Непроницаемый ЦОД. Знать друг друга

При решении задач информационной безопасности в облачных сервисах, как, впрочем, и в любой инфраструктуре, одним из первых стоит вопрос аутентификации. Да, именно с обеспечения аутентификации начинается реализация защищённого доступа к услугам. Все остальные механизмы ИБ при своём функционировании учитывают информацию о том, какой именно пользователь работает в данном сеансе.

Самой надёжной является аутентификация с применением криптографических методов (открытой криптографии). Для большего удобства при максимальном уровне безопасности используются USB-токены и смарт-карты с реализованной криптографией "на борту". Именно они позволяют скрыть от посторонних глаз закрытый ключ пользователя, при этом критически важные операции с данным ключом выполняются внутри такого устройства, а не в оперативной памяти компьютера. Подобная процедура сводит угрозы компрометации ключевой информации к минимуму.

Аутентификация по цифровым сертификатам и электронная подпись (ЭП) фактически основываются на одних и тех же механизмах открытой криптографии. ЭП позволяет установить целостность и авторство документа, записи в базе данных и т.д. В большинстве облачных сервисов для аутентификации и ЭП используется один сертификат пользователя - это помогает оптимизировать процессы управления.

Согласно действующей редакции Федерального закона № 63-ФЗ "Об электронной подписи", при определенных условиях подпись, сформированная при помощи "западных" алгоритмов (например, RSA), может признаваться аналогом собственноручной подписи, однако во всё большем числе систем используется именно квалифицированная подпись, что подразумевает применение сертифицированных средств ЭП с "российскими" криптографическим алгоритмами.

При реализации облачных Web-сервисов, в рамках которых производится обработка документов, подписанных квалифицированной ЭП, остро встают вопросы обеспечения комплексной ИБ в так называемой недоверенной среде и соблюдения требований российского законодательства в отношении использования средств криптографической защиты информации. Ранее в результате решения этих задач создавались значительные неудобства для конечного пользователя, но два года назад компания "Аладдин Р.Д." предложила рынку технологию JC-WebClient, которая лишена этих недостатков.

Данная технология позволяет организовать безопасную работу с облачными Web-приложениями практически с любого компьютера, имеющего подключение к Интернету. При этом обеспечиваются взаимная двухфакторная аутентификация клиента и сервиса, конфиденциальность передаваемых данных, формирование и проверка квалифицированной электронной подписи Web-форм и файлов с использованием российских криптографических алгоритмов. Безопасность обеспечивается за счёт использования электронных ключей - USB-токенов, смарт- и банковских карт, а также карт Secure MicroSD с уже реализованной на них сертифицированной российской криптографией.

При использовании на том или ином портале технологии JC-WebClient работа с криптографией возможна и в случае доступа к нему с мобильных платформ (iOS, Android). Поскольку криптографические операции выполняются внутри электронного ключа, установка специализированного приложения или браузера с поддержкой данных устройств не требует операций по снятию ограничений на доступ к файловой системе (jailbreak). JC-WebClient не является универсальным средством обеспечения информационной безопасности портала, но решает одну из важнейших задач - обеспечение защищенной и удобной коммуникации пользователя с сервисом.