Разработка или приобретение PKI-продукта
Выбор варианта самостоятельного создания PKI-продукта означает, что организация желает инвестировать в разработку оригинальной системы. Вариант приобретения подразумевает, что организация будет покупать PKI-продукты или сервисы, расширяя свою деятельность за счет дополнительной загрузки имеющихся мощностей или активов, или прибегнет к аутсорсингу. Факты свидетельствуют о том, что лишь немногие организации выбирают вариант разработки, поскольку в этом случае они сталкиваются с целым рядом серьезных препятствий.
1 Технология PKI достаточно сложна для реализации. Большинство поставщиков программного обеспечения для PKI вложили большие средства в разработку программных продуктов, и возврат инвестиций может быть реализован только путем тиражирования готовых продуктов и продаж многим заказчикам. Организации чрезвычайно трудно возместить расходы на разработку собственной оригинальной системы PKI.
2 Учитывая сложность программного обеспечения для PKI, маловероятно, что большинство организаций будут иметь достаточно ресурсов, чтобы даже начать процесс разработки.
3 Многие разработки в сфере PKI запатентованы, в частности такие как технологии аннулирования сертификатов, проставления меток времени, управления привилегиями и т.д., и это также влияет на создание нового программного продукта.
Учитывая эти трудности, большинство организаций даже не рассматривают возможность разработки совершенно нового, собственного PKI-продукта.
Открытая или частная иерархия
Ключевой концепцией для понимания того, следует ли организации выбирать инсорсинг или аутсорсинг, является идея открытых и частных иерархий [105]. Открытыми называют иерархии, подчиненные корневому УЦ, открытый ключ которого встроен в общедоступное приложение, например web-браузер. В этом случае web-браузер может автоматически проверять валидность сертификатов, изданных в открытой иерархии, а также их издателей, что является бесспорным преимуществом этого способа организации PKI.
Открытые иерархии обычно используются в тех случаях, когда требуется обмен информацией с неаффилированными сторонами или их аутентификация. Уровень доверия к неаффилированным сторонам должен быть достаточно высок, и, следовательно, третьей доверенной стороной должен выступать аутсорсинговый УЦ.
Частные иерархии подчиняются корневому УЦ, открытый ключ которого не встроен в программное обеспечение стандартных браузеров , в этих случаях верификация иерархии не важна. Конечный пользователь может вручную добавить открытый ключ корневого УЦ частной иерархии в список открытых ключей доверенных удостоверяющих центров, встроенных в приложение пользователя. В этом случае вся ответственность за использование этого ключа и администрирование ложится на самого пользователя. Частные иерархии больше подходят для закрытых аффилированных сообществ, например, пользователей корпоративного портала компании. На (рис. 18.1 и 18.2 приведены примеры открытой и частной иерархий.
Рис. 18.1. Пример открытой иерархии
Рис. 18.2. Пример частной иерархии
Важно отметить, что управление доступом к защищенным ресурсам обычно не базируется исключительно на верификации пути сертификации, ведущего к сертификату доверенного корневого УЦ. Приложения, предназначенные для аутентификации (например, экстрасети), обычно имеют модули авторизации, которые позволяют программному обеспечению распознавать содержание сертификатов, предъявляемых субъектами, и управлять доступом на основании списка контроля доступа.
Контроль и гибкость
Иногда решение о самостоятельном развертывании PKI или аутсорсинге базируется на чисто экономических соображениях. Небольшие организации из-за недостатка ресурсов чаще всего выбирают аутсорсинг. Но, безусловно, принятие этого решения не ограничивается просто оценкой издержек в том или ином варианте развертывания, здесь должны быть учтены многие параметры. Один из важнейших факторов - возможности организации контролировать операции УЦ и способы аутентификации. Некоторые организации настаивают на полном контроле всех аспектов функционирования PKI, особенно касающихся безопасности и источника доверия, и обычно не желают зависеть от поставщика услуг третьей стороны. Другие организации не считают возможности контроля критически важными для своей деятельности.
Вариант инсорсинга в целом предоставляет максимум гибкости, поскольку организация самостоятельно осуществляет контроль и управление операциями УЦ и определяет механизмы и процедуры аутентификации. Эта гибкость критически важна при составлении таких документов, как ППС и регламент УЦ. Инсорсинговая PKI, по определению, должна создаваться в случае частной иерархии.
Модель аутсорсинга обеспечивает меньшую гибкость, потому что иерархия сертификатов создается в момент инсталляции программного обеспечения УЦ, а внесение изменений требует дополнительных затрат времени и денег. Если организация не предъявляет особые требования к механизмам аутентификации, то может принять ППС и регламент внешнего корневого УЦ, таким образом, перекладывая ответственность, в том числе и за безопасность секретного ключа корневого УЦ, на внешнюю сторону.
Стоимость и время развертывания
Оценивание затрат на развертывание PKI зависит от нескольких главных факторов:
* количества пользователей;
* количества приложений;
* варианта развертывания PKI ( инсорсинг или аутсорсинг ).
Расходы на амортизацию PKI не должны превышать более чем на 10% (в идеале) или более чем на 25% (максимум) стоимость приложений, которые организация планирует защитить при помощи инфраструктуры открытых ключей. Вообще говоря, расходы на безопасность не должны превышать общую стоимость защищаемых приложений. Если расходы на сертификаты или соответствующие сервисы инфраструктуры превышают 10% стоимости приложений, то не происходит возврата инвестиций.
Учитывая потенциальную сложность развертывания PKI, всегда разумно планировать максимально возможное время развертывания; однако возникает проблема, когда технология меняется настолько быстро, что "окончательная" реализация может никогда не произойти. Для быстрого развертывания (три месяца и менее) обычно рекомендуется аутсорсинг или управляемая PKI. Для более длительного развертывания (свыше 3 месяцев) можно использовать собственные решения, но за отведенное время не всегда могут быть реализованы особые требования организации и полностью решены проблемы интеграции.
Независимо от выбранного способа развертывания, организации следует планировать период развертывания не менее одного месяца. Решение проблем заключения договоров требует дополнительно от 2 до 4 недель. Кроме того, в зависимости от сложности проекта, к моменту подписания договора о продаже должны быть готовы приступить к работе консультанты проекта, предоставленные самим поставщиком или его партнерами. К главным моментам, которые влияют на время развертывания PKI и стоимость ее реализации, относятся:
* составление перечня работ консультантов со сроками выполнения и объемом финансирования;
* создание иерархий удостоверяющих центров (при необходимости к этой работе привлекаются консультанты);
* обучение персонала (администраторов), способного взаимодействовать с консультантами на этапе развертывания, а в дальнейшем модифицировать или совершенствовать систему PKI;