Три причины, почему не стоит оставлять инфраструктуру под управлением Microsoft CA

Корпоративный Certificate Authority (CA) — краеугольный камень обеспечения доверия в инфраструктуре. Однако геополитические предпосылки, ужесточение регуляторных требований и необходимость соответствия современным стандартам вынуждают компании задумываться о миграции на новые решения. Этот процесс имеет шансы стать весьма болезненным, он требует не только технической подготовки, но и глубокого понимания рисков, стратегического планирования и слаженной работы всех заинтересованных сторон.

Эксперты:

• Павел Мельниченко, технический директор SafeTech Lab
• Денис Полушин, директор по продукту Aladdin eCA, Аладдин
• Александр Санин, генеральный директор SafeTech Lab

Александр Санин, SafeTech Lab

1. Сегодня большинство специалистов в ИБ очень хорошо понимает, что использовать продукты компаний, которые зависят от политических настроений, максимально небезопасно. Тот факт, что эти продукты до сих пор функционируют и не превратились в бесполезные «кирпичи», можно считать лишь удачным стечением обстоятельств. Однако ситуация, когда доступ к критически важным обновлениям безопасности становится проблемой — это уже не просто вызов, а неприемлемый риск, который нельзя игнорировать.
2. Развитие Linux-инфраструктур также активно способствует внедрению продуктов, которые не привязаны к какой-либо одной платформе. В этом контексте универсальный центр сертификации, способный работать и с Windows, и с Linux, а также со многими другими платформами — оптимальное решение.
3. Законодательство в области импортозамещения остается значимым фактором, и послаблений здесь не предвидится. Для огромного числа компаний переход с таких продуктов, как Microsoft CA, на российские решения — не просто вопрос выбора, а обязательное требование, продиктованное нормативными актами.

Денис Полушин, Аладдин

Корпоративный центр сертификации — это ядро системы, компрометация которого полностью подрывает доверие внутри инфраструктуры. С другой стороны, он должен быть тесно связан со многими элементами ИС.

Поэтому первая причина связана с высокими рисками безопасности с непоправимыми последствиями в условиях отсутствие доверия к решениям, произведенным в недружественных странах.

Вторая причина — это отсутствие технологической интеграции с другими продуктами отечественных производителей.

Третья причина — отсутствие сертификата отечественного регулятора.

Павел Мельниченко, SafeTech Lab

С технической стороны добавлю, что в Microsoft CA отсутствует необходимая современной инфраструктуре функциональность — протоколы работы с PKI (например, SCEP, ACME и др.), интеграция с SIEM для аудита, понятные интерфейсы оператора и администратора и многое другое. Современный ИТ-ландшафт ушел далеко от технологий, ориентированных только на Microsoft.

Денис Полушин, Аладдин

Важно понимать, что сам по себе уход от Microsoft CA может занять один-два года, так как продукт такого класса тесно связан со всеми элементами инфраструктуры.

Не всегда возможно заменить сертификаты, которые выпущены в Microsoft CA, и в рамках переходного периода важно снизить риск ущерба вследствие атаки на старую PKI-инфраструктуру.

Поэтому начинать проектирование будущей системы PKI предприятия нужно как можно раньше, так как эту процедуру нельзя совершить быстро, когда «гром грянет».

В проекте приказа ФСТЭК России на это выделяется два года.

Александр Санин, SafeTech Lab

Перейти на российское ПО многие компании должны были «еще вчера». И чем раньше они начнут этот процесс, тем быстрее смогут минимизировать критичные риски в своих инфраструктурах.

Иногда мы слышим от наших потенциальных заказчиков что-то в стиле «Мы спрятали все свои MS-сервисы за семью замками, они работают, и импортозамещение для нас не актуально». Подобный подход демонстрирует недальновидность и отсутствие понимания реальных угроз.

К счастью, большинство грамотных специалистов четко осознают необходимость замены подобных продуктов и активно работают над снижением зависимости от иностранных решений.

Денис Полушин, Аладдин

Невозможно. Корпоративный CA хоть для одного SSL-сертификата присутствует везде. В таких системах используется простая аутентификация пользователей — по логину-паролю, ненадежность которой доказана многими исследованиями. А аутентификация устройств не используется вообще.

А вот самый высокий уровень доверия к результатам аутентификации обеспечивает строгая аутентификация (взаимная, с использованием криптографии), реализацию которой должен обеспечивать корпоративный центр сертификации.

Александр Санин, SafeTech Lab

Если речь идет о небольших компаниях с инфраструктурой, условно, до ста пользователей, то, возможно, и получится обойтись более простыми инструментами. Однако за всю свою практику я не встречал ни одной серьезной инфраструктуры, в которой отсутствовали бы элементы PKI. Это не просто тренд, а объективная реальность современного уровня развития ИТ и ИБ. Без PKI компания просто не может обеспечить эффективное и, что самое важное, безопасное функционирование своих бизнес-процессов.