Связаться с нами
Заполните заявку, и мы свяжемся с вами по почте или позвоним в ближайшее время.
Страница в разработке
Единая Система Автоматизированного Управления Сертификатами
обеспечивает надежную доставку, установку и своевременное обновление сертификатов, гарантируя непрерывную и безопасную работу сервисов и приложений в различных средах, включая контейнеры Kubernetes.
обеспечивает надежную доставку, установку и своевременное обновление сертификатов, гарантируя непрерывную и безопасную работу сервисов и приложений в различных средах, включая контейнеры Kubernetes.
Решение для современных IT-инфраструктур, которое позволяет эффективно управлять сертификатами и гарантировать для них актуальность и своевременное обновление, обеспечивая бесперебойную работу сервисов и приложений.
ЕСАУС
Решение для современных IT-инфраструктур, которое позволяет эффективно управлять сертификатами и гарантировать для них актуальность и своевременное обновление, обеспечивая бесперебойную работу сервисов и приложений.
Корпоративные политики проверки запросов и метаданных запроса при автоматическом выпуске сертификатов, что приближает к реализации концепции Zero Trust
Контролировать
Импортозаместить
Microsoft Enterprise PKI улучшенным отечественным аналогом, предназначенным для автоматизации выпуска, доставки и установки сертификатов на различных ОС Windows, Linux, MacOS и контейнерах Kubernetes
Обеспечивать
Необходимый уровень надежности и производительности PKI (ИОК).
Быстрый выпуск десятков тысяч
и поддержка эксплуатации десятков миллионов сертификатов
Быстрый выпуск десятков тысяч
и поддержка эксплуатации десятков миллионов сертификатов
Вести логирование
Абсолютно всех сертификатов, в том числе тех, которые УЦ не регистрируют в своей базе
Разграничить
Роли администраторов информационных систем, кластеров Kubernetes и службы информационной безопасности
Поддерживать
Широкий список Удостоверяющих центров от различных производителей (Microsoft CA, MiniCA, CryptoPro, SafeTech CA, Aladdin eCA) и распространять актуальный список доверенных УЦ в организации
С ЕСАУС вы сможете
Ключевые возможности
Ключевые возможности
Ключевые возможности
Ключевые возможности
ЕСАУС обеспечивает контроль над выпуском сертификатов благодаря дополнительному уровню безопасности и реализации концепции Zero Trust.
Система контролирует сроки действия всех сертификатов и SSH-ключей:
• Автоматическое уведомление владельцев;
• Отслеживание для классических серверов;
• Поддержка контейнерных сред Kubernetes;
• Своевременное обновление сертификатов и SSH-ключей (по заданным политикам).
Балансировка нагрузки выпуска сертификатов между разными УЦ, в том числе УЦ разных производителей
ЕСАУС ведет автоматическую настройку и обновление информационных систем для использования обновленных сертификатов, в том числе, по расписанию
Поддержка сложных сценариев, в том числе координированного обновления сертификатов в кластерах и в распределённых информационных системах;
Для доставки сертификатов не обязательно организовывать полноценное развертывание ЕСАУС в каждом сетевом сегменте, достаточно разместить лишь отдельный компонент (мосты)
Сценарии применения
Сценарий: Построение ИОК для гетерогенных сред
Изоляция УЦ от прямого доступа по сети клиентов и потребителей сертификатов;
Доставка сертификата и настройка конечного приложения (потребителя сертификата) на его использование;
Отслеживание срока жизни, доставка сертификата и настройка конечного приложения (потребителя сертификата) для его использования с учетом расписания технологических окон;
Актуализация и распространение списков доверенных корневых и промежуточных УЦ в рамках всей организации;
Постоянная проверка доступности компонентов друг другом; автоматический возврат к восстановившемуся компоненту после его отказа; механизмы коммуникации между компонентами для управления пропускной способностью системы;
Поддержка широкого спектра УЦ (MiniCA, Microsoft CA, КриптоПро PKI-кластер, SafeTech CA, Aladdin eCA). Поддержка Validata, VipNet, Notary-Pro, DigiCert, Globalsign запланированы в дорожной карте (2026-2027 годы);
Балансировка выпуска сертификатов между несколькими экземплярами Удостоверяющих Центров с поддержкой георезервирования и приоритезацией сетевых вызовов;
Cпециализированные агенты передают не только запрос на сертификат (CSR), но и сведения об окружении, в котором он был сформирован.
