Шифрування даних у русі

🌐 Цей документ доступний українською та англійською мовами. Використовуйте перемикач у правому верхньому куті, щоб змінити версію.

1. Загальний опис

Шифрування у русі - це процес перетворення інформації таким чином, щоб вона стала незрозумілою для несанкціонованих осіб, які не мають відповідних ключів для розшифрування. Цей процес використовується для забезпечення конфіденційності та безпеки даних під час передачі.

Основні ідеї шифрування у русі:

  • Конфіденційність: Одна з основних цілей шифрування полягає у забезпеченні конфіденційності даних. Шифрування дозволяє зробити інформацію незрозумілою для сторонніх осіб, які намагаються перехопити або переглянути дані під час їх передачі чи збереження.

  • Захист від несанкціонованого доступу: Шифрування забезпечує захист від несанкціонованого доступу до інформації, оскільки лише особи або системи з правильними ключами можуть розшифрувати зашифровані дані.

  • Інтегрітет даних: Додаткова важливість шифрування полягає у забезпеченні інтегрітету даних. Під час передачі даних в мережі вони можуть піддаватися небажаним змінам. Застосування шифрування допомагає впевнитися, що дані не були змінені під час транзиту.

  • Дотримання регуляторних вимог: Шифрування у русі є однією з основних вимог безпеки профільних стандартів.

1.1. Шифрування трафіку між користувачами та платформою

Для забезпечення безпечного каналу звязку та обміну даними між користувачем та платформою використовується криптографічний протокол TLS 1.2.

Весь зовнішній трафік спочатку проходе через зовнішній балансувальник навантаження але операція дешифрування (SSL Offload) відбувається вже всередині платформи головним мережевим компонентом Haproxy (роутер). За допомогою підходу SSL Offload, обробка криптографічних операцій відбувається на платформенному роутері підсистеми управління зовнішнім трафіком, що дозволяє звільнити внутрішні сервіси від цього навантаження і підвищити продуктивність. Це сприяє поліпшенню швидкодії, масштабованості та безпеки інфраструктури.

Детальніше можна ознайомитись у розділі Підсистема управління зовнішнім трафіком

У якості надавача довірених сертифікатів використовується центр сертифікації LetsEncrypt (https://letsencrypt.org/). Цей підхід дозволяє налаштовувати безкоштовні довірені сертифікати для шифрування трафіку на цільовому оточенні при розгортанні платформи.

Детальніше можна ознайомитись у розділі Заміна самопідписаних сертифікатів на довірені сертифікати

1.2. Шифрування трафіку всередині платформи

Платформа реєстрів а саме Підсистема управління міжсервісною взаємодією використовує мережевий паттерн Service Mesh однією з цілей якого є шифрування трафіку між сервісами. За динамічну генерацію, розповсюдження та підтвердження виданих сертифікатів відповідає окремий компонент Citadel.

Детальніше з компонентами Service Mesh можна ознайомитись у розділі Service Mesh та компоненти Платформи

Комунікація решти внутрішніх сервісів відбувається по відкритому каналу звязку в приватній мережі використовуючи приватні доменні імена.

Для взаємодії з зовнішніми системами такими як Сервіс цифрової ідентифікації (id.gov.ua) або Сервіси Дії (diia.gov.ua) та Акредитованим центр сертифікації ключів (АЦСК) використовується виключно безпечний канал передачі даних.

З метою забезпечення захищеного інформаційного обміну даними державних реєстрів та інших інформаційних систем використовується Система Електронної Взаємодії Державних Електронних Інформаційних Ресурсів (СЕВДЕІР) "Трембіта". Всі повідомлення, що нею передають, зашифровуються відповідно до національних криптографічних стандартів.

Детальніше з дизайном підсистем, в яких залучена інтеграція, можна ознайомитись у відповідних розділах: