Книга: Инфраструктуры открытых ключей
Принятие решения о варианте развертывания
Организация выбирает инсорсинг, когда принимает решение о развертывании внутренней PKI на базе собственных ресурсов (включая персонал, аппаратное обеспечение и т.д.) и (или) с привлечением внешних ресурсов для выполнения некоторых или всех операций PKI. Ключевым моментом является то, что инсорсинговая PKI находится под контролем организации.
Выбирая аутсорсинг, организация разрешает внешней стороне поддерживать и выполнять некоторые (а возможно, и все) операции своей корпоративной PKI. В этом случае эти операции не контролируются самой организацией >[105].
Основой принятия решения о варианте развертывания PKI должен быть анализ его стоимости и полезности с учетом большого числа релевантных факторов:
* возможностей организации разработать собственный PKI-продукт;
* стоимости самостоятельного развертывания инфраструктуры по сравнению с затратами на аутсорсинг (включая все соответствующее программное и аппаратное обеспечение, техническую поддержку, помещения, персонал, обучение и т.п.);
* потребности организации контролировать все операции PKI;
* источника доверия потребителей PKI-сервисов;
* скорости обработки запросов на получение сервисов и информации (например, запросы о выдаче сертификатов конечным субъектам, восстановлении ключей, получении информации о статусе сертификатов);
* уровня и доступности технической поддержки;
* возможностей и готовности поставщика технологии учитывать будущие потребности организации.
Организации часто принимают решение об аутсорсинге в зависимости от того, к какому виду деятельности - стратегическому или стандартному - они относят развертывание PKI. Благодаря стратегическим видам деятельности компания способна выделиться на рынке своим продуктом или предложить на рынок продукт по более низкой цене, в этом случае нефинансовые соображения могут быть важнее экономической выгоды от использования аутсорсинга.
С другой стороны, существуют стандартные виды деятельности, однако они не обеспечивают ни дополнительной дифференциации на рынке, ни конкурентного преимущества. Этот вид деятельности может быть приобретен у более эффективных, с точки зрения издержек, поставщиков, позволяя организации сконцентрировать свой капитал и человеческие ресурсы на стратегических направлениях >[17].
Разработка или приобретение PKI-продукта
Выбор варианта самостоятельного создания PKI-продукта означает, что организация желает инвестировать в разработку оригинальной системы. Вариант приобретения подразумевает, что организация будет покупать PKI-продукты или сервисы, расширяя свою деятельность за счет дополнительной загрузки имеющихся мощностей или активов, или прибегнет к аутсорсингу. Факты свидетельствуют о том, что лишь немногие организации выбирают вариант разработки, поскольку в этом случае они сталкиваются с целым рядом серьезных препятствий.
1 Технология PKI достаточно сложна для реализации. Большинство поставщиков программного обеспечения для PKI вложили большие средства в разработку программных продуктов, и возврат инвестиций может быть реализован только путем тиражирования готовых продуктов и продаж многим заказчикам. Организации чрезвычайно трудно возместить расходы на разработку собственной оригинальной системы PKI.
2 Учитывая сложность программного обеспечения для PKI, маловероятно, что большинство организаций будут иметь достаточно ресурсов, чтобы даже начать процесс разработки.
3 Многие разработки в сфере PKI запатентованы, в частности такие как технологии аннулирования сертификатов, проставления меток времени, управления привилегиями и т.д., и это также влияет на создание нового программного продукта.
Учитывая эти трудности, большинство организаций даже не рассматривают возможность разработки совершенно нового, собственного PKI-продукта.
Открытая или частная иерархия
Ключевой концепцией для понимания того, следует ли организации выбирать инсорсинг или аутсорсинг, является идея открытых и частных иерархий>[105]. Открытыми называют иерархии, подчиненные корневому УЦ, открытый ключ которого встроен в общедоступное приложение, например web-браузер. В этом случае web-браузер может автоматически проверять валидность сертификатов, изданных в открытой иерархии, а также их издателей, что является бесспорным преимуществом этого способа организации PKI.
Открытые иерархии обычно используются в тех случаях, когда требуется обмен информацией с неаффилированными сторонами или их аутентификация. Уровень доверия к неаффилированным сторонам должен быть достаточно высок, и, следовательно, третьей доверенной стороной должен выступать аутсорсинговый УЦ.
Частные иерархии подчиняются корневому УЦ, открытый ключ которого не встроен в программное обеспечение стандартных браузеров , в этих случаях верификация иерархии не важна. Конечный пользователь может вручную добавить открытый ключ корневого УЦ частной иерархии в список открытых ключей доверенных удостоверяющих центров, встроенных в приложение пользователя. В этом случае вся ответственность за использование этого ключа и администрирование ложится на самого пользователя. Частные иерархии больше подходят для закрытых аффилированных сообществ, например, пользователей корпоративного портала компании. На (рис. 18.1 и 18.2 приведены примеры открытой и частной иерархий.
Рис. 18.1. Пример открытой иерархии
Рис. 18.2. Пример частной иерархии
Важно отметить, что управление доступом к защищенным ресурсам обычно не базируется исключительно на верификации пути сертификации, ведущего к сертификату доверенного корневого УЦ. Приложения, предназначенные для аутентификации (например, экстрасети), обычно имеют модули авторизации, которые позволяют программному обеспечению распознавать содержание сертификатов, предъявляемых субъектами, и управлять доступом на основании списка контроля доступа.
Контроль и гибкость
Иногда решение о самостоятельном развертывании PKI или аутсорсинге базируется на чисто экономических соображениях. Небольшие организации из-за недостатка ресурсов чаще всего выбирают аутсорсинг. Но, безусловно, принятие этого решения не ограничивается просто оценкой издержек в том или ином варианте развертывания, здесь должны быть учтены многие параметры. Один из важнейших факторов - возможности организации контролировать операции УЦ и способы аутентификации. Некоторые организации настаивают на полном контроле всех аспектов функционирования PKI, особенно касающихся безопасности и источника доверия, и обычно не желают зависеть от поставщика услуг третьей стороны. Другие организации не считают возможности контроля критически важными для своей деятельности.
Вариант инсорсинга в целом предоставляет максимум гибкости, поскольку организация самостоятельно осуществляет контроль и управление операциями УЦ и определяет механизмы и процедуры аутентификации. Эта гибкость критически важна при составлении таких документов, как ППС и регламент УЦ. Инсорсинговая PKI, по определению, должна создаваться в случае частной иерархии.
Модель аутсорсинга обеспечивает меньшую гибкость, потому что иерархия сертификатов создается в момент инсталляции программного обеспечения УЦ, а внесение изменений требует дополнительных затрат времени и денег. Если организация не предъявляет особые требования к механизмам аутентификации, то может принять ППС и регламент внешнего корневого УЦ, таким образом, перекладывая ответственность, в том числе и за безопасность секретного ключа корневого УЦ, на внешнюю сторону.
Стоимость и время развертывания
Оценивание затрат на развертывание PKI зависит от нескольких главных факторов:
* количества пользователей;
* количества приложений;
* варианта развертывания PKI ( инсорсинг или аутсорсинг ).
Расходы на амортизацию PKI не должны превышать более чем на 10% (в идеале) или более чем на 25% (максимум) стоимость приложений, которые организация планирует защитить при помощи инфраструктуры открытых ключей. Вообще говоря, расходы на безопасность не должны превышать общую стоимость защищаемых приложений. Если расходы на сертификаты или соответствующие сервисы инфраструктуры превышают 10% стоимости приложений, то не происходит возврата инвестиций.
Учитывая потенциальную сложность развертывания PKI, всегда разумно планировать максимально возможное время развертывания; однако возникает проблема, когда технология меняется настолько быстро, что "окончательная" реализация может никогда не произойти. Для быстрого развертывания (три месяца и менее) обычно рекомендуется аутсорсинг или управляемая PKI. Для более длительного развертывания (свыше 3 месяцев) можно использовать собственные решения, но за отведенное время не всегда могут быть реализованы особые требования организации и полностью решены проблемы интеграции.
Независимо от выбранного способа развертывания, организации следует планировать период развертывания не менее одного месяца. Решение проблем заключения договоров требует дополнительно от 2 до 4 недель. Кроме того, в зависимости от сложности проекта, к моменту подписания договора о продаже должны быть готовы приступить к работе консультанты проекта, предоставленные самим поставщиком или его партнерами. К главным моментам, которые влияют на время развертывания PKI и стоимость ее реализации, относятся:
* составление перечня работ консультантов со сроками выполнения и объемом финансирования;
* создание иерархий удостоверяющих центров (при необходимости к этой работе привлекаются консультанты);
* обучение персонала (администраторов), способного взаимодействовать с консультантами на этапе развертывания, а в дальнейшем модифицировать или совершенствовать систему PKI;
* планирование простоев в центрах обработки данных организации на время установки или адаптации аппаратного и/или программного обеспечения системы PKI (иногда организации планируют "окна" в работе своих центров обработки данных, во время которых необходимо выполнить установку программных и аппаратных средств PKI).
Более масштабные и ориентированные на специфические требования заказчика варианты развертывания могут занимать по времени 6 месяцев и более. Правильное планирование времени, необходимого для развертывания PKI, и распараллеливание работ существенно влияет на успех проекта.
Модель аутсорсинга позволяет сэкономить время развертывания, перекладывая на поставщика услуг функции по установке и поддержке программного и аппаратного обеспечения компонентов PKI. Кроме того, выбор варианта аутсорсинга позволяет снизить требования к персоналу и инфраструктуре безопасности. Поскольку внешний УЦ берет ответственность на себя, происходит амортизация затрат в течение более длительного периода, чем в случае, когда организации приходится самостоятельно приобретать и поддерживать программные и аппаратные средства PKI.
При развертывании крупномасштабных PKI предпочтительна модель инсорсинга, поскольку организация, берущаяся за большой проект, скорее всего, уже имеет инфраструктуру безопасности, центры обработки данных и квалифицированный персонал. В этом случае значительные первоначальные капиталовложения компенсируются последующей экономией средств, необходимых для поддержания работы большой системы. Кроме того, крупномасштабные проекты чаще всего ориентируются на собственные требования организации к аутентификации и обслуживание большего количества корпоративных иерархий, что в случае аутсорсинга требует значительных капиталовложений. Главный недостаток варианта инсорсинга - длительный период развертывания (масштабные реализации требуют не менее 6 месяцев работы).
Итак, главный критерий принятия организацией решения относительно построения инфраструктуры безопасности, базирующейся на PKI, - самостоятельно выполнять функции УЦ или доверить это третьей стороне. Решение о выборе варианта развертывания должно быть утверждено до начала проектирования и развертывания PKI. Это решение может повлиять на область применения, стоимость проекта и даже выбор потенциальных поставщиков. Итоги анализа доводов "за" и "против" каждого варианта развертывания приведены в табл. 18.1 >[105].
|Характеристики | Инсорсинг | Аутсорсинг |
|Политика аутентификации | Возможность формировать собственную политику, простота изменения политики | Необходимость придерживаться политик, утвержденных для внешнего УЦ |
|Настройка на требования заказчика | Максимальная гибкость | Минимальная гибкость |
|Время развертывания | Длительный период развертывания | Короткий период развертывания |
|Степень участия | Большие первоначальные усилия, но в дальнейшем требуется небольшая работа по поддержке систем | Минимальные усилия со стороны заказчика, но может потребоваться интеграция с действующими системами заказчика |
|Стоимость | Большие первоначальные затраты, но небольшие в дальнейшем | Низкие первоначальные затраты, но большие в дальнейшем |
|Количество персонала | Требуется значительное количество персонала для работы, защиты и поддержки систем УЦ и РЦ | Персонал требуется только для работы и поддержки системы РЦ |
Таблица 18.1.Сравнительный анализ вариантов инсорсинга и аутсорсинга
Оглавление книги
- 11.2. Технология принятия решения в условиях чрезвычайной ситуации
- Управление пользователями и разрешениями узла
- Как не запутаться в разрешениях доступа к файлам?
- «Если бы у вас была волшебная палочка, что бы вы сделали для решения проблемы?»
- Приложение 2. Досье на лицо, принимающее решения (ЛПР)
- О решениях IBM Service Management
- Шаг 5. Работа с вопросами, сомнениями и возражениями покупателя. Помощь в принятии решения о покупке
- 3.5. Разрешения IPC
- Пример: применение принципа "разделяй и властвуй" для решения задачи сортировки слиянием в SMP-системах
- Не позволяйте страху руководить вашими решениями
- Тянуть с решениями
- Глава 4. Администрирование программы в режиме прикладного решения