Чем криптошлюз отличается от VPN? Какую производительность шифрования способны обеспечить российские средства удалённого доступа? Какие сценарии использования VPN-шлюзов наиболее распространены среди отечественных заказчиков? Можно ли работать с решениями на зарубежных криптоалгоритмах, не сертифицированных российскими регуляторами?
- Введение
- Российский рынок криптошлюзов
- Практические проблемы применения криптошлюзов
- Итоги онлайн-конференции
- Выводы
Введение
Российский рынок средств безопасного удалённого доступа давно живёт в парадигме импортозамещения. Регуляторы не первый год стимулируют отечественные компании использовать сертифицированные средства шифрования каналов, а с прошлого февраля замену зарубежным VPN-шлюзам ищут и те организации, которые не подпадают под действие соответствующих нормативных актов. Кажется, что сегмент криптошлюзов в России избежал серьёзной турбулентности, свойственной сегодня другим сферам ИБ, однако это не означает, что на рынке нет актуальных проблем и горячих тем для обсуждения.
Мы пригласили в студию Anti-Malware.ru представителей ключевых вендоров и сервис-провайдеров, работающих в сфере безопасности удалённого доступа, чтобы в рамках проекта AM Live обсудить, что сегодня происходит на российском рынке криптошлюзов.
Рисунок 1. Участники прямого эфира AM Live
Спикеры прямого эфира:
- Александр Веселов, руководитель направления ГОСТ VPN компании «РТК-Солар»;
- Павел Луцик, директор по развитию бизнеса и работе с партнёрами компании «КриптоПро»;
- Павел Коростелев, руководитель отдела продвижения продуктов компании «Код Безопасности»;
- Илья Шарапов, генеральный директор компании «ТСС».
Ведущий и модератор онлайн-конференции — Алексей Лукацкий, бизнес-консультант по безопасности компании Positive Technologies.
Российский рынок криптошлюзов
Что такое криптошлюз и для чего он нужен
Начиная прямой эфир, Алексей Лукацкий отметил, что ранее имела место шутка: криптошлюз — это 90 % криптографии и 10 % сетевых технологий, а VPN-шлюз — наоборот. Ведущий попросил экспертов рассказать, насколько корректно так определять термины сегодня и какие сценарии использования шлюзов удалённого доступа актуальны в настоящий момент.
Павел Коростелев:
— Криптошлюз возникает, когда у нас есть регулируемый рынок. Так же как на Западе, если файрвол сертифицирован, то он — скорее криптошлюз, чем устройство с богатыми сетевыми функциями. Для российских файрволов сейчас это соотношение — 50 на 50, и в будущем мы увидим, что они на треть будут криптошлюзами, на треть — VPN и на треть — NGFW.
Павел Коростелев, руководитель отдела продвижения продуктов компании «Код Безопасности»
Павел Луцик:
— Криптошлюз — это более широкое понятие, чем VPN-шлюз, поскольку предполагает больше сценариев использования, например TLS-доступ к веб-сайтам. VPN-шлюз — более узконаправленный с точки зрения вариантов его применения. Когда мы рассказываем про наше решение, то говорим, что у нас — универсальный шлюз удалённого доступа и VPN.
Павел Луцик, директор по развитию бизнеса и работе с партнёрами компании «КриптоПро»
Илья Шарапов:
— Всё больше заказчиков принимают решение использовать криптошлюзы, которые удовлетворяют законодательству и заменяют зарубежные разработки отечественными. Поэтому продолжают развиваться и сценарии использования «site-to-site» (между сетями — ред.), в том числе для высокопроизводительных каналов, и подключение удалённых пользователей.
Илья Шарапов, генеральный директор компании «ТСС»
Александр Веселов:
— Одним из сценариев использования криптошлюза может быть подключение к системам, которые изначально содержат в техусловиях какую-то технологию, например к Росреестру. Что касается Remote Access (удалённого доступа — ред.), то история с ГОСТ TLS для доступа к сайтам ещё недостаточно раскрутилась, однако со временем этот сегмент шагнёт вверх.
Александр Веселов, руководитель направления ГОСТ VPN компании «РТК-Солар»
Спикеры онлайн-конференции также отметили, что VPN-шлюзы могут быть использованы для подключения к различным облачным площадкам. Эта тема сейчас весьма популярна и будет ещё более востребованной в процессе перехода на платформу «Гостех» и большего использования облаков заказчиками. Ещё один сценарий применения криптошлюза — портальный доступ ко внутренним ресурсам, который обеспечивает безопасный канал для работы с конкретным приложением. Шлюз удалённого доступа также применяют для защиты устройств без операционной системы — приборов учёта или оборудования интернета вещей.
Опрос зрителей прямого эфира показал, что большинство из них используют VPN для удалённого доступа к ресурсам. Именно это назвали в качестве основного сценария применения шлюза 49 % респондентов. Ещё 29 % отметили вариант объединения площадок (site-to-site), а 9 % — удалённый безагентский доступ к ресурсам. Используют VPN-шлюз для обхода блокировок 7 % участников опроса. Доступ к публичным сайтам по HTTPS назвали в качестве основного сценария 6 % опрошенных.
Рисунок 2. Какой основной сценарий применения VPN-шлюза вы используете?
Как работают с криптошлюзами в России
Какие протоколы используются для организации безопасных каналов связи в России? Есть ли проприетарные отечественные стандарты, которые могут применяться помимо IPsec? Эксперты отметили, что использование собственных, оригинальных туннельных механизмов позволяет разработчику существенно повысить скорость шифрования данных. Обратная сторона такого подхода — слабая совместимость собственных протоколов с разработками других производителей. Для решения этой проблемы можно использовать IPsec. Кроме того, с универсальными протоколами может работать большее число специалистов.
Теоретически, проприетарный протокол труднее проанализировать с точки зрения безопасности, чем стандартизированный, более прозрачный. Участники дискуссии также отметили, что в России существует собственный стандартизированный протокол IPlir, сертифицированный Росстандартом.
Есть ли жизнь за пределами ГОСТа? — спросил ведущий онлайн конференции у экспертов. Какие сценарии применения несертифицированных VPN в России есть на сегодняшний день? Спикеры пояснили, что во всех отраслях, где нет государственного регулирования ИБ, продолжает использоваться западная криптография. Многие компании обращаются к отечественным вендорам для замены решений Cisco и не требуют сертифицированного шифрования.
Российская аппаратная VPN-платформа
Можно ли создать криптошлюз на отечественном «железе»? Насколько российская микроэлектроника в принципе позволяет производить законченные решения в сфере организации безопасного доступа? По мнению наших экспертов, движение в сторону импортозамещения — правильное, однако на этом пути существует много проблем. Можно сертифицировать платформы, которые удовлетворяют критериям «российскости», но для того чтобы в реестре появились разработки способные работать на высоких скоростях, нужен крупный производитель с широкими возможностями по инвестированию.
Аудитория AM Live в целом позитивно относится к идее перевода криптошлюзов на отечественные аппаратные платформы. По крайней мере 27 % опрошенных нами зрителей прямого эфира готовы покупать такие решения. Ещё 39 % респондентов считают, что необходимо тестировать подобные разработки. Собираются оставаться на зарубежной аппаратной базе 7 % участников опроса, а 5 % предпочитают виртуальные шлюзы. Затруднились ответить 22 % зрителей прямого эфира.
Рисунок 3. Готова ли ваша организация переходить на криптошлюзы на отечественных аппаратных платформах?
Отдельный VPN-шлюз или комплексная система
Есть ли будущее у VPN-шлюзов как у отдельного класса решений? Останутся ли они на рынке или будут интегрированы в сетевое оборудование? Будут ли вендоры предлагать криптошлюзы вне NGFW и других систем информационной безопасности? Эксперты отметили, что сохранению отдельных решений может способствовать ценовая политика вендоров. Применять комплексную систему для решения локальной задачи организации канала «site-to-site» может быть экономически нецелесообразно. С другой стороны, развитие технологий может привести к использованию универсальных устройств для разных функций, что позволит собирать систему сетевой безопасности из одинаковых «кирпичиков».
Большинство российских компаний предпочитают самостоятельно владеть и управлять VPN-решением. Об этом свидетельствуют результаты опроса зрителей прямого эфира AM Live. За локальный вариант (on-premise) использования шлюза высказались 63 % опрошенных, в то время как отдать криптошлюз на аутсорсинг готовы лишь 6 % респондентов. Впрочем, почти треть (31 %) участников опроса не придаёт значения вариантам реализации VPN-шлюза, если он решает поставленные перед ним задачи.
Рисунок 4. Что для вас предпочтительнее из предложенных вариантов?
Практические проблемы применения криптошлюзов
Вторая часть эфира была посвящена практике использования VPN-шлюзов. Мы попросили экспертов остановиться на некоторых особенностях применения решений этого класса в российских реалиях.
Отечественные VPN-решения способны шифровать трафик со скоростью 4–5 Гбит/с, если речь идёт об одном устройстве. Программно-аппаратные комплексы, которые можно провести через сертификацию, могут показывать производительность до 100 Мбит/с в полнодуплексном режиме. Такие цифры озвучили спикеры онлайн-конференции, отвечая на вопрос Алексея Лукацкого о скорости работы российских платформ. Если искать высокопроизводительный шлюз для архитектуры типа «звезда», то наилучшим решением будет одна из программных реализаций VPN-платформы. Если же стоит задача создать защищённый канал между двумя точками, такими как ЦОДы, то помогут системы с аппаратными ускорителями, не ориентированные на маршрутизацию.
Алексей Лукацкий, бизнес-консультант по безопасности компании Positive Technologies
Обновление ГОСТов, которые определяют допустимые алгоритмы шифрования, не означает срочной необходимости менять сертификаты клиентских устройств. Как пояснили спикеры AM Live, это скорее имеет значение для производителя, поскольку сертификат обладает определённым сроком действия. В частности, сертификаты ГОСТ 34.12-1989 должны закончиться в следующем году, однако, по мнению экспертов, регулятор может продлить их. Таким образом заказчики смогут плавно, без стресса перейти на редакцию 2015 года.
Совместных программно-аппаратных комплексов (с иностранными вендорами) на рынке сейчас немного. Отсутствие такой кооперации обусловлено в первую очередь не изоляцией нашего рынка, начавшейся в 2022 году, а изначальной закрытостью зарубежных партнёров и их неготовностью к интеграции с местными разработчиками. Российские создатели криптошлюзов стараются обеспечить работоспособность своих агентов на как можно большем числе операционных систем, поддерживая не только распространённые западные ОС (Android, iOS, Windows, macOS), но и перспективные отечественные разработки — «Аврору» и сертифицированные сборки Linux. Системы управления российскими криптошлюзами также постепенно портируются на Astra Linux или же работают через браузер и не зависят от конкретной платформы.
Опрос на тему «Что нужно улучшать в российских VPN-шлюзах в первую очередь?» не определил однозначного лидера мнений. Четыре ответа набрали примерно одинаковое количество голосов наших зрителей. Четверть опрошенных считают, что в первую очередь вендоры должны работать над совместимостью различных продуктов, варианты «Производительность» и «Стоимость» набрали по 22 % голосов, а «Функциональность» — 18 %. Меньше всего заказчики VPN-шлюзов беспокоятся об их управляемости: необходимость улучшения в этой области отметили лишь 8 % участников опроса. Не нашли нужного ответа среди предложенных нами вариантов 5 % респондентов.
Рисунок 5. Что нужно улучшать в российских VPN-шлюзах в первую очередь?
Можно ли удалённо администрировать криптошлюз или же его настройка и обслуживание требуют личного присутствия сертифицированного специалиста? Как пояснили спикеры AM Live, работу с устройством криптографической защиты должен проводить сотрудник лицензированной организации: таково требование закона. Иначе говоря, USB-накопитель с мастер-ключом в любом случае должен подсоединять сертифицированный специалист. Некоторые вендоры настраивают оборудование у себя в офисе и передают уже с готовыми ключами заказчику. Спикеры напомнили, что ФСБ России в явном виде запрещает отправку ключей по каналам передачи данных, поэтому для средств защиты с сертифицированной криптографией других вариантов кроме личного присутствия специалиста не существует.
Итоги онлайн-конференции
Финальный опрос зрителей прямого эфира, как всегда, был посвящён итогам онлайн-конференции. Как оказалось, после просмотра дискуссии 34 % опрошенных собираются тестировать отечественные криптошлюзы, 24 % убедились в правильности выбранного ими решения. Считают российские VPN-решения слишком «сырыми» 22 % респондентов. Ещё 5 % вообще не интересуются отечественными разработками в этой сфере. Вариант «Мы уже достаточно настрадались» выбрали 15 % опрошенных.
Рисунок 6. Каково ваше мнение о российских VPN-шлюзах по итогам эфира?
Выводы
Одной из ключевых проблемных задач для российского рынка криптошлюзов является создание отечественной аппаратной платформы для организации безопасных каналов передачи данных. Очевидно, что реализация такого проекта должна проходить поэтапно, поскольку российские технологии в сфере микроэлектроники пока не могут полностью обеспечить импортозамещение в этой области. Вместе с тем сертифицированные алгоритмы и поддерживающие их программные фреймворки уже сегодня имеют достаточную производительность, чтобы закрывать потребности заказчиков.
Важно, что нормативные акты регуляторов стимулируют и отечественный рынок несертифицированных VPN-решений. Импортозамещение тут происходит добровольно, в эволюционном порядке. И вендоры, и их заказчики с оптимизмом смотрят в будущее: индустрия криптошлюзов в России избежала потрясений в прошлом году, что позволило сохранить позитивный тренд развития, оперативно отрабатывая возникающие запросы на замену западных решений.
Проект AM Live не только предоставляет экспертам и лидерам мнений отечественного рынка информационной безопасности площадку для дискуссий по самым актуальным вопросам, но и даёт заинтересованной аудитории возможность вступить в полемику со спикерами, задать вопросы, оставить комментарии. Чтобы не упустить такую возможность и первыми узнавать о новых онлайн-конференциях, не забудьте подписаться на YouTube-канал Anti-Malware.ru. До встречи в эфире!
