Контакты
Подписка 2025

Импортоулучшение корпоративного центра сертификации Microsoft CA в Т-Банке

Артем Мульдияров, 18/04/25

Сертификаты – это далеко не только КЭП и НЭП, они являются основой для более широкого спектра инфраструктур на базе открытых ключей. Корпоративный CA (Certificate Authority) выдает, приостанавливает и отзывает сертификаты, используемые внутри компании для различных технологических нужд, и в первую очередь – для целей аутентификации пользователей и оборудования в корпоративной среде. Без этих функций доверенная корпоративная инфраструктура просто не может существовать.

Автор: Артем Мульдияров, архитектор отдела криптографической защиты информации Т-Банка

ris1-Apr-18-2025-03-27-23-9182-PM

В январе 2025 года Т-Банк стал первой российской финансовой организацией, кто полностью заменил Microsoft CA на российское решение.

Чем не угодил Microsoft CA?

На резонный вопрос "А зачем вообще отказываться от Microsoft СА?" быстро находится очевидный ответ. На протяжении десятилетий этот инструмент шел в комплекте с операционной системой Windows, что сделало его стандартом де-факто. Возможно, именно поэтому ограниченность его функционала долгое время никого сильно не беспокоила – он просто был у всех и работал по умолчанию.

Но в условиях все новых и новых технологических ограничений и кризисов на рынке ИБ доступ к привычным инструментам усложнился. Особенно остро это ощущается в финансовом секторе, который практически полностью оказался под санкциями. Более того, все западные вендоры, включая американских, формально ушли с рынка, а те, кто фактически остался, все равно ставят российский бизнес перед необходимостью срочно искать альтернативные решения. Именно через эту призму в Т-Банке воспринималась ситуация с дальнейшим использованием Microsoft CA.

Было очевидно, что с этой проблемой нужно что-то делать, причем как можно скорее.

Поиск альтернативы

Главной сложностью стал поиск решений, способных заменить Microsoft CA и стать полноценным отечественным центром сертификации корпоративного уровня.

К российским продуктам у заказчиков всегда более требовательное отношение, и с самого начала целью проекта стала не просто замена американского решения, а получение более функциональной, современной и полностью адаптированной под потребности Т-Банка платформы.

Действительно, к 2025 г. бизнес уже не готов мириться с устаревшими ограничениями – неимением веб-интерфейса, невозможностью установки продукта в виртуальной среде или отсутствием контейнеризации, позволяющей гибко масштабировать систему. И конечно, российское решение должно соответствовать всем актуальным требованиям регуляторов в области информационной безопасности, включая поддержку отечественных операционных систем и баз данных, обеспечивая таким образом полный технологически независимый стек.

Причем, за время активного импортозамещения задача успела усложниться: CA теперь должен работать в гибридном ИТ-ландшафте, включающем в себя устройства и системы не только на базе Windows, но и на macOS, Linux, а также с учетом использования мобильных платформ iOS и Android. И каждый из этих компонентов требует надежной работы с сертификатами, обеспечивающими безопасность и высокий уровень доверия.

Особенности инфраструктуры

PKI-структура Т-Банка состоит из двух взаимосвязанных контуров.

Внутренний контур включает серверную, сетевую и пользовательскую инфраструктуры. Под последней подразумеваются не только рабочие станции сотрудников, но и мобильные устройства, используемые в работе.

Внешний контур представляет собой центр сертификации, который отвечает за выпуск сертификатов для контрагентов, партнеров и даже клиентов банка. На его основе функционирует вся эквайринговая сеть Т-Банка, обеспечивая ее безопасность и надежность.

Задача стояла предельно ясно – заменить Microsoft CA в обоих контурах инфраструктуры. После изучения рынка в поисках готового решения быстро выяснилось, что подходящего именно для Т-Банка варианта нет. Обозначилась дилемма: либо разрабатывать собственное решение, либо искать вендора, который сможет адаптировать свой продукт под требования банка.

Второй вариант и стал рабочим: выбор остановился на решении компании SafeTech. Мы организовали встречу с вендором, детально обсудили стратегию и с этого момента полностью погрузились в работу, двигаясь к реализации проекта.

Но спустя всего полтора месяца после первой встречи перед нами встала новая неожиданная задача: произошло объединение Т-Банка с Росбанком, и, соответственно, возникла необходимость, в том числе, быстро и бесшовно перевести инфраструктуру Росбанка на работу с новым центром сертификации. Инфраструктура Росбанка оказалась не менее масштабной, чем наша, что потребовало кардинального пересмотра многих процессов. Нам предстояло адаптировать систему так, чтобы к полуночи 1 января 2025 г. слияние прошло абсолютно незаметно для сотрудников и клиентов – без перебоев, задержек и ощутимых изменений в работе. Это стало настоящим испытанием на гибкость и эффективность как для нашей инфраструктуры, так и для решения SafeTech CA.

