Различные организации всё чаще прибегают к помощи VPN (Virtual Private Network), чтобы обеспечить защиту своих каналов связи. Организовать VPN можно установив на площадку криптошлюз или же загрузив на каждый рабочий компьютер VPN-клиент. Расскажем, в чём особенности каждого варианта и кому что больше подойдёт.
Введение
Сейчас VPN у всех на слуху в контексте обхода блокировок запрещённых соцсетей, но мы поговорим о корпоративном инструменте для создания изолированной сети — например, если сотрудник работает удалённо и ему нужно получить защищённый доступ к корпоративным ресурсам. Согласно недавнему исследованию «РТК-Солар», VPN-сервисы являются самым популярным решением, которые компании планируют внедрить в ближайшее время. Организовать VPN можно двумя способами: установить VPN-шлюз на площадку организации или VPN-клиент на каждый компьютер.
VPN-клиент vs VPN-шлюз
Начнём с определений. VPN-шлюз — это программно-аппаратный комплекс, который позволяет шифровать трафик ото множества различных устройств локальной сети. Обычно он применяется для построения защищённых корпоративных сетей, когда нужно объединить несколько филиалов в целостную инфраструктуру.
VPN-клиент — программный продукт, который устанавливается непосредственно на устройство и шифрует трафик предназначенный только для этого устройства. Такой подход применяется для защиты удалённого доступа, при этом в основной части инфраструктуры всё равно устанавливается VPN-шлюз. Поэтому в компаниях часто используется и то и другое.
В статье разберём преимущества и недостатки каждого варианта. Оговорюсь, речь пойдёт об оборудовании, которое поддерживает российские алгоритмы шифрования. Именно его нужно использовать в госорганах и госкорпорациях. А указ № 250 (да, тот самый) фактически распространит требования по использованию отечественных средств защиты и на критическую информационную инфраструктуру с 1 января 2025 года.
Разница установки
Начнём с самого очевидного фактора — цены. Сейчас российский криптошлюз, производительность которого составляет около 40 Мбит/c, стоит в районе 110 тысяч рублей. Корпоративный VPN-клиент — около 7 тысяч (в зависимости от операционной системы, но об этом позже). Если нужно обеспечить защищённый доступ сотрудникам, которые находятся в разных географических точках, то каждому потребуется по отдельному устройству. В этом случае выбор очевиден — VPN-клиент каждому. Но если сотрудники работают вместе в небольшом офисе, то проще установить один VPN-шлюз на всех. При каком количестве сотрудников это стоит делать? Поначалу кажется, что только при 16 (112/7=16), но не всё так просто.
Рассмотрим правила использования сертифицированного VPN-клиента, согласованные с регулятором. Для классов защиты КС2 и КС3 помимо самого VPN-клиента на рабочие станции потребуется установить дополнительные средства защиты (антивирус, само собой, должен быть, его стоимость не учитываем). Потребуется модуль доверенной загрузки — выбрать конкретную его модель можно в документации на VPN-клиент. В среднем модуль стоит порядка 300 долларов США, то есть около 18 тысяч рублей. Вместе с VPN-клиентом получается уже около 25 тысяч. И стоимость выравнивается со шлюзом уже не на 16, а на 4-5 устройствах.
При этом на некоторые рабочие станции модуль доверенной загрузки невозможно установить в принципе: не подходит формфактор или есть несовместимость на уровне «железа». Например, у ноутбука компании Apple нет ни места внутри корпуса, ни подходящего разъёма. Кроме того, сейчас на рынке дефицит комплектующих и найти модули не так просто. А если это всё-таки удалось, то срок поставки будет минимум полгода.
Со стороны операционной системы (ОС) тоже есть несколько важных ограничений. Не у каждого производителя VPN-клиентов есть поддержка всех операционных систем. Кто-то ограничивается Windows, кто-то ориентируется на iOS и Android для мобильных устройств, а кто-то поддерживает отечественные Astra Linux, ALT Linux, мобильную ОС «Аврора» и другие. Редкие или только что появившиеся «операционки» могут никем не поддерживаться. На некоторых ОС, особенно мобильных, сертификация VPN-клиента возможна только по минимальному классу защиты КС1. Повышение класса до КС2 теоретически возможно, но весьма сложно на практике. А на целый ряд устройств, например на IP-телефоны, установить дополнительное программное обеспечение в принципе невозможно.
Имейте в виду, что решение конкретного вендора должно охватывать весь ваш парк операционных систем. Использовать решения нескольких производителей VPN-клиентов обычно нецелесообразно, так как приходится приобретать две пары криптошлюзов для подключения клиентов, работать с двумя системами управления и обучать персонал работе с двумя вендорами.
Особенности эксплуатации
Теперь перейдём к эксплуатации. При обслуживании VPN-шлюзов есть чёткая линия разграничения ответственности — порт оборудования. Если трафик поступает на порт шлюза, а после «пропадает», то проблема со шлюзом очевидна. Далее её можно решить самостоятельно или обратиться в техническую поддержку за помощью.
С VPN-клиентами всё сложнее. Не всегда сразу понятно, почему перестал работать VPN: обновилась операционная система, антивирус «воюет» с VPN-клиентом или есть проблема с каким-то сторонним ПО. За каждый из упомянутых пунктов может отвечать отдельный администратор или подразделение, и тогда поиск истинной причины будет долгим и непростым.
Выводы
Подведём итоги. VPN-клиенты хорошо подойдут для небольших офисов, в которых работают три-четыре человека, или для массовой удалённой работы. При этом нужно заранее продумать перечень необходимых операционных систем и параметры рабочих станций для установки модуля доверенной загрузки, если он требуется для повышения класса защиты.
Если речь идёт об офисах с большим количеством разнообразных сетевых устройств, выбор лучше сделать в пользу криптошлюза.
Оба варианта можно установить и настроить самостоятельно или привлечь для этого сервис-провайдера. Чаще всего VPN как сервис подходит для варианта с установкой криптошлюзов, так как граница ответственности там — более явная. Как мы писали выше, сбой в работе VPN-шлюза всегда очевиден. Если его обслуживанием занимается сервис-провайдер, то очевидно, что решение проблемы будет на стороне последнего. Покупка и учёт СКЗИ, документирование, настройка, эксплуатация, обновление ключей, подменный фонд, физическая замена оборудования и т. п. — это всё задачи провайдера.
Сервис в случае с VPN-клиентом идеален в том случае, если вся инфраструктура в компании предоставляется по сервисной модели: рабочие станции, антивирус, VPN-клиент и т. д. Если же провайдер отвечает только за VPN-клиент, то заказчику необходима собственная первая линия поддержки. В случае проблем с VPN именно она отправит запрос провайдеру, а в случае неисправности других компонентов устранит проблемы самостоятельно или обратится в свои профильные подразделения.
По нашему опыту, в большинстве клиентских кейсов требуются и VPN-шлюзы, и VPN-клиенты. Такой комбинированный сценарий тоже можно реализовать как самостоятельно, так и по сервисной модели. При выборе сервисного подхода для поддержки VPN-клиентов потребуется чёткий регламент разграничения зон ответственности.
