Рутокен KeyBox

Рутокен KeyBox позволяет администраторам эффективно управлять жизненным циклом ключевых носителей удобным и безопасным способом. В то же время службам безопасности решение дает возможность вести журнал и осуществлять аудит действий с ключевыми носителями, автоматизировать процессы управления сертификатами пользователей, выполнять резервное копирование ключевой информации.

Функциональные возможности

• Управление жизненным циклом ключевых носителей (токенов и смарт-карт) — от постановки на учет и ввода в эксплуатацию до вывода из эксплуатации и списания;
• Управление информацией на ключевых носителях: генерация ключей, запись сертификатов, обновление данных;
• Управление политиками PIN-кодов носителей;
• Учет и контроль носителей с ключами и сертификатами, выпущенными сторонними удостоверяющими центрами;
• Пользовательские шаблоны взаимодействия для уменьшения времени выполнения операций и снижения вероятности человеческих ошибок.
• Возможность интеграции с внешними системами: СКУД, SSO, IdM/IAM, средствами защиты от НСД, комплексами мониторинга и управления ИБ, кадровыми системами;
• Возможность ведения автоматизированного учета СКЗИ в соответствии с нормативными документами.

Преимущества Рутокен KeyBox

Простота взаимодействия конечного пользователя с системой

Ни для кого не секрет, что приложения, касающиеся безопасности, PKI, шифрования и т. п. зачастую обладают сложным запутанным интерфейсом со множеством настраиваемых параметров. Разработчики Рутокен KeyBox уделили особое внимание вопросу удобства для конечных пользователей и постарались сделать все возможное для того, чтобы у пользователей не возникало дискомфорта при работе с Рутокен KeyBox Web Application.

При разработке Рутокен KeyBox используются передовые технологии, продукт ориентирован на задачи пользователей системы. Всем участникам процесса предоставляется удобный и эффективный механизм взаимодействия с системой. Рутокен KeyBox Web Application имеет современный, удобный и функциональный пользовательский интерфейс, который адаптируется к устройству пользователя.

Поддержка отечественных криптопровайдеров и удостоверяющих центров

Возможно использование Рутокен KeyBox совместно с удостоверяющими центрами (УЦ) и с криптопровайдерами (CSP), поддерживающими российские криптографические стандарты. Это дает возможность применять продукт совместно с системами PKI, рассчитанными на российские стандарты и реализующими квалифицированную или усиленную электронную подпись в системах электронного документооборота (ЭДО).

Поддержка различных ключевых носителей

Рутокен KeyBox в первую очередь ориентирован на поддержку всей линейки продуктов Рутокен. Кроме того, реализована поддержка практически всех популярных ключевых носителей. Особенностью системы является возможность одновременного использования всех поддерживаемых носителей в рамках одной инфраструктуры. Архитектура решения позволяет оперативно добавлять поддержку новых ключевых носителей.

Лицензирование

Рутокен KeyBox лицензируется по количеству пользователей. Лицензия не ограничена по сроку. Одна лицензия дает право на использование продукта и регистрацию смарт-карт и USB-токенов для одной учетной записи пользователя. Лицензия присваивается конкретной учетной записи пользователя, но при необходимости ее можно отозвать и присвоить другой учетной записи.

Лицензия включает право использования (установки и эксплуатации) серверного ПО Рутокен KeyBox, необходимого для обслуживания пользователей. Количество лицензий может быть изменено в сторону увеличения путем приобретения дополнительного количества лицензий.

Лицензия предусматривает получение бесплатной поддержки в первый год. Обслуживание включает следующие базовые элементы:

• внедрение и масштабирование Рутокен KeyBox на согласованном количестве рабочих мест;
• поставка и обновление до последней версии всех приобретенных компонентов Рутокен KeyBox на всем сроке действия договора обслуживания;
• оперативная техническая поддержка для администраторов систем.

Возможности

Для пользователей

Рядовым пользователям доступны различные операции, связанные с жизненным циклом их ключевых носителей. Такие операции выполняются либо через интерфейс самообслуживания, либо в интерфейсе входа в операционную систему:

• Смена PIN-кода ключевого носителя;
• Смена и разблокировка PIN-кода;
• Обновление сертификатов;
• Получение уведомлений;
• Оперативный отзыв токена и находящихся на нем сертификатов в случае утраты;
• Временная блокировка устройства.

Для операторов Help Desk

Основная задача операторов Help Desk — это поддержка пользователей. Для этого им доступны в web-интерфейсе все операции, связанные с управлением жизненным циклом ключевых носителей:

• Регистрация токена в системе;
• Назначение токена пользователю;
• Выпуск токена и необходимых сертификатов;
• Обновление сертификатов на носителе;
• Блокировка/разблокировка токена;
• Отзыв токена и сертификатов;
• Очистка токена;
• Выдача дубликатов токена;
• Временная или постоянная замена токена на новый.

Для администраторов

Администраторам доступны все действия операторов Help Desk, а так же ряд дополнительных операций по управлению политиками Рутокен KeyBox. Политики являются ключевым объектом конфигурации Рутокен KeyBox и содержат различные параметры системы:

• Настройки подключений к Удостоверяющим Центрам;
• Шаблоны сертификатов;
• Настройки жизненного цикла ключевых носителей;
• Политики PIN-кодов ключевых носителей;
• Секретные вопросы для аутентификации пользователей (используются в сценариях разблокировки ключевых носителей).

