Что будет с инфраструктурой открытых ключей в ситуации, когда иностранные вендоры стремительно сворачивают свое присутствие на российском рынке, а их софту с поддержкой PKI повсеместно отказывают в доверии? Ответ на этот вопрос созрел еще весной – именно тогда на онлайн-мероприятии АРПП «Отечественный софт» компания «Аладдин Р.Д» представила Aladdin Enterprise CA для построения безопасной инфраструктуры на базе открытых ключей. За полгода нам удалось собрать и проанализировать практику применения этого решения в рамках нескольких пилотных проектов. О деталях и собственно кейсах на состоявшемся недавно форуме GIS DAYS 2022 рассказал руководитель направления по работе с технологическими партнёрами Сергей Шалимов.
Коротко о проблематике
Центры сертификации для инфраструктуры открытых ключей – тот сегмент софтверного рынка, где до недавнего времени внедрений импортонезависимых решений, можно сказать, не происходило. Даже сейчас, после сворачивания российского бизнеса, монополистом здесь продолжает оставаться корпорация Microsoft. Есть данные, что в 90% случаев для доступа в государственные информационные системы, к объектам критической информационной инфраструктуры, к АСУ ТП по-прежнему применяется их фирменная служба Active Directory Certificate Services. Она превосходно работает внутри экосистемы Microsoft, но при этом является иностранным ПО, а значит, не может считаться доверенным сервисом. Как найти ему замену?
Начать поиски было решено в open source, рассказывает Сергей Шалимов. Ожидаемо: среди софта с открытым исходным кодом «волшебной таблетки» не оказалось. Решения open source под эту задачу оказались «собраны» на откровенно старых технологиях, а в коде даже при первичном знакомстве обнаружилось большое количество багов. На развертывание, исправление ошибок и кастомизацию потребуются специалисты со специфическими скиллами, и таких разработчиков на рынке в принципе немного. Так что в мире open source решения не нашлось.
Дальнейшие поиски привели к проприетарным решениям на основе Linux. Но исследователи обратили внимание на высокую цену таких решений и на регион происхождения: иностранный софт, даже написанный для Linux, в ряде сценариев применения довольно скоро окажется в России вне закона. Поэтому…
Нужен свой удостоверяющий центр
Собственно, им и стал Aladdin Enterprise CA. Технологический облик решения определяла команда разработки «Аладдин Р.Д.», а пилотные внедрения поддержали один из крупнейших ИБ-интеграторов «Газинформсервис» и еще несколько заказчиков.
Эксплуатанты особое внимание уделили тестированию базовой функциональности по управлению жизненным циклом сертификатов. Иерархия удостоверяющих центров, выдача пользовательских и машинных сертификатов для обеспечения полноценной доверенной среды в инфраструктуре, поддержка платформ Windows и Linux, а также спонтанное нагрузочное тестирование (более 150 выданных сертификатов в минуту) показали общую готовность Aladdin Enterprise CA заместить собой службы Active Directory Certificate Services.
Пилотные проекты также поспособствовали более тщательной корректировке «дорожной карты» развития продукта. В дальнейших версиях ожидается:
- автоматизация выдачи пользовательских и машинных сертификатов на базе протокола SCEP;
- шаблоны формирования сертификатов (для контроллера домена один сертификат, для пользователя – другой, для входа в ОС – третий, для ЭП – четвертый, для защиты почты – пятый, и т.д.);
- отечественная криптография.
Для компаний, использующих строгую идентификацию в рамках инфраструктуры открытых ключей, наличие удостоверяющего центра отечественной разработки – критический фактор: сложно представить, к чему приведет блокирование или отзыв выпущенных сертификатов, например, на объектах критической информационной инфраструктуры. Так что создание Aladdin Enterprise CA – это общий вклад «Аладдина» и компаний-участников пилотирования в обеспечение непрерывности функционирования национальной инфраструктуры и важный шаг к технологической независимости.