Контакты
Подписка 2025
Статьи по информационной безопасности

Корпоративный CA в гибридной инфраструктуре: вызовы и  решения

Редакция журнала "Информационная безопасность", 22/04/25

Корпоративная инфраструктура сейчас представляет собой сложный гибридный ландшафт, в котором пересекаются локальные сегменты, облачные ресурсы, иностранные и отечественные операционные системы. Кажется, что интеграция Certificate Authority в такую неоднородную среду – это многочисленные препятствия: несовместимость, дефицит кадров с экспертизой в криптографии, сложность миграции, высокая нагрузка на инфраструктуру. Редакция журнала "Информационная безопасность" перепроверилась по этим вопросам у экспертов.

ris3_w-3

Каковы основные вызовы и проблемы, с которыми столкнутся пользователи при развертывании корпоративных CA в гибридной инфраструктуре с преобладанием российских ОС?

Павел Мельниченко, SafeTech Lab

Если в компании используется правильный набор современных технологий, то гибридная инфраструктура не является проблемой или вызовом при внедрении СА. В случае с SafeTech CA мы об этом тщательно позаботились.

Самое главное – это в момент смены корпоративного CA таким образом спланировать переход, чтобы получить максимальный эффект от внедрения. То есть не просто заменить одно решение на другое, а кардинально улучшить процессы PKI внутри организации. И дальше просто идти по разработанному плану.

Денис Полушин, Аладдин

Обычные сотрудники организации не должны столкнуться с проблемами вообще. Мы гарантируем заказчикам обеспечение процесса миграции PKI-инфраструктуры без прерывания производственного процесса.

Тем не менее у каждого заказчика своя исторически сформированная инфраструктура, включающая организацию учетных данных, политик, полномочий, и свой особый проект импортозамещения.

В ответ на это мы регулярно обеспечиваем интеграцию с продуктами других производителей. А проектный подход и развитие компетенций у партнеров позволяет быстро реагировать на возникающие проблемы.

Эффективное управление корпоративным CA требует значительных ресурсов и экспертизы, в том числе в области криптографии. Как российским заказчикам решать эту проблему с учетом недостатка квалифицированных специалистов?

Денис Полушин, Аладдин

Надо понимать, что в целом в стране наблюдается недостаток кадров в области ИБ, способных отвечать современным вызовам, в том числе в области построения PKI-инфраструктуры и в области криптографии. Партнеры компании Аладдин занимаются созданием курсов, которые включают, базовую теорию для построения PKI, навыки построения архитектуры, отвечающей требованиям безопасности, а также учитывают современные вызовы в области ИБ.

Александр Санин, SafeTech Lab

На самом деле в этом нет ничего принципиально нового и чрезмерно сложного. Сейчас успешно эксплуатируются и администрируются и такие продукты, как MS CA, и различные решения Open Source.

Переход на полнофункциональный отечественный CA наконец-то даст специалистам удобный и надежный инструмент, который оптимизирует их работу и повысит ее эффективность. Поэтому не стоит искать здесь проблему – наоборот, внедрение качественного продукта решит множество текущих сложностей и сделает жизнь специалистов значительно проще.

Какие технологические вызовы и задачи стоят перед российскими разработчиками решений класса Certificate Authority? Какая функциональность появится в ближайший год?

Денис Полушин, Аладдин

Помимо реализации базовых функций PKI и возможностей, связанных с повышенными мерами защиты, нам необходимо обеспечить интеграцию с разными доменами:

  • для извлечения данных и контроля их использования для выпуска сертификатов;
  • для публикации всех сведений для организации PKI;
  • для автоматического распространения сертификатов.

Для Microsoft-среды мы эту задачу выполнили на 100%, а для Linux это важнейшая задача на ближайший год, которая потребует согласованных усилий с партнерами-разработчиками доменов.

И мы не забываем про задачи заказчиков, реализацию мер защиты и сертификацию.

Павел Мельниченко, SafeTech Lab

Из вызовов, которые уже преодолены – это гетерогенность современных инфраструктур. CA должен работать со всеми системами во всех средах, и мы научили это делать.

Сейчас функциональность SafeTech CA покрывает 98% задач, которые появляются в корпоративной инфраструктуре. Но остались еще 2% наиболее интересных сценариев, которые по аналогии с законом Парето, будет сделать сложнее всего. Например, стабильная работа при нагрузке на CA до 12 тыс. запросов в секунду (это реальный пример от клиента), гибкая настройка процессов согласования выпуска, доставка сертификатов до конечных точек, управление ключевыми носителями и пр.

То есть в ближайшее время CA будет активно расти из чисто утилитарного инструмента в решение, которое может эффективно обслуживать бизнес-задачи.
Темы:Круглый столЖурнал "Информационная безопасность" №1, 2025Certificate Authority

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Импортоулучшение корпоративного центра сертификации Microsoft CA в Т-Банке
    Артем Мульдияров, архитектор отдела криптографической защиты информации Т-Банка
    Сертификаты – это далеко не только КЭП и НЭП, они являются основой для более широкого спектра инфраструктур на базе открытых ключей. Корпоративный CA (Certificate Authority) выдает, приостанавливает и отзывает сертификаты, используемые внутри компании для различных технологических нужд, и в первую очередь – для целей аутентификации пользователей и оборудования в корпоративной среде. Без этих функций доверенная корпоративная инфраструктура просто не может существовать.
  • Готовы ли российские компании к созданию VOC-центров?
    В мире набирает популярность идея создания специализированных Vulnerability Operations Center (VOC) – центров операций по уязвимостям. VOC функционирует как штаб по оркестрации управления уязвимостями, объединяя процессы и инструменты, – он формализует задачи и ответственность (кто и что должен исправлять), и предоставляет платформу для централизации данных об уязвимостях со всех сканеров (инфраструктуры, приложений и пр.).
  • Три причины, почему не стоит оставлять инфраструктуру под управлением Microsoft CA
    Корпоративный Certificate Authority (CA) – краеугольный камень обеспечения доверия в инфраструктуре. Однако геополитические предпосылки, ужесточение регуляторных требований и необходимость соответствия современным стандартам вынуждают компании задумываться о миграции на новые решения. Этот процесс имеет шансы стать весьма болезненным, он требует не только технической подготовки, но и глубокого понимания рисков, стратегического планирования и слаженной работы всех заинтересованных сторон.
  • Пять критических уязвимостей Microsoft Certificate Authority, о которых вы не знали
    Александр Санин, генеральный директор SafeTech Lab (SafeTech Group)
    Уход Microsoft три года назад стал поворотным моментом для обеспечения информационной безопасности в большинстве отраслей экономики. Отсутствие поддержки и обновлений программного обеспечения от вендора создало серьезные проблемы для устойчивости коммерческих и государственных ИТ-инфраструктур.
  • Aladdin eCA – доверенная альтернатива Microsoft CA
    Денис Полушин, руководитель направления PKI компании Аладдин
    Aladdin eCA – это полнофункциональная отечественная альтернатива Microsoft CA, обеспечивающая комплексную защиту цифровой идентификации и интеграцию в существующие экосистемы предприятий.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"