Безопасный удаленный доступ и SD-WAN
31.03.2021
Статьи

Представляем вашему вниманию выступление компании Код Безопасности с конференции Ассоциации ЕВРААС "Безопасность информационных технологий - современные вызовы".
Презентацию с выступления вы можете скачать в конце статьи.
Первое направление - комплексное решение по обеспечению удаленного доступа сотрудников организации к корпоративным ресурсам.
Код Безопасности предложила участникам рынка два решения:
- live usb flash - технологический стек нескольких продуктов на базе usb-носителя Рутокен ЭЦП.
- ПАК Терминал. Тонкий клиент от компании Код Безопасности в защищённом исполнении.
В основе доверенного канала передачи данных в обоих решениях лежит Континент-АП - программный vpn-клиент, обеспечивающий защиту передаваемого трафика по ГОСТ. Программный продукт с usb-накопителя или в тонком клиенте поднимает защищённый vpn-туннель до периметра организации. При этом в самом периметре организации должно быть предустановлено криптографическое ядро на базе АПКШ "Континент" соответствующей производительности.
Что же до usb-носителя, то им стал Рутокен ЭЦП от компании Актив, на котором хранится загрузочная ОС (ею может быть практически любая ОС на базе Linux из реестра отечественного ПО), пользовательские сертификаты и rdp/vdi-клиент для организации соединения с виртуальной машиной или удаленным рабочим столом сотрудника. Комплексное решение полностью обеспечивает защищённый удаленный доступ к корпоративным ресурсам.
ПАК Терминал - это уже более инфраструктурное решение, сочетающее в себе в качестве носителя информации другой форм-фактор - тонкий клиент. У этого решения есть ряд своих плюсов. Во-первых это дополнительные порты подключения монитора, клавиатуры, мыши, периферийных устройств. В отличие от usb-носителя, это всё же более полноценный компьютер. Во-вторых это наличие дополнительных средств защиты информации, таких как Secret Net LSP и ПАК Соболь- благодаря этим наложенным СЗИ этот комплекс может быть аттестован как АРМ ГИС или ИСПДн вплоть до первого класса.
Вторым решением, которое будет выведено на российский рынок Кодом Безопасности - решение класса SD-WAN.
Данный класс решений набирает обороты на западе, но у нас это не популярное решение в виду как незрелости технологий, так и проблем с регуляторикой, свойственной российским организациям и предприятиям. Мало выстроить каналы между филиалами, необходимо зачастую применять криптографические средства защиты каналов передачи данных, которые обязаны шифровать информацию в соответствии с требованиями ФСБ. Отечественные криптографические алгоритмы достаточно специфичны и решения класса SD-WAN их попросту не понимают.
Нашей задачей стало сопряжение перспективной сетевой технологии и наших наработок в области криптографии. Результатом данной синергии стало оконечное устройство Континент SD-WAN - логически единое устройство, сочетающее в себе как криптографические модули нашего производства, так и стек сетевых технологий, направленный на анализ поступающего трафика и перераспределения его на те каналы, которые менее перегружены или не защищены. Мы добились того, что необходимо производителям решений класса SD-WAN - маркировки классов трафика в зашифрованном виде. И не просто в зашифрованном, а зашифрованном по ГОСТ89 трафике.
Алгоритм вышел простым. Континент принимает трафик, шифрует его в соответствии с ГОСТ89, маркирует пакеты трафика и передаёт его дальше, в оборудование класса SD-WAN. На основе аналитики по загруженности каналов и их работоспособности, сетевые специалисты принимают решение по перераспределению видов или классов трафика с одного канала на другой.
Это комплексное решение позволяет более гибко подойти в вопросу загруженности основных и резервных каналов передачи данных, а также снизить стоимость MPLS-каналов путём уменьшения объема передаваемых данных по ним.