Эта информация сверяется с утвержденными политиками выпуска сертификатов;
Эта информация сверяется с утвержденными политиками выпуска сертификатов;
Своевременное обновление, доставка и установка сертификатов на серверах и сервисах - ключевое условие безопасности и доступности IT-инфраструктуры. Это способствует переходу к архитектуре Zero Trust.
ЕСАУС работает в Linux, Windows, macOS, кластерах Kubernetes и Istio Service Mesh. По возможностям превосходит Microsoft Enterprise ИОК для Windows:
ЕСАУС работает в Linux, Windows, macOS, кластерах Kubernetes и Istio Service Mesh. По возможностям превосходит Microsoft Enterprise ИОК для Windows:
Пример использования:
Построение цепочки мостов в сложно сегментированных сетях, что позволяет подключать удаленные или изолированные сегменты к корпоративному УЦ.
Постановка на мониторинг Агентом ЦУГИ срока действия сертификатов, используемых на серверах Samba DC (контроллер домена) с указанием технологических окон (разрешенных дней и часов для проведения работ);
При достижении 80% срока жизни сертификата Агенты выполняют обновление сертификатов по расписанию в разрешенные часы (технологические окна);
Администратору приходит оповещение об успехе или возникших ошибках.
Сценарий прозрачной миграция на УЦ другого производителя
При следующем обновлении сертификатов Агент доставит и установит сертификат, выпущенный на УЦ miniCA.
Создать политику выпуска сертификата, в которой указан УЦ MiniCA и шаблон MiniCA, по которому выпускать сертификат;
В панели управления ЕСАУС остановить исходную политику выпуска на УЦ Microsoft CA;
В рамках импортозамещения Clearway Integration предлагает отечественный аналог Microsoft CA - УЦ MiniCA (на базе Openssl):
Прозрачное переключение клиентов на выпуск сертификатов на УЦ другого производителя.
Балансировку выпуска сертификатов между несколькими экземплярами Удостоверяющих Центров;
Одновременно работать с УЦ различных производителей - MiniCA, Microsoft CA, CryptoPro, SafeTech CA, Aladdin eCA;
Использование корпоративного УЦ – одно из обязательных требований для организации защиты информации и обеспечения безопасности коммуникаций между различными участниками сети. УЦ глубоко интегрируется в инфраструктуру, поэтому, в случае необходимости, переход на УЦ другого производителя – трудоемкий процесс, который требует вложения больших ресурсов.
ЕСАУС позволяет:
ЕСАУС позволяет:
Сценарий распределенного выпуска
Агенты считывают готовность друг друга и выполняют скрипт конфигурирования PostgreSQL Patroni Cluster на использование SSL/TLS.
Агент на втором сервере PostgreSQL также получает сертификат и «поднимает флаг» готовности;
Агент на сервере PostgreSQL получает сертификат и «поднимает флаг», что готов к дальнейшему конфигурированию;
Пример использования: Конфигурирование PostgreSQL Patroni Cluster
Использовать распределенное централизованное хранилище сертификатов для возможности скачивания сертификата на другие хосты
в сценариях использования единого сертификата в распределенных приложениях.
в сценариях использования единого сертификата в распределенных приложениях.
Координировать действия Агентов в распределенных сценариях обновления сертификатов на различных хостах при помощи
флагов-семафоров;
флагов-семафоров;
Системы-потребители сертификатов имеют различную архитектуру – от простых «на одном сервере» до кластеров и распределенных множественных компонентов. При обновлении сложных систем требуется координация действий при выполнении работ, чтобы компоненты системы не перестали доверять друг другу.
