Поможем автоматизировать вашу IT-инфраструктуру
Оставьте свои контакты и мы отправим вам подробную информацию о наших решениях, ответим на появившиеся вопросы и предложим свою экспертизу
Единая Система Автоматизированного Управления Сертификатами
обеспечивает надежную доставку, установку и своевременное обновление сертификатов, гарантируя непрерывную и безопасную работу сервисов и приложений в различных средах, включая контейнеры Kubernetes.
Решение для современных IT-инфраструктур, которое позволяет эффективно управлять сертификатами и гарантировать для них актуальность и своевременное обновление, обеспечивая бесперебойную работу сервисов и приложений.
ЕСАУС
Решение для современных IT-инфраструктур, которое позволяет эффективно управлять сертификатами и гарантировать для них актуальность и своевременное обновление, обеспечивая бесперебойную работу сервисов и приложений.
Корпоративные политики проверки запросов и метаданных запроса при автоматическом выпуске сертификатов, что приближает к реализации концепции Zero Trust
Контролировать
Импортозаместить
Microsoft Enterprise PKI улучшенным отечественным аналогом, предназначенным для автоматизации выпуска, доставки и установки сертификатов на различных ОС Windows, Linux, MacOS и контейнерах Kubernetes
Обеспечивать
Необходимый уровень надежности и производительности PKI (ИОК).
Быстрый выпуск десятков тысяч
и поддержка эксплуатации десятков миллионов сертификатов
Вести логирование
Абсолютно всех сертификатов, в том числе тех, которые УЦ не регистрируют в своей базе
Разграничить
Роли администраторов информационных систем, кластеров Kubernetes и службы информационной безопасности
Поддерживать
Широкий список Удостоверяющих центров от различных производителей (Microsoft CA, MiniCA, CryptoPro, SafeTech CA, Aladdin eCA) и распространять актуальный список доверенных УЦ в организации
С ЕСАУС вы сможете

Ключевые возможности

ЕСАУС обеспечивает контроль над выпуском сертификатов благодаря дополнительному уровню безопасности и реализации концепции Zero Trust.
Сценарии применения
Построение PKI (ИОК) для гетерогенных сред
Построение цепочки мостов в сложно сегментированных сетях, что позволяет подключать удаленные или изолированные сегменты
к корпоративному УЦ
Контроль выпуска сертификата – известно, на каком хосте, с каким IP адресом и с какими параметрами осуществлялся запрос сертификата. Выпуск сертификата производится только для разрешенных хостов в соответствии с корпоративными политиками выпуска
Доставка сертификата и настройка конечного приложения (потребителя сертификата) для его использования
Сохранение сертификатов, закрытых ключей и доверенных сертификатов в форматах PEM, PFX, JKS
Автоматизированное отслеживание срока жизни сертификата и его замена по расписанию
Доставка цепочки сертификатов доверенных УЦ до потребителей
Автоматический повтор вызовов при временных сбоях и исключение неисправных УЦ
Балансировка выпуска сертификатов между несколькими экземплярами Удостоверяющих Центров с поддержкой георезервирования
и приоритизацией сетевых вызовов внутри одного ЦОД (Центра Обработки Данных)
Одним из важных критериев поддержания безопасности и доступности IT-инфраструктуры является своевременное обновление сертификатов, их доставка и установка на конечных системах и сервисах.

ЕСАУС не только обеспечивает Linux, MacOS и кластеры Kubernetes возможностями аналогичными тем, что предоставляет Microsoft PKI
для Windows, но и расширить их:
Прозрачная замена УЦ другого производителя
При следующем обновлении сертификатов Агент доставит и установит сертификат, выпущенный на УЦ MiniCA
Создать политику выпуска сертификата, в которой указан УЦ MiniCA и шаблон MiniCA, по которому выпускать сертификат
В панели управления ЕСАУС остановить исходную политику выпуска на УЦ Microsoft CA
В рамках импортозамещения Clearway Integration предлагает отечественный аналог Microsoft CA – УЦ MiniCA (на базе OpenSSL):
Осуществлять прозрачное переключение клиентов на выпуск сертификатов на УЦ разных вендоров
Осуществлять балансировку выпуска сертификатов между несколькими экземплярами Удостоверяющих Центров
Одновременно работать с УЦ различных производителей - Microsoft CA, MiniCA (на базе OpenSSL), CryptoPro, SafeTech CA, Aladdin eCA
Использование корпоративного УЦ – одно из обязательных требований для организации защиты информации и обеспечения безопасности коммуникаций между различными участниками сети. УЦ глубоко интегрируется в инфраструктуру, поэтому, в случае необходимости, переход на УЦ другого производителя или другой тип криптографии – трудоемкий процесс, который требует вложения больших ресурсов.

ЕСАУС позволяет:
Распределенный выпуск сертификатов
Агенты считывают готовность друг друга и выполняют скрипт конфигурирования PostgreSQL Patroni Cluster на использование SSL/TLS
Агент на втором сервере PostgreSQL также получает сертификат и «поднимает флаг» готовности
Агент на сервере PostgreSQL получает сертификат и «поднимает флаг», что готов к дальнейшему конфигурированию
Пример использования: Конфигурирование PostgreSQL Patroni Cluster
Использовать распределенное централизованное хранилище сертификатов для возможности скачивания сертификата на другие хосты
в сценариях использования единого сертификата в распределенных приложениях
Координировать действия Агентов в распределенных сценариях обновления сертификатов на различных хостах при помощи
флагов-семафоров
Системы-потребители сертификатов имеют различную архитектуру – от простых «на одном сервере» до кластеров и распределенных множественных компонентов. При обновлении сертификатов в сложных системах требуется координация действий, чтобы компоненты системы не перестали доверять друг другу.

ЕСАУС позволяет настроить автоматические сценарии скоординированного обновления сертификатов в кластерах серверов
и распределенных информационных системах:
Сценарий для Istio
В панели управления ЕСАУС видно, что сертификаты для Istio выпускаются в соответствии с заданной политикой выпуска сертификатов
Защищенное соединение между сервисами, взаимодействующих через Istio в кластере Kubenetes, основано на сертификатах, выпущенных на общих корпоративных УЦ. При этом, служба безопасности осуществляет контроль за выпуском таких сертификатов может осуществлять контроль за выпуском таких сертификатов.
Пример использования:
Модернизировать механизм выпуска сертификатов в Istio при помощи компонента Цитадель ЦУГИ, что позволит вынести функции УЦ
и логику выпуска сертификатов из Kubernetes Istio на доверенный УЦ. Контроль за выпуском сертификатов остается у администраторов ИБ.
В Istio Service Mesh используется компонент istiod (ранее Citadel). По умолчанию это УЦ с самоподписанным сертификатом, к которому
нет доверия. Поэтому настройка и поддержание доверенного взаимодействия кластера Kubernetes с другими кластерами или внешними системами достаточно трудоемкая задача.

Istiod может использовать промежуточные сертификаты корпоративного УЦ, то есть получить роль дочернего выпускающего УЦ.
Однако, контроль выпуска сертификатов уходит к администраторам Kubernetes (или получившего соответствующие права) – появляется доступ к закрытому ключу УЦ. Это риски для неконтролируемого выпуска любого сертификата, например, Wildcard со. Это для ИБ еще хуже.

ЕСАУС позволяет:
Сценарий для Kubernetes
В панели управления ЕСАУС видно, что сертификаты для кластера Kubernetes выпускаются по заданной политике выпуска сертификатов, можно посмотреть параметры этих сертификатов
Контролировать и журналировать факт выпуска сертификата
Пример использования:
ЕСАУС позволяет:
Модернизировать механизм выпуска сертификатов в Istio при помощи компонента Цитадель ЦУГИ, что позволит вынести функции УЦ и логику выпуска сертификатов из Kubernetes Istio на доверенный УЦ. Контроль за выпуском сертификатов остается у администраторов ИБ
Кластеры микросервисов не имеют функционала проверки списка отзыва сертификата, поэтому для mTLS используются сертификаты,
срок действия которых исчисляется несколькими днями.

В контейнеризированных средах, где приложения и сервисы динамически масштабируются (контейнеры постоянно создаются
и уничтожаются), существует постоянная потребность в выпуске сертификатов, число которых может исчисляться тысячами и даже десятками тысяч запросов в секунду.

В связи с количеством и частотой выпуска сертификатов рекомендуется не хранить выпущенные сертификаты в базе данных УЦ.
В противном случае, база УЦ будет быстро разрастаться, что будет очень сильно сказываться на производительности УЦ. Получается,
что администраторы УЦ не будут ничего знать о сертификатах для Kubernetes?

Сценарии применения

Замените зарубежные продукты отечественным решением
Платформа ЦУГИ, на которой функционируют наши продукты, внесена в Единый реестр отечественного ПО (ссылка на запись) 21 марта 2022 года, регистрационный номер 13033
PDF, 123KB
Наш текст
PDF, 123KB
Наш текст
PDF, 123KB
Наш текст
PDF, 123KB
Наш текст
PDF, 123KB
Наш текст
PDF, 123KB
Наш текст
PDF, 123KB
Наш текст
Материалы
Другие продукты на ЦУГИ
MiniCA
Сервер центра сертификатов на основе OpenSSL.
Флагманская система мониторинга и управления, замена линейки продуктов Microsoft System Center
МиУ
ЛКПС
Личный кабинет для потребителей сертификатов с единым окном для поиска, анализа статистики применения, выпуска и обновления сертификатов
Мониторинг работоспособности Инфраструктуры Открытых Ключей и контроль актуальности срока действия сертификатов
СМИОК
СУЛиО
Система для централизованного контроля установленного ПО, управления дистрибутивами и лицензиями продуктов КриптоПро CSP и КриптоПро Ngate
Мониторинг работоспособности Инфраструктуры Открытых Ключей и контроль актуальности срока действия сертификатов
Система для централизованного контроля установленного ПО, управления дистрибутивами и лицензиями продуктов КриптоПро CSP и КриптоПро Ngate
Сервер центра сертификатов на основе OpenSSL.
Личный кабинет для потребителей сертификатов с единым окном для поиска, анализа статистики применения, выпуска и обновления сертификатов
Флагманская система мониторинга и управления, замена линейки продуктов Microsoft System Center
Мониторинг работоспособности Инфраструктуры Открытых Ключей и контроль актуальности срока действия сертификатов
Система для централизованного контроля установленного ПО, управления дистрибутивами и лицензиями продуктов КриптоПро CSP и КриптоПро Ngate
Сервер центра сертификатов на основе OpenSSL.
Личный кабинет для потребителей сертификатов с единым окном для поиска, анализа статистики применения, выпуска и обновления сертификатов
Флагманская система мониторинга и управления, замена линейки продуктов Microsoft System Center
Поможем автоматизировать вашу IT-инфраструктуру
Оставьте свои контакты и мы отправим вам подробную информацию о наших решениях, ответим на появившиеся вопросы и предложим свою экспертизу