В системе RooX UIDM появилась функция ротации криптографических ключей

Криптографический ключ в токенах аутентификации — это специальная информация, которая используется для подписания токена, чтобы удостовериться, что он не был подделан, или шифрования содержимого токена, если нужно скрыть передаваемые данные от посторонних. Ротация ключей — часть системы управления безопасностью. Необходимость ротации регламентируется как внутренними политиками компаний, так и международными стандартами информационной безопасности. 

Смена криптографических ключей в большой корпорации — задача не столько техническая, сколько организационная. Их замена требует четкой стратегии и межкомандной координации между ИТ, ИБ и DevOps. Несинхронная смена ключей может привести к массовому разлогину пользователей, блокировке доступа к приложениям, остановкам бизнес-процессов, ущербу для партнерских SLA, утечкам. 

«По нашим наблюдениям во многих организациях не меняют ключи годами из-за риска «обрушить» работу всех подключенных приложений. Теперь этого можно не бояться. В RooX UIDM мы реализовали мягкую ротацию с перекрытием ключей», — поясняет Константин Корсаков, директор по безопасной разработке компании RooX. 

Функция реализована в версии 25.1 платформы RooX UIDM и доступна всем клиентам после обновления. В новой модели оба ключа действуют одновременно — токены, подписанные любым из них, считаются действительными. Это позволяет плавно перейти на новый ключ и отключить старый по завершении внутренней миграции.

«Мы рекомендуем ротировать ключи не реже раза в год, а также проводить эту процедуру при подозрении на утечки, при смене ответственных сотрудников и если обнаружены проблемы с хранением ключей, например, хранение в открытом виде в конфигурационных файлах, избыточные права доступа к хранилищу ключей, загрузка в оперативную память без защиты и другие», — добавил Константин Корсаков.