флэш и токенами «Сбера» (Token++; Token++ Light и VPN-key TLS). В обновленном продукте была расширена поддержка линейки токенов и смарт-карт JaCarta, включая комбинированную JaCarta, содержащую апплеты PKI, ГОСТ и ГОСТ2.
В обновленном Avanpost PKI к перечню удостоверяющих центров, на программных комплексах которых можно организовать выпуск сертификатов, добавились сервисы GlobalSign и CheckPoint ICA. Хотя поддержка CheckPoint ICA уже была реализована ранее, однако, с изменением самого продукта и появлением в нем обновленных функций, данное интеграционное решение было полностью переработано и теперь поддерживает обновленный функционал распространения сертификатов и ключей. В свою очередь, поддержка GlobalSign позволяет встроить взаимодействие с этим сервисом сертификации в корпоративные процессы управления инфраструктурой открытых ключей, – наряду с такими распространенными корпоративными центрами сертификации, как Microsoft CA или КриптоПро УЦ 2.0. Таким образом, для конечных администраторов и пользователей был создан единообразный процесс взаимодействия как с локальными УЦ, так и с облачными сервисами. По имеющейся информации, поддержка данных УЦ также не заявлена ни у одного конкурента компании Аванпост. Кроме того, специалистами Аванпост была протестирована и подтверждена полная совместимость Avanpost PKI с криптографическим провайдером КриптоПро CSP 5.0, что дает пользователям уверенность в том, что обновление того или иного продукта в их инфраструктуре не приведет к нежелательным последствиям.
Начиная с 6 версии Avanpost PKI имеет возможность управлять сертификатами информационных систем (SSL-сертификаты, технологические сертификаты и т. д.). Однако, если ранее данный функционал использовался в основном для выпуска и учета сертификатов и информационных систем, то теперь продукт поддерживает возможность организации полноценных бизнес-процессов управления сертификатами информационных систем с вовлечением в них владельцев и администраторов ИС. Данный функционал, с одной стороны, обеспечивает удобный сервис самообслуживания для владельцев и администраторов ИС, а с другой – снижает излишнюю нагрузку на сотрудников УЦ за счет вовлечения в процесс большего числа участников. Встроенный в продукт «движок» позволяет автоматизировать целый ряд бизнес-процессов. Так, с помощью Avanpost PKI Администратор ИС в «Личном кабинете» может запросить сертификат или отозвать его, а также выгрузить готовый сертификат из Avanpost PKI (в том числе в формате PFX) для каждой своей ИС. Например, Avanpost PKI самостоятельно инициирует процесс перевыпуска сертификата по истечению его срока действия и последовательно проводит через все его этапы, включая согласование сертификата с ответственными лицами и оповещение Администратора ИС о готовности. Администратору останется лишь перейти в свой «Личный кабинет», скачать готовый сертификат и обновить его непосредственно на сервере соответствующей информационной системы.
Аванпост продолжает развивать функции взаимодействия с ключевыми носителями. Теперь Avanpost PKI поддерживает просмотр, контроль и импорт (если это позволено регламентами и технически поддерживается производителем ключевого носителя) сертификатов и закрытых ключей непосредственно с подключенных в контур ключевых носителей с использованием агентской подсистемы – в том числе и удаленно. Данная возможность будет полезна в целом ряде сценариев использования продукта: для инвентаризации инфраструктуры открытых ключей при внедрении Avanpost PKI; актуализации информации о сертификатах, появляющихся в контуре; при создании базового функционала для аудита и контроля появления незарегистрированных сертификатов, а также с целью проверки наличия легитимных сертификатов на ключевых носителях. Эти функции, по имеющейся открытой информации, также реализованы только в Avanpost PKI.
Теперь в Avanpost PKI реализована полноценная поддержка аутентификации администраторов и пользователей в системе по сертификату, включая поддержку аутентификации по сертификатам ГОСТ. Это обеспечивает соответствие требованиям к аутентификации со стороны регуляторов, а также оптимизирует организацию юридической применимости действий в системе на основании факта аутентификации. Наряду с поддержкой сквозной аутентификации, эта функция будет востребована организациями, полностью отказавшимися от аутентификации по логинам и паролям и перешедшими на аутентификацию по сертификатам (прежде всего организациями кредитно-финансовой сферы). Отметим, что помимо аутентификации пользователей, была реализована аутентификация по сертификатам агентов Avanpost PKI, что дает дополнительную защиту процесса взаимодействия агента с сервером, а также позволяет применять агентов в гетерогенных и не доменных инфраструктурах.
В Avanpost PKI появилась возможность гибко настраивать «динамические» шаблоны сертификатов. Наличие в Avanpost PKI полноценной информации о сотрудниках, информационных системах, компаниях и пр., а также динамические шаблоны сертификатов, позволяет вычислять их параметры (как и отслеживать сам факт попадания тех или иных параметров в состав сертификата или запроса). Например, разрешение на доступ к какой-либо системе, аутентификация в которой осуществляется по сертификату, позволит автоматически добавить в запрос на сертификат расширение (например, EKU), отвечающее за доступ к данной системе. Кроме того, при формировании запроса на сертификат, в соответствии с настройками шаблона, администратор может непосредственно добавить или удалить какие-либо расширения (для которых это позволено в настройках шаблона сертификата). Данная возможность является основой для дальнейшей гибкой настройки сложных бизнес-процессов, что, в свою очередь, делает продукт более адаптивным и учитывает индивидуальные потребности тех или иных заказчиков.
В Avanpost PKI был добавлен модуль – Интеграционный шлюз. Его задачей является обеспечение потребностей интеграции с Avanpost PKI внешними информационными системами. На первом этапе были реализованы все функции управления субъектами, а также основные методы создания запросов на сертификаты (подачи запросов с запуском процедуры рассмотрения и одобрения) и получения выпущенных сертификатов. Интеграционный шлюз позволяет создавать на базе Avanpost PKI полнофункциональный инфраструктурный сервис, построить и полностью автоматизировать процессы выпуска и обновления сертификатов, а также подключить Avanpost PKI к корпоративной IDM-системе или иному источнику данных о субъектах. Примером такого решения является организация процессов выпуска сертификатов для систем класса ДБО, где запрос создается непосредственно клиентом на стороне ДБО, а затем импортируется, рассматривается и выпускается в Avanpost PKI. Таким образом, Avanpost PKI абстрагирует все внешние системы от особенностей и трудностей реализации интеграций со всеми видами программных комплексов УЦ, унифицирует процесс интеграции и при этом остается системой контроля и учета субъектов и объектов инфраструктуры отрытых ключей. В дальнейшем планируется развивать возможности Интеграционного шлюза как для управления информационными системами и их сертификатами (а также создания ACME, Automated Certificate Management Environment), так и для управления объектами учета – ключевыми носителями и СКЗИ.
2020
Возможность работы с реестром ОС Windows как с виртуальным ключевым носителем
Компания Аванпост — российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM) — официально объявил о выпуске обновленной версии программного продукта Avanpost PKI, состоявшемся в рамках развития 6-го этапного релиза этого ПО. Об этом стало известно 18 августа 2020 года. Дополняющие друг друга разноплановые усовершенствования упрощают применение Avanpost PKI в крупных организациях, снижают затраты на изучение и администрирование продукта. Вместе с тем, комбинирование функционала и хорошо известных функций Avanpost PKI даёт синергический эффект, выражающийся в повышении уровня автоматизации сложных процессов (например, депонирования ключей и восстановления их из дубликатов, выпуска различных шаблонных сертификатов — для аутентификации в домене, шифрования электронной почты и др.). Всё это одновременно повышает как уровень информационной безопасности пользователя, так и удобство и оперативность предоставления доступа к данным.
По информации компании, в распоряжении пользователей появилась полнофункциональная система, позволяющая передавать сертификаты и ключи на любые подключенные к системе ключевые носители, а так же в реестр ОС Windows. При этом внимание уделено эргономике и упрощению работы. Так, для загрузки сертификата и ключа в реестр компьютера, находящегося в другом городе, достаточно одного нажатия кнопки. Так же легко происходит и удаление сертификатов и ключей с ключевых носителей, а для отмены ошибочных действий имеется функция автоматического восстановления, позволяющая, например, принудительно восстановить сертификат, удалённый с компьютера пользователя. Кроме того, система позволяет автоматически поддерживать идентичный набор ключей на всех компьютерах, на которых работает пользователь. Это актуально в системах дистанционной работы и в средах VDI, где количество закреплённых за пользователями рабочих мест обычно невелико. Операции могут выполняться системой как незамедлительно, так и в отложенном режиме, например, когда нужный ключевой носитель появился в периметре системы.
