Редакция журнала "Информационная безопасность", 09/04/25
Корпоративный Certificate Authority (CA) – краеугольный камень обеспечения доверия в инфраструктуре. Однако геополитические предпосылки, ужесточение регуляторных требований и необходимость соответствия современным стандартам вынуждают компании задумываться о миграции на новые решения. Этот процесс имеет шансы стать весьма болезненным, он требует не только технической подготовки, но и глубокого понимания рисков, стратегического планирования и слаженной работы всех заинтересованных сторон.
Эксперты:
- Павел Мельниченко, технический директор SafeTech Lab
- Денис Полушин, директор по продукту Aladdin eCA, Аладдин
- Александр Санин, генеральный директор SafeTech Lab
Три главные причины, почему не стоит оставлять инфраструктуру под управлением Microsoft CA?
Александр Санин, SafeTech Lab
- Сегодня большинство специалистов в ИБ очень хорошо понимает, что использовать продукты компаний, которые зависят от политических настроений, максимально небезопасно. Тот факт, что эти продукты до сих пор функционируют и не превратились в бесполезные "кирпичи", можно считать лишь удачным стечением обстоятельств. Однако ситуация, когда доступ к критически важным обновлениям безопасности становится проблемой – это уже не просто вызов, а неприемлемый риск, который нельзя игнорировать.
- Развитие Linux-инфраструктур также активно способствует внедрению продуктов, которые не привязаны к какой-либо одной платформе. В этом контексте универсальный центр сертификации, способный работать и с Windows, и с Linux, а также со многими другими платформами – оптимальное решение.
- Законодательство в области импортозамещения остается значимым фактором, и послаблений здесь не предвидится. Для огромного числа компаний переход с таких продуктов, как Microsoft CA, на российские решения – не просто вопрос выбора, а обязательное требование, продиктованное нормативными актами.
Денис Полушин, Аладдин
Корпоративный центр сертификации – это ядро системы, компрометация которого полностью подрывает доверие внутри инфраструктуры. С другой стороны, он должен быть тесно связан со многими элементами ИС.
Поэтому первая причина связана с высокими рисками безопасности с непоправимыми последствиями в условиях отсутствие доверия к решениям, произведенным в недружественных странах.
Вторая причина – это отсутствие технологической интеграции с другими продуктами отечественных производителей.
Третья причина – отсутствие сертификата отечественного регулятора.
Павел Мельниченко, SafeTech Lab
С технической стороны добавлю, что в Microsoft CA отсутствует необходимая современной инфраструктуре функциональность – протоколы работы с PKI (например, SCEP, ACME и др.), интеграция с SIEM для аудита, понятные интерфейсы оператора и администратора и многое другое. Современный ИТ-ландшафт ушел далеко от технологий, ориентированных только на Microsoft.
Сколько времени есть у российских компаний на то, чтобы уйти от Microsoft CA?
Денис Полушин, Аладдин
Важно понимать, что сам по себе уход от Microsoft CA может занять один-два года, так как продукт такого класса тесно связан со всеми элементами инфраструктуры.
Не всегда возможно заменить сертификаты, которые выпущены в Microsoft CA, и в рамках переходного периода важно снизить риск ущерба вследствие атаки на старую PKI-инфраструктуру.
Поэтому начинать проектирование будущей системы PKI предприятия нужно как можно раньше, так как эту процедуру нельзя совершить быстро, когда "гром грянет".
В проекте приказа ФСТЭК России на это выделяется два года.
Александр Санин, SafeTech Lab
Перейти на российское ПО многие компании должны были "еще вчера". И чем раньше они начнут этот процесс, тем быстрее смогут минимизировать критичные риски в своих инфраструктурах.
Иногда мы слышим от наших потенциальных заказчиков что-то в стиле "Мы спрятали все свои MS-сервисы за семью замками, они работают, и импортозамещение для нас не актуально". Подобный подход демонстрирует недальновидность и отсутствие понимания реальных угроз.
К счастью, большинство грамотных специалистов четко осознают необходимость замены подобных продуктов и активно работают над снижением зависимости от иностранных решений.
Возможно ли построение доверенной инфраструктуры вообще без корпоративного Certificate Authority?
Денис Полушин, Аладдин
Невозможно. Корпоративный CA хоть для одного SSL-сертификата присутствует везде. В таких системах используется простая аутентификация пользователей – по логину-паролю, ненадежность которой доказана многими исследованиями. А аутентификация устройств не используется вообще.
А вот самый высокий уровень доверия к результатам аутентификации обеспечивает строгая аутентификация (взаимная, с использованием криптографии), реализацию которой должен обеспечивать корпоративный центр сертификации.
Александр Санин, SafeTech Lab
Если речь идет о небольших компаниях с инфраструктурой, условно, до ста пользователей, то, возможно, и получится обойтись более простыми инструментами. Однако за всю свою практику я не встречал ни одной серьезной инфраструктуры, в которой отсутствовали бы элементы PKI. Это не просто тренд, а объективная реальность современного уровня развития ИТ и ИБ. Без PKI компания просто не может обеспечить эффективное и, что самое важное, безопасное функционирование своих бизнес-процессов.
