Андрей, в Компании «Актив» вы отвечаете за развитие средств аутентификации и защиты доступа как направления. Расскажите, пожалуйста, об интересных проектах. Чем сейчас занимается ваша компания? Какие вызовы рынка вы считаете наиболее актуальными для себя?
Андрей Шпаков: Сейчас наше внимание приковано к технологии Passkey, которая является частью стандарта FIDO и активно развивается. Passkey — это очень мощный рывок к соблюдению концепции Zero Trust. Такого мнения придерживаемся не только мы, но и многие игроки на рынке аутентификации. Особенно приятно, что наша компания первой в России освоила Passkey и выступила ее евангелистом.
В прошлом году мы анонсировали «Рутокен MFA» — новую линейку аппаратных аутентификаторов, работающих по стандарту FIDO2. В ней представлены очень симпатичные миниатюрные USB-токены с датчиком касания. Последние относятся к очевидным отличиям этих токенов от привычных PKI-аутентификаторов и дают возможность доказать, что пользователь находится рядом с устройством.
Также мы разработали технологии, которые позволили нам создать современные устройства «Рутокен ЭЦП 3.0», поддерживающие работу через NFC. Доступны разные варианты: и привычные смарт-карты, и прогрессивные форматы вроде брелка, и даже керамические кольца для ношения на пальце.
Сейчас мы активно развиваем экосистему продуктов «Рутокен MFA», налаживаем нужные связи, потдверждаем совместимость с решениями ключевых российских вендоров. Наша задача — сделать так, чтобы большие популярные сервисы предлагали пользователям защищать свои учетные записи с помощью FIDO2-совместимых устройств, а разработчикам сервисов было понятно, как добавить наш продукт в свою структуру.
На сегодняшний день мы добились немалых успехов: пользователи могут задействовать устройства «Рутокен MFA» при работе с учетными записями на Mail.ru, во ВКонтакте и на Яндексе. Вместе с нашими партнерами, ведущими российскими производителями систем управления правами доступа и учетными записями пользователей (Identity and Access Management, IAM), мы существенно расширили возможность применения FIDO2 в корпоративной инфраструктуре. Теперь «Рутокен MFA» можно активизировать, обращаясь к ресурсам, поддерживающим протоколы OpenID Connect + OAuth 2.0, а также SAML.
Еще одно большое направление нашей работы — поддержка надежной двухфакторной аутентификации в Linux.
Расскажите, пожалуйста, в чем заключается проблема с аутентификацией в Linux?
Андрей Шпаков: Ни для кого не секрет, что сейчас вместо рабочих мест Windows крупные корпорации активно устанавливают продукты на Linux. И это понятно: никто не хочет выстраивать инфраструктуру с нуля, по большей части предпочитают сохранять привычные инструменты, но в оболочке Linux. Неплохой результат получается с Office, почтовым клиентом и веб-браузером: интерфейсы у них довольно стандартные и привычные. Более серьезные проблемы возникают на уровне домена.
Если у заказчика все еще в ходу контроллер домена на Windows Server, то добавить в него рабочую станцию на Linux — задача хоть и не сложная, но совершенно не похожая на аналогичную с Windows и к тому же требующая знания некоторых «заклинаний» в командной строке. Однако если в Windows настроить вход в домен по смарт-карте или USB-токену можно за один день, то на Linux вам придется собрать сложный пазл из различных модулей, плохо документированных и не очень совместимых между собой. Те, кто справляется с задачей своими силами, — просто герои.
Довольно сложная ситуация возникает, когда контроллер домена у заказчика тоже импортозамещен и переведен на Linux. Хорошо известно, что на рынке существуют распространенные контроллеры доменов, например FreeIPA и Samba DC. В то же время у производителей отечественных ОС есть свои варианты: ALD Pro, «РЕД АДМ», «Альт Домен».
У всех этих контроллеров доменов есть ряд особенностей и отличий, если сравнивать с привычным Active Directory. И то и другое усугубляет необходимость использовать отдельный центр регистрации (удостоверяющий центр).
Проанализировав эти «боли», мы решили аккумулировать весь наш опыт по настройке аутентификации в настольных решениях и предложить рынку новинку — «Рутокен Логон» для Linux. Продукт позволяет системному администратору ввести рабочую станцию в домен с помощью одной-двух команд, выпустить сертификат с неизвлекаемым ключом на токене или смарт-карте и отрегулировать Linux-подсистему аутентификации так, чтобы она функционировала с этим сертификатом.
Если у заказчика нет своего удостоверяющего центра, на токен записывается длинный и сложный пароль, состоящий из 63 символов. Такова максимальная длина, поддерживаемая современными доменами. Пользователю не под силу запомнить его, но этого и не требуется. Ему достаточно помнить только короткий PIN-код, который защищен средствами токена от перебора. Усиление защиты за счет нашего продукта совместимо с существующими парольными политиками контроллеров доменов, например с ротацией пароля раз в три месяца.
Очень удобно, но почему никто до вас этим не занимался? Есть ли аналоги у «Рутокен Логон»?
Андрей Шпаков: Главный аналог и конкурент нашего продукта — это ручной труд системных администраторов. Почти все, что он делает, специалист может выполнить, лично исправляя десятки конфигурационных файлов. Допустим, у кого-нибудь есть время и нервы, а главное, желание все это чинить в случае поломки при обновлении операционной системы.
Даже таким заказчикам нам есть что предложить. К их услугам централизованное логирование, принудительная смена PIN-кода по умолчанию, современный и красивый локскрин с экраном блокировки «из коробки» в модном корпоративном стиле, с широкими возможностями брендирования и стилизации.
Сама по себе идея близка к тому, что предлагают производители IAM-систем. В случае Windows-систем хорошим тоном считалось предусмотреть специальное программное обеспечение для IAM, так называемые агенты. Последним предоставлены повышенные права в операционной системе: они могут распространить сертификат, заменить его, перевыпустить, выполнить какие-то небольшие системные настройки. Такой функциональности вполне хватало, чтобы с помощью агента переключать настройки аутентификации в Windows.
К сожалению, не у всех производителей IAM Linux агенты находятся в зрелом состоянии. Если соответствующее программное обеспечение может хотя бы контролировать пользовательский сертификат, это уже хорошо. Фактически у нас синергия с IAM-вендорами. Они контролируют и доставляют на рабочее место сертификат, а мы используем его для настройки подсистемы аутентификации.
Как я уже и говорил, если у заказчика нет IAM-системы, «Рутокен Логон» способен сам запросить сертификат у центра регистрации и зарегистрировать его в домене.
Сейчас примерно половина наших заказчиков рассматривают применение продукта «Рутокен Логон» для Linux вместе с IAM-системой, а другая половина — без нее. Поэтому мы с одинаковым упорством работаем над тем, чтобы обеспечить поддержку обеих схем работы.
Андрей, какие у вас планы по развитию «Рутокен Логон» для Linux?
Андрей Шпаков: Сейчас главное для нас — это поддержка всех доступных на нашем рынке операционных систем и доменов. Здесь мы верны своему общему принципу: «Рутокен» должен работать везде и с любыми системами. Заказчики эксплуатируют разные системы, а некоторые — даже отличающиеся версии одной и той же системы.
Различия между ними бывают довольно значительные. Сейчас на российском рынке нет корпорации Microsoft. Стоит сказать, что ее разработчики потом и кровью поддерживают совместимость Windows от XP до Windows 11, благодаря чему написанная 15 лет назад программа для Windows функционирует до сих пор. В Linux завтра может сломаться то, что хорошо действовало еще в прошлом году. Поэтому поддержка совместимости и обеспечение непрерывной работоспособности — это наши приоритеты.
Много внимания мы уделяем расширению возможностей кастомизации для заказчика, улучшению логирования и мониторинга, а также поддержке различных аутентификаторов, например «Рутокен OTP» и «Рутокен MFA». Важно отметить, что уже сейчас мы сопровождаем устройства «Рутокен» и JaCarta, то есть предоставляем заказчику выбор, какие аутентификаторы использовать.
На третьем месте — работа с прикладными решениями в интересах заказчика уже упомянутых IAM-систем и систем управления жизненным циклом ключей и сертификатов. Чтобы наши клиенты могли применять многофакторную аутентификацию в течение всего ее существования, необходимо обеспечить широкую и, по возможности, бесшовную интеграцию с такими системами.
И еще один важный момент: мы очень серьезно тестируем совместимость с отечественными центрами сертификации (удостоверяющими центрами), заменяющими аналогичную структуру Microsoft, так как видим, что многие наши заказчики начали активно мигрировать на них.
Андрей, спасибо за интервью! Было очень интересно и познавательно. Удачи в развитии всех ваших проектов!