Редакция журнала "Информационная безопасность", 22/04/25
Корпоративная инфраструктура сейчас представляет собой сложный гибридный ландшафт, в котором пересекаются локальные сегменты, облачные ресурсы, иностранные и отечественные операционные системы. Кажется, что интеграция Certificate Authority в такую неоднородную среду – это многочисленные препятствия: несовместимость, дефицит кадров с экспертизой в криптографии, сложность миграции, высокая нагрузка на инфраструктуру. Редакция журнала "Информационная безопасность" перепроверилась по этим вопросам у экспертов.
Каковы основные вызовы и проблемы, с которыми столкнутся пользователи при развертывании корпоративных CA в гибридной инфраструктуре с преобладанием российских ОС?
Павел Мельниченко, SafeTech Lab
Если в компании используется правильный набор современных технологий, то гибридная инфраструктура не является проблемой или вызовом при внедрении СА. В случае с SafeTech CA мы об этом тщательно позаботились.
Самое главное – это в момент смены корпоративного CA таким образом спланировать переход, чтобы получить максимальный эффект от внедрения. То есть не просто заменить одно решение на другое, а кардинально улучшить процессы PKI внутри организации. И дальше просто идти по разработанному плану.
Денис Полушин, Аладдин
Обычные сотрудники организации не должны столкнуться с проблемами вообще. Мы гарантируем заказчикам обеспечение процесса миграции PKI-инфраструктуры без прерывания производственного процесса.
Тем не менее у каждого заказчика своя исторически сформированная инфраструктура, включающая организацию учетных данных, политик, полномочий, и свой особый проект импортозамещения.
В ответ на это мы регулярно обеспечиваем интеграцию с продуктами других производителей. А проектный подход и развитие компетенций у партнеров позволяет быстро реагировать на возникающие проблемы.
Эффективное управление корпоративным CA требует значительных ресурсов и экспертизы, в том числе в области криптографии. Как российским заказчикам решать эту проблему с учетом недостатка квалифицированных специалистов?
Денис Полушин, Аладдин
Надо понимать, что в целом в стране наблюдается недостаток кадров в области ИБ, способных отвечать современным вызовам, в том числе в области построения PKI-инфраструктуры и в области криптографии. Партнеры компании Аладдин занимаются созданием курсов, которые включают, базовую теорию для построения PKI, навыки построения архитектуры, отвечающей требованиям безопасности, а также учитывают современные вызовы в области ИБ.
Александр Санин, SafeTech Lab
На самом деле в этом нет ничего принципиально нового и чрезмерно сложного. Сейчас успешно эксплуатируются и администрируются и такие продукты, как MS CA, и различные решения Open Source.
Переход на полнофункциональный отечественный CA наконец-то даст специалистам удобный и надежный инструмент, который оптимизирует их работу и повысит ее эффективность. Поэтому не стоит искать здесь проблему – наоборот, внедрение качественного продукта решит множество текущих сложностей и сделает жизнь специалистов значительно проще.
Какие технологические вызовы и задачи стоят перед российскими разработчиками решений класса Certificate Authority? Какая функциональность появится в ближайший год?
Денис Полушин, Аладдин
Помимо реализации базовых функций PKI и возможностей, связанных с повышенными мерами защиты, нам необходимо обеспечить интеграцию с разными доменами:
- для извлечения данных и контроля их использования для выпуска сертификатов;
- для публикации всех сведений для организации PKI;
- для автоматического распространения сертификатов.
Для Microsoft-среды мы эту задачу выполнили на 100%, а для Linux это важнейшая задача на ближайший год, которая потребует согласованных усилий с партнерами-разработчиками доменов.
И мы не забываем про задачи заказчиков, реализацию мер защиты и сертификацию.
Павел Мельниченко, SafeTech Lab
Из вызовов, которые уже преодолены – это гетерогенность современных инфраструктур. CA должен работать со всеми системами во всех средах, и мы научили это делать.
Сейчас функциональность SafeTech CA покрывает 98% задач, которые появляются в корпоративной инфраструктуре. Но остались еще 2% наиболее интересных сценариев, которые по аналогии с законом Парето, будет сделать сложнее всего. Например, стабильная работа при нагрузке на CA до 12 тыс. запросов в секунду (это реальный пример от клиента), гибкая настройка процессов согласования выпуска, доставка сертификатов до конечных точек, управление ключевыми носителями и пр.
То есть в ближайшее время CA будет активно расти из чисто утилитарного инструмента в решение, которое может эффективно обслуживать бизнес-задачи.
