tics en la vida cotidiana prepa en linea modulo 1.pptx
Autenticación y firma electrónica en entornos de puestos virtuales (VDI) con DNI electrónico y smart cards
1. “Autenticación fuerte y firma de
documentos en un entorno VDI”
Miguel López
General Manager
Mina Software
2. La virtualización de servidores
En los últimos años hemos asistido a la tendencia de
la virtualización de los servidores
3. La virtualización de puestos de trabajo
• Traslada los beneficios de la
tecnología de virtualización a la
gestión de los puestos de trabajo
• Una consecuencia es la
posibilidad de acceso ubicuo del
usuario a su puesto de trabajo
• Consideramos necesario
garantizar la seguridad de acceso,
mediante técnicas de
autenticación fuerte como el uso
de smart cards con certificado
digital
7. Su nuevo centro de trabajo
Luis empieza el próximo lunes a trabajar
en un hospital de nueva construcción
8. Antes de la incorporación
Luis recibe una llamada del
departamento de Recursos
Humanos del hospital
Necesitan que firme unos
documentos antes de su
incorporación
9. Firma-e de documentos y formularios
Luis se conecta a Internet con su portátil:
• Rellena un formulario electrónico con sus datos
• Revisa la política de seguridad de la empresa
• Firma su contrato laboral
Con su DNI electrónico, con validez legal y sin desplazamientos
10. Título
Provisiona de forma automatizada todos los sistemas y aplicaciones
para Luis en función de su rol en la organización y a partir de los datos
enviados por el departamento de RR.HH.
11. Acceso al puesto virtual
Su primer día:
Puede acceder desde cualquier terminal del hospital
a su puesto personalizado con todas las aplicaciones que necesita
usando su DNI electrónico o la tarjeta corporativa
12. Infraestructura VDI
El hospital cuenta con data center
con tecnología VDI (Virtual Desktop Infrastructure)
Servidores para la virtualización de equipos de sobremesa para
diferentes perfiles de usuarios
Pool de maquinas
virtuales
13. Movilidad
También en movilidad puede acceder a las aplicaciones
durante las visitas a planta o en las reuniones del equipo
Acceso seguro ubicuo a la información que necesita
14. Movilidad y trazabilidad
Además de acceder a la información de los pacientes, Luis puede firmar
la administración de medicamentos, tratamientos, intervenciones o
altas desde terminales a pie de cama, PC´s o incluso dispositivos
móviles, si se desea. Todo ello con trazabilidad y validez legal
15. Teletrabajo
En casa, también puede acceder a su puesto de trabajo
desde su ordenador personal
Por ejemplo para consultar datos de pacientes ante una urgencia y/o
firmar la administración de un determinado tratamiento
(y cumpliendo la legislación de protección de datos)
16. Intranet corporativa
Además, a través de la intranet del hospital
Luis puede realizar los trámites internos más comunes
consultar su nómina, enviar notas de gastos o firmar documentos
con plena validez legal. Eventualmente este acceso podría realizarse
también desde dispositivos móviles y tabletas.
17. Servicio al paciente
Asimismo, pacientes y familiares pueden cumplimentar y firmar con
validez legal en la web del hospital formularios de admisión,
antecedentes médicos, autorización,… etc. En muchos casos, la firma de
esta documentación puede hacerse desde el propio domicilio
previamente al ingreso.
18. Arquitectura funcional
CPD
VDI
Accesos externos desde
dispositivos móviles Clientes
Accesos externos
de empleados
desde su PC Accesos externos de
clientes desde su PC
SealSign for
Sharepoint &
Server + Revoke
(VA)
Escritorios Thin
Terminales a pie de cama
Client
Servidores VDI
Servicios Web
Intra/extra-net,
BBDD,..
19. Arquitectura VDI
Infraestructura VDI cliente Infraestructura VDI servidor
VMWare view 4.5 VMWare enterprise
View Manager Thin Provisioning
View Composer VMSafe
ThinApp High Avaliability & Fault tolerance
vCenter Server Standard Data Recovery
Hot add
vShield zones
vMotion & Storage vMotion
DRS (Data Resource Scheduler)
20. Arquitectura VDI
Solución de virtualización desplegada*
3 nodos ESX (redundancia n+1, ProLiant DL 380 G7 (2x hexa-core, 64GB RAM, 8 NICs)
2 broker con balanceo de carga NLB
1 vCenter Server
105 (100+5) x HP t5630w Thin Client + Smartcard Keyboard
* Información cortesía de Alsys (www.alsys.es)
21. Arquitectura Motor de Firma
Solución de Firma Electrónica sobre Servidor Sharepoint 2010
2 Servidores SealSign for Sharepoint 2010 con balanceo de carga NLB
2 Servidores Revoke Server (Servicio de Autoridad de Validación para certificados externos)
Todos los servidores virtualizados sobre VMWare ESX
Conexión opcional a servidor HSM externo o en formato PCI
Formatos de firma: XMLDSig, XAdES, Factura-e, PDF Signature, PAdES, PKCS#7/CMS y CAdES
22. Arquitectura autenticación
Solución de Autenticación con Smart Card y DNIe sobre VDI
2 Servidores SealSign (motor de firma electrónica y transacciones PKI)
2 Servidores Revoke Server (Servicio de Autoridad de Validación para certificados externos)
Todos los servidores virtualizados sobre VMWare ESX
Conexión opcional a servidor HSM externo o en formato PCI
Formatos de firma: XMLDSig, XAdES, Factura-e, PDF Signature, PAdES, PKCS#7/CMS y CAdES
SmartID Corporate Logon: Solución de autenticación específico para autenticación con smartcard
23. Arquitectura Autenticación y firma
Solución de Validación de certificados multi-PKI: Revoke Server
Revoke Server realiza la centralización y el control de la verificación del estado de revocación de los
certificados digitales emitidos por terceros, para todos los procesos de autenticación y firma digital
Reduce el tráfico de validación e incrementa la velocidad de las transacciones
Se adapta a las políticas de publicación de CRL´s y protocolos utilizados por las diferentes CA´s
Realiza labores de registro y auditoría
Módulo adicional opcional para el control centralizado de los certificados SW: IDOne Key control
IDOne Key control
24. Administración y Operación
Para la administración y operación de puestos
– Favorece la migración a nuevas versiones de S.O. (p.e. Windows 7)
– Administración de actualizaciones y aplicaciones más sencilla
– Asegura la realización copias de seguridad
– Simplifica la provisión de nuevos puestos
25. Usuario
Para el usuario:
– Acceso ubicuo a su puesto de trabajo
– Buena experiencia de usuario
– Sin necesidad de mantenimiento ni de realizar copias de seguridad
– Puesto siempre a punto y con la última tecnología
26. Paciente
Para el paciente y/o familiares:
– Acceso rápido y seguro a toda la información pertinente
– Realización de trámites previos al ingreso
– Comodidad a la hora de presentar/recibir información
– Validez legal de todas las comunicaciones
27. Seguridad
Para la seguridad de la información:
– Previene la fuga de información corporativa (dispositivos USB)
– Mejora seguridad contra malware con actualización centralizada
– Restringe el uso de los puestos al uso corporativo
– Impide la instalación de otras aplicaciones no corporativas
– Permite un acceso seguro (autenticación fuerte) con smart card
28. Seguridad
Para la seguridad de la información:
– Permite la firma de documentos garantizando la autenticidad, integridad y
el no repudio
– Evita la compartición de credenciales de acceso entre usuarios
– Constituye el primer paso de un proyecto de Single Sign On seguro
– En entornos con uso de certificados SW se puede establecer medidas de
control y auditoría en su uso (IDOne Key control)
29. Elementos básicos del DNIe
El eDNI contiene 2 Certificados X509v3 de ciudadano (autenticación y firma) y sus
claves privadas asociadas así como un certificado de componente.
A) Certificado de autenticación
Permite que el ciudadano certifique su identidad frente a terceros, demostrando
la posesión y el acceso a la clave privada asociada a dicho certificado y que
acredita su identidad.
B) Certificado de firma electrónica reconocida
Permitirá asumir compromisos de firma electrónica, pudiéndose comprobar la
integridad de los documentos firmados por el ciudadano
C) Certificado de componente
Su propósito es la autenticación de la tarjeta del DNI electrónico mediante el
protocolo de autenticación mutua definido en CWA 14890. Permite el
establecimiento de un canal cifrado y autenticado entre la tarjeta y los Drivers
30. DNIe
Con el DNIe podemos:
A) Autenticarnos frente a terceros con el aval de la Dirección General de la Policía
En el ámbito empresarial, se abren nuevos escenarios para el uso del DNIe como
herramienta de autenticación segura, ubicua y disponible para (casi) todos
A) Realizar firma avanzada y reconocida de documentos con validez ante terceros
Para la empresa, esto implica la posibilidad de integrar procesos de firma
electrónica en sus procedimientos internos de, por ejemplo, gestión documental
de manera eficaz y rápida.
31. Otros usos
Registro de visitantes y mejora de la atención
– Acceso a edificios, Ferias y eventos (auto check-in)
Cumplimiento de la legislación
– Verificar la mayoría de edad (juego online, maquinas expendedoras, etc.)
– Cumplimiento de Ordenes de Alejamiento
– Entrega Segura de Datos Personales
– Control de los datos personales en poder de terceros
Mejora de la calidad de servicio / Fidelización / Acceso físico
– Tarjetas de puntos virtuales
– Acceso a centros deportivos o espectáculos con reservas (emisión entradas)
– Disposición de efectivo
Registro Electrónico de documentación
…………….
34. Componentes: Acceso con Smart Card
• Los productos de virtualización del puesto permiten la
autenticación de usuarios con certificado digital solo si cumple
unos requisitos específicos pero los certificados del DNI
electrónico no cumplen estos requisitos
• SmartID® Corporate Logon permite autenticar usuarios contra
el Directorio Activo usando cualquier certificado digital válido
en entornos como puestos, servidores, web, VDI, VPN, etc.
36. Libro DNI-e Tecnología y Usos
Libro divulgativo para conocer las tecnologías que forman el DNI
electrónico y otros muchos posibles usos
Disponible para su adquisición online y librerías especializadas