Импортоулучшение корпоративного центра сертификации Microsoft CA

Целью проекта стала не просто замена корпоративного центра сертификации Microsoft CA, а получение более функциональной, современной и полностью адаптированной под потребности банка платформы управления технологическими сертификатами. И конечно, российское решение должно соответствовать всем актуальным требованиям регуляторов в области информационной безопасности, включая поддержку отечественных операционных систем и баз данных, обеспечивая таким образом полный технологически независимый стек.

Причем, за время активного импортозамещения задача успела усложниться: CA теперь должен работать в гибридном ИТ-ландшафте, включающем в себя устройства и системы не только на базе Windows, но и на macOS, Linux, а также с учетом использования мобильных платформ iOS и Android. И каждый из этих компонентов требует надежной работы с сертификатами, обеспечивающими безопасность и высокий уровень доверия.

2024

Замена зарубежных компонентов инфраструктуры на отечественные средства защиты информации (СЗИ) – приоритетное направление для Т-Банка.

В результате проекта управление технологическими сертификатами в масштабной гетерогенной инфраструктуре Т-Банка теперь обеспечивает надежный функциональный отечественный продукт, который полностью соответствует актуальным стандартам безопасности и требованиям законодательства.

Гибкость в интеграции и настройке выбранного решения позволила сохранить текущую инфраструктуру и повысить эффективность работы за счет внедрения более оптимизированных, современных и подстроенных под требования заказчика технологий.

SafeTech CA - cовременный корпоративный центр cертификации, способный полностью заменить Microsoft CA для Windows-инфраструктур, а также эффективно решать задачи выпуска и управления технологическими сертификатами для Linux-систем, мобильных устройств на iOS/Android, сетевого оборудования Cisco и других компонентов ИТ-ландшафта.

В проекте не используются решения из каталога Global CIO

• Строгие дедлайны: за два месяца было необходимо заменить Microsoft CA во всей PKI-инфраструктуре заказчика без остановки бизнес-процессов, незаметно для сотрудников и клиентов.

• Дополнительная задача в ходе проекта: после старта проекта произошло объединение Т-Банка с Росбанком и возникла необходимость в кратчайшие сроки также бесшовно перевести инфраструктуру Росбанка на работу с новым центром сертификации.

Корпоративный центр сертификации (Certification Authority/CA) – это ключевой элемент обеспечения безопасности и доверия в инфраструктуре, предназначен для выдачи сертификатов инфраструктуры открытых ключей (PKI), используемых в протоколах безопасной связи и проверки подлинности. СА применяется в корпоративных сетях для управления сертификатами систем, пользователей, приложений и других компонентов.

PKI-инфраструктура заказчика состоит из двух взаимосвязанных контуров:

• Внутренний контур включает серверную, сетевую и пользовательскую инфраструктуры. Под последней подразумеваются не только рабочие станции сотрудников, но и мобильные устройства, используемые в работе.

• Внешний контур представляет собой центр сертификации, который отвечает за выпуск сертификатов для контрагентов, партнеров и даже клиентов банка. На его основе функционирует вся эквайринговая сеть, обеспечивая ее безопасность и надежность.

Пилотный проект в организации продлился 4 месяца. В ходе тестирования было проверено множество различных сценариев использования СА во внутренней инфраструктуре Т-Банка, возможности продуктового REST API в части интеграции во внутренние бизнес-процессы, и даже возможности команды разработки вендора на предмет доработок тех или иных дополнительных функций. Было выпущено несколько тысяч технологических сертификатов для различных типов устройств и различных операционных систем — как Windows, так и Linux.

В целом, цели, которые ставил перед собой T-Банк, были вполне типовыми — в любом подобном проекте компании сталкиваются с похожими вызовами. Однако в данном случае важную роль сыграли особенности ИТ-ландшафта. Основной фокус был направлен на повышение управляемости процесса работы с сертификатами, усиление безопасности и, конечно же, строгое соответствие требованиям регуляторов.

В ходе пилотного проекта продукт подвергся всестороннему тестированию — его проверяли под разными нагрузками, изучали с разных сторон, буквально испытывали на прочность. В процессе вендор значительно расширил функциональные возможности решения, ориентируясь на требования клиента. В итоге продукт стал еще более универсальным и теперь, однозначно, готов удовлетворить потребности крупных заказчиков из любой отрасли.

После прохождения пилотного этапа, за два месяца были успешно развернуты в продакшн два масштабных контура центра сертификации, удалось полностью заменить как внешний, так и внутренний контуры PKI, включая инфраструктуру Росбанка. Точно 1 января 2025 г. Microsoft CA был окончательно выведен из инфраструктуры банка. И самое важное — для пользователей этот переход прошел абсолютно незаметно, без сбоев и лишних сложностей.

Переход с Microsoft СА на SafeTech CA был полностью бесшовным благодаря реализованной в SafeTech CA возможности импорта самих сертификатов и шаблонов из Microsoft СА.

РФ