Денис Полушин, 02/04/25
Многие годы корпоративные сети при построении полноценной инфраструктуры открытых ключей (PKI), полагались на Microsoft CA или вовсе обходились без нее. Однако изменения технологического ландшафта и усиливающиеся требования регуляторов заставляют компании искать отечественные альтернативы. Компания Аладдин готова предложить не только надежное средство защиты – Aladdin Enterprise CA, но и собственную экспертизу в реализации проектов по импортозамещению корпоративной PKI-инфраструктуры.
Авторы:
Денис Полушин, руководитель направления PKI компании Аладдин
Павел Данилов, ведущий аналитик компании Аладдин
Строгая аутентификация
Современные технологии аутентификации можно условно разделить на три уровня. Первый, самый простой и распространенный, – классическая пара "логин-пароль". Этот метод давно признан ненадежным и уязвимым для атак. Второй уровень – усиленная аутентификация. Данный способ предполагает использование одноразовых паролей (OTP) и подтверждение входа через дополнительные устройства, что значительно снижает риски несанкционированного доступа. И, наконец, наивысший уровень – строгая аутентификация, основанная на криптографических механизмах и взаимном подтверждении подлинности. Единственным надежным способом ее реализации является инфраструктура открытых ключей (PKI), обеспечивающая максимальную защиту информации и исключающая возможность компрометации данных.
Аутентификация в современной информационной системе охватывает не только проверку личности пользователя, но и подтверждение подлинности устройств, с которыми он взаимодействует: аутентификацию рабочих станций, серверов и других элементов инфраструктуры. Это позволяет формировать единую доверенную среду, где каждый компонент проходит строгую проверку перед получением доступа.
До недавнего времени в нормативной базе не существовало четкого деления методов аутентификации, однако вектор развития информационной безопасности очевиден: для систем с повышенными требованиями к защите строгая аутентификация становится не просто рекомендацией, а необходимостью. Термин "строгая аутентификация" давно закреплен в российских ГОСТ и теперь нашел отражение в проекте приказа ФСТЭК России, опубликованном для общественного обсуждения и ожидающем вступления в силу в 2025 г.
Microsoft CA – де-факто стандарт для корпоративной PKI
Несмотря на то, что обязательность использования Центра сертификации закрепляется в нормативных актах только сейчас, многие компании осознают преимущества сертификатной аутентификации – как для пользователей, так и для технических устройств. Это серьезно повышает систему безопасности предприятия и уровень доверия между элементами информационной системы.
В основе построения такой системы долгие годы лежала корпоративная инфраструктура открытых ключей, где основную роль играл Microsoft Certificate Services (он же Microsoft CA). За более чем два десятилетия этот встроенный в Windows Server сервис фактически стал отраслевым стандартом, не имея достойных альтернатив. Глубокая интеграция с Active Directory и широкие возможности автоматизации сделали Microsoft CA удобным, а в некоторых случаях и незаменимым инструментом в корпоративной сети. Настолько, что умение работы с Microsoft CA давно стало базовым требованием для системных администраторов.
Однако после приостановки деятельности Microsoft в России использование ее сервисов оказалось под вопросом. К тому же регуляторы все активнее ориентируют рынок на отказ от зарубежных решений, особенно в таких критически важных аспектах, как строгая аутентификация.
Бесценный опыт и экспертиза команды Aladdin eCA
Разработка Aladdin eCA началась с масштабного проекта по импортозамещению системы аутентификации в одной из крупнейших госкорпораций. Успешная реализация этого проекта не только укрепила доверие заказчика, но и стала отправной точкой для разработки нашего собственного продукта.
Рис. 1. Архитектура Aladdin Enterprise CA
В 2022 г. мы запустили два параллельных процесса.
Первый процесс – это активное пилотирование и тесное взаимодействие с заказчиками. На тот момент еще немногие осознавали острую необходимость в миграции PKI-инфраструктуры на отечественные решения, да и в целом компании, не понимали значимость построения системы строгой аутентификации. Приходилось вести диалог как со скептиками, так и с первыми энтузиастами – теми, кто способен предъявлять вполне конкретные и масштабные требования к Центру сертификации и PKI-инфраструтуре. Именно эти запросы и легли в основу дорожной карты Aladdin eCA. Пилотные внедрения в средах заказчиков позволили вскрыть большой объем нюансов при интеграции и совместной работе с решениями других вендоров. Хочется отметить, что даже сейчас, когда параллельно реализуются десятки пилотов и уже завершено немало внедрений, интеграция в конкретной инфраструктуре может преподнести сюрпризы. Мы оперативно реагируем на возникающие задачи и, что особенно важно, обеспечиваем технологическую совместимость с каждым смежным решением.