Ещё одно важное нововведение — это реализованная в полном объёме работа с реестром ОС Windows как с виртуальным ключевым носителем. Avanpost PKI теперь может выполнять все применимые к реестру функции управления, например, создать ключи в реестре удалённого компьютера, установить или обновить сертификат или ключ и т.д. Это упрощает администрирование, а также распространение и своевременное обновление сертификатов и ключей в информационных системах крупных организаций.
Ещё более упрощает решение подобных задач усовершенствованный механизм синхронизации каталога пользователей Avanpost PKI с источниками данных о работниках. Так, теперь поддерживается автоматическая синхронизация с адресными книгами — обновленным источником данных о работниках организации. Кроме того, появилась поддержка так называемых «дальних» переводов, когда информация о работнике может перемещаться не только между узлами организационно-штатной структуры, но и между самими источниками данных. Управление автоматической синхронизацией (например, её принудительное блокирование для определённых работников) позволяет встроить автоматизацию PKI в процессы сложных кадровых изменений, учитывая при этом особенности источников данных и предотвращая связанные с этим проблемы. Синхронизация, управляемая полным набором параметров, может выполняться как тотчас, так и по расписанию.
Имеется и ряд других усовершенствований, которые ещё более улучшают потребительские характеристики обновленной версии Avanpost PKI. Среди них:
- расширение функционала учёта и контроля, включая категоризацию по различным критериям, основанным на бизнес-логике, а также улучшение стандартных отчётов (например, журналов выданных ключевых носителей), разграничение доступа к содержимому журналов и другие улучшения)
- возможность создавать запросы на сертификаты и ключевые пары только на сервере системы (без использования локально установленных программных агентов). Это удобно во многих случаях, например, для пользователей, которые работают с корпоративной информацией с помощью мобильных устройств, либо при создании сертификатов для информационных систем (например, SSL-сертификатов), когда использование физического ключевого носителя вообще отсутствует. В Avasnpost PKI для таких сертификатов доступны все функции работы с обычными сертификатами, включая запись в PFX-файл, установку на ключевые носители, скачивание и др.
- расширение функций контроля сроков действия сертификатов, включая контроль сроков действия закрытого ключа. Эта функция на август 2020 года востребована из-за широко распространённой практики, когда удостоверяющие центры, выпуская сертификаты, дополнительно ограничивают срок действия закрытого ключа. Следить за сроками действия последних зачастую значительно труднее, чем за сроками действия самих сертификатов, так как для закрытого ключа соответствующая информация может содержаться только в специализированном для этих целей расширении. Avanpost PKI автоматически решает эту задачу и осуществляет весь необходимый контроль.
- усиление контроля за работой агентской подсистемы, благодаря которому в Avanpost PKI появилась удалённая приостановка и отключение программного агента, а также управление подробностью журнала событий и удалённое чтение логов Агента.
Получение сертификата ФСТЭК по 4 уровню контроля
Аванпост — российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM) — объявил о завершении сертификации последней версии программного продукта Avanpost PKI по требованиям безопасности информации в Федеральной службе по техническому и экспортному контролю (ФСТЭК России). Об этом стало известно 30 июня 2020 года. Сертификационные испытания проводила лаборатория АО «НПО Эшелон». Сертификат соответствия №4254 внесен в государственный реестр системы сертификации средств защиты информации. Предыдущая версия продукта также была сертифицирована ФСТЭК России в рамках программного комплекса Avanpost.
Сертификат удостоверяет, что ПО Avanpost PKI соответствует функционалу, заявленному в Технических условиях, а также отвечает требованиям на отсутствие недекларированных возможностей (НДВ) по 4 уровню контроля. Это самый высокий уровень для ПО, которое обрабатывает сведения, не составляющие государственную тайну.
Поскольку основными пользователями продукта Avanpost PKI являются аккредитованные УЦ, своевременное получение сертификата ФСТЭК — это необходимый шаг, позволяющий Аванпост развивать проекты с существующими и начать работать с новыми заказчиками.
Источник отметил, что сертификация входит в проводимую компанией систему мер, направленную на то, чтобы не только добиться соответствия ПО Avanpost PKI формальным требованиям, но сделать его достаточно функциональным и действительно удобным для всех перспективных категорий УЦ. Среди таких работ — проходящая на июнь 2020 года оценка корректности встраивания криптографии ГОСТ в Avanpost PKI. Это еще один важный критерий совместимости программного продукта с аккредитованными УЦ. Изменения же его функциональных характеристик будет появляться в минорных версиях Avanpost PKI и проходить соответствующий контроль в испытательной лаборатории. В итоге, это ПО должно стать оптимальным системообразующим ИТ-решением для данной категории заказчиков.
2019: Avanpost PKI 6.0
20 августа 2019 года компания Аванпост официально объявила о выпуске этапного релиза своего программного продукта для управления инфраструктурой открытых ключей – Avanpost PKI 6.0. Данная версия существенно расширяет возможности этой системы: обеспечивает потребности заказчиков, в полном объеме поддерживает работу корпоративных УЦ, выводит на следующей уровень работу с виртуальными (облачными) носителями, поддерживает рабочие станции на ОС Linux, позволяет объединить в одну операцию выпуск носителей с несколькими сертификатами и другой информацией, а также содержит ряд других усовершенствований.
По информации компании, на август 2019 года PKI 6.0 — система управления PKI-инфраструктурой, отвечающая текущим и перспективным потребностям заказчиков — госструктур федерального масштаба, корпораций и территориально распределенных компаний. Их требования значительно усложнились и перешли из плоскости учета и автоматизации подготовки носителей на уровень управления комплексом процессов обслуживания PKI-инфраструктуры. Версия PKI 6.0 была разработана с учетом возросших требований и с прицелом на дальнейшую необходимость развития криптографических сервисов в рамках процесса информатизации.
Разработка обновленной версии началась с масштабной переработки модели предметной области. Необходимость учета, перевыпуска и автоматического обновления сертификатов информационных систем и устройств, а также перспектива использования продукта для выпуска носителей, предназначенных для физических лиц, подтолкнули к изменению модели в части представления владельцев сертификатов и носителей. Если в 5-й версии субъектами, для которых можно было выпустить сертификат или подготовить носитель, были только внутренний пользователь и работник внешней организации, то в 6-й сертификат может быть выпущен для: физического лица, юридического лица (в лице работника организации), информационной системы или устройства.
Следующая по значимости и гораздо более трудоемкая по трудозатратам доработка – это изменение структуры управления, а вместе с ней и внутренней модели авторизации пользователей. 4-я и 5-я версии продукта были ориентированы на использование в рамках централизованного удостоверяющего центра. Делегирование полномочий региональным подразделениям или распределенная дистрибуция носителей были затруднены. Чтобы снять эти ограничения, в 6-й версии была введена сущность – «Центр регистрации», которая в зависимости от настройки полномочий, представляет собой самостоятельный или подчиненный орган криптографической защиты. В свою очередь компании или подразделения крупной организации закрепляются за обслуживающими их центрами регистрации, что дает доступ администраторам ЦР к работникам и информационным системам этих организаций. Таким образом, 6-я версия продукта поддерживает возможность делегирования полномочий администраторов для обслуживания децентрализованной инфраструктуры, что крайне важно для крупных компаний, холдинговых и вертикально интегрированных структур.
Оба нововведения повлекли за собой изменения в способе интеграции с источниками данных о субъектах. Если ранее использовался способ, унаследованный от Avanpost IDM, то теперь он перестал удовлетворять требованиям, поскольку не позволяет получить данные об инфраструктуре, и стал избыточным для получения данных пользователей организации. В результате анализа был разработан обновленный способ обогащения данных на основе подключения к внешним источникам через плагин - адресную книгу. В поставке с продуктом идут два базовых модуля – для получения данных из LDAP каталога и из 1С ЗУП. Прочие источники, включая CMDB для получения данных об ИС, могут быть подключены в рамках проекта внедрения.
Еще одним изменением является интеграция системы документооборота в продукт. Движок рабочих процессов, аналогичный используемому в Avanpost IDM, позволяет настроить практически любые процессы обработки пользовательских запросов, связанных с обслуживанием инфраструктуры PKI, а также организовать взаимодействие администраторов, обеспечивающих поддержку PKI-инфраструктуры между собой.
Вышеперечисленные изменения продукта создали основу для дальнейшего функционального развития. На базе вышеперечисленных изменений в 6-й версии реализовано: распространение ключевых контейнеров для информационных систем; полноценная поддержка облачных носителей (Крипто-Про DSS и других); построен процесс инвентаризации АРМ; улучшена интеграция со СМЭВ: теперь данные можно проверить до формирования физического запроса, и в случае наличия в них ошибки, организовать автоматизированный процесс актуализации.
2018: Возможности системы
На ноябрь 2018 года Avanpost PKI обеспечивает следующие возможности:
- Автоматизация процесса выпуска сертификатов на носителях:
- Автоматическое заполнение шаблона на основе данных о пользователях, полученных из различных источников (кадровая система, система ДБО, LDAP и т.д.)
- Генерация ключевой пары с использованием реализации алгоритмов csp или носителя. Размещение ключей на любых носителях, представленных на российском рынке.
- Автоматизированный процесс рассмотрения запроса, в том числе с проверкой данных через СМЭВ.
- Автоматический выпуск сертификата на УЦ и импорт на носитель
- Автоматическая публикация сертификата в различные системы, в том числе в ЕСИА.
- Автоматизация исполнения требований федерального законодательства и регуляторов
- Автоматизирует выполнение требований с. 13 ч. 1, 2, 6; с. 14 ч. 2, 3, 4, 6, 7; с. 15 ч. 1; с. 17 ч. 1, 4, а также части 2.2 и части 5 статьи 18 Федерального закона №63-ФЗ «Об электронной подписи» от 6 апреля 2011 года.
- Автоматизирует ведение и предоставление отчетности по требованиям приказа ФАПСИ от 13 июня 2001 г. N 152, приказа ФСБ от 9 февраля 2005 г. N 66 (ПКЗ-2005)
- Управление жизненным циклом сертификатов и носителей
- Отзыв и приостановка действия сертификата при изменении статуса пользователя, в том числе по кадровым событиям
- Контроль срока действия сертификата: напоминания, автоматический перевыпуск
- Контроль актуальности состава сертификата при изменении данных пользователя в источнике
- Форматирование и передача носителя другому пользователю
- Парольные политики для носителей
- Восстановление дубликата носителя при выходе из строя или утере
- Сервис самообслуживания пользователей
- Позволяет создавать запросы на перевыпуск сертификатов
- Пользователи могут создавать запросы на сертификаты
- Пользователи могут разблокировать носители
Заказчик | Интегратор | Год | Проект |
---|---|---|---|
- МегаФон | Avanpost (Аванпост) | 2019.09 | |
- МультиКарта | Avanpost (Аванпост) | 2018.10 | |
- Кумертауское авиационное производственное предприятие (КумАПП) | Avanpost (Аванпост) | 2018.09 | |
- Россельхозбанк (РСХБ) | Avanpost (Аванпост) | 2018.09 |
Подрядчики-лидеры по количеству проектов
Индид, Indeed (ранее Indeed ID) (55)
Инфосистемы Джет (50)
ДиалогНаука (37)
Softline (Софтлайн) (36)
Информзащита (32)
Другие (848)
Card Security (Кард Сек) (4)
Национальный аттестационный центр (НАЦ) (4)
Инфосистемы Джет (3)
Softline (Софтлайн) (3)
СэйфТек (SafeTech) (3)
Другие (52)
Индид, Indeed (ранее Indeed ID) (8)
Информзащита (2)
Deiteriy (Дейтерий) (2)
Softline (Софтлайн) (2)
Национальный аттестационный центр (НАЦ) (2)
Другие (33)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Индид, Indeed (ранее Indeed ID) (5, 56)
СэйфТек (SafeTech) (6, 38)
FalconGaze (Фалконгейз) (1, 38)
Аладдин Р.Д. (Aladdin R.D.) (20, 27)
Visa International (2, 26)
Другие (471, 229)
СэйфТек (SafeTech) (1, 3)
МегаФон (1, 2)
Konica Minolta (Коника Минолта) (1, 1)
Shenzhen Chainway Information Technology (1, 1)
ГК ОТР (1, 1)
Другие (3, 3)
Индид, Indeed (ранее Indeed ID) (3, 8)
Avanpost (Аванпост) (1, 1)
Солар (ранее Ростелеком-Солар) (1, 1)
СэйфТек (SafeTech) (1, 1)
Другие (0, 0)
Индид, Indeed (ранее Indeed ID) (2, 9)
Shenzhen Chainway Information Technology (1, 6)
СэйфТек (SafeTech) (1, 4)
Аладдин Р.Д. (Aladdin R.D.) (4, 3)
IT-Lite (АйТи Лайт) (1, 1)
Другие (2, 2)
СэйфТек (SafeTech) (1, 3)
Shenzhen Chainway Information Technology (1, 2)
1IDM (АйТи Солюшнз) (1, 1)
Right line (Райт лайн) (1, 1)
VK (ранее Mail.ru Group) (1, 1)
Другие (7, 7)
Распределение систем по количеству проектов, не включая партнерские решения
Indeed Access Manager (Indeed AM) - 45
FalconGaze SecureTower - 38
3-D Secure (3D-Secure) - 23
PayControl - 23
Avanpost IDM Access System - 20
Другие 270
PayControl - 3
МегаФон Мобильный ID - 2
JaCarta Authentication Server (JAS) - 1
ОТР.Опора - 1
Multifactor Сервис многофакторной аутентификации - 1
Другие 3
Indeed Access Manager (Indeed AM) - 6
Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2
Indeed PAM - Indeed Privileged Access Manager - 2
Avanpost IDM Access System - 1
Solar webProxy Шлюз веб-безопасности - 1
Другие 1
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (51)
Инфосистемы Джет (45)
ДиалогНаука (33)
Информзащита (30)
Leta IT-company (26)
Другие (729)
Практика Успеха (6)
Национальный аттестационный центр (НАЦ) (4)
R-Vision (Р-Вижн) (4)
Card Security (Кард Сек) (4)
Инфосистемы Джет (3)
Другие (64)
Softscore UG (2)
TUV Austria (2)
Информзащита (2)
Deiteriy (Дейтерий) (2)
Концерн Автоматика (2)
Другие (40)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
ИнфоТеКС (Infotecs) (31, 34)
Код Безопасности (15, 34)
Аладдин Р.Д. (Aladdin R.D.) (24, 30)
Лаборатория Касперского (Kaspersky) (2, 23)
Системы распределенного реестра (3, 19)
Другие (437, 250)
Практика Успеха (1, 6)
R-Vision (Р-Вижн) (1, 4)
ИнфоТеКС (Infotecs) (3, 3)
Web3 Tech (Веб3 Технологии) ранее Waves Enterprise (1, 3)
РСТ-Инвент (1, 2)
Другие (12, 19)
Концерн Автоматика (2, 2)
Системы распределенного реестра (2, 2)
ИнфоТеКС (Infotecs) (2, 2)
Softscore UG (1, 2)
Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры) (1, 1)
Другие (8, 8)
Shenzhen Chainway Information Technology (1, 6)
Практика Успеха (2, 5)
Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры) (1, 5)
Системы распределенного реестра (1, 2)
Digital Design (Диджитал Дизайн) (1, 2)
Другие (6, 6)
ИнфоТеКС (Infotecs) (2, 2)
Shenzhen Chainway Information Technology (1, 2)
Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры) (1, 1)
Солар (ранее Ростелеком-Солар) (1, 1)
ТрансТелеКом (ТТК) (1, 1)
Другие (6, 6)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Total Security - 18
Secret Net - 15
SmartDeal - 14
Мастерчейн (Masterchain) Российская национальная блокчейн-сеть - 14
ИСКО Ареопад Информационная система коллегиальных органов - 12
Другие 315
SmartDeal - 6
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
WE.Vote - 3
МегаФон и Mail.ru Group: Деловое облако - 2
CandyTag - 2
Другие 16
Softscore UG: Anwork Бизнес-коммуникатор - 2
Квазар - 1
КриптоБиоКабина (КБК) - 1
ИнфоТеКС ViPNet QSS Phone квантовый телефон - 1
Госключ - 1
Другие 10