Сертификат AM Test Lab
Номер сертификата: 501
Дата выдачи: 24.12.2024
Срок действия: 24.12.2029
- Введение
- Функциональные возможности «Континента TLS 2.6»
- Архитектура «Континента TLS 2.6»
- Системные требования «Континента TLS 2.6»
- Применение «Континента TLS 2.6»
- Выводы
Введение
Частные компании и государственные организации сталкиваются с постоянно растущими угрозами информационной безопасности. Удалённый доступ к корпоративным ресурсам, необходимость защиты конфиденциальной информации и предотвращения утечек данных ставят перед ИТ-отделами сложные задачи. Эти вызовы усиливаются с ростом количества удалённых сотрудников и расширением географии взаимодействий между подразделениями, что делает особенно актуальными вопросы безопасной передачи данных.
Вариант решения задачи по защите информации при работе в распределённых сетях — использование системы «Континент TLS 2.6». Этот программно-аппаратный комплекс разработан для создания защищённых каналов связи, соответствующих российским стандартам шифрования и требованиям по безопасности.
«Континент TLS 2.6» сочетает в себе передовые технологии для администрирования и защиты сетей, включая централизованное управление кластерами TLS-шлюзов, гибкое лицензирование и взаимодействие с популярными корпоративными системами. Благодаря поддержке отечественных криптографических стандартов и возможности работы через веб-интерфейс обеспечиваются удобство и надёжность использования в разных средах — от небольших компаний до масштабных организаций.
Особенностью «Континента TLS 2.6» является его универсальность. Продукт подходит для обеспечения безопасности удалённого доступа сотрудников, а также защиты веб-приложений и интернет-порталов. Поддержка до 152 000 одновременных подключений и продуманная система разграничения прав пользователей делают его удобным инструментом для решения широкого спектра задач в области информационной безопасности.
Функциональные возможности «Континента TLS 2.6»
«Континент TLS 2.6» позволяет обеспечивать безопасный защищённый доступ к веб-приложениям и корпоративным ресурсам с использованием современных алгоритмов шифрования, включая стандарты ГОСТ. В системе реализован гибкий подход к организации защищённого взаимодействия с сетевыми ресурсами.
Шифрование
Система обеспечивает криптографическую защиту HTTPS-трафика с использованием протокола TLS, гарантируя высокий уровень безопасности передачи данных.
Поддерживаемые криптоалгоритмы:
- Шифрование информации осуществляется по алгоритмам ГОСТ Р 34.12-2015 и 28147-89.
- Расчёт хеш-функции выполняется с использованием алгоритма ГОСТ Р 34.11-2012, что обеспечивает целостность информации.
- Формирование и проверка электронной подписи осуществляются по алгоритму ГОСТ Р 34.10-2012, что гарантирует юридическую значимость данных.
Совместимость с клиентским программным обеспечением:
- «Континент TLS Клиент» и «ZTN Клиент». Поддерживается работа со всеми популярными браузерами.
- «КриптоПро CSP» и «Валидата CSP». Обеспечивается работа в Microsoft Edge и «Яндекс Браузере».
- Любое другое клиентское ПО, соответствующее спецификации TLS.
Система поддерживает протокол TLS 1.2, обеспечивая безопасность соединений в соответствии с современными стандартами.
Механизм обратного подключения системы позволяет «Континенту TLS 2.6» осуществлять подключение от защищаемой сети к TLS-серверу и создавать открытое зашифрованное соединение, через которое передаются запросы от клиентов. Аутентификация защищаемой сети происходит при предъявлении серверу пользовательского удостоверения, выпущенного центром сертификации.
Контроль доступа к защищаемым ресурсам
«Континент TLS 2.6» предоставляет гибкие и надёжные механизмы управления доступом к защищаемым ресурсам. Основные функции контроля доступа:
- Идентификация и аутентификация пользователей с применением сертификатов открытых ключей стандарта X.509v3, соответствующих ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012.
- Обоюдная аутентификация пользователя и сервера при установке защищённого соединения, что исключает возможность подмены сторон.
- Проверка сертификатов ключей с использованием списков отозванных сертификатов (CRL) и автоматическое обновление Trust Service Status List (TSL).
Интеграция и управление доступом:
- Поддержка взаимодействия с Active Directory (аутентификация по заданному администратором полю из сертификата пользователя и доступ к приложениям на основе принадлежности пользователя к структурному подразделению).
- NTLM-аутентификация для корпоративных ресурсов.
- Взаимодействие с сервисами многофакторной аутентификации, такими как Auth.as и Multifactor.
Доступ к ресурсам может быть разграничен на основе корневого сертификата или отдельных полей сертификатов пользователей. Система имеет собственный удостоверяющий центр для выпуска неквалифицированных сертификатов, который выполняет следующие функции:
- выпуск и перевыпуск корневых сертификатов;
- выпуск серверных и пользовательских сертификатов по запросам пользователей;
- отзыв выпущенных сертификатов;
- выпуск и экспорт CRL;
- экспорт выпущенных сертификатов.
«Континент TLS Сервер» поддерживает функциональность блокировки сессий с подозрительной активностью, созданных с применением пользовательских сертификатов, на основании данных от «Континента WAF». При обнаружении подозрительной активности система осуществляет поиск сессии с указанным сертификатом пользователя. Серийный номер этого сертификата помещается в список заблокированных. Сеанс, установленный с помощью такого удостоверения, разрывается.
При обнаружении попытки создать сессию с помощью заблокированного сертификата сервер перенаправляет пользователя на страницу с информацией о причине блокировки. Сертификаты блокируются автоматически на основании критериев подозрительной активности, зафиксированных «Континентом WAF».
Сетевые возможности
«Континент TLS 2.6» предоставляет широкий набор сетевых функций, обеспечивающих безопасность и производительность инфраструктуры:
- Сокрытие защищаемых серверов (обратный прокси-сервер). Возможность добавления произвольного идентификатора к каждой пользовательской сессии повышает конфиденциальность и облегчает управление сеансами.
- Работа в режиме кластера с балансировкой нагрузки. Реализация линейного масштабирования производительности без ограничений позволяет адаптировать систему к растущим требованиям бизнеса.
Возможность блокировки неиспользуемых портов снижает вероятность несанкционированного доступа и повышает защищённость сети.
Управление и мониторинг
«Континент TLS 2.6» предоставляет удобные и современные инструменты для управления и мониторинга, обеспечивая прозрачность и контроль за работой системы. Настройка и управление осуществляются при помощи средств локального и удалённого администрирования.
Рисунок 1. Меню локального управления «Континентом TLS 2.6»
Рисунок 2. Меню удалённого управления «Континентом TLS 2.6»
Для анализа и оценки производительности системы предусмотрена поддержка утилит сбора статистики — Telegraf и Zabbix. Также поддерживаются SNMP и отправка событий на удалённый сервер Syslog. Они помогают отслеживать ключевые параметры и оперативно реагировать на изменения.
Рисунок 3. Сбор статистики
Настроить параметры отображения зарегистрированных событий, просмотреть актуальную информацию о событиях, экспортировать журналы на РМ администратора или очистить их можно на вкладке «Системный журнал».
Рисунок 4. Системный журнал
Для настройки параметров фильтрации необходимо нажать на панели крайнюю кнопку справа.
Рисунок 5. Настройка параметров фильтрации
Для отмены действия фильтров следует нажать на кнопку «Сбросить фильтры» и применить изменения.
Экспорт журналов на РМ администратора возможен при помощи удалённого управления сервером. При локальном управлении доступен только экспорт на внешний носитель.
Система интегрируется с SIEM-платформами по протоколу Syslog, что обеспечивает централизованный сбор и анализ событий.
Режим работы
Система позволяет шифровать HTTP- и HTTPS-трафик, обеспечивая его конфиденциальность и защиту от несанкционированного доступа. Для повышения уровня безопасности и удобства используется автоматическое перенаправление запросов с HTTP на HTTPS.
Поддерживается туннелирование произвольного TCP-трафика через протокол TLS, что позволяет защищать широкий спектр приложений и сервисов. Возможность публикации приложений на портале обеспечивает удобный доступ пользователей к корпоративным ресурсам через защищённые каналы.
Архитектура «Континента TLS 2.6»
«Континент TLS 2.6» представляет собой комплекс для обеспечения защищённого удалённого доступа и шифрования трафика с использованием отечественных криптографических стандартов. Перечислим основные элементы его архитектуры:
- «Континент TLS Сервер». Выступает центральным элементом системы, выполняет функции по HTTPS-проксированию и туннелированию TCP-трафика через протокол TLS, а также поддерживает работу в режиме кластера для масштабируемости. Сервер обеспечивает управление сертификатами, автоматическое перенаправление с HTTP на HTTPS и балансировку нагрузки.
- «Континент TLS Клиент». Клиентское ПО предназначено для безопасного подключения к защищаемым ресурсам. Оно работает с веб-браузерами и поддерживает взаимную аутентификацию между клиентом и сервером. Реализована поддержка криптографии по ГОСТу и возможность интеграции с программами типа «КриптоПро CSP».
- Система управления и мониторинга.
Архитектура «Континента TLS 2.6» обеспечивает высокую гибкость и масштабируемость, поддерживает большое количество одновременных соединений.
Для обеспечения отказоустойчивости и повышения производительности можно объединять системы в кластер, где нагрузку распределяет внешний балансировщик. При этом один сервер становится основным и управление кластером производится через него. Между собой серверы в кластере обмениваются только служебной информацией. Для работы в кластере рекомендуется использовать сторонний балансировщик трафика или применять DNS-балансировку.
TLS-сервер предоставляет возможность удалённо выключать или перезагружать как отдельные серверы, так и весь кластер. Однако включение кластера удалёнными средствами невозможно.
Для возможности восстановления системы в случаях сбоев или нарушения работоспособности создаются резервные копии. В них содержатся следующие данные:
- настройки TLS-сервера, на котором выполнялся бэкап;
- настройки HTTPS-прокси, TLS-туннеля, портала приложений;
- сертификаты собственного центра сертификации;
- установленные корневые сертификаты сервера и ключевые контейнеры к ним, а также сертификаты администраторов.
При отсутствии актуальной копии можно воспользоваться данными сохранёнными на одном из подчинённых серверов.
Системные требования «Континента TLS 2.6»
Минимальные требования для установки системы «Континент TLS 2.6» зависят от типа используемой платформы. Модельный ряд «Континента TLS 2.6» включает в себя несколько платформ, ориентированных на разные уровни производительности.
Модели базовой производительности
В данной категории представлена одна модель — «Континент TLS 2.6» IPC-R50. Её пропускная способность в режиме HTTPS-прокси составляет 600 Мбит/с, при этом максимальное количество соединений достигает 27 000.
Рисунок 6. «Континент TLS 2.6» IPC-R50
Формфактор — настольный, но также можно установить систему в стойку 1U с помощью соответствующего комплекта крепления. Сетевые интерфейсы — четыре порта 1000BASE-T RJ45 и один порт 1G SFP.
Модели средней производительности
Ряд представлен моделями «Континент TLS 2.6» IPC-R300, IPC-R550, IPC-R800. Пропускная способность и другие характеристики указаны в таблице.
Таблица 1. Характеристики моделей «Континента TLS 2.6» средней производительности
Платформа | IPC-R300 | IPC-R550 | IPC-R800 |
Пропускная способность в режиме HTTPS-прокси, Мбит/с | 600 | 1 300 | 2 400 |
Максимальное количество соединений в режиме HTTPS-прокси | 25 000 | 52 100 | 96 000 |
Наличие в реестре РЭП | Да | Да | Да |
Рисунок 7. Модели «Континента TLS 2.6» средней производительности
«Континент TLS 2.6» IPC-R300 имеет формфактор 1U и сетевые интерфейсы 4 × 10/100/1000BASE-T RJ45, 2 × Combo 1G RJ45/SFP, 2 × 10G SFP+ с пропускной способностью до 600 Мбит/с и максимальным количеством соединений до 22 000.
Модели высокой производительности
Ряд представлен моделями «Континент TLS 2.6» IPC-R1000, IPC-R3000, IPC-3000. Пропускная способность и другие характеристики указаны в таблице.
Таблица 2. Характеристики моделей «Континента TLS 2.6» высокой производительности
Платформа | IPC-R1000 без Hyper-Threading | IPC-R1000 с Hyper-Threading | IPC-R3000 | IPC-3000 |
Пропускная способность в режиме HTTPS-прокси, Мбит/с | 2 000 | 3 300 | 2 500 | 5 700 |
Максимальное количество соединений в режиме HTTPS-прокси | 111 400 | 79 400 | 152 000 | 109 000 |
Наличие в реестре РЭП | Да | Да | Да | Нет |
Рисунок 8. Модели «Континента TLS 2.6» высокой производительности
«Континент TLS 2.6» IPC-R1000 имеет интерфейсы 8 × 10/100/1000BASE-T RJ45 и 4 × 10G SFP+ с пропускной способностью до 2050 Мбит/с и поддержкой до 111 500 соединений.
Применение «Континента TLS 2.6»
«Континент TLS 2.6» — это современная система, предназначенная для обеспечения безопасной передачи данных в различных корпоративных и государственных информационных сетях. Благодаря высокому уровню защиты и адаптивности она находит применение в различных сферах, включая финансовые учреждения, здравоохранение и государственные структуры.
Удалённый доступ к корпоративным ресурсам
Удалённый доступ к корпоративным ресурсам является неотъемлемой частью современной бизнес-среды, обеспечивая сотрудникам возможность работать из любой точки мира. Для эффективного и безопасного подключения ко внутренним веб-ресурсам компании необходимо решить следующие задачи:
- Внедрить систему аутентификации пользователей, которая подтверждает подлинность их доступа и защищает корпоративные данные.
- Разграничить доступ к веб-приложениям, что позволит допускать пользователей только к тем ресурсам, которые необходимы для выполнения их рабочих обязанностей.
- Использовать толстые клиенты. Приложения для ERP-систем существенно повышают уровень взаимодействия с корпоративными ресурсами, обеспечивая полную функциональность и безопасность. Доступ к терминальному серверу или VDI (Virtual Desktop Infrastructure) позволит сотрудникам работать в защищённой виртуальной среде, применяя корпоративные данные и приложения без угрозы утечек или несанкционированного вмешательства.
В решении перечисленных задач помогут компоненты от «Кода Безопасности». «Континент TLS» обеспечит высокий уровень защиты каналов связи. «Континент TLS Клиент», «КриптоПро CSP» и «Валидата CSP» гарантируют корректную работу с криптографическими данными. Удостоверяющий центр, интегрированный в «Континент TLS», решит вопросы по управлению сертификатами и аутентификацией пользователей, гарантируя безопасность всей системы.
Рисунок 9. Удалённый доступ к корпоративным ресурсам
Защищённый доступ к веб-приложению
Это актуально для тех веб-приложений, доступ к которым требует высокой степени защиты — особенно для государственных информационных систем (ГИС), где соблюдение стандартов безопасности является обязательным. Такие системы требуют точного контроля за доступом и аутентификацией пользователей, чтобы предотвратить несанкционированное вмешательство и утечку информации.
Другой пример — создание системы дистанционного банковского обслуживания, где транзакции и финансовые данные должны быть защищены на каждом этапе. Это также относится и к созданию электронной торговой площадки, где безопасность данных клиентов и покупателей, а также транзакций и личной информации стоит на первом месте.
Для реализации защищённого доступа используются компоненты от «Кода Безопасности», такие как серверы «Континента TLS», которые обеспечивают шифрование и защиту данных на уровне канала связи. «Континент TLS Клиент» или «КриптоПро CSP» играют ключевую роль в обеспечении взаимодействия с веб-приложениями, а также гарантируют криптографическую защиту данных. Удостоверяющий центр в составе сервера «Континент TLS», управляющий сертификатами и аутентификацией пользователей, также является важным элементом в обеспечении доверия к системе и её безопасности.
Рисунок 10. Защищённый доступ к веб-приложению
Анонимный доступ к веб-приложению
Защищённый доступ к веб-приложениям играет существенную роль в обеспечении безопасного взаимодействия граждан и организаций с государственными и медицинскими сервисами. Одним из примеров является доступ к порталу госуслуг, где пользователи могут решать различные задачи — от подачи заявлений до получения справок. Надёжная защита данных гарантирует, что личная информация граждан останется конфиденциальной и защищённой от несанкционированного доступа.
Ещё одной важной задачей является доступ к «электронной регистратуре», обеспечивающей удобство записи на приём к врачу через интернет. Для пользователей это — не только экономия времени, но и уверенность в безопасности передачи данных о состоянии здоровья и прочей персональной информации.
Для реализации таких решений используются компоненты от «Кода Безопасности». Сервер «Континента TLS» обеспечивает шифрование каналов связи и защиту передаваемых данных, а «Континент TLS Клиент» предоставляет пользователям удобный и безопасный инструмент для доступа к веб-приложениям. В совокупности эти технологии создают защищённую инфраструктуру для работы с критически важными сервисами.
Рисунок 11. Анонимный доступ к веб-приложению
Выводы
В условиях роста цифровизации и увеличения объёма удалённой работы особое внимание уделяется защите данных, обеспечению конфиденциальности и соблюдению высоких стандартов безопасности. «Континент TLS 2.6» эффективно решает задачи по аутентификации пользователей, разграничению доступа и защите данных при взаимодействии с веб-приложениями, что особенно важно для организаций с высокими требованиями к информационной безопасности.
Криптографические модули обеспечивают шифрование данных и защиту каналов связи, что предотвращает утечки информации и атаки на корпоративные сети. Интеграция удостоверяющих центров даёт дополнительную уверенность в подлинности пользователей и защиту от несанкционированного доступа.
«Континент TLS 2.6» особенно полезен для предприятий работающих с конфиденциальной информацией — от государственных структур до финансовых и медицинских организаций. Система обеспечивает защиту в таких критически важных областях, как доступ к порталам госуслуг, электронным регистратурам и дистанционным банковским сервисам. Внедрение продукта от «Кода Безопасности» помогает не только повысить уровень безопасности, но и улучшить пользовательский опыт, предлагая удобный и защищённый доступ к корпоративным и государственным ресурсам.
Достоинства:
- Высокая производительность. Пропускная способность сервера в режиме HTTPS-прокси достигает 2,5 Гбит/с при поддержке до 152 000 одновременных соединений.
- Отказоустойчивость. Поддерживается объединение систем в кластер с распределением нагрузки между серверами внешним балансировщиком.
- Гибкость и масштабируемость. Кластеризация позволяет наращивать производительность в зависимости от потребностей организации.
- Собственный удостоверяющий центр для выпуска неквалифицированных сертификатов, поддерживающий полный цикл управления сертификатами, включая их выпуск, перевыпуск, отзыв и экспорт.
- Возможность интеграционного взаимодействия с SIEM-системами, WAF, LDAP, Active Directory, Auth.as, Multifactor и другими решениями.
- Поддержка российских стандартов. Продукт сертифицирован по требованиям ФСБ и ФСТЭК России, соответствует классу КС2/КС3 (сервер) и КС1/КС2 (клиент).
Недостатки:
- Экспорт журналов на РМ администратора возможен при помощи удалённого управления сервером. При локальном управлении сервером доступен только экспорт на внешний носитель.
- Невозможно удалённое включение кластера.
- Нет функциональности SSL VPN и WAF (в планах вендора на II квартал 2025 года).