«Опенсорс означает зависимость»

CNews: Переход на отечественные решения — однозначно главный тренд в ИТ-сфере за последние два года. Однако в целом для рынка это непростая задача, поскольку не так много российских компаний занимались собственными разработками. Речь, как правило, чаще идет о «перелицовке» опенсорсных продуктов. По какому пути пошла компания SafeTech?

Александр Санин: «Перелицовкой» опенсорса мы никогда не занимались, потому что считаем этот подход стратегически неверным. Он не приближает ни компанию, ни страну в целом к цифровому суверенитету. Чужой опенсорсный код в любом случае означает зависимость.

Мы никогда не шли по этому пути и делаем акцент на словосочетании «собственные решения». Все инструменты SafeTech основаны на нашей кодовой базе. Конечно, мы ориентируемся на лучшие мировые практики, но при этом в итоге всегда создаем свои уникальные продуты.

CNews: Что побудило компанию разработать центр сертификации SafeTech CA?

Александр Санин: В первую очередь запрос со стороны рынка. На самом деле, идея создать решение, которое можно бы было поставить в один ряд с сервисами Microsoft CA (MS CA), вынашивалась несколько лет. Впервые мы задумались о такой возможности года три назад, когда начали заниматься развитием платформы по управлению инфраструктурой открытых ключей. Наши заказчики не раз спрашивали, не собирается ли SafeTech разработать собственный центр сертификации?.

Поначалу наша команда не рассматривала эту возможность всерьез — казалось странным создавать коммерческий продукт, который конкурировал бы с формально бесплатным сервисом MS CA, идущим в комплекте с серверными операционными системами Windows. Однако после ухода с российского рынка большинства международных вендоров ситуация изменилась, и мы решили: спрос есть, компетенции у наших специалистов отличные. Так почему бы и нет?

«Мы ставим на простоту использования»

CNews: Какие основные функции выполняет ваше решение и на что может рассчитывать пользователь?

Александр Санин: SafeTech CA выполняет классические функции центра сертификации. Если считать стандартом MS CA, то делаем все то, что предоставляет пользователям Microsoft: выпуск и отзыв сертификатов, приостановка их деятельности, публикации списков отзывов, публикация списков сертификатов и т.д.

То есть все эти функции у нас есть, но при этом SafeTech нацелена на создание более продвинутого продукта, который будет отвечать современным требованиям.

CNews: Каким, например?

Александр Санин: Уже сейчас у SafeTech CA более удобный, чем у MS CA веб-интерфейс. Мы больше ставим на простоту использования. Кроме того, уже разработана обширная дорожная карта по развитию продукта, и в итоге у него будет гораздо больше функций, чем у MS CA за счет различных модулей. Так, к сентябрю этого года должен появиться модуль SCEP, который позволит выпускать сертификаты для сетевых устройств.

CNews: То есть у SafeTech CA много конкурентных преимуществ относительно продукта такого глобального вендора, как Microsoft — даже несмотря на тот, что он считается бесплатным.

Александр Санин: На самом деле, Microsoft даже не позиционирует MS CA как отдельное решение. Microsoft СА встроен в Windows Server, что де-факто сделало его «сервисом по умолчанию» для большинства компаний во всем мире.

Если говорить откровенно, то этот сервис весьма скуден по набору функционала, он не всегда способен легко реализовать те или иные бизнес-процессы.

А SafeTech именно разработал отдельный сервис, функционал которого богаче, чем у Microsoft. Мы делаем упор на гораздо большую функциональность, современные интерфейсы, гибкость, масштабируемость и кроссплатформенность. Я не могу сказать, что наш продукт уже сейчас на голову выше, чем Microsoft CA, но буквально к ноябрю этого года так и будет.

CNews: Кроссплатформенность — фактически обязательный атрибут любого современного решения. Этот принцип применим и к SafeTech CA?

Александр Санин: Совершенно верно, в рамках разработки наша компания взяла кроссплатформенный стек Java. С одной стороны, это легко позволило решению разворачиваться и работать как в системе Microsoft, так и в Linux-инфраструктурах. С другой — позволило обеспечить очень высокую производительность.

Первые проведенные тесты и замеры показывали скорость выпуска сертификатов на уровне 6-8 тысяч в минуту в базовой конфигурации серверов. Этого показателя хватит с большим запасом подавляющему числу клиентов.

Стоит отметить, что решение SafeTech CA поддерживает развертывание в любом формате: и при классической виртуализации (VMware, KVM, HyperV и т.д.), и при контейнерной (Docker, OpenShift/K8S). Подходит оно и для установки на физические серверы.

«Это поступательная история развития»

CNews: На ваш взгляд, вы можете конкурировать не только на российском, но и на внешнем рынке, где международные вендоры сохранили свои позиции?

Александр Санин: Весь наш опыт говорит о том, что нельзя создавать решения, конкурентные только в определенных тепличных условиях. Мы сейчас занимаемся продвижением наших продуктов за рубежом, в первую очередь мы делаем акцент на рынке Юго-Восточной Азии — Индонезии, Вьетнаме и Филиппинах. Спрос на наши предложения есть, они оказались там интересны. Ведь многим компаниям, которые работают с Microsoft, точно так же не хватает функционала MS CA.

CNews: SafeTech CA уже сейчас можно ставить вместо MS CA и бесшовно мигрировать?

Александр Санин: В первой версии нашего релиза мы сделали все необходимые инструменты для удобной, спокойной и бесшовной миграции. SafeTech CA можно развернуть в существующей инфраструктуре параллельно с MS CA, начать выпускать на нем новые сертификаты, какого-то определенного типа, а затем постепенно расширять типы выпускаемых сертификатов. И через какое-то время вывести сервис MS CA из эксплуатации за ненадобностью.

CNews: А что с другими распространенными и востребованными протоколами?

Александр Санин: У нас уже реализован Microsoft Enrollment протокол. Это то, что в базовом варианте нужно заказчикам, которые хотят отказаться от MS CA и уйти на другие решения.

Следующим на очереди идет протокол SCEP, как мы уже говорили, он выйдет к сентябрю этого года. Он позволит выдавать сертификаты и работать с сетевыми устройствами, такими как, например, Cisco и MS Intune.

До конца текущего года запустим протокол ACME, обеспечивающий поддержку одноименного открытого интернет-стандарта (Kubernetes, Openshift, Let’s Encrypt), а также протокол CMP — базовый стандарт для API OpenSSL, Bouncy Castle, Nexus и т.д.

Последним в этом ряду станет модуль EST. Он обеспечивает поддержку управления сертификатов для MDM-систем и мобильных устройств.

Все нововведения в функциональности SafeTech CA автоматически будут доступны и в специальной версии SafeTech CA с сервисами от КриптоПро. Благодаря микросервисной модели мы можем не вести две независимые ветки разработки, а делать это в едином ключе.

CNews: Все вышесказанное справедливо касательно RSA криптографии. А что можно сказать по поводу поддержки ГОСТ?

Александр Санин: Чтобы соответствовать требованиям определенного круга заказчиков, мы активно начали работу по встраиванию в специализированную версию SafeTech CA сертифицированного криптоядра от нашего партнера компании КриптоПро. Планируем ее выпуск к концу года. Т.о. ГОСТ будет поддержан автоматически с выпуском данной версии, что в свою очередь расширит круг наших Заказчиков..

Но в целом в силу архитектуры SafeTech CA не имеет значения, какой криптографией пользоваться. Здесь всего лишь вопрос подключения или отключения того или иного криптоядра. На остальную функциональность продукта этот момент почти не влияет.

CNews: Какие планы у вашей компании по развитию SafeTech CA в ближайшее время?

Александр Санин: За последние два месяца мы собрали достаточно большой пул запросов, который, в свою очередь, скорректировал дорожную карту продукта.

В частности, мы будем выделять технический функционал REST API в отдельный микросервис. Это удобно с точки зрения дальнейшего масштабирования и наращивания производительности.

Также идет работа по обработке дополнительных сценариев по протоколу MS Enrollment. Заканчиваем и работу над поддержкой OCSP, задача которого заключается в том, чтобы в онлайн-режиме проверять статус сертификата. Следующим шагом будет запуск других протоколов, о которых я уже говорил.

К ноябрю текущего года мы выпустим релиз SafeTech CA 2.0, еще раз соберем запросы с рынка и сформируем дорожную карту на последующий год. Так что это поступательная история развития.

■ erid:LjN8KQtbSРекламодатель: ООО «СэйфТек Лаб»ИНН/ОГРН: 7734429050 / 1197746542982Сайт: www.safe-tech.ru