Обзор криптографических шлюзов российских и зарубежных производителей 2017 - Выбор корпоративных средств защиты - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

Обзор криптографических шлюзов российских и зарубежных производителей 2017

Автор AM_Bot, в Выбор корпоративных средств защиты

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано
Обзор криптографических шлюзов российских и зарубежных производителей 2017
В статье кратко описываются тенденции мирового рынка VPN, рассматриваются популярные криптошлюзы, представленные на российском рынке, приводятся их ключевые особенности.      ВведениеМировой рынок криптошлюзовРоссийский рынок криптошлюзовРоссийские криптошлюзы4.1. Атликс-VPN («НТЦ Атлас»)4.2. ЗАСТАВА («ЭЛВИС-ПЛЮС»)4.3. «Континент» («Код Безопасности»)4.4. ФПСУ-IP (АМИКОН, «ИнфоКрипт»)4.5. ALTELL NEO («АльтЭль»)4.6. С-Терра Шлюз («С-Терра СиЭсПи»)4.7. Diamond VPN (ТСС)4.8. Dionis-NX («Фактор-ТС»)4.9. ViPNet Coordinator HW («ИнфоТеКС»)Зарубежные криптошлюзы5.1. Cisco ASA (Cisco VPN Solutions)5.2. F5 Networks VPN Solutions5.3. NetScaler (Citrix Systems)5.4. Pulse Secure (Juniper Networks)5.5. SonicWALLВыводы ВведениеКриптографический шлюз (криптошлюз, криптомаршрутизатор, VPN-шлюз) — программно-аппаратный комплекс для криптографической защиты трафика, передаваемого по каналам связи, путем шифрования пакетов по различным протоколам.Криптошлюз предназначен для обеспечения информационной безопасности организации при передаче данных по открытым каналам связи.Криптошлюзы, представленные на современном рынке, обеспечивают следующие базовые функции:прозрачность для NAT;сокрытие топологии сети за счет инкапсуляции трафика в шифрованный туннель;обеспечение целостности и конфиденциальности IP-пакетов;аутентификация узлов защищенной сети и пользователей.Предприятия различного масштаба, государственные учреждения, частные компании — основные категории потребителей криптошлюзов.На сегодняшний день функциональность VPN-шлюза является составной частью практически любого сетевого устройства, будь то маршрутизатор корпоративного уровня, домашний Wi-Fi-роутер или межсетевой экран. С учетом данной специфики ниже будут рассмотрены ключевые представители российского рынка, использующие алгоритм шифрования ГОСТ, а также несколько зарубежных примеров в качестве альтернативы.Отдельной строкой отметим присутствие на рынке решений для защищенного удаленного доступа на базе протокола TLS (TLS-шлюзы) как российских, так и иностранных производителей. В рамках этого обзора они не рассматриваются. Мировой рынок криптошлюзовНепрерывность бизнеса для любой территориально распределенной компании всегда связана с обеспечением защиты передаваемой информации. Уже долгое время эту задачу решают различные VPN-устройства. Они заметно отличаются по своей реализации: это могут быть специализированные решения, решения на базе программно-аппаратных комплексов, таких как межсетевые экраны/маршрутизаторы, или полностью программные комплексы.Подобные продукты на мировом рынке применяют компании из разных сфер деятельности: здравоохранение, промышленные предприятия, транспортные компании, государственные учреждения и многие другие.В большинстве случаев заказчику необходимо решить одну или несколько из перечисленных задач:защита распределенной корпоративной сети в различных топологиях;подключение удаленных пользователей к корпоративной сети (в том числе с мобильных устройств);защита канального уровня.На мировом рынке прочно обосновался SSL VPN, что подтверждается исследованиями Alliedmarketresearch. По их данным, глобальный рынок SSL VPN в 2016 году составлял более 3 млрд долларов США. Прогнозируемый рост к 2023 году — до 5,3 млрд.Среди ключевых игроков на мировом рынке лидерские позиции занимают Cisco Systems, Citrix Systems, Pulse Secure, F5 Networks.Рисунок 1 наглядно демонстрирует ключевые сегменты роста глобального рынка SSL VPN:режим тонкого клиента;режим полного туннелирования;режим без клиента. Рисунок 1. Направления роста мирового рынка SSL VPN  Российский рынок криптошлюзовВ России основными потребителями криптошлюзов являются государственные учреждения, а также организации, являющиеся операторами персональных данных. На территории нашей страны действуют несколько нормативных актов, определяющих критерии, по которым средства защиты информации могут использоваться для решения тех или иных задач.К таким документам можно отнести следующие:Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005).Одним из основных требований, предъявляемых к криптошлюзам, является наличие действующих сертификатов соответствия регуляторов рынка — ФСБ России и ФСТЭК России. Сертификат ФСБ России на соответствие требованиям к шифровальным (криптографическим) средствам выдается только в том случае, если криптошлюз реализован с использованием отечественных алгоритмов шифрования по ГОСТ 28147-89.Зарубежные производители крайне редко поддерживают шифрование по ГОСТ и получают такие сертификаты соответствия на свои решения, чем активно пользуются российские компании-вендоры средств криптографической защиты информации (СКЗИ).Отдельно необходимо отметить тренд, связанный с кибербезопасностью автоматизированных систем управления технологическими процессами (АСУ ТП). Сегодня некоторые производители СКЗИ предлагают рынку криптошлюзы в защищенном исполнении, отвечающие требованиям по пылевлагозащищенности и специальным температурным диапазонам. Появились и нормативные акты, формирующие требования к защите информации в подобных системах:Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и окружающей природной среды».Это позволяет говорить о серьезной перспективе данного направления для производителей СКЗИ в части развития своих продуктов.Рассмотрим особенности некоторых российских и зарубежных криптошлюзов подробнее. Российские криптошлюзы Атликс-VPN («НТЦ Атлас»)Программно-аппаратный комплекс (ПАК) «Атликс-VPN» — продукт российской компании «НТЦ Атлас». ПАК разработан для обеспечения создания и взаимодействия виртуальных частных сетей (VPN) на основе протокола IPsec и стандарта X.509 с использованием российских криптографических алгоритмов.В качестве поддерживаемых стандартов заявлены ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001.Отличительной особенностью является способ ввода ключевой информации, необходимой для реализации его функций. Для этого используется «Российская интеллектуальная карта» (РИК) — микропроцессорная карта, разработанная «НТЦ Атлас», ЗАО «Программные системы и технологии», ОАО «Ангстрэм». Карта выполнена на основе отечественного микропроцессора производства ОАО «Ангстрэм».С аппаратной точки зрения «Атликс-VPN» функционирует на базе сервера специализированной, фиксированной платформы. ПАК обеспечивает относительно небольшую по меркам сегодняшнего дня производительность по шифрованию — 85 Мбит/с. Такая скорость и тип аппаратной платформы обусловлены высоким классом защищенности по требованиям ФСБ России, который обеспечивает ПАК, — КВ2. Рисунок 2. ПАК «Атликс- VPN»  «Атликс-VPN» имеет следующие действующие сертификаты соответствия:ФСБ России №СФ/124-2958, подтверждающий, что ПАК соответствует требованиям к шифровальным (криптографическим) средствам класса КВ2 и может использоваться для криптографической защиты (шифрование и имитозащита IP-трафика) информации, не содержащей сведений, составляющих государственную тайну;ФСТЭК России №1864, подтверждающий, что ПАК соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 4 классу защищенности.Подробнее с информацией о ПАК «Атликс-VPN» можно ознакомиться на сайте производителя.  ЗАСТАВА (ЭЛВИС-ПЛЮС)Программно-аппаратные комплексы ЗАСТАВА — разработка российской компании ЭЛВИС-ПЛЮС. ПАК обеспечивает защиту корпоративных информационных систем на сетевом уровне с помощью технологий виртуальных защищенных сетей (VPN) на базе протоколов IPsec/IKE. ЗАСТАВА представляет собой не только VPN-шлюз с поддержкой отечественных криптографических алгоритмов, но и межсетевой экран. ЗАСТАВА является единственным российским продуктом, реализующим текущую версию протокола IKE (IKEv2). Большинство российских вендоров использует протокол IKEv1, который более 10 лет назад официально признан в IETF устаревшим в том числе по причине наличия проблем с безопасностью. По сравнению с ним протокол IKEv2 обладает большей стойкостью к атакам отказа в обслуживании, большей устойчивостью к сетевым проблемам, большей гибкостью в использовании. Протокол IKEv2 в настоящее время продолжает активно развиваться в IETF, включая такие передовые направления в криптографии как, например, защита данных от квантовых компьютеров или использование принципа proof-of-work для противодействия DoS-атакам. ЭЛВИС-ПЛЮС принимает активное участие в этих работах и оперативно добавляет поддержку новых возможностей протокола в ПАК ЗАСТАВА.ЗАСТАВА состоит из трех отдельных компонентов:ЗАСТАВА-Клиент реализует функциональность клиента удаленного доступа по VPN;ЗАСТАВА-Офис реализует функции VPN-шлюза и межсетевого экрана;ЗАСТАВА-Управление выполняет функции Центра управления политиками безопасности для унифицированного управления сетевой безопасностью.Отличительные особенности:использование внешних криптографических модулей, реализующих отечественные стандарты ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, ГОСТ 28147-89, в частности, СКЗИ «КриптоПро CSP»;поддержка не только отечественных криптографических алгоритмов, но и зарубежных — RSA, DH, ECDH, DES, 3DES, AES, SHA1, SHA2;аутентификация партнеров с использованием X.509-сертификатов;поддержка централизованного управления ПАК посредством продукта ЗАСТАВА-Управление;реализация функциональности отказоустойчивого кластера, работающего в режиме «активный/пассивный»;в зависимости от аппаратной платформы производительность по шифрованию может варьироваться от 40 Мбит/с до 4 Гбит/с;для обеспечения шифрования канала связи от клиентских рабочих мест до ПАК используется собственная разработка — продукт ЗАСТАВА-Клиент.ЗАСТАВА имеет несколько действующих сертификатов соответствия требованиям ФСБ России и ФСТЭК России, в частности:ФСБ России №СФ/114-3067, подтверждающий соответствие требованиям к средствам криптографической защиты информации, не содержащей сведений, составляющих государственную тайну, класса КС3; может использоваться для криптографической защиты (шифрование IP-пакетов на базе протокола IPsec ESP, вычисление хэш-функции для IP-пакетов на базе протокола IPsec AH и/или протокола IPsec ESP, криптографическая аутентификация абонентов при установлении соединения на базе протокола IKE v1 или протокола IKE v2) информации, не содержащей сведений, составляющих государственную тайну;ФСТЭК России №2573, удостоверяющий, что ПАК соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 2 классу защищенности.Подробнее с информацией о ПАК ЗАСТАВА можно ознакомиться на сайте производителя.  «Континент» («Код Безопасности»)Аппаратно-программный комплекс шифрования «Континент» (АПКШ) — криптографический шлюз производства российской компании «Код Безопасности». АПКШ обеспечивает межсетевое экранирование и криптографическую защиту открытых каналов связи в соответствии с ГОСТ 28147-89.АПКШ позволяет обеспечить защиту сетевого трафика в мультисервисных сетях, разделить сегменты сети, организовать защищенный удаленный доступ к локальной сети, реализовать межсетевое взаимодействие с другими защищенными сетями (построенными на базе данного продукта). АПКШ функционирует на базе FreeBSD.АПКШ обладает следующими особенностями:поддерживает централизованное управление и мониторинг с помощью продукта «Центр управления сетью «Континент»;аппаратное резервирование АПКШ в целях реализации отказоустойчивой конфигурации;в модельном ряду АПКШ представлено исполнение для защиты информации в индустриальных системах;широкий модельный ряд с поддержкой скоростей шифрования от 10 Мбит/с до 3.5 Гбит/с при использовании standalone-решения (до 10 Гбит/с — при распределении шифрованного трафика между фермой из АПКШ);поддержка прозрачного объединения сетей на канальном уровне (L2 VPN);фильтрация трафика на уровне сетевых приложений (DPI);фильтрация команд протоколов HTTP, FTP;URL-фильтрация на основе статических списков и регулярных выражений;шлюзы средней и высокой производительности (от IPC-400 и выше) реализованы в форм-факторе 2U;в состав модельного ряда АПКШ входят платформы, имеющие в своем составе до 34 интерфейсов GbE, в том числе до 4 оптических 10 Gb SFP+, до 32 оптических 1 Gb SFP;в качестве VPN-клиента используется программный продукт «Континент-АП». Рисунок 3. АПКШ «Континент» IPC -3034  Необходимо отметить, что АПКШ поставляется со встроенным средством защиты от НСД — программно-аппаратным комплексом «Соболь». Также на уровне формуляра АПКШ и руководства администратора имеется ограничение на максимальное количество криптошлюзов в сети с одним «Центром управления сетью «Континент».АПКШ входит в реестр отечественного ПО (№310) и имеет ряд действующих сертификатов соответствия, среди которых:ФСБ России №СФ/124-2617, подтверждающий соответствие требованиям к шифровальным (криптографическим) средствам класса КС3 и может использоваться для криптографической защиты (создание и управление ключевой информацией, шифрование и имитозащита данных, передаваемых в IP-пакетах по общим сетям передачи данных) информации, не содержащей сведений, составляющих государственную тайну;ФСТЭК России №3008, подтверждающий соответствие требованиям к межсетевым экранам тип «А» (ИТ.МЭ.А3.ПЗ) и средствам обнаружения вторжения уровня сети (ИТ.СОВ.С3.ПЗ) по 3 классу (на сайте производителя документ к просмотру недоступен, предоставляется по запросу).Подробнее с информацией об АПКШ «Континент» можно ознакомиться на сайте производителя.  ФПСУ-IP (АМИКОН, «ИнфоКрипт»)Программно-аппаратный комплекс «Фильтр пакетов сетевого уровня — Internet Protocol» (ФПСУ-IP) производства российской компании АМИКОН при участии «ИнфоКрипт». ПАК представляет собой межсетевой экран и средство построения виртуальных частных сетей (VPN).ФПСУ-IP поддерживает отечественные стандарты ГОСТ 28147-89, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, реализованные с использованием СКЗИ «Туннель 2.0» производства «ИнфоКрипт» (в части криптографии). ПАК функционирует на базе Linux.ФПСУ-IP обладает следующими особенностями:поддерживает возможность работы в режиме «горячего» резервирования (предлагается производителем как опция);реализуется на базе различных аппаратных платформ типоразмеров как 1U, так и 2U;использует собственный VPN-протокол;в качестве удаленного клиентского компонента используется ПО «ФПСУ-IP/Клиент» (активация возможности взаимодействия с клиентским программным обеспечением на ПАК предлагается производителем как опция);модельный ряд обеспечивает скорость шифрования данных от 10 Мбит/с до 12 Гбит/с (при размере IP-пакета 1450 байт и 56 вычислительных потоках). Рисунок 4. Шлюз ФПСУ-IP  ФПСУ-IP представляет собой решение на базе различных аппаратных платформ и программного обеспечения со встроенным сертифицированным СКЗИ.Встроенное СКЗИ имеет действующий сертификат ФСБ России №СФ/124-3060 и соответствует требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, классов КС1, КС2, КС3.Подробнее с информацией о ФПСУ-IP можно ознакомиться на сайте производителя.  ALTELL NEO («АльтЭль»)Программно-аппаратный комплекс ATLELL NEO производства компании «АльтЭль».Ключевой функциональностью является межсетевое экранирование в сочетании с возможностями построения защищенных каналов связи. Также ALTELL NEO позиционируется как UTM-решение (Unified Threat Management), сочетающее в себе не только возможности межсетевого экрана, VPN-шлюза, но и средства обнаружения и предотвращения вторжений, контент-фильтрации и защиты от вредоносных программ.Продукт представляет собой аппаратную платформу в сочетании со встроенным сертифицированным программным обеспечением. В качестве протоколов шифрования с использованием ГОСТ 28147-89 поддерживаются IPsec, OpenVPN.Предлагаемые производителем платформы, за исключением младших (100 и 110), могут функционировать с использованием одной из трех версий ПО: FW (межсетевой экран), VPN (криптошлюз), UTM. Каждый последующий вариант программного обеспечения включает в себя функциональность предыдущих.ALTELL NEO обладает следующими особенностями:широкий модельный ряд аппаратных платформ различной конфигурации;аппаратная платформа Enterprise-класса (модель 340, форм-фактор 2U) обладает повышенной плотностью сетевых интерфейсов (до 65 портов RJ45 GbE/до 64 портов SFP GbE/до 16 портов SFP+ 10 GbE);производительность по шифрованию (в зависимости от аппаратной платформы) при использовании алгоритма IPsec составляет от 18 Мбит/с до 2,4 Гбит/с, OpenVPN — от 14 Мбит/с до 1,4 Гбит/с. Рисунок 5. Шлюз ALTELL NEO 340  Используемое в составе решения программное обеспечение входит в реестр отечественного ПО (№3768) и имеет следующие сертификаты соответствия:ФСБ России №СФ/СЗИ-0074, подтверждающий выполнение требований к межсетевым экранам 4 класса защищенности и то, что ПО может использоваться для защиты информации от несанкционированного доступа в информационных и телекоммуникационных системах органов государственной власти Российской Федерации;ФСТЭК России №2726, удостоверяющий, что ПО соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 2 классу защищенности.Необходимо отметить, что на момент публикации обзора в открытых источниках не удалось обнаружить действующий сертификат ФСБ России на соответствие требованиям к шифровальным (криптографическим) средствам классов КС1/КС2/КС3.Подробнее с информацией об ALTELL NEO можно ознакомиться на сайте производителя.  С-Терра Шлюз 4.1 («С-Терра СиЭсПи»)Продукт С-Терра Шлюз производства российской компании «С-Терра СиЭсПи» представляет собой программный комплекс (далее — ПК) на базе различных аппаратных платформ.СС-Терра Шлюз 4.1 обеспечивает шифрование по ГОСТ 28147-89 и имитозащиту передаваемого по открытым каналам связи трафика с использованием протокола IPsec. Помимо VPN, продукт обладает функциональностью межсетевого экрана. В качестве операционной системы используется Debian.Криптографические функции в ПК реализуются криптобиблиотекой собственной разработки — С-Терра ST, которая совместима с СКЗИ «КриптоПро CSP».С-Терра Шлюз 4.1 обладает следующими основными особенностями:поддерживает централизованное удаленное управление посредством системы «С-Терра КП»;производительность решения по шифрованию от 60 Мбит/с до 2,5 Гбит/с, в зависимости от модели шлюза и аппаратной платформы;возможно исполнение в виде виртуальной машины (С-Терра Виртуальный Шлюз);возможна установка ПК С-Терра Шлюз на АП заказчика;производитель предлагает решение для защиты канала связи 10 Гбит/с на уровне L2, посредством размещения в двух ЦОД по 4 пары шлюзов модели 7000 High End с программным модулем С-Терра L2 и двух пар коммутаторов (с учетом того, что в защищаемом канале связи трафик преимущественно TCP, IP-телефония отсутствует). Рисунок 6. С-Терра Шлюз 1000  С-Терра Шлюз 4.1 сертифицирован ФСБ России в качестве СКЗИ по классам КС1, КС2, КС3 и в качестве МЭ 4 класса, а также ФСТЭК России как межсетевой экран 3 класса (МЭ 3). В числе сертификатов:- ФСБ России №СФ/124-2517, подтверждающий выполнение требований к шифровальным (криптографическим) средствам класса КС3;- ФСБ России №СФ/525-2663, подтверждающий выполнение требований к межсетевым экранам 4 класса защищенности;- ФСТЭК России № 3370, удостоверяющий, что С-Терра Шлюз соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 3 классу защищенности.Подробнее с информацией об «С-Терра Шлюз» можно ознакомиться на сайте производителя.  Diamond VPN (ТСС)Программно-аппаратный комплекс Diamond VPN/FW производства компании ТСС представляет собой производительное UTM-решение, сочетающее в себе функции межсетевого экрана, VPN-шлюза, системы обнаружения вторжений (IDS).ПАК обеспечивает шифрование ГОСТ 28147-89 по протоколу DTLS.Основными особенностями являются:поддержка создания отказоустойчивой конфигурации в режиме «активный/пассивный»;наличие исполнения (модель 7141), обеспечивающего высокую производительность (шифрование со скоростью до 16 Гбит/с, межсетевое экранирование — до 40 Гбит/с);высокая плотность портов в максимальной аппаратной конфигурации (до 32 портов RJ45 GbE/до 32 портов GbE SFP/до 16 портов 10G SFP+);наличие криптошлюза в индустриальном исполнении (модель Diamond VPN/FW Industrial) для защиты информации в АСУ ТП. Рисунок 7. ПАК Diamond VPN/FW  ПАК входит в реестр отечественного ПО (№1425) и обладает действующим сертификатом ФСТЭК России №2260, подтверждающим соответствие требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 2 классу защищенности.Необходимо отметить, что действующим сертификатом ФСБ России №124-2702 на соответствие требованиям к шифровальным (криптографическим) средствам класса КС1 и КС2 (в зависимости от вариантов исполнения) обладает СКЗИ Dcrypt 1.0, реализующее функции шифрования и ЭП в составе ПАК.Подробнее с информацией о Diamond VPN/FW можно ознакомиться на сайте производителя.  Dionis-NX («Фактор-ТС»)Программно-аппаратный комплекс Dionis-NX является разработкой российской компании «Фактор-ТС». ПАК является UTM-устройством, которое может использоваться как межсетевой экран, криптомаршрутизатор, система обнаружения и предотвращения вторжений.ПАК позволяет строить VPN-туннели по ГОСТ 28147-89 посредством использования протоколов GRE, PPTP, OpenVPN.Обладает следующими отличительными особенностями:производитель предлагает пять вариантов аппаратных платформ, обеспечивающих скорость шифрования от 100 Мбит/с до 10 Гбит/с;поддержка кластерного исполнения в отказоустойчивой конфигурации (режим «активный/пассивный»);поддержка взаимодействия с программным обеспечением «Дисек», реализующим функциональность VPN-клиента.Dionis-NX входит в реестр отечественного ПО (№2772) и обладает действующим сертификатом ФСТЭК России №2852, подтверждающим соответствие требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 2 классу защищенности.Необходимо отметить, что действующим сертификатом ФСБ России №124-2625 на соответствие требованиям к шифровальным (криптографическим) средствам класса КС1 и КС3 (в зависимости от вариантов исполнения) обладает СКЗИ DioNIS-NX, реализующее функции шифрования в составе ПАК.Подробнее с информацией о «Dionis-NX» можно ознакомиться на сайте производителя.  ViPNet Coordinator HW («ИнфоТеКС»)Программно-аппаратный комплекс ViPNet Coordinator HW разработан российской компанией «ИнфоТеКС» и представляет собой сертифицированный криптошлюз и межсетевой экран.ViPNet Coordinator HW обеспечивает защиту — шифрование данных, передаваемых по различным каналам связи с помощью построения VPN (как на сетевом, так и на канальном уровнях модели OSI — L3, L2 VPN) по ГОСТ 28147-89. ПАК позволяет организовать защищенный доступ как в ЦОД, так и в корпоративную инфраструктуру. ПАК средней и высокой производительности поставляются в форм-факторе 1U. Функционирует на базе адаптированной ОС Linux.ViPNet Coordinator HW обладает следующими особенностями:для построения VPN используется собственный протокол ViPNet VPN, который обеспечивает беспрепятственное защищенное взаимодействие независимо от типа канала связи, автоматический роуминг между каналами связи;поддержка работы в современных мультисервисных сетях (с использованием протоколов Cisco SCCP, H.323);производительность по шифрованию от 50 Мбит/с до 5,5 Гбит/с (для standalone-решений) в зависимости от модели;поддержка отказоустойчивой конфигурации (режим «активный/пассивный») для моделей среднего и высокого уровня (от модели HW1000);поддержка централизованного управления и удаленного обновления с помощью ПО ViPNet Administrator;поддержка взаимодействия с клиентскими компонентами (ПО ViPNet Client) на различных операционных системах (Windows, Linux, macOS, iOS, Android). Рисунок 8. ПАК ViPNet Coordinator HW1000  Производитель ПАК в своих решениях использует аппаратные платформы фиксированной конфигурации, что позволяет получить высокий класс криптозащиты (КС3) без использования дополнительных устройств, таких как аппаратно-программные модули доверенной загрузки (АПМДЗ).ViPNet Coordinator HW входит в реестр отечественного ПО (№2798) и обладает различными действующими сертификатами соответствия, в том числе:ФСБ России №СФ/124-2981, подтверждающим выполнение требований к шифровальным (криптографическим) средствам класса КС3;ФСБ России №СФ/525-3007, подтверждающим выполнение требований к межсетевым экранам 4 класса защищенности;ФСТЭК России № 3692, удостоверяющий, что ПАК является межсетевым экраном типа «А» и соответствует требованиям документов «Требования к межсетевым экранам» (ФСТЭК России, 2016) и «Профиль защиты межсетевого экрана типа А четвертого класса защиты. ИТ.МЭ.А4.ПЗ».Подробнее с информацией о ViPNet Coordinator HW можно ознакомиться на сайте производителя. Зарубежные криптошлюзыВ данном разделе более подробно рассмотрим основных иностранных производителей средств защиты информации. Здесь представлены разнообразные варианты решений в программно-аппаратном исполнении.Указанные ниже производители предлагают современному рынку UTM-решения, «комбайны» из разряда «всё-в-одном». Здесь и функциональность NGFW (Next Generation Firewall — межсетевой экран нового поколения), IDS/IPS (системы обнаружения и предотвращения вторжений), потоковый антивирус, и, конечно же, VPN-шлюз. Последний нас особенно интересует в контексте данного обзора.Необходимо отметить, что зарубежные вендоры для своего VPN используют исключительно иностранные алгоритмы шифрования — DES, 3DES, AES. Соответственно, целевой заказчик таких решений (в части VPN) в России не является государственным учреждением или организацией, ведущей деятельность в соответствии с указанными начале обзора нормативными актами.Поскольку на территории РФ рынок средств криптозащиты является регулируемым, зарубежным производителям необходимо официально ввезти свои продукты в соответствии со всеми действующими нормами и требованиями. В данном случае возможны два варианта:ввоз по упрощенной схеме (по нотификации, реестр доступен на сайте Евразийского экономического союза);ввоз по лицензии ФСБ России или Минпромторга России.В связи с использованием иностранных криптографических алгоритмов в системе сертификации ФСБ России рассматриваемые в этом разделе решения не представлены. Cisco VPN Solutions (Cisco ASA 5500-X, Cisco Firepower, Cisco ASAv, Cisco IOS VPN)У международной компании Cisco Systems большое портфолио решений для построения VPN, которые отличаются не только особенностями реализации данной возможности, но и основной функциональностью. Например, Cisco ASA 5500-X или Cisco Firepower — это многофункциональные защитные шлюзы, среди функций которых есть и VPN, которая особенно эффективно может использоваться для Remote Access VPN. А вот маршрутизатор Cisco ISR/ASR/GSR/CSR, предназначенный преимущественно для подключения к интернету, обладает продвинутыми возможностями Site-to-Site VPN.Cisco Adaptive Security Appliance (ASA) и Cisco Firepower — одни из основных продуктов в направлении информационной безопасности Cisco. Эти решения, а также виртуализированный защитный шлюз ASAv и маршрутизатор с функцией IOS VPN, позволяют реализовать взаимодействие по VPN с использованием IPSec, IPSec RA, SSL, SSL clientless, DTLS на скоростях от 100 Мбит/сек до 51 Гбит/сек и с поддержкой до 60000 удаленных пользователей.Отличительными особенностями являютсяРезервирование. Возможны два варианта: отказоустойчивое решение (failover) и кластеризация (clustering), в том числе геораспределенная. В первом случае два устройства объединяются в одно логическое. Доступны два режима работы: active/standby и active/active. Во втором — возможно объединение до 16 устройств ASA (для модели 5585-Х) в одно логическое. Такая возможность позволяет существенно повысить производительность решения.Поддержка технологий DMVPN, GET VPN, Easy VPN.Оптимизация защиты мультимедиа-трафика.