ЦУС и отечественные ОС: квест там, где его не ждали
Недавно столкнулся с, казалось бы, типовым кейсом: развернуть новую ViPNet сеть для заказчика. Но на деле оказалось, что с центром управления сетью (ЦУС) всё очень непросто. У заказчика было требование сделать ViPNet Administrator по фен-шую: на базе аппаратного сервера с аппаратно-программным модулем доверенной загрузки и другими СЗИ, никаких виртуалок. Я ожидал, что будут проблемы с покупкой Соболя/Аккорда, но это только полбеды. В реальности самой жестью был квест с покупкой Windows Server 2016, ведь ЦУС и отечественные ОС пока несовместимы =(
В чем заключается проблема:
- Производители серверов не продают Windows в комплекте с сервером как раньше,
- Версию 2016 купить невозможно, только современная версия + даунгрейд (наверное, так уже давно, просто я не сталкивался),
- Ценник 2000$.
Справедливости ради нужно отметить, что технически в ViPNet Administrator версии 4.6.10 поддерживается Windows Server 2019, но на момент реализации проекта эта версия не была сертифицирована. Задачу в итоге решили, но желания повторять тернистый путь нет от слова «совсем». Чтобы не наступить на похожие грабли, решил посмотреть на тематику систем управления и ОС шлюзов немного шире.
По сути, у VPN есть три компонента:
- Криптошлюз,
- Система управления шлюзами (её обычно называют ЦУС),
- Система управления ключами (может быть совмещена с системой управления).
Вендоры по-разному реализуют управление и работу с ключами, рассмотрим это подробнее.
ИнфоТеКС
Система управления ViPNet Administrator включает в себя следующие компоненты:
- ViPNet NCC (Центр управления сетью, ЦУС) — приложение для конфигурирования и управления сетью ViPNet.
- ViPNet KCA (Удостоверяющий и ключевой центр, УКЦ) — приложение, которое выполняет функции центра формирования ключей шифрования.
- Функции Удостоверяющего центра — издание сертификатов для аутентификации, электронной подписи, шифрования и других криптографических операций.
Все перечисленные приложения совместимы исключительно с Windows. В планах новый продукт — ViPNet Prime, который будет устанавливаться на Astra Linux и Ubuntu. Напомню свою позицию: идея прям крутая, но пока продукт новый, лучше взять паузу, например, ставить в прод его третий релиз (привет всем новым NGFW).
Код Безопасности
Казалось бы, в этом вопросе Коду Безопасности повезло – ЦУС поставляется как законченный программно-аппаратный комплекс. Нет никаких проблем ни с ключами, ни с управлением. Но есть один нюанс – для подключения к ЦУС на рабочей станции администратора потребуется Программа Управления ЦУС (ПУ ЦУС), которая на данный момент есть только под Windows. Конечно, Windows для рабочих мест еще доступен, но фразы «Outlook с нами еще полгода» наводят на мысли, что скоро все госкомпании будут работать на отечественных линуксах. ПУ ЦУС под Astra Linux обещают выпустить в версии 3.9.4 в 2024 году.
Забегая вперед, нужно сказать, что в Континент 4.2 планируется переход на IPsec, и тогда вопрос с PKI инфраструктурой встанет в полный рост, подробнее в следующем разделе.
С-Терра
У вендора С-Терра ситуация интереснее: управление и работа с ключами условно независимы друг от друга:
- Для управления используется С-Терра КП (Командный Пункт, если кто-то не знал), который работает на актуальных версиях ОС Windows Server.
- Для работы с ключами традиционно рекомендуется поднять роль Microsoft Certification Authority (MS CA) на сервере c КриптоПро CSP, я писал об этом заметку почти семь лет назад.
С-Терра КП под Astra Linux в планах разработки вендора в версии 5.0, т.е. в 2024 году. Собственного удостоверяющего центра (УЦ) у вендора пока нет, но работы в этом направлении ведутся. Сейчас нужно либо пользоваться услугами стороннего УЦ (актуально для мини инсталляций), либо приобретать коммерческие продукты для Linux, либо рассмотреть open source (openSSL + gostengine). Коммерческих продуктов, аналогичных КриптоПро УЦ и ViPNet CA, но под Linux, я пока не видел (если знаете – пишите в комментариях). На слуху Aladdin Enterprise CA, но в нем поддержка ГОСТ пока не реализована.
