На площадке первого в мире кибербез-хаба «Кибердом» в Москве компании «Аладдин Р.Д.» и «РЕД СОФТ» представили компоненты для построения безопасной доверенной ИТ-инфраструктуры предприятия: корпоративный центр сертификации Aladdin Enterprise CA 2.0 и домен безопасности «РЕД АДМ Пром», позволяющие обеспечить плавную миграцию на отечественные решения.
На презентации генеральный директор компании «Аладдин Р.Д.» Сергей Груздев отметил, что сегодня в сфере кибербезопасности часто предлагаются решения для борьбы со следствиями, а не с причинами инцидентов. Это приводит к подмене понятий и целей, а последнее, в свою очередь, – к неверным действиям.
Смена акцентов в кибербезопасности
Многие годы главный акцент в кибербезопасности делался на надежную аутентификацию пользователей. При этом на само оборудование обращалось мало внимания. Специалисты не изучали принципы проектирования сетей, а в большинстве своем занимались простой эксплуатацией продуктов западных вендоров. Они обслуживали инфраструктуру, но при этом не особо вдавались в то, что происходит в ней на глубинном уровне, как именно в ней осуществляетеся аутентификация и т. п.
Сергей Груздев, генеральный директор «Аладдин Р.Д.»
В этом, по словам Сергея Груздева, 70% причин того, что, например, в сеть какой-то компании злоумышленники запустили вирус-шифровальщик, похитили персональные данные или «положили» инфраструктуру. Некорректно или полностью неправильно спроектированная и построенная подсистема аутентификации не гарантирует, что каждый элемент сети работает так, как мы ожидаем, что этот элемент не подменили и что мы можем доверять получаемой от него информации.
Информационная система (ИС) считается доверенной, когда каждый её элемент является доверенным, будь то оборудование, программное обеспечение, сами пользователи и т. д. Доверие обеспечивается идентификацией и аутентификацией каждого элемента инфраструктуры, а степень ее надежности определяется самым слабым звеном. При этом условно уровни доверия можно разделить на низкий, средний и высокий.
Основа доверия и безопасности в ИТ-инфраструктуре – аутентификация, что в переводе с латинского означает «установление подлинности». Еще важнее, чем аутентификация пользователей, – установление в информационной системе доверительных отношений между всеми участниками обмена, т.е. доверие должно обеспечиваться каждой компоненте информационной системы.
Безопасность ИС напрямую зависит от уровня надежности (типа) аутентификации. Тип аутентификации в ИС должен определяться по уровню значимости информации в системах, по вероятности и размеру возможного ущерба в случае взлома и утечки. Простая аутентификация дает низкий уровень доверия, усиленная – средний, строгая – высокий.
В первом типе для предоставления доступа используется самая популярная и широко распространенная, привычная всем однофакторная авторизация, обеспечиваемая связкой логин/пароль. К сожалению, из-за развития компьютерных технологий она на сегодня является самой небезопасной. Так пароль, состоящий менее, чем из восьми символов, даже с учетом того, что в нем применяются цифры, буквы в различных регистрах и спецсимволы, хакеры смогут вскрыть всего за несколько минут.
Усиленная аутентификация обеспечивается использованием токена U2F (Universal Second Factor) или генератора одноразовых паролей ОТР (One-Time Password) с хранением секретного ключа на токене или смартфоне. Наконец, самый строгая аутентификация возможна только с использованием криптографии, PKI и сертификатов.
Импортозамещение CA-решений
Основой PKI является корпоративный центр выпуска и обслуживания сертификатов (СА, Certificate Authority) – это ключевой компонент безопасности ИТ-инфраструктуры, особенно для предприятий КИИ, госсектора, ОПК, ВПК. Для построения доверенного взаимодействия всех элементов ИТ-инфраструктуры и реализации надежной аутентификации пользователей требуется три типа сертификатов. Машинные сертификаты служат для аутентификации оборудования, программные – допускают использование только разрешенного/доверенного ПО, когда софт проверен на совместимость и замыкают базис по построению доверенной инфраструктуры пользовательские сертификаты.
Согласно экспертным оценкам «Аладдин Р.Д.», более 90% информационных систем в России построены на решении ушедшей из России компании Microsoft – службе каталогов Active Directory и центре сертификатов Certification Authority, обеспечивающих все задачи доверенного взаимодействия. От этой ключевой компоненты зависит работоспособность доменов безопасности/службы каталога и различных сервисов (удаленного доступа, VDI, VPN, RDP-шлюзов и др.). Зарубежная компания при желании в любой момент может деактивировать свой продукт, что сразу же создаст огромные проблемы для всех его клиентов.
По мнению Сергея Груздева, именно эту проблему в надо решать в России в первую очередь. Именно поэтому в рамках импортозамещения для быстрой замены Microsoft CA компания «Аладдин Р.Д.» разработала и выпустила первую версию корпоративного центра сертификации Aladdin Enterprise CA для Linux, отвечающего за выпуск сертификатов для обеспечения безопасного взаимодействия между разными объектами коммуникации на уровне домена (службы каталогов): внутренними и внешними пользователями, компьютерами, службами, серверами. Данная версия хотя и представляла собой концепт, но в ней уже были реализованы основные технологии.
На данный момент компания предлагает уже обновленную версию центра сертификации Aladdin Enterprise CA 2.0, которая позволяет осуществлять прием и обработку запросов от пользователей PKI (Public Key Infrastructure, инфраструктуры открытых ключей) на получение цифровых сертификатов, проверку на правомерность и выдачу сертификатов в соответствии с уровнем доступа пользователя (объекта) и политикой безопасности.
Сотрудничество «Аладдин Р. Д.» и «РЕД СОФТ»
Совместно с «РЕД СОФТ» компанией «Аладдин Р. Д.» был разработан сценарий автоматизации и миграции на отечественный центр выпуска сертификатов и домен безопасности, который обеспечивает централизованное конфигурирование и управление как центром выдачи сертификатов и доменом, так и остальной инфраструктурой.
Данное совместное решение позволяет заказчикам более грамотно реализовывать план по импортозамещению: постепенно, за счет плавной и бесшовной миграции без «шоковых действий», обеспечивая во время мигарации стабильную работу в гетерогенной инфраструктуре на Windows и Linux.
В основе управления доменными структурами лежит решение от «РЕД СОФТ» – система РЕД АДМ Про, которая представляет собой расширенную версию (промышленную редакцию) системы централизованного управления РЕД АДМ. В нее включены такие компоненты, как контроллер домена, файловое хранилище, возможность установки ОС по сети.
Рустам Рустамов, заместитель генерального директора «РЕД СОФТ»
«Представленные решения (РЕД АДМ Про и Aladdin Enterprise CA 2.0) при своем взаимодействии обеспечивают функционал, который позволяет мягко, эффективно, контролируемо и безопасно мигрировать доменную инфраструктуру и инфраструктуру открытых ключей на полностью отечественные продукты. Надеемся, что нам удастся развивать сотрудничество, чтобы обеспечить для клиентов действительно комфортный опыт в области импортозамещения безопасного управления инфраструктурой», – подтверждает Рустам Рустамов, заместитель генерального директора компании «РЕД СОФТ».
Перспективы Aladdin Enterprise CA
Одним из заказчиков Aladdin Enterprise CA стал «Газпром информ» – сервисная ИТ-компания ПАО «Газпром». Основная сложность при реализации данного проекта внедрения состояла в том, что корпоративная сеть «Газпрома» состоит из большого количества территориально и информационно распределенных структур. Поэтому осуществление бесшовного перехода на отечественное решение без остановки бизнес-процессов было непростой задачей. Подробности этой сделки не разглашаются.
А буквально на днях было объявлено, что решение Aladdin Enterprise CA было включено в портфолио компании Fortis, российского дистрибьютора высокотехнологичных решений в области информационной безопасности, которая подписала с «Аладдин Р.Д.» дистрибьюторское соглашение.
Большинство продуктовых решений Аладдин включены в Единый реестр отечественного ПО и сертифицированы ФСТЭК России. Вторая версия Aladdin Enterprise CA, обладающая категорией допуска «совершенно секретно», так же подана на сертификацию во ФСТЭК.
Сергей Шалимов руководитель направления по взаимодействию с технологическими партнерами «Аладдин Р. Д.»
Сергей Шалимов руководитель направления по взаимодействию с технологическими партнерами «Аладдин Р. Д.», отметил, что по некоторым параметрам решение Aladdin Enterprise Certificate Authority превосходит центр выдачи сертификатов Microsoft CA, так как в нем реализован более широкий набор функциональных возможностей. Это связано в том числе и с тем, что Aladdin Enterprise CA позволяет одновременно работать с разными службами каталогов – как Linux, так и Windows, а также использовать различные архитектуры аппаратных платформ, отечественные операционные системы и виртуальные среды. Так, помимо «РЕД СОФТ» в совместных проектах с «Аладдин Р.Д.» участвуют операционные системы Astra Linux (ГК «Астра»), «Альт» («Базальт СПО») и ROSA ( «НТЦ ИТ РОСА»).