Под знаком «Тринити»: создаем доверенную среду на отечественной платформе
03.10.2017
CNews, спецпроект«Технология месяца»
Наша страна уже три года живет в условиях санкций и объявленного курса на импортозамещение, так что многим организациям приходится искать альтернативу традиционным западным программным и аппаратным системам. И хотя готовых устройств на базе российских процессоров, предназначенных для массового открытого рынка, пока мало, те организации, кому необходимы российские платформы или требуется наличие доверенной среды, уже начинают получать продукты для решения своих рабочих задач в полном соответствии с требованиями отраслевых регуляторов. К числу таких альтернатив относятся доверенные ИТ-системы на базе отечественной платформы «Тринити».
После того, как в 2014 году разразился политический кризис в отношениях России и Запада и значительное число отечественных организаций оказалось под внешними санкциями, руководство страны приняло окончательное решение о скорейшем переходе на импортонезависимые решения в целях обеспечения технологической безопасности страны. А министерствам и ведомствам и вовсе напрямую были поставлены задачи по замещению иностранных ИТ- и ИБ-продуктов, в том числе локализованных, российскими аналогами.
Разумеется, столь резкое изменение правил игры радикально изменило конъюнктуру спроса на рынке информационных технологий: госзаказчики, компании из санкционных списков и те, кто по характеру и роду своей деятельности рискует там оказаться, буквально повернулись лицом к отечественным ИТ-разработчикам. Однако большинство поставщиков оборудования и ПО со своей стороны оказались не готовы сразу откликнуться на новые требования, предъявляемые к российским ИТ-продуктам, и поэтому были вынуждены форсировать перевод своей деятельности на создание полностью импортонезависимых ИТ-решений.
Между тем для разработчиков, которые изначально были ориентированы на создание отечественных продуктов, этот процесс оказался менее сложным. К числу таких относится и российская компания Setec, которая на момент перехода рынка к «глобальному импортозамещению» специализировалась на разработке средств информационной безопасности на базе собственной платформы «Тринити» для заказчиков в государственном и промышленном сегментах. Кроме того, компания развивала под собственной маркой направление OEM-локализации серверов, рабочих станций и сетевых устройств китайского и израильского производства, оснащая их компонентами «Тринити» и обеспечивая сертификацию доработанных таким образом ИТ-решений в системе ФСТЭК России.
На фоне постоянного ужесточения требований к импортонезависимой продукции Setec стал искать варианты диверсификации этой модели, поскольку локализованное оборудование уже не удовлетворяло возрастающим требованиям заказчиков. Однако поначалу это оказалось непростой задачей – и не только из-за дефицита производителей российского ИТ-оборудования, но и в силу того, что «Тринити», как платформа информационной безопасности, обладает повышенными требованиями к аппаратным компонентам.
Три принципа «Тринити»
В отличие от большинства отечественных систем ИБ, которые зарождались как универсальные средства защиты информации, платформа «Тринити» с самого начала формировалась в качестве операционной системы для создания доверенной среды в специализированной ИТ-инфраструктуре, а именно в трехзвенной архитектуре типа «тонкий клиент – сервер приложений – ИТ-сервисы». Связано это было с особенностями деятельности целевых заказчиков Setec из числа министерств и ведомств силового блока, в основном использующих такую схему организации ИТ. В ней уже на архитектурном уровне достигается более высокая степень защищенности системы по сравнению с традиционными решениями на базе рабочих станций как толстого клиента.
В то же время фокусирование «Тринити» на защите инфраструктуры терминального доступа определило и три основных достоинства этой платформы, которые присутствуют в любом ее варианте. Прежде всего, это многоконтурность. В «Тринити» реализованы механизмы сегментирования защищаемой системы на различные зоны безопасности, что позволяет организовать для одного и того же пользователя одновременную работу как в открытой среде, например, в интернете, так и в средах обработки конфиденциальной информации, таких как облачные централизованные сервисы или корпоративные информационные системы.
При этом «Тринити» на уровне операционной системы обеспечивает полную изоляцию информационных потоков из разных сегментов (контуров, в терминологии Setec), а трафик между терминалом и сервером шифруется сертифицированными средствами криптографической защиты информации. Все это делает невозможной утечку через открытый сегмент критически важных конфиденциальных данных.
Другой особенностью «Тринити» является ее высокая адаптивность и интегрируемость по отношению к аппаратному окружению. Поскольку эта платформа имеет в своем составе операционную систему, которая всегда располагается в промежуточном слое между «железом» и прикладным или специальным ПО, она оснащена средствами обеспечения совместимости с обоими соседними слоями, а также поддержки взаимодействия с системами аутентификации, службой каталогов и другими сервисами посредством открытых протоколов. На прикладном же уровне в «Тринити» реализованы различные клиентские интерфейсы, поддерживающие наиболее распространенные виды инфраструктурного ПО.
Наконец, третьей характерной чертой «Тринити» является ее комплексность с точки зрения функций ИБ. Пользователю системы не требуется дополнительно приобретать отдельные решения по аутентификации, разграничению доступа и другим мерам информационной безопасности, поскольку «Тринити» уже «из коробки» обеспечивает набор стандартных функций ИБ, определенных регуляторами в качестве обязательных для обеспечения процессов обработки конфиденциальной информации. В этот набор входят инструменты многофакторной аутентификации пользователей, усиленной идентификации подключаемого оборудования, защиты каналов связи и сессий с помощью криптографических средств и другие компоненты.
В типичной сфере применения «Тринити», к которой относятся территориально распределенные информационные системы масштаба региона или страны с высокими требованиями по безопасности, эти ее свойства играют ключевую роль, поскольку позволяют удешевить и упростить построение комплексной системы безопасности всей корпоративной ИТ-системы.
Тонкие клиенты и не только
По стечению обстоятельств, как раз, когда Setec начал искать варианты перехода на работу с российским «железом», у отечественных производителей аппаратных платформ наметился ощутимый прогресс: на рынке нашли свою нишу две линейки оригинальных российских процессоров. Кроме того, наладилось производство вполне конкурентоспособных серверов и даже моноблоков, собранных в основном из российских комплектующих. Так, российскими процессорами сегодня занимаются компании «Байкал Электроникс» с одноименным продуктом и МЦСТ, которая развивает известную еще с советских времен марку «Эльбрус». Кроме того, МЦСТ в сотрудничестве с ИНЭУМ им. И. С. Брука разрабатывает и оборудование на базе «Эльбрусов». В свою очередь, «Байкал Электроникс» работает со многими российскими и зарубежными вендорами, при этом особенно успешно – с компанией «Т-Платформы».
Setec наладил взаимодействие с производителями обеих процессорных линеек, а в сотрудничестве с «Т-Платформы» сумел добиться и первых результатов. Тот факт, что «Т-Платформы» делают не только известные суперкомпьютеры и серверы, но и клиентские рабочие станции, в том числе на процессорах Baikal-T1, стал серьезным основанием для Setec выбрать их терминальные устройства в качестве аппаратной основы для «Тринити», а также адаптировать свою платформу к MIPS-архитектуре Baikal. С другой стороны, и «Т-Платформы» нуждались в отечественной начинке для своих «неинтеловских» моделей рабочих станций.
Результатом такого сотрудничества стало создание решения «Тринити-Байкал», аппаратную основу которого составляют терминальные станции «Таволга Терминал 2BT1», а программную – ОС «Тринити». Эти устройства не имеют дорогостоящих аппаратных компонентов и используют вычислительные мощности серверов в ЦОД. Благодаря программной основе в виде «Тринити» их главной функциональной особенностью является полное соответствие требованиям, предъявляемым регуляторами к оборудованию доверенной ИТ-среды. Они обеспечивают возможность одновременной безопасной работы пользователей с одного терминала в сегментах с различными уровнями доступа, такими как Интернет, проектные, производственные и управленческие среды, корпоративные сервисы, с полной гарантией того, что защищаемая информация не попадет в открытую сеть.
Сейчас помимо терминальных решений Setec совместно с «Т-Платформами» разрабатывает ряд моделей защищенных маршрутизаторов и коммутаторов, которые включают специализированную версию ОС «Тринити» как модуль защиты и управления сетевыми устройствами. Эти продукты позиционируются как альтернатива зарубежному телекоммуникационному оборудованию на нижних уровнях иерархии вычислительной сети организации. На подходе очередной продукт этой линейки – компактный 8-портовый маршрутизатор «Тринити-Офис», который предназначен для защищенной коммутации сетевых пакетов между портами офисной ЛВС и подключения ее к глобальной сети.
Горизонты отечественной ИТ-кооперации
Переход на работу с российскими аппаратными платформами позволил Setec значительно расширить диапазон применимости «Тринити». На сегодняшний день эта платформа включает в себя многофункциональную защищенную операционную систему корпоративного уровня с четко выраженной кроссплатформенностью. Ее программное ядро совместимо с различными процессорными архитектурами, будь то x86 или RISC, и оснащено интерфейсами, которые позволяют ей успешно функционировать в терминальной и виртуальной среде сторонних производителей, включая Citrix, Hyper-V, VMware. В свою очередь, исторически сложившаяся модульная структура «Тринити» теперь позволяет выделять по ситуации как классическую терминальную составляющую, так и любую другую для управления в защищенном режиме телекоммуникационным, серверным, периферийным и специальным оборудованием. Таким образом, на базе «Тринити» можно создавать единый комплекс защищенного со всех сторон управления корпоративной ИКТ-инфраструктурой.
Сегодня «Тринити» входит в состав доверенных решений для корпоративных систем связи, дата-центров, облачных вычислений. И, как утверждают в Setec, не представляет особого труда адаптировать ее операционную систему для защиты и управления практически любым оборудованием – от серверов и рабочих станций до носимых терминалов, периферии и смарт-карт. При этом технологическое партнерство с производителями аппаратных платформ позволяет компании своевременно выпускать интеллектуальную начинку для новых моделей оборудования – так что здесь, по сути, все упирается только в степень готовности российских производителей «железа».
Чтобы повысить эту готовность, Setec и сам активно выстраивает прямое взаимодействие с разработчиками процессорных платформ. Например, благодаря кооперации с «Байкал Электроникс» компания рассчитывает в скором времени расширить свою номенклатуру доверенного оборудования за счет устройств на перспективном процессоре Baikal-M. Как ожидается, это позволит значительно увеличить производительность софтверной части доверенного оборудования на базе ОС «Тринити», а значит, в обозримой перспективе можно ожидать появления ИТ-продуктов отечественного производства и в таких сегментах, как промышленная автоматизация, Интернет вещей и автоматизация зданий.
Сергей Заречнев, заместитель генерального директора Setec:
Нынешнее сотрудничество с отечественными ИТ-производителями, прежде всего, с компанией «Т-Платформы», мы рассматриваем как серьезный задел для формирования многоуровневого производственного сообщества разработчиков отечественных аппаратных и программных средств. И в перспективе мы рассчитываем сделать «Тринити» базовой платформой для доверенных ИТ-инфраструктур российских организаций. Так, в наших ближайших планах стоит выпуск варианта ОС «Тринити» для настольных рабочих станций, а также адаптация открытых продуктов OpenStack к платформе «Тринити» на базе российского «железа», что позволит создавать доверенные корпоративные облачные сервисы. Кроме того, уже сейчас мы применяем «Тринити» в виртуальных серверных инфраструктурах, так что в скором времени «Тринити» сможет стать программной основой для защиты гипервизоров виртуализации любого типа». |
Игорь Глухов, коммерческий директор «Т-Платформы»:
Однако, поскольку отечественные микропроцессоры не могут обладать стандартной архитектурой x86, под которую адаптированы большинство пользовательских сред, в том числе и ОС Windows, вопрос совместимости этих платформ с программным обеспечением становится ключевым. От его решения полностью зависят реальные перспективы внедрения отечественной техники. Поэтому сотрудничество с такими российскими разработчиками, как Setec, крайне важно для нас. Простота адаптации «Тринити» к ядру Baikal-T1 демонстрирует не только выдающуюся архитектурную гибкость и универсальность этой программной среды, но и большой потенциал этих процессоров с точки зрения совместимости с распространенным пользовательским ПО. Благодаря сотрудничеству Setec и «Т-Платформы» на рынке появился один из первых комплексных ИТ-продуктов на базе российских процессоров, аппаратных платформ и ПО, решающих конкретную задачу пользователя – в данном случае создание защищенной инфраструктуры рабочих мест. Мы уверены, что очень скоро таких законченных решений станет много». |
«Когда мы в начале 2010-х только приступали к разработке «Тринити», многие сомневались, что у нас получится закрепиться в сегменте терминальных решений на фоне почти полного доминирования Microsoft, Citrix Systems и других софтверных гигантов. Однако время показало, что это был правильный выбор. Сделав ставку на данные технологии, мы смогли создать конкуренцию крупным западным компаниям в области доверенных решений, защищенных в соответствии с требованиями российского законодательства.
«Мы начали заниматься разработкой техники на отечественных процессорах задолго до того, как тема импортозамещения приобрела политическую остроту. Уже в недалеком будущем микросхема центрального процессора будет интегрировать в себе большую часть ключевых аппаратных технологий, таких как память, сети, ускорители вычислений, и ни один российский вендор не сможет претендовать на дифференциацию и значительный успех на рынке, если у страны не будет оригинальной и конкурентоспособной микроэлектроники с достаточно высоким уровнем производительности.