TLS-терминатор — это специализированный сервис в программных продуктах на базе операционной системы KasperskyOS, реализующий концепцию TLS termination proxy (подход в сетевой архитектуре, при котором специальный промежуточный сервер управляет защищенными соединениями). Это системный компонент, который отвечает за установку и управление защищенными TLS-соединениями. По сути, TLS-терминатор работает как прозрачный прокси: он принимает незашифрованный трафик от приложений, самостоятельно устанавливает защищенное соединение и передает данные во внешнюю сеть уже в зашифрованном виде.
В архитектуре KasperskyOS TLS-терминатор работает как изолированный сервис. Когда приложению требуется установить защищенное соединение, запрос сначала поступает в TLS-терминатор. Он проверяет параметры запроса и сам инициирует установку TLS-соединения с удаленным сервером.
После установления защищенного канала TLS-терминатор начинает действовать как посредник: принимает незашифрованные данные от приложения, шифрует их и отправляет по защищенному каналу. При получении данных процесс идет в обратном порядке — терминатор расшифровывает информацию и передает ее приложению.
Важной функцией TLS-терминатора является работа с сертификатами. Он взаимодействует с системным хранилищем сертификатов для проверки подлинности удаленных серверов, что защищает от атак типа «человек посередине» и предотвращает подмену сервера злоумышленником.
В системе могут быть несколько экземпляров TLS-терминатора, которые учитывают особенности работы различных протоколов. Например, для протокола RDP предусмотрен специальный режим, при котором терминатор не шифрует первый запрос-ответ между клиентом и сервером, необходимый для согласования параметров соединения.
Поскольку весь защищенный сетевой трафик проходит через TLS-терминатор, особое внимание уделено оптимизации его производительности. При этом сохраняется строгий контроль безопасности: любая попытка приложения работать по незащищенному каналу будет заблокирована терминатором, который всегда требует установки зашифрованного соединения.
TLS-терминатор используется в различных продуктах на базе KasperskyOS. Например, в Kaspersky Thin Client он обеспечивает безопасное подключение к удаленным рабочим столам, защищая передаваемые данные от перехвата и подмены. Такой подход позволяет создавать решения с высоким уровнем защищенности, особенно актуальные для систем с повышенными требованиями к безопасности.
TLS-терминатор является одним из компонентов, реализующих соответствующий паттерн безопасности и, следовательно, обеспечивающий кибериммунность продуктов на базе KasperskyOS. Благодаря тому, что он реализован как отдельный сервис, появляется возможность строго контролировать все защищенные сетевые соединения и предотвращать распространение потенциальных атак из сети. Еще один важный паттерн безопасности, который реализуется с помощью TLS-терминатора — разделение потоков данных. Например, одни экземпляры обеспечивают обмен данными с USB-подсистемой, а другие — с сетью.
Изоляция функций шифрования в отдельном компоненте позволяет сделать его код компактным и хорошо проверяемым, что повышает общий уровень безопасности системы.
