24 апреля состоялся вебинар «САКУРА 3: надежнее, функциональнее, эффективнее», посвященный выходу новой редакции продукта. На вебинаре прозвучало много вопросов, из которых мы выбрали самые интересные, а наши коллеги – Максим Ефремов, руководитель команды продукта САКУРА и Владимир Русин, руководитель отдела внедрения и поддержки – подготовили развернутые ответы.
Вопрос: редакция 2 обновляется до редакции 3 или это отдельный продукт?
Ответ: мы полностью переделали наше решение; по сути, от него осталось только название. САКУРА 3 – это абсолютно другая мажорная редакция, при разработке которой мы, в числе прочего, учли пожелания наших клиентов по части протокола взаимодействия между агентом и сервером САКУРА. В новой редакции мы внедрили более быстрый, надежный и безопасный протокол gRPC. Соответственно, из-за такого колоссального рефакторинга просто обновиться с ПК ИБ САКУРА 2 на САКУРА 3 не получится.
* * *
Вопрос: есть ли механизм миграции со второй редакции на третью?
Ответ: в данном случае механизм миграции не предусмотрен. Помимо протоколов взаимодействия между агентами и серверами, мы полностью пересмотрели сердце нашего продукта. Теперь в основе ПК ИБ САКУРА лежит Платформа Управления Инцидентами (Incident Response Platform). В САКУРА 3 появились новые мета-сущности: профили рабочего места, сценарии и другие возможности, о которых мы рассказывали на вебинаре. И в связи с тем, что механизм формирования политик информационной безопасности, в том числе проверки, реакции на нарушения, стали принципиально иными (все ради удобства и гибкости настройки), просто перейти с редакции 2 на редакцию 3, к сожалению, не выйдет.
Однако, мы считаем, что в этом есть плюс. Безопасность – явление не постоянное, и так как все время возникают новые вызовы со стороны информационной безопасности и расширяются требования регуляторов, необходимо периодически пересматривать подходы к обеспечению безопасности рабочих мест в организации.
Мы рекомендуем это делать не реже, чем два раза в год. Соответственно, переход на новую платформу – это отличный повод проанализировать текущие политики защиты информации в компании, что позволит пересмотреть, актуализировать и усилить меры безопасности. А мы, со своей стороны, расскажем и покажем, как это можно реализовать в вашем ИТ-ландшафте с помощью ПК ИБ САКУРА 3. Обратиться за демонстрацией продукта можно всегда, написав нам по адресу info@it-expertise.ru
* * *
Вопрос: когда у САКУРА будет сертификат ФСТЭК России?
Ответ: САКУРА 2 уже на сертификации – рассчитываем получить все документы в третьем квартале 2025 года. И, конечно же, САКУРА 3 тоже будет сертифицирована – мы работаем над этим.
* * *
Вопрос: будет ли редакция 2 в будущем снята с поддержки и продажи?
Ответ: как и любой продукт, ПК ИБ САКУРА 2 имеет свой жизненный цикл. Пока мы поддерживаем редакцию 2 для текущих пользователей, однако по мере перехода на САКУРА 3 постепенно прекратим продажи «двойки», а затем и ее поддержку.
* * *
Вопрос: какие системные требования и поддерживаемые операционные системы для сервера САКУРА?
Ответ: применительно к серверу САКУРА 3 мы по-прежнему поддерживаем ОС Linux; из отечественных это Astra Linux, РЕД ОС, ALT Linux. Вся информация по операционным системам и их версиям указана в документации к продукту. Что касается агента САКУРА, среди поддерживаемых ОС – Windows, всевозможные Linux и macOS.
Важно: по поводу системных требований к инсталляции сервера и агентов просим обращаться к нам за индивидуальным расчетом, так как требования различаются в зависимости от разных факторов: размеры инсталляции, количество проверок, количество рабочих мест, которые планируются для проверки на сервере САКУРА. Ждем ваших писем на почту info@it-expertise.ru
* * *
Вопрос: какие каталоги пользователей поддерживаются в редакции 3? Поддерживается ли Microsoft?
Ответ: в редакции 3 мы расширили список каталогов, которые поддерживают САКУРА 3. Также сохранилась поддержка Microsoft Active Directory. Помимо этого, добавляем поддержку других каталогов пользователей. В первую очередь, это касается российских производителей: ALD Pro, РЕД АДМ. Кроме того, добавили поддержку FreeIPA. В дальнейшем рассматриваем поддержку каталога Samba от Alt Linux.
* * *
Вопрос: как изменилась интеграция с С-Терра 4.3 и 5.0?
Ответ: изменение идет в сторону упрощения взаимодействия – коллеги из С-Терра уже доработали продукт, мы со своей стороны запланировали доработки в обозримом будущем.
* * *
Вопрос: есть ли какие-то изменения в интеграции с AD, синхронизации с AD?
Ответ: да, есть. Например, в интеграции с С-Терра мы отказываемся от взаимодействия с AD, аналогично с решением КриптоПро NGate. Теперь интеграция будет реализована с VPN-решениями напрямую, без посредника в виде AD.
* * *
Вопрос: правильно ли я понял, что ПО редакции 3 уже готово и его можно получить по запросу для пилотирования в своей инфраструктуре?
Ответ: верно, выход редакции 3 состоялся 30 апреля 2025 года, поэтому приглашаем всех желающих принять участие в пилотных проектах. Присылайте ваши заявки на почту info@it-expertise.ru
* * *
Вопрос: будет ли демо технической составляющей продукта?
Ответ: мы готовы провести живую демонстрацию ПК ИБ САКУРА, пишите на почту info@it-expertise.ru – договоримся о проведении в удобное для вас время.
* * *
Вопрос: интеграция c VPN клиентами и работа без агента планируется?
Ответ: на текущий момент безагентское решение делать не планируем. Это обусловлено тем, что одна из ключевых потребностей наших заказчиков –получение полной информации о рабочих местах, включая список установленных программ, состава аппаратного обеспечения, списка пользовательских сессий и так далее. Собрать такую информацию без агента невозможно.
* * *
Вопрос: планируется ли добавление использования подписанных с помощью ЭП-скриптов?
Ответ: да, мы рассматриваем возможность реализации такой функциональности, о сроках сообщим дополнительно.
* * *
Вопрос: касательно архитектуры и логики работы ПК – в редакции 2 агент «маркировал» пользователя присвоением группы в AD. Насколько я понял, управление доступом в новой редакции не изменилось? Просто хочется понимать, если не реализовано никаких проактивных действий скриптами, агент может управлять доступом пользователя к корпоративным ресурсам напрямую (применять какие-либо блокировки) или это реализовано также через «маркировку» пользователя группой на AD?
Ответ: если говорить именно об управлении доступом РМ в сеть организации, то концепция не изменилась – эту функциональность обеспечивают решения VPN. Комплекс САКУРА в интеграции с VPN сообщает о статусе защищенности РМ, далее именно VPN изменяет параметры доступа в «защищаемый контур». Если же речь идет об интеграции с NGate, то, как ответили ранее, мы решили отказаться от посредника виде AD и перейти к взаимодействию с шлюзами VPN напрямую.
Что касается возможностей агента в части «проактивных действий» – да такая функциональность есть: при настройке ПК ИБ САКУРА вы можете задать автоматизированное поведение на агенте в случае обнаружения каких-либо несоответствий. Эта возможность уже реализована в редакции 2, а в САКУРА 3 мы существенно доработали и расширили этот механизм.
* * *
Вопрос: по возможностям интеграций с LDAP, из важного: Управление группами LDAP пользователя; Получение группы LDAP пользователя; Проверка атрибутов пользователей. По этим данным в сценариях предусмотрена возможность принятия различных решений?
Ответ: да, такие возможности предусмотрены. Например, назначение прав доступа для офицера безопасности на сервере САКУРА зависит от того, в каких группах пользователей состоит офицер безопасности в каталоге. Кроме того, у нас предусмотрен механизм по взаимодействию с LDAP для принятия решения о соответствии требованиям безопасности для рабочих станций, где установлены агенты САКУРА. Именно для этого мы разработали очень мощный инструмент под названием «Сценарий». И за счет таких сценариев мы можем получать данные о пользователях или рабочих местах из LDAP-каталогов или других внешних системах по отношению к САКУРА. В зависимости от того, как эти пользователи или рабочие места атрибутированы во внешних системах, можно строить сценарии по принятию различных решений, например, назначать различные типы проверок на рабочих станциях.
* * *
Вопрос: правильно понимаю, что в 3-й редакции можно не перекидывать пользователя между группами домена и менять права доступа как было во 2-й, а просто разорвать удаленное VPN-соединение в случае нарушений? Условно, у нас агент маркирует пользователя в группу «нон комплаенс», а VPN-шлюз, в свою очередь, смотрит наличие у пользователя такой группы и при её наличии запрещает доступ в корпоративную сеть через VPN. В новой редакции агент будет напрямую сообщать статус пользователя серверу, а сервер – VPN шлюзу?
Ответ: так как мы пересмотрели интеграцию с VPN, то теперь сервер САКУРА, принимая информацию о состоянии защищенности рабочего места, сообщает VPN-шлюзам решение о том, куда можно пускать или не пускать рабочую станцию с пользователем напрямую, без AD. Мы реализовали сценарий работы с VPN без обязательного использования посредника в виде AD, но при этом сохранили возможность перемещения пользователя по группам в AD, так как это может использоваться для каких-то других программных решений, которые напрямую не интегрированы с ПК ИБ САКУРА. Например, этот механизм можно использовать для более тонкого предоставления доступа пользователям внутри корпоративной сети. И в случае каких-то незначительных нарушений возможно реализовать сценарий, при котором нет необходимости разрывать VPN-соединение, полностью отключая пользователя от корпоративной сети, а только ограничить ему доступ к каким-то критичным сегментам ИТ-инфраструктуры организации.
* * *
Вопрос: какие NAC решения поддерживаются для интеграции? Если нет привязки к конкретным продуктам, то каким образом выглядит логика взаимодействия ПК с NAC-решениями? Интересует, в частности Efros DefOps NAC
Ответ: редакция 3 уже интегрирована с VPN-решением от АМИКОН. В следующих версиях САКУРА запланированы интеграции с другими VPN. Точно будут реализованы все интеграции, которые были в редакции 2. А далее намереваемся реализовать некий инструмент, который позволит взаимодействовать с другими VPN-решениями без необходимости доработки самого продукта. Что касается Efros DefOps NAC – на данный момент такой интеграции нет, но мы готовы обсудить возможность реализации этой задачи. Если этот запрос актуален, просим написать нам на почту info@it-expertise.ru
Материалы по теме:
– Программный комплекс информационной безопасности САКУРА совместим с ОС Astra Linux
– Программный комплекс информационной безопасности САКУРА совместим с BI.ZONE EDR
– «ИТ-Экспертиза» и «Амикон» интегрировали совместное решение для контроля удаленного доступа сотрудников в корпоративную инфраструктуру Сбера
– Приложение двухфакторной аутентификации «САКУРА» совместимо с РЕД ОС М
Самое актуальное и интересное – у нас в telegram-канале!