Элвис Плюс
Архитектурно линейка продуктов Элвис Плюс (бренд Застава) похожа на С-Терра. С УЦ все абсолютно аналогично, а вот Застава Управление устанавливается на Astra Linux и ALT Linux.
КриптоПро
У КриптоПро система управления является отдельной сущностью, покупка ОС не требуется. Защита доступа между системой и рабочим местом администратора реализуется через ГОСТ TLS, поэтому не требуется «толстого» клиента как в Континенте. Достаточно «правильного» браузера и криптопровайдера с поддержкой ГОСТ, которые давно есть под отечественные ОС.
Для сценариев site-to-site можно легально использовать preshared keys, которые формируются в системе управления по определенной логике. И менять их нужно раз в год.
Для TLS, конечно, требуется УЦ, снова отсылка в Заставу и С-Терру.
Сравним вендоров
Вендор и версия продукта | Тип ЦУС и ОС | ОС АРМ Администратора | Ключевая система | ОС криптошлюза |
Инфотекс 4 | ПО/Windows | Любая | Собственная система | Debian |
Инфотекс 5 | ПО/Astra Linux и Ubuntu | Любая | Собственная система | Debian |
Код Безопасности 3.9 | ПАК/FreeBSD | Windows (Astra Linux в планах) | Собственная система (PKI в сервере доступа) | FreeBSD |
Код Безопасности 4.2 | ПАК/CentOS | Windows (Astra Linux в планах) | Отдельный PKI + собственная система | CentOS |
С-Терра 4.3 | ПО/Windows | Любая | Отдельный PKI | Debian |
С-Терра 5.0 | ПО/Windows и Astra Linux | Любая | Отдельный PKI + собственная система | Debian |
Элвис Плюс | ПО/Windows и ALT Linux | Любая | Отдельный PKI | Debian |
КриптоПро | ПАК/Debian | Любая | Отдельный PKI + собственная система | Debian |
И пару слов про шлюзы
Как было бы хорошо, если бы у всех криптошлюзов была одна и та же кошерная ОС, но реальность иная.
Не секрет, что в топе российских ОС находятся Astra Linux, ALT Linux, РедОС. Конечно, каждый вендор криптошлюзов по-своему оптимизирует операционку. Но вариант с унификацией ядра или даже ОС выглядит весьма интересно.
- Безопасность. Более оперативная работа с уязвимостями из-за эффекта масштаба, публичные анонсы патчей. Меньше шансов попасть на «дырявую» ОС, хотя я надеюсь, что вендора криптошлюзов и так накатывают патчи ОС регулярно.
- Упрощение сертификации. Проверять ОС не потребуется, она «одобрена» заранее. Уменьшается time-to-market для новой версии ПО, заказчик быстрее получает новые фичи.
- Доверенный репозиторий. Популярные дополнительные пакеты (например, FRR для реализации динамической маршрутизации) попадают в репозиторий после проверки и могут использоваться вендорами для расширения возможностей криптошлюзов. Сертификация этого функционала тоже происходит по упрощенной процедуре аналогично предыдущему пункту.
Заняться всем этим могла бы организация, близкая к регулятору: Технологический центр исследования безопасности ядра Linux (ФСТЭК России) или АНО «Национальный технологический центр цифровой криптографии» (ФСБ России). Естественно, с привлечением экспертов вендоров.
Подведем итоги
В качестве ОС криптошлюзов используются различные модификации Linux. Единого подхода пока нет, но направление выглядит интересным.
В сфере PKI может появиться новая ниша – замена MS CA с КриптоПро. Вендоры криптошлюзов могут как проигнорировать её (объем маловат), так и внезапно сделать мини-УЦ с прицелом не только на свою линейку, но и на весь рынок.
Приобретение Windows Server российским заказчиком — это тот еще квест, легальная закупка практически невозможна. При этом у большинства отечественных вендоров ГОСТ VPN нет полноценного комплекта управления под полное импортозамещение. ЦУС и отечественные ОС пока далеки друг от друга: совместимость и интеграция весьма ограничены.
С одной стороны, в ближайшее время системы управления портируют под отечественные Linux (насколько стабильно будут работать первые релизы, оставим за кадром). С другой – скоро для заказчиков наступит критическая точка, когда покупка/использование Windows станет невозможным. Что наступит раньше – большой вопрос. Советую вендорам включить первую космическую скорость для переноса всей инфраструктуры управления на отечественные ОС.