ЕСАУС позволяет настроить автоматические сценарии скоординированного обновления сертификатов в кластерах серверов
и распределенных информационных системах:
ЕСАУС позволяет настроить автоматические сценарии скоординированного обновления сертификатов в кластерах серверов
и распределенных информационных системах:
Сценарий для Kubernetes
В панели управления ЕСАУС видно, что сертификаты для кластера Kubernetes выпускаются по заданной политике выпуска сертификатов, можно посмотреть параметры этих сертификатов;
Выдерживать пиковые нагрузки по выпуску сертификатов в больших кластерах Kubernetes, предотвращая перегрузки на УЦ;
Пример использования:
ЕСАУС позволяет:
Контролировать и журналировать факт выпуска сертификата согласно с утвержденными политиками выпуска сертификатов;
В контейнеризированных средах, с использованием mTLS срок жизни сертификата должен примерно соответствовать среднему времени жизни пода или сервиса - от нескольких часов до нескольких дней. В этом случае применение списков отзыва (CRL/OCSP) теряет смысл, поскольку скомпрометированный сертификат быстро теряет актуальность даже без явного отзыва.
Кроме того, в таких средах отсутствуют встроенные инструменты для безопасного хранения закрытых ключей. Поэтому при каждом запуске контейнера или масштабировании приложений и сервисов требуется выпускать новые сертификаты.
В связи с количеством и частотой выпуска сертификатов рекомендуется не хранить выпущенные сертификаты в базе данных УЦ.
В противном случае, база быстро разрастется, что сильно скажется на производительности УЦ. Получается, что администраторы ИБ
не будут ничего знать о сертификатах для Kubernetes?
Кроме того, в таких средах отсутствуют встроенные инструменты для безопасного хранения закрытых ключей. Поэтому при каждом запуске контейнера или масштабировании приложений и сервисов требуется выпускать новые сертификаты.
В связи с количеством и частотой выпуска сертификатов рекомендуется не хранить выпущенные сертификаты в базе данных УЦ.
В противном случае, база быстро разрастется, что сильно скажется на производительности УЦ. Получается, что администраторы ИБ
не будут ничего знать о сертификатах для Kubernetes?
Выпускать и размещать сертификаты в секретах кластеров микросервисов;
Актуализировать в секретах список доверенных корневых и промежуточных сертификатов всех Удостоверяющих Центров;
Перевыпускать сертификаты при изменении или удалении секретов Kubernetes;
Сохранять сертификаты, закрытые ключи и сертификаты УЦ в форматах PEM, PKCS8, PKCS12, JKS.
Реализация различных сценариев выпуска и обновления сертификатов с учетом расписания, событий или по команде
от Администратора;
от Администратора;
Операторы предоставляют метрики, отражающие состояние и работу с сертификатами, а также сведения о самих сертификатах, в формате Prometheus.
Сценарий для Istio
В панели управления ЕСАУС видно, что сертификаты для Istio выпускаются по заданной политики выпуска сертификатов.
Защищённое соединение между сервисами, которые взаимодействуют через Istio в кластере Kubernetes, основано на сертификатах, выпущенных корпоративным центром сертификации (УЦ) по политикам ЕСАУС. Эти политики согласованы администраторами информационной безопасности;
Пример использования:
Выносить логику УЦ за пределы микросервисных платформ, возвращая контроль службе информационной безопасности, разделяя функций ИБ и администраторов Kubernetes/Istio.
В Istio Service Mesh используется компонент istiod (ранее Citadel) по умолчанию является центром сертификации с самоподписанным корневым сертификатом, которому внешние системы не доверяют. Поэтому настройка и поддержка доверенного взаимодействия кластера Kubernetes с другими кластерами или внешними системами — достаточно трудоёмкая задача.
Istiod может использовать промежуточные сертификаты корпоративного центра сертификации, то есть выполнять роль дочернего выпускающего центра. Однако при этом контроль над выпуском сертификатов (точнее, отсутствие контроля со стороны ИБ) переходит
к администраторам Kubernetes или лицам с соответствующими правами. Они получают доступ к закрытому ключу центра сертификации,
что создаёт риск неконтролируемого выпуска любых сертификатов, например с маской «*». Для информационной безопасности
это представляет серьёзную угрозу.
ЕСАУС позволяет:
Istiod может использовать промежуточные сертификаты корпоративного центра сертификации, то есть выполнять роль дочернего выпускающего центра. Однако при этом контроль над выпуском сертификатов (точнее, отсутствие контроля со стороны ИБ) переходит
к администраторам Kubernetes или лицам с соответствующими правами. Они получают доступ к закрытому ключу центра сертификации,
что создаёт риск неконтролируемого выпуска любых сертификатов, например с маской «*». Для информационной безопасности
это представляет серьёзную угрозу.
