Инфраструктура открытых ключей в Windows Server 2016. Часть 5. Отказоустойчивость::Журнал СА 12.2018
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6447
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7143
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4422
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3095
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3892
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3910
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6396
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3242
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3539
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7378
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10735
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12454
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14121
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9205
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7150
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5456
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4689
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3506
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3218
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3457
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3100
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Инфраструктура открытых ключей в Windows Server 2016. Часть 5. Отказоустойчивость

Архив номеров / 2018 / Выпуск №12 (193) / Инфраструктура открытых ключей в Windows Server 2016. Часть 5. Отказоустойчивость

Рубрика: Администрирование /  ИТ-инфраструктура

Степан Москалев СТЕПАН МОСКАЛЕВ, инженер ИТ-систем, MCSE, MCSE:S, MCSE:M, MCITP EA, MCITP EMA, HP AIS, msv121@mail.ru

Леонид Шапиро ЛЕОНИД ШАПИРО, архитектор ИТ-систем, MVP, MCT, MCSE, MCITP:EA, MCSE:S, MCSE:M, shapiro_leonid@yahoo.com

Инфраструктура открытых ключей
в Windows Server 2016. Часть 5. Отказоустойчивость

Инфраструктура открытых ключей в Windows Server 2016. Часть 5. ОтказоустойчивостьПродолжаем тему построения инфраструктуры открытых ключей для корпоративного использования. Нельзя забывать о необходимости отказоустойчивости и доступности, причем это касается не только самих удостоверяющих центров/центров сертификации, но и, разумеется, всего необходимого для их работы окружения

Отказоустойчивость и доступность всей системы – это не только центры сертификации. Думаю, что вы уже заметили, что у нас есть еще некоторые компоненты решения, например точки распространения (Distribution Points). Они также составной элемент нашего решения. Значит, их доступность и отказоустойчивость нам очень важны.

Если пользователи системы не смогут получить к ним доступ, то система становится неработоспособной. Есть и другие элементы решения, чья отказоустойчивость и доступность нам также важны.

В этой статье мы рассмотрим только то, что касается серверов сертификатов.

Будем разбираться поэтапно и начнем с центров сертификации.

Типовая иерархия удостоверяющих центров обычно двух- или трехуровневая и состоит из корневого и издающего серверов для первого варианта и корневого сервера, сервера политик и издающего для второго.

Рассмотрим первый вариант. Какую иерархическую модель предпочесть в том или ином случае, мы уже видели в статье [1]. Так что не будем на этом останавливаться.

Теперь поговорим о том, что будет происходить в случае отказа. Кстати, неплохо было бы определиться, какие отказы возможны.

  • первое – выход из строя оборудования,
  • второе – повреждение данных,
  • ну и третье – компрометация.

Как бороться с первыми двумя проблемами, мы как раз и разберем. Есть некоторая специфика, характерная для сервера сертификатов. Что касается компрометации, то это тема отдельного разговора, выходящая за рамки статьи.

Давайте разберемся с тем, какие сбои могут встретиться при работе с сервером сертификатов

При сбоях оборудования и повреждении данных все стандартные, привычные нам варианты защиты приходят на помощь. Это резервирование по электропитанию, RAID-технологии и резервное копирование.

Стоит отметить, что с корневым сервером и сервером политик все оказывается довольно просто, мы не слишком озабочены их отказоустойчивостью, и, как правило, нам достаточно простых решений. Почему так?

Как вы знаете из статей [1, 2], потребность в этих серверах возникает крайне редко, да и вообще большую часть своего времени жизни они выключены. Это не означает, что мы можем о них забыть навсегда, но существенно упрощает задачи администратора системы.

Важно понимать, что не следует совмещать роли на этих серверах или виртуальных машинах, использовать их для других задач, ну и, конечно, их нельзя удалять. Совмещение ролей приводит к снижению безопасности, так как требует постоянной доступности, что противоречит требованиям безопасности.

Кстати, использование для корневого центра сертификации (RootCA) и центра политик (PolicyCA) именно виртуальных машин – неплохая мысль, поскольку, очевидно, дает возможность экономии аппаратных ресурсов.

Для восстановления этих сервисов в случае сбоев нам вполне хватит резервного копирования.

Совсем другая история с издающими центрами сертификации, тут нам необходимо обеспечивать их постоянную доступность для клиентов. Дело не только в постоянной потребности выдавать сертификаты новым клиентам, но и в вопросах безопасности.

Пусть у нас единственный издающий удостоверяющий центр. Как бороться с отказами? Конечно, применение RAID-технологий и резервирования по электропитанию полезны, но не решают задачи восстановления при повреждениях икомпрометации данных, а восстановление из резервной копии нередко занимает много времени и приводит к перерыву сервиса, поэтому, не отказываясь от этих технологий, стоит дополнить их еще кое-чем. Так что же произойдет, если наш сервер выйдет из строя?

Очевидно, что мы не сможем выдавать новые сертификаты нашим клиентам, однако те, кто уже успел получить сертификат раньше, смогут продолжить работу. Получается, если время восстановления сервера сертификатов при сбое изрезервной копии приемлемо, то мы можем согласиться с таким вариантом?

На первый взгляд может показаться, что такой вариант сможет нас удовлетворить. На самом деле здесь мы упускаем один очень важный аспект.

Дело в том, что в случае компрометации необходимо сертификат отозвать, причем чем быстрее мы это сделаем, тем лучше, но у нас ведь не работает сервер сертификатов, отказ сервиса. Стало быть, потребуется сначала его восстановить итолько после этого отзывать сертификат, публиковать список отзыва и прочее. Процесс затянется, а это вопрос безопасности…

Если речь идет о каком-то тестовом стенде или учебной задаче, то мы можем и не обратить на это внимание. В реальной рабочей среде ситуация становится очень серьезной, поскольку злоумышленник, пользуясь скомпрометированным сертификатом, который мы не смогли отозвать, может выполнить некие деструктивные действия.

Таким образом, вариант применения единственного сервера сертификатов создает, помимо невозможности обслуживания клиентов в течение некоторого времени, что для кого-то еще может быть приемлемым, угрозу безопасности, а этого допускать нельзя.

Значит, мы вынуждены использовать другие более эффективные схемы.

Что в этом смысле нам может предложить Microsoft? Один из вариантов – обеспечить более высокий уровень доступности сервиса для клиентов за счет дублирования (см. рис. 1). То есть установить еще один издающий сервер сертификатов. Например, такая схема применима в организации с филиалами. Как это работает?

Рисунок 1. Схема с дублированием

Рисунок 1. Схема с дублированием

Клиент при отказе ближайшего к нему сервера сертификатов будет обращаться к серверу сертификатов другого филиала и получит сертификат от него. Тем самым обеспечивается работоспособность PKI при отказе одного из серверов.

В этой схеме есть недостаток, заключающийся в том, что разные серверы сертификатов используют разные БД, между которыми нет синхронизации, а раз так, то проблема отзыва сертификата, выданного центром сертификации, который внастоящий момент не работает, никуда не денется. Как ее решить?

Вот тут нам на помощь приходит отказоустойчивый кластер (см. рис. 2). В этом случае база данных едина, то есть выход из строя одного из серверов кластера не приводит к тому, что мы не сможем отозвать скомпрометированный сертификат. Пользуясь той же самой базой, это сделает другой сервер кластера.

Рисунок 2. Отказоустойчивый кластер

Рисунок 2. Отказоустойчивый кластер

Сервер сертификатов Microsoft поддерживает возможность кластеризации. Такой вариант оказывается весьма эффективным для решения задачи обеспечения доступности и отказоустойчивости инфраструктуры.

Оба эти варианта могут быть применены совместно, например, в ситуации двух филиалов, каналы связи к которым не слишком хороши (см. рис. 3).

Рисунок 3. Гибридное решение

Рисунок 3. Гибридное решение

Как вы могли заметить, у нас есть несколько вариантов решения вопроса отказоустойчивости и высокой доступности для наших центров сертификации. Что выбрать, зависит от требований к безопасности и нашего SLA, ну и, разумеется, отфинансовых возможностей предприятия.

Здесь надо найти разумный баланс. Затраты тут не только во внедрении и поддержке, но и в стоимости лицензирования серверов. Так что необходимо все предварительно оценить, взвесить все за и против, прежде чем выбирать какой-товариант. Где-то будет достаточно простого резервного копирования, что представляет собой самый простой вариант, в другой ситуации вы будете ориентироваться на гибридное решение, состоящее из нескольких кластеров.

Еще один момент, который мы не обсудили раньше. Если вы обратили внимание, то, когда мы настраивали наш издающий центр сертификации (см. статью [3]), в extensions, помимо http-пути к сертификатам и спискам отзыва, мы еще добавили LDAP-путь [4]. Зачем же мы все-таки это сделали?

Очевидно, что http-путь доступен для любого клиента, тогда как LDAP – это только для клиента AD. При этом вы видите, что http в списке стоит первым, получается, что до проверки LDAP мы скорее всего даже не дойдем.

Ситуация может быть разной. Веб-сервер, являющийся точкой распространения, сам может оказаться недоступен, что приведет к неработоспособности инфраструктуры.

Да, конечно, мы подумаем и о его отказоустойчивости и надежности, но об этом речь пойдет в следующей статье, однако может сложиться ситуация, когда мы подверглись DDoS-атаке [5]… В конце концов для веб-сервера эта история куда более вероятна, чем для контроллера домена. Если веб-сервер под атакой и не отвечает, то проверку мы выполнить не сможем, и вот тут нам может помочь добавленный LDAP-путь, поскольку с его помощью мы сможем проверить список отзыва и цепочку сертификатов. Получается, что еще на начальном этапе мы уже кое-что сделали для повышения надежности функционирования нашей системы.

Подведем итоги. Мы разобрались с тем, какие сбои могут встретиться при работе с сервером сертификатов. Это отказы оборудования, некорректная модификация данных в силу тех или иных причин, наконец, компрометация сервера сертификатов.

Мы стали понимать, какие методы противодействия есть в нашем арсенале. Мы не касались компрометации самого сервера сертификатов. К этому нам еще предстоит вернуться. Что касается остальных проблем, то тут нам помогают, помимо известных средств, дублирование и кластеризация.

Выбор того или иного варианта связан с несколькими аспектами, и здесь у нас возникает противоречие между требованиями безопасности и необходимостью сокращения расходов.

Продолжение следует…

  1. Шапиро Л. Внедрение инфраструктуры открытых ключей на основе Windows Server 2016. Часть 1. Предварительный этап. / «Системный администратор», № 1-2, 2018 г. – С. 23-27. URL: http://samag.ru/archive/article/3576.
  2. Москалев С., Шапиро Л. Инфраструктура открытых ключей в Windows Server 2016. Часть 2. RootCA. / «Системный администратор», № 3, 2018 г. – С. 16-19. URL: http://samag.ru/archive/article/3605.
  3. Москалев С., Шапиро Л. Инфраструктура открытых ключей в Windows Server 2016. Часть 3. Установка и настройка издающего центра сертификации (Issuing CA). / «Системный администратор», № 7-8, 2018 г. – С. 26-28. URL: http://samag.ru/archive/article/3685.
  4. Lightweight Directory Access Protocol (LDAP): Technical Specification Road Map – https://tools.ietf.org/html/rfc4510.
  5. Шапиро Л. Атаки DDoS. Часть 1. Война объявлена... / «БИТ. Бизнес&Информационные технологии», № 5, 2015 г. – С. 28-31. URL: http://bit.samag.ru/archive/article/1504.

Ключевые слова: отказоустойчивость, доступность, сервер сертификатов.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru