СКЗИ (средства криптографической защиты информации) являются ключевыми инструментами для обеспечения безопасности данных в современных информационных системах. ФСБ России классифицирует СКЗИ по классам КС1, КС2 и КС3, и каждый из них отвечает за определенный уровень защиты информации в зависимости от степени угроз и важности данных.

Класс защиты КС1: базовая безопасность

СКЗИ класса КС1 предназначены для защиты информации, которая не требует высокой степени конфиденциальности, но нуждается в стандартных мерах защиты от угроз извне. Это могут быть персональные данные, коммерческая информация и любая другая информация, не являющаяся государственной тайной. КС1 фокусируется на предотвращении типичных атак, таких как попытки проникновения извне, внедрение вредоносного ПО и вирусов. Предполагается, что потенциальный нарушитель не имеет физического доступа к аппаратным средствам системы, а атаки происходят преимущественно вне контролируемой зоны.

Класс защиты КС2: усиленная защита для конфиденциальных данных

СКЗИ класса КС2 отвечают за безопасность информации с повышенными требованиями к конфиденциальности и целостности. Помимо защиты от внешних угроз, КС2 учитывает более сложные сценарии атак внутри контролируемой зоны, где нарушитель может попытаться использовать криптоаналитические методы, создавать скрытые каналы передачи данных и применять социально-технические трюки. Такой класс защиты уже включает аппаратно-программный модуль доверенной загрузки (АПМДЗ), контролирующий целостность данных и предотвращающий несанкционированные изменения. Средства КС2 широко применяются в государственных, банковских и коммерческих системах, где требуется надежная защита секретной информации.

Класс защиты КС3: максимальная безопасность

СКЗИ класса КС3 разработаны для защиты наиболее критичной информации, включая государственную тайну с максимальными требованиями по предотвращению утечек данных. Для КС3 характерна надежная аутентификация пользователей, обеспечение конфиденциальности в ходе передачи и обработки информации, а также противодействие даже инсайдерским угрозам, например со стороны администраторов с расширенными доступами. Технически КС3 строится на базе КС2 с добавлением специализированного программного обеспечения, создающего замкнутую программную среду для полного контроля над функционированием и исключения уязвимостей.

Класс защиты КВ: очень высокий уровень, защита от сложных технических атак

Это уровень защиты средств криптографической защиты информации, который обеспечивает высокую степень безопасности от атак злоумышленников, хорошо осведомлённых об устройствах и уязвимостях системы защиты. Проще говоря, это такие средства защиты, которые могут противостоять опытным и технически подкованным хакерам, которые имеют доступ к внутренним данным о средствах защиты и могут пытаться взломать систему, используя глубокий анализ и лабораторные методы.

Важные отличия и рекомендации по выбору

Класс защиты	Основная характеристика	Тип нарушителя (по уровню доступа и знаниям)	Уровень устойчивости к атакам
КС1	Защита от атак из внешней зоны без участия специалистов	Внешний нарушитель, без доступа к системе и спецзнаний	Базовый уровень, защита от простых атак
КС2	Защита от атак с доступом внутри контролируемой зоны	Внутренний нарушитель без специальных прав или знаний	Усиленный уровень, противодействие широкому кругу атак
КС3	Защита при наличии физического доступа к техническим средствам	Внутренний нарушитель с доступом к оборудованию	Высокий уровень, устойчивость к физическому взлому
КВ	Защита от атак с участием специалистов по криптоанализу	Нарушитель с глубоким знанием системы, возможно лабораторное исследование	Очень высокий уровень, защита от сложных технических атак
КА	Защита от атак спецслужб и с полным доступом к системе	Нарушитель с доступом ко всем документам и аппаратной части	Максимальный уровень защиты, чрезвычайно сложный для взлома

Выбор класса СКЗИ должен основываться на уровне критичности информации, а также на оценке возможных источников угроз. Использование более высокого класса, например, КС3, обеспечивает максимальную защиту, но при этом требует больших ресурсов и более сложного управления. В то же время, для многих бизнес-задач оптимальным выбором становятся КС1 или КС2, которые обеспечивают адекватный уровень безопасности при более умеренных затратах.

Таким образом, грамотный подбор класса СКЗИ — это баланс между потребностями информационной системы и ресурсами организации, который напрямую влияет на уровень защиты и предотвращение утечек данных.

В современных условиях цифровизации защиты информации в организациях приобретают особую значимость криптографические средства, такие как криптошлюзы и межсетевые экраны. Они обеспечивают конфиденциальность, целостность и аутентичность передаваемых и обрабатываемых данных, снижают риски несанкционированного доступа и помогают выполнить комплекс требований российского законодательства. В частности, основным правовым каркасом для применения подобных средств выступают такие федеральные законы, как №152-ФЗ «О персональных данных», №149-ФЗ «Об информации, информационных технологиях и о защите информации», а также ряд нормативных актов, регламентирующих криптографическую защиту.

Федеральное законодательство, регулирующее использование криптошлюзов и межсетевых экранов

Закон №152-ФЗ «О персональных данных»

Данный закон содержит требования к операторам персональных данных по защите информации от неправомерного доступа. Строгие нормы безопасности подразумевают внедрение технических средств защиты, включающих криптографические методы и средства, обеспечивающие надежный контроль доступа и сохранность данных. В частности, криптошлюзы создают защищённые каналы связи, а межсетевые экраны реализуют фильтрацию и контроль трафика, защищая внутренние сети от внешних угроз и предотвращая утечки персональных данных.

Закон №149-ФЗ «Об информации, информационных технологиях и защите информации»

Основной закон, регулирующий отношения в сфере информации, включает в себя положения об обязательном использовании сертифицированных средств криптографической защиты информации (СКЗИ) для обеспечения безопасности информационных систем. В этом контексте криптошлюзы и межсетевые экраны выступают важными элементами кибербезопасности, обеспечивая выполнение требований по конфиденциальности, целостности и доступности информации.

Закон №187-ФЗ «О безопасности критической информационной инфраструктуры»

Определяет требования по защите объектов критической информационной инфраструктуры, в том числе обязательность применения современных средств криптографической защиты и технологий контроля доступа для обеспечения безопасности критически важных систем.

Нормативные акты ФСТЭК и ФСБ России

Помимо федеральных законов, применение криптошлюзов и межсетевых экранов регулируется требованиями и сертификатами Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ). Данные ведомства устанавливают стандарты безопасности, критерии сертификации, а также рекомендации по эксплуатации данных технических средств. Они регламентируют использование средств защиты информации для организаций различных уровней и сфер деятельности, в том числе государственных и коммерческих.

Практика соблюдения требований и роль АПКШ «Континент»

Одним из лидирующих на российском рынке решений для построения систем защиты на основе криптошлюзов и межсетевых экранов является аппаратно-программный комплекс шифрования (АПКШ) «Континент». Этот комплекс сочетает в себе возможности VPN-шлюза, межсетевого экрана и маршрутизатора, обладая сертификатами ФСБ и ФСТЭК России, что подтверждает его соответствие требованиям российского законодательства в области информационной безопасности.

Сертификация АПКШ «Континент»

АПКШ «Континент» проходит сертификацию как средство криптографической защиты информации и как межсетевой экран высших классов защищённости. Сертификаты ФСБ РФ подтверждают соответствие требованиям по предотвращению несанкционированного доступа и реализации криптографических алгоритмов, соответствующих национальным стандартам ГОСТ. Сертификаты ФСТЭК РФ обеспечивают признание комплекса как эффективного средства защиты информации и контроля трафика.

Возможности комплекса

• Автоматизация построения защищённых VPN-каналов для организации удалённого и корпоративного доступа.
• Высокий уровень фильтрации сетевого трафика с возможностью реализации сложных политик безопасности.
• Централизованное управление сетевой безопасностью и шифрованием.
• Поддержка современных криптографических алгоритмов и протоколов, рекомендованных российскими стандартами.
• Интеграция с корпоративными информационными системами для выполнения требований федеральных законов по защите информации.

Таким образом, применение АПКШ «Континент» позволяет организациям закрывать требования сразу нескольких федеральных законов. Это дает уверенность в юридической и технической безопасности, снижает расходы на разработку индивидуальных решений и упрощает процесс соответствия нормативам.