Параллельно был запущен второй процесс – адаптация продукта под требования ФСТЭК России для сертификации по УД4, а затем и сам процесс сертификации. Этот опыт вскрыл ряд противоречий. Одним из них стало понимание, что Центр сертификации – это не Средство УЦ (термин использующийся в No 63ФЗ). К последнему предъявляются достаточно строгие требования по изоляции и эксплуатации, осложняющие возможности интеграции средства во всю инфраструктуру. Центр сертификации же не должен выпускать сертификаты, обеспечивающие юридическую значимость. Его задача – выпуск сертификатов исключительно для целей аутентификации. Теперь, благодаря этим процессам, понятие "Центр сертификации" внесено в проект приказа ФСТЭК России, превратившись из разговорного обозначения в нормативно закрепленный термин. Кроме того, на текущий момент мы находимся на финальной стадии получения заключения ФСБ России на корректность встраивания СКЗИ КриптоПро.
Запрос на экспертизу
Сегодня существует острая потребность делиться накопленной экспертизой.
Число одновременно реализуемых проектов постоянно растет, увеличивается и количество партнеров, получивших практический опыт внедрения продукта у заказчиков. В этой связи один из наших партнеров ведет разработку обучающего курса, который будет доступен в ближайшее время.
Курс охватит как базовые принципы работы PKI, так и практические навыки использования решения Aladdin Enterprise CA.
Непрерывное качество и безопасность как основа для долговременного сотрудничества
С самого начала разработки продукта во главу угла была поставлена задача обеспечения качества с каждой ежемесячно передаваемой разным заказчикам сборкой. Таким образом, это позволяет максимально быстро обеспечивать необходимый и запрошенный функционал в варианте максимально приближенном к ожидаемому. Кроме того, это позволяет всегда быть в высокой степени готовности к поставке и внедрению релизной версии.
Отдельно стоит отметить, что выстроенный процесс безопасной разработки, включая регулярные проверки на наличие уязвимостей и недекларированных возможностей (НДВ), позволяет выявлять проблемы безопасности на ранних этапах.
В целом механизм взаимодействия с заказчиком выстроен следующим образом: сначала проводится быстрый пилот по базовым функциям, по итогам которого выявляются возможные интеграционные сложности в конкретной инфраструктуре и на стыке с другими решениями. По его итогам заказчик может сформулировать запрос на доработки, которые мы совместно фиксируем в план-график, сопряженный с планами внедрения заказчика.
С начала 2025 г. в Aladdin eCA доступны новые возможности:
- Автоматическое распространение сертификатов в доменной инфраструктуре
- Возможность получения сертификата через штатные компоненты ОС Windows
- Протокол SCEP для автоматического распространения сертификатов на устройства
- Портал самообслуживания пользователей, работа с ключевыми носителями
- Механизм подтверждения заявок уполномоченными операторами
- Возможность импорта ключа с Microsoft CA в Aladdin eCA
- Возможность развертывания на одном инстансе несколько центров сертификации
- Обеспечение корректности встраивания КриптоПро CSP
Заключение
Aladdin eCA – это полнофункциональная отечественная альтернатива Microsoft CA, обеспечивающая комплексную защиту цифровой идентификации и интеграцию в существующие экосистемы предприятий.
Одним из ключевых преимуществ Aladdin eCA является его глубокая интеграция в доменную инфраструктуру, что делает переход с Microsoft CA максимально бесшовным. Решение включает поддержку набора протоколов, отечественных устройств класса HSM и полный набор PKI-функций, таких как автоматизированный выпуск сертификатов, гибкое управление жизненным циклом ключей и возможность распределения полномочий на определенные задачи.
Миграция на Aladdin eCA проходит безболезненно за счет возможности параллельной работы с существующим Microsoft CA. Организации могут использовать уже имеющиеся шаблоны сертификатов и могут сохранить поддержку Microsoft Active Directory, минимизируя операционные риски при переходе. Также возможен переход за счет полного переноса данных из Microsoft CA.
Соответствие требованиям регулятора подтверждает надежность и перспективность решения. Aladdin eCA включен в реестр отечественного ПО и сертифицирован ФСТЭК России по УД4.
АО «Аладдин Р.Д.». ИНН 7719165935. Erid: 2SDnjdvWJKv
