View
1.325
Download
3
Category
Preview:
DESCRIPTION
Charla impartida por Miguel López Calleja en el IV Curso de Verano de Seguridad Informática de la Universidad Europea de Madrid.
Citation preview
“Autenticación fuerte y firma de
documentos en un entorno VDI”
Miguel López
General Manager
Mina Software
En los últimos años hemos asistido a la tendencia de
la virtualización de los servidores
La virtualización de servidores
• Traslada los beneficios de la
tecnología de virtualización a la
gestión de los puestos de trabajo
• Una consecuencia es la
posibilidad de acceso ubicuo del
usuario a su puesto de trabajo
• Consideramos necesario
garantizar la seguridad de acceso,
mediante técnicas de
autenticación fuerte como el uso
de smart cards con certificado
digital
La virtualización de puestos de trabajo
UN EJEMPLO DE USO
Una breve historia para explicar
Médico especializado en
traumatología
Se encuentra en paro
No es una persona muy
familiarizada con las nuevas
tecnologías
El protagonista
Tiene suerte y encuentratrabajo en un hospital…
Busca trabajo
Luis empieza el próximo lunes a trabajar
en un hospital de nueva construcción
Su nuevo centro de trabajo
Antes de la incorporación
Luis recibe una llamada del
departamento de Recursos
Humanos del hospital
Necesitan que firme unos
documentos antes de su
incorporación
Firma-e de documentos y formularios
Luis se conecta a Internet con su portátil:
• Rellena un formulario electrónico con sus datos
• Revisa la política de seguridad de la empresa
• Firma su contrato laboral
Con su DNI electrónico, con validez legal y sin desplazamientos
Título
Provisiona de forma automatizada todos los sistemas y aplicaciones
para Luis en función de su rol en la organización y a partir de los datos
enviados por el departamento de RR.HH.
Su primer día:
Puede acceder desde cualquier terminal del hospital
a su puesto personalizado con todas las aplicaciones que necesita
usando su DNI electrónico o la tarjeta corporativa
Acceso al puesto virtual
Infraestructura VDI
Pool de maquinas
virtuales
El hospital cuenta con data center
con tecnología VDI (Virtual Desktop Infrastructure)
Servidores para la virtualización de equipos de sobremesa para
diferentes perfiles de usuarios
También en movilidad puede acceder a las aplicaciones
durante las visitas a planta o en las reuniones del equipo
Acceso seguro ubicuo a la información que necesita
Movilidad
Movilidad y trazabilidad
Además de acceder a la información de los pacientes, Luis puede firmar
la administración de medicamentos, tratamientos, intervenciones o
altas desde terminales a pie de cama, PC´s o incluso dispositivos
móviles, si se desea. Todo ello con trazabilidad y validez legal
En casa, también puede acceder a su puesto de trabajo
desde su ordenador personal
Por ejemplo para consultar datos de pacientes ante una urgencia y/o
firmar la administración de un determinado tratamiento
(y cumpliendo la legislación de protección de datos)
Teletrabajo
Intranet corporativa
Además, a través de la intranet del hospital
Luis puede realizar los trámites internos más comunes
consultar su nómina, enviar notas de gastos o firmar documentos
con plena validez legal. Eventualmente este acceso podría realizarse
también desde dispositivos móviles y tabletas.
Servicio al paciente
Asimismo, pacientes y familiares pueden cumplimentar y firmar con
validez legal en la web del hospital formularios de admisión,
antecedentes médicos, autorización,… etc. En muchos casos, la firma de
esta documentación puede hacerse desde el propio domicilio
previamente al ingreso.
Arquitectura funcional
SealSign forSharepoint & Server + Revoke(VA)
Servicios Web Intra/extra-net,BBDD,..
Servidores VDI
Escritorios ThinClient
Terminales a pie de cama
Accesos externos de empleados desde su PC
Accesos externos desde dispositivos móviles
Accesos externos de clientes desde su PC
CPD
VDI
Clientes
Arquitectura VDI
Infraestructura VDI cliente
VMWare view 4.5
� View Manager
� View Composer
� ThinApp
� vCenter Server Standard
Infraestructura VDI servidor
VMWare enterprise
� Thin Provisioning
� VMSafe
� High Avaliability & Fault tolerance
� Data Recovery
� Hot add
� vShield zones
� vMotion & Storage vMotion
� DRS (Data Resource Scheduler)
Arquitectura VDI
Solución de virtualización desplegada*� 3 nodos ESX (redundancia n+1, ProLiant DL 380 G7 (2x hexa-core, 64GB RAM, 8 NICs)
� 2 broker con balanceo de carga NLB
� 1 vCenter Server
� 105 (100+5) x HP t5630w Thin Client + Smartcard Keyboard
* Información cortesía de Alsys (www.alsys.es)
Arquitectura Motor de Firma
Solución de Firma Electrónica sobre Servidor Sharepoint 2010
� 2 Servidores SealSign for Sharepoint 2010 con balanceo de carga NLB
� 2 Servidores Revoke Server (Servicio de Autoridad de Validación para certificados externos)
� Todos los servidores virtualizados sobre VMWare ESX
� Conexión opcional a servidor HSM externo o en formato PCI
� Formatos de firma: XMLDSig, XAdES, Factura-e, PDF Signature, PAdES, PKCS#7/CMS y CAdES
Solución de Autenticación con Smart Card y DNIe sobre VDI
� 2 Servidores SealSign (motor de firma electrónica y transacciones PKI)
� 2 Servidores Revoke Server (Servicio de Autoridad de Validación para certificados externos)
� Todos los servidores virtualizados sobre VMWare ESX
� Conexión opcional a servidor HSM externo o en formato PCI
� Formatos de firma: XMLDSig, XAdES, Factura-e, PDF Signature, PAdES, PKCS#7/CMS y CAdES
� SmartID Corporate Logon: Solución de autenticación específico para autenticación con smartcard
Arquitectura autenticación
Arquitectura Autenticación y firma
Solución de Validación de certificados multi-PKI: Revoke ServerRevoke Server realiza la centralización y el control de la verificación del estado de revocación de los
certificados digitales emitidos por terceros, para todos los procesos de autenticación y firma digital
� Reduce el tráfico de validación e incrementa la velocidad de las transacciones
� Se adapta a las políticas de publicación de CRL´s y protocolos utilizados por las diferentes CA´s
� Realiza labores de registro y auditoría
� Módulo adicional opcional para el control centralizado de los certificados SW: IDOne Key control
IDOne Key control
Administración y Operación
Para la administración y operación de puestos
– Favorece la migración a nuevas versiones de S.O. (p.e. Windows 7)
– Administración de actualizaciones y aplicaciones más sencilla
– Asegura la realización copias de seguridad
– Simplifica la provisión de nuevos puestos
Usuario
Para el usuario:
– Acceso ubicuo a su puesto de trabajo
– Buena experiencia de usuario
– Sin necesidad de mantenimiento ni de realizar copias de seguridad
– Puesto siempre a punto y con la última tecnología
Paciente
Para el paciente y/o familiares:
– Acceso rápido y seguro a toda la información pertinente
– Realización de trámites previos al ingreso
– Comodidad a la hora de presentar/recibir información
– Validez legal de todas las comunicaciones
Seguridad
Para la seguridad de la información:
– Previene la fuga de información corporativa (dispositivos USB)
– Mejora seguridad contra malware con actualización centralizada
– Restringe el uso de los puestos al uso corporativo
– Impide la instalación de otras aplicaciones no corporativas
– Permite un acceso seguro (autenticación fuerte) con smart card
Seguridad
Para la seguridad de la información:
– Permite la firma de documentos garantizando la autenticidad, integridad y
el no repudio
– Evita la compartición de credenciales de acceso entre usuarios
– Constituye el primer paso de un proyecto de Single Sign On seguro
– En entornos con uso de certificados SW se puede establecer medidas de
control y auditoría en su uso (IDOne Key control)
Elementos básicos del DNIe
El eDNI contiene 2 Certificados X509v3 de ciudadano (autenticación y firma) y sus
claves privadas asociadas así como un certificado de componente.
A) Certificado de autenticación
Permite que el ciudadano certifique su identidad frente a terceros, demostrando
la posesión y el acceso a la clave privada asociada a dicho certificado y que
acredita su identidad.
B) Certificado de firma electrónica reconocida
Permitirá asumir compromisos de firma electrónica, pudiéndose comprobar la
integridad de los documentos firmados por el ciudadano
C) Certificado de componente
Su propósito es la autenticación de la tarjeta del DNI electrónico mediante el
protocolo de autenticación mutua definido en CWA 14890. Permite el
establecimiento de un canal cifrado y autenticado entre la tarjeta y los Drivers
DNIe
Con el DNIe podemos:
A) Autenticarnos frente a terceros con el aval de la Dirección General de la Policía
En el ámbito empresarial, se abren nuevos escenarios para el uso del DNIe como
herramienta de autenticación segura, ubicua y disponible para (casi) todos
A) Realizar firma avanzada y reconocida de documentos con validez ante terceros
Para la empresa, esto implica la posibilidad de integrar procesos de firma
electrónica en sus procedimientos internos de, por ejemplo, gestión documental
de manera eficaz y rápida.
Otros usos
Registro de visitantes y mejora de la atención
– Acceso a edificios, Ferias y eventos (auto check-in)
Cumplimiento de la legislación
– Verificar la mayoría de edad (juego online, maquinas expendedoras, etc.)
– Cumplimiento de Ordenes de Alejamiento
– Entrega Segura de Datos Personales
– Control de los datos personales en poder de terceros
Mejora de la calidad de servicio / Fidelización / Acceso físico
– Tarjetas de puntos virtuales
– Acceso a centros deportivos o espectáculos con reservas (emisión entradas)
– Disposición de efectivo
Registro Electrónico de documentación
…………….
¿Necesitamos autenticación fuerte?
o
Componentes: Virtualización de escritorio
* Con lector de smart card
Componentes: Acceso con Smart Card
• Los productos de virtualización del puesto permiten la
autenticación de usuarios con certificado digital solo si cumple
unos requisitos específicos pero los certificados del DNI
electrónico no cumplen estos requisitos
• SmartID® Corporate Logon permite autenticar usuarios contra
el Directorio Activo usando cualquier certificado digital válido
en entornos como puestos, servidores, web, VDI, VPN, etc.
Componentes: SealSign for Sharepoint
Libro DNI-e Tecnología y Usos
Libro divulgativo para conocer las tecnologías que forman el DNI electrónico y otros muchos posibles usos
Disponible para su adquisición online y librerías especializadas
MUCHAS GRACIAS
www.smartaccess.es
www.minasoftware.com
+34 91 417 03 70
Recommended