Каковы основные вызовы и проблемы, с которыми столкнутся пользователи при развертывании корпоративных CA в гибридной инфраструктуре с преобладанием российских ОС?

Павел Мельниченко, SafeTech Lab

Если в компании используется правильный набор современных технологий, то гибридная инфраструктура не является проблемой или вызовом при внедрении СА. В случае с SafeTech CA мы об этом тщательно позаботились.

Самое главное — это в момент смены корпоративного CA таким образом спланировать переход, чтобы получить максимальный эффект от внедрения. То есть не просто заменить одно решение на другое, а кардинально улучшить процессы PKI внутри организации. И дальше просто идти по разработанному плану.

Денис Полушин, Аладдин

Обычные сотрудники организации не должны столкнуться с проблемами вообще. Мы гарантируем заказчикам обеспечение процесса миграции PKI-инфраструктуры без прерывания производственного процесса.

Тем не менее у каждого заказчика своя исторически сформированная инфраструктура, включающая организацию учетных данных, политик, полномочий, и свой особый проект импортозамещения.

В ответ на это мы регулярно обеспечиваем интеграцию с продуктами других производителей. А проектный подход и развитие компетенций у партнеров позволяет быстро реагировать на возникающие проблемы.

Эффективное управление корпоративным CA требует значительных ресурсов и экспертизы, в том числе в области криптографии. Как российским заказчикам решать эту проблему с учетом недостатка квалифицированных специалистов?

Денис Полушин, Аладдин

Надо понимать, что в целом в стране наблюдается недостаток кадров в области ИБ, способных отвечать современным вызовам, в том числе в области построения PKI-инфраструктуры и в области криптографии. Партнеры компании Аладдин занимаются созданием курсов, которые включают, базовую теорию для построения PKI, навыки построения архитектуры, отвечающей требованиям безопасности, а также учитывают современные вызовы в области ИБ.

Александр Санин, SafeTech Lab

На самом деле в этом нет ничего принципиально нового и чрезмерно сложного. Сейчас успешно эксплуатируются и администрируются и такие продукты, как MS CA, и различные решения Open Source.

Переход на полнофункциональный отечественный CA наконец-то даст специалистам удобный и надежный инструмент, который оптимизирует их работу и повысит ее эффективность. Поэтому не стоит искать здесь проблему — наоборот, внедрение качественного продукта решит множество текущих сложностей и сделает жизнь специалистов значительно проще.

Какие технологические вызовы и задачи стоят перед российскими разработчиками решений класса Certificate Authority? Какая функциональность появится в ближайший год?

Денис Полушин, Аладдин

Помимо реализации базовых функций PKI и возможностей, связанных с повышенными мерами защиты, нам необходимо обеспечить интеграцию с разными доменами:

• для извлечения данных и контроля их использования для выпуска сертификатов;
• для публикации всех сведений для организации PKI;
• для автоматического распространения сертификатов.

Для Microsoft-среды мы эту задачу выполнили на 100%, а для Linux это важнейшая задача на ближайший год, которая потребует согласованных усилий с партнерами-разработчиками доменов.

И мы не забываем про задачи заказчиков, реализацию мер защиты и сертификацию.

Павел Мельниченко, SafeTech Lab

Из вызовов, которые уже преодолены — это гетерогенность современных инфраструктур. CA должен работать со всеми системами во всех средах, и мы научили это делать.

Сейчас функциональность SafeTech CA покрывает 98% задач, которые появляются в корпоративной инфраструктуре. Но остались еще 2% наиболее интересных сценариев, которые по аналогии с законом Парето, будет сделать сложнее всего. Например, стабильная работа при нагрузке на CA до 12 тыс. запросов в секунду (это реальный пример от клиента), гибкая настройка процессов согласования выпуска, доставка сертификатов до конечных точек, управление ключевыми носителями и пр.

То есть в ближайшее время CA будет активно расти из чисто утилитарного инструмента в решение, которое может эффективно обслуживать бизнес-задачи.