Поддержка функции per application VPN (дифференцированное шифрование трафика для различных приложений).Поддержка оценки соответствия удаленного узла (мобильного устройства) требованиям безопасности перед созданием VPN-туннеля.Встроенные дополнительные механизмы безопасности, например, встроенный центр сертификатов (CA).Наличие API для интеграции с внешними системами фильтрации и управления сервисами — Web-прокси, AAA и оценки соответствия.Интеграция с защитными возможностями многофункциональной защитной платформы Cisco ASA 5500-X, Cisco Firepower или маршрутизатором Cisco, МСЭ и NGFW, NGIPS, подсистемой защиты от вредоносного кода, подсистемой URL-фильтрации. Рисунок 9. Cisco Firepower 9300  Управление Cisco ASA 5500-X, Cisco Firepower или Cisco ISR осуществляется локально посредством Cisco Adaptive Security Device Manager (ASDM), Cisco Firepower Device Manager или Cisco Security Device Manager, или централизованно с помощью Cisco Security Manager, Cisco Firepower Management Center или Cisco Defense Orchestrator.Для подключения удаленных клиентских рабочих мест может использоваться локализованный на русский язык Cisco AnyConnect Secure Mobility Client или безклиентскую технологию Cisco SSL clientless, а также встроенные в Apple iOS и Android клиенты VPN.Решения Cisco ASA 5500-X, Cisco Firepower и Cisco ISR обладают несколькими десятками различных действующих сертификатов соответствия ФСТЭК, в том числе № 3738, удостоверяющий, что ПАК соответствует требованиям к межсетевым экранам по классам А6, Б6, а также сертифицирован на отсутствие недокументированных возможностей. Совместно с компанией С-Терра СиЭсПи компания Cisco разработала модуль шифрования на базе российских алгоритмов шифрования (ГОСТ 28147-89 и др.) и сертифицировала его в ФСБ как СКЗИ по классам КС1/КС2. Этот модуль предназначен для маршрутизатора с интеграцией сервисов Cisco ISR, который может быть использован как платформа для запуска на ней и других VPN-решений. В частности, была проведена интеграция и испытания совместных решений Cisco ISR с решениями VipNet и TSS VPN.Подробнее с информацией о Cisco ASA 5500-Х, Cisco Firepower, Cisco ISR можно ознакомиться на сайте производителя.  F5 Networks VPN SolutionsF5 Networks предлагает комплексные решения и автономные VPN-устройства. С 2016 года компания сделала акцент на комплексных решениях, и изолированные VPN-шлюзы постепенно перестают выпускаться.Продукт F5 Access Policy Manager (APM) — это специальный модуль программного обеспечения, который включает в себя функциональные возможности VPN, а также множество различных функций, включая BIG-IP — полный 
прокси
 между
 пользователями 
и серверами 
приложений, обеспечивающий
 безопасность,
 оптимизацию
 трафика приложений 
и 
балансировку 
его
 нагрузки.Клиент BIG-IP VPN использует протоколы TLS и DTLS (Datagram TLS), что позволяет работать чувствительным к задержке приложениям. Этот клиент доступен на всех распространенных настольных и мобильных платформах.Решения BIG-IP функционируют на базе собственной операционной системы (ОС) F5 TMOS. Среди ее преимуществ можно отметить:Открытый API, который позволяет гибко управлять потоком трафика и увеличить производительность с помощью API Control.Контроль за трафиком производится с помощью F5-устройств, использующих специальный язык сценариев iRules.Шаблоны iApps, которые позволяют развертывать и управлять сетевыми услугами для конкретных приложений.На сегодняшний день предложения компании F5 начинаются с модели BIG-IP 1600 и заканчиваются BIG-IP 11050, которая является их крупнейшим автономным VPN-устройством.Самым большим решением на основе блейд-сервера является Viprion 4800. Оно поддерживает до 30000 SSL-транзакций. Рисунок 10. F5 Viprion 4800  В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) продуктов F5 Networks не представлено.Подробнее с информацией о продукции F5 Networks можно ознакомиться на сайте производителя.  NetScaler (Citrix Systems)NetScaler — линейка продуктов сетевой безопасности от компании Citrix Systems. VPN-решения от Citrix встроены в продукт NetScaler Gateway. Шлюз NetScaler, как и все оборудование фирмы Citrix, штатно интегрируется во многие линейки продуктов компании.NetScaler Gateway предлагает функциональные возможности SSL VPN, включая безопасный доступ к Citrix XenDesktop, XenApp, XenMobile, MS RDP, VMware horizon, а также web-приложениям и ресурсам внутри корпоративной сети. Также продукт предоставляет возможности безопасного сетевого доступа к любому серверу, наряду с анализом и определением устройства.Citrix Gateway поддерживает как протокол TLS, так и DTLS, в зависимости от требований к трафику.Самая младшая MPX-платформа продукта (5550) поддерживает до 1500 SSL-транзакций. Наиболее производительная (22120) — до 560000 SSL-транзакций. Рисунок 11. Citrix NetScaler MPX-8005  В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) шлюзов Citrix NetScaler не представлено.Подробнее с информацией о продукции Citrix можно ознакомиться на сайте производителя.  Pulse Secure (Juniper Networks)Pulse Secure — серия продуктов американской компании Juniper Networks. Ключевая функциональность — SSL VPN.Производитель предлагает четыре программно-аппаратных комплекса различной производительности и форм-фактора.Модель минимальной конфигурации (PSA300) обеспечивает пропускную способность 200 Мбит/с для 200 SSL-соединений. Наиболее производительное решение (PSA7000) — 10 Гбит/с для 25000 SSL-соединений.Отличительной особенностью в линейке Pulse Secure является наличие двух блоков питания у модели PSA7000. Рисунок 12. Pulse Secure Appliance 7000  В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) шлюзов Pulse Secure не представлен.Подробнее с информацией о продукции Pulse Secure можно ознакомиться на сайте производителя.  SonicWALLSonicWALL — американская компания-производитель решений для сетевой безопасности. В 2012 году компания была приобретена Dell Software Group. В 2016 же году Dell продала SonicWALL.Компания предлагает решения различной производительности. В основной массе это UTM-решения, реализующие функциональность NGFW, IPS, VPN, потокового антивируса.В части VPN производитель поддерживает IPSec, SSL. Наиболее производительное решение, представленное на рисунке ниже, обеспечивает пропускную способность VPN до 14 Гбит/с. Максимальное же число VPN-соединения составляет в этом случае 25000.Шлюзы SonicWALL находятся под управлением собственной операционной системы — Sonic OS. Рисунок 13. SonicWALL SuperMassive 9000 Series  В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) шлюзов SonicWALL не представлен.Подробнее с информацией о продукции SonicWALL можно ознакомиться на сайте производителя. ВыводыКриптографический шлюз — не только специализированное VPN-решение, но и многофункциональный продукт, решающий большой спектр задач информационной безопасности практически любого предприятия или государственного учреждения. Процесс внедрения криптошлюзов может быть непростым, и это требует от организации наличия в штате квалифицированных специалистов.