ЕСАУС позволяет:
Сценарий для SSH
Автоматизация: выпуск и ротация SSH-ключей по заданным политикам для исключения слабых параметров и обеспечения единых криптографических стандартов.
Инвентаризация: централизованный контроль SSH-ключей на хостах для выявления несоответствий требованиям ИБ
(отсутствие passphrase, недостаточная длина ключа и другие параметры);
(отсутствие passphrase, недостаточная длина ключа и другие параметры);
Пример использования:
Централизованная инвентаризация, генерация, распространение и обновление SSH-ключей;
В большинстве компаний службы информационной безопасности не имеют полного контроля над инфраструктурой SSH-ключей.
Часто неизвестно, где именно размещаются открытые и закрытые ключи, используются ли пароли (passphrase) для защиты, каким
способом генерируются ключи и соответствует ли их длина корпоративным стандартам. Неавтоматизированный учет приводит
к накоплению устаревших или небезопасных ключей, создавая угрозу несанкционированного доступа. Отсутствие централизованной инвентаризации усложняет проведение аудита и быструю реакцию на инциденты, связанные с ключами.
ЕСАУС позволяет:
Часто неизвестно, где именно размещаются открытые и закрытые ключи, используются ли пароли (passphrase) для защиты, каким
способом генерируются ключи и соответствует ли их длина корпоративным стандартам. Неавтоматизированный учет приводит
к накоплению устаревших или небезопасных ключей, создавая угрозу несанкционированного доступа. Отсутствие централизованной инвентаризации усложняет проведение аудита и быструю реакцию на инциденты, связанные с ключами.
ЕСАУС позволяет:
Единый реестр SSH-ключей позволяет отслеживать размещение открытых и закрытых ключей на каждом хосте, их взаимосвязь
и соответствие установленной политике безопасности.
и соответствие установленной политике безопасности.
Сценарии применения
Одним из важных критериев поддержания безопасности и доступности IT-инфраструктуры является своевременное обновление сертификатов, их доставка и установка на конечных системах и сервисах.
ЕСАУС не только обеспечивает Linux, MacOS и кластеры Kubernetes возможностями аналогичными тем, что предоставляет Microsoft ИОК для Windows, но и расширить их:
ЕСАУС не только обеспечивает Linux, MacOS и кластеры Kubernetes возможностями аналогичными тем, что предоставляет Microsoft ИОК для Windows, но и расширить их:
- Балансировка выпуска сертификатов между несколькими экземплярами Удостоверяющих Центров с поддержкой георезервирования и приоритизацией сетевых вызовов внутри одного ЦОД (Центра Обработки Данных)
- Автоматический повтор вызовов при временных сбоях и отключение неисправных УЦ
- Доставка цепочки сертификатов доверенных УЦ до потребителей
- Автоматизированное отслеживание срока жизни сертификата и его замена по расписанию
- Сохранение сертификатов, закрытых ключей и доверенных сертификатов в форматах PEM, PFX, JKS
- Доставка сертификата и настройка конечного приложения (потребителя сертификата) для его использования
- Контроль выпуска сертификата – известно, на каком хосте, с каким IP адресом и с какими параметрами осуществлялся запрос сертификата. Выпуск сертификата производится только на разрешенных хостах
- Построение цепочки мостов в сложно сегментированных сетях, что позволяет подключать удаленные или изолированные сегменты к корпоративному УЦ
Использование корпоративного УЦ – одно из обязательных требований для организации защиты информации и обеспечения безопасности коммуникаций между различными участниками сети. УЦ глубоко интегрируется в инфраструктуру, поэтому, в случае необходимости, переход на УЦ другого производителя – трудоемкий процесс, который требует вложения больших ресурсов.
ЕСАУС позволяет:
В рамках импортозамещения Clearway Integration предлагает отечественный аналог Microsoft CA – УЦ MiniCA (на базе OpenSSL):
ЕСАУС позволяет:
- Одновременно работать с УЦ различных производителей - Microsoft CA, MiniCA (на базе OpenSSL), CryptoPro, SafeTech CA, Aladdin eCA
- Осуществлять балансировку выпуска сертификатов между несколькими экземплярами Удостоверяющих Центров
- Осуществлять прозрачное переключение клиентов на выпуск сертификатов на УЦ разных вендоров
В рамках импортозамещения Clearway Integration предлагает отечественный аналог Microsoft CA – УЦ MiniCA (на базе OpenSSL):
- В панели управления ЕСАУС остановить исходную политику выпуска на УЦ Microsoft CA
- Создать политику выпуска сертификата, в которой указан УЦ MiniCA и шаблон MiniCA, по которому выпускать сертификат
- При следующем обновлении сертификатов Агент доставит и установит сертификат, выпущенный на УЦ MiniCA
Системы-потребители сертификатов имеют различную архитектуру – от простых «на одном сервере» до кластеров и распределенных множественных компонентов. При обновлении сложных систем требуется координация действий, чтобы компоненты системы не перестали доверять друг другу.
ЕСАУС позволяет настроить автоматические сценарии скоординированного обновления сертификатов в кластерах серверов и распределенных информационных системах:
ЕСАУС позволяет настроить автоматические сценарии скоординированного обновления сертификатов в кластерах серверов и распределенных информационных системах:
- Координировать действия Агентов в распределенных сценариях обновления сертификатов на различных хостах при помощи флагов-семафоров
- Использовать распределенное централизованное хранилище сертификатов для возможности скачивания сертификата на другие хосты в сценариях использования единого сертификата в распределенных приложениях
- Агент на сервере PostgreSQL получает сертификат и «поднимает флаг», что готов к дальнейшему конфигурированию
- Агент на втором сервере PostgreSQL также получает сертификат и «поднимает флаг» готовности
- Агенты считывают готовность друг друга и выполняют скрипт конфигурирования PostgreSQL Patroni Cluster на использование SSL/TLS
В Istio Service Mesh используется компонент istiod (ранее Citadel). По умолчанию это УЦ с самоподписанным сертификатом, к которому нет доверия. Поэтому настройка и поддержание доверенного взаимодействия кластера Kubernetes с другими кластерами или внешними системами достаточно трудоемкая задача.
Istiod может использовать промежуточные сертификаты корпоративного УЦ, то есть получить роль дочернего выпускающего УЦ. Однако контроль выпуска (вернее его полное отсутствие со стороны ИБ) сертификатов уходит к администраторам Kubernetes (или получившего соответствующие права) – появляется доступ к закрытому ключу УЦ. Это риски для неконтролируемого выпуска любого сертификата, например, с «*». Это для ИБ еще хуже.
Есаус позволяет:
• Модернизировать механизм выпуска сертификатов в Istio при помощи компонента Цитадель ЦУГИ, что позволит вынести функции УЦ и логику выпуска сертификатов из Kubernetes Istio на доверенный УЦ. Контроль за выпуском сертификатов остается у администраторов ИБ.
Пример использования:
• Защищенное соединение между сервисами, взаимодействующих через Istio в кластере Kubenetes, основано на сертификатах, выпущенных на общих корпоративных УЦ, и служба безопасности может осуществлять контроль за выпуском таких сертификатами.
• В панели управления ЕСАУС видно, что сертификаты для Istio выпускаются по заданной политики выпуска сертификатов
Istiod может использовать промежуточные сертификаты корпоративного УЦ, то есть получить роль дочернего выпускающего УЦ. Однако контроль выпуска (вернее его полное отсутствие со стороны ИБ) сертификатов уходит к администраторам Kubernetes (или получившего соответствующие права) – появляется доступ к закрытому ключу УЦ. Это риски для неконтролируемого выпуска любого сертификата, например, с «*». Это для ИБ еще хуже.
Есаус позволяет:
• Модернизировать механизм выпуска сертификатов в Istio при помощи компонента Цитадель ЦУГИ, что позволит вынести функции УЦ и логику выпуска сертификатов из Kubernetes Istio на доверенный УЦ. Контроль за выпуском сертификатов остается у администраторов ИБ.
Пример использования:
• Защищенное соединение между сервисами, взаимодействующих через Istio в кластере Kubenetes, основано на сертификатах, выпущенных на общих корпоративных УЦ, и служба безопасности может осуществлять контроль за выпуском таких сертификатами.
