Обеспечение безопасного взаимодействия при использовании Kaspersky Industrial CyberSecurity for Networks API

Сторонние приложения получают доступ к функциям программы с использованием Kaspersky Industrial CyberSecurity for Networks API, устанавливая зашифрованные соединения по протоколу HTTPS. Для обеспечения безопасности соединений используются сертификаты, выданные Сервером Kaspersky Industrial CyberSecurity for Networks. Сервер выдает сертификаты для коннекторов, через которые подключаются сторонние приложения.

Для каждого стороннего приложения в программе должен быть создан отдельный коннектор. Подключение через коннектор возможно с использованием только того сертификата, который был выдан Сервером и сохранен в файле свертки для этого коннектора. Подключение невозможно установить, если стороннее приложение предъявляет сертификат от другого коннектора, другого Сервера Kaspersky Industrial CyberSecurity for Networks, или сертификат, используемый для других подключений (например, сертификат сенсора).

После установки зашифрованного соединения стороннее приложение должно запросить токен аутентификации для коннектора, который будет указываться сторонним приложением в запросах к серверу REST API. Для выдачи токена аутентификации Сервер проверяет текущее состояние учетной записи пользователя программы, которая была указана при создании коннектора. Сервер не выдает токен аутентификации, если учетная запись пользователя программы удалена или заблокирована.

Токен аутентификации действителен в течение 10 часов после выдачи Сервером. При необходимости дальнейшего использования токена стороннее приложение должно запросить продление времени его действия до наступления момента прекращения действия.

Сведения о предусмотренных запросах и методах в Kaspersky Industrial CyberSecurity for Networks API см. в документации для Kaspersky Industrial CyberSecurity for Networks API.

В течение времени действия токена аутентификации при поступлении запросов от стороннего приложения Сервер проверяет наличие и текущие права доступа учетной записи пользователя программы, которая была указана при создании коннектора. Метод, указанный в запросе от стороннего приложения, не выполняется, если учетная запись не найдена (удалена из программы) или недостаточно прав для выполнения операции (роль учетной записи не соответствует выполняемой операции).

При обработке запросов от сторонних приложений программа сохраняет в журнале аудита сведения о попытках выполнения следующих операций:

• получение токена аутентификации;
• продление времени действия для токена аутентификации;
• добавление устройства в таблицу устройств;
• изменение сведений об устройстве;
• удаление устройства;
• запрос журнала аудита (при первом чтении записей аудита через коннектор после загрузки веб-сервера).