Удалённый доступ давно вышел за рамки обычного VPN. Сегодня безопасность зависит не только от защищённого канала связи, но и от контроля пользователя, устройства и его действий. Как меняются подходы к удалённому доступу и какую роль в этом играют экосистемные интеграции?
Введение
Российские NGFW начали появляться на рынке ещё задолго до основного начала импортозамещения в 2022 году. Раньше NGFW воспринимался как монолитное устройство, которое умеет фильтровать трафик и блокировать сетевые атаки. Сейчас приоритет смещается в сторону «интеграции в инфраструктуру» — управлению изменениями, автоматизации через API, интеграции со сторонними системами. Поэтому в 2022 году после ухода иностранных вендоров NGFW заказчики хотели получить зрелое устройство, которое легко можно интегрировать в инфраструктуру и объединить его с остальными системами защиты.
В 2023 году компания «Код Безопасности» запустила «КиберАльянс». Это союзы с ведущими ИБ и ИТ-вендорами, в рамках которых заказчики могут получить максимум пользы от использования NGFW и интегрировать их внутрь инфраструктуры. Такие союзы строятся на трёх уровнях:
- Совместимость — совместное тестирование и подтверждение корректной работы технологий.
- Интеграция — открытые интерфейсы (API, коннекторы) для расширенного взаимодействия между продуктами.
- Координация roadmap — согласование планов развития для реализации совместных функций.
«КиберАльянс» развивается в трёх основных направлениях:
- Организация защищённого удалённого доступа.
- Интеграция в высоконагруженные сети.
- Расширенная защита от атак.
Сегодня подробно остановимся на принципах организации защищённого удалённого доступа.
Организация защищённого удалённого доступа
Удалённый доступ давно перестал быть просто способом подключения сотрудников к корпоративным ресурсам. Сегодня он является одним из ключевых элементов информационной безопасности, поскольку именно через удалённые подключения злоумышленники нередко пытаются получить доступ к внутренней инфраструктуре организации.
Одновременно меняются и требования регуляторов. Если раньше основное внимание уделялось защите канала связи, то теперь удалённый доступ рассматривается как комплексная система безопасности, включающая контроль пользователя, устройства и его действий.
От VPN к комплексной защите
Традиционный VPN (Virtual Private Network, виртуальная частная сеть) решает задачу шифрования трафика между пользователем и корпоративной сетью. Однако защищённый канал не гарантирует безопасность, если злоумышленник получил доступ к учётной записи сотрудника или использует скомпрометированное устройство.
Поэтому современные решения дополняются механизмами:
- многофакторной аутентификации;
- контроля состояния рабочих станций;
- управления доступом к ресурсам;
- мониторинга пользовательской активности;
- проверки соответствия рабочей станции пользователя требованиям безопасности.
Именно такой подход реализуется в «КиберАльянсе» в направлении организации защищённого удалённого доступа. Защиту каналов связи и организацию удалённого доступа обеспечивают решения семейства «Континент», а контроль конечных устройств может быть дополнен возможностями системы защиты рабочих станций Secret Net Studio.
Многофакторная аутентификация и контроль подключений
Современные требования предполагают использование не только логина и пароля, но и дополнительных факторов подтверждения личности пользователя. Это могут быть сертификаты, аппаратные токены, одноразовые пароли или пуш-уведомления.
В связке продуктов «Континент ZTN» и NGFW «Континент 4» поддерживаются различные сценарии аутентификации пользователей, включая использование сертификатов и интеграцию с корпоративными каталогами. Это позволяет реализовать как классическую, так и усиленную аутентификацию в соответствии с требованиями организации и регуляторов.
Дополнительным уровнем защиты становится контроль географии подключений. Возможность фильтрации подключений по GeoIP позволяет ограничивать доступ пользователей из нежелательных регионов и стран.
Контроль устройства как элемент безопасности
Одним из ключевых трендов последних лет стал переход от проверки пользователя к проверке устройства, с которого осуществляется подключение.
Перед предоставлением доступа и во время всего сеанса система может проверять:
- наличие и состояние антивирусной защиты;
- актуальность обновлений;
- работу средств защиты информации;
- наличие обязательного программного обеспечения;
- отсутствие запрещённых приложений.
Такой подход известен как Compliance Control или Posture Check и является важным элементом концепции Zero Trust Networking (ZTN).
В «КиберАльянсе» подобные проверки могут выполняться средствами «Континент ZTN», а также в интеграции с Secret Net Studio или ПК «САКУРА». Это позволяет оценивать состояние рабочей станции до подключения и контролировать соответствие устройства требованиям безопасности на протяжении всей пользовательской сессии.
Влияние Zero Trust
Развитие удалённого доступа тесно связано с концепцией Zero Trust Networking. Её основной принцип заключается в том, что доверие не предоставляется автоматически после успешной аутентификации.
Проверки выполняются не только в момент подключения, но и в течение всей пользовательской сессии. Если устройство перестаёт соответствовать требованиям безопасности, доступ может быть автоматически ограничен или заблокирован.
Именно эта логика лежит в основе решения «Континент ZTN», которое обеспечивает непрерывный контроль удалённого пользователя и его устройства, а также позволяет применять политики доступа в зависимости от результатов проверок.
Контроль доступа и маршрутизация трафика
Современные решения позволяют гибко управлять сетевым трафиком удалённого пользователя.
В зависимости от требований безопасности можно:
- разрешить одновременный доступ к интернету и корпоративной сети;
- ограничить доступ только необходимыми ресурсами;
- направлять весь трафик через корпоративный шлюз безопасности.
В инфраструктуре на базе NGFW «Континент 4» такой подход позволяет применять дополнительные механизмы контроля трафика, включая межсетевое экранирование, IPS (Intrusion Prevention System, система предотвращения вторжений) и другие инструменты сетевой безопасности. В результате организация получает возможность контролировать не только доступ к внутренним ресурсам, но и сетевую активность удалённых пользователей.
Интеграция с корпоративной инфраструктурой
Современная система удалённого доступа должна органично встраиваться в существующую ИТ- и ИБ-инфраструктуру.
Решения семейства «Континент» поддерживают интеграцию с корпоративными каталогами пользователей, включая Active Directory, Astra Linux Directory и RADIUS-серверы. Это позволяет централизованно управлять учётными записями и политиками доступа.
Кроме того, поддерживаются различные операционные системы и сценарии подключения, включая Linux-платформы, мобильные устройства и специализированные системы без графического интерфейса, что особенно важно для распределённых инфраструктур и промышленных объектов.
Выводы
Развитие технологий и рост числа киберугроз привели к тому, что классический VPN перестал быть самостоятельным решением для организации удалённого доступа. Современная архитектура требует сочетания криптографической защиты каналов связи, многофакторной аутентификации, контроля состояния устройств и непрерывного мониторинга безопасности.
«КиберАльянс» и развитие возможностей удалённого доступа в NGFW «Континент 4» — два взаимодополняющих ответа на главный вызов российского рынка: как дать крупным заказчикам функциональность enterprise-класса, не распыляя ресурсы вендора. Первый строит открытую экосистему через партнёрство, второй — закрывает требования регулятора и ожидания заказчиков внутри самого продукта.
