2. Назначение и условия применения
2.1. Назначение
СМЭВ4 состоит из следующих компонентов:
Ядро СМЭВ4 – центральный компонент СМЭВ4, размещенный в ИЭП.
Агент СМЭВ4 – компонент СМЭВ4, устанавливаемый в контуре участника взаимодействия.
Notarius (опциональный компонент) - модуль Агента СМЭВ4, сервис подписания и верификации сообщений предназначен для проверки подписи и подписания сообщений;
Prohibitor (опциональный компонент) – модуль Агента СМЭВ4, сервис проверки полномочий предназначен для контроля и блокировки Поставщиком обращений к данным своей Витрины с использованием Регламентированных SQL-запросов (РЗ), устанавливаемый в контуре участника взаимодействия.
Агент СМЭВ4 представляет собой типовое программное обеспечение, устанавливаемое на стороне УВ и обеспечивающее сопряжение Витрин, хранилищ реплик, ИС УВ со СМЭВ4.
Данный документ содержит состав и содержание дистрибутивного пакета, порядок установки и описание настроек Агента СМЭВ4.
2.2. Требования к среде для развертывания Агента СМЭВ4
2.2.1. Минимальные требования к серверу
Таблица 2.1 содержит минимальные требования к характеристикам сервера для развертывания Агента СМЭВ4.
Характеристики |
Агент СМЭВ4 |
|---|---|
ОС |
|
ЦПУ |
2-х ядерный процессор |
Оперативная память |
4 Гб |
Дисковое пространство |
20 Гб |
Таблица 2.2 содержит минимальные требования к характеристикам сервера для развертывания сервиса «Prohibitor».
Характеристики |
Prohibitor |
|---|---|
ОС |
|
ЦПУ |
2-х ядерный процессор |
Оперативная память |
4 Гб |
Дисковое пространство |
20 Гб |
Таблица 2.3 содержит минимальные требования к характеристикам сервера для развертывания сервиса «Notarius».
Характеристики |
Notarius |
|---|---|
ОС |
|
ЦПУ |
2-х ядерный процессор |
Оперативная память |
4 Гб |
Дисковое пространство |
20 Гб |
2.2.2. Перечень стороннего ПО, необходимого для работы Агент СМЭВ4
JDK версии 17.0, рекомендуется JDK 17 LTS Axiom Сертифицированный дистрибутив JDK, cоответствующий операционной системе, приобретается пользователем самостоятельно на сайте производителя https://axiomjdk.ru/pages/downloads/#/java-17-lts.
СКЗИ CryptoPro CSP версии 5.0 R3 (см. Раздел 2.2.3). Сертифицированный дистрибутив CryptoPro, cоответствующий операционной системе, приобретается пользователем самостоятельно на сайте производителя https://cryptopro.ru/products/csp/downloads#latest_csp50r3_linux.
Внимание
В целях безопасности, на данных серверах должно отсутствовать любое стороннее ПО, не требующееся непосредственно для работы компонентов Агента СМЭВ4
2.2.3. СКЗИ для работы Агента СМЭВ4
Канал связи между Агентом СМЭВ4 и Ядром СМЭВ4 должен быть защищен программно-аппаратным комплексом СКЗИ с уровнем не хуже КС3.
Требования к установке СКЗИ:
При использовании mTLS:
Комплекс СКЗИ может быть установлен в другой подсети по отношению к Агенту СМЭВ4.
При отсутствии mTLS:
Комплекс СКЗИ должен быть установлен в закрытом контуре Агента СМЭВ4.
Комплекс СКЗИ должен быть установлен в той же подсети, что и Агент СМЭВ4.
Между Агентом СМЭВ4 и СКЗИ не допускается использование открытых сетей связи с возможностью доступа из вне (из сети интернет).
Для работы с электронными подписями Агенту СМЭВ4 необходимы следующие средства криптозащиты:
CryptoPro CSP.
Агент СМЭВ4 является сервером для всех его клиентов и при этом является клиентом для Ядра СМЭВ4.
Криптография в Агенте обеспечивается CryptoPro CSP.
Помимо защиты канала сертифицированными средствами, для защиты канала, а именно авторизации Агента в Ядре СМЭВ4, используются токены доступа JWT.
Для этого используется односторонний TLS, через СКЗИ с помощью подписанного запроса в Ядро СМЭВ4.
для обеспечения защиты класса KC1 – СКЗИ «CryptoPro CSP» Версия 5.0 KC1 в исполнении 1-Base (CryptoPro CSP 5.0);
для обеспечения защиты класса KC2 – СКЗИ «CryptoPro CSP» Версия 5.0 KC2 в исполнении 2-Base (CryptoPro CSP 5.0).
Агент СМЭВ4 является сервером для всех его клиентов и при этом является клиентом для Ядра СМЭВ. Криптографические функции в Агенте обеспечивается CryptoPro CSP 5.0.
Таким образом, для обеспечения работоспособности Агента СМЭВ4 необходимо приобретение серверной лицензии для CryptoPro CSP 5.0 R3 на официальном сайте поставщика: https://cryptopro.ru/products/csp/downloads#latest_csp50_linux. Рекомендации о приобретении лицензии указано в Раздел 2.2.2.
Количество необходимых лицензий требуется рассчитать, ознакомившись с рекомендациями на сайте CryptoPro.
2.3. Точки подключения к Агенту СМЭВ4
Таблица 2.4 содержит точки подключения к Агенту СМЭВ4 и их назначение
Порт (значение по умолчанию) [1] |
Назначение |
|---|---|
8183 |
Обмены по Регламентированным SQL-запросам через JDBC-интерфейс. |
8192 |
|
8171 (транспорт pulsar) 8172 (транспорт rsocket) |
Обмены по Регламентированным REST-запросам (API Gateway). Агенты Потребителя и Поставщика должны использовать единый транспорт. Потребитель, в зависимости от используемого Поставщиком транспорта, должен направлять запросы в соответствующий этому транспорту порт Агента (Раздел 4.3.10). Примечания: Для использования транспорта rsocket, версия Агента должна быть 3.7.0 или выше как на стороне Потребителя, так и на стороне Поставщика. Для отправки и получения запросов через транспорт rsocket в конфигурации соответствующего Агента должно быть указано При использовании транспорта pulsar поддерживается максимальный объем запросов не более 5 мегабайт. Для транспорта rsocket поддерживается максимальный объем запросов не более 30 гигабайт. |