Инфраструктура открытых ключей (PKI, Public Key Infrastructure) – это технологии и методики, поддерживающие возможность криптографический операций с открытым ключом, что необходимо в целях аутентификации, обеспечения целостности данных и конфиденциальности пользователей в сети. Применение PKI основано на работе удостоверяющего центра (CA, Сertificate Аuthority), который формирует цифровые сертификаты.
Одной из важнейших задач корпоративной PKI является обеспечение строгой аутентификации пользователей по сертификатам. Привычный способ аутентификации по паролю, который используется во многих системах, является небезопасным вариантом для сотрудников, обладающих доступом к чувствительной конфиденциальной информации или для тех, кто подключается к информационной системе удаленно. Напротив, степень доверия к результатам аутентификации по сертификатам считается высокой, особенно если эти сертификаты существуют на ключевых носителях с функциональностью, которая не позволяет извлекать или копировать закрытые ключи на неизвлекаемом ключевом носителе.
Следующая задача PKI – выпуск и обслуживание SSL-сертификатов, которые используются для защиты межсерверного трафика и в целом для обеспечения доверия во внутрикорпоративной среде. Внутренние веб-порталы, CRM, ERP-системы, базы знаний, трекеры задач, системы ведения проектов – все эти ресурсы должны быть оснащены такими сертификатами.
К другим направлениям использования PKI относятся управление виртуальными машинами, контейнерами виртуальных машин, подключение устройств по протоколу EAP 802.1x, защита АСУ ТП, электронного документооборота, корпоративной электронной почты.
Также стоит отметить, что PKI является критически важным компонентом концепции «нулевого доверия» (Zero Trust).
Организация корпоративной инфраструктуры PKI до недавнего времени в России и мире обеспечивалась компаниями преимущественно за счет решения Microsoft CA – центра сертификации, входящего в состав операционной системы Windows Server.
«По нашим наблюдениям, существует два типа компаний, отличающиеся по организации корпоративной PKI. В первом случае владельцы информационных систем обладают мощной экспертизой и используют PKI-инфраструктуру по полной: аутентификацию по сертификатам, распространение сертификатов на устройства при помощи службы NDES, подключение HSM и другие функции. А есть, наоборот, такие, кто PKI не использует «вообще». Слово «вообще» я беру в кавычки, так как хотя бы SSl-сертификат для внутрикорпоративных порталов местный администратор выпускает и раз в несколько лет обновляет. У двух этих категорий компаний разные задачи, но на данный момент решение одно – искать способ построения PKI-инфраструктуры на базе отечественных решений», – утверждает менеджер по продукту Aladdin Enterprise CA компании «Аладдин Р.Д.» Денис Полушин.
Денис Полушин, менеджер по продукту Aladdin Enterprise CA компании «Аладдин Р.Д.»
Дело в том, что и пользователи PKI на базе Microsoft и те, кто «не использует PKI», сегодня находятся в зоне риска. Первая группа оказалась в ситуации, когда Microsoft ушел из России, закрыл доступ к техподдержке и продлению подписок. Кроме того есть риск полного или частичного отключения сервисов вендора. Для второй группы риски заключаются непосредственно в отсутствии механизмов, обеспечивающих инфраструктуру PKI. Для них характерен низкий уровень защиты внутренних систем: недоверенные результаты аутентификации пользователей и другие угрозы.
При этом создание PKI на базе доступных продуктов Open Source тоже не является приемлемым вариантом, по крайней мере для крупных компаний. Недостатки подобных решений – в отсутствии технической поддержки и доступных компонентов уровня Enterprise, а также в катастрофическом недостатке экспертизы в таких вопросах, как организация PKI под Linux.
«Важно также не забывать, что замещение домена безопасности в рамках комплексного процесса импортозамещения – это одна из самых сложных в реализации задач. Многие компании стараются отодвинуть ее на второй план, в первую очередь занимаясь заменой клиентских операционных систем, прикладного ПО. Безусловно, каждая из этих задач важна, но важно правильно расставлять приоритеты и не забывать про замещение центра сертификации», – напоминает Денис Полушин.
Эксперт перечисляет характеристики надежного центра сертификации: например, он должен обеспечивать возможность параллельной работы в гетерогенной среде, где присутствует смешение старых и новых операционных систем, причем результаты аутентификации в унаследованной среде должны применяться в новой и наоборот. В PKI должна присутствовать возможность строгой аутентификации. Доверенное решение имеет все необходимые сертификаты от отечественных регуляторов, технологически совместимо с отечественными ОС и доменами, получает квалифицированную техподдержку и обновления от разработчика.
В полной мере этим критериям соответствует Aladdin Enterprise CA 2.0 – корпоративный центр сертификации от компании «Аладдин Р. Д.». Это решение обеспечивает построение доверенной безопасной ИТ-инфраструктуры на базе PKI в сложных гетерогенных инфраструктурах корпоративного уровня. Оно совместимо с отечественными операционными системами, инфраструктурными решениями, виртуальными средами, позволяет работать параллельно с Microsoft CA и обеспечить бесшовную миграцию. Продукт находится в реестре отечественного ПО и получает сертификацию ФСТЭК по 4 уровню доверия. Рассмотрим его подробнее.
Решение Aladdin Enterprise CA версии 1.2 было разработано в 2022 году и использовалось для пилотных инсталляций, сбора обратной связи с потенциальных заказчиков и накопления экспертизы по продукту. В версии 2.0 был максимально воплощен весь опыт, полученный разработчиком за это время: например, реализована возможность сертификации во ФСТЭК по уровню доверия 4. Архитектура продукта позволяет реализовывать самые сложные схемы развертывания, достигать высокие показатели нефункциональных характеристик, таких, как скоростные и емкостные.
Один из ключевых особенностей продукта стала также возможность бесшовной миграции на него с Microsoft CA – без перерыва в производственном процессе. Достигается это за счет возможности параллельной работы с действующим Microsoft CA, а также наличия такого функционала, как импорт шаблонов сертификатов из Active Directory. Также Aladdin Enterprise CA 2.0 имеет сертификаты совместимости со всеми отечественными и Open Source доменными инфраструктурами: РЕД АДМ, ALD Pro, Альт Домен, Samba DC, FreeIPA.
Продукт состоит из трех компонентов, являющихся классическими для удостоверяющего центра. Все они располагаются в клиент-серверном веб-приложении.
Первый – центр сертификации, ядро продукта и самый основной его компонент. Он хранит ключ центра сертификации, предоставляет функции для управления жизненным циклом сертификатов пользователей и устройств и другие обеспечивающие механизмы.
Второй – центр валидации, необходимый для того, чтобы предоставлять информацию о статусах сертификатов всем участникам информационной системы.
Третий – центр регистрации, предназначенный для взаимодействия получателя сертификата с сервисом. Так, пользователь может формировать заявки на сертификаты, а администратор может настраивать правила автоматической обработки этих заявок.
Aladdin Enterprise CA 2.0 рекомендуется к использованию крупными предприятиями со сложной ИТ-инфраструктурой и большой базой пользователей, представителям отраслей с высоким уровнем регулирования, объектам КИИ, организациям, осуществляющим электронную коммерцию и предоставляющим онлайн-услуги, транснациональным компаниям, поставщикам облачных услуг.
«Сфера применения нашего продукта, по опыту, – это нефтегазовый сектор, банки, система здравоохранения, госучреждения. И в целом – все компании, где крайне чувствителен уровень конфиденциальности данных, где требуется защита финансовых транзакций, где нужно обеспечить доверие с контрагентами, в том числе из другой страны», – добавляет Денис Полушин.
Основным рабочим инструментом Aladdin Enterprise CA 2.0 является консоль центра сертификации. Для пользователей доступны две роли: администратора и оператора. Поддерживаются алгоритмы RSA и ECDSA. ГОСТ-криптография – в планах на 2024 год. Полномочия для оператора можно задавать на весь домен, на организационную единицу или на конкретную группу безопасности в домене.
Нефункциональные характеристики – еще одно ключевое отличие версии 2.0 по сравнению с версией 1.2. «Мы повысили производительность. Более того, сейчас работаем над тем, чтобы сделать продукт еще быстрее в последующих апдейтах. Протестировали масштабируемость – поддерживается до сотен тысяч сертификатов. Что касается безопасности, мы идем на получение сертификата ФСТЭК по уровню доверия 4, для чего реализовали все необходимые меры защиты», – комментирует Денис Полушин.
Компания уже проработала действующий сценарий миграции в сотрудничестве с компанией РЕД СОФТ и создала соответствующие инструкции. Также исследуются сценарии миграции на другие отечественные операционные системы.
Схема лицензирования предполагает приобретение серверной и клиентских лицензий. Клиентской лицензией обеспечивается владелец сертификата – пользователь либо компьютер. В серверную лицензию входит один центр сертификации, два сервера валидации с включенной функцией OCSP и один коннектор к ресурсной системе домена. Сюда же включены такие дополнительные возможности, как центр сертификации в режиме FailOver и компонент «Центр регистрации», которые будут доступны в 2024 году.
«Мы понимаем, какие есть типовые проблемы и вопросы у заказчиков, как интегрироваться с отечественными доменами для обеспечения всех нужных сценариев корпоративной PKI. Мы готовы делиться своей экспертизой с заказчиками, прорабатывать с ними план миграции PKI с Windows на Linux», – резюмирует Денис Полушин.