Журнал "Information Security/ Информационная безопасность" #1, 2025

Денис Полушин, Аладдин Невозможно. Корпоративный CA хоть для одного SSL-сертификата присут- ствует везде. В таких системах исполь- зуется простая аутентификация пользо- вателей – по логину-паролю, ненадеж- ность которой доказана многими иссле- дованиями. А аутентификация устройств не используется вообще. А вот самый высокий уровень доверия к результатам аутентификации обеспечи- вает строгая аутентификация (взаимная, с использованием криптографии), реали- зацию которой должен обеспечивать кор- поративный центр сертификации. Александр Санин, SafeTech Lab Если речь идет о небольших компа- ниях с инфраструктурой, условно, до ста пользователей, то, возможно, и полу- чится обойтись более простыми инстру- ментами. Однако за всю свою практику я не встречал ни одной серьезной инфра- структуры, в которой отсутствовали бы элементы PKI. Это не просто тренд, а объективная реальность современного уровня развития ИТ и ИБ. Без PKI ком- пания просто не может обеспечить эффективное и, что самое важное, без- опасное функционирование своих биз- нес-процессов. Павел Мельниченко, SafeTech Lab Если в компании используется пра- вильный набор современных технологий, то гибридная инфраструктура не являет- ся проблемой или вызовом при внедре- нии СА. В случае с SafeTech CA мы об этом тщательно позаботились. Самое главное – это в момент смены корпоративного CA таким образом спланировать пере- ход, чтобы получить м а к с и м а л ь н ы й эффект от внедре- ния. То есть не про- сто заменить одно решение на другое, а кардинально улуч- шить процессы PKI внутри организации. И дальше просто идти по разработан- ному плану. Денис Полушин, Аладдин Обычные сотрудники организации не должны столкнуться с проблемами вообще. Мы гарантируем заказчикам обеспечение процесса миграции PKI- инфраструктуры без прерывания про- изводственного процесса. Тем не менее у каждого заказчика своя исторически сформированная инфра- структура, включаюшая организацию учет- ных данных, политик, полномочий, и свой особый проект импортозамещения. В ответ на это мы регулярно обес- печиваем интеграцию с продуктами дру- гих производителей. А проектный подход и развитие компетенций у партнеров позволяет быстро реагировать на воз- никающие проблемы. Денис Полушин, Аладдин Надо понимать, что в целом в стране наблюдается недостаток кадров в обла- сти ИБ, способных отвечать современ- ным вызовам, в том числе в области построения PKI-инфраструктуры и в области криптографии. Партнеры компании Аладдин занимаются созда- нием курсов, которые включают, базо- вую теорию для построения PKI, навыки построения архитектуры, отвечающей требованиям безопасности, а также учитывают современные вызовы в области ИБ. Александр Санин, SafeTech Lab На самом деле в этом нет ничего принципиально нового и чрезмерно сложного. Сейчас успешно эксплуати- руются и администрируются и такие продукты, как MS CA, и различные решения Open Source. Переход на полнофункциональный отечественный CA наконец-то даст спе- циалистам удобный и надежный инстру- мент, который оптимизирует их работу и повысит ее эффективность. Поэтому не стоит искать здесь проблему – наобо- рот, внедрение качественного продукта решит множество текущих сложностей и сделает жизнь специалистов значи- тельно проще. Денис Полушин, Аладдин Помимо реализации базовых функций PKI и возможностей, связанных с повы- шенными мерами защиты, нам необхо- димо обеспечить интеграцию с разными доменами: l для извлечения данных и контроля их использования для выпуска сертификатов; l для публикации всех сведений для организации PKI; l для автоматического распространения сертификатов. Для Microsoft-среды мы эту задачу выполнили на 100%, а для Linux это важнейшая задача на ближайший год, которая потребует согласованных усилий с партнерами-разработчиками доменов. И мы не забываем про задачи заказ- чиков, реализацию мер защиты и сер- тификацию. Павел Мельниченко, SafeTech Lab Из вызовов, которые уже преодоле- ны – это гетерогенность современных инфраструктур. CA должен работать со всеми системами во всех средах, и мы научили это делать. Сейчас функциональность SafeTech CA покрывает 98% задач, которые появляются в корпоративной инфра- структуре. Но остались еще 2% наиболее интересных сценариев, которые по ана- логии с законом Парето, будет сделать сложнее всего. Например, стабильная работа при нагрузке на CA до 12 тыс. запросов в секунду (это реальный при- мер от клиента), гибкая настройка про- цессов согласования выпуска, доставка сертификатов до конечных точек, управ- ление ключевыми носителями и пр. То есть в ближайшее время CA будет активно расти из чисто утилитарного инстру- мента в решение, которое может эффек- тивно обслуживать бизнес-задачи. l Возможно ли построение доверенной инфраструк- туры вообще без корпо- ративного Certificate authority? Каковы плюсы и минусы такого подхода? Каковы основные вызо- вы и проблемы, с кото- рыми столкнутся пользо- ватели при развертыва- нии корпоративных Ca в гибридной инфраструк- туре с преобладанием российских ОС? Эффективное управление корпоративным Ca требу- ет значительных ресур- сов и экспертизы, в том числе в области крипто- графии. Как российским заказчикам решать эту проблему с учетом недо- статка квалифицирован- ных специалистов? Какие технологические вызовы и задачи стоят перед российскими раз- работчиками решений класса Certificate authority? Какая функ- циональность появится в ближайший год? • 39 CertifiCate authority www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru