Журнал "Information Security/ Информационная безопасность" #1, 2025

Строгая аутентификация Современные технологии аутентифи- кации можно условно разделить на три уровня. Первый, самый простой и рас- пространенный, – классическая пара "логин-пароль". Этот метод давно при- знан ненадежным и уязвимым для атак. Второй уровень – усиленная аутентифи- кация. Данный способ предполагает использование одноразовых паролей (OTP) и подтверждение входа через дополнительные устройства, что значи- тельно снижает риски несанкциониро- ванного доступа. И, наконец, наивысший уровень – строгая аутентификация, осно- ванная на криптографических механиз- мах и взаимном подтверждении под- линности. Единственным надежным спо- собом ее реализации является инфра- структура открытых ключей (PKI), обес- печивающая максимальную защиту информации и исключающая возмож- ность компрометации данных. Аутентификация в современной информационной системе охватывает не только проверку личности пользова- теля, но и подтверждение подлинности устройств, с которыми он взаимодей- ствует: аутентификацию рабочих стан- ций, серверов и других элементов инфраструктуры. Это позволяет форми- ровать единую доверенную среду, где каждый компонент проходит строгую проверку перед получением доступа. До недавнего времени в нормативной базе не существовало четкого деления методов аутентификации, однако вектор развития информационной безопасности очевиден: для систем с повышенными требованиями к защите строгая аутен- тификация становится не просто реко- мендацией, а необходимостью. Термин "строгая аутентификация" давно закреп- лен в российских ГОСТ и теперь нашел отражение в проекте приказа ФСТЭК России, опубликованном для обществен- ного обсуждения и ожидающем вступ- ления в силу в 2025 г. Microsoft CA – де-факто стандарт для корпоративной PKI Несмотря на то, что обязательность использования Центра сертификации закрепляется в нормативных актах толь- ко сейчас, многие компании осознают преимущества сертификатной аутенти- фикации – как для пользователей, так и для технических устройств. Это серьезно повышает систему безопасности пред- приятия и уровень доверия между эле- ментами информационной системы. В основе построения такой системы долгие годы лежала корпоративная инфраструктура открытых ключей, где основную роль играл Microsoft Certificate Services (он же Microsoft CA). За более чем два десятилетия этот встроенный в Windows Server сервис фактически стал отраслевым стандартом, не имея достой- ных альтернатив. Глубокая интеграция с Active Directory и широкие возможности автоматизации сделали Microsoft CA удоб- ным, а в некоторых случаях и незамени- мым инструментом в корпоративной сети. Настолько, что умение работы с Microsoft CA давно стало базовым требованием для системных администраторов. Однако после приостановки деятель- ности Microsoft в России использование ее сервисов оказалось под вопросом. К тому же регуляторы все активнее ори- ентируют рынок на отказ от зарубежных решений, особенно в таких критически важных аспектах, как строгая аутенти- фикация. Бесценный опыт и экспертиза команды Aladdin eCA Разработка Aladdin eCA началась с масштабного проекта по импортозаме- щению системы аутентификации в одной из крупнейших госкорпораций. Успешная реализация этого проекта не только укрепила доверие заказчика, но и стала отправной точкой для разработки нашего собственного продукта. В 2022 г. мы запустили два парал- лельных процесса. Первый процесс – это активное пилоти- рование и тесное взаимодействие с заказ- чиками. На тот момент еще немногие осознавали острую необходимость в миг- рации PKI-инфраструктуры на отечествен- ные решения, да и в целом компании, не понимали значимость построения системы строгой аутентификации. Приходилось вести диалог как со скептиками, так и с первыми энтузиастами – теми, кто спосо- бен предъявлять вполне конкретные и масштабные требования к Центру серти- фикации и PKI-инфраструтуре. Именно эти запросы и легли в основу дорожной карты Aladdin eCA. Пилотные внедрения в средах заказчиков позволили вскрыть большой объем нюансов при интеграции и совместной работе с решениями других вендоров. Хочется отметить, что даже сейчас, когда параллельно реализуются десятки пилотов и уже завершено немало внедрений, интеграция в конкретной 32 • СПЕЦПРОЕКТ Aladdin eCA – доверенная альтернатива Microsoft CA ногие годы корпоративные сети при построении полноценной инфраструктуры открытых ключей (PKI), полагались на Microsoft CA или вовсе обходились без нее. Однако изменения технологического ландшафта и усиливающиеся требования регуляторов заставляют компании искать отечественные альтернативы. Компания Аладдин готова предложить не только надежное средство защиты – Aladdin Enterprise CA, но и собственную экспертизу в реализации проектов по импортозамещению корпоративной PKI-инфраструктуры. М Денис Полушин, руководитель направления PKI компании Аладдин Павел Данилов, ведущий аналитик компании Аладдин Фото: Аладдин Фото: Аладдин