Заключение

Российское законодательство в сфере информационной безопасности предъявляет жесткие требования к защите информации, предусматривая обязательное использование средств криптографической защиты и надежных средств контроля доступа. Криптошлюзы и межсетевые экраны — ключевые технические средства, призванные обеспечить защиту информации от угроз и злоупотреблений.

Федеральные законы №152-ФЗ, №149-ФЗ, №187-ФЗ в совокупности формируют юридический фундамент для регулирования этих процессов, а ФСТЭК и ФСБ РФ обеспечивают стандартизацию и контроль качества средств защиты.

Аппаратно-программный комплекс шифрования АПКШ «Континент» благодаря полученным сертификатам и функциональным возможностям является современным, комплексным и проверенным решением, способным в рамках одного продукта закрыть многокомпонентные требования законодательства и гарантировано защитить данные предприятий и государственных учреждений.

Использование «Континента» позволяет организациям не только выполнять законодательные требования, но и строить современную, гибкую и масштабируемую систему информационной безопасности на базе передовых российских технологий.

Криптошлюзы и межсетевые экраны являются ключевыми техническими средствами в обеспечении информационной безопасности в рамках требований Федерального закона №152-ФЗ «О персональных данных». Эти инструменты играют важную роль в защите персональных данных от несанкционированного доступа, обеспечении конфиденциальности, целостности и доступности информации.

Федеральный закон №152-ФЗ и информационная безопасность

Закон №152-ФЗ устанавливает правовые основы обработки персональных данных и требует от организаций, которые работают с такими данными, обеспечения их надежной защиты. В частности, в статье 19 закона прописана обязанность оператора персональных данных принимать технические и организационные меры для защиты данных от неправомерного доступа и иных угроз. При этом одним из основополагающих требований является применение специальных технических средств защиты, включая криптографические методы.

Роль криптошлюзов в защите персональных данных

Криптошлюзы — это специализированные устройства или программно-аппаратные комплексы, обеспечивающие безопасный обмен данными между внутренними сетями организации и внешними коммуникационными каналами. Их основная функция – автоматизированное применение криптографических средств защиты, что соответствует требованиям 152-ФЗ по защите информации.

Ключевые задачи криптошлюза:

• Организация защищённого канала передачи данных, как правило, с использованием шифрования.
• Автоматическое шифрование и дешифрование сообщений в соответствии с установленными политиками безопасности.
• Контроль доступа к информационным ресурсам через проверку подлинности и авторизацию пользователей.
• Защита данных от атак, таких как перехват, изменение или подмена сообщений.

Использование криптошлюзов помогает обеспечивать конфиденциальность и целостность персональных данных при их передаче между различными системами и субъектами обработки.

Межсетевые экраны (файрволы) и их функции

Межсетевые экраны, или файрволы, представляют собой устройства или программное обеспечение, которое контролирует трафик между различными сетевыми сегментами, реализуя политику безопасности организации. В контексте 152-ФЗ их роль – предотвращение несанкционированного доступа к системам, где хранится или обрабатывается персональная информация.

Основные функции межсетевых экранов:

• Фильтрация входящего и исходящего трафика на основе правил, заданных администратором.
• Блокировка подозрительных или несанкционированных соединений.
• Регистрация попыток неавторизованного доступа.
• Сегментация сети для выделения защищенных зон с персональными данными.
• Интеграция с системами обнаружения и предотвращения вторжений.

Межсетевые экраны выступают первой линией обороны в системе безопасности, отсекая внешние угрозы и снижая вероятность успешных атак.

Совместное применение криптошлюзов и межсетевых экранов

Использование криптошлюзов и межсетевых экранов в комплексе значительно повышает уровень защиты персональной информации. Межсетевой экран обеспечивает базовый контроль доступа и фильтрацию трафика, в то время как криптошлюз гарантирует надежную криптографическую защиту данных, передаваемых по сетям с разной степенью доверия.

Сценарии применения:

• Защита каналов связи между филиалами организации, обмен данными с контрагентами.
• Организация удаленного доступа сотрудников при сохранении безопасности.
• Обеспечение безопасности работы веб-приложений и сервисов, обрабатывающих персональные данные.

Совместное использование этих средств соответствует требованиям 152-ФЗ по обеспечению комплексной защиты данных.

Требования к внедрению и эксплуатации

В соответствии с 152-ФЗ и подзаконными актами внедрение криптошлюзов и межсетевых экранов должно сопровождаться:

• Разработкой и утверждением политики информационной безопасности.
• Настройкой и регулярным обновлением правил фильтрации и криптографических алгоритмов.
• Проведением аудитов и тестированием безопасности.
• Обучением персонала, ответственного за эксплуатацию технических средств защиты.
• Документированием процессов администрирования и реагирования на инциденты.

Организация должна обеспечить не только техническое внедрение, но и организационные мероприятия, направленные на поддержание и развитие защищенности информации.

Особенности криптографической защиты в рамках 152-ФЗ

Закон №152-ФЗ требует использования сертифицированных средств криптографической защиты информации. Это означает, что применяемые криптошлюзы должны соответствовать российским стандартам, например, алгоритмам ГОСТ. Кроме того, зашифрованные каналы должны обеспечивать стойкость к современным видам криптоаналитических атак.

Применение сертифицированных решений:

• Обеспечивает соответствие законодательству и регуляторным требованиям.
• Гарантирует интеграцию с национальной инфраструктурой ключей.
• Позволяет вести официальную отчетность и аудит в рамках информационной безопасности.

Практический пример использования в банковской сфере

Банковские организации, работающие с большими объемами персональных данных, обязаны обеспечивать их защиту в соответствии с 152-ФЗ. Для этого в комплекс мер включают:

• Межсетевые экраны для разделения внутренних сетей и защиты от внешних угроз.
• Криптошлюзы для защиты каналов связи между банком и сторонними сервисами, а также для внутреннего обмена данными.
• Использование методик шифрования, удостоверяющих подлинность и обеспечивающих целостность передаваемой информации.

Такое сочетание позволяет минимизировать риск утечек и обеспечить доверие клиентов.

Заключение

Криптошлюзы и межсетевые экраны — неотъемлемые компоненты комплексной системы защиты персональных данных в рамках требований 152-ФЗ. Их правильное использование, соответствующее стандартам и законодательству, обеспечивает высокий уровень безопасности и снижает риски нарушения конфиденциальности и целостности информации. Сочетание криптографической защиты и контроля доступа создает надежный фундамент для безопасной работы с персональными данными в российских организациях.

Компания «Код Безопасности» сообщает о получении сертификата соответствия ФСБ России для новой версии своего флагманского продукта — NGFW «Континент 4». Теперь устройство официально доступно для приобретения.

В соответствии с сертификатом СФ/124-5237 ФСБ России, сборка «Континент 4» версии 4.2.1.653 отвечает требованиям средств криптографической защиты информации (СКЗИ) по классу КС2, предназначенных для защиты данных без грифов секретности. Сертификация охватывает функционал IPSec VPN.

Это важный шаг в развитии отечественной сетевой безопасности, поскольку «Континент 4» объединяет в одном решении возможности двух устройств: межсетевого экрана нового поколения (NGFW) и криптошлюза, что уникально для российского рынка ИБ.

Таким образом, «Континент 4» стал первым в России NGFW, который реализует протокол IKEv2/IPsec и получил двойную сертификацию — от ФСТЭК (версия 4.1.9) и ФСБ (версия 4.2.1). Продукт включает сертифицированное средство шифрования и многофункциональный межсетевой экран. В ближайшее время ожидается получение сертификата ФСТЭК России для версии 4.2.1.

Не знаете, чем заменить FortiClient или Cisco AnyConnect? Вы не одиноки в этом вопросе.

При организации удалённого доступа (Remote Access VPN, RA VPN) возникают проблемы как с точки зрения безопасности, так и с точки зрения принципов его организации.

Проблемы безопасности:
1. Использование личных устройств. Это критично, поскольку домашние устройства могут быть недостаточно защищены (слабые пароли, устаревшее ПО с уязвимостями, отсутствие защиты конечных станций и т. д.).
2. Применение незащищённых каналов связи (отсутствие шифрования).

Организационные проблемы связаны с необходимостью найти баланс между:
1. Обеспечением лёгкого доступа для законных пользователей;
2. Предоставлением максимально строгого доступа для всех остальных.

Стандартный подход к организации RA VPN заключается только в возможности подключения удалённого пользователя к VPN-серверу через зашифрованный туннель. Для всех удалённых пользователей применяются единые политики безопасности с разграничением доступа.

Из-за развития ИТ-инфраструктуры и появления новых угроз требования пользователей и администраторов к организации RA VPN постоянно растут.

Среди них:
1. Разный уровень доступа для разных групп пользователей;
2 .Усиленные проверки при подключении пользователей и во время установленных VPN-сессий.

В таких условиях контроль доступа только на границе сети становится неэффективным. Важную роль играет и растущая популярность удалённой работы — всё больше сотрудников работают из дома как минимум часть времени. Все эти изменения могут снизить эффективность и безопасность RA VPN.

Рассмотрим, как можно организовать RA VPN в NGFW «Континент 4», а также как Континент 4 совместно с другими решениями КиберАльянса помогает реализовать концепцию нулевого доверия — Zero Trust.

Организация удалённого доступа в NGFW «Континент 4»

Существуют три основных сценария организации RA VPN с точки зрения безопасности:

1. Доступ удалённых пользователей к корпоративным ресурсам.
2. Доступ удалённых пользователей к критически важным ресурсам предприятия.
3. Фильтрация всего трафика удалённых пользователей.

В «Континент 4» есть правила для подключения удалённых пользователей (политика RA VPN) и фильтрации их трафика (политика МСЭ). Если с фильтрацией всё понятно — здесь можно использовать все механизмы безопасности, то сценарий работы удалённого пользователя определяется настройками политики RA VPN. Давайте разберём их подробнее.

Доступ пользователей к корпоративным ресурсам

Этот сценарий (рис. 1) предполагает, что удалённый пользователь может подключиться к корпоративным ресурсам предприятия через VPN-клиент. При этом у пользователя есть возможность подключаться ко всем остальным открытым ресурсам, например, через свой Wi-Fi-роутер или LTE. Это стандартный сценарий.

Рис.1 – Схема движения трафика от удаленного пользователя без ограничений

Рис.2 – Реализация на Континент 4 подключения удаленных пользователей без ограничений

Название — наименование правила удалённого доступа.
Пользователи — список пользователей, на которых распространяется это правило. В данном случае это локальный пользователь petrov и доменная группа Users.
Методы аутентификации — способы, с помощью которых удалённые пользователи смогут пройти аутентификацию. В этом примере petrov и Users могут авторизоваться либо по сертификату, либо по паролю.
- Метод аутентификации по сертификату — двухсторонняя аутентификация, доступная только для локальных пользователей.
- Метод аутентификации по паролю — односторонняя аутентификация как для локальных, так и для доменных пользователей.
Доступ — список ресурсов, к которым удалённые пользователи получат доступ. В нашем случае это CRM-система.
Управление соединениями — настройка, определяющая режим подключения удалённого пользователя. В приведённом примере это «Без ограничений», что позволяет удалённому пользователю устанавливать любые другие соединения.

Доступ пользователей к критически важным ресурсам предприятия

Этот сценарий (рис. 3) подразумевает, что удалённый пользователь может подключиться только к ресурсам через VPN. Все остальные внешние подключения от пользователя будут заблокированы. Такой режим обеспечивает повышенную безопасность.

Рис.3 – Схема движения трафика от удаленного пользователя с ограничениями

Рис.4 – Реализация на Континент 4 подключения удаленных пользователей с ограничениями

Название — наименование правила удалённого доступа.
Пользователи — список пользователей, на которых распространяется это правило. В данном случае это локальный пользователь ivanov.
Методы аутентификации — способы, с помощью которых удалённые пользователи смогут пройти аутентификацию. Здесь пользователь Ivanov может авторизоваться только по сертификату.
Доступ — перечень ресурсов, к которым удалённые пользователи получат доступ. В нашем случае это ICS.
Управление соединениями — настройка, определяющая режим подключения удалённого пользователя. В приведённом примере это «Запрет незащищённых», что позволяет удалённому пользователю устанавливать только те соединения, которые необходимы для доступа к защищаемым ресурсам, указанным в правиле удалённого доступа.

Фильтрация всего трафика удалённых пользователей

Этот сценарий (рис. 5) подразумевает, что весь трафик от удалённого пользователя проходит проверку на NGFW «Континент 4». В этом режиме можно фильтровать трафик с помощью всех механизмов безопасности, доступных в «Континент 4» для выхода удалённого пользователя в интернет.

Рис.5 – Схема движения трафика от удаленного пользователя с перенаправлением всего трафика в VPN-туннель

Рис.6 – Реализация на Континент 4 подключения удаленных пользователей с перенаправлением всего трафика в VPN-туннель

Название — наименование правила удалённого доступа.
Пользователи — список пользователей, на которых распространяется это правило. В данном случае это группа «ИТ-отдел».
Методы аутентификации — способы, с помощью которых удалённые пользователи смогут пройти аутентификацию. Здесь группа «ИТ-отдел» может авторизоваться только по паролю.
Управление соединениями — настройка, определяющая режим подключения удалённого пользователя. В приведённом примере это «Перенаправление всех соединений через VPN-туннель», что позволяет направлять весь трафик от удалённых пользователей на «Континент 4» для последующей фильтрации.

Пример фильтрации трафика удалённых пользователей на межсетевом экране (подходит для всех трёх сценариев подключения удалённых пользователей) показан на рис. 7.

Рис.7 – Пример политики МСЭ для фильтрации трафика удаленных пользователей

• Доменные пользователи «Users» и локальный пользователь «petrov» могут обращаться к CRM-системе по протоколу TLS (TCP/443). При этом контролируются приложения, и в рамках TCP/443 разрешается только сигнатура SSL. Для этого правила также активирована проверка с помощью IDS/IPS.
• Локальный пользователь «Ivanov» может обращаться к ICS по протоколу SSH с контролем приложения SSH. Здесь также включена проверка IDS/IPS.
• Группа пользователей «ИТ-отдел» может подключаться к ресурсам в локальной сети по протоколам HTTP, TLS, DNS, SSH и RDP. Контроль приложений не активирован, но работает проверка IDS/IPS.
• Учитывая, что группа «ИТ-отдел» должна выходить в интернет через «Континент 4» в соответствии с правилом удалённого доступа, добавлены правила, контролирующие доступ удалённых пользователей в интернет: блокировка вредоносных сайтов и разрешение легитимных.

Сегментация для удаленных пользователей

В сложных сетях для повышения уровня безопасности используют разделение пулов IP-адресов для удалённых пользователей. Например, администраторам назначают IP-адреса из диапазона 10.10.30.0/24, руководству — 10.10.40.0/24, а обычным пользователям — 10.10.50.0/24. Впоследствии эти сети можно использовать на смежном оборудовании (например, маршрутизаторах) для применения дополнительных политик.

В «Континент 4» есть функция назначения отдельных пулов IP-адресов каждому пользователю или группе пользователей (рис. 8).

Рис.8 – Пример указания пулов ip-адресов для удаленных пользователей

Таким образом можно обеспечить базовые сценарии подключения удаленных пользователей и фильтрацию трафика от них на NGFW «Континент 4»

Архитектура ZTNA при удалённом доступе

Существуют более строгие модели организации RA VPN с точки зрения безопасности. Одна из таких моделей — архитектура доступа к сети с нулевым доверием (ZTNA). Вот основные принципы ZTNA для организации удалённого доступа:

• Локальная сеть считается небезопасной зоной, поэтому к локальным пользователям должны применяться те же проверки, что и к удалённым.
• Невозможно контролировать все устройства. Администратор локальной сети не может установить антивирус или EDR на ПК удалённого пользователя. То же самое касается устройств BYOD.
• Необходимо постоянно проверять состояние безопасности каждого актива, будь то внутренний сервер или пользовательский ПК.
• Расположение ресурсов вне контролируемой зоны не должно влиять на безопасность. Будь то локальная сеть или облако — всё должно быть защищено.
• Удалённым объектам нельзя доверять локальные каналы связи. Все соединения должны быть зашифрованы.

Есть три варианта реализации ZTNA, каждый из которых основывается на одной главной задаче:

1. ZTNA через расширенную идентификацию активов. Для идентификации должен использоваться фактор, устойчивый к фальсификации.
2. ZTNA через микросегментацию. Сегментация реализуется на уровне сетевой топологии.
3. ZTNA через программно-определяемый периметр. Сегментация осуществляется «поверх» сетевой топологии.

Рассмотрим пример организации ZTNA через расширенную идентификацию активов на NGFW «Континент 4». Такую архитектуру можно реализовать с помощью:

• NGFW или VPN-сервера;
• VPN-клиентов;
• многофакторной аутентификации;
• комплаенс-контроля.

Реализовать это можно через «КиберАльянс».

«КиберАльянс» — это комплекс технологических партнёрств с ведущими поставщиками решений в области кибербезопасности на российском рынке (рис. 9). Этот подход позволяет объединить опыт и знания ведущих экспертов рынка вокруг ядра сети — NGFW, обеспечивая независимость от конкретных вендоров при организации комплексной безопасности:

• защищённый удалённый доступ;
• организация и поддержка ИТ-инфраструктуры;
• расширенная безопасность.

С точки зрения организации защищённого удалённого доступа по ZTNA предлагаются три класса систем:

Многофакторная аутентификация 

Может работать в паре с односторонней аутентификацией на «Континент 4»: логин/пароль + второй фактор.

VPN-клиенты
«Код Безопасности» предоставляет VPN-клиенты под все основные операционные системы: Windows, Linux, MacOS, iOS, Android, Аврора. Для шифрования используются алгоритмы ГОСТ.

Комплаенс-контроль
В дополнение к подключению и аутентификации удаленных пользователей можно осуществлять комплаенс-контроль, как с помощью встроенных возможностей в Континент ZTN-клиент, так и с помощью интеграции со сторонними системами комплаенс-контроля.

Это лишь один из примеров того, как можно организовать защищённый удалённый доступ и заменить иностранных поставщиков решений.

Вероятно, вы уже сталкиваетесь с трудностями при организации RA VPN, особенно учитывая, что удалённая работа стала нормой. Возможно, вы также планируете внедрить архитектуру нулевого доверия, которую мы рекомендуем реализовывать поэтапно по сегментам, а не сразу для всей ИТ-инфраструктуры предприятия.

Если кратко обозначить основные различия между классическим RA VPN и ZTNA для удалённого доступа:

• RA VPN — защищённый удалённый доступ к корпоративной сети.
• ZTNA для удалённого доступа — детализированный и динамически управляемый доступ: разрешение определённых приложений, ограничение времени подключения или местоположения, комплаенс-контроль и т.д.

Устройства класса Next Generation Firewall (NGFW) обеспечивают комплексную защиту сети. Ниже представлены 5 основных функций NGFW.

1. Глубокий анализ трафика (Deep packet inspection, DPI).

Эта функция позволяет проверять содержимое сетевых пакетов и обеспечивает более детальную фильтрацию трафика по сравнению с другими устройствами защиты сети того времени (обычные межсетевые экраны, UTM и др.).

NGFW не только считывают заголовки сетевых пакетов, но и анализируют полезную нагрузку (payload). Это даёт возможность применять гибкие политики контроля действий пользователей.

Рассмотрим работу таких приложений, как Facebook, VK, дисковое хранилище, торренты, игры, анонимайзеры. Даже стандартные сетевые протоколы — HTTP, HTTPS, FTP, SSH — можно рассматривать как приложения, поскольку по модели OSI они относятся к 7 уровню, то есть к уровню приложений.

Благодаря глубокому анализу трафика повышается безопасность при использовании этих приложений.

Многие из этих приложений используют стандартные порты. Например, Facebook, VK и Telegram работают на портах транспортного уровня TCP/80 и TCP/443. То же самое относится к прикладным протоколам: HTTP обычно использует порт TCP/80, а HTTPS — порт TCP/443.

Здесь есть два важных момента, которые подчёркивают необходимость использования функции глубокого анализа пакетов (DPI):

Протоколы, такие как HTTP или HTTPS, могут работать на нестандартных портах. К примеру, HTTP может использовать порт TCP/81, TCP/7777 или любой другой. Это относится ко всем остальным прикладным протоколам. Из-за этого на обычных межсетевых экранах приходилось разрешать множество нестандартных портов для стандартных приложений.

Когда вы разрешаете трафик через порты TCP/80, TCP/81, TCP/7777, вы не можете быть уверены в том, что там действительно HTTP.

Решения класса NGFW позволяют контролировать доступ к информационным ресурсам на уровне приложений.

Например, можно разрешить подключение по HTTP с помощью функционала DPI, и неважно, какие порты будут использоваться — главное, что применяется приложение HTTP. Или же можно разрешить определённой группе лиц полноценно пользоваться Telegram, а всем остальным только отправлять сообщения.

Другой пример: как запретить загрузку файлов в дисковые хранилища, но при этом разрешить скачивание? Как заблокировать или разрешить доступ к приложениям вроде Facebook или VK, если все они используют протоколы TCP/80 или TCP/443? Как запретить пересылать файлы в Telegram, но оставить возможность обмениваться сообщениями?

В решениях класса NGFW функция DPI называется «контроль приложений».

2. Создание политик по идентификаторам пользователей

Использование IP-адресов в качестве отправителя или получателя не всегда эффективно, поскольку пользователи могут перемещаться. Сегодня один пользователь имеет адрес 192.168.0.100, а завтра он может работать за другим компьютером, находиться в другом кабинете, офисе или даже городе и иметь совершенно другой IP-адрес.

Решения класса NGFW позволяют использовать идентификаторы пользователей в правилах фильтрации. Это даёт возможность явно указать, что разрешено или запрещено делать конкретным пользователям, а не компьютерам в целом.

3. Защита от атак

NGFW обеспечивают надёжную защиту от различных видов атак благодаря встроенным системам:

• Система обнаружения и предотвращения вторжений (IDPS): Обнаруживает и блокирует попытки злоумышленников атаковать инфраструктуру. NGFW выявляют и предотвращают эксплойты, бэкдоры, шелл-коды, программы для загрузки вредоносных файлов и другие угрозы.
• Модуль защиты от протокольных атак: Обнаруживает и предотвращает сетевые атаки сканирования, аномалии в трафике и угрозы типа «отказ в обслуживании» (DoS).
• Threat Intelligence: Предоставляет информацию о потенциальных угрозах и позволяет блокировать соответствующий трафик. Threat Intelligence включает в себя данные о вредоносном контексте, механизмах и индикаторах компрометации. В NGFW эта функция представляет собой набор признаков, по которым можно обнаружить угрозу: IP-адреса, доменные имена, URL-адреса, хэш-суммы вредоносных файлов и т. д.

4. Проверка зашифрованного трафика (SSL/TLS-inspection и SSL/TLS-decryption)

В чём разница между HTTP и HTTPS? А между SMTP и SMTPS? Буква «S» в названии обозначает Secure, то есть защищённый. Проще говоря, данные внутри такого протокола зашифрованы. Однако наличие слова «Secure» в названии не делает протокол абсолютно безопасным, поскольку у него могут быть свои ограничения:

• уязвимости протокола;
• маскировка вредоносного содержимого.

Благодаря поддержке расшифровки и проверки зашифрованных туннелей устройства класса NGFW могут обнаруживать вредоносный контент. Функционал SSL/TLS-inspection и SSL/TLS-decryption позволяет им проверять зашифрованный трафик.

5. Защищённый удалённый доступ (RA VPN)

При организации VPN возникает не так много проблем, но если речь идёт о безопасном VPN, то появляются определённые сложности:

• подключение по VPN устройств с разным уровнем защиты;
• проверка VPN-трафика на наличие вредоносного контента;
• разграничение доступа.

Устройства класса NGFW помогают минимизировать риски, связанные с этими проблемами:

• проверяют, что подключаемые устройства имеют надёжный уровень безопасности;
• анализируют VPN-трафик на предмет обнаружения и предотвращения распространения вредоносного содержимого;
• гибко разграничивают доступ: управляют соединениями, предоставляют доступ к определённым ресурсам по конкретным протоколам или приложениям в определённое время для определённых пользователей или IP-адресов.

6. Site-to-Site VPN

Ещё одна задача NGFW — защита распределённых систем, состоящих из центрального офиса и нескольких филиалов. Поэтому решения класса NGFW должны уметь обеспечивать защиту каналов связи между офисами с помощью шифрования трафика – использование VPN.

Как выбрать NGFW

Выбор устройства класса Next Generation Firewall — непростая задача. Вот основные функции, на которые стоит обратить внимание. Если хотите узнать больше о том, какие ещё аспекты следует учесть при выборе NGFW, свяжитесь с нами: sale@kontinent-ap.ru