Компании «Национальный инновационный центр» (НИЦ), Fortinet и «С-Терра СиЭсПи» объявили о начале продаж совместно разработанного шлюза безопасности «Граница», предназначенного для защиты периметра подключенных к сетям связи общего пользования сегментов корпоративной ИКТ-среды и их безопасного объединения друг с другом, а также защищенного подключения к сегментам удаленных пользователей. Производителем и заявителем на сертификацию нового устройства является ЗАО НИЦ.
Как утверждают представители компаний-разработчиков, шлюз «Граница» впервые объединил в одном устройстве сертифицированные в соответствии с требованиями российских регуляторов средство криптозащиты информации (СКЗИ), межсетевой экран (МЭ) и средство обнаружения вторжений по сети (СОВ).
Конструктивно «Граница» состоит из объединенных в одноюнитовом корпусе четырех функциональных узлов: программно-аппаратного комплекса СКЗИ «С-Терра VPN» версии 4.2 (в настоящее время это «С-Терра Шлюз» серии 1000 или 2000); МЭ с функциональностью СВО FortiGate (серии 30E\60E); разработанного НИЦ модуля доверенной загрузки с верифицированного образа телекоммуникационного оборудования SR (в случае «Границы» он обслуживает узел FortiGate, через него же осуществляется взаимодействие FortiGate и «С-Терра VPN», а также взаимодействие «Границы» с внешним миром); блока питания. Именно такое конструктивно-схемное решение позволяет устройству успешно проходить сертификацию в соответствии с требованиями российских регуляторов.
Сертификаты ФСТЭК России и ФСБ, которыми располагают или могут располагать компоненты «Границы», позволяют разработчикам надеяться на возможность легитимного применения шлюза как устройства с функциями СКЗИ, МЭ, СОВ и доверенной загрузки в следующих условиях:
- в государственных (муниципальных) информационных системах до 1 класса защищенности включительно;
- в автоматизированных системах управления до 1 класса защищенности включительно;
- в информационных системах персональных данных до 1 уровня защищенности персональных данных включительно;
- на объектах критической информационной инфраструктуры до 1 категории значимости включительно.
Подключение шлюза «Граница» при наиболее строгом контроле трафика — с проверкой зашифрованного трафика после его обработки СКЗИ на МЭ и СОВ перед его передачей в корпоративную сеть — представлено на рисунке 1.
Рисунок 1. Наиболее эффективный вариант включения шлюза «Граница» в корпоративную инфраструктуру
Серьезной задачей при создании «Границы», как отметил коммерческий директор компании «С-Терра СиЭсПи» Аркадий Пыслару, стала разработка схемы коммутационного взаимодействия трех главных функциональных компонентов шлюза «Граница»: при условии выполнения российских регуляторных требований сохранение их производительности и функциональности оказалось непростым.
Производительность «Границы» как МЭ составляет в нынешней комплектации 200 или 250 Мбит/с, а для контроля приложений 300 или 550 Мбит/с (в зависимости от выбора модели МЭ FortiGate). Соответственно, производительность шифрования смешанного трафика составляет 130 или 240 Мбит/c (в зависимости от выбора модели шлюза «С-Терра» — 1000 или 2000).
В развитии шлюза «Граница», как заявляют представители его разработчиков, они ориентируются только на запросы со стороны рынка. В ряду первых покупателей шлюза «Граница» его разработчики видят крупные российские компании и организации с развитой филиальной структурой.
Устройство уже сегодня может снабжаться вторым источником питания (запросы на это есть). В ближайшие месяцы в «Границу» планируется интегрировать МЭ FortiGate производительностью до 10 Гбит/с — это тоже требуется некоторым заказчикам. Предполагается создание единой консоли мониторинга через веб-портал с последующими переходами на порталы управления СКЗИ и МО/СОВ (из-за сложности сертификации единая консоль управления не планируется). Реализация программно-аппаратного интерфейса к системам SIEM позволит передавать нормализованные логи по стандартным API от шлюза в эти системы.
Предполагаемое углубление локализации производства «Границы» (например, заливка BIOS в России) будет повышать доверие к устройству со стороны заказчиков. В проектах — создание совместного центра компетенций, который займется выявлением сигнатур сетевых атак, специфических для российского региона.
Основным каналом продвижения «Границы» предполагается партнерская сеть компании Fortinet с двумя дистрибьюторами во главе — «Марвел-Дистрибуция» и Netwell. В то же время продажи будут производиться также и по каналам «С-Терра СиЭсПи» и НИЦ. При этом, учитывая значительное пересечение своих партнерских каналов, компании намерены тесно сотрудничать в каждом крупном проекте.
Первую (если с ней не справляется интегратор) и вторую линию технической поддержки шлюза «Граница», как пояснил генеральный директор НИЦ Дмитрий Соболев, осуществляет ЗАО НИЦ. При дальнейшей эскалации запроса на поддержку будут привлекаться специалисты Fortinet и «С-Терра СиЭсПи». При желании заказчики могут обращаться за поддержкой напрямую в Fortinet или «С-Терра СиЭсПи».
