Типовые сложности при реализации ГОСТ VPN

Типовые сложности при реализации ГОСТ VPN

Если вы хотите обеспечить защиту трафика между географически распределенными объектами, вам не обойтись без VPN-шлюзов. Если при этом требуется защита в соответствии с законодательством (например, при передаче персональных данных), то такие шлюзы должны быть сертифицированы ФСБ России и использовать отечественные криптоалгоритмы.

 

 

 

 

 

  1. Введение
  2. Сертифицированное СКЗИ
  3. Установка
  4. Настройка
  5. Эксплуатация
  6. Окончание жизненного цикла
  7. Выводы

 

Введение

Есть несколько вариантов реализации криптозащиты каналов связи: комплексный проект (собственными силами или с привлечением интегратора) и приобретение данной услуги по сервисной модели. И заказчики, и интеграторы, и сервис-провайдеры сталкиваются с одними и теми же сложностями при работе с отечественной криптографией.

 

Сертифицированное СКЗИ

VPN-шлюзы — это средства криптографической защиты информации (СКЗИ). Разработка, настройка, эксплуатация и другие связанные с ними работы подлежат лицензированию ФСБ России.

При сертификации разработчик согласовывает с регулятором формуляр и правила пользования, в соответствии с которыми продукт будет эксплуатироваться. Некоторые заказчики, прочитав ограничения из правил пользования, готовы вместо шифрования задействовать любые другие меры — например, для канала связи с пропускной способностью 100 Гб/с на расстоянии в пару километров проще организовать физическую защиту, а не ГОСТ-шифрование.

 

Рисунок 1. Защита канала связи 100Гб/c между двумя соседними зданиями

 

 

Сертификат ФСБ России выдается на 3 года с возможностью продления до 5 лет. Загвоздка заключается в том, что СКЗИ приобретают, как правило, не в день получения сертификата, а позже. В чем-то это и к лучшему, ведь за время использования другими заказчиками уже сформируется практика применения, и производитель исправит мелкие ошибки. Но в любом случае срок полезного применения уменьшается — после окончания сертификата СКЗИ «превращается в тыкву».

Поэтому по завершении срока действия сертификата необходимо приобрести либо обновление программного обеспечения, если оно совместимо с купленной ранее вычислительной платформой, либо полный комплект — программный и аппаратный компоненты. Частично проблему решает расширенная техническая поддержка производителя, которая включает возможность бесплатного получения новых версий программного обеспечения. Но почему-то в комплексных проектах о ней часто забывают; в случае же с сервисной моделью это — задача и «боль» провайдера.

 

Установка

Перед установкой необходимо проверить комплектность СКЗИ, указанную в формуляре. Например, некоторые модели могут оснащаться программно-аппаратным модулем доверенной загрузки, идентификаторами администраторов, дисками с эталонным образом программного обеспечения.

Требования к размещению СКЗИ регламентируются Приказом ФАПСИ от 13 июня 2001 г. №152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну». С 2003 г. функции ФАПСИ переданы ФСБ России.

Как видим, приказ подписан очень давно — его требования в современных реалиях довольно сложно выполнить. Например, в соответствии с этим документом помещения, в которых размещаются СКЗИ, должны охраняться, оснащаться системами контроля доступа, пожарной сигнализации и другими средствами физической безопасности. В случае с центрами обработки данных такие предписания не вызывают удивления и выполняются, а вот при установке СКЗИ в удаленных офисах этими требованиями часто пренебрегают.

 

Настройка

Особое внимание нужно уделять первичной настройке СКЗИ. Обычно это делается либо на специализированном автоматизированном рабочем месте администратора, либо посредством локальной настройки с помощью монитора и клавиатуры. При этом к рабочему месту администратора предъявляется ряд требований: использование только лицензионного программного обеспечения, защита от несанкционированного доступа, подключение к СКЗИ доверенным способом (напрямую или по шифрованному в соответствии с ГОСТом каналу) и т.д.

Перед настройкой необходимо проверить соответствие версии и контрольных сумм на СКЗИ и в формуляре, ввести номер лицензии и инициализировать датчик случайных чисел.

После этого можно приступать непосредственно к разработке политики безопасности, то есть определить, как устройства будут идентифицировать и аутентифицировать друг друга при создании защищенного соединения, какой трафик шифровать/пропускать/запрещать, какую политику безопасности использовать при сбое программного обеспечения и в других нестандартных ситуациях.

Не стоит забывать и о защите самого СКЗИ: не использовать учетные записи администраторов по умолчанию, применять сложные пароли, ограничить сетевой доступ.

При самостоятельной реализации нужно продумать все эти моменты, а при привлечении интегратора — убедиться, что они не забыты в техническом задании. В сервисной модели всё это делает сервис-провайдер, при необходимости он может продемонстрировать процесс заказчику.

 

Эксплуатация

Сложность этого процесса зависит от динамики модернизации сетевой инфраструктуры. Если сеть настроена и изменения минимальны, администратор просто один раз в год обновляет ключи — и всё. Или почти всё: не стоит забывать о периодических аудитах политики безопасности. Актуальны ли правила доступа, написанные год назад? Обновлены ли пароли администраторов? Осуществляется ли регламентная проверка контрольных сумм критичных файлов, которая указана в правилах пользования? Также необходимо регулярно анализировать журналы — через SIEM-систему, если она поддерживает СКЗИ, или по старинке — вручную. Все эти задачи требуют времени квалифицированных инженеров. Интеграторы и сервис-провайдеры регулярно обучают своих специалистов. Если же заказчик решил заниматься эксплуатацией самостоятельно, то инвестиции в обучение ложатся на его плечи.

В части физической защиты, помимо требований к размещению, необходимо периодически контролировать целостность корпуса и пломбы-наклейки.

Разумеется, эксплуатация должна сопровождаться ведением соответствующих документов. Это, в частности:

  • акты приема-передачи и ввода СКЗИ в эксплуатацию,
  • справочно-ключевые дистрибутивы СКЗИ,
  • приказ о назначении администраторов СКЗИ,
  • журнал поэкземплярного учета СКЗИ,
  • эксплуатационная и техническая документация к ним,
  • ключевые документы,
  • журнал учета лиц, допущенных к работе с СКЗИ,
  • журнал учета ключей от помещений, в которых размещены СКЗИ,
  • журнал учета печатей,
  • заключение о допуске пользователя СКЗИ к самостоятельной работе,
  • акт об уничтожении старой версии СКЗИ,
  • журнал учета журналов (да-да, это не шутка).

Для добросовестного ведения такого перечня документации по парку оборудования из более чем 20 устройств в динамичной сети понадобится отдельный человек. А для хранения — помещение, оборудованное металлическими шкафами или сейфами.

Придет время, когда сертификат, выданный ФСБ России, закончится, и потребуется обновление. В лучшем случае для этого достаточно будет обновить программное обеспечение. Кроме того, нужно учитывать трудозатраты (собственных инженеров или интегратора) на выполнение самого обновления и адаптацию политики безопасности к новой версии. Нередко для нового программного обеспечения СКЗИ потребуется и новая аппаратная платформа, а это — уже другой уровень затрат: по сути, нужно купить всё заново, настроить, развести по объектам, а старое решение — утилизировать.

К тому же, в период обновления СКЗИ не может выполнять свои основные функции, поэтому понадобится выбрать некритичный для бизнеса интервал времени.

В техническом плане, если сеть невелика, происходит минимум изменений, офисы не переезжают, адресация и потоки трафика не меняются, — с эксплуатацией справится инженер заказчика. Однако для эксплуатации 24/7 понадобится уже целая бригада администраторов. То же справедливо и для динамично развивающейся сети: новые сервисы, новые потоки трафика, новые объекты создают существенную нагрузку на персонал. В этом плане сервис-провайдер явно выигрывает — «дежурка» уже есть и работает по отлаженным процессам.

 

Окончание жизненного цикла

Вывод из эксплуатации — отдельная процедура, описанная в документации к СКЗИ. Необходимо, как минимум, удалить ключевую информацию и деинсталлировать решение. Всё это оформляется специальным актом и отражается в журнале учета СКЗИ и ключей.

В интернете можно найти множество предложений по продаже бывших в употреблении СКЗИ. Это — и нарушение законодательства о лицензировании, и, возможно, утечка ключевой информации (если она не была заранее удалена). Такие нарушения грозят продавцу административной, а иногда и уголовной ответственностью. Рискует и сам покупатель — как он объяснит появление у него СКЗИ, которое изначально продано другому клиенту?

 

Выводы

Процесс эксплуатации СКЗИ регламентируется формуляром, правилами пользования и другой документацией. Из-за большого объема неподготовленному человеку довольно сложно разобраться в ней. В целом процессы внедрения и эксплуатации СКЗИ весьма ресурсоемки и требуют квалифицированного персонала, как в технической, так и в «бумажной» части.

Небольшая компания с несколькими офисами и некритичным простоем сервиса вполне может реализовать проект по криптозащите самостоятельно или с минимальным привлечением интеграторов. Эксплуатация 24/7 ей не требуется, а задачи в этой части можно распределить между имеющимися сотрудниками.

Компании, относящиеся к сегменту среднего бизнеса, предпочитают фокусироваться на основной деятельности и не погружаться во все нюансы работы с СКЗИ. Им выгоднее привлечь интегратора на полный цикл работ или воспользоваться услугами сервис-провайдера.

Самостоятельная реализация криптозащиты по силам лишь крупной компании с квалифицированным штатом ИТ/ИБ. Но и задачи у таких заказчиков более сложны и специфичны, поэтому они привлекают либо интеграторов (как минимум для проектирования и внедрения), либо сервис-провайдеров. Кстати, последний вариант позволяет им не только получить услугу требуемого качества «под ключ», но и избежать значительных капитальных затрат на проект.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru