В тестовых целях сертификаты крипто шлюз можно получить в нашем тестовом удостоверяющем центре бесплатно и удаленно на три месяца. Программные компоненты NGate существенно оптимизированы на этапе разработки, предоставляя максимальную на рынке производительность и предъявляя относительно невысокие требования к аппаратной платформе как для шлюза, так и для удаленного пользователя. Режим работы VPN-соединения «мост» реализовывает шифрование и туннелирование пользовательских данных на уровне Ethernet-кадров (L2-шифрование).
Краткий обзор криптошлюзов, представленных на российском рынке
NGate обладает широкими возможностями по управлению различными типами доступа как с обеспечением строгой многофакторной аутентификации, так и прозрачно, обеспечивая при этом гибкое разграничение прав доступа к ресурсам. Спикеры онлайн-конференции также отметили, что VPN-шлюзы могут быть использованы для подключения к различным облачным площадкам. Эта тема сейчас весьма популярна и будет ещё более востребованной в процессе перехода на платформу «Гостех» и большего использования облаков заказчиками. Ещё один сценарий применения криптошлюза — портальный доступ ко внутренним ресурсам, который обеспечивает безопасный канал для работы с конкретным приложением. Шлюз удалённого доступа также применяют для защиты устройств без операционной системы — приборов учёта или оборудования интернета вещей. Российский рынок средств безопасного удалённого доступа давно живёт в парадигме импортозамещения.
Код безопасности АПКШ «Континент» 3.9, Криптошлюз (КС , Платформа IPC500
Второй случай более распространен и подразумевает собой установку криптошлюзов на каждом устройстве в локальной сети. Одной из ключевых проблемных задач для российского рынка криптошлюзов является создание отечественной аппаратной платформы для организации безопасных каналов передачи данных. Очевидно, что реализация такого проекта должна проходить поэтапно, поскольку российские технологии в сфере микроэлектроники пока не могут полностью обеспечить импортозамещение в этой области. Вместе с тем сертифицированные алгоритмы и поддерживающие их программные фреймворки уже сегодня имеют достаточную производительность, чтобы закрывать потребности заказчиков. Аудитория AM Live в целом позитивно относится к идее перевода криптошлюзов на отечественные аппаратные платформы. По крайней мере 27 % опрошенных нами зрителей прямого эфира готовы покупать такие решения.
Что такое криптошлюз и для чего он нужен
Высокие результаты связаны в большей мере с организацией удалённой работы сотрудников в периоды самоизоляции. В дальнейших планах по развитию “КриптоПро Шлюз УЦ-СМЭВ 1.0” – расширение возможностей операторов по управлению сертификатами и анализу архива запросов в СМЭВ, развитие программного интерфейса, поддержка новых видов сведений по мере того, как они будут становится доступными для УЦ. Для прикладного ПО “КриптоПро Шлюз УЦ-СМЭВ 1.0” предоставляет Web API для доступа к архиву полученных данных и запроса новых сведений через СМЭВ. Критошлюз – программный или аппаратно-программный комплекс, работающий на основе технологии VPN (Virtual Private Network – «виртуальная частная сеть») и обеспечивающий «прозрачное» шифрование информационных сетевых потоков между объектами, отдаленными друг от друга. На рисунке 2 представлена схема организации VPN соединения с удаленными пользователями.
Таким образом, обеспечивается высокий уровень криптографической защиты сайта, функции шифрования выносятся на отдельный высокозащищённый шлюз, тем самым разгружая сайт, обеспечивая ему возможность использовать освободившиеся ресурсы на его основные функции. Кроме того, обеспечивается более высокий уровень защищённости сайта в целом. Сегодня российский рынок криптошлюзов, как и многие другие сферы информационной безопасности, переживает времена турбулентности. Уход зарубежных игроков предоставил отечественным вендорам широкое поле для деятельности. ALTELL NEO — российские аппаратные межсетевые экраны нового поколения, сертифицированные ФСТЭК России.
Если же стоит задача создать защищённый канал между двумя точками, такими как ЦОДы, то помогут системы с аппаратными ускорителями, не ориентированные на маршрутизацию. Какие протоколы используются для организации безопасных каналов связи в России? Есть ли проприетарные отечественные стандарты, которые могут применяться помимо IPsec?
На текущий момент все больше и больше становятся популярны одноплатные решения (мини-компьютеры), которые могут выполнять несколько ролей в информационной инфраструктуре организации. В промышленных организациях одноплатные мини-компьютеры используются в том числе как контроллеры АСУТП. С использованием такого рода устройств существует возможность построения защищенной сети, построения VPN-туннелей, анализа трафика и пр.
ViPNet TLS Gateway обеспечивает аутентификацию пользователей и организацию защищенных соединений по протоколу TLS при работе с портальными решениями. В части защиты от сетевых атак «Атликс-VPN» обеспечивает фильтрацию входящих и исходящих IP-пакетов. Модельный ряд ориентирован как на небольшие компании, так и на крупные организации с большими центрами обработки данных. Согласно исследованию Anti-Malware.ru, в 2020 году объём продаж VPN-шлюзов в России составил 5 млрд рублей (14,4 % рынка сетевой безопасности).
«Интеграция мини-компьютеров АТБ-АТОМ и операционной системы РЕД ОС — пример синергии двух отечественных разработчиков, результат которой — 100% российское решение, компоненты которого входят в ключевые реестры высокотехнологичных продуктов. Мы своевременно создали программно-аппаратный комплекс, который позволит закрыть образовавшийся дефицит подобных решений. Российские потребители своевременно получают качественную замену как иностранного оборудования, так и системного ПО» — отметил исполнительный директор «АТБ Электроника» Роман Дементьев.
Спикеры пояснили, что во всех отраслях, где нет государственного регулирования ИБ, продолжает использоваться западная криптография. Многие компании обращаются к отечественным вендорам для замены решений Cisco и не требуют сертифицированного шифрования. С использованием динамического VPN-туннеля шлюза NGate обеспечивается динамическое туннелирование – доступ клиентской машины к удаленной сети по любым протоколам и портам внутри туннеля без ограничения количества одновременно подключаемых приложений. При этом, помимо HTTP-трафика, данный режим предоставляет возможность криптографической защиты HTTP/2, REST, gRPC, WebSockets, а также произвольных протоколов на базе TCP. При этом одновременно поддерживаются как отечественные, так и зарубежные криптографические алгоритмы, за счёт чего возможно обеспечение постепенного и бесшовного перевода пользователей на использование отечественных криптографических алгоритмов (TLS с ГОСТ) при доступе к веб-сайтам организации.
- «РЕД ОС обладает широкой экосистемой, которая включает, в том числе, совместимое с нашей операционной системой «железо».
- Когда мы рассказываем про наше решение, то говорим, что у нас — универсальный шлюз удалённого доступа и VPN.
- VPN создается путем установления виртуального соединения «точка-точка» с использованием туннельных протоколов по существующим сетям.
- ViPNet TLS Gateway – это высокопроизводительный TLS-криптошлюз, использующий российские и иностранные криптоалгоритмы.
- Аппаратно-программный комплекс шифрования “Континент” предназначен для обеспечения безопасного межсетевого взаимодействия и криптографической защиты информации ограниченного доступа не содержащей сведения составляющие государственную тайну, передаваемой по открытым каналам связи.
Эксперты отметили, что использование собственных, оригинальных туннельных механизмов позволяет разработчику существенно повысить скорость шифрования данных. Обратная сторона такого подхода — слабая совместимость собственных протоколов с разработками других производителей. Кроме того, с универсальными протоколами может работать большее число специалистов. Мы пригласили в студию Anti-Malware.ru представителей ключевых вендоров и сервис-провайдеров, работающих в сфере безопасности удалённого доступа, чтобы в рамках проекта AM Live обсудить, что сегодня происходит на российском рынке криптошлюзов. В режиме TLS-сервера обеспечивается прозрачный защищённый доступ пользователей к защищаемым публичным веб-сайтам организации с использованием браузера и обеспечением уровня защищённости до класса КС3 включительно. При этом одним из драйверов востребованности криптошлюзов на российском рынке является необходимость выполнения требований действующего законодательства и нормативных актов в области защиты информации.
Вы также можете подобрать конфигурацию устройства (дополнительная память, модули расширения, версия ПО и т. д.) и рассчитать приблизительную цену устройства с помощью конфигуратора. Для этой цели NGate поддерживает стандартные протоколы SNMP и Syslog и может выступать в качестве подконтрольного объекта как для системы мониторинга КриптоПро Центр Мониторинга, так и для сторонних систем мониторинга, направляя в них соответствующие сообщения. Шлюз обеспечивает возможность увеличения пропускной способности за счет объединения аппаратных мощностей в кластерную конфигурацию. Решение поддерживает работу в схеме высокопроизводительного кластера (до 32 узлов) с балансировкой нагрузки с полной синхронизацией сессий. При этом выход из строя какого-либо узла кластера не приводит к разрыву соединений, поскольку данные о сессии синхронизируются между устройствами балансировщиком и соединение перераспределяется на свободные узлы кластера.
Модельный ряд позволяет подобрать решение для организации связи с удалёнными подразделениями, филиалами или партнёрами по каналам связи с различной пропускной способностью. Модель начального уровня ORD4 предназначена для защиты каналов связи до 50 Мбит/с, а «ФПСУ-IP» на базе платформ ULT-1U-10G обеспечивает производительность до 12 Гбит/c при размере IP-пакета 1450 байт. «Континент 3» — централизованный комплекс для защиты сетевой инфраструктуры и создания VPN-сетей с использованием алгоритмов ГОСТ. Dionis DPS — это единый центр управления защитой сети, сертифицированный ФСБ и ФСТЭК России. Шлюз гарантирует безопасность передачи конфиденциальной информации через незащищённые сети общего пользования.
Эксперты отметили, что сохранению отдельных решений может способствовать ценовая политика вендоров. Применять комплексную систему для решения локальной задачи организации канала «site-to-site» может быть экономически нецелесообразно. С другой стороны, развитие технологий может привести к использованию универсальных устройств для разных функций, что позволит собирать систему сетевой безопасности из одинаковых «кирпичиков».