По данным статистического портала Statista.com, в 2014 году объем мирового рынка VPN составлял 45 млрд долларов США. При этом к 2019 году ожидается его рост до 70 млрд. Это позволяет говорить о том, что устройства для построения VPN станут год от года всё более востребованными.Несмотря на то, что на территории РФ процессы эксплуатации средств криптозащиты регулируются «Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)», у иностранных разработчиков все еще остается возможность предлагать свои продукты российским заказчикам. В соответствии с ПКЗ-2005, лишь участники обмена информацией (с рядом оговорок), если это не государственные учреждения, определяют необходимость ее криптографической защиты и выбирают применяемые средства криптозащиты.Вступление в силу с 1 января 2018 года Федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры РФ» (КИИ) обяжет компании и объекты КИИ и топливно-энергетического комплекса информировать власти о компьютерных инцидентах, предотвращать неправомерные попытки доступа к информации. Такая законодательная инициатива создаст дополнительную возможность для роста сегмента средств криптозащиты в перспективе нескольких ближайших лет.Современные отечественные криптошлюзы всё быстрее получают функциональности (Next Generation Firewall, IDS, IPS, потоковый антивирус), ещё вчера предлагаемые лишь зарубежными производителями. Рост конкуренции, увеличение числа игроков на рынке позволяет заказчику быть в наиболее выгодном положении и выбирать то, что действительно соответствует его потребностям и возможностям. 

Читать далее

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Выбор корпоративных средств защиты

  • Сообщения

    • Ego Dekker
      Актуальные версии антивируса 19-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 19.0.14.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Microsoft ускоряет Проводник в Windows 11 с помощью предзагрузки https://www.comss.ru/page.php?id=18618
    • AM_Bot
      Обзор CrossTech Container Security 3.0: решение для защиты контейнерной инфраструктуры

      От AM_Bot · Опубликовано

      Вендор Crosstech Solutions Group выпустил решение для защиты контейнерной инфраструктуры Crosstech Container Security (CTCS). Оно обеспечивает безопасность контейнерных сред: от сканирования образов до контроля запуска рабочих нагрузок и реагирования на инциденты в средах выполнения.      ВведениеФункциональные возможности Crosstech Container Security2.1. Анализ и контроль безопасности образов2.2. Контроль запуска контейнеров2.3. Безопасность в средах выполнения (Runtime Security)2.4. Безопасность окружения2.5. Внешние интеграцииАрхитектура Crosstech Container Security3.1. Основные компоненты Crosstech Container SecurityСистемные требования и лицензирование Crosstech Container Security4.1. Лицензирование4.2. Требования к аппаратной части4.3. Требования к программной части4.4. Процесс установкиСценарии использования5.1. Сценарий №1. Сканирование образов5.2. Сценарий №2. Политики безопасности образов контейнеров5.3. Сценарий №3. Контроль запуска контейнеров5.4. Сценарий №4. Мониторинг безопасности сред выполненияВыводыВведениеРоссийский рынок контейнерных разработок постоянно растёт. В 2024 году затраты на ПО для контейнеризации достигли 3 млрд рублей — это на 66 % больше, чем в 2023. Контейнерные технологии ускоряют процессы разработки, экономят ресурсы компаний, поэтому их всё чаще внедряют в свою работу ИТ-департаменты.Вместе с ростом масштабов контейнеризации увеличивается и поверхность атак: уязвимости в образах, ошибки конфигураций, несанкционированные действия внутри контейнеров. Crosstech Container Security помогает компаниям выстраивать комплексную систему защиты контейнерной инфраструктуры.Функциональные возможности Crosstech Container SecurityCrosstech Container Security объединяет функции анализа, мониторинга и управления безопасностью контейнерных сред. Решение охватывает весь жизненный цикл контейнера — от момента его создания до удаления. Продукт помогает DevSecOps-командам выявлять уязвимости, проверять конфигурации, контролировать сетевую активность и реагировать на инциденты в режиме реального времени.Анализ и контроль безопасности образовCrosstech Container Security интегрируется с реестрами хранения образов и позволяет проводить их сканирование как в ручном режиме, так и по расписанию. В результате анализа система обнаруживает дефекты в образах: уязвимости, неправильные конфигурации, секреты, а также фиксирует используемые в образах OSS-лицензии для пакетов и библиотек. По каждому найденному дефекту предоставляется детальная информация.CTCS поддерживает экспорт SBOM в форматах SPDX и CycloneDx, что упрощает аудит и обмен данными с другими решениями. Интерфейс продукта предоставляет визуализацию образов с маппингом (сопоставлением данных) на дефекты безопасности. CTCS также осуществляет дискаверинг (обнаружение) образов, располагающихся в защищаемых кластерах и на standalone-хостах.Для автоматизации контроля доступны настраиваемые политики безопасности образов, разделяемые по критериям:наличие уязвимостей в образах контейнеров выше заданной оценки критичности;наличие уязвимостей в образах контейнеров согласно заданным идентификаторам;обнаружение root в Dockerfile;возможность указания перечня образов, на которые будет распространяться созданная политика безопасности образов.При нарушении хотя бы одного из критериев политики администратор получает уведомление в интерфейсе CTCS и может оперативно принять меры: заблокировать образ, исключить его из деплоя или добавить в список исключений с указанием причины. Такой подход обеспечивает прозрачность процессов и повышает уровень доверия к среде разработки и эксплуатации.Контроль запуска контейнеровРешение обеспечивает контроль запуска контейнеров как в средах Kubernetes, так и на отдельных standalone-хостах в соответствии с заданными политиками безопасности. Это позволяет предотвращать запуск рабочих нагрузок, не соответствующих требованиям безопасности компании, ещё на этапе их инициализации.В зависимости от настроек администратор может выбрать режим реагирования: блокирование или оповещение о нарушении политики безопасности. Информация обо всех срабатываниях отображается в интерфейсе системы, обеспечивая прозрачность и возможность оперативного реагирования.Политики безопасности включают следующие критерии:попытка запуска контейнеров на базе образов, не соответствующих политикам безопасности;попытка запуска контейнеров из-под пользователя root;попытка запуска контейнеров с повышенными привилегиями ядра Linux;контроль запуска контейнеров на базе образов, не прошедших сканирование CTCS.Дополнительно решение поддерживает интеграцию с OPA Gatekeeper и имеет возможность создания и импорта политик через интерфейс CTCS.Безопасность в средах выполнения (Runtime Security)CTCS использует возможности инструмента Tetragon для создания и применения кастомных политик безопасности, позволяющих контролировать сетевые взаимодействия внутри контейнеров. Администраторы могут выбрать набор кластеров для распространения политик, что обеспечивает гибкость при внедрении требований безопасности.Вся информация о срабатываниях политик фиксируется в интерфейсе CTCS, предоставляя специалистам по информационной безопасности прозрачную картину активности в средах выполнения и возможность оперативного реагирования на инциденты.Безопасность окруженияРешение выполняет сканирование кластеров на соответствие стандартам конфигурирования CIS Kubernetes Benchmarks. Аналогично система проводит проверку standalone-хостов на соответствие CIS Docker Benchmarks. Дополнительно CTCS поддерживает сканирование конфигурационных файлов, расположенных в директориях нод кластеров, выполняя роль сканера на основе IaC (Infrastructure as Code, управление инфраструктурой через использование кода).Внешние интеграцииРешение поддерживает интеграцию с реестрами хранения образов, что обеспечивает доступ к актуальным данным для анализа и контроля безопасности контейнеров. Также CTCS поддерживает передачу журналов событий в системы сбора по протоколу Syslog для их централизованного хранения и обработки.Доступна интеграция с системой идентификации, управления доступом Keycloak с поддержкой OAuth и доменными службами каталогов. Это позволяет пользователям авторизовываться в интерфейсе системы через доменные учётные записи. Рисунок 1. Планы по развитию Crosstech Container Security Архитектура Crosstech Container SecurityАрхитектура CTCS реализована в формате однонаправленных соединений со стороны ядра системы в сторону агентов защиты (протокол TCP/IP), располагающихся в защищаемых кластерах. Такой подход позволяет использовать инстанс ядра в единственном экземпляре для инфраструктур, сегментированных по уровням доверия. Рисунок 2. Логическая архитектура Crosstech Container Security Основные компоненты Crosstech Container SecurityCTCS состоит из 3 основных компонентов:CTCS Core — группа микросервисов, отвечающая за управление системой: хранение данных, настроек, создание политик безопасности, бизнес-логика продукта, а также взаимодействие со смежными системами.CTCS Agent-Manager: модуль агент-менеджера реализован в формате оператора Kubernetes с целью контроля за установкой и изменениями кастомных ресурсов (custom resource definition, CRD), а также управления и передачи информации агент-воркерам, устанавливаемым на каждую защищаемую ноду в формате DaemonSet.CTCS Scanner — модуль, сканирующий образы контейнеров на уязвимости, неправильные конфигурации, конфиденциальные данные, информацию по OSS-лицензиям для пакетов и библиотек из состава образа, а также сканирующий кластеры на соответствие стандартам конфигурирования.Системные требования и лицензирование Crosstech Container SecurityПеред выбором модели лицензирования заказчикам рекомендуется оценить масштаб защищаемой инфраструктуры и нагрузку на кластеры. Crosstech Container Security предусматривает гибкий подход: ядро и агенты могут разворачиваться в разных сегментах сети, включая тестовые и продуктивные среды. Такой принцип позволяет оптимально распределять ресурсы и лицензии, избегая избыточных затрат.ЛицензированиеCTCS лицензируется по количеству защищаемых нод, на которые распространяются агенты защиты.В продукте реализовано гибкое лицензирование, которое позволяет заказчикам самостоятельно выбирать перечень защищаемых объектов. При достижении лимита по количеству лицензий, предусмотренных договором, администратор может отключить часть текущих объектов защиты и переназначить лицензии на новые кластеры и ноды. Рисунок 3. Включение/выключение агентов защиты Рисунок 4. Лицензии CTCS На странице лицензирования доступна подробная информация о параметрах действующей лицензии. Пользователь видит:количество оставшихся дней действия лицензии;количество нод, предусмотренных лицензией;актуальные данные о числе используемых нод в рамках лицензии;сведения о типе лицензии;информация о поставщике;информация о владельце лицензии.Рисунок 5. Страница «Лицензирование» Требования к аппаратной частиКластер, на котором производится установка CTCS, должен соответствовать минимальным характеристикам, приведённым ниже. Для определения значений millicpu (единицы времени процессора, эквивалентной тысячной части работы, которую может выполнить одно ядро CPU) рекомендуется воспользоваться документацией Kubernetes.Кластер, на который будет установлен helm-чарт ядра (без учёта сканера) должен иметь характеристики не ниже 8190 millicpu, 7410 MiB RAM.Для каждого экземпляра сканера: 3 CPU, 6 GB RAM, при добавлении дополнительных экземпляров значения увеличиваются пропорционально.В случае использования большего количества реплик значения пропорционально умножаются на их число. По умолчанию в чарте допускается до 6 реплик, что требует 18 CPU, 36 GB RAM.Каждый кластер для развёртывания чарт-агента должен иметь 2 CPU, 8 GB RAM.Необходимый минимум для каждой используемой СУБД PostgreSQL: 4 CPU, 8 GB RAM, 100 GB.Приведённые требования указаны для усреднённой конфигурации и могут быть изменены в зависимости от количества одновременных сканирований образов, генерируемых событий, деплоев, пространств имён (namespaces) и подов.Требования к программной частиДля корректной интеграции и работы приложение CTCS должно быть развёрнуто в кластере Kubernetes. При настройке системы в конфигурационном файле helm-чарта должны быть настроены необходимые параметры.Поддерживаемые контейнерные среды CRI (container runtime interface): containerd и docker.В момент выполнения инструкции на хосте администратора должны быть установлены следующие утилиты для выполнения установки:tar;helm;kubectl.Необходимые сервисы в инфраструктуре:PostgreSQL: рекомендуется размещать базу данных для хранения логов на отдельном инстансе от основной БД, чтобы избежать падения производительности основных операций при большом объёме логируемых событий;Keycloak (опционально, имеется возможность поставки в составе дистрибутива);Vault (опционально, имеется возможность использования стандартного объекта Kubernetes Secret).Требования к операционной системе и ядру:рекомендуется использовать ОС с версией ядра 5.4 или выше для обеспечения поддержки Tetragon;в ядре должна быть включена функция BTF;должны быть активированы модули eBPF и cgroup, а также корректным образом настроены или отключены модули безопасности Linux (LSM), контролирующие запуск eBPF-программ (в соответствии с официальной документацией Tetragon).Требования к версиям Kubernetes:центральная управляющая часть кластера – не ниже версии 1.23;дочерние кластеры – версия 1.23 или выше.Дополнительные требования:В кластере Kubernetes должен быть установлен, подключён и настроен storage class, в котором будет минимум 10 GB свободного места.В master-кластер должен быть установлен External Secrets (опционально).В дочерние кластеры должен быть установлен External Secrets (опционально).Во всех кластерах, где развёртывается ядро и агенты CTCS, должен быть установлен ingress-контроллер.Совокупность этих требований обеспечивает стабильную работу системы и корректное взаимодействие всех модулей CTCS. При соблюдении указанных параметров производительность решения остаётся предсказуемой даже при высокой интенсивности сканирований и большом количестве событий безопасности. Такой подход гарантирует надёжность, масштабируемость и устойчивость контейнерной инфраструктуры.Процесс установкиДля развёртывания CTCS вендор предоставляет архив, содержащий helm-чарты и образы системных контейнеров. При необходимости может быть предоставлена учётная запись для выгрузки дистрибутивов из репозиториев вендора напрямую.Сценарии использованияCrosstech Container Security закрывает ключевые задачи обеспечения безопасности контейнерных платформ — от анализа уязвимостей до защиты на уровне среды выполнения. Решение органично интегрируется в процессы DevSecOps и помогает компаниям повысить устойчивость инфраструктуры к современным киберугрозам без потери скорости разработки.Сценарий №1. Сканирование образовCTCS позволяет выполнять сканирование образов контейнеров, хранящихся как в интегрированных реестрах образов, так и локально в защищаемых кластерах. Рисунок 6. Подключённые реестры После интеграции с реестрами образов на вкладке «Образы» – «Реестры» отображается подключённый реестр и информация о хранящихся в нём образах. Реализовано в формате иерархии:Реестры.Название образа и количество его версий (тегов).Название образа и его версии.Карточка конкретного образа.Рисунок 7. Образ и список его версий Рисунок 8. Карточка образа На каждом уровне иерархии есть возможность запуска сканирования по требованию с выбором типа дефектов, которые будут учитываться в процессе сканирования. Дополнительно предоставляется общая информация об образе, данные о его соответствии установленным политикам, сведения о слоях образов с маппингом на обнаруженные дефекты. Рисунок 9. Слои образа На странице интеграций с реестрами в настройках доступно выставление расписания для проведения автоматизированного сканирования. Рисунок 10. Сканирование по расписанию Для работы с образами, обнаруженными локально в защищаемых кластерах, доступна отдельная вкладка «Образы» – «Локальные образы». Рисунок 11. Таблица локальных образов При запуске процесса сканирования доступен выбор ноды, на которой он будет проводиться. Если обнаруженный образ находится в интегрированном реестре, сканирование будет приоритетно выполняться на стороне ядра системы в рамках интеграции с реестром. Рисунок 12. Выбор нода для проведения сканирования Сценарий №2. Политики безопасности образов контейнеровВ рамках Crosstech Container Security реализовано создание политик безопасности для образов контейнеров. После их настройки система автоматически проверяет все известные образы на соответствие заданным критериям. По результатам проверки на карточке каждого образа отображается информация о соответствии или несоответствии политикам безопасности (Рисунок 7). Если образ нарушает несколько политик безопасности одновременно, в карточке отображается, какие именно политики безопасности были нарушены. Рисунок 13. Создание политики безопасности образов Сценарий №3. Контроль запуска контейнеровВ CTCS доступна интеграция с OPA Gatekeeper, обеспечивающая валидацию контейнерных деплоев и реагирование в соответствии с заданными политиками безопасности.При настройке политик безопасности доступен выбор режима реагирования — оповещение либо блокировка — а также определение перечня критериев безопасности, по которым будет осуществляться контроль. Рисунок 14. Таблица политик валидации и контроля запусков Политики безопасности могут создаваться по выделенным критериям (Рисунок 13) или импортироваться в виде кастомных политик (Рисунок 14). Рисунок 15. Создание политики валидации и контроля запусков Рисунок 16. Импорт кастомных политик безопасности Результаты срабатывания политик доступны в интерфейсе системы, что позволяет оперативно анализировать инциденты и корректировать настройки безопасности. Рисунок 17. Срабатывание политик валидации и контроля запусков Сценарий №4. Мониторинг безопасности сред выполненияВ текущей версии реализован мониторинг безопасности сред выполнения на базе Tetragon, что позволяет контролировать эксплуатацию рабочих нагрузок.В CTCS доступна форма для создания или импорта готовых политик безопасности с возможностью выбора области применения. Рисунок 18. Создание политики среды выполнения При срабатывании политик система отображает перечень событий в формате таблицы. Для каждого события можно перейти в режим детального просмотра, где отображается его идентификатор, дата и время создания, короткое описание и содержание в формате json. Рисунок 19. Событие срабатывания политики среды выполнения ВыводыАнализ решения Crosstech Container Security показал, что в версии 3.0.0 продукт предоставляет широкие функциональные возможности для защиты контейнерной инфраструктуры: от обеспечения безопасности образов контейнеров до контроля запуска и реагирования на нелегитимные процессы в средах выполнения в соответствии с политиками безопасности. CTCS также предоставляет инструменты для проведения сканирований защищаемых кластеров на соответствие стандартам конфигурирования, что повышает уровень безопасности контейнерной инфраструктуры.Достоинства:Архитектура. Благодаря однонаправленным соединениям со стороны ядра системы в сторону агентов защиты обеспечивается соответствие требованиям заказчиков, которые используют «Zero Trust»-модель на уровне сегментов инфраструктуры.Широкая площадь покрытия. CTCS обеспечивает контроль запуска контейнеров не только в рамках оркестратора Kubernetes, но и на отдельных хостах контейнеризации за счёт использования standalone-агентов.Гибкие возможности при работе с API. Весь функционал из веб-интерфейса CTCS также доступен для вызова через API, что позволяет специалистам заказчика решать нетривиальные задачи в рамках своей рабочей деятельности и интегрировать продукт в существующие процессы.Удобство при работе со сканированием образов. Иерархический подход обеспечивает гибкость при выборе области сканирования и повышает прозрачность анализа.Недостатки:Отсутствие возможности встраивания в процесс сборки (CI/CD) (планируется к реализации в первом квартале 2026 года).Отсутствие данных по ресурсам Kubernetes (Workloads, RBAC, Custom Resources, Feature Gates): планируется в 4-м квартале 2025 – 1-м квартале 2026).Отсутствие настройки гибкого разграничения прав доступа пользователей в интерфейс системы (реализация запланирована на первый квартал 2026).Отсутствие отчётности по результатам работы с системой (планируется в первом квартале 2026).Реклама, 18+. ООО «Кросстех Солюшнс Групп» ИНН 7722687219ERID: 2VfnxvVGwXfЧитать далее
    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      нет
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      И ещё это: https://www.comss.ru/page.php?id=18330 Это и на работе Образов с Live CD может сказаться ?
×