Центр доверия: «Аладдин Р. Д.» и «РЕД СОФТ» представили совместное ИБ-решение

На площадке первого в мире кибербез-хаба «Кибердом» в Москве компании «Аладдин Р.Д.» и «РЕД СОФТ» представили компоненты для построения безопасной доверенной ИТ-инфраструктуры предприятия: корпоративный центр сертификации Aladdin Enterprise CA 2.0 и домен безопасности «РЕД АДМ Пром», позволяющие обеспечить плавную миграцию на отечественные решения.

На презентации генеральный директор компании «Аладдин Р.Д.» Сергей Груздев отметил, что сегодня в сфере кибербезопасности часто предлагаются решения для борьбы со следствиями, а не с причинами инцидентов. Это приводит к подмене понятий и целей, а последнее, в свою очередь, – к неверным действиям.

Смена акцентов в кибербезопасности

Многие годы главный акцент в кибербезопасности делался на надежную аутентификацию пользователей. При этом на само оборудование обращалось мало внимания. Специалисты не изучали принципы проектирования сетей, а в большинстве своем занимались простой эксплуатацией продуктов западных вендоров. Они обслуживали инфраструктуру, но при этом не особо вдавались в то, что происходит в ней на глубинном уровне, как именно в ней осуществляетеся аутентификация и т. п.

Сергей Груздев, генеральный директор «Аладдин Р.Д.»

Сергей Груздев, генеральный директор «Аладдин Р.Д.»

В этом, по словам Сергея Груздева, 70% причин того, что, например, в сеть какой-то компании злоумышленники запустили вирус-шифровальщик, похитили персональные данные или «положили» инфраструктуру. Некорректно или полностью неправильно спроектированная и построенная подсистема аутентификации не гарантирует, что каждый элемент сети работает так, как мы ожидаем, что этот элемент не подменили и что мы можем доверять получаемой от него информации.

Информационная система (ИС) считается доверенной, когда каждый её элемент является доверенным, будь то оборудование, программное обеспечение, сами пользователи и т. д. Доверие обеспечивается идентификацией и аутентификацией каждого элемента инфраструктуры, а степень ее надежности определяется самым слабым звеном. При этом условно уровни доверия можно разделить на низкий, средний и высокий.

Основа доверия и безопасности в ИТ-инфраструктуре – аутентификация, что в переводе с латинского означает «установление подлинности». Еще важнее, чем аутентификация пользователей, – установление в информационной системе доверительных отношений между всеми участниками обмена, т.е. доверие должно обеспечиваться каждой компоненте информационной системы.

Безопасность ИС напрямую зависит от уровня надежности (типа) аутентификации. Тип аутентификации в ИС должен определяться по уровню значимости информации в системах, по вероятности и размеру возможного ущерба в случае взлома и утечки. Простая аутентификация дает низкий уровень доверия, усиленная – средний, строгая – высокий.

В первом типе для предоставления доступа используется самая популярная и широко распространенная, привычная всем однофакторная авторизация, обеспечиваемая связкой логин/пароль. К сожалению, из-за развития компьютерных технологий она на сегодня является самой небезопасной. Так пароль, состоящий менее, чем из восьми символов, даже с учетом того, что в нем применяются цифры, буквы в различных регистрах и спецсимволы, хакеры смогут вскрыть всего за несколько минут.

Усиленная аутентификация обеспечивается использованием токена U2F (Universal Second Factor) или генератора одноразовых паролей ОТР (One-Time Password) с хранением секретного ключа на токене или смартфоне. Наконец, самый строгая аутентификация возможна только с использованием криптографии, PKI и сертификатов.

Импортозамещение CA-решений

Основой PKI является корпоративный центр выпуска и обслуживания сертификатов (СА, Certificate Authority) – это ключевой компонент безопасности ИТ-инфраструктуры, особенно для предприятий КИИ, госсектора, ОПК, ВПК. Для построения доверенного взаимодействия всех элементов ИТ-инфраструктуры и реализации надежной аутентификации пользователей требуется три типа сертификатов. Машинные сертификаты служат для аутентификации оборудования, программные – допускают использование только разрешенного/доверенного ПО, когда софт проверен на совместимость и замыкают базис по построению доверенной инфраструктуры пользовательские сертификаты.

Согласно экспертным оценкам «Аладдин Р.Д.», более 90% информационных систем в России построены на решении ушедшей из России компании Microsoft – службе каталогов Active Directory и центре сертификатов Certification Authority, обеспечивающих все задачи доверенного взаимодействия. От этой ключевой компоненты зависит работоспособность доменов безопасности/службы каталога и различных сервисов (удаленного доступа, VDI, VPN, RDP-шлюзов и др.). Зарубежная компания при желании в любой момент может деактивировать свой продукт, что сразу же создаст огромные проблемы для всех его клиентов.

По мнению Сергея Груздева, именно эту проблему в надо решать в России в первую очередь. Именно поэтому в рамках импортозамещения для быстрой замены Microsoft CA компания «Аладдин Р.Д.» разработала и выпустила первую версию корпоративного центра сертификации Aladdin Enterprise CA для Linux, отвечающего за выпуск сертификатов для обеспечения безопасного взаимодействия между разными объектами коммуникации на уровне домена (службы каталогов): внутренними и внешними пользователями, компьютерами, службами, серверами. Данная версия хотя и представляла собой концепт, но в ней уже были реализованы основные технологии.

На данный момент компания предлагает уже обновленную версию центра сертификации Aladdin Enterprise CA 2.0, которая позволяет осуществлять прием и обработку запросов от пользователей PKI (Public Key Infrastructure, инфраструктуры открытых ключей) на получение цифровых сертификатов, проверку на правомерность и выдачу сертификатов в соответствии с уровнем доступа пользователя (объекта) и политикой безопасности.

Сотрудничество «Аладдин Р. Д.» и «РЕД СОФТ»

Совместно с «РЕД СОФТ» компанией «Аладдин Р. Д.» был разработан сценарий автоматизации и миграции на отечественный центр выпуска сертификатов и домен безопасности, который обеспечивает централизованное конфигурирование и управление как центром выдачи сертификатов и доменом, так и остальной инфраструктурой.

Данное совместное решение позволяет заказчикам более грамотно реализовывать план по импортозамещению: постепенно, за счет плавной и бесшовной миграции без «шоковых действий», обеспечивая во время мигарации стабильную работу в гетерогенной инфраструктуре на Windows и Linux.

В основе управления доменными структурами лежит решение от «РЕД СОФТ» – система РЕД АДМ Про, которая представляет собой расширенную версию (промышленную редакцию) системы централизованного управления РЕД АДМ. В нее включены такие компоненты, как контроллер домена, файловое хранилище, возможность установки ОС по сети.

Рустам Рустамов, заместитель генерального директора «РЕД СОФТ»

Рустам Рустамов, заместитель генерального директора «РЕД СОФТ»

«Представленные решения (РЕД АДМ Про и Aladdin Enterprise CA 2.0) при своем взаимодействии обеспечивают функционал, который позволяет мягко, эффективно, контролируемо и безопасно мигрировать доменную инфраструктуру и инфраструктуру открытых ключей на полностью отечественные продукты. Надеемся, что нам удастся развивать сотрудничество, чтобы обеспечить для клиентов действительно комфортный опыт в области импортозамещения безопасного управления инфраструктурой», – подтверждает Рустам Рустамов, заместитель генерального директора компании «РЕД СОФТ».

Перспективы Aladdin Enterprise CA

Одним из заказчиков Aladdin Enterprise CA стал «Газпром информ» – сервисная ИТ-компания ПАО «Газпром». Основная сложность при реализации данного проекта внедрения состояла в том, что корпоративная сеть «Газпрома» состоит из большого количества территориально и информационно распределенных структур. Поэтому осуществление бесшовного перехода на отечественное решение без остановки бизнес-процессов было непростой задачей. Подробности этой сделки не разглашаются.

А буквально на днях было объявлено, что решение Aladdin Enterprise CA было включено в портфолио компании Fortis, российского дистрибьютора высокотехнологичных решений в области информационной безопасности, которая подписала с «Аладдин Р.Д.» дистрибьюторское соглашение.

Большинство продуктовых решений Аладдин включены в Единый реестр отечественного ПО и сертифицированы ФСТЭК России. Вторая версия Aladdin Enterprise CA, обладающая категорией допуска «совершенно секретно», так же подана на сертификацию во ФСТЭК.

Сергей Шалимов руководитель направления по взаимодействию с технологическими партнерами «Аладдин Р. Д.»

Сергей Шалимов руководитель направления по взаимодействию с технологическими партнерами «Аладдин Р. Д.»

Сергей Шалимов руководитель направления по взаимодействию с технологическими партнерами «Аладдин Р. Д.», отметил, что по некоторым параметрам решение Aladdin Enterprise Certificate Authority превосходит центр выдачи сертификатов Microsoft CA, так как в нем реализован более широкий набор функциональных возможностей. Это связано в том числе и с тем, что Aladdin Enterprise CA позволяет одновременно работать с разными службами каталогов – как Linux, так и Windows, а также использовать различные архитектуры аппаратных платформ, отечественные операционные системы и виртуальные среды. Так, помимо «РЕД СОФТ» в совместных проектах с «Аладдин Р.Д.» участвуют операционные системы Astra Linux (ГК «Астра»), «Альт» («Базальт СПО») и ROSA ( «НТЦ ИТ РОСА»).

Анализ
×
Сергей Анатольевич Шалимов
Последняя должность: Генеральный директор (ООО "Газпром добыча Ямбург")
Груздев Сергей
Рустамов Рустам
Microsoft
Сфера деятельности:Связь и ИТ
138
ПАО "ГАЗПРОМ"
Сфера деятельности:Производство и распределение электроэнергии, газа и воды
479
ГК Astra Linux
Сфера деятельности:Связь и ИТ
59
ООО "БАЗАЛЬТ СПО"
Сфера деятельности:Связь и ИТ
19