После того, как в 2014 году разразился политический кризис в отношениях России и Запада и значительное число отечественных организаций оказалось под внешними санкциями, руководство страны приняло окончательное решение о скорейшем переходе на импортонезависимые решения в целях обеспечения технологической безопасности страны. А министерствам и ведомствам и вовсе напрямую были поставлены задачи по замещению иностранных ИТ- и ИБ-продуктов, в том числе локализованных, российскими аналогами.

Разумеется, столь резкое изменение правил игры радикально изменило конъюнктуру спроса на рынке информационных технологий: госзаказчики, компании из санкционных списков и те, кто по характеру и роду своей деятельности рискует там оказаться, буквально повернулись лицом к отечественным ИТ-разработчикам. Однако большинство поставщиков оборудования и ПО со своей стороны оказались не готовы сразу откликнуться на новые требования, предъявляемые к российским ИТ-продуктам, и поэтому были вынуждены форсировать перевод своей деятельности на создание полностью импортонезависимых ИТ-решений.

Между тем для разработчиков, которые изначально были ориентированы на создание отечественных продуктов, этот процесс оказался менее сложным. К числу таких относится и российская компания Setec, которая на момент перехода рынка к «глобальному импортозамещению» специализировалась на разработке средств информационной безопасности на базе собственной платформы «Тринити» для заказчиков в государственном и промышленном сегментах. Кроме того, компания развивала под собственной маркой направление OEM-локализации серверов, рабочих станций и сетевых устройств китайского и израильского производства, оснащая их компонентами «Тринити» и обеспечивая сертификацию доработанных таким образом ИТ-решений в системе ФСТЭК России.

На фоне постоянного ужесточения требований к импортонезависимой продукции Setec стал искать варианты диверсификации этой модели, поскольку локализованное оборудование уже не удовлетворяло возрастающим требованиям заказчиков. Однако поначалу это оказалось непростой задачей – и не только из-за дефицита производителей российского ИТ-оборудования, но и в силу того, что «Тринити», как платформа информационной безопасности, обладает повышенными требованиями к аппаратным компонентам.

«Тринити»

Продукт:
платформа информационной безопасности «Тринити»

Назначение:
создание доверенной ИТ-среды;
защищенное управление устройствами

Программная основа:
- Linux;
- собственный код

Поддерживаемые архитектуры:
- x86;
- ARM (Baikal-M);
- MIPS (Baikal-T);
- «Эльбрус»

Сертификация компонентов:
- ФСБ России;
- ФСТЭК России

Целевые сегменты:
- государственные структуры;
- промышленные предприятия;
- финансовые организации;
- операторы связи

Области применения:
- обеспечение защиты корпоративной ИТ-инфраструктуры в соответствии с требованиями законодательства РФ;
- создание единого доверенного информационного пространства территориально распределенных филиалов и производственных групп;
- создание защищенной инфраструктуры удаленных рабочих мест;
- организация доверенного доступа с внешних устройств

Три принципа «Тринити»

В отличие от большинства отечественных систем ИБ, которые зарождались как универсальные средства защиты информации, платформа «Тринити» с самого начала формировалась в качестве операционной системы для создания доверенной среды в специализированной ИТ-инфраструктуре, а именно в трехзвенной архитектуре типа «тонкий клиент – сервер приложений – ИТ-сервисы». Связано это было с особенностями деятельности целевых заказчиков Setec из числа министерств и ведомств силового блока, в основном использующих такую схему организации ИТ. В ней уже на архитектурном уровне достигается более высокая степень защищенности системы по сравнению с традиционными решениями на базе рабочих станций как толстого клиента.

В то же время фокусирование «Тринити» на защите инфраструктуры терминального доступа определило и три основных достоинства этой платформы, которые присутствуют в любом ее варианте. Прежде всего, это многоконтурность. В «Тринити» реализованы механизмы сегментирования защищаемой системы на различные зоны безопасности, что позволяет организовать для одного и того же пользователя одновременную работу как в открытой среде, например, в интернете, так и в средах обработки конфиденциальной информации, таких как облачные централизованные сервисы или корпоративные информационные системы.

При этом «Тринити» на уровне операционной системы обеспечивает полную изоляцию информационных потоков из разных сегментов (контуров, в терминологии Setec), а трафик между терминалом и сервером шифруется сертифицированными средствами криптографической защиты информации. Все это делает невозможной утечку через открытый сегмент критически важных конфиденциальных данных.

Другой особенностью «Тринити» является ее высокая адаптивность и интегрируемость по отношению к аппаратному окружению. Поскольку эта платформа имеет в своем составе операционную систему, которая всегда располагается в промежуточном слое между «железом» и прикладным или специальным ПО, она оснащена средствами обеспечения совместимости с обоими соседними слоями, а также поддержки взаимодействия с системами аутентификации, службой каталогов и другими сервисами посредством открытых протоколов. На прикладном же уровне в «Тринити» реализованы различные клиентские интерфейсы, поддерживающие наиболее распространенные виды инфраструктурного ПО.

Наконец, третьей характерной чертой «Тринити» является ее комплексность с точки зрения функций ИБ. Пользователю системы не требуется дополнительно приобретать отдельные решения по аутентификации, разграничению доступа и другим мерам информационной безопасности, поскольку «Тринити» уже «из коробки» обеспечивает набор стандартных функций ИБ, определенных регуляторами в качестве обязательных для обеспечения процессов обработки конфиденциальной информации. В этот набор входят инструменты многофакторной аутентификации пользователей, усиленной идентификации подключаемого оборудования, защиты каналов связи и сессий с помощью криптографических средств и другие компоненты.

В типичной сфере применения «Тринити», к которой относятся территориально распределенные информационные системы масштаба региона или страны с высокими требованиями по безопасности, эти ее свойства играют ключевую роль, поскольку позволяют удешевить и упростить построение комплексной системы безопасности всей корпоративной ИТ-системы.

Тонкие клиенты и не только
Терминальное решение «Тринити-Байкал»

По стечению обстоятельств, как раз, когда Setec начал искать варианты перехода на работу с российским «железом», у отечественных производителей аппаратных платформ наметился ощутимый прогресс: на рынке нашли свою нишу две линейки оригинальных российских процессоров. Кроме того, наладилось производство вполне конкурентоспособных серверов и даже моноблоков, собранных в основном из российских комплектующих. Так, российскими процессорами сегодня занимаются компании «Байкал Электроникс» с одноименным продуктом и МЦСТ, которая развивает известную еще с советских времен марку «Эльбрус». Кроме того, МЦСТ в сотрудничестве с ИНЭУМ им. И. С. Брука разрабатывает и оборудование на базе «Эльбрусов». В свою очередь, «Байкал Электроникс» работает со многими российскими и зарубежными вендорами, при этом особенно успешно – с компанией «Т-Платформы».

Setec наладил взаимодействие с производителями обеих процессорных линеек, а в сотрудничестве с «Т-Платформы» сумел добиться и первых результатов. Тот факт, что «Т-Платформы» делают не только известные суперкомпьютеры и серверы, но и клиентские рабочие станции, в том числе на процессорах Baikal-T1, стал серьезным основанием для Setec выбрать их терминальные устройства в качестве аппаратной основы для «Тринити», а также адаптировать свою платформу к MIPS-архитектуре Baikal. С другой стороны, и «Т-Платформы» нуждались в отечественной начинке для своих «неинтеловских» моделей рабочих станций.

Результатом такого сотрудничества стало создание решения «Тринити-Байкал», аппаратную основу которого составляют терминальные станции «Таволга Терминал 2BT1», а программную – ОС «Тринити». Эти устройства не имеют дорогостоящих аппаратных компонентов и используют вычислительные мощности серверов в ЦОД. Благодаря программной основе в виде «Тринити» их главной функциональной особенностью является полное соответствие требованиям, предъявляемым регуляторами к оборудованию доверенной ИТ-среды. Они обеспечивают возможность одновременной безопасной работы пользователей с одного терминала в сегментах с различными уровнями доступа, такими как Интернет, проектные, производственные и управленческие среды, корпоративные сервисы, с полной гарантией того, что защищаемая информация не попадет в открытую сеть.

Сейчас помимо терминальных решений Setec совместно с «Т-Платформами» разрабатывает ряд моделей защищенных маршрутизаторов и коммутаторов, которые включают специализированную версию ОС «Тринити» как модуль защиты и управления сетевыми устройствами. Эти продукты позиционируются как альтернатива зарубежному телекоммуникационному оборудованию на нижних уровнях иерархии вычислительной сети организации. На подходе очередной продукт этой линейки – компактный 8-портовый маршрутизатор «Тринити-Офис», который предназначен для защищенной коммутации сетевых пакетов между портами офисной ЛВС и подключения ее к глобальной сети.

Горизонты отечественной ИТ-кооперации

Переход на работу с российскими аппаратными платформами позволил Setec значительно расширить диапазон применимости «Тринити». На сегодняшний день эта платформа включает в себя многофункциональную защищенную операционную систему корпоративного уровня с четко выраженной кроссплатформенностью. Ее программное ядро совместимо с различными процессорными архитектурами, будь то x86 или RISC, и оснащено интерфейсами, которые позволяют ей успешно функционировать в терминальной и виртуальной среде сторонних производителей, включая Citrix, Hyper-V, VMware. В свою очередь, исторически сложившаяся модульная структура «Тринити» теперь позволяет выделять по ситуации как классическую терминальную составляющую, так и любую другую для управления в защищенном режиме телекоммуникационным, серверным, периферийным и специальным оборудованием. Таким образом, на базе «Тринити» можно создавать единый комплекс защищенного со всех сторон управления корпоративной ИКТ-инфраструктурой.

Сегодня «Тринити» входит в состав доверенных решений для корпоративных систем связи, дата-центров, облачных вычислений. И, как утверждают в Setec, не представляет особого труда адаптировать ее операционную систему для защиты и управления практически любым оборудованием – от серверов и рабочих станций до носимых терминалов, периферии и смарт-карт. При этом технологическое партнерство с производителями аппаратных платформ позволяет компании своевременно выпускать интеллектуальную начинку для новых моделей оборудования – так что здесь, по сути, все упирается только в степень готовности российских производителей «железа».

Чтобы повысить эту готовность, Setec и сам активно выстраивает прямое взаимодействие с разработчиками процессорных платформ. Например, благодаря кооперации с «Байкал Электроникс» компания рассчитывает в скором времени расширить свою номенклатуру доверенного оборудования за счет устройств на перспективном процессоре Baikal-M. Как ожидается, это позволит значительно увеличить производительность софтверной части доверенного оборудования на базе ОС «Тринити», а значит, в обозримой перспективе можно ожидать появления ИТ-продуктов отечественного производства и в таких сегментах, как промышленная автоматизация, Интернет вещей и автоматизация зданий.

Сергей Заречнев, заместитель генерального директора Setec

Когда мы в начале 2010-х только приступали к разработке «Тринити», многие сомневались, что у нас получится закрепиться в сегменте терминальных решений на фоне почти полного доминирования Microsoft, Citrix Systems и других софтверных гигантов. Однако время показало, что это был правильный выбор. Сделав ставку на данные технологии, мы смогли создать конкуренцию крупным западным компаниям в области доверенных решений, защищенных в соответствии с требованиями российского законодательства.

Нынешнее сотрудничество с отечественными ИТ-производителями, прежде всего, с компанией «Т-Платформы», мы рассматриваем как серьезный задел для формирования многоуровневого производственного сообщества разработчиков отечественных аппаратных и программных средств. И в перспективе мы рассчитываем сделать «Тринити» базовой платформой для доверенных ИТ-инфраструктур российских организаций.

Так, в наших ближайших планах стоит выпуск варианта ОС «Тринити» для настольных рабочих станций, а также адаптация открытых продуктов OpenStack к платформе «Тринити» на базе российского «железа», что позволит создавать доверенные корпоративные облачные сервисы. Кроме того, уже сейчас мы применяем «Тринити» в виртуальных серверных инфраструктурах, так что в скором времени «Тринити» сможет стать программной основой для защиты гипервизоров виртуализации любого типа.

Игорь Глухов, коммерческий директор «Т-Платформы»

Мы начали заниматься разработкой техники на отечественных процессорах задолго до того, как тема импортозамещения приобрела политическую остроту. Уже в недалеком будущем микросхема центрального процессора будет интегрировать в себе большую часть ключевых аппаратных технологий, таких как память, сети, ускорители вычислений, и ни один российский вендор не сможет претендовать на дифференциацию и значительный успех на рынке, если у страны не будет оригинальной и конкурентоспособной микроэлектроники с достаточно высоким уровнем производительности.

Однако, поскольку отечественные микропроцессоры не могут обладать стандартной архитектурой x86, под которую адаптированы большинство пользовательских сред, в том числе и ОС Windows, вопрос совместимости этих платформ с программным обеспечением становится ключевым. От его решения полностью зависят реальные перспективы внедрения отечественной техники. Поэтому сотрудничество с такими российскими разработчиками, как Setec, крайне важно для нас. Простота адаптации «Тринити» к ядру Baikal-T1 демонстрирует не только выдающуюся архитектурную гибкость и универсальность этой программной среды, но и большой потенциал этих процессоров с точки зрения совместимости с распространенным пользовательским ПО.

Благодаря сотрудничеству Setec и «Т-Платформы» на рынке появился один из первых комплексных ИТ-продуктов на базе российских процессоров, аппаратных платформ и ПО, решающих конкретную задачу пользователя – в данном случае создание защищенной инфраструктуры рабочих мест. Мы уверены, что очень скоро таких законченных решений станет много.