Журнал "Information Security/ Информационная безопасность" #1, 2025

виртуальной среде или отсутствием кон- тейнеризации, позволяющей гибко мас- штабировать систему. И конечно, рос- сийское решение должно соответствовать всем актуальным требованиям регулято- ров в области информационной безопас- ности, включая поддержку отечественных операционных систем и баз данных, обес- печивая таким образом полный техноло- гически независимый стек. Причем, за время активного импорто- замещения задача успела усложниться: CA теперь должен работать в гибридном ИТ-ландшафте, включающем в себя устройства и системы не только на базе Windows, но и на macOS, Linux, а также с учетом использования мобильных плат- форм iOS и Android. И каждый из этих компонентов требует надежной работы с сертификатами, обеспечивающими без- опасность и высокий уровень доверия. Особенности инфраструктуры PKI-структура Т-Банка состоит из двух взаимосвязанных контуров. Внутренний контур включает сервер- ную, сетевую и пользовательскую инфра- структуры. Под последней подразуме- ваются не только рабочие станции сотрудников, но и мобильные устройства, используемые в работе. Внешний контур представляет собой центр сертификации, который отвечает за выпуск сертификатов для контраген- тов, партнеров и даже клиентов банка. На его основе функционирует вся эквай- ринговая сеть Т-Банка, обеспечивая ее безопасность и надежность. Задача стояла предельно ясно – заме- нить Microsoft CA в обоих контурах инфраструктуры. После изучения рынка в поисках готового решения быстро выяснилось, что подходящего именно для Т-Банка варианта нет. Обозначилась дилемма: либо разрабатывать собст- венное решение, либо искать вендора, который сможет адаптировать свой про- дукт под требования банка. Второй вариант и стал рабочим: выбор остановился на решении компании SafeTech. Мы организовали встречу с вендором, детально обсудили стратегию и с этого момента полностью погрузились в работу, двигаясь к реализации проекта. Но спустя всего полтора месяца после первой встречи перед нами встала новая неожиданная задача: произошло объ- единение Т-Банка с Росбанком, и, соот- ветственно, возникла необходимость, в том числе, быстро и бесшовно переве- сти инфраструктуру Росбанка на работу с новым центром сертификации. Инфра- структура Росбанка оказалась не менее масштабной, чем наша, что потребовало кардинального пересмотра многих про- цессов. Нам предстояло адаптировать систему так, чтобы к полуночи 1 января 2025 г. слияние прошло абсолютно неза- метно для сотрудников и клиентов – без перебоев, задержек и ощутимых изме- нений в работе. Это стало настоящим испытанием на гибкость и эффектив- ность как для нашей инфраструктуры, так и для решения SafeTech CA. Пилотный проект и внедрение Замена зарубежных компонентов инфраструктуры на отечественные сред- ства защиты информации (СЗИ) – прио- ритетное направление для Т-Банка. Гиб- кость в интеграции и настройке выбран- ного решения позволила нам сохранить текущую инфраструктуру и повысить эффективность работы за счет внедре- ния более оптимизированных, совре- менных и подстроенных под наши тре- бования технологий. Пилотный проект в организации про- длился 4 месяца. В ходе тестирования было проверено множество различных сценариев использования СА во внут- ренней инфраструктуре Т-Банка, функ- циональность продуктового REST API в части интеграции во внутренние биз- нес-процессы и даже возможности команды разработки вендора на предмет доработок тех или иных дополнительных функций. Было выпущено несколько тысяч технологических сертификатов для многих типов устройств и различных операционных систем – как Windows, так и Linux. В целом, цели, которые ставил перед собой T-Банк, были вполне типовыми – в любом подобном проекте компании сталкиваются с похожими вызовами. Однако в данном случае важную роль сыграли особенности ИТ-ландшафта. Основной фокус был направлен на повы- шение управляемости процесса работы с сертификатами, усиление безопасно- сти и, конечно же, строгое соответствие требованиям регуляторов. В ходе пилотного проекта продукт подвергся всестороннему тестирова- нию – его проверяли под разными нагрузками, изучали с разных сторон, буквально испытывали на прочность. В процессе вендор значительно расши- рил функциональные возможности реше- ния, ориентируясь на наши требования. В итоге продукт стал еще более универ- сальным и теперь, однозначно, сможет заинтересовать не только финтех, но и другие отрасли. После прохождения пилотного этапа мы за два месяца успешно развернули в продакшен два масштабных контура цент- ра сертификации. То есть нам удалось полностью заменить как внешний, так и внутренний контуры PKI. Точно 1 января 2025 г. Microsoft CA был окончательно выведен из нашей инфраструктуры. И самое важное – для пользователей этот переход прошел абсолютно неза- метно, без сбоев и лишних сложностей. Переход с Microsoft СА на SafeTech CA был полностью бесшовным благода- ря реализованной в отечественном про- дукте возможности импорта самих сер- тификатов и шаблонов из Microsoft СА. С момента первого знакомства с про- дуктом и до его полноценного запуска в промышленную эксплуатацию прошло около шести месяцев. Планы на будущее В дальнейшем, в рамках развития про- дукта, мы планируем внедрить возмож- ность публикации сертификатов в LDAP. Это позволит нам значительно упростить процесс управления сертификатами и в тех случаях, где ранее это было невозможно, а также полностью отказаться от ручного администрирования, перейдя на автома- тизированные решения. Кроме того, мы намерены перевести хранение ключей центра сертификации на HSM. Учитывая масштаб нашей инфраструктуры контейнеризации, одним из ключевых приоритетов станет внедрение в продукте поддержки прото- кола ACME, что значительно повысит удобство и автоматизацию работы с сер- тификатами. По запросу наших ИТ-специалистов в планах на этот год – разработка допол- нительных отчетов и статистики, чтобы предоставить более детализированную аналитику и удобные инструменты мони- торинга. l • 37 CERTIFICATE AUTHORITY www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru