Ведёт журнал событий. Позволяет интегрировать ЕСАУС с системами класса SlEM по протоколу SysLog и перенаправлять на них записи о событиях

Своевременное обновление, доставка и установка сертификатов на серверах и сервисах — одно из ключевых условий безопасности и доступности IT-инфраструктуры. Это способствует переходу к архитектуре Zero Trust.

ЕСАУС работает в Linux, Windows, кластерах Kubernetes и Istio Service Mesh. По возможностям превосходит Microsoft Enterprise PKI для Windows:

• Cпециализированные агенты передают не только запрос на сертификат (CSR), но и сведения об окружении, в котором он был сформирован. Эта информация сверяется с утвержденными политиками выпуска сертификатов;

• Принцип защиты закрытых ключей: закрытые ключи создаются на стороне клиента, который их использует, и не передаются по сети;

• Балансировка выпуска сертификатов между несколькими экземплярами Удостоверяющих Центров с поддержкой георезервирования и приоритезацией сетевых вызовов;

• Поддержка широкого спектра ЦС (Clearway CA, Microsoft CA, КриптоПро PKI-кластер, SafeTech CA, Aladdin eCA). Поддержка Validata, VipNet, Notary-Pro, DigiCert, Globalsign запланированы в дорожной карте (2026−2027 годы);

• Постоянная проверка доступности компонентов друг другом; автоматический возврат к восстановившемуся компоненту после его отказа; механизмы коммуникации между компонентами для управления пропускной способностью системы;

• Актуализация и распространение списков доверенных корневых и промежуточных ЦС в рамках всей организации;

• Отслеживание срока жизни, доставка сертификата и настройка конечного приложения (потребителя сертификата) для его использования с учетом расписания технологических окон;

• Поддержка современных протоколов ACMEv2, EST, SCEP, CMP и MS-WSTEP обеспечивает интеграцию с широким спектром устройств и разнородными IT-инфраструктурами.Для обратной совместимости с устаревшими системами Windows дополнительно реализована поддержка интерфейсов DCOM;

• Изоляция ЦС от прямого доступа по сети клиентов и потребителей сертификатов;

• Построение цепочки мостов в сложно сегментированных сетях, что позволяет подключать удаленные или изолированные сегменты к корпоративному ЦС.

Пример использования:

• Постановка задания Агенту на обновление сертификатов, используемых на серверах Samba DC (контроллер домена) с указанием технологических окон в формате cron;

• При достижении 80% срока жизни сертификата Агенты выполняют обновление сертификатов по расписанию в разрешенные часы (технологические окна);

• Администратору приходит оповещение об успехе или возникших ошибках.

Использование корпоративного ЦС — одно из обязательных требований для организации защиты информации и обеспечения безопасности коммуникаций между различными участниками сети. ЦС глубоко интегрируется в инфраструктуру, поэтому, в случае необходимости, переход на ЦС другого производителя — трудоемкий процесс, который требует вложения больших ресурсов.

ЕСАУС позволяет:

• Одновременно работать с ЦС различных производителей — Clearway CA, Microsoft CA, CryptoPro, SafeTech CA, Aladdin eCA;
• Балансировку выпуска сертификатов между несколькими экземплярами Центров Сертификации;
• Прозрачное переключение клиентов на выпуск сертификатов на ЦС другого производителя.

В рамках импортозамещения Clearway Integration предлагает отечественный аналог Microsoft CA — ЦС Clearway CA (на базе Openssl):

• В панели управления ЕСАУС остановить исходную политику выпуска на Microsoft CA;
• Создать политику выпуска сертификата, в которой указать Clearway CA и шаблон выпуска сертификата;
• При следующем обновлении сертификатов Агент доставит и установит сертификат, выпущенный на ЦС Clearway CA.

Системы-потребители сертификатов имеют различную архитектуру — от простых «на одном сервере» до кластеров и распределенных множественных компонентов. При обновлении сложных систем требуется координация действий при выполнении работ, чтобы компоненты системы не перестали доверять друг другу.

ЕСАУС позволяет настроить автоматические сценарии скоординированного обновления сертификатов в кластерах серверов
и распределенных информационных системах:

• Координация действий агентов через флаги готовности: агенты на разных хостах получают сертификаты параллельно, фиксируют готовность и ждут друг друга перед финальной конфигурацией кластера;
• Использовать распределенное централизованное хранилище сертификатов для возможности скачивания сертификата на другие хосты
• в сценариях использования единого сертификата в распределенных приложениях.

Пример использования: Конфигурирование PostgreSQL Patroni Cluster

• Агент на сервере PostgreSQL получает сертификат и «поднимает флаг», что готов к дальнейшему конфигурированию;
• Агент на втором сервере PostgreSQL также получает сертификат и «поднимает флаг» готовности;
• Агенты считывают готовность друг друга и выполняют скрипт конфигурирования PostgreSQL Patroni Cluster на использование SSL/TLS.

В контейнеризированных средах, с использованием mTLS срок жизни сертификата должен примерно соответствовать среднему времени жизни пода или сервиса — от нескольких часов до нескольких дней. В этом случае необходимость списков отзыва (CRL/OCSP) сильно снижается, поскольку скомпрометированный сертификат быстро теряет актуальность даже без явного отзыва.

Встроенные средства Kubernetes (Secrets) не обеспечивают достаточный уровень изоляции и защиты закрытых ключей, даже при включенном шифровании etcd. Поэтому при каждом запуске контейнера или масштабировании приложений и сервисов требуется выпускать новые сертификаты.

В связи с большим количеством и частотой выпуска сертификатов рекомендуется не хранить выпущенные сертификаты в базе данных ЦС.
В противном случае, база быстро разрастется, что сильно скажется на производительности ЦС.

ЕСАУС позволяет:

• Выдерживать пиковые нагрузки по выпуску сертификатов в больших кластерах Kubernetes, предотвращая перегрузки на ЦС;

• Контролировать и журналировать факт выпуска сертификата согласно с утвержденными политиками выпуска сертификатов;

• Выпускать и размещать сертификаты в секретах кластеров микросервисов;

• Актуализировать в секретах список доверенных корневых и промежуточных сертификатов всех Удостоверяющих Центров;

• Перевыпускать сертификаты при изменении или удалении секретов Kubernetes;

• Сохранять сертификаты, закрытые ключи и сертификаты ЦС в форматах PEM в TLS Secret,CombinedPEM, PKCS8, PKCS12, JKS.

Пример использования:

• В панели управления ЕСАУС видно, что сертификаты для кластера Kubernetes выпускаются по заданной политике выпуска сертификатов, можно посмотреть параметры этих сертификатов;

• Реализация различных сценариев выпуска и обновления сертификатов с учетом расписания, событий или по команде от Администратора;

• Операторы предоставляют метрики, отражающие состояние и работу с сертификатами, а также сведения о самих сертификатах, в формате Prometheus.

В Istio Service Mesh используется компонент istiod, который по умолчанию является центром сертификации с самоподписанным корневым сертификатом. Внешние системы не доверяют этому сертификату. Настройка и поддержка доверенного взаимодействия с другими кластерами и внешними сервисами требует значительных усилий.

Istiod может использовать промежуточные сертификаты корпоративного ЦС, то есть выполнять роль дочернего выпускающего ЦС. Однако при этом контроль над выпуском сертификатов переходит к администраторам Kubernetes или лицам с соответствующими правами, что влечет за собой отсутствие контроля за их действиями со стороны ИБ. Администраторы Kubernetes получают доступ к закрытому ключу центра сертификации, что создаёт риск неконтролируемого выпуска любых сертификатов. Для информационной безопасности это представляет серьёзную угрозу.

ЕСАУС позволяет:

• Выносить логику ЦС за пределы микросервисных платформ, возвращая контроль службе информационной безопасности, разделяя функций ИБ и администраторов Kubernetes/Istio.

Пример использования:

• Защищённое соединение между сервисами в Istio (Kubernetes) основано на сертификатах корпоративного ЦС. Политики выпуска согласованы с администраторами информационной безопасности;

• В панели управления ЕСАУС в заданных политиках отображаются сертификаты для Istio.

В большинстве компаний службы информационной безопасности не имеют полного контроля над инфраструктурой SSH-ключей.
Часто неизвестно, где именно размещаются открытые и закрытые ключи, используются ли пароли (passphrase) для защиты, каким
способом генерируются ключи и соответствует ли их длина корпоративным стандартам. Неавтоматизированный учет приводит
к накоплению устаревших или небезопасных ключей, создавая угрозу несанкционированного доступа. Отсутствие централизованной инвентаризации усложняет проведение аудита и быструю реакцию на инциденты, связанные с ключами.

ЕСАУС позволяет:

• Централизованная инвентаризация, генерация, распространение и обновление SSH-ключей;

• Единый реестр SSH-ключей позволяет отслеживать размещение открытых и закрытых ключей на каждом хосте, их взаимосвязь и соответствие установленной политике безопасности.

Пример использования:

• Инвентаризация: централизованный контроль SSH-ключей на хостах для выявления несоответствий требованиям ИБ (отсутствие passphrase, недостаточная длина ключа и другие параметры);

• Автоматизация: выпуск и ротация SSH-ключей по заданным шаблонам для исключения слабых параметров и обеспечения единых криптографических стандартов.

Доверенные сертификаты — основа PKI: они позволяют проверить подлинность серверов и клиентов, защитить каналы связи в корпоративной сети.
Однако статус доверия динамичен: состав доверенных ЦС меняется, а сертификаты отзываются по истечении срока, при ротации ключей или компрометации. Без своевременного обновления хранилищ система продолжает доверять недействительным цепочкам, создавая угрозу безопасности.

ЕСАУС позволяет:

• Вести централизованный список доверенных сертификатов;
• Централизованно распространять список доверенных сертификатов в хранилища ОС или в указанный каталог.

Пример использования:

• Централизованное назначение задания на обновление списка доверенных сертификатов в хранилище ОС на коллекцию агентов;
• Запрос доверенных сертификатов в папку в сценарии автоматического обновления сертификата.