Корпоративные VPN-шлюзы: о критериях и аспектах их выбора

Корпоративные VPN-шлюзы: о критериях и аспектах их выбора

Корпоративные VPN-шлюзы: о критериях и аспектах их выбора

На AM Live рассмотрели технические аспекты и важные факторы, которые следует принимать во внимание при выборе корпоративного VPN-шлюза с учётом российской специфики. Какие есть специализированные криптошлюзы, облачные сервисы и гибридные решения?

 

 

 

 

 

 

  1. Введение
  2. Ситуация на российском рынке криптошлюзов
    1. 2.1. Как изменились требования заказчиков к криптошлюзам
    2. 2.2. Влияние санкций на производителей криптошлюзов
    3. 2.3. Изменения сценариев применения криптошлюзов в России
    4. 2.4. Криптошлюз в виде сервиса. Отношение регулятора
  3. Как выбрать криптошлюз или сервис
    1. 3.1. Ключевые параметры выбора криптошлюзов
    2. 3.2. Варианты использования криптошлюзов без шифрования ГОСТ
    3. 3.3. Квантовое распределение ключей и постквантовая криптография
    4. 3.4. Сертификация криптошлюзов
    5. 3.5. Перспективы развития криптошлюзов
    6. 3.6. Поддержка отечественных операционных систем
    7. 3.7. Нюансы при выборе криптошлюза и сервиса
  4. Прогнозы экспертов
  5. Итоги эфира
  6. Выводы

Введение

В эфире AM Live специалисты сосредоточились на технических аспектах и критериях выбора криптошлюза для определённой организации: рассказали о различных специализированных криптошлюзах, облачных сервисах и гибридных решениях, рассмотрели сценарии их использования, обсудили предусмотренные в этих решениях технологии аппаратного и программного ускорения, а также отказоустойчивости. Прозвучали общие рекомендации по выбору оптимального криптошлюза с учётом особенностей российского рынка.

 

Рисунок 1. Эксперты в студии телепроекта AM Live

Эксперты в студии телепроекта AM Live

 

Спикеры прямого эфира:

  • Павел Коростелев, руководитель отдела продвижения продуктов, «Код Безопасности»;
  • Виталий Медведев, директор по ИБ (CISO), МТС RED;
  • Илья Шарапов, генеральный директор «ТСС»;
  • Александр Веселов, руководитель направления ГОСТ VPN, ГК «Солар».

Ведущий и модератор дискуссии — Руслан Иванов, технический директор, ITKey.

 

Ситуация на российском рынке криптошлюзов

Как изменились требования заказчиков к криптошлюзам

Виден рост затрат в контексте инфраструктурных проектов. Растёт инфраструктура государственных органов, появляются новые каналы, которые необходимо защищать. С учётом нового приказа ФСБ России ожидается повышенный интерес рынка к защите сетей класса КВ и, соответственно, рост внедрений, отметил Павел Коростелев.

 

Павел Коростелев, руководитель отдела продвижения продуктов, «Код Безопасности»

Павел Коростелев, руководитель отдела продвижения продуктов, «Код Безопасности»

 

У коммерческих компаний наблюдается рост производительности с учётом появления в последние два-три года новых сервис-провайдеров. Строится много новых облаков, для которых требуется повышенная пропускная способность. Соответственно, по мнению Виталия Медведева, в эту сторону идут технологии.

 

Виталий Медведев, директор по ИБ (CISO), МТС RED

Виталий Медведев, директор по ИБ (CISO), МТС RED

 

Также эксперты пришли ко мнению, что коммерческие организации вынуждены использовать российскую криптографию, чтобы подключиться к тем или иным сервисам.

Влияние санкций на производителей криптошлюзов

Илья Шарапов оптимистично заявил о стабилизации обстановки на рынке аппаратных платформ. По его мнению, нет проблем с выбором и обеспечением продуктами. Сократились сроки поставок зарубежных решений, а также появилось больше отечественных производителей.

В свою очередь ведущий озвучил мнение о некотором сужении выбора аппаратных платформ, но Илья Шарапов с этим не согласился, сказав, что выходят новые модификации, которые можно оперативно достать.

 

Руслан Иванов, ведущий и модератор дискуссии, технический директор, ITKey

Руслан Иванов, ведущий и модератор дискуссии, технический директор, ITKey

 

Не такой радужной считает ситуацию с санкциями Павел Коростелев. Есть противостояние между общерыночными и нишевыми игроками, что, по его мнению, делает ситуацию интересной.

Санкции и «железо» — та область, где много изменений. Стало намного сложнее найти высокопроизводительное оборудование, а также «собрать пазл» совместимости вендоров, на этом акцентировал внимание Александр Веселов.

Изменения сценариев применения криптошлюзов в России

Как изменился типовой сценарий применения VPN-шлюза за год? По результатам опроса мы видим, что фокус сместился в сторону интереса к удалённому доступу, уменьшилась доля объединения площадок (site-to-site), сократился интерес к обходу блокировок.

