COMPLAUD. Безопасность информации Заказчика для нас важнее всего!
Все мы отлично понимаем, что основным вопросом при принятии решения – идти в облако или нет – становится вопрос обеспечения безопасности наших данных. Многие опасаются, что учётными данными для доступа к проверяемым серверам и сетевым устройствам (логины/пароли/приватные ключи/парольные фразы) могут воспользоваться администраторы облачной системы либо злоумышленники, завладевшие этими данными в результате их утечки.
Чтобы развеять эти сомнения, мы расскажем, как в COMPLAUD организована работа с такой критично важной информацией, как учётные данные.
Помимо ставших уже привычными механизмов защиты информации, таких как криптостойкие алгоритмы шифрования и использование только защищённых соединений, команда RCNTEC для своей системы COMPLAUD разработала простое, но вместе с тем надежное решение для работы с учетными данными проверяемых объектов. Данное решение полностью исключает возможность использования учётных данных проверяемых серверов и сетевых устройств кем бы то ни было, кроме заказчика.
Как это работает:
Все учётные данные в открытом нешифрованном виде существуют только на стороне заказчика:
• в браузере, когда пользователь вводит учётные данные;
• в памяти агента, когда он сканирует сервер. Агент - программа на python, предназначенная для сканирования узлов и размещаемая в инфраструктуре Заказчика на его серверах.
Пользователь вводит учётные данные в браузере. Браузер, используя публичный ключ агента, шифрует их и отправляет в облако. Код web-интерфейса открыт – в отсутствии закладок может убедится любой желающий.
Агент, работающий в инфраструктуре заказчика, получает из облака зашифрованные учётные данные и расшифровывает их с помощью своего приватного ключа. Код агента также публичен и доступен для изучения.
Теперь немного деталей.
Каждый агент использует свой уникальный приватный ключ, выпущенный заказчиком, и сертификат, выпущенный удостоверяющим центром заказчика (УЦ).
Работать с данными заказчика могут только агенты, имеющие сертификаты, выпущенные УЦ. Это контролируется и в web-интерфейсе, и на агенте.
Все операции шифрования/дешифрования учётных данных производятся только в компонентах COMPLAUD, размещенных в инфраструктуре Заказчика и контролируемых им.
Для аутентификации агентов используется асимметричное шифрование. Агент зашифровывает своим приватным ключом определенную информацию. Ядро COMPLAUD расшифровывает её. Если информация расшифрована удачно – агент аутентифицирован.
Для защиты учетных данных используются алгоритмы симметричного (AES-256-CBC) и асимметричного (RSA-4096) шифрования.
Введённые пользователем данные шифруются симметричным алгоритмом, затем ключ симметричного шифрования шифруется публичным ключом любого агента, сертификат которого имеет подпись УЦ.
Далее зашифрованные учётные данные и зашифрованный ключ симметричного шифрования передаются в ядро COMPLAUD.
Перешифрование ключа симметричного шифрования для других агентов происходит автоматически в фоновом режиме.
Для сканирования узла агент получает зашифрованные учетные данные узла и ключ симметричного шифрования, зашифрованный собственным публичным ключом. Затем он расшифровывает своим приватным ключом ключ симметричного шифрования и уже с его помощью расшифровывает учётные данные узла.
Ключ симметричного шифрования может быть расшифрован только приватным ключом агента, для которого он был зашифрован.
Таким образом, учётные данные для доступа к объектам инфраструктуры Заказчика шифруются на стороне Заказчика и могут быть расшифрованы только с использованием приватных ключей Агентов, которые развернуты в инфраструктуре Заказчика. Это позволяет полностью исключить возможность утечки учётных данных из облака либо несанкционированного их использования.
Остались вопросы – задавайте их нам!
Мы с удовольствием Вам ответим.
Пресс-служба ООО «АРСИЭНТЕК»
8 (800) 302 87 87,
+ (495) 009 87 87,
