Статьи » Создание защищенного vpn для организации
Звонок бесплатный по РФ
Заказать звонок
Текстильная ул, д. 1, этаж 3, помещ. 70
Пн–Пт 9:00–18:00
[email protected]
00
00

Корзина

Ваша корзина пуста

Каталог товаров
00
00

Корзина

Ваша корзина пуста

Создание защищенного vpn для организации

Не знаете, чем заменить FortiClient или Cisco AnyConnect? Вы не одиноки в этом вопросе.

При организации удалённого доступа (Remote Access VPN, RA VPN) возникают проблемы как с точки зрения безопасности, так и с точки зрения принципов его организации.

Проблемы безопасности:
1. Использование личных устройств. Это критично, поскольку домашние устройства могут быть недостаточно защищены (слабые пароли, устаревшее ПО с уязвимостями, отсутствие защиты конечных станций и т. д.).
2. Применение незащищённых каналов связи (отсутствие шифрования).

Организационные проблемы связаны с необходимостью найти баланс между:
1. Обеспечением лёгкого доступа для законных пользователей;
2. Предоставлением максимально строгого доступа для всех остальных.

Стандартный подход к организации RA VPN заключается только в возможности подключения удалённого пользователя к VPN-серверу через зашифрованный туннель. Для всех удалённых пользователей применяются единые политики безопасности с разграничением доступа.

Из-за развития ИТ-инфраструктуры и появления новых угроз требования пользователей и администраторов к организации RA VPN постоянно растут.

Среди них:
1. Разный уровень доступа для разных групп пользователей;
2 .Усиленные проверки при подключении пользователей и во время установленных VPN-сессий.

В таких условиях контроль доступа только на границе сети становится неэффективным. Важную роль играет и растущая популярность удалённой работы — всё больше сотрудников работают из дома как минимум часть времени. Все эти изменения могут снизить эффективность и безопасность RA VPN.

Рассмотрим, как можно организовать RA VPN в NGFW «Континент 4», а также как Континент 4 совместно с другими решениями КиберАльянса помогает реализовать концепцию нулевого доверия — Zero Trust.

Организация удалённого доступа в NGFW «Континент 4»

Существуют три основных сценария организации RA VPN с точки зрения безопасности:

1. Доступ удалённых пользователей к корпоративным ресурсам.
2. Доступ удалённых пользователей к критически важным ресурсам предприятия.
3. Фильтрация всего трафика удалённых пользователей.

В «Континент 4» есть правила для подключения удалённых пользователей (политика RA VPN) и фильтрации их трафика (политика МСЭ). Если с фильтрацией всё понятно — здесь можно использовать все механизмы безопасности, то сценарий работы удалённого пользователя определяется настройками политики RA VPN. Давайте разберём их подробнее.

Доступ пользователей к корпоративным ресурсам

Этот сценарий (рис. 1) предполагает, что удалённый пользователь может подключиться к корпоративным ресурсам предприятия через VPN-клиент. При этом у пользователя есть возможность подключаться ко всем остальным открытым ресурсам, например, через свой Wi-Fi-роутер или LTE. Это стандартный сценарий.

Рис.1 – Схема движения трафика от удаленного пользователя без ограничений

Рис.2 – Реализация на Континент 4 подключения удаленных пользователей без ограничений

Название — наименование правила удалённого доступа.
Пользователи — список пользователей, на которых распространяется это правило. В данном случае это локальный пользователь petrov и доменная группа Users.
Методы аутентификации — способы, с помощью которых удалённые пользователи смогут пройти аутентификацию. В этом примере petrov и Users могут авторизоваться либо по сертификату, либо по паролю.
- Метод аутентификации по сертификату — двухсторонняя аутентификация, доступная только для локальных пользователей.
- Метод аутентификации по паролю — односторонняя аутентификация как для локальных, так и для доменных пользователей.
Доступ — список ресурсов, к которым удалённые пользователи получат доступ. В нашем случае это CRM-система.
Управление соединениями — настройка, определяющая режим подключения удалённого пользователя. В приведённом примере это «Без ограничений», что позволяет удалённому пользователю устанавливать любые другие соединения.

Доступ пользователей к критически важным ресурсам предприятия

Этот сценарий (рис. 3) подразумевает, что удалённый пользователь может подключиться только к ресурсам через VPN. Все остальные внешние подключения от пользователя будут заблокированы. Такой режим обеспечивает повышенную безопасность.

Рис.3 – Схема движения трафика от удаленного пользователя с ограничениями

Рис.4 – Реализация на Континент 4 подключения удаленных пользователей с ограничениями

Название — наименование правила удалённого доступа.
Пользователи — список пользователей, на которых распространяется это правило. В данном случае это локальный пользователь ivanov.
Методы аутентификации — способы, с помощью которых удалённые пользователи смогут пройти аутентификацию. Здесь пользователь Ivanov может авторизоваться только по сертификату.
Доступ — перечень ресурсов, к которым удалённые пользователи получат доступ. В нашем случае это ICS.
Управление соединениями — настройка, определяющая режим подключения удалённого пользователя. В приведённом примере это «Запрет незащищённых», что позволяет удалённому пользователю устанавливать только те соединения, которые необходимы для доступа к защищаемым ресурсам, указанным в правиле удалённого доступа.

Фильтрация всего трафика удалённых пользователей

Этот сценарий (рис. 5) подразумевает, что весь трафик от удалённого пользователя проходит проверку на NGFW «Континент 4». В этом режиме можно фильтровать трафик с помощью всех механизмов безопасности, доступных в «Континент 4» для выхода удалённого пользователя в интернет.

Рис.5 – Схема движения трафика от удаленного пользователя с перенаправлением всего трафика в VPN-туннель

Рис.6 – Реализация на Континент 4 подключения удаленных пользователей с перенаправлением всего трафика в VPN-туннель

Название — наименование правила удалённого доступа.
Пользователи — список пользователей, на которых распространяется это правило. В данном случае это группа «ИТ-отдел».
Методы аутентификации — способы, с помощью которых удалённые пользователи смогут пройти аутентификацию. Здесь группа «ИТ-отдел» может авторизоваться только по паролю.
Управление соединениями — настройка, определяющая режим подключения удалённого пользователя. В приведённом примере это «Перенаправление всех соединений через VPN-туннель», что позволяет направлять весь трафик от удалённых пользователей на «Континент 4» для последующей фильтрации.

Пример фильтрации трафика удалённых пользователей на межсетевом экране (подходит для всех трёх сценариев подключения удалённых пользователей) показан на рис. 7.

Рис.7 – Пример политики МСЭ для фильтрации трафика удаленных пользователей

  • Доменные пользователи «Users» и локальный пользователь «petrov» могут обращаться к CRM-системе по протоколу TLS (TCP/443). При этом контролируются приложения, и в рамках TCP/443 разрешается только сигнатура SSL. Для этого правила также активирована проверка с помощью IDS/IPS.
  • Локальный пользователь «Ivanov» может обращаться к ICS по протоколу SSH с контролем приложения SSH. Здесь также включена проверка IDS/IPS.
  • Группа пользователей «ИТ-отдел» может подключаться к ресурсам в локальной сети по протоколам HTTP, TLS, DNS, SSH и RDP. Контроль приложений не активирован, но работает проверка IDS/IPS.
  • Учитывая, что группа «ИТ-отдел» должна выходить в интернет через «Континент 4» в соответствии с правилом удалённого доступа, добавлены правила, контролирующие доступ удалённых пользователей в интернет: блокировка вредоносных сайтов и разрешение легитимных.

Сегментация для удаленных пользователей

В сложных сетях для повышения уровня безопасности используют разделение пулов IP-адресов для удалённых пользователей. Например, администраторам назначают IP-адреса из диапазона 10.10.30.0/24, руководству — 10.10.40.0/24, а обычным пользователям — 10.10.50.0/24. Впоследствии эти сети можно использовать на смежном оборудовании (например, маршрутизаторах) для применения дополнительных политик.

В «Континент 4» есть функция назначения отдельных пулов IP-адресов каждому пользователю или группе пользователей (рис. 8).

Рис.8 – Пример указания пулов ip-адресов для удаленных пользователей

Таким образом можно обеспечить базовые сценарии подключения удаленных пользователей и фильтрацию трафика от них на NGFW «Континент 4»

Архитектура ZTNA при удалённом доступе

Существуют более строгие модели организации RA VPN с точки зрения безопасности. Одна из таких моделей — архитектура доступа к сети с нулевым доверием (ZTNA). Вот основные принципы ZTNA для организации удалённого доступа:

  • Локальная сеть считается небезопасной зоной, поэтому к локальным пользователям должны применяться те же проверки, что и к удалённым.
  • Невозможно контролировать все устройства. Администратор локальной сети не может установить антивирус или EDR на ПК удалённого пользователя. То же самое касается устройств BYOD.
  • Необходимо постоянно проверять состояние безопасности каждого актива, будь то внутренний сервер или пользовательский ПК.
  • Расположение ресурсов вне контролируемой зоны не должно влиять на безопасность. Будь то локальная сеть или облако — всё должно быть защищено.
  • Удалённым объектам нельзя доверять локальные каналы связи. Все соединения должны быть зашифрованы.

Есть три варианта реализации ZTNA, каждый из которых основывается на одной главной задаче:

  1. ZTNA через расширенную идентификацию активов. Для идентификации должен использоваться фактор, устойчивый к фальсификации.
  2. ZTNA через микросегментацию. Сегментация реализуется на уровне сетевой топологии.
  3. ZTNA через программно-определяемый периметр. Сегментация осуществляется «поверх» сетевой топологии.

Рассмотрим пример организации ZTNA через расширенную идентификацию активов на NGFW «Континент 4». Такую архитектуру можно реализовать с помощью:

  • NGFW или VPN-сервера;
  • VPN-клиентов;
  • многофакторной аутентификации;
  • комплаенс-контроля.

Реализовать это можно через «КиберАльянс».

«КиберАльянс» — это комплекс технологических партнёрств с ведущими поставщиками решений в области