Ольга Полянская - Инфраструктуры открытых ключей
- Название:Инфраструктуры открытых ключей
- Автор:
- Жанр:
- Издательство:Интернет-университет информационных технологий - ИНТУИТ.ру
- Год:2007
- ISBN:978-5-9556-0081-9
- Рейтинг:
- Избранное:Добавить в избранное
-
Ваша оценка:
Ольга Полянская - Инфраструктуры открытых ключей краткое содержание
В курс включены сведения, необходимые специалистам в области информационной безопасности. Рассматривается технология инфраструктур открытых ключей (Public Key Infrastructure – PKI), которая позволяет использовать сервисы шифрования и цифровой подписи согласованно с широким кругом приложений, функционирующих в среде открытых ключей. Технология PKI считается единственной, позволяющей применять методы подтверждения цифровой идентичности при работе в открытых сетях.
Курс дает представление об основных концепциях и подходах к реализации инфраструктур открытых ключей, в нем описываются политика безопасности, архитектура, структуры данных, компоненты и сервисы PKI. Предлагается классификация стандартов и спецификаций в области инфраструктур открытых ключей. Подробно рассматриваются процессы проектирования инфраструктуры и подготовки ее к работе, обсуждаются типовые сценарии использования и способы реагирования на инциденты во время функционирования PKI.
Инфраструктуры открытых ключей - читать онлайн бесплатно полную версию (весь текст целиком)
Шрифт:
Интервал:
Закладка:
Проблемы репозитория
Многие корпоративные домены используют онлайновый репозиторий для своевременного и надежного распространения сертификатов, информации об их статусе, а также другой информации, имеющей отношение к PKI (например, информации о политике). Опыт развертывания PKI свидетельствует о том, что предоставление услуг репозитория не обходится без проблем, которые связаны с отсутствием единых стандартов, принятых в индустрии, и совместимостью продуктов PKI разных поставщиков [105].
Выбор репозитория
В PKI может быть реализовано несколько вариантов распространения сертификатов конечных субъектов, информации об их аннулировании и других релевантных данных; имеется ряд поставщиков, которые поддерживают один или несколько подобных сервисов. Как и в случае выбора поставщика технологии PKI, для организации важны гарантии, что поставщик репозитория предлагает гибкую функциональность и обеспечивает совместимость с продуктами многих поставщиков.
Отсутствие единых стандартов на сервисы каталога
Одна из проблем, связанных с сервисами каталога, заключается в отсутствии единого стандарта на эти услуги. Некоторые сегменты рынка адаптировали стандарты каталога X.500, но одновременно существует и разрабатывается большое количество стандартов, имеющих отношение к репозиторию. Например, известный упрощенный протокол доступа к каталогу LDAP, разработанный организацией IETF, с точки зрения технической перспективы находится в прямой конкуренции с протоколом DAP, базирующимся на стандарте X.500. Имеется еще ряд нерешенных проблем обмена информацией и взаимодействия "клиент-сервер" и "сервер-сервер". Рабочая группа LDAPext организации IETF разрабатывает ряд стандартов, таких как механизмы управления доступа и модели контроля доступа, в стадии разработки находится протокол LDUP [87], который, вероятно, будет конкурировать со своим двойником - протоколом DISP (Directory Information Shadowing Protocol) стандарта X.500. Кроме того, распространение информации PKI выполняется и другими способами ( см. лекцию 12).
Хотя любое из этих решений может вполне соответствовать требованиям конкретной организации, при взаимодействии систем PKI разных организаций могут возникнуть проблемы функциональной совместимости разных решений.
Масштабируемость и производительность
Наконец, с развертыванием сервиса репозитория связаны потенциальные проблемы масштабируемости и производительности. Очевидно, что необходимое количество серверов зависит от количества конечных пользователей, а также от срока действия списков САС (в предположении, что допускается кэширование) и других обстоятельств реализации (например, от того, поддерживаются ли дельта-списки САС). Также надо учитывать и дополнительную нагрузку на репозиторий, поскольку он часто используется не только для целей PKI, но и для других нужд организации.
Проблемы оценивания стоимости PKI
Во время развертывания и эксплуатации PKI необходимы первоначальные капиталовложения и средства на поддержание функционирования системы. Для инсорсингового варианта PKI и развертывания системы для массового рынка характерны достаточно высокие первоначальные издержки, но затем с ростом масштаба системы и переносом части затрат на пользователей происходит экономия средств. Менее масштабные проекты и аутсорсинговая модель требуют более значительных расходов на поддержание функционирования PKI.
| Компонент| Стоимость| Комментарий|
|Аппаратное обеспечение | Высокая | Компьютерное оборудование, включая системы резервирования и безопасности. Аппаратное обеспечение состоит, по крайней мере, из 2-3 серверов, сетевого оборудования и инфраструктуры безопасности, включая межсетевые экраны |
|Программное обеспечение | Высокая | Программное обеспечение PKI, в том числе стоимость начальной лицензии и расходы на техническую поддержку. Программное обеспечение состоит из программного обеспечения УЦ, консоли администратора РЦ, ОС и web-сервера |
|Услуги консультантов | Высокая | Предварительная экспертиза, консультации на начальном этапе перед физической установкой аппаратного и программного обеспечения. Анализ структуры бизнеса заказчика для построения иерархий удостоверяющих центров, интеграция с базами данных или клиентскими приложениями на персональных компьютерах пользователей |
Таблица 21.1.Структура стоимости установки типичной системы PKI (инсорсинг)
Развертывание систем PKI не требует таких больших капиталовложений и не занимает столько времени, как популярные недавно ERP-системы. Но все же немалые средства и время могут быть потрачены на неэффективную систему PKI. Таблицы 21.1, 21.2, 21.3и 21.4характеризуют, как примерно будет происходить амортизация капиталовложений в систему PKI в зависимости от варианта развертывания (инсорсинг или аутсорсинг) [105].
Расходы на установку и подготовку системы к работе складываются из расходов на аппаратное и программное обеспечение и квалифицированный персонал. Первоначальные капиталовложения в инсорсинговые системы PKI обычно значительно выше, чем в аутсорсинговые.
Поскольку система PKI является существенной частью инфраструктуры безопасности организации, она должна функционировать круглосуточно семь дней в неделю (24х7). Таблицы 21.3и 21.4иллюстрируют статьи расходов по поддержанию работы систем PKI для вариантов инсорсинга и аутсорсинга соответственно.
| Компонент| Стоимость| Комментарий|
|Аппаратное обеспечение | Низкая | Компьютерное оборудование, в том числе системы резервирования и безопасности. Базовое аппаратное обеспечение (web-серверов) для переадресации на аутсорсинговый УЦ, может быть включена консоль администратора (персональный компьютер). Резервное аппаратное обеспечение web-сервера, контролирующего функции управления жизненным циклом сертификатов |
|Программное обеспечение | Высокая | Программное обеспечение PKI, в том числе стоимость начальной лицензии и расходы на техническую поддержку. Программное обеспечение для локальной адаптации в соответствии с требованиями заказчика, могут быть включены программные компоненты для целей аутентификации |
|Услуги консультантов | Средняя | Предварительная экспертиза перед установкой и подготовкой к работе компонентов PKI. Анализ требований бизнеса заказчика для управления процессами аутентификации и подготовкой к работе УЦ. Настройка web-страниц и/или политик безопасности на требования заказчика |
Таблица 21.2.Структура стоимости установки типичной системы PKI (аутсорсинг)
Шрифт:
Интервал:
Закладка:
