Как организовать защищенный удаленный доступ

В настоящее время многие НПА ( субъекты КИИ (187-ФЗ), Госы (149-ФЗ), операторы ПДн (152-ФЗ), Финсектор (ЕБС, ГОСТ Р 57580.1-2017, 382-П), организации, переходящие на удаленку) регулируют вопросы защиты передаваемой по незащищенным каналам связи информации, рекомендуя или обязывая использовать в том числе при удаленном доступе сертифицированные ФСБ России средства криптографической защиты информации. Кроме этого, есть реальная бизнес-потребность в защите удаленного доступа особенно с учетом текущей ситуации в стране и мире и массового перехода сотрудников большинства компаний на удаленный режим работы.

Удаленный доступ условно можно разделить на два больших блока: доступ к веб-сайтам (публичным и внутренним) и другим веб-ресурсам, а также VPN-доступ к произвольным внутренним ресурсам организации.

КриптоПро NGate – это универсальное высокопроизводительное средство криптографической защиты сетевого трафика, позволяющее реализовать оба варианта защищенного доступа и объединяющее в себе функционал TLS-сервера доступа к веб-сайтам и другим веб-ресурсам и VPN-сервера.

NGate обладает широкими возможностями по управлению доступом удалённых пользователей как с обеспечением строгой многофакторной аутентификации, так и прозрачно, обеспечивая при этом гибкое разграничение прав доступа к ресурсам. КриптоПро NGate (далее – NGate) реализует российские криптографические алгоритмы, сертифицирован по требованиям к СКЗИ, имеет сертификаты ФСБ России по классам КС1, КС2 и КС3 и может использоваться для криптографической защиты конфиденциальной информации, в том числе персональных данных, в соответствии с требованиями законодательства Российской Федерации по информационной безопасности.

Кроме этого NGate обеспечивает снятие нагрузки по обработке TLS-соединений с веб-серверов, позволяя им сосредоточиться на выполнении своих основных задач, а также исключает необходимость установки на каждом веб-сервере отдельного СКЗИ и проведения исследований по оценке влияния программного обеспечения веб-серверов на СКЗИ.

NGate может быть особенно полезен следующим типам организаций для обеспечения защиты передаваемой информации и удаленного доступа в соответствии с требованиями законодательства:
• Субъекты критической информационной инфраструктуры;
• Государственные и муниципальные органы власти и подведомственные им организации;
• Операторы персональных данных;
• Банки и другие организации финансового сектора;
• Иные организации, которым необходимо обеспечить защиту передаваемой информации и удаленного доступа.

КриптоПро NGate может работать в двух режимах.

Режим TLS-сервера используется для безопасного подключения к веб-сайтам и другим веб-ресурсам и снятия нагрузки по обработке TLS-соединений с веб-серверов.
В данном режиме NGate может использоваться для обеспечения безопасного доступа к государственным порталам, сайтам организаций, электронных торговых площадок и ДБО, а также в системах ВКС, телемедицины и др., предоставляющих доступ пользователей через веб-браузер. При этом доступ к веб-ресурсам возможен как напрямую без аутентификации, так и с аутентификацией через централизованной веб-портал, входящий в состав продукта.
При этом одновременно поддерживаются как отечественные, так и зарубежные криптографические алгоритмы, за счёт чего возможно обеспечение постепенного и бесшовного перевода пользователей на использование отечественных криптографических алгоритмов (TLS с ГОСТ) при доступе к веб-сайтам организации.

В феврале 2021 года доступ к порталу Госуслуг для всех пользователей портала стал возможен также по протоколу TLS с ГОСТ. Для подключения по ГОСТ достаточно установить СКЗИ, например, КриптоПро CSP, и использовать для доступа один из следующих браузеров: Спутник, Яндекс, Internet Explorer, Chromium GOST. При этом доступ по ГОСТ будет осуществлен автоматически, в этом можно убедиться, открыв сертификат сервера, предварительно щелкнув левой кнопкой мышки на значке замка в адресной строке браузера. Важно отметить, что доступ с использованием зарубежных алгоритмов в настоящее время также поддерживается.

В дополнение к традиционным методам доступа, которые требуют установки VPN-клиента на удаленном устройстве, NGate обеспечивает возможность подключаться к внутренним ресурсам организации в том числе с использованием веб-браузеров, поддерживающих протокол TLS с ГОСТ. Это может быть особенно полезно в том случае, когда пользователям необходимо предоставить доступ к строго ограниченным ресурсам. Таким образом, значительно расширяются возможности и варианты управления доступом к ресурсам организации, а также появляются возможности наиболее гибко обеспечивать удалённый доступ различным категориям пользователей с разными уровнями доверия как к самим пользователям, так и к устройствам, с которых осуществляется удаленный доступ.

В отличие от доступа по протоколу IPsec и другим протоколам уровня сети, которые обеспечивают доступ к ресурсам на уровне IP (подсеть или отдельный компьютер), с использованием портального доступа можно обеспечить более гибкое и безопасное разграничение доступа по протоколу TLS (SSL), ограничивая доступ пользователя в корпоративную сеть только определенными веб-приложениями.
Таким образом, режим сервера портального доступа может использоваться для организации персонального аутентифицированного доступа пользователей с использованием браузера к опубликованным на портале NGate ресурсам.

В процессе предоставления доступа проводится процедура аутентификации, после прохождения которой пользователь попадает на веб-портал, персонализированный в соответствии с ролью пользователя. При этом, на портале отображается список веб-ресурсов, доступ к которым разрешен пользователю в соответствии с корпоративными политиками безопасности. Список опубликованных ресурсов может быть произвольным, включая внутренние веб-сайты, порталы, консоли управления информационными системами и различные клиент-серверные приложения, доступ к которым может быть осуществлен через браузер.

Как правило, в решениях, используемых для удаленного доступа с использованием протокола TLS (SSL), отсутствует возможность обеспечивать доступ сотрудникам компании так же, как и при использовании протокола IPsec, когда можно подключать конкретного сотрудника к сети организации.
С использованием динамического VPN-туннеля шлюза NGate обеспечивается динамическое туннелирование – доступ клиентской машины к удаленной сети по любым протоколам и портам внутри туннеля без ограничения количества одновременно подключаемых приложений.
Таким образом, режим VPN-сервера используется для предоставления пользователям доступа к произвольным ресурсам корпоративной сети с помощью VPN-клиента, поддерживающего все популярные платформы. При этом разграничение доступа возможно на уровне подсетей, в том числе виртуальных (VLAN). При реализации VPN-доступа, также, как и в других режимах, возможно использование любых поддерживаемых методов аутентификации.

Совместное использование NGate c российской системой ВКС TrueConf Server и другими подобными системами позволяет ИТ-специалистам, в том числе компаний-интеграторов, строить защищенные корпоративные сети ВКС для удаленного взаимодействия сотрудников с соблюдением требований законодательства Российской Федерации по информационной безопасности.

Совместное использование NGate с различными платформами Телемедицины позволяет обеспечить надежную защиту персональных данных, передаваемых в процессе удаленного взаимодействия врачей и пациентов, с соблюдением требований законодательства Российской Федерации по информационной безопасности.

NGate входит в состав типовых решений Ростелекома, ЦФТ и IDSystems по обеспечению безопасности Единой биометрической системы (ЕБС), предоставляя возможность обеспечения криптографической защиты передаваемой информации на этапах сбора биометрических данных и удаленной идентификации пользователей при получении ими удаленных услуг.

NGate позволяет обеспечить защищенную работу на произвольном, в том числе на недоверенном ПК, а также защищенный удаленный доступ к ресурсам организации с такого ПК. Для этой цели NGate используется совместно с Рутокен ЭЦП 2.0 Flash, во Flash память которого устанавливается операционная система и VPN-клиент NGate. При работе данного решения пользователь подключает Рутокен ЭЦП 2.0 Flash к произвольному ПК и выбирает загрузку с USB-токена. В результате загружается ОС, которая гарантированно свободна от вирусов и не взаимодействует с файловой системой ПК. Для повышения уровня защищенности при этом применяется многофакторная аутентификация. При этом сотрудник может работать со своими документами локально, используя входящее в состав офисное ПО и сохраняя их в защищенном разделе флеш-памяти, а также может обращаться к корпоративным ресурсам, используя защищенное VPN-соединение между VPN-клиентом и VPN-шлюзом NGate.

NGate предоставляет возможность реализовать защищенный удаленный доступ не только с классических стационарных и мобильных устройств, но и с различных специализированных аппаратных платформ, таких как:
• промышленные планшеты MIG T10 и MIG T8;
• уникальный планшет ПКЗ 2020, позволяющий обеспечить уровень защищённости КС3;
• тонкие клиенты Dell Wyse и ТОНК;
• аппаратные платформы Getac (ноутбуки, планшетные промышленные компьютеры и мобильные устройства), разработанные для применения в жестких условиях эксплуатации.

