Мы провели сравнение всех представленных на российском рынке TLS-криптошлюзов отечественного производства, имеющих сертификаты безопасности ФСБ и ФСТЭК России. В сравнении участвовали ViPNet TLS Gateway, «КриптоПро NGate», «Континент TLS», а также «С-Терра TLS», который должен появиться на рынке в ближайшем будущем. Продукты были оценены по 90 ключевым критериям. Результаты сравнения помогут заказчикам при выборе решения для реализации защищённого доступа к корпоративным ресурсам по протоколу TLS.
- Введение
- Методология сравнения TLS-криптошлюзов
- Сравнение TLS-криптошлюзов
- 3.1. Общие сведения
- 3.2. Архитерктура TLS-криптошлюза
- 3.3. Производительность
- 3.4. Аутентификация пользователей
- 3.5. Работа с криптоключами
- 3.6. Установка соединения
- 3.7. Возможности TLS-клиента
- 3.8. Режимы работы
- 3.9. Мониторинг и работа с журналами
- 3.10. Отказоустойчивость и масштабирование
- 3.11. Управление TLS-криптошлюзом
- 3.12. Управление доступом удаленных пользователей
- 3.13. Дополнительные функции
- Выводы
Введение
В настоящее время идёт всеобщее развитие IT-инфраструктуры и автоматизации рабочих мест. У предприятий появляется потребность в надёжной и безопасной связи центрального офиса с удалёнными компьютерами сотрудников. Возникает необходимость защиты соединений для передачи конфиденциальной информации. Кроме того, ряд нормативных актов РФ в области информационной безопасности обязывает обеспечивать защищённый обмен сведениями определённого рода. В частности, если речь идёт о персональных данных, то основанный на одноимённом Федеральном законе №152-ФЗ приказ ФСТЭК России №21 обязывает охранять их от раскрытия, модификации и навязывания — ввода ложной информации — при передаче (или подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе — беспроводным. Схожие требования прописаны и в приказе ФСТЭК России №17, который касается обеспечения безопасности данных, содержащихся в государственных информационных системах. Также о защите каналов связи и об организации защищённого удалённого доступа говорится в нормативных актах, регламентирующих оборону критической информационной инфраструктуры, в частности — в приказах ФСТЭК России №239 и №31.
Чаще всего для организации защищённого канала связи создают виртуальную частную сеть (VPN) с использованием криптоалгоритмов ГОСТ. Для этого применяются криптошлюзы и клиентское программное обеспечение. Законодателями мод в этой нише стали такие разработчики, как «ИнфоТеКС», «Код Безопасности» и «С-Терра». Однако подобное решение представляет собой весьма тяжёлую конструкцию, поскольку необходимо не только использовать криптошлюз, но и устанавливать VPN-клиенты на все рабочие станции, с которых требуется производить подключение. Поэтому такой вариант больше подходит для защиты каналов связи между подразделениями компании.
В то же время решения на базе TLS-криптошлюзов позволяют создавать защищённые соединения и без VPN-клиентов, с использованием одного лишь браузера и установленных сертификатов. Это даёт возможность получать доступ к корпоративным ресурсам даже со смартфонов и планшетов. Реализация данного решения требует небольшого количества времени.
Методология сравнения TLS-криптошлюзов
Для того чтобы можно было досконально рассмотреть все возможности сравниваемых решений, были выбраны критерии, которые позволили бы составить полноценное представление о каждом из них. В общей сложности мы выделили 90 критериев сравнения, сгруппировав их в следующие категории:
- Общие сведения.
- Архитерктура TLS-криптошлюза.
- Производительность.
- Аутентификация пользователей.
- Работа с криптоключами.
- Установка соединения.
- Возможности TLS-клиента.
- Режимы работы.
- Мониторинг и работа с журналами.
- Отказоустойчивость и масштабирование.
- Управление TLS-криптошлюзом.
- Управление доступом удалённых пользователей.
- Дополнительные функции.
Для сопоставительного исследования были выбраны четыре продукта от отечественных производителей, имеющие сертификаты безопасности либо ожидающие их получения в ближайшее время. На данный момент они составляют исчерпывающий список доступных на рынке представителей решений на базе TLS-криптошлюзов.
Рассматриваемые продукты:
- «КриптоПро NGate» (ООО «КРИПТО-ПРО»);
- ViPNet TLS Gateway (ОАО «ИнфоТеКС»);
- «Континент TLS» (ООО «Код Безопасности»);
- «С-Терра TLS» (ООО «С-Терра СиЭсПи»).
Сравнение TLS-криптошлюзов
Общие сведения
| Критерий сравнения | КриптоПро NGate | ViPNet TLS Gateway | Континент TLS | С-Терра TLS | |
| Компания-вендор | ООО «КРИПТО-ПРО» | ОАО «ИнфоТеКС» | ООО «Код Безопасности» | ООО «С-Терра СиЭсПи» | |
| Целевой сегмент | Крупный и средний бизнес, государственный сектор | Крупный и средний бизнес, государственный сектор | Крупный и средний бизнес, государственный сектор | Крупный и средний бизнес, государственный сектор | |
| Штаб-квартира | Россия (Москва) | Россия (Москва) | Россия (Москва) | Россия (Москва) | |
| Официальный сайт вендора | cryptopro.ru | infotecs.ru | securitycode.ru | s-terra.ru | |
| Наличие в реестре отечественного ПО | Да | Да | Да | Нет, планируется | |
| Сертификаты соответствия | Сертификаты ФСБ России №СФ/124-3631 до 01.01.2022, класс КС3; №СФ/124-3630 до 01.01.2022, класс КС2; №СФ/124-3630 до 01.01.2022, класс КС1. Сертифицированы как серверная, так и клиентская части (в т. ч. для iOS и Android) | Сертификаты ФСБ России №СФ/124-3676 до 12.04.2022, классы КС1 и КС3, для шлюза; №СФ/124-3411 до 20.06.2021, классы КС1, КС2, КС3, для ViPNet PKI Client (Windows); №СФ/124-3576 до 25.12.2021, класс КС3, для ViPNet PKI Client (Linux) | Сертификаты ФСБ России №СФ/124-3549 до 10.06.2020, классы КС1 и КС2, для «Континент TLS Клиент»; №СФ/124-3548 до 10.06.2020, класс КС2, для «Континент TLS Сервер»; сертификат ФСТЭК России №3286 по 4 уровню контроля НДВ для «Континент TLS Сервер» | Планируются сертификаты ФСБ России, классы КС1 и КС2, для шлюза и клиента (конец 2020 года) | |
| Модельный ряд | NGate ЦУС 100, NGate 300, NGate 600, NGate 1000, NGate 1500, NGate 2000, NGate 3000 | TLS VA, TLS 500, TLS 1000, TLS 5000 | IPC-50, IPC-500, IPC-1000, IPC-3000 | TLS-100, TLS-2000, TLS-3000, TLS-7000, TLS-V | |
| Сравниваемые версии | 1.0 | 1.5 | 2.1 | 4.3 | |
| Языки интерфейса | Русский и английский, возможно добавление любого языка | Русский | Русский | Русский | |
| Принцип лицензирования | ПАК или виртуальное исполнение. Лицензия на количество одновременных подключений. Лицензия на ЦУС | ПАК или виртуальное исполнение. Лицензия на количество одновременных подключений | ПАК. Лицензия на количество одновременных подключений | ПАК или виртуальное исполнение. Лицензия на количество одновременных подключений | |
| Техническая поддержка производителя | 5 видов технической поддержки (ПО — базовая, расширенная, круглосуточная; АО — базовое и расширенное обслуживание) | 5 видов технической поддержки | 4 вида технической поддержки | 2 вида технической поддержки (первый год стандартного уровня — бесплатно) | |
| Гарантия производителя | Техническая поддержка гарантирует замену оборудования в любой год эксплуатации вплоть до 5 лет | 1 год | 1 год, расширенная — 2 года и 7 дней | 3 года на аппаратную платформу | |
Архитерктура TLS-криптошлюза
| Критерий сравнения | КриптоПро NGate | ViPNet TLS Gateway | Континент TLS | С-Терра TLS | |
| Вид поставки | Программно-аппаратный комплекс, виртуальная машина | Программно-аппаратный комплекс, виртуальная машина | Программно-аппаратный комплекс | Программно-аппаратный комплекс, виртуальная машина | |
| Архитектура системы | Серверная и клиентская части, центр управления сетью | Серверная и клиентская части | Серверная и клиентская части | Серверная и клиентская части | |
| Совместимость со средами виртуализации | Microsoft Hyper-V 8 / 8.1 / 10 / 2008 / 2008R2 / 2012 / 2012R2 / 2016, VMware Workstation 11—15, VMware vSphere ESXi 5.5—6.7, Virtual Box 3.2—5.2, Xen 7.1—7.6 | Oracle VM VirtualBox 5.0 / 5.1 / 5.2, VMware vSphere ESXi 6.0 / 6.5 / 6.7, VMware Workstation 14 / 15, KVM | Совместим только тестовый дистрибутив | VMware ESXi, Workstation, Citrix XenServer, Microsoft Hyper-V, KVM | |
| Сетевые интерфейсы младшей модели | Модель NGate 300: 4x10/100/1000BASE-T RJ45 | Модель TLS 500: 4x10/100/1000BASE-T RJ45 | Модель IPC-50: 4х10/100/1000 BASE-T RJ45, 1x1GB SFP | Модель «С-Терра TLS 100»: 3х10/100/1000BASE-T RJ45 | |
| Сетевые интерфейсы старшей модели | Модель NGate 3000: 4х10/100/1000BASE-T RJ45, 4x10GB SFP+ | Модель TLS 5000: 4x10/100/1000BASE-T RJ45, 4x10G SFP+ | Модель IPC-3000: 1х10/100/1000BASE-T RJ45, 4x10GB SFP+ | Модель «С-Терра TLS 7000»: 4x10/100/1000BASE-T RJ45, 4x10G SFP+ | |
Производительность
| Критерий сравнения | КриптоПро NGate | ViPNet TLS Gateway | Континент TLS | С-Терра TLS | |
| Производительность в режиме HTTPS-прокси младшей модели, Мбит/с |
Модель NGate 300: 500 | Модель TLS 500: до 300 | Модель IPC-50: до 890 | В процессе тестирования | |
| Производительность в режиме HTTPS-прокси старшей модели, Мбит/с |
Модель NGate 3000: до 16000 | Модель TLS 5000: до 3000 | Модель IPC-3000: до 4000 (без применения LACP) | В процессе тестирования | |
| Количество одновременных аутентифицированных соединений младшей модели, штук | Модель NGate 300: до 500 | Модель TLS 500: до 4700 | Модель IPC-50: до 4000 | В процессе тестирования | |
| Количество одновременных аутентифицированных соединений старшей модели, штук | Модель NGate 3000: до 45000 | Модель TLS 5000: до 44000 |
Модель IPC-3000: до 45000 | В процессе тестирования | |
Аутентификация пользователей
| Критерий сравнения | КриптоПро NGate 1.0 | ViPNet TLS Gateway 1.5 | Континент TLS 2.1 | С-Терра TLS | |
| Аутентификация удалённых пользователей и администратора на основе технологии открытых ключей (X.509 v.3) | Да | Да | Да | Да | |
| Разграничение доступа к защищаемым ресурсам на основе полей сертификата, вплоть до OU (Organization Unit) | Да | Да | Да | Да | |
| Аутентификация пользователей в Active Directory с помощью протокола LDAP с использованием сертификатов, записанных в LDAP (MS AD) | Да | Да | Да | Нет | |
| Аутентификация пользователей в Active Directory с помощью протокола LDAP с использованием логина и пароля | Да | Да | Да | Нет | |
| Аутентификация пользователей по локальной базе данных | Да | Нет, в разработке | Да | Да | |
| Возможность разрешения, запрещения, ограничения использования веб-приложений клиентом на основе политик | Да | Да | Да | Нет | |
| Проверка сертификатов ключей по спискам отозванных сертификатов (CRL) | Да | Да | Да | Да | |
| Поддержка аутентификации по UPN-сертификату | Да | Нет, в разработке | Да | Нет | |
| Перечень поддерживаемых идентификаторов | «Рутокен», eToken, JaCarta, ESMART | ESMART Token, Infotecs Software Token, aKey, ViPNet HSM, JaCarta, «Рутокен», «Рутокен S», R301 Foros, SafeNet eToken (eToken Aladdin) | USB флеш-накопители / USB-ключи: «Рутокен Lite», «Рутокен S», «Рутокен ЭЦП 2.0 Flash», JaCarta PKI, JaCarta ГОСТ, JaCarta 2 ГОСТ, JaCarta PKI / ГОСТ, eToken PRO (Java), Esmart USB Token, Esmart USB Token ГОСТ; смарт-карты: «Рутокен ЭЦП», «Рутокен Lite», JaCarta PKI, JaCarta ГОСТ, eToken PRO (Java), eToken PRO, Esmart, Esmart ГОСТ; идентификаторы: DS1995, DS1996 | eToken Java 72К, JaCarta PKI, JaCarta PKI / ГОСТ, «Рутокен Lite», «Рутокен ЭЦП», «Рутокен ЭЦП 2.0» | |
| Режим работы без аутентификации пользователя | Да, в режиме TLS Offload | Да, в режиме одностороннего TLS | Да | Да, в режиме одностороннего TLS | |
Работа с криптоключами
| Критерий сравнения | КриптоПро NGate | ViPNet TLS Gateway | Континент TLS | С-Терра TLS | |
| Поддержка отечественных криптографических алгоритмов (ГОСТ) | ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012, ГОСТ 34.11-2012, ГОСТ 34.11-94, ГОСТ 28147-89, ГОСТ 34.12-2018 (ГОСТ Р 34.12-2015), ГОСТ 34.13-2018 (ГОСТ Р 34.13-2015); |
ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012, ГОСТ 34.11-2012, ГОСТ 34.11-94, ГОСТ 28147-89, ГОСТ 34.12-2018 (ГОСТ Р 34.12-2015), ГОСТ 34.13-2018 (ГОСТ Р 34.13-2015) |
ГОСТ 28147–89, ГОСТ 34.11–2012 (ГОСТ Р 34.11-94), ГОСТ Р 34.10–2012 (ГОСТ Р 34.10-2001) |
ГОСТ Р 34.10-2012, ГОСТ 34.11-2012, ГОСТ Р 34.12-2015, ГОСТ Р 34.13-2015 |
|
| Поддержка зарубежных криптографических алгоритмов | RSA, ECDSA, AES, AES-GCM | RSA, ECDSA, AES | Нет | RSA, AES, IDEA, Camellia, SEED | |
| Поддерживаемые версии TLS | 1.0, 1.1, 1.2 (согласно МР ТК-26), в разработке — 1.3 | 1.0, 1.1, 1.2 (согласно МР ТК-26), в разработке — 1.3 | 1.0, 1.2 (согласно МР ТК-26), в разработке — 1.3 | 1.2 (согласно МР ТК-26) | |
| Форматы поддерживаемых сертификатов и контейнеров | PEM, DER, PKCS7, PFX | PKCS7, PEM, DER, PFX | DER, PEM, PKCS7 | PEM, DER, PKCS7 | |
| Генерация на TLS-криптошлюзе закрытого ключа и формирование на его основе открытого ключа с созданием запроса на получение сертификата стороннего удостоверяющего центра (с использованием отечественных криптоалгоритмов) | Да | Да | Да | Да | |
| Генерация на TLS-криптошлюзе закрытого ключа и формирование на его основе открытого ключа с созданием запроса на получение сертификата стороннего удостоверяющего центра (с использованием зарубежных криптоалгоритмов) | Да | Да | Нет | Да | |
| Генерация закрытого ключа и формирование на его основе открытого ключа с созданием запроса на получение сертификата стороннего удостоверяющего центра на TLS-клиенте (с использованием отечественных криптоалгоритмов) | Да | Да | Да | Нет | |
| Генерация закрытого ключа и формирование на его основе открытого ключа с созданием запроса на получение сертификата стороннего удостоверяющего центра на TLS-клиенте (с использованием зарубежных криптоалгоритмов) | Да | Да | Нет | Нет | |
| Поддержка списка аккредитованных удостоверяющих центров (TSL) | Нет | Да | Да | Нет | |
Установка соединения
| Критерий сравнения | КриптоПро NGate | ViPNet TLS Gateway | Континент TLS | С-Терра TLS | |
| Поддержка NTP (Network Time Protocol) | Да | Да | Да | Да | |
| Поддержка расширения протокола TLS – Server Name Indication (SNI) | Да | Да | Да | Да | |
| Принудительная аутентификация пользователя через портал | Да | Да | Да | Нет | |
| Возможность работы c динамическими VPN-туннелями | Да | Нет, в разработке | Нет | Нет | |
| Возможность модификации HTTP-заголовков к защищаемым ресурсам по конфигурируемым правилам | Да | Да | Да | Да | |
| Возможность модификации динамически изменяемых HTTP-заголовков к защищаемым ресурсам по конфигурируемым правилам | Да | Нет, в разработке | Да | Нет | |
| Очистка сессионной информации при разрыве соединения | Да | Да | Да | Да | |
Возможности TLS-клиента
| Критерий сравнения | КриптоПро NGate | ViPNet TLS Gateway | Континент TLS | С-Терра TLS | |
| Перечень поддерживаемых ОС для собственных TLS-клиентов | Microsoft Windows | 7 / 8 / 8.1 / 10 / Server 2003 / Server 2008 / Server 2008 R2 / Server 2012 / Server 2012R2 / Server 2016 | 7 / 8.1 / 10 / Server 2008R2 / Server 2012 / Server 2012R2 / Server 2016 / Server 2019 | 7 / 8.1 / 10; серверные версии, начиная с Server 2012, будут доступны в ближайшем обновлении (версия 2.2) | 10 |
| Linux | CentOS 7, Red OS, Fedora, Oracle Linux 7, SUSE Linux Enterprise Server 12, ОpenSUSE 13.2, RHEL 7, Ubuntu 14 / 16 / 17 / 18, Linux Mint 13 / 14 / 15 / 16 / 17 / 18, Debian 7 / 8 / 9, Astra Linux Special Edition, Common Edition, ALT Linux 7, «Альт 8 СП», ROSA 2011, РОСА «ХРОМ» / «КОБАЛЬТ» / «НИКЕЛЬ», ThinLinux | «Альт 8 СП "Рабочая станция"», «Альт Линукс СПТ 7.0», «РЕД ОС 7.1 "МУРОМ"», Astra Linux Common Edition 2.12, Astra Linux Special Edition 1.5 / 1.6, Debian 7.11 / 8.11 / 9.8, Ubuntu 14.04 LTS / 16.04 LTS, Ubuntu Server 16.04 LTS |
Нет, будет доступно в ближайшем обновлении (версия 2.2) | Debian 9 / 10, Astra Linux Special Edition 1.6 | |
| Apple macOS | Mac OS X 10.9 / 10.10 / 10.11 / 10.12 / 10.13 / 10.14 | Mac OS X 10.10 и выше | Нет | Нет | |
| Мобильные ОС | Android, iOS | «Аврора» (встроенными средствами самой ОС); в разработке: Android, iOS | Нет, в разработке (Android, iOS, «Аврора») | Android, iOS | |
| Поддерживаемые браузеры | Любые соблюдающие спецификацию TLS | Любые соблюдающие спецификацию TLS | Любые соблюдающие спецификацию TLS | «Спутник», Chromium c поддержкой ГОСТ | |
| Собственный TLS-клиент | Да | Да | Да | Да | |
| Наличие бесплатного TLS-клиента | Да | Да | Да | Да | |
| Возможность использования защищённых ключевых носителей в клиентском ПО | Да | Да | Да | Да | |
| Поддержка мобильных устройств | Да | Да | Да | Да | |
| Возможность подключения без TLS-клиента | Да | Да, через браузер | Нет | Да, через браузер | |
Режимы работы
| Критерий сравнения | КриптоПро NGate | ViPNet TLS Gateway | Континент TLS | С-Терра TLS | |
| Создание защищённого TLS-туннеля для приложений, использующих TCP/IP-протоколы (с использованием TLS-клиента) | Да | Да | Да | Да | |
| Режим прокси (TLS Offload) | Да | Да | Да | Нет | |
| Режим публикации приложения на портале | Да | Да | Да | Нет | |
| Количество самостоятельных порталов, которые можно создать на шлюзе | Без ограничений | 2 | 1 | Нет | |
| Возможность создания разных самостоятельных порталов на одном и том же порту | Да | Да | Нет | Нет | |
Мониторинг и работа с журналами
| Критерий сравнения | КриптоПро NGate | ViPNet TLS Gateway | Континент TLS | С-Терра TLS | |
| Регистрация событий, связанных с настройкой и функционированием TLS-криптошлюза | Да | Да | Да | Да | |
| Оперативный мониторинг состояния TLS-криптошлюза и оповещение | Да | Да, мониторинг в интерфейсе администратора и оповещение по электронной почте | Да, оповещение по электронной почте | Да, оповещение по электронной почте | |
| Статистика подключений | Да | Да | Да | Да | |
| Возможность экспорта журналов аудита во внешние системы, в том числе в SIEM | Да, через Syslog | Да, через Syslog | Да, через Syslog | Да, через Syslog | |
Отказоустойчивость и масштабирование
| Критерий сравнения | КриптоПро NGate | ViPNet TLS Gateway | Континент TLS | С-Терра TLS | |
| Возможность «холодного» резервирования аппаратной платформы TLS-криптошлюза | Да | Да | Да | Да | |
| Возможность полноценной кластеризации в режиме Active-Active с синхронизацией сессий | Да | Нет, в разработке | Нет | Нет | |
| Возможность масштабирования TLS-криптошлюза посредством подключения в кластер новых нод шлюзов с синхронизацией сессий | Да, до 32 нод | Нет, в разработке | Да, неограниченное линейное масштабирование | Нет | |
| Возможность автоматического перераспределения нагрузки между элементами высокопроизводительного кластера TLS-криптошлюзов с использованием внешнего балансировщика трафика | Да | Да | Да | Да | |
| Возможность бесшовного переключения сессии пользователя без разрыва соединения в случае выхода из строя одного или нескольких узлов кластера | Да | Нет, в разработке | Нет | Нет | |
| Количество узлов в кластере (при использовании синхронизации сессий) | 32 | Нет, в разработке | Нет ограничений | Нет | |
| Резервное копирование и восстановление настроек | Да | Да | Да | Да | |
| Отсутствие ограничения на количество узлов в кластере (без синхронизации сессий) | Да | Да | Да | Да | |
| Поддержка LACP | Да | Да | Да | Да | |
| Наличие второго блока питания | Да (на старших моделях: NGate 1500, NGate 2000, NGate 3000) | Нет, в разработке | Да (на старших моделях: IPC-1000 и IPC-3000) | Да (на старших моделях) | |
Управление TLS-криптошлюзом
| Критерий сравнения | КриптоПро NGate | ViPNet TLS Gateway | Континент TLS | С-Терра TLS | |
| Возможность управления несколькими кластерами шлюзов безопасности из одной системы | Да | Нет, в разработке | Нет | Нет | |
| Поддержка удалённого и локального управления TLS- шлюзом | Да: в случае отдельной инсталляции — локально, в случае распределённой инсталляции — из центра управления сетью | Да | Да | Да | |
| Возможность удалённого управления TLS-криптошлюзом с использованием веб-интерфейса | Да | Да | Да | Да | |
| Возможность удалённого обновления программного обеспечения | Да | Да | Да | Да | |
Управление доступом удалённых пользователей
| Критерий сравнения | КриптоПро NGate | ViPNet TLS Gateway | Континент TLS | С-Терра TLS | |
| Управление доступом пользователей на основе даты и времени | Да | Нет, в разработке | Нет | Нет | |
| Управление доступом пользователей с двухфакторной аутентификацией через Radius | Да | Нет, в разработке | Нет | Нет | |
| Автоматическое разграничение доступа пользователей на основе используемых алгоритмов шифрования | Да | Да | Нет | Нет | |
| Разграничение доступа пользователей к защищаемым подсетям на основе членства в группах доменов | Да | Да | Да, в режиме портала приложений | Нет | |
| Контроль состояния установленных защищённых соединений с удалёнными пользователями с возможностью принудительного завершения сессии пользователя по команде администратора | Да | Да, без возможности принудительного завершения | Да, без возможности принудительного завершения | Нет | |
| Автоматический разрыв активной сессии пользователя по невалидному сертификату на основе полученного CRL | Да | Нет, в разработке | Да, в том числе при отзыве аккредитации издателя сертификата пользователя | Нет | |
Дополнительные функции
| Критерий сравнения | КриптоПро NGate | ViPNet TLS Gateway | Континент TLS | С-Терра TLS | |
| Наличие функции МСЭ | Да, МСЭ FortiGate при интеграции со шлюзом безопасности «Граница» | Нет | Да | Да | |
| Наличие встроенного WAF | Да, WAF Wallarm встроен внутрь шлюза | Нет, только в версии 1.4 и ниже | Сертифицированное взаимодействие с Континент WAF | Нет | |
| Наличие Web API | Нет | Да | Да | Да | |
| Интеграция с другими решениями по информационной безопасности | Да: интеграция со шлюзом безопасности «Граница», разные SIEM, Indeed ID, SafeConnect, Check Point (управление, политики VPN) | Да: SIEM-системы, ViPNet Client, ViPNet Coordinator, ViPNet УЦ, IDPoint | Да: АПКШ «Континент», «Континент 4», Secret Net Studio, «Континент WAF», Kaspersky DDoS Protection, SIEM | Да: интеграция с «С-Терра Шлюз 4.3», «С-Терра СОВ 4.2», SIEM | |
Выводы
На данный момент применение TLS-шифрования является весьма перспективным направлением организации защищённых соединений с использованием отечественных криптоалгоритмов по упрощённой схеме, что, с одной стороны, позволит соблюсти требования российского законодательства в области информационной безопасности, а с другой стороны, поможет организовать удобный доступ пользователей к корпоративным ресурсам с различными схемами аутентификации и широкими возможностями разграничения доступа.
Также большим подспорьем для развития TLS-криптошлюзов станет наращивание защитной функциональности — например, добавление инструментов межсетевого экранирования, средств обнаружения вторжений, брандмауэров веб-приложений (Web Application Firewall) и других подобных модулей, — а также расширение возможностей интеграции с другими элементами системы информационной безопасности и IT-инфраструктуры.
Бушующая в настоящее время пандемия COVID-19 спровоцировала всплеск интереса компаний к различным механизмам, которые позволяли бы перевести сотрудников на удалённую работу, обеспечивая при этом непрерывность функционирования рабочих процессов и в то же время сохраняя требуемую степень безопасности информации. Это говорит о том, что в случае возможного форс-мажора TLS-криптошлюзы смогут предоставить необходимую функциональность для безопасного и безболезненного перехода на дистанционный режим работы с гибким доступом к корпоративным ресурсам компании.