• В панели управления ЕСАУС видно, что сертификаты для Istio выпускаются по заданной политики выпуска сертификатов
Кластеры микросервисов не имеют функционала проверки списка отзыва сертификата, поэтому для mTLS используются сертификаты, срок действия которых исчисляется несколькими днями.
В контейнеризированных средах, где приложения и сервисы динамически масштабируются (контейнеры постоянно создаются и уничтожаются), существует перманентная потребность в выпуске сертификатов, число которых может исчисляться тысячами и даже десятками тысяч запросов в секунду.
В связи с количеством и частотой выпуска сертификатов рекомендуется не хранить выпущенные сертификаты в базе данных УЦ. В противном случае, база УЦ будет быстро разрастаться, что будет очень сильно сказываться на производительности УЦ. Получается, что администраторы УЦ не будут ничего знать о сертификатах для Kubernetes?
ЕСАУС позволяет:
• Контролировать и журналировать факт выпуска сертификата
Пример использования:
• В панели управления ЕСАУС видно, что сертификаты для кластера Kubernetes выпускаются по заданной политике выпуска сертификатов, можно посмотреть параметры этих сертификатов
В контейнеризированных средах, где приложения и сервисы динамически масштабируются (контейнеры постоянно создаются и уничтожаются), существует перманентная потребность в выпуске сертификатов, число которых может исчисляться тысячами и даже десятками тысяч запросов в секунду.
В связи с количеством и частотой выпуска сертификатов рекомендуется не хранить выпущенные сертификаты в базе данных УЦ. В противном случае, база УЦ будет быстро разрастаться, что будет очень сильно сказываться на производительности УЦ. Получается, что администраторы УЦ не будут ничего знать о сертификатах для Kubernetes?
ЕСАУС позволяет:
• Контролировать и журналировать факт выпуска сертификата
Пример использования:
• В панели управления ЕСАУС видно, что сертификаты для кластера Kubernetes выпускаются по заданной политике выпуска сертификатов, можно посмотреть параметры этих сертификатов
PDF, 123KB
Наш текст
PDF, 123KB
Наш текст
PDF, 123KB
Наш текст
PDF, 123KB
Наш текст
PDF, 123KB
Наш текст
PDF, 123KB
Наш текст
PDF, 123KB
Наш текст
Материалы
Другие продукты на ЦУГИ
MiniCA
Сервер центра сертификатов на основе OpenSSL.
Флагманская система мониторинга и управления, замена линейки продуктов Microsoft System Center
МиУ
ЛКПС
Личный кабинет для потребителей сертификатов с единым окном для поиска, анализа статистики применения, выпуска и обновления сертификатов
Мониторинг работоспособности Инфраструктуры Открытых Ключей и контроль актуальности срока действия сертификатов
СМИОК
СУЛиО
Система для централизованного контроля установленного ПО, управления дистрибутивами и лицензиями продуктов КриптоПро CSP и КриптоПро Ngate
- Мониторинг работоспособности Инфраструктуры Открытых Ключей и контроль актуальности срока действия сертификатовСистема для централизованного контроля установленного ПО, управления дистрибутивами и лицензиями продуктов КриптоПро CSP и КриптоПро NgateСервер центра сертификатов на основе OpenSSL.Личный кабинет для потребителей сертификатов с единым окном для поиска, анализа статистики применения, выпуска и обновления сертификатовФлагманская система мониторинга и управления, замена линейки продуктов Microsoft System CenterМониторинг работоспособности Инфраструктуры Открытых Ключей и контроль актуальности срока действия сертификатовСистема для централизованного контроля установленного ПО, управления дистрибутивами и лицензиями продуктов КриптоПро CSP и КриптоПро NgateСервер центра сертификатов на основе OpenSSL.Личный кабинет для потребителей сертификатов с единым окном для поиска, анализа статистики применения, выпуска и обновления сертификатовФлагманская система мониторинга и управления, замена линейки продуктов Microsoft System CenterСтраница в разработкеСвязаться с намиЗаполните заявку, и мы свяжемся с вами по почте или позвоним в ближайшее время.