Назначение и условия применения ================================ Назначение ------------ СМЭВ4 состоит из следующих компонентов: - Ядро СМЭВ4 – центральный компонент СМЭВ4, размещенный в ИЭП. - Агент СМЭВ4 – компонент СМЭВ4, устанавливаемый в контуре участника взаимодействия. - Notarius (опциональный компонент) - модуль Агента СМЭВ4, сервис подписания и верификации сообщений предназначен для проверки подписи и подписания сообщений; - Prohibitor (опциональный компонент) – модуль Агента СМЭВ4, сервис проверки полномочий предназначен для контроля и блокировки Поставщиком обращений к данным своей Витрины с использованием Регламентированных SQL-запросов (РЗ), устанавливаемый в контуре участника взаимодействия. Агент СМЭВ4 представляет собой типовое программное обеспечение, устанавливаемое на стороне УВ и обеспечивающее сопряжение Витрин, хранилищ реплик, ИС УВ со СМЭВ4. Данный документ содержит состав и содержание дистрибутивного пакета, порядок установки и описание настроек Агента СМЭВ4. Требования к среде для развертывания Агента СМЭВ4 ----------------------------------------------------- Минимальные требования к серверу ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ :numref:`tab_req` содержит минимальные требования к характеристикам сервера для развертывания Агента СМЭВ4. .. _tab_req: .. table:: Минимальные требования к характеристикам сервера для развертывания Агента СМЭВ4 +-----------------------+------------------------+ | Характеристики | Агент СМЭВ4 | +=======================+========================+ | ОС серверная | - ALT 8 SP Server 10 | | | | | | - RedOS 7.3 | | | | | | - Astra Linux 1.7 SE | +-----------------------+------------------------+ | ЦПУ | 2-х ядерный процессор | +-----------------------+------------------------+ | Оперативная память | 4 Гб | +-----------------------+------------------------+ | Дисковое пространство | 20 Гб | +-----------------------+------------------------+ :numref:`tab_prohib_deploy` содержит минимальные требования к характеристикам сервера для развертывания сервиса "Prohibitor". .. _tab_prohib_deploy: .. table:: Минимальные требования к характеристикам сервера для развертывания Prohibitor +-----------------------+------------------------+ | Характеристики | Prohibitor | +=======================+========================+ | ОС серверная | - ALT 8 SP Server 10 | | | | | | - RedOS 7.3 | | | | | | - Astra Linux 1.7 SE | +-----------------------+------------------------+ | ЦПУ | 2-х ядерный процессор | +-----------------------+------------------------+ | Оперативная память | 4 Гб | +-----------------------+------------------------+ | Дисковое пространство | 20 Гб | +-----------------------+------------------------+ :numref:`tab_notarius_deploy` содержит минимальные требования к характеристикам сервера для развертывания сервиса "Notarius". .. _tab_notarius_deploy: .. table:: Минимальные требования к характеристикам сервера для развертывания Notarius +-----------------------+------------------------+ | Характеристики | Notarius | +=======================+========================+ | ОС серверная | - ALT 8 SP Server 10 | | | | | | - RedOS 7.3 | | | | | | - Astra Linux 1.7 SE | +-----------------------+------------------------+ | ЦПУ | 2-х ядерный процессор | +-----------------------+------------------------+ | Оперативная память | 4 Гб | +-----------------------+------------------------+ | Дисковое пространство | 20 Гб | +-----------------------+------------------------+ .. _software_list: Перечень стороннего ПО, необходимого для работы Агент СМЭВ4 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Для обеспечения работоспособности Агента СМЭВ4 рекомендуется приобрести следующее стороннее ПО: - JDK версии 17.0, рекомендуется JDK 17 LTS Axiom сертифицированный дистрибутив JDK, а также лицензия, cоответствующей операционной системе, приобретается пользователем самостоятельно на сайте производителя https://axiomjdk.ru/pages/downloads/#/java-17-lts. - СКЗИ CryptoPro CSP версии 5.0 R3 (см. :numref:`skzi_agent`). Сертифицированный дистрибутив CryptoPro, cоответствующий операционной системе, приобретается пользователем самостоятельно на сайте производителя https://cryptopro.ru/products/csp/downloads#latest_csp50r3_linux. .. attention:: В целях безопасности, на данных серверах должно отсутствовать любое стороннее ПО, не требующееся непосредственно для работы компонентов Агента СМЭВ4 .. _skzi_agent: СКЗИ для работы Агента СМЭВ4 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Канал связи между Агентом СМЭВ4 и Ядром СМЭВ4 должен быть защищен программно-аппаратным комплексом СКЗИ с уровнем не хуже КС3. Требования к установке СКЗИ: - При использовании mTLS: - Комплекс СКЗИ может быть установлен в другой подсети по отношению к Агенту СМЭВ4. - При отсутствии mTLS: - Комплекс СКЗИ должен быть установлен в закрытом контуре Агента СМЭВ4. - Комплекс СКЗИ должен быть установлен в той же подсети, что и Агент СМЭВ4. - Между Агентом СМЭВ4 и СКЗИ не допускается использование открытых сетей связи с возможностью доступа из вне (из сети интернет). Для работы с электронными подписями Агенту СМЭВ4 необходимы следующие средства криптозащиты: - CryptoPro CSP. Агент СМЭВ4 является сервером для всех его клиентов и при этом является клиентом для Ядра СМЭВ4. Криптография в Агенте обеспечивается CryptoPro CSP. Помимо защиты канала сертифицированными средствами, для защиты канала, а именно авторизации Агента в Ядре СМЭВ4, используются токены доступа JWT. Для этого используется односторонний TLS, через СКЗИ с помощью подписанного запроса в Ядро СМЭВ4. - для обеспечения защиты класса KC1 – СКЗИ «CryptoPro CSP» Версия 5.0 KC1 в исполнении 1-Base (CryptoPro CSP 5.0); - для обеспечения защиты класса KC2 – СКЗИ «CryptoPro CSP» Версия 5.0 KC2 в исполнении 2-Base (CryptoPro CSP 5.0). Агент СМЭВ4 является сервером для всех его клиентов и при этом является клиентом для Ядра СМЭВ. Криптографические функции в Агенте обеспечивается CryptoPro CSP 5.0. Таким образом, для обеспечения работоспособности Агента СМЭВ4 необходимо приобретение серверной лицензии для CryptoPro CSP 5.0 R3 на официальном сайте поставщика: https://cryptopro.ru/products/csp/downloads#latest_csp50_linux. Рекомендации о приобретении лицензии указано в :numref:`software_list`. Количество необходимых лицензий требуется рассчитать, ознакомившись с рекомендациями на сайте CryptoPro. .. _connect_smev: Точки подключения к Агенту СМЭВ4 -------------------------------------- :numref:`tab_connect` содержит точки подключения к Агенту СМЭВ4 и их назначение .. _tab_connect: .. table:: Точки подключения к Агенту СМЭВ4 +-----------------------------------+-----------------------------------------------------------------------------------------------------------------------------------------------+ | Порт (значение по умолчанию) [2]_ | Назначение | +===================================+===============================================================================================================================================+ | 8183 | Обмены по Регламентированным SQL-запросам через JDBC-интерфейс. | +-----------------------------------+-----------------------------------------------------------------------------------------------------------------------------------------------+ | 8192 | - обмены по Регламентированным SQL-запросам через REST-интерфейс; | | | | | | - скачивание JDBC-драйвера; ссылка на скачивание актуальной версии | | | драйвера указана в :numref:`faq`. | +-----------------------------------+-----------------------------------------------------------------------------------------------------------------------------------------------+ | 8171 (протокол 1) | Обмены по Регламентированным REST-запросам (API Gateway). | | | | | 8172 (протокол 2) | | | | Потребитель, в зависимости от используемого Поставщиком протокола, должен направлять запросы в соответствующий этому протоколу порт Агента | | | (:numref:`api_gateway`). Для уточнения используемого Поставщиком протокола требуется обратиться в службу эксплуатации СМЭВ4. | | | | | | Примечания: | | | | | | Для использования протокола 2, версия Агента должна быть 3.8.0 или выше как на стороне Потребителя, так и на стороне Поставщика. | | | | | | При использовании протокола 1 поддерживается максимальный объем запросов не более 5 мегабайт. | | | | | | При использовании протокола 2 поддерживается максимальный объем запросов не более 30 гигабайт. | +-----------------------------------+-----------------------------------------------------------------------------------------------------------------------------------------------+ .. [2] Данные порты могут быть переопределены посредством конфигурационного файла