Наш ответ Microsoft. SafeTech запустил отечественный СА, призванный заменить иностранное решение

BIS Journal №3(54)2024

19 августа, 2024

Наш ответ Microsoft. SafeTech запустил отечественный СА, призванный заменить иностранное решение

В данной статье мы расскажем о комплексном решении SafeTech СА, разработанном компанией SafeTech для выпуска сертификатов стандарта RSA (в том числе технологических), которое обладает не только всеми свойствами Microsoft СА, но и широким дополнительным функционалом.

 

НА 100% РОССИЙСКИЙ ПРОДУКТ

Microsoft Certificate Authority (Microsoft СА, центр сертификации Microsoft) для компаний всего мира де-факто является «сервисом по умолчанию», так как он бесплатен и встроен в Windows Server. Российские организации не стали исключением, и долгие годы Microsoft СА для отечественного бизнеса был одним из ключевых компонентов в работе с инфраструктурой открытых ключей. С его помощью выпускали, приостанавливали и отзывали сертификаты, используемые внутри компании для различных технологических нужд. Все привыкли, что Microsoft СА «просто есть» и что он решает свои задачи. При этом к удобству и интерфейсам сервиса вопросов всегда было много, но, когда продукт бесплатен и поставляется в комплекте с серверной ОС, их обычно не задают. 

Однако после ухода Microsoft из России и появления рисков ограничения доступности его сервисов у организаций, заботящихся о непрерывности функционирования ИТ-инфраструктуры, появилась необходимость в импортонезависимом решении. Как минимум для того, чтобы иметь что-то в резерве на случай негативного сценария в виде внезапной недоступности Microsoft СА. Для компаний, относящихся к субъектам критической инфраструктуры (КИИ), отечественный СА не только должная осмотрительность, но и требование законодательства с чётко установленными сроками. А именно: с 2025 года субъекты КИИ должны перейти с иностранного софта на отечественный. Такое требование содержится в Указе Президента России. 

На сегодняшний день на российском рынке есть несколько отечественных СА. Одно из решений — наше, то есть разработанное компанией SafeTech,резидентом ИТ-кластера фонда «Сколково». SafeTech CA — не адаптация опенсорсного решения, а полностью собственная разработка. Это на 100% российский продукт, выпущенный компанией, которая более 13 лет создаёт решения в области информационной безопасности. 

 

НЕ КОНКУРЕНТ

Отметим, мы не позиционируем SafeTech CA как конкурента, например, удостоверяющим центрам от «КриптоПро» или «ИнфоТеКСа». Наша цель — именно замена сервиса выпуска технологических сертификатов, используемых повсеместно. А это совершенно иной рынок и иная целевая аудитория. Нашим решением даже может больше заинтересоваться эксплуатирующее подразделение ИТ, чем департамент информационной безопасности. Безусловно, оба понимают, о чём речь, но тут есть явная и чёткая грань: наше решение обслуживает технологические сертификаты, а в крупных компаниях для тех или иных нужд таких сертификатов могут быть десятки или даже сотни тысяч, и все они выпускаются по простым и понятным шаблонам и протоколам, и это весьма далеко от ГОСТ криптографии и процессов, принятых там. 

 

ДРУГИМ ПУТЁМ

Порой ИТ-компании, выпускающие своё решение вместо продукта ушедшего вендора, стремятся достичь максимальной идентичности как по интерфейсу, так и по функционалу. Мы пошли другим путём. Microsoft СА, хотя и является привычным и бесплатным, но весьма скуден по набору функций. На наш взгляд, в 2024 году просто странно иметь административный интерфейс, который не менялся уже четверть века. При создании нового продукта копировать морально и технически устаревшие особенности привычного Microsoft СА не было смысла, и потому мы в своём решении сделали упор на гораздо большую функциональность, современные интерфейсы, гибкость, масштабируемость и кроссплатформенность! 

Именно поэтому мы в рамках разработки взяли кроссплатформенный стек — Java. С одной стороны, это позволило решению разворачиваться и работать как в Microsoft, так и в Linux-инфраструктурах, а с другой стороны — обеспечить очень высокую производительность. Первые проведённые тесты и замеры демонстрировали скорость выпуска сертификатов на уровне 6–8 тысяч в минуту в базовой конфигурации серверов. Этого показателя хватит с большим запасом подавляющему числу клиентов. Решение поддерживает развёртывание в любом формате: 

  • классическая виртуализация (VmWare, KVM, HyperV и т. д.);
  • контейнерная виртуализация (Docker, OpenShift/K8S);
  • установка на физические сервера.

SafeTech CA способно закрыть все базовые задачи, которые решал Microsoft СА. В текущей версии 1.0 мы реализовали протокол Microsoft WS-Trust X.509v3 Token Enrollment Extensions (MS-WSTEP). Кроме того, решение поддерживает интеграцию с MS Active Directory. В совокупности это делает возможной замену Microsoft CA и обеспечение auto enrollment-сервиса на полностью отечественном ПО. 

Кроме того, миграция на SafeTech CA с Microsoft CA — бесшовная: SafeTech CA можно развернуть в существующей инфраструктуре параллельно с Microsoft CA и начать выпускать на нём новые сертификаты какого-то определённого типа. Затем постепенно расширять типы выпускаемых сертификатов. И через какое-то время вывести сервис Microsoft CA из эксплуатации. 

 

АРХИТЕКТУРА

Архитектура SafeTech CA строится на микросервисной модели, что, с одной стороны, обеспечивает лёгкую масштабируемость и отказоустойчивость, а с другой — позволяет довольно гибко управлять роадмэпом (дорожной картой развития) продукта. С момента релиза SafeTech CA прошло меньше 2 месяцев, и всё это время мы находились в непрерывном общении как с потенциальными заказчиками, так и с рядом интеграторов. Собрав первые отзывы, мы существенно изменили сроки выпуска функциональных модулей, передвинув в начало наиболее востребованные и убрав в конец экзотические. В настоящее время в продукте, помимо ядра, включающего в себя основные сервисы (CA core, Gateway, Discovery service, CRL/AIA services, OCSP), а также стандартного интеграционного REST API, мы реализовали модуль MS Enrollment, который обеспечивает поддержку управления сертификатами для пользователей MS Active Directory и компьютеров MS Windows. 

Следующий на очереди модуль — SCEP. Он обеспечивает поддержку управления сертификатами для сетевых устройств и ПО (Cisco, MS Intune и т. д.). Пожелание по скорейшей реализации данного протокола мы услышали от 100% компаний, с которыми общались. Мы считаем хорошей практикой, когда потенциальные заказчики и эксперты в предметной области могут влиять на роадмэп продукта, что в нашем случае и произошло. Это позволит решению развиваться быстро, эффективно и в правильном направлении. 

В дальнейшем планируем реализовать модули ACME (обеспечивают поддержку открытого интернет-стандарта ACME (Kubernetes, Openshift, Let’s Encrypt) и CMP (обеспечивает поддержку протокола CMP — базового стандарта для API OpenSSL, Bouncy Castle, Nexus и т. д.). И последним — модуль EST (обеспечивает поддержку управления сертификатов для MDM-систем и мобильных устройств).

 

НАВСТРЕЧУ ПАРТНЁРУ

Кроме того, мы уже работаем над специализированной версией SafeTech CA, использующей сертифицированное криптографическое ядро от нашего партнёра — компании «КриптоПро». Это позволит, с одной стороны, заместить импортные HSM на хорошо зарекомендовавший себя «КриптоПро HSM», не меняя при этом используемые криптографические алгоритмы. С другой стороны, с запуском этой версии ГОСТ криптоалгоритмы в решении будут поддержаны автоматически. На сегодняшний день мы сосредоточились на RSA. Но важно отметить, что для SafeTech CA не имеет значения, какой криптографией пользоваться. Это всего лишь вопрос подключения/отключения криптоядра, на остальную функциональность продукта выбор криптографии не влияет. Но первая версия SafeTech CA была запущена именно на RSA-криптографии по той лишь причине, что инфраструктура в широком смысле «не умеет в ГОСТ», как бы нам ни хотелось все выпускаемые сертификаты делать по ГОСТу... 

Все нововведения в функциональности автоматически будут доступны и в специальной версии SafeTech CA с сервисами от «КриптоПро». Это опять же о преимуществах микросервисной модели, которая позволяет нам не вести две независимые ветки разработки, а делать это в одном едином ключе. 

 

МЫ ВЫБРАЛИ ИМПОРТОНЕЗАВИСИМОСТЬ

Вместо заключения хотел бы ещё раз подчеркнуть: мы не пошли по пути традиционного импортозамещения и не стали делать свой продукт как кальку с Microsoft СА. Мы выбрали импортонезависимость, сделав наше решение более удобным и функциональным.

И потому SafeTech CA обладает всеми атрибутами современного, хорошего продукта:

  • адекватным, современным и удобным UI (интерфейсом) администрирования;
  • максимально широким по функциональности интеграционным REST API;
  • возможностями интеграции с системами сбора и корреляции событий информационной безопасности (SIEM);
  • управлением доступом в рамках современного OAuth OIDC с возможностью использования внешних систем безопасного доступа и каталогов субъектов.

Кроме того, ключевым преимуществом SafeTech CA является поддержка всех распространённых протоколов: MS Enrollment, SCEP, ACME, CMP, EST, HSM, OCSP — для решения любых задач в рамках современного центра сертификации.

 

Реклама. ООО «СЭЙФТЕК ЛАБ», ИНН: 7734429050, Erid:2VfnxwCjuZr

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

06.09.2024
«С учётом латентной преступности»
06.09.2024
ФСТЭК напомнил об организациях, которые могут «обезопасить» кадры
06.09.2024
Стартовали Международные игры по кибербезопасности!
06.09.2024
В России появится ИТ-система защиты прав граждан за полмиллиарда рублей
06.09.2024
Минцифры собирает заявки на ИТ-гранты
05.09.2024
АБР не в восторге от инициативы регулирования рынка рассрочки
05.09.2024
Объявлена программа 11-го Форума ВБА-2024 «Вся банковская автоматизация»
05.09.2024
DumpForums в зените? Хакеры заявили об утечке банковской базы данных
05.09.2024
Минпромторг и Минобрнауки начнут регулярно обмениваться данными
05.09.2024
Найти средство против пандемии кибермошенничества

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных