Какие зарубежные поставщики VPN-шлюзов покинули российский рынок? Насколько сейчас существенен переход на отечественные аналоги? Как повлияли западные санкции на российских поставщиков криптошлюзов? Каких функций не хватает в российских разработках и как выбрать VPN-шлюз в текущих условиях? Наконец, намного ли в ближайшее время подорожают криптошлюзы?
- Введение
- Что происходит на отечественном рынке VPN-шлюзов
- Проблемы импортозамещения на рынке VPN-шлюзов
- Как выбрать VPN-шлюз
- Что будет дальше с рынком VPN-шлюзов в России
- Выводы
Введение
Санкционное давление на российский рынок затронуло и сферу информационной безопасности. Сфера решений для обеспечения безопасного удалённого доступа, а также криптоканалов уровня «site-to-site» лишилась многих зарубежных игроков. Проблема оперативной замены иностранных VPN-шлюзов на отечественные и перехода к сертифицированным регуляторами системам шифрования встала передо множеством государственных и коммерческих компаний. Готовы ли отечественные вендоры заменить зарубежные решения в этом секторе? Какие подводные камни ждут российских заказчиков на пути внедрения новых решений? Будет ли расти цена на VPN-шлюзы и на какие параметры следует ориентироваться при их выборе? Эти и другие вопросы мы обсудили с представителями вендоров и системных интеграторов в рамках прямого эфира онлайн-конференции AM Live.
В студии Anti-Malware.ru собрались:
- Александр Веселов, руководитель направления ГОСТ VPN компании «Ростелеком-Солар».
- Павел Коростелев, руководитель отдела продвижения продуктов компании «Код Безопасности».
- Павел Великов, архитектор по информационной безопасности компании Cross Technologies.
- Павел Луцик, директор по развитию бизнеса и работе с партнёрами компании «КриптоПро».
- Виталий Беличко, старший менеджер отдела развития продуктов компании «ИнфоТеКС».
- Андрей Шпаков, руководитель продуктового направления компании «С-Терра СиЭсПи».
Ведущий и модератор дискуссии: Денис Батранков, руководитель направления сетевой безопасности, Positive Technologies.
Что происходит на отечественном рынке VPN-шлюзов
В начале беседы модератор попросил гостей студии дать оценку текущему состоянию рынка — рассказать, какие вендоры покинули Россию и как эта ситуация отразилась на заказчиках, а также отечественных разработчиках и системных интеграторах. Какие трудности ждут заказчиков на пути смены иностранного ИБ-вендора на отечественного?
Александр Веселов:
— Компании, чей уход затронул отечественный рынок, можно разделить на три группы: разработчики средств защиты, производители серверов и создатели продуктов для виртуализации. Больше всего в текущей ситуации пострадали компании, у которых не было «плана Б» с ответом на вопрос, что делать, если западные вендоры уйдут с рынка.
Павел Коростелев:
— Заказчики поделились на три категории. Первые были готовы к такому развитию событий и сейчас уже приняли решение об изменении своей ИТ-инфраструктуры. Вторые решили остаться на иностранной инфраструктуре и поддерживать её всеми возможными способами. Третьи взяли паузу и будут принимать конкретные решения по изменению инфраструктуры позже, на основании опыта других компаний.
Павел Великов:
— Текущая ситуация негативно сказалась на интеграторах, так как нарушились цепочки поставок у вендоров и возникли проблемы с «железом». Однако многие вендоры оперативно предоставили виртуальные среды для осуществления оперативного перехода. В большей мере пострадали те заказчики, которые использовали зарубежные VPN-шлюзы для удалённого доступа — их бизнес-процессы были нарушены.
Андрей Шпаков:
— Те заказчики, которые использовали UTM-шлюзы, где VPN является лишь одной из функций, столкнулись с серьёзными проблемами, так как полноценной замены таким решениям в России нет. Безусловно, заметен рост цен, особенно на те продукты, где используются новые аппаратные платформы и комплектующие. Ещё одной проблемой стали сроки принятия решений: большинство заказчиков не были готовы к тому, что всё произойдёт настолько быстро.
Павел Луцик:
— Когда к нам обращается заказчик с просьбой заменить многофункциональное средство безопасности, мы предлагаем ему несколько отдельных продуктов, которые совместно будут решать те же задачи. Ещё одной проблемой стал отзыв TLS-сертификатов у ряда банков и государственных органов и необходимость миграции на ГОСТ-шифрование. Возник спрос на решения, поддерживающие как зарубежные, так и отечественные сертификаты — у нас сейчас максимальное количество таких запросов.
Виталий Беличко:
— Хочу отметить, что ещё пандемия и кризис производителей микроэлектроники существенно увеличили сроки поставки аппаратного обеспечения. С учётом бюджетирования наших организаций срок выполнения контрактов мог составлять восемь-девять месяцев. В таких условиях быстро поставить сейчас новое «железо» невозможно, поэтому мы предлагаем заказчику виртуализированный шлюз, который даёт возможность развернуть нужный ему сервис.
Продолжая дискуссию, Денис Батранков отметил, что при сертификации зарубежных файрволов функции, которые не входили в объект оценки, удалялись. К таким возможностям относился и VPN-шлюз. Использование VPN-шлюза в UTM оставалось на усмотрение и инициативу заказчика. Теперь возникла проблема невозможности использования прежних аккаунтов UTM и VPN, прописанных в правилах файрвола, при авторизации на внешнем устройстве.
Как показал опрос зрителей прямого эфира, 37 % из них используют отечественные VPN-шлюзы. Ещё 30 % респондентов отдают предпочтение зарубежным разработкам, а 18 % применяют и российские и иностранные решения, несмотря на риски, связанные с обновлением зарубежного ПО. Не используют VPN-шлюзы 14 % участников опроса.
Рисунок 1. Какие VPN-шлюзы вы используете в своей компании (происхождение)?
Эксперты отметили, что аппаратное обеспечение подорожало в полтора-два раза, поэтому пострадали даже те заказчики, которые использовали отечественные средства безопасности. Большинство отечественных вендоров использует «железо» тайваньских производителей. Цепочка поставок от них включает в себя множество посредников, и сейчас она существенно удлинилась. Никто из производителей не хочет поставлять в Россию напрямую, но они готовы отгружать оборудование в Армению или Казахстан.
Проблемы импортозамещения на рынке VPN-шлюзов
По мнению гостей студии, одним из классов решений, требующих срочного импортозамещения, являются инструменты Zero Trust Network Access (ZTNA). Реально ли создать работающие механизмы проверки удалённого подключения на соответствие принятым в компании регламентам информационной безопасности, используя только отечественные разработки? Эксперты отметили, что разновидностью ZTNA может считаться криптошлюз; такие решения есть у отечественных поставщиков. Кроме того, ZTNA не требует создания новых продуктов: это скорее переосмысление возможностей существующих инструментов. Так, при помощи VPN можно построить доверенное соединение и аутентифицировать хост, а на уровне приложений — обеспечить гранулированный доступ. ZTNA в первую очередь требует перестройки процессов организации, а её техническая реализация возможна десятками различных способов, в том числе и с помощью продуктов российских вендоров.
Обсуждая проблему отзыва TLS-сертификатов у российских организаций, а также отказ некоторых удостоверяющих центров выдавать новые сертификаты отечественным компаниям, эксперты предложили следующие действия:
- Перевыпустить сертификат у компании GlobalSign, которая пока работает с нашими организациями.
- Обратиться к азиатским удостоверяющим центрам.
- Выпустить отечественный сертификат, поддерживающий ГОСТ-шифрование.
- Запланировать внедрение TLS-шлюза, который поддерживает сертификаты как RSA, так и ГОСТ. О перспективах таких решений мы писали ещё до санкций.
Большинство зрителей прямого эфира пока не могут оценить, пострадала ли их компания от ухода зарубежных поставщиков VPN-решений с рынка. Такого мнения придерживаются 38 % участников проведённого нами опроса. Считают, что их организация была готова к такому развитию событий, 30 % респондентов, а 26 % оценивают ущерб как незначительный. Признались, что испытывают серьёзные проблемы в этой сфере, 6 % опрошенных.
Рисунок 2. Пострадала ли ваша компания от ухода зарубежных поставщиков VPN с рынка?
Гости студии заметили, что создание полностью российского криптошлюза на данный момент невозможно, поскольку вся элементная база поставляется из-за рубежа. Отечественные компании могут проектировать корпус, выполнять монтаж материнской платы, однако процессоры, сетевые чипы, память и другие компоненты мы не производим. Решением могут стать виртуальные исполнения для средств безопасности, однако такие VPN-шлюзы имеют уровень защиты КС1, в то время как для государственных информационных систем (ГИС) необходим КС3 — это требование регулятора.
Коммерческие компании, не подпадающие под действие регламентирующих документов, определяют класс защиты исходя из собственной модели угроз. Гости студии отметили, что чаще всего это КС1. Сложнее ситуация в банковском секторе: там класс защиты может определяться сферой применения.
По мнению спикеров, рынок сможет адаптироваться к санкциям в течение двух-трёх лет: заказчики смогут точнее сформулировать свои требования, вендоры — разработать необходимые решения, регуляторы — модернизировать нормативную базу. За этот срок цепочки поставок также придут в равновесие, будут определены новые правила игры.
По нашей просьбе зрители прямого эфира AM Live оценили процесс миграции на отечественные VPN-шлюзы в своих компаниях. Как показал проведённый опрос, 30 % его участников находятся в стадии изучения рынка. Выбирают или «пилотируют» проект отечественного VPN-решения по 6 % респондентов, а закупают — 3 %. Добрались до стадии внедрения 9 % опрошенных. Ещё 10 % наших зрителей завершили миграцию на отечественные VPN-шлюзы. Заняли выжидательную позицию и наблюдают за ситуацией 36 % участников опроса.
Рисунок 3. На каком этапе миграции на отечественные VPN-шлюзы вы находитесь?
Рассуждая о функциях, которых не хватает отечественным шлюзам безопасности, эксперты AM Live назвали наличие API одним из ключевых запросов клиентов. Кроме того, востребованными будут возможности NGFW: URL-фильтрация, контроль приложений с разбором промышленных протоколов, IPS / IDS с удобным интерфейсом управления. Ещё один частый запрос — это проверка политик на пользовательских машинах. Спикеры отметили, что для заказчиков важны возможности масштабирования, есть спрос на высокопроизводительные решения. В долгосрочной перспективе рынок криптошлюзов в России повторит судьбу западного, где отдельные специализированные решения постепенно вымываются универсальными NGFW-продуктами.
Большинство наших зрителей ищут замену зарубежным VPN-шлюзам для решения задачи удалённого доступа к ресурсам. Такой ответ в ходе проведённого нами опроса дали 55 % респондентов. Ещё 39 % используют VPN для объединения площадок, 6 % — для доступа к публичным веб-сайтам. Вариант «Удалённый безагентский доступ к ресурсам» не выбрал никто из участников опроса.
Рисунок 4. Для каких сценариев вы ищете замену зарубежным VPN-шлюзам?
Как выбрать VPN-шлюз
Отдельный блок онлайн-конференции был посвящён практике выбора VPN-шлюза. Что нужно, чтобы защитить каналы передачи данных: поставить какое-то программное обеспечение или купить определённое устройство? Как осуществляется практическая реализация VPN-шлюза? Гости студии пояснили, что для доступа к веб-ресурсам нужны только криптопровайдер и браузер, никаких дополнительных устройств или инструментов не требуется. Чтобы обеспечить безопасное подключение к корпоративным системам, на пользовательском устройстве должен быть VPN-клиент. Защита же магистральных каналов связи требует дорогого специализированного оборудования. Соединения типа «site-to-site» обеспечиваются отдельными VPN-шлюзами или их виртуальными аналогами.
Эксперты обсудили проблему совместимости криптошлюзов разных производителей. Реализации стандартов ГОСТ у разных производителей плохо интегрируются друг с другом. В части TLS ситуация лучше: например, возможно использование серверной и клиентской частей от разных производителей. Проблема имеет два аспекта: совместимость протоколов согласования ключей и совместимость самих форматов ключей. По мнению гостей студии, рынок сейчас движется в сторону сближения позиций разных вендоров и большей совместимости их продуктов.
Обеспечить увеличение производительности криптошлюза могут специализированные аппаратные решения, одним из которых является программируемая логическая интегральная схема (ПЛИС). Она позволяет оптимизировать работу VPN-шлюза в соответствии с используемым алгоритмом шифрования. Такие решения хорошо ложатся на задачи шифраторов уровня L2 и L1, где нет сложных топологий сетей, но есть чёткая задача быстро обрабатывать трафик. Классический VPN-шлюз уровня L3 с шифрованием на процессоре сейчас способен обеспечивать пропускную способность до 10 Мбит/с, специализированные аппаратные устройства — до 100 Мбит/с.
Как измерять производительность работы VPN-шлюза? На какие параметры ориентироваться заказчику при выборе продукта этого класса? Эксперты AM Live отметили, что лучший метод тестирования возможностей VPN-шлюза — это пилотный проект на реальном трафике. Существует также несколько устаревшая, но всё ещё рабочая методика RFC2544. Необходимо чётко представлять себе цели и каналы, которые будут защищаться при помощи VPN, и на этом основании проводить расчёт предполагаемой скорости работы.
Заявленные производителями цифры необходимо уточнять, выяснив, каким режимам работы они соответствуют и использовалась ли аутентификация при проведении измерений. Следует помнить, что на пропускную способность влияют размер пакета, количество новых сессий, количество одновременных сессий, наличие логирования, а также число правил фильтрации. В любом случае, публикуемая вендором скорость работы устройства — это во многом маркетинг: чтобы понять реальную производительность при решении задач заказчика, необходимо большее количество данных.
Что будет дальше с рынком VPN-шлюзов в России
Как будут развиваться российские VPN-шлюзы? Какие функциональные возможности вендоры планируют добавить в свои продукты? Представители разработчиков, собравшиеся у нас в студии, рассказали, что ключевым направлением развития для них является движение в сторону UTM и NGFW. Одни вендоры выбрали путь самостоятельной разработки, другие ищут способы интеграции, сосредоточившись на своих компетенциях в области криптографической защиты. Одной из главных задач производители VPN-шлюзов назвали также создание системы управления, способной контролировать сотни и даже тысячи устройств.
Эксперты предрекают дальнейшее подорожание аппаратных платформ и их дефицит. В текущих условиях компаниям необходимо уточнить свои требования, определить необходимые функциональные возможности решения и исходя из этих параметров выбирать производителя. В случае проблем с поставками «железа» можно использовать виртуализированные исполнения шлюзов. По мнению спикеров, в будущем следует ожидать ещё большего ужесточения законодательства относительно использования российских разработок, а также появления стартапов нацеленных на импортозамещение. Крупные заказчики будут мигрировать в сторону NGFW, а рынок «чистых» криптошлюзов в этом секторе — сжиматься.
По итогам прямого эфира 29 % его зрителей заинтересовались российскими VPN-шлюзами и выразили готовность их тестировать. Считает отечественные разработки слишком «сырыми» для эксплуатации в своей компании 31 % опрошенных, а 17 %, напротив, убедились в правильности выбора своего решения. Никто из участников опроса не высказал мнение, что российские криптошлюзы им неинтересны, однако 23 % респондентов выбрали вариант «Мы уже достаточно настрадались».
Рисунок 5. Каково ваше мнение о российских VPN-шлюзах по итогам сегодняшнего эфира?
Выводы
Российский рынок VPN-шлюзов, как и многие другие сферы информационной безопасности, переживает времена турбулентности и тектонических изменений. Уход зарубежных игроков предоставил отечественным вендорам широкое поле для деятельности, однако срочная замена выбывших инструментов защиты не всегда возможна.
Ключевые ограничения для этого процесса — нарушение цепочек поставок аппаратных платформ, недостаточные функциональные возможности российских решений, отсутствие ресурсов для быстрой миграции у поставщиков и заказчиков.
По оценкам экспертов, рынок может прийти в равновесие не ранее чем через два-три года. До этого момента всем его участникам придётся искать компромиссные решения: использовать виртуализированные варианты VPN-инструментов, пытаться развернуть отечественные решения на имеющейся аппаратной базе, нести дополнительные затраты для ускорения процесса импортозамещения. В целом российские продукты обладают достаточной зрелостью, чтобы в обозримой перспективе заменить западные аналоги, однако процесс перехода вряд ли будет простым, в силу сжатых сроков.
Мы продолжаем следить за актуальными трендами отечественного рынка информационной безопасности и обсуждать их с экспертами отрасли в рамках проекта AM Live. Чтобы не пропускать новые выпуски и иметь возможность задавать вопросы нашим спикерам во время онлайн-конференции, подпишитесь на YouTube-канал Anti-Malware.ru. До встречи в эфире!
