Войти как партнер
Войти как партнер
Перейти к содержанию

О продукте КриптоАРМ Gate#

КриптоАРМ Gate — программный шлюз безопасности, предназначенный для защиты веб-сервисов, аутентификации пользователей и автоматизации криптографических операций на сетевом уровне. Продукт функционирует как reverse proxy (обратный прокси-сервер), обеспечивая безопасный доступ к внутренним информационным системам, проверку электронной подписи (ЭП) «на лету» и строгое разграничение прав доступа без модификации целевых приложений.

Содержание:

Поддерживаемые платформы#

Программный комплекс КриптоАРМ Gate обладает кроссплатформенной архитектурой и адаптирован для развертывания в гетерогенных ИТ-ландшафтах организаций.

Продукт поддерживает установку в качестве системного сервиса на следующие семейства операционных систем:

  • Отечественные ОС (в рамках импортозамещения):

  • Astra Linux (включая Special Edition и Common Edition)

  • РЕД ОС (версии 7.3, 8 и выше)
  • ОС «Альт» (Альт Сервер, Альт Рабочая станция)
  • РОСА (ROSA Enterprise Desktop, ROSA Server)
  • AlterOS

  • ОС «Основа»

  • Зарубежные дистрибутивы Linux:

  • Ubuntu (версии LTS 20.04 / 22.04 и новее)

  • Платформа Microsoft:

  • Microsoft Windows Server (начиная с версии 2016 и выше)

Для минимизации времени развертывания и изоляции компонентов доступна поставка в формате готового контейнера:

  • Docker-образ: собран на базе доверенной сертифицированной ОС Astra Linux, что гарантирует соответствие повышенным требованиям информационной безопасности при микросервисной архитектуре.
  • Совместимость со средами оркестрации: поддерживается функционирование в инфраструктуре Docker Compose, Podman и Kubernetes (включая российские Enterprise-платформы оркестрации).

Программное окружение#

Функционирование шлюза безопасности Trusted Gate обеспечивается следующим стеком системного и специализированного программного обеспечения:

  • Фронтенд-сервер / Прокси-сервер (в зависимости от платформы развертывания):

  • Apache2 (из состава Astra Linux): Применяется при развертывании в доверенной среде Astra Linux для обеспечения сквозной интеграции с механизмами мандатного контроля доступа ОС.

  • Apache / Nginx (при сборке на Ubuntu): Используется для гибкой маршрутизации, балансировки нагрузки, терминации TLS и высокопроизводительной обработки входящих HTTP/REST/SOAP-запросов.

  • СКЗИ «КриптоПро CSP» (версия 5.0 и выше): Базовый криптографический провайдер системы. Обеспечивает выполнение низкоуровневых операций по стандартам ГОСТ (включая организацию ГОСТ TLS-соединений через веб-сервер), проверку действительности электронных подписей «на лету», работу со списками отзыва сертификатов (CRL) и онлайн-серверами статусов (OCSP).

  • Служба «Trusted Gate Core»: Специализированный модуль шлюза (на основе продукта КриптоАРМ Server). Осуществляет перехват транзитного трафика от веб-сервера, извлекает объекты для криптографической обработки, проверяет права доступа на основе политик безопасности и направляет очищенные запросы во внутренний контур сети.

Типовые сценарии автоматизации#

Программный комплекс Trusted Gate функционирует в качестве интеллектуального шлюза безопасности на границе корпоративной сети. Он автоматизирует процессы защиты, аутентификации и криптографической обработки данных в следующих типовых сценариях:

Организация защищенного доступа по ГОСТ TLS#

  • Терминация ГОСТ-шифрования: Прием и дешифрование входящего TLS-трафика от внешних пользователей по алгоритмам ГОСТ Р 34.10-2012 / ГОСТ Р 34.11-2012 на стороне веб-серверов Apache2/Nginx.
  • Трансляция во внутреннюю сеть: Передача очищенного HTTP/HTTPS-трафика на внутренние веб-сервисы и СЭД без необходимости поддержки ГОСТ-алгоритмов на стороне целевых систем.

Двусторонняя TLS-аутентификация по сертификатам (Mutual TLS)#

  • Проверка клиентских сертификатов: Автоматический перехват сертификатов ЭП пользователей при установлении TLS-соединения.
  • Валидация в реальном времени: Проверка статуса действительности сертификата через списки отзыва (CRL) или онлайн-протоколы (OCSP).
  • Обогащение контекста: Передача извлеченных данных пользователя (ФИО, СНИЛС, ИНН, ОГРН) во внутренние информационные системы в виде HTTP-заголовков для автоматической авторизации.

Валидация электронной подписи «на лету» для API (REST/SOAP)#

  • Разбор веб-запросов: Автоматическое извлечение вложенных документов и отсоединенных/присоединенных электронных подписей (CMS/CAdES, XMLDSig/XAdES) из входящих JSON/XML-пакетов.
  • Фоновая проверка: Проверка математической корректности ЭП и построение цепочки доверия сертификатов через СКЗИ КриптоПро CSP без участия прикладного ПО.
  • Фильтрация трафика: Блокировка запросов с некорректной или отозванной подписью на уровне шлюза с автоматической отправкой HTTP-ошибки (например, 403 Forbidden).

Автоматическое серверное подписание исходящих документов#

  • Штамп времени и архивное хранение: Автоматическое добавление меток времени (CAdES-T) и доказательств валидности (CAdES-X Long Type 1) для обеспечения долгосрочного архивного хранения документов.
  • Подпись технологическим сертификатом: Массовое автоматическое подписание исходящих ответов API или документов обезличенной электронной подписью организации (сертификатом юридического лица) по заданным правилам маршрутизации.

Функциональные модули#

Архитектура Trusted Gate построена по модульному принципу. Это позволяет разделять задачи сетевой фильтрации, управления доступом и выполнения криптографических операций. Для глубокого анализа данных и сложных криптографических процедур шлюз может взаимодействовать с внешним компонентом КриптоАРМ Server посредством специализированного API.

  1. Модуль сетевого проксирования и маршрутизации (Proxy Module)

    • Перехват трафика: Функционирует на базе Apache2 или Nginx. Отвечает за прием, первичный анализ и распределение входящего трафика.
    • Терминация сессий: Обеспечивает установку защищенных соединений, включая поддержку ГОСТ TLS.
    • Управление заголовками: Модифицирует и транслирует HTTP-заголовки для передачи контекста безопасности (данных авторизации) во внутренний контур.

  2. Модуль аутентификации и авторизации (AAA Module)

    • Проверка подлинности: Поддерживает сценарии однократного входа (SSO) и интеграцию со службами каталогов (LDAP/Active Directory).
    • Контроль доступа: Сверяет параметры входящего запроса с настроенными политиками безопасности. Блокирует неавторизованный трафик на периметре сети.
    • Обработка токенов: Извлекает и валидирует JWT-токены, сессии и клиентские TLS-сертификаты.

  3. Модуль интеграции с КриптоАРМ Server (Crypto API Connector)

    • Делегирование операций: Перенаправляет тяжелые или специализированные задачи (массовое подписание, шифрование, архивация) на КриптоАРМ Server через REST API.
    • Оптимизация нагрузки: Изолирует сетевой шлюз от ресурсоемких криптографических вычислений, сохраняя высокую пропускную способность для транзитного трафика.
    • Асинхронное взаимодействие: Поддерживает очереди запросов к серверу приложений при пиковых сетевых нагрузках.

  4. Криптографический модуль шлюза (Crypto Core Local)

    • Локальная валидация: Выполняет базовые экспресс-проверки электронных подписей (CMS/CAdES, XMLDSig/XAdES) «на лету» без передачи файлов во внутреннюю сеть.
    • Взаимодействие со сторонними сервисами ЭП: Самостоятельно обращается к серверам служб штампов времени (TSA) и актуальных статусов сертификатов (OCSP/CRL) для проверки цепочек доверия.

Интеграция#

Программный комплекс Trusted Gate разработан с учетом бесшовной интеграции в существующую ИТ-инфраструктуру предприятия и внешние государственные или коммерческие экосистемы. Взаимодействие со смежными компонентами осуществляется по общепринятым стандартам и защищенным протоколам.

  1. Взаимодействие с КриптоАРМ Server

    Для выполнения сложных криптографических процедур и массовой обработки документов Trusted Gate интегрируется с КриптоАРМ Server:

    • REST API: Шлюз отправляет асинхронные и синхронные запросы к серверу приложений для создания, проверки ЭП или шифрования больших массивов данных.
    • Балансировка и отказоустойчивость: Поддерживается интеграция с кластером КриптоАРМ Server для распределения вычислительной нагрузки при пиковом трафике.

  2. Интеграция с внутренними информационными системами (Бэкэнд)

    Trusted Gate изолирует внутренний контур от внешних угроз, транслируя обработанные данные в прикладные системы:

    • Протоколы обмена: Передача очищенного и валидированного трафика на СЭД, ERP и CRM-системы по протоколам HTTP/HTTPS, REST, SOAP и gRPC.
    • Инъекция контекста (HTTP Headers): Шлюз обогащает заголовки запросов метаданными (например, X-User-CN, X-User-Serial, X-Signature-Status), позволяя внутренним приложениям автоматически авторизовывать пользователей и доверять проверенным файлам.
    • Службы каталогов: Интеграция с Active Directory, FreeIPA и Samba DC по протоколам LDAP/LDAPS для сопоставления сертификатов ЭП с учетными записями сотрудников.

  3. Взаимодействие с внешними криптографическими сервисами

    Для обеспечения актуальности криптографических проверок шлюз интегрируется со сторонними службами актуальных статусов:

    • Службы штампов времени (TSA): Интеграция по протоколу TSP (RFC 3161) для автоматического добавления меток времени в подписи формата CAdES-T/X.
    • Серверы статусов сертификатов (OCSP): Запросы по протоколу OCSP (RFC 6960) для оперативной проверки актуальности ключей «на лету».
    • Списки отзыва (CRL): Автоматическое скачивание и обновление локальных баз списков отзыва сертификатов Удостоверяющих Центров по протоколам HTTP/FTP.

Для повышения удобства работы и хранения данных веб-сайт TRUSTED.RU использует файлы COOKIE. Продолжая работу с веб-сайтом, Вы даете свое согласие на работу с этими файлами.