Просмотр событий системы и аудит

Операторы Help Desk и Администраторы имеют возможность просматривать журнал системы в том же web-интерфейсе, в котором они выполняют свои задачи. Имеется возможность строить отчеты с использованием различных критериев отбора событий: периоды времени, серийный номер токена, тип ключевого носителя, имя исполнителя, имя пользователя, тип события и др.

Архитектура

Компоненты системы

Консоль управления — интерфейс для администраторов системы и сотрудников технической поддержки. В нем производится настройка системы и работа с носителями.

Сервис самообслуживания — личный кабинет пользователя, в котором пользователь может самостоятельно решать наиболее часто встречающиеся задачи.

Сервис удаленного самообслуживания — личный кабинет пользователя, доступный вне сети организации, из любой точки мира, позволяет решать ряд задач: отзыв устройства при утрате, разблокировка PIN-кода, временное выключение устройства.

Журнал событий,в котором фиксируется все происходящее в системе. Просмотр журнала доступен в интерфейсе консоли управления, там же возможно построение отчетов по различным критериям. Есть возможность трансляции событий во внешние системы, например, SIEM.

Event Log Proxy — дополнительный компонент для записи событий с нескольких серверов Рутокен KeyBox в единый журнал событий Windows;

Event Log Server — дополнительный компонент для записи событий с нескольких серверов Рутокен KeyBox в единый журнал событий Windows, базы данных Microsoft SQL или PostgreSQL и SysLog.

Коннекторы.Библиотека модулей сопряжения Рутокен KeyBox с внешними системами. Такие модули позволяют реагировать на события, возникающие в Рутокен KeyBox и выполнять дополнительные действия. Примером реализации является интеграция с Удостоверяющим Центром, которая позволяет автоматизировать управление сертификатами сотрудников (выпускать, отзывать, приостанавливать).

Удостоверяющий центр. Центр сертификации, выпускающий пользовательские сертификаты. В качестве центра сертификации может использоваться Microsoft Certification Services или Удостоверяющий центр КриптоПро.

Card Monitor. Служба для мониторинга состояния смарт-карт.

Middleware — компонент, предоставляющий единый интерфейс остальным компонентам системы по управлению устройствами, подключенными к рабочей станции.

Агент — используется для удаленного выполнения задач (блокировки, разблокировки, смены PIN-кода администратора и т. п. ) на устройствах пользователей.

Совместимость

Ключевые носители

• Рутокен S
• Рутокен ЭЦП
• Рутокен Lite
• Kaztoken
• JaCarta
• ESMART
• MS_KEY K-«Ангара»
• Другие носители

Серверная часть

• Windows Server 2008 SP2 x64 (с обновлением KB980368).
• Windows Server 2008 R2 SP1.
• Windows Server 2012/2012 R2.
• Windows Server 2016.
• Windows Server 2019.
• Windows Server 2022.
• Debian 9–12.
• Astra Linux Special Edition 1.6–1.8.
• Ubuntu 18.04 LTS–24.04 LTS.
• Red Hat Enterprise Linux 8–9.
• CentOS Stream 8–9.
• РЕД ОС 7.2–7.3.4.

Веб-сервер

• Internet Information Services (IIS) 7.0 и выше для ОС Windows.
• Nginx 1.22.1 и выше в качестве обратного прокси-сервера (Reverse Proxy) для ОС Linux.
• Apache 2.4.25 и выше в качестве обратного прокси-сервера (Reverse Proxy) для ОС Linux.

Центры сертификации

• Microsoft Enterprise CA 2003/2008/2012/2016/2019.
• КриптоПро УЦ 2.0.
• Валидата УЦ версий 3.1, 4.0.

Хранилище данных

• Microsoft SQL Server 2012 SP2 и выше.
• PostgreSQL 12 и выше.
• Postgres Pro Standard, Postgres Pro Enterprise 12 и выше.

Клиентская часть. Поддерживаемые операционные системы

• Windows Vista SP2 x86/x64.
• Windows 7 SP1 x86/x64.
• Windows 8/8.1 x86/x64.
• Windows 10 x86/x64.
• Windows 11 x86/x64.
• Windows Server 2008 SP2 x86/x64 (с обновлением KB980368).
• Windows Server 2008 R2 SP1.
• Windows Server 2012/2012 R2.
• Windows Server 2016.
• Windows Server 2019.
• Windows Server 2022.
• Debian 10–11.
• Astra Linux Special Edition 1.6–1.8.
• Astra Linux Common Edition 2.12.
• Ubuntu 18.04 LTS и выше.
• Red Hat Enterprise Linux 8–9.
• CentOS Stream 8–9.
• РЕД ОС 7.3–8.
• Альт Рабочая станция 9–10.

Клиентская часть. Требования к окружению

• Установленные драйверы (PKI-менеджеры) используемых смарт-карт и USB-токенов.
• Microsoft Edge Chromium 88.0.705.81 и выше.
• Google Chrome или Chromium 88.0.4324 и выше.
• Яндекс.Браузер 21.3.0 и выше.
• Mozilla Firefox 60.0.2 и выше.
• КриптоПро CSP 4.0 R4 и выше для выпуска сертификатов в Microsoft Enterprise CA по алгоритмам ГОСТ Р34.10-2001/2012, КриптоПро УЦ 2.0, Валидата УЦ.
• КриптоПро CSP 5.0 и выше для интеграции с КриптоПро DSS 2.