Роль PKI в аутентификации устройств

PKI расшифровывается как public key infrastructure, что означает «инфраструктура открытых ключей». Это технология, лежащая в основе цифровых сертификатов. Роль цифрового сертификата во многом схожа с ролью водительских прав или паспорта: это документ, удостоверяющий личность и предоставляющий определенные права. Узнайте подробнее о решениях PKI от Entrust.

PKI, или инфраструктура открытых ключей, является важной частью аутентификации устройств. При ненадежной аутентификации подключенное устройство и системы, к которым оно имеет доступ, могут остаться уязвимыми для атак злоумышленников, стремящихся получить доступ к огромному объему ценной информации, хранимой на устройстве или в его сети. В решениях PKI от Entrust удачно сочетаются удобство пользования и безопасность, чтобы обеспечивать упрощенную аутентификацию устройств.

Устройства, которые подключаются к системам и сети, могут создавать уязвимости в ИТ-инфраструктуре, которыми могут воспользоваться хакеры и другие злоумышленники. Защитите эти точки доступа с помощью надежного протокола аутентификации устройств.

Поскольку ведение бизнеса в цифровом формате сейчас является нормой, PKI пользуется большим спросом, чем когда-либо. Это масштабируемое средство управления обменом данных и его защиты, особенно если организация выбирает размещенное решение PKI. Размещенное решение PKI требует значительно меньшего количества локального оборудования и программного обеспечения без выделенных охраняемых помещений и внутренних ИТ-специалистов, что упрощает реализацию PKI. Entrust Managed PKI Services предоставляет услуги экспертов, которые управляют различными службами в соответствии с передовым опытом организации и конкретными потребностями бизнеса.

Аутентификация устройств может принимать различные формы в зависимости от потребностей конечного пользователя и требований безопасности. Ниже приведены некоторые примеры.

• Аутентификация PKI служит для проверки личности пользователя с помощью открытых и закрытых ключей шифрования и цифровых сертификатов. PKI и цифровые сертификаты также используются для самого устройства: либо путем верификации устройства на уровне производства, либо (в случае с моделью «принеси свое собственное устройство») верификации владения устройством и прав доступа.
• В системе двухфакторной аутентификации (2FA) пользователи должны ввести ровно два фактора проверки, чтобы получить доступ к сети. Этот тип аутентификации устройств является подмножеством многофакторной аутентификации.
• В системе многофакторной аутентификации (MFA) пользователи должны ввести комбинацию учетных данных проверки для аутентификации устройства.
• В системе биометрической аутентификации требуется сканирование отпечатков пальцев, сканирование лица или аналогичные биометрические данные, чтобы получить доступ к сети. Этот тип аутентификации устройств трудно подделать, но также дорого реализовать.
• В случае аутентификации с паролем пользователь должен ввести пароль, чтобы получить доступ к сети. Это надежнее, чем аутентификация по электронной почте, но пароли могут украсть и выведать путем фишинга.
• В случае аутентификации по электронной почте при первом входе с устройства или из браузера пользователь переходит по ссылке из письма. Это менее безопасный тип аутентификации устройств.

Основным вариантом использования PKI являются сертификаты устройств, поскольку они используются ежедневно. Развитие методов BYOD усложнило аутентификацию личности, создав больше возможностей для атак и повышенный риск. Эти личные устройства, на которых хранятся корпоративные учетные данные и информация, требуют гораздо более строгого управления безопасностью.

Для обеспечения связи с целью аутентификации пользователя и проверки устройства обычно используется решение для управления мобильными устройствами (MDM) и PKI. Решение MDM от Entrust интегрируется с технологиями VMware (ранее Airwatch, BlackBerry UEM, MobileIron, IBM MaaS360, JAMF, SOTI MobiControl, Microsoft InTune и WorkspaceOne). Наше решение предоставляет надежные цифровые сертификаты для обеспечения безопасности и доступа на основе личности. Оно обеспечивает гибкую инфраструктуру, которая упрощает управление сертификатами с помощью одной простой в использовании платформы, которая может интегрироваться с решениями основных поставщиков MDM. Наше решение также делает возможным управление корпоративными мобильными устройствами и моделью «принеси свое собственное устройство», что позволяет легко управлять цифровыми идентификаторами на мобильных устройствах с помощью простого процесса регистрации устройств и беспрепятственной интеграции MDM. Политики сертификатов могут быть полностью настроены.

Распространение интернета вещей (IoT) также обуславливает использование PKI. Подключение к другому интеллектуальному устройству требует высокого уровня безопасности и надежных учетных данных для обеспечения среды высокого доверия, поскольку все больше устройств подключаются к корпоративным серверам. Поскольку среда для интернета вещей и подключенных устройств еще не полностью сформировалась, сертификаты устройств для интернета вещей находятся в зачаточном состоянии. Но в будущем PKI будет, безусловно, играть ключевую роль.

Согласно исследованию компании Gartner под названием Top Strategic Predictions of 2020 and Beyond («Основные стратегические прогнозы на 2020 год и последующий период»), 30 % ИТ-организаций будут расширять политику «принеси свое собственное устройство», добавляя положения о модели «принеси свое собственное улучшение» (BYOE), касающиеся технологически прогрессивных сотрудников. В исследовании были отмечены примеры, которые уже можно наблюдать в автомобильной и горнодобывающей промышленности, где работники используют носимые предметы для повышения безопасности. В сфере туризма и здравоохранения тоже повышают эффективность за счет использования носимых предметов.

Ряд организаций разработали рекомендации по безопасности для интернета вещей. Эти организации перечислены ниже.

• Best Practice Guidelines («Руководство по передовой практике») фонда IoT Security Foundation.
• Security Guidance («Руководство по безопасности») проекта Open Web Application Security Project (OWASP).
• GSMA IoT Security Guidelines & Assessment («Правила и оценка GSMA в отношении безопасности Интернета вещей») ассоциации Groupe Spéciale Mobile Association (GSMA).
• Специальная публикация 800-160 [Guidance («Руководство»)] по обеспечению безопасности в устройствах Интернета вещей (IoT) Национального института стандартов и технологий (NIST) Министерства торговли США.
• Future Proofing the Connected World: «Задел на будущее цифрового мира: 13 Step to Developing Secure IoT Products 13 шагов к разработке безопасных продуктов Интернета вещей» организации Cloud Security Alliance (CSA).

Аутентификация устройства отделена от авторизации, но оба процесса важны для безопасности устройств интернета вещей. Аутентификация устройства служит для проверки идентификационных данных устройства, а его авторизация определяет, к каким защищенным ресурсам внутри сети оно имеет доступ. Как аутентификация устройства, так и его авторизация имеют решающее значение для эффективной стратегии реализации интернета вещей. Подробнее об отличиях аутентификации и авторизации устройств.