Пилотный проект и внедрение

Замена зарубежных компонентов инфраструктуры на отечественные средства защиты информации (СЗИ) – приоритетное направление для Т-Банка. Гибкость в интеграции и настройке выбранного решения позволила нам сохранить текущую инфраструктуру и повысить эффективность работы за счет внедрения более оптимизированных, современных и подстроенных под наши требования технологий.

Пилотный проект в организации продлился 4 месяца. В ходе тестирования было проверено множество различных сценариев использования СА во внутренней инфраструктуре Т-Банка, функциональность продуктового REST API в части интеграции во внутренние бизнес-процессы и даже возможности команды разработки вендора на предмет доработок тех или иных дополнительных функций. Было выпущено несколько тысяч технологических сертификатов для многих типов устройств и различных операционных систем – как Windows, так и Linux.

В целом, цели, которые ставил перед собой T-Банк, были вполне типовыми – в любом подобном проекте компании сталкиваются с похожими вызовами. Однако в данном случае важную роль сыграли особенности ИТ-ландшафта. Основной фокус был направлен на повышение управляемости процесса работы с сертификатами, усиление безопасности и, конечно же, строгое соответствие требованиям регуляторов.

В ходе пилотного проекта продукт подвергся всестороннему тестированию – его проверяли под разными нагрузками, изучали с разных сторон, буквально испытывали на прочность. В процессе вендор значительно расширил функциональные возможности решения, ориентируясь на наши требования. В итоге продукт стал еще более универсальным и теперь, однозначно, сможет заинтересовать не только финтех, но и другие отрасли.

После прохождения пилотного этапа мы за два месяца успешно развернули в продакшен два масштабных контура центра сертификации. То есть нам удалось полностью заменить как внешний, так и внутренний контуры PKI. Точно 1 января 2025 г. Microsoft CA был окончательно выведен из нашей инфраструктуры. И самое важное – для пользователей этот переход прошел абсолютно незаметно, без сбоев и лишних сложностей.

Переход с Microsoft СА на SafeTech CA был полностью бесшовным благодаря реализованной в отечественном продукте возможности импорта самих сертификатов и шаблонов из Microsoft СА.

С момента первого знакомства с продуктом и до его полноценного запуска в промышленную эксплуатацию прошло около шести месяцев.

Планы на будущее

В дальнейшем, в рамках развития продукта, мы планируем внедрить возможность публикации сертификатов в LDAP. Это позволит нам значительно упростить процесс управления сертификатами и в тех случаях, где ранее это было невозможно, а также полностью отказаться от ручного администрирования, перейдя на автоматизированные решения.

Кроме того, мы намерены перевести хранение ключей центра сертификации на HSM. Учитывая масштаб нашей инфраструктуры контейнеризации, одним из ключевых приоритетов станет внедрение в продукте поддержки протокола ACME, что значительно повысит удобство и автоматизацию работы с сертификатами.

По запросу наших ИТ-специалистов в планах на этот год – разработка дополнительных отчетов и статистики, чтобы предоставить более детализированную аналитику и удобные инструменты мониторинга.

Темы:Журнал "Информационная безопасность" №1, 2025Certificate Authority

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Корпоративный CA в гибридной инфраструктуре: вызовы и  решения
    Корпоративная инфраструктура сейчас представляет собой сложный гибридный ландшафт, в котором пересекаются локальные сегменты, облачные ресурсы, иностранные и отечественные операционные системы. Кажется, что интеграция Certificate Aythority в такую неоднородную среду – это многочисленные препятствия: несовместимость, дефицит кадров с экспертизой в криптографии, сложность миграции, высокая нагрузка на инфраструктуру. Редакция журнала "Информационная безопасность" перепроверилась по этим вопросам у экспертов.
  • Три причины, почему не стоит оставлять инфраструктуру под управлением Microsoft CA
    Корпоративный Certificate Authority (CA) – краеугольный камень обеспечения доверия в инфраструктуре. Однако геополитические предпосылки, ужесточение регуляторных требований и необходимость соответствия современным стандартам вынуждают компании задумываться о миграции на новые решения. Этот процесс имеет шансы стать весьма болезненным, он требует не только технической подготовки, но и глубокого понимания рисков, стратегического планирования и слаженной работы всех заинтересованных сторон.
  • Пять критических уязвимостей Microsoft Certificate Authority, о которых вы не знали
    Александр Санин, генеральный директор SafeTech Lab (SafeTech Group)
    Уход Microsoft три года назад стал поворотным моментом для обеспечения информационной безопасности в большинстве отраслей экономики. Отсутствие поддержки и обновлений программного обеспечения от вендора создало серьезные проблемы для устойчивости коммерческих и государственных ИТ-инфраструктур.
  • Aladdin eCA – доверенная альтернатива Microsoft CA
    Денис Полушин, руководитель направления PKI компании Аладдин
    Aladdin eCA – это полнофункциональная отечественная альтернатива Microsoft CA, обеспечивающая комплексную защиту цифровой идентификации и интеграцию в существующие экосистемы предприятий.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...