Порядок развертывания, тонкой настройки и эксплуатации КриптоПро NGate с КриптоПро HSM для обеспечения контролируемого защищённого удаленного доступа пользователей к корпоративным ресурсам

Порядок развертывания, тонкой настройки и эксплуатации КриптоПро NGate с КриптоПро HSM для обеспечения контролируемого защищённого удаленного доступа пользователей к корпоративным ресурсам

Код курса Т398, 10 дней

Статус

Комплексная практическая программа Учебного центра "Информзащита"

Аннотация

Программа разработана специалистами Лаборатории безопасности электронных коммуникаций Учебного центра «Информзащита» в сотрудничестве со специалистами компании «Крипто-Про» и проводится с применением реального оборудования на базе программно-аппаратного криптографического модуля «КриптоПро HSM» версии 2.0 R3 и аппаратной платформы NGate для СКЗИ «КриптоПро NGate».

Комплексная программа для подготовки специалистов, ответственных за развертывание, тонкую настройку и эксплуатацию КриптоПро NGate для обеспечения контролируемого защищённого удаленного доступа пользователей к корпоративным ресурсам.

В комплексную программу включены курсы: 

• T389 «Порядок развертывания, тонкой настройки и эксплуатации КриптоПро NGate».
• Т390 «Настройка КриптоПро NGate для обеспечения контролируемого защищённого удаленного доступа пользователей к корпоративным ресурсам»;
• Т031 «Порядок развертывания и применения PKI с применением ПАКМ «КриптоПро HSM».

Индивидуальный график слушателя формируется в соответсвии с расписанием включенных в комплексную программу курсов.

Предварительная подготовка

• Базовые знания и навыки по работе с Astra Linux.
• Для глубокого освоения материала рекомендуется прослушать курсы:
  Т105 «Порядок установки, настройки и эксплуатации СКЗИ «КриптоПро CSP 5.0» в ОС Linux, Windows и смежных средах»

Пакет слушателя

• Фирменное учебное пособие.
• Дополнительные материалы по тематике программы в электронном виде.

Дополнительно

После успешной сдачи зачета выпускники получают свидетельства Учебного центра «Информзащита».

Обучение на данном курсе учитывается при получении документов о повышении квалификации и переподготовке в области информационной безопасности.

Последующее обучение.

Порядок обучения по технологиям КриптоПро:

• Для руководителя УЦ ПАК «КриптоПро УЦ» 2.0

БТ01 -> Т010 -> Т278 ->Т138 ->Т020 -> Т389 ->Т334 ->Т346 ->Т347 ->Т348

• Для технического специалиста УЦ ПАК «КриптоПро УЦ» 2.0

БТ31 -> Т010 -> Т278 ->Т138 ->Т030 -> Т389 ->Т334 ->Т346 ->Т347 ->Т348

• Для администратора Органа криптографической защиты

БТ31 -> Т010 ->Т105 ->Т035 -> Т389

• Для оператора УЦ ПАК «КриптоПро УЦ» 2.0 и СЭП «КриптоПро DSS»

Т029-> Т037

Программа курса

Модуль 1.

• Введение. Исполнения NGate. Аппаратные платформы NGate. Технические характеристики АП NGate.
• Требования по установке и эксплуатации КСПК NGate. Основные требования по защите организационно-техническим и административным мерам обеспечения безопасности эксплуатации КСПК NGATE. Общие требования по защите КСПК NGate от НСД.
• Требования безопасности. Обеспечение условий эксплуатации Аппаратной платформы NGate для СКЗИ «КриптоПро NGate». Безопасность при эксплуатации Аппаратной платформы NGate для СКЗИ «КриптоПро NGate».
• ПО СКЗИ «Криптографический сетевой программный комплекс «КриптоПро NGate». Примеры конфигураций. Минимальная конфигурация. Конфигурация: Кластер и балансировщик нагрузки. Конфигурация: Кластер, балансировщик нагрузки и маршрутизатор. Лицензионная политика шлюза «КриптоПро NGate».
• Типовые сценарии применения СКЗИ «КриптоПро NGate» для защиты персональных данных. Технические решения ООО «КРИПТО-ПРО» для криптографической защиты персональных биометрических данных. Подписание биометрических образцов для передачи в ЕБС и при обработке в информационных системах. Защита биометрических образцов при передаче по каналам связи. Защита удаленного подключения пользователей для аутентификации с использованием биометрических данных.
• Установка и предварительная настройка NGate для сценария с балансировкой нагрузки. Создание загрузочной флеш-карты для аппаратной платформы. Установка программного обеспечения NGate на центре управления и на узлах кластера.
• Создание инфраструктуры открытых ключей для сценария с балансировкой нагрузки. Развёртывание инфраструктуры PKI с использованием встроенного сервиса Системы управления.
• Развёртывание инфраструктуры PKI с использованием внешнего УЦ. ПАК «КриптоПро УЦ» 2.0. Создание и экспорт сервисных ключей. Установка Корневого сертификата УЦ в Windows. Формирование запроса на выпуск сертификата в Windows. Установка сертификата администратора в Windows.
• Настройка шлюза NGate. Подключение АРМ Администратора к Системе управления. Создание элемента кластера. Настройка Узлов NGate в кластере. Создание элемента сертификата удостоверяющего центра. Ввод лицензионных ключей. Создание элемента серверного мандата. Настройка защищаемых ресурсов.
• Примеры настройки конфигураций NGate. Примеры конфигураций: Минимальная конфигурация. Конфигурация: Кластер и балансировщик нагрузки. Конфигурация: Кластер, балансировщик нагрузки и маршрутизатор. HAProxy. Пример настройки шлюза NGate в конфигурации с балансировкой нагрузки NGate».
• Администрирование системы в процессе эксплуатации. Расширенная настройка защищаемых ресурсов. Настройка параметров сетевых интерфейсов и SSH доступа в web-интерфейсе. Смена паролей. Смена имени системы. Добавление или замена Узла NGate.
• Резервное копирование конфигурации кластера. Возможности. Ограничения. Порядок проведения резервного копирования конфигурации кластера.
• Диагностика и мониторинг. Низкоуровневый мониторинг расходования ресурсов. Проверка состояния системы. Запись диагностической информации о системе. Включение и отключение расширенной диагностики КриптоПро. Запись системных журналов на удалённые syslog серверы. «КриптоПро Центр мониторинга».
• Обновление ПО NGate. Обновление посредством специальной утилиты. Обновление из ISO образа.
• Продвинутые настройки. Создание элемента набора статических заголовков. Создание элемента набора динамических заголовков.
• Решение нештатных ситуаций. Руководство по устранению неисправностей. Возможные проблемы при настройке шлюза NGate. Структура _CERT_TRUST_STATUS.

Модуль 2.

• Практические подходы к построению архитектуры безопасности с нулевым доверием (ZTA - Zero Trust Architecture). Базис архитектуры «нулевого доверия». Идентификация субъектов доступа (пользователей, устройств, приложений, транзакций). Инвентаризация и защита устройств доступа. Шифрование информации в сети.
• Публичный доступ к приложениям. Журналирование операций доступа к данным. Реализация архитектуры безопасности с нулевым доверием (ZTA - Zero Trust Architecture) на базе продуктов «КриптоПро».
• Zero Trust Network Access в условиях импортозамещения и перехода к технологической независимости. Архитектура сетевого доступа с нулевым доверием. Область применения программного комплекса САКУРА. Описание возможностей. Архитектура решения. Поддерживаемые ОС и рекомендуемый сайзинг. NGate и обеспечение двухфакторной аутентификации средствами САКУРА.
• Интеграция САКУРА и NGate - особенности взаимодействия. Настройка интеграции САКУРА и NGate. Примеры создания правил контроля. Настройка правил контроля и скриптов powershell. Проверка версии ОС. Проверка наличия необходимых файлов на АРМ. Проверка запуска необходимого ПО. Настройка категории безопасности.
• Настройка IPsec. Общий порядок настройки IPsec в ПО NGate. Создание Pre-Shared Keys (PSK). Экспорт и импорт Pre-Shared Keys (PSK). Создание элементов Криптонаборов. Создание и настройка сообществ. Создание управляемых СУ IPsec-шлюзов. Создание удалённых IPsec-шлюзов. Просмотр и изменение политик IPsec. Пример настройки подключения IPsec (PSK). Пример настройки подключения IPsec (Сертификат)

Модуль 3.

• Состав и назначение ПАКМ «КриптоПро HSM». Назначение ПАКМ. Область применения ПАКМ «КриптоПро HSM.» Состав изделия. Сведения об используемых криптопровайдерах. Функциональные схемы применения ПАКМ "КриптоПро HSM". Основные сведения об аппаратной платформе ПАКМ и Сервера. Инструкции по размещению технических средств
• Концепция и архитектура компонент ПАКМ «КриптоПро HSM». Ролевая модель доступа к функциям ПАКМ. Ключевая система и ключевые носители. Ключи и сертификаты субъектов ПАКМ. Совместный доступ различных пользователей ПАКМ к общим ключам. Состояния ПАКМ. ПО «Клиент HSM». Канал К2. Канал К. ПО ПАКМ. Удаленное рабочее место Администратора.
• Основные технические данные и характеристики ПАКМ «КриптоПро HSM». Операционные системы. Функциональные схемы применения ПАКМ. Условия применения.
• Установка ПАКМ «КриптоПро HSM». Порядок установки ПАКМ. Проверка комплектации и подключение ПАКМ. Инициализация ПАКМ. Установка сетевых настроек ПАКМ. Установка системного времени ПАКМ. Выпуск карты локального защищенного канала (канала К). Установка интерфейсных модулей. Настройка удаленного рабочего места Web администрирования ПАКМ. Параметры, устанавливаемые изготовителем. Требования безопасности.
• Администрирование ПАКМ «КриптоПро HSM». Включение ПАКМ «КриптоПро HSM». Работа с LCD меню администрирования ПАКМ. Работа с журналом событий СКЗИ ПАКМ. Удаленное администрирование ПАКМ (web интерфейс).
• Использование интерфейсных модулей на серверах с ОС UNIX/LINUX. «Клиенты» ПАКМ «КриптоПро HSM». СКЗИ «КриптоПро HSM Client A». Состав и назначение компонент программного обеспечения СКЗИ. Встраивание СКЗИ КриптоПро HSM в прикладное ПО. Общие меры защиты от НСД ПО с установленными СКЗИ для ОС «Alt Linux Server Edition».
• Использование интерфейсных модулей на серверах с ОС семейства WINDOWS. Установка дистрибутива ПО. Устанавливаемые криптопровайдеры. Дополнительные настройки параметров криптопровайдера
• Порядок выполнения технического обслуживания и ремонта ПАКМ «КриптоПро HSM». Порядок действий при отказе оборудования ПАКМ. Порядок действий при проведении технического обслуживания ПАКМ. Ведение журналов. Журнал аудита ПАКМ. Резервирование и восстановление ПАКМ. Контроль установок времени. Нештатные ситуации при эксплуатации СКЗИ.
• Порядок развертывания ИОК (PKI) на основе (ПАК) «Удостоверяющий центр «КриптоПро УЦ» версии 2.0 для выпуска квалифицированных сертификатов с применением ПАКМ «КриптоПро HSM». Установка приложения ПО. Настройка приложения «Клиент HSM». Установка связи с ПАКМ. Управление ключами ЭП и сертификатами ключей ЭП. Включение дополнительных полей в сертификат УЦ. Включение дополнительных полей в сертификат администратора ЦР.
• Итоговый зачет.