В панели управления ЕСАУС видно, что сертификаты для Istio выпускаются по заданной политики выпуска сертификатов
Защищенное соединение между сервисами, взаимодействующих через Istio в кластере Kubenetes, основано на сертификатах, выпущенных на общих корпоративных УЦ, и служба безопасности может осуществлять контроль за выпуском таких сертификатами.
Пример использования:
Модернизировать механизм выпуска сертификатов в Istio при помощи компонента Цитадель ЦУГИ, что позволит вынести функции УЦ и логику выпуска сертификатов из Kubernetes Istio на доверенный УЦ. Контроль за выпуском сертификатов остается у администраторов ИБ
В Istio Service Mesh используется компонент Citadel\Istiod. По умолчанию это самоподписанный УЦ, к которому нет доверия. Поэтому настройка и поддержание доверенного взаимодействия кластера Kubernetes с другими кластерами или внешними системами достаточно трудоемкая задача.
Citadel можно сделать дочерним УЦ корпоративного УЦ, однако контроль выпуска (вернее его полное отсутствие со стороны ИБ) сертификатов уходит к администраторам Kubernetes (или получившего соответствующие права) – появляется доступ к закрытому ключу УЦ. Это риски для неконтролируемого выпуска любого сертификата, например, с «*».
ЕСАУС позволяет:
Citadel можно сделать дочерним УЦ корпоративного УЦ, однако контроль выпуска (вернее его полное отсутствие со стороны ИБ) сертификатов уходит к администраторам Kubernetes (или получившего соответствующие права) – появляется доступ к закрытому ключу УЦ. Это риски для неконтролируемого выпуска любого сертификата, например, с «*».
ЕСАУС позволяет:
Сценарии применения
Одним из важных критериев поддержания безопасности и доступности IT-инфраструктуры является своевременное обновление сертификатов, их доставка и установка на конечных системах и сервисах.
ЕСАУС позволит не только использовать возможности и преимущества экосистемы Microsoft ИОК в инфраструктуре Linux, но и расширить ее набором дополнительных функций:
ЕСАУС позволит не только использовать возможности и преимущества экосистемы Microsoft ИОК в инфраструктуре Linux, но и расширить ее набором дополнительных функций:
- Балансировка выпуска сертификатов между несколькими экземплярами Удостоверяющих Центров с поддержкой георезервирования и приоритизацией сетевых вызовов внутри одного ЦОД (Центра Обработки Данных)
- Автоматический повтор вызовов при временных сбоях и отключение неисправных УЦ
- Доставка цепочки сертификатов доверенных УЦ до потребителей
- Автоматизированное отслеживание срока жизни сертификата и его замена по расписанию
- Сохранение сертификатов, закрытых ключей и доверенных сертификатов в форматах PEM, PFX, JKS
- Доставка сертификата и настройка конечного приложения (потребителя сертификата) для его использования
- Контроль выпуска сертификата – известно, на каком хосте, с каким IP адресом и с какими параметрами осуществлялся запрос сертификата. Выпуск сертификата производится только на разрешенных хостах
- Построение цепочки мостов в сложно сегментированных сетях, что позволяет подключать удаленные или изолированные сегменты к корпоративному УЦ
Использование корпоративного УЦ – одно из обязательных требований для организации защиты информации и обеспечения безопасности коммуникаций между различными участниками сети. УЦ глубоко интегрируется в инфраструктуру, поэтому, в случае необходимости, переход на УЦ другого производителя – трудоемкий процесс, который требует вложения больших ресурсов.
ЕСАУС позволяет:
В рамках импортозамещения Clearway Integration предлагает отечественный аналог Microsoft CA – УЦ MiniCA (на базе OpenSSL):
ЕСАУС позволяет:
- Одновременно работать с УЦ различных производителей - Microsoft CA, MiniCA (на базе OpenSSL), CryptoPro, SafeTech CA, Aladdin eCA
- Осуществлять балансировку выпуска сертификатов между несколькими экземплярами Удостоверяющих Центров
- Осуществлять прозрачное переключение клиентов на выпуск сертификатов на УЦ разных вендоров
В рамках импортозамещения Clearway Integration предлагает отечественный аналог Microsoft CA – УЦ MiniCA (на базе OpenSSL):
- В панели управления ЕСАУС остановить исходную политику выпуска на УЦ Microsoft CA
- Создать политику выпуска сертификата, в которой указан УЦ MiniCA и шаблон MiniCA, по которому выпускать сертификат
- При следующем обновлении сертификатов Агент доставит и установит сертификат, выпущенный на УЦ MiniCA
Системы-потребители сертификатов имеют различную архитектуру – от простых «на одном сервере» до кластеров и распределенных множественных компонентов. При обновлении сложных систем требуется координация действий, чтобы компоненты системы не перестали доверять друг другу.
ЕСАУС позволяет настроить автоматические сценарии скоординированного обновления сертификатов в кластерах серверов и распределенных информационных системах:
ЕСАУС позволяет настроить автоматические сценарии скоординированного обновления сертификатов в кластерах серверов и распределенных информационных системах:
- Координировать действия Агентов в распределенных сценариях обновления сертификатов на различных хостах при помощи флагов-семафоров
- Использовать распределенное централизованное хранилище сертификатов для возможности скачивания сертификата на другие хосты в сценариях использования единого сертификата в распределенных приложениях
- Агент на сервере PostgreSQL получает сертификат и «поднимает флаг», что готов к дальнейшему конфигурированию
- Агент на втором сервере PostgreSQL также получает сертификат и «поднимает флаг» готовности
- Агенты считывают готовность друг друга и выполняют скрипт конфигурирования PostgreSQL Patroni Cluster на использование SSL/TLS
В Istio Service Mesh используется компонент Citadel\Istiod. По умолчанию это самоподписанный УЦ, к которому нет доверия. Поэтому настройка и поддержание доверенного взаимодействия кластера Kubernetes с другими кластерами или внешними системами достаточно трудоемкая задача.
Citadel можно сделать дочерним УЦ корпоративного УЦ, однако контроль выпуска (вернее его полное отсутствие со стороны ИБ) сертификатов уходит к администраторам Kubernetes (или получившего соответствующие права) – появляется доступ к закрытому ключу УЦ. Это риски для неконтролируемого выпуска любого сертификата, например, с «*».
ЕСАУС позволяет:
Citadel можно сделать дочерним УЦ корпоративного УЦ, однако контроль выпуска (вернее его полное отсутствие со стороны ИБ) сертификатов уходит к администраторам Kubernetes (или получившего соответствующие права) – появляется доступ к закрытому ключу УЦ. Это риски для неконтролируемого выпуска любого сертификата, например, с «*».
ЕСАУС позволяет:
- Модернизировать механизм выпуска сертификатов в Istio при помощи компонента Цитадель ЦУГИ, что позволит вынести функции УЦ и логику выпуска сертификатов из Kubernetes Istio на доверенный УЦ. Контроль за выпуском сертификатов остается у администраторов ИБ
- Защищенное соединение между сервисами, взаимодействующих через Istio в кластере Kubenetes, основано на сертификатах, выпущенных на общих корпоративных УЦ, и служба безопасности может осуществлять контроль за выпуском таких сертификатами.
- В панели управления ЕСАУС видно, что сертификаты для Istio выпускаются по заданной политики выпуска сертификатов
PDF, 123KB
Наш текст
PDF, 123KB
Наш текст
PDF, 123KB
Наш текст
PDF, 123KB
Наш текст
PDF, 123KB
Наш текст
PDF, 123KB
Наш текст
PDF, 123KB
Наш текст
Материалы
Другие продукты на ЦУГИ
МиУ
Флагманская система мониторинга и управления, замена линейки продуктов Microsoft System Center
СУЛиО
Система для централизованного контроля установленного ПО, управления дистрибутивами и лицензиями продуктов КриптоПро CSP и КриптоПро Ngate
Личный кабинет для потребителей сертификатов с единым окном для поиска, анализа статистики применения, выпуска и обновления сертификатов
ЛКПС
СМИОК
Мониторинг работоспособности Инфраструктуры Открытых Ключей и контроль актуальности срока действия сертификатов
МиУ
Сервер центра сертификатов на основе OpeФлагманская система мониторинга и управления, замена линейки продуктов Microsoft System CenternSSL.
СМИОК
Мониторинг работоспособности Инфраструктуры Открытых Ключей и контроль актуальности срока действия сертификатов
Система для централизованного контроля установленного ПО, управления дистрибутивами и лицензиями продуктов КриптоПро CSP и КриптоПро Ngate
СУЛиО
ЛКПС
Личный кабинет для потребителей сертификатов с единым окном для поиска, анализа статистики применения, выпуска и обновления сертификатов
СМИОК
Мониторинг работоспособности Инфраструктуры Открытых Ключей и контроль актуальности срока действия сертификатов
ЛКПС
Личный кабинет для потребителей сертификатов с единым окном для поиска, анализа статистики применения, выпуска и обновления сертификатов
МиУ
Флагманская система мониторинга и управления, замена линейки продуктов Microsoft System Center
СУЛиО
Система для централизованного контроля установленного ПО, управления дистрибутивами и лицензиями продуктов КриптоПро CSP и КриптоПро Ngate
ЛКПС
Личный кабинет для потребителей сертификатов с единым окном для поиска, анализа статистики применения, выпуска и обновления сертификатов
СУЛиО
Система для централизованного контроля установленного ПО, управления дистрибутивами и лицензиями продуктов КриптоПро CSP и КриптоПро Ngate
СМИОК
Мониторинг работоспособности Инфраструктуры Открытых Ключей и контроль актуальности срока действия сертификатов
Флагманская система мониторинга и управления, замена линейки продуктов Microsoft System Center
МиУ
MiniCA
Сервер центра сертификатов на основе OpenSSL.
СУЛиО
Система для централизованного контроля установленного ПО, управления дистрибутивами и лицензиями продуктов КриптоПро CSP и КриптоПро Ngate
ЛКПС
Личный кабинет для потребителей сертификатов с единым окном для поиска, анализа статистики применения, выпуска и обновления сертификатов
Мониторинг работоспособности Инфраструктуры Открытых Ключей и контроль актуальности срока действия сертификатов
СМИОК
МиУ
Флагманская система мониторинга и управления, замена линейки продуктов Microsoft System Center
Страница в разработке
Связаться с нами
Заполните заявку, и мы свяжемся с вами по почте или позвоним в ближайшее время.
2024-2025.
© Clearway Integration
Контакты
Навигация
Контакты