 

Рисунок 2. Каков ваш основной сценарий применения VPN-шлюза?

Каков ваш основной сценарий применения VPN-шлюза

 

Специалисты добавили к уже озвученным по результатам опроса сценариям объединение центров обработки данных.

Криптошлюз в виде сервиса. Отношение регулятора

Возможность купить дорогостоящий продукт есть, но как сэкономить при этом? Чтобы не тратить время на ожидание поставки, не расходовать средства на сопровождение, можно взять криптошлюз как сервис либо облачное решение, в зависимости от желаний заказчика. Об этом в продолжение темы заговорил Виталий Медведев.

Ограничений со стороны регулятора нет, но есть определённые требования, такие как ответственность провайдера, действия заказчика при проверке (будет ли он привлекать поставщика услуг), обеспечение информационной безопасности провайдером на своей стороне. Сервис не должен быть панацеей, но для сравнения со своей разработкой имеет право быть, заключил Александр Веселов.

 

Александр Веселов, руководитель направления ГОСТ VPN, ГК «Солар»

Александр Веселов, руководитель направления ГОСТ VPN, ГК «Солар»

 

Участники дискуссии пришли ко мнению, что при наличии экспертизы у заказчика лучшим вариантом, возможно, будет самостоятельно заниматься построением криптошлюза. Также необходимо внимательно относиться к выбору провайдера, т. к. участились атаки на цепочки поставок и в случае компрометации поставщика услуги пострадает заказчик (по заявлению регулятора).

В отношении модели Zero Trust прозвучало мнение об использовании VPN локальными пользователями при подключении к ресурсам.

По итогам опроса о готовности организаций к переходу на криптошлюзы на отечественных аппаратных платформах видно, что появилось больше сомнений и неуверенности. Команда экспертов пообещала развеять эти сомнения.

 

Рисунок 3. Готова ли ваша организация переходить на криптошлюзы на отечественных аппаратных платформах?

Готова ли ваша организация переходить на криптошлюзы на отечественных аппаратных платформах

 

Как выбрать криптошлюз или сервис

Ключевые параметры выбора криптошлюзов

Эксперты отметили, что при выборе криптошлюза необходимо учитывать ряд параметров для различных сценариев, включая границу ЦОД, работу с удалёнными офисами, функциональность, скоростные характеристики, уровень сертификации, пропускную способность и задержки, мониторинг канала и «железа» и др.

Также специалисты обсудили важность сравнения при выборе криптошлюза, включая эксплуатационные расходы, сценарии применения и необходимость учитывать ограничения и правила использования в формуляре криптошлюза.

Павел Коростелев акцентировал внимание на том, что криптошлюз — это инфраструктурное оборудование и важно показать, что если вдруг с приложением что-то произошло, то это не вина канала.

Кроме этого дискуссия затронула вопрос сложностей с вывозом и ввозом криптографии, включая требования регуляторов и балансы затрат и прибыли. Вариант решения — использование услуг сервис-провайдеров. Должен быть и экспортный вариант.

Варианты использования криптошлюзов без шифрования ГОСТ

В продолжение дискуссии ведущий поднял следующие вопросы: в каких случаях возможно использовать криптошлюзы без шифрования ГОСТ и как происходит переход с ГОСТ 28147-89 на ГОСТ 34.12/13-2018?

Отвечая на эти вопросы, эксперты пояснили, что переход с ГОСТ 28147-89 на ГОСТ 34.12/13 продлён. Сам процесс перехода со старого семейства шифров на новое может быть сложным из-за необходимости проверки реализации и математики, потребовать замены «железа» и сертификации.

Квантовое распределение ключей и постквантовая криптография

Руслан Иванов:

 — Взламывают ли квантовые компьютеры шифры по щелчку пальцами?

Александр Веселов:

 — По прогнозам Gartner, квантовый компьютер, который мог бы серьёзно угрожать криптографии, будет в 2030 году. Понятно, что прогнозы могут сбыться раньше или позже, не сбыться вообще. Если такое всё же случится, то асимметричная криптография, по сути, будет взломана, а симметричная — значительно ухудшена.

Павел Коростелев:

 — В квантовом распределении ключей и постквантовом шифровании есть два подхода. Первый — это квантовое распределение ключей и построение распределённого распространения этих ключей по всей стране и желательно за её пределами; также следует решить вопрос о том, как это будет происходить (через спутник, например). Второй подход — принятие использования стандартного канала связи, при этом нужно будет во всём софте поменять криптографию.

Виталий Медведев:

 — Все «посткванты» — это огромные финансовые затраты, хотелось бы получить поддержку государства.

Сертификация криптошлюзов

Основные тезисы, которые выделили эксперты:

  • В некоторых случаях сертификация в ФСБ России требуется для управления межсетевыми экранами, хотя для большинства устройств криптошлюзов достаточно сертификации по стеку.
  • Важно не выбирать путь наименьшего сопротивления, а учитывать потребности заказчиков при разработке решений.
  • Криптошлюзы могут быть установлены в различные сетевые устройства, но для их сертификации необходимо провести исследования.

Перспективы развития криптошлюзов

Перспективы развития криптошлюзов и их аппаратных реализаций эксперты связывают с требованиями заказчиков и проблемами совместимости. К тому же в настоящее время нет жёстких требований регулятора к применению криптошлюзов, однако заказчики могут требовать их использования в своих системах в целях обеспечения безопасности.

Основной проблемой, по мнению экспертов, является несовместимость криптошлюзов разных вендоров между собой. Эта проблема может быть решена путём разработки стандартов и протоколов, которые позволят различным криптошлюзам взаимодействовать. Также важно добиваться того, чтобы криптошлюзы были способны работать на различных операционных системах, и поддерживать их функциональность там.

Отвечая в этом году на вопрос о приоритетах улучшения российских VPN-шлюзов, зрители уделили больше внимания производительности, одновременно уменьшились претензии к стоимости.

 

Рисунок 4. Что нужно улучшать в российских VPN-шлюзах в первую очередь?

Что нужно улучшать в российских VPN-шлюзах в первую очередь

 

Удивление модератора вызвало то, что лишь 19 % респондентов поставили на первое место функциональность.

Павел Коростелев:

 — Тут нужно понимать, что криптошлюз — это труба. Ты не ждёшь от трубы какой-то серьёзной функциональности, пока у тебя не возникает каких-то очень специфических потребностей по сетям.

Поддержка отечественных операционных систем

Представитель компании «Код Безопасности» анонсировал выпуск версии 3.9.4 с поддержкой управления под Linux. Отличий от Windows не будет.

Илья Шарапов в свою очередь отметил, что их решение управляется через браузер, где доступны все функции, поэтому любая операционная система позволит подключиться.

 

Илья Шарапов, генеральный директор «ТСС»

Илья Шарапов, генеральный директор «ТСС»

 

Нюансы при выборе криптошлюза и сервиса

Александр Веселов:

 — Обращаем внимание на сроки действия сертификатов, на дополнительные вложения, кого обучать, как эксплуатировать. При выборе сервиса смотреть на договор, разделение ответственности.

Павел Коростелев:

 — Пропускная способность и задержки, локализация «железа» в реестре электронной продукции, сертификация, поддержка отечественных операционных систем, стоимость, техподдержка.

Илья Шарапов:

 — Функциональность для поставленных задач, скоростные характеристики, стоимость владения решением.

Виталий Медведев:

 — Посоветовал бы обратить внимание на сценарии использования, оценить стоимость, возможно, будет дешевле взять сервис.

Прогнозы экспертов

Можно выделить три основных направления развития рынка криптошлюзов и их аппаратных реализаций.

  1. Криптография по ГОСТу: ожидается, что рыночная доля криптошлюзов с российскими криптографическими алгоритмами будет значительной. Однако конкретное распределение долей между различными вендорами пока неизвестно.
  2. Отдельные шлюзы для специфических задач: создание таких криптошлюзов, которые будут предназначены для выполнения конкретных задач или функций.
  3. Возможность использования криптографии, которую провайдер предоставляет вместе с каналом связи.

Кроме этого эксперты озвучили следующие ожидания относительно развития рынка криптошлюзов:

  • Появление требований к среде виртуализации со стороны ФСБ России.
  • Возможное появление новых классов защиты и требований со стороны регуляторов.
  • Переход на новые ГОСТы.
  • Внедрение отечественной криптографии в различные сервисы, такие как «Госуслуги» или система ДЭГ.
  • Развитие рынка бесклиентского доступа, расширение охвата и интеграция криптошлюзов в различные системы.
  • Прогресс микросервисов, шифрования и производительности вычислительных систем.
  • Сертификация чипов для криптошлюзов и интеграция их в различные решения.

Итоги эфира

По результатам финального опроса зрителей телеэфира можно отметить некоторый спад заинтересованности, хотя по сравнению с прошлым годом стало больше тех, кто убедился в правильности сделанного выбора.

 

Рисунок 5. Мнение аудитории о российских VPN-шлюзах по итогам эфира

Мнение аудитории о российских VPN-шлюзах по итогам эфира

 

Увеличение числа «настрадавшихся» эксперты объяснили так: количество людей, которые соприкасаются с этой сферой, увеличивается, потому что у государства есть воля по дополнительному внедрению отечественной криптографии, а последняя весьма специфична, разрабатывалась во времена, когда не планировалось такого широкого её применения.

Выводы

В целом, перспективы рынка криптошлюзов — это дальнейшее развитие и рост, однако нужно учитывать потребности заказчиков, соблюдать требования регуляторов и внедрять инновационные технологии, чтобы обеспечить эффективную защиту информации.

Телепроект AM Live еженедельно собирает экспертов отрасли в студии для обсуждения актуальных тем российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru