21.04.2025 14:58
Импортоулучшение корпоративного центра сертификации Microsoft CA в Т-Банке
Сертификаты — это далеко не только КЭП и НЭП, они являются основой для более широкого спектра инфраструктур на базе открытых ключей. Корпоративный CA (Certificate Authority) выдает, приостанавливает и отзывает сертификаты, используемые внутри компании для различных технологических нужд, и в первую очередь — для целей аутентификации пользователей и оборудования в корпоративной среде. Без этих функций доверенная корпоративная инфраструктура просто не может существовать.
В январе 2025 года Т-Банк стал первой российской финансовой организацией, кто полностью заменил Microsoft CA на российское решение.
Чем не угодил Microsoft CA?
На резонный вопрос «А зачем вообще отказываться от Microsoft СА?» быстро находится очевидный ответ. На протяжении десятилетий этот инструмент шел в комплекте с операционной системой Windows, что сделало его стандартом де-факто. Возможно, именно поэтому ограниченность его функционала долгое время никого сильно не беспокоила — он просто был у всех и работал по умолчанию.
Но в условиях все новых и новых технологических ограничений и кризисов на рынке ИБ доступ к привычным инструментам усложнился. Особенно остро это ощущается в финансовом секторе, который практически полностью оказался под санкциями. Более того, все западные вендоры, включая американских, формально ушли с рынка, а те, кто фактически остался, все равно ставят российский бизнес перед необходимостью срочно искать альтернативные решения. Именно через эту призму в Т-Банке воспринималась ситуация с дальнейшим использованием Microsoft CA.
Было очевидно, что с этой проблемой нужно что-то делать, причем как можно скорее.
Поиск альтернативы
Главной сложностью стал поиск решений, способных заменить Microsoft CA и стать полноценным отечественным центром сертификации корпоративного уровня.
К российским продуктам у заказчиков всегда более требовательное отношение, и с самого начала целью проекта стала не просто замена американского решения, а получение более функциональной, современной и полностью адаптированной под потребности Т-Банка платформы.
Действительно, к 2025 г. бизнес уже не готов мириться с устаревшими ограничениями — неимением веб-интерфейса, невозможностью установки продукта в виртуальной среде или отсутствием контейнеризации, позволяющей гибко масштабировать систему. И конечно, российское решение должно соответствовать всем актуальным требованиям регуляторов в области информационной безопасности, включая поддержку отечественных операционных систем и баз данных, обеспечивая таким образом полный технологически независимый стек.
Причем, за время активного импортозамещения задача успела усложниться: CA теперь должен работать в гибридном ИТ-ландшафте, включающем в себя устройства и системы не только на базе Windows, но и на macOS, Linux, а также с учетом использования мобильных платформ iOS и Android. И каждый из этих компонентов требует надежной работы с сертификатами, обеспечивающими безопасность и высокий уровень доверия.
Особенности инфраструктуры
PKI-структура Т-Банка состоит из двух взаимосвязанных контуров.
Внутренний контур включает серверную, сетевую и пользовательскую инфраструктуры. Под последней подразумеваются не только рабочие станции сотрудников, но и мобильные устройства, используемые в работе.
Внешний контур представляет собой центр сертификации, который отвечает за выпуск сертификатов для контрагентов, партнеров и даже клиентов банка. На его основе функционирует вся эквайринговая сеть Т-Банка, обеспечивая ее безопасность и надежность.
Задача стояла предельно ясно — заменить Microsoft CA в обоих контурах инфраструктуры. После изучения рынка в поисках готового решения быстро выяснилось, что подходящего именно для Т-Банка варианта нет. Обозначилась дилемма: либо разрабатывать собственное решение, либо искать вендора, который сможет адаптировать свой продукт под требования банка.
Второй вариант и стал рабочим: выбор остановился на решении компании SafeTech. Мы организовали встречу с вендором, детально обсудили стратегию и с этого момента полностью погрузились в работу, двигаясь к реализации проекта.
Но спустя всего полтора месяца после первой встречи перед нами встала новая неожиданная задача: произошло объединение Т-Банка с Росбанком, и, соответственно, возникла необходимость, в том числе, быстро и бесшовно перевести инфраструктуру Росбанка на работу с новым центром сертификации. Инфраструктура Росбанка оказалась не менее масштабной, чем наша, что потребовало кардинального пересмотра многих процессов. Нам предстояло адаптировать систему так, чтобы к полуночи 1 января 2025 г. слияние прошло абсолютно незаметно для сотрудников и клиентов – без перебоев, задержек и ощутимых изменений в работе. Это стало настоящим испытанием на гибкость и эффективность как для нашей инфраструктуры, так и для решения SafeTech CA.
Пилотный проект и внедрение
Замена зарубежных компонентов инфраструктуры на отечественные средства защиты информации (СЗИ) – приоритетное направление для Т-Банка. Гибкость в интеграции и настройке выбранного решения позволила нам сохранить текущую инфраструктуру и повысить эффективность работы за счет внедрения более оптимизированных, современных и подстроенных под наши требования технологий.
Пилотный проект в организации продлился 4 месяца. В ходе тестирования было проверено множество различных сценариев использования СА во внутренней инфраструктуре Т-Банка, функциональность продуктового REST API в части интеграции во внутренние бизнес-процессы и даже возможности команды разработки вендора на предмет доработок тех или иных дополнительных функций. Было выпущено несколько тысяч технологических сертификатов для многих типов устройств и различных операционных систем – как Windows, так и Linux.
В целом, цели, которые ставил перед собой T-Банк, были вполне типовыми – в любом подобном проекте компании сталкиваются с похожими вызовами. Однако в данном случае важную роль сыграли особенности ИТ-ландшафта. Основной фокус был направлен на повышение управляемости процесса работы с сертификатами, усиление безопасности и, конечно же, строгое соответствие требованиям регуляторов.
В ходе пилотного проекта продукт подвергся всестороннему тестированию – его проверяли под разными нагрузками, изучали с разных сторон, буквально испытывали на прочность. В процессе вендор значительно расширил функциональные возможности решения, ориентируясь на наши требования. В итоге продукт стал еще более универсальным и теперь, однозначно, сможет заинтересовать не только финтех, но и другие отрасли.
После прохождения пилотного этапа мы за два месяца успешно развернули в продакшен два масштабных контура центра сертификации. То есть нам удалось полностью заменить как внешний, так и внутренний контуры PKI. Точно 1 января 2025 г. Microsoft CA был окончательно выведен из нашей инфраструктуры. И самое важное – для пользователей этот переход прошел абсолютно незаметно, без сбоев и лишних сложностей.
Переход с Microsoft СА на SafeTech CA был полностью бесшовным благодаря реализованной в отечественном продукте возможности импорта самих сертификатов и шаблонов из Microsoft СА.
С момента первого знакомства с продуктом и до его полноценного запуска в промышленную эксплуатацию прошло около шести месяцев.
Планы на будущее
В дальнейшем, в рамках развития продукта, мы планируем внедрить возможность публикации сертификатов в LDAP. Это позволит нам значительно упростить процесс управления сертификатами и в тех случаях, где ранее это было невозможно, а также полностью отказаться от ручного администрирования, перейдя на автоматизированные решения.
Кроме того, мы намерены перевести хранение ключей центра сертификации на HSM. Учитывая масштаб нашей инфраструктуры контейнеризации, одним из ключевых приоритетов станет внедрение в продукте поддержки протокола ACME, что значительно повысит удобство и автоматизацию работы с сертификатами.
По запросу наших ИТ-специалистов в планах на этот год – разработка дополнительных отчетов и статистики, чтобы предоставить более детализированную аналитику и удобные инструменты мониторинга.
Автор: Артем Мульдияров, архитектор отдела криптографической защиты информации Т-Банка