Соответствие требованиям регуляторов и ГОСТ. Компоненты решения сертифицированы ФСБ России по классам КС1, КС2, КС3. При этом для классов КС2 и КС3 не требуется выполнение отдельных настроек, приобретение и конфигурирование электронных замков и прочих дополнительных мер защиты, все необходимое уже включено в аппаратные платформы решения.

Унификация доступа к ресурсам, в том числе с мобильных устройств. Поддержка широкого функционала с возможностью подключения как с использованием браузера, так и с использованием VPN-клиента, а также поддержка большинства клиентских операционных систем, в том числе мобильных (в отличие от других решений на рынке), позволяет унифицировать доступ пользователей с разнородных типов устройств и исключает необходимость приобретения и сопровождения нескольких отдельных продуктов.

VPN-клиентом поддерживаются следующие операционные системы:
• Microsoft Windows 7/8/8.1/10;
• MacOS X 10.10/10.11/10.12/10.13/10.14/10.15;
• Linux (RHEL, CentOS, Debian, Ubuntu, ROSA, Astra, ALTLinux и другие);
• iOS;
• Android.

Широкий набор поддерживаемых способов и средств аутентификации. NGate поддерживает следующие способы аутентификации пользователя с возможностью их комбинирования и обеспечения многофакторной аутентификации:
• без аутентификации (используется в режиме прозрачного доступа);
• аутентификация по логину и паролю (MS Active Directory);
• аутентификация с использованием сертификата (простая проверка на валидность); аутентификация по полям: Organization, Organizational Unit, Enhanced Key Usage);
• аутентификация по UPN в MS Active Directory;
• аутентификация с использованием сертификата в MS AD/LDAP;
• различные методы многофакторной аутентификация, в т.ч. по одноразовым паролям, при интеграции со стандартными RADIUS-серверами.

NGate может одновременно интегрироваться с большим количеством различных центров сертификации для обеспечения доступа различных групп пользователей по доверенным сертификатам. В качестве ключевых носителей поддерживаются различные токены и смарт-карты Aladdin, Рутокен, Esmart и др., в том числе с использованием российской криптографии и сертификатов, созданных в соответствии с современными ГОСТ Р 34.11-2012, ГОСТ Р 34.10-2012.

Низкие требования к аппаратной платформе. Программные компоненты NGate существенно оптимизированы на этапе разработки, предоставляя максимальную на рынке производительность и предъявляя относительно невысокие требования к аппаратной платформе как для шлюза, так и для удаленного пользователя.

Масштабируемость. NGate гибко масштабируется и может применяться в различных сценариях. Шлюз обеспечивает возможность увеличения пропускной способности за счет объединения аппаратных мощностей в кластерную конфигурацию. Решение поддерживает работу в схеме высокопроизводительного кластера (до 32 узлов) с балансировкой нагрузки с полной синхронизацией сессий. При этом выход из строя какого-либо узла кластера не приводит к разрыву соединений, поскольку данные о сессии синхронизируются между устройствами балансировщиком и соединение перераспределяется на свободные узлы кластера.

Совместимость. Со стороны решения обеспечивается совместимость с различными продуктами, реализующими протокол TLS (SSL) на российском рынке в соответствии с методическими рекомендациями технического комитета по стандартизации ТК 26 (Криптографическая защита информации).

Высокая производительность, поддержка аппаратной и виртуальной платформ. NGate поставляется в виде программного обеспечения для использования в различных виртуальных средах, с обеспечением уровня защищённости класса КС1, а также в виде программно-аппаратного исполнения, представляющего собой специализированную IBM PC-совместимую платформу из имеющейся линейки аппаратных платформ с оптимальной производительностью с предустановленным ПО NGate и обеспечением уровня защищённости до класса КС3 включительно. При этом обеспечивается следующая максимальная производительность (средствами аппаратной платформы NGate 3000):

Пропускная способность в режиме VPN-сервера c обеспечением аутентификации – до 10 Гбит/с;
Поддержка одновременных аутентифицированных соединений - до 45 000;
Возможность обработки до 12 000 новых соединений в секунду.
Наличие экспортного варианта. На VPN-клиент NGate получена соответствующая нотификация ФСБ России, позволяющая экспортировать его за пределы Российской Федерации.