Статья Дениса Калемберга и Александра Санина о запуске SafeTech CA

Наш ответ Microsoft. SafeTech запустил отечественный СА, призванный заменить иностранное решение

В данной статье мы расскажем о комплексном решении SafeTech СА, разработанном компанией SafeTech для выпуска сертификатов стандарта RSA (в том числе технологических), которое обладает не только всеми свойствами Microsoft СА, но и широким дополнительным функционалом.

НА 100% РОССИЙСКИЙ ПРОДУКТ

Microsoft Certificate Authority (Microsoft СА, центр сертификации Microsoft) для компаний всего мира де-факто является «сервисом по умолчанию», так как он бесплатен и встроен в Windows Server. Российские организации не стали исключением, и долгие годы Microsoft СА для отечественного бизнеса был одним из ключевых компонентов в работе с инфраструктурой открытых ключей. С его помощью выпускали, приостанавливали и отзывали сертификаты, используемые внутри компании для различных технологических нужд. Все привыкли, что Microsoft СА «просто есть» и что он решает свои задачи. При этом к удобству и интерфейсам сервиса вопросов всегда было много, но, когда продукт бесплатен и поставляется в комплекте с серверной ОС, их обычно не задают.

Однако после ухода Microsoft из России и появления рисков ограничения доступности его сервисов у организаций, заботящихся о непрерывности функционирования ИТ-инфраструктуры, появилась необходимость в импортонезависимом решении. Как минимум для того, чтобы иметь что-то в резерве на случай негативного сценария в виде внезапной недоступности Microsoft СА. Для компаний, относящихся к субъектам критической инфраструктуры (КИИ), отечественный СА не только должная осмотрительность, но и требование законодательства с чётко установленными сроками. А именно: с 2025 года субъекты КИИ должны перейти с иностранного софта на отечественный. Такое требование содержится в Указе Президента России.

На сегодняшний день на российском рынке есть несколько отечественных СА. Одно из решений — наше, то есть разработанное компанией SafeTech,резидентом ИТ-кластера фонда «Сколково». SafeTech CA — не адаптация опенсорсного решения, а полностью собственная разработка. Это на 100% российский продукт, выпущенный компанией, которая более 13 лет создаёт решения в области информационной безопасности.

НЕ КОНКУРЕНТ

Отметим, мы не позиционируем SafeTech CA как конкурента, например, удостоверяющим центрам от «КриптоПро» или «ИнфоТеКСа». Наша цель — именно замена сервиса выпуска технологических сертификатов, используемых повсеместно. А это совершенно иной рынок и иная целевая аудитория. Нашим решением даже может больше заинтересоваться эксплуатирующее подразделение ИТ, чем департамент информационной безопасности. Безусловно, оба понимают, о чём речь, но тут есть явная и чёткая грань: наше решение обслуживает технологические сертификаты, а в крупных компаниях для тех или иных нужд таких сертификатов могут быть десятки или даже сотни тысяч, и все они выпускаются по простым и понятным шаблонам и протоколам, и это весьма далеко от ГОСТ криптографии и процессов, принятых там.

ДРУГИМ ПУТЁМ

Порой ИТ-компании, выпускающие своё решение вместо продукта ушедшего вендора, стремятся достичь максимальной идентичности как по интерфейсу, так и по функционалу. Мы пошли другим путём. Microsoft СА, хотя и является привычным и бесплатным, но весьма скуден по набору функций. На наш взгляд, в 2024 году просто странно иметь административный интерфейс, который не менялся уже четверть века. При создании нового продукта копировать морально и технически устаревшие особенности привычного Microsoft СА не было смысла, и потому мы в своём решении сделали упор на гораздо большую функциональность, современные интерфейсы, гибкость, масштабируемость и кроссплатформенность!

Именно поэтому мы в рамках разработки взяли кроссплатформенный стек — Java. С одной стороны, это позволило решению разворачиваться и работать как в Microsoft, так и в Linux-инфраструктурах, а с другой стороны — обеспечить очень высокую производительность. Первые проведённые тесты и замеры демонстрировали скорость выпуска сертификатов на уровне 6–8 тысяч в минуту в базовой конфигурации серверов. Этого показателя хватит с большим запасом подавляющему числу клиентов. Решение поддерживает развёртывание в любом формате:

классическая виртуализация (VmWare, KVM, HyperV и т. д.);
контейнерная виртуализация (Docker, OpenShift/K8S);
установка на физические сервера.
SafeTech CA способно закрыть все базовые задачи, которые решал Microsoft СА. В текущей версии 1.0 мы реализовали протокол Microsoft WS-Trust X.509v3 Token Enrollment Extensions (MS-WSTEP). Кроме того, решение поддерживает интеграцию с MS Active Directory. В совокупности это делает возможной замену Microsoft CA и обеспечение auto enrollment-сервиса на полностью отечественном ПО.

Кроме того, миграция на SafeTech CA с Microsoft CA — бесшовная: SafeTech CA можно развернуть в существующей инфраструктуре параллельно с Microsoft CA и начать выпускать на нём новые сертификаты какого-то определённого типа. Затем постепенно расширять типы выпускаемых сертификатов. И через какое-то время вывести сервис Microsoft CA из эксплуатации.

АРХИТЕКТУРА

Архитектура SafeTech CA строится на микросервисной модели, что, с одной стороны, обеспечивает лёгкую масштабируемость и отказоустойчивость, а с другой — позволяет довольно гибко управлять роадмэпом (дорожной картой развития) продукта. С момента релиза SafeTech CA прошло меньше 2 месяцев, и всё это время мы находились в непрерывном общении как с потенциальными заказчиками, так и с рядом интеграторов. Собрав первые отзывы, мы существенно изменили сроки выпуска функциональных модулей, передвинув в начало наиболее востребованные и убрав в конец экзотические. В настоящее время в продукте, помимо ядра, включающего в себя основные сервисы (CA core, Gateway, Discovery service, CRL/AIA services, OCSP), а также стандартного интеграционного REST API, мы реализовали модуль MS Enrollment, который обеспечивает поддержку управления сертификатами для пользователей MS Active Directory и компьютеров MS Windows.

Следующий на очереди модуль — SCEP. Он обеспечивает поддержку управления сертификатами для сетевых устройств и ПО (Cisco, MS Intune и т. д.). Пожелание по скорейшей реализации данного протокола мы услышали от 100% компаний, с которыми общались. Мы считаем хорошей практикой, когда потенциальные заказчики и эксперты в предметной области могут влиять на роадмэп продукта, что в нашем случае и произошло. Это позволит решению развиваться быстро, эффективно и в правильном направлении.

В дальнейшем планируем реализовать модули ACME (обеспечивают поддержку открытого интернет-стандарта ACME (Kubernetes, Openshift, Let’s Encrypt) и CMP (обеспечивает поддержку протокола CMP — базового стандарта для API OpenSSL, Bouncy Castle, Nexus и т. д.). И последним — модуль EST (обеспечивает поддержку управления сертификатов для MDM-систем и мобильных устройств).

НАВСТРЕЧУ ПАРТНЁРУ

Кроме того, мы уже работаем над специализированной версией SafeTech CA, использующей сертифицированное криптографическое ядро от нашего партнёра — компании «КриптоПро». Это позволит, с одной стороны, заместить импортные HSM на хорошо зарекомендовавший себя «КриптоПро HSM», не меняя при этом используемые криптографические алгоритмы. С другой стороны, с запуском этой версии ГОСТ криптоалгоритмы в решении будут поддержаны автоматически. На сегодняшний день мы сосредоточились на RSA. Но важно отметить, что для SafeTech CA не имеет значения, какой криптографией пользоваться. Это всего лишь вопрос подключения/отключения криптоядра, на остальную функциональность продукта выбор криптографии не влияет. Но первая версия SafeTech CA была запущена именно на RSA-криптографии по той лишь причине, что инфраструктура в широком смысле «не умеет в ГОСТ», как бы нам ни хотелось все выпускаемые сертификаты делать по ГОСТу…

Все нововведения в функциональности автоматически будут доступны и в специальной версии SafeTech CA с сервисами от «КриптоПро». Это опять же о преимуществах микросервисной модели, которая позволяет нам не вести две независимые ветки разработки, а делать это в одном едином ключе.

МЫ ВЫБРАЛИ ИМПОРТОНЕЗАВИСИМОСТЬ

Вместо заключения хотел бы ещё раз подчеркнуть: мы не пошли по пути традиционного импортозамещения и не стали делать свой продукт как кальку с Microsoft СА. Мы выбрали импортонезависимость, сделав наше решение более удобным и функциональным.

И потому SafeTech CA обладает всеми атрибутами современного, хорошего продукта:

— адекватным, современным и удобным UI (интерфейсом) администрирования;
— максимально широким по функциональности интеграционным REST API;
— возможностями интеграции с системами сбора и корреляции событий информационной безопасности (SIEM);
— управлением доступом в рамках современного OAuth OIDC с возможностью использования внешних систем безопасного доступа и каталогов субъектов.

Кроме того, ключевым преимуществом SafeTech CA является поддержка всех распространённых протоколов: MS Enrollment, SCEP, ACME, CMP, EST, HSM, OCSP — для решения любых задач в рамках современного центра сертификации.

Источник: https://ib-bank.ru/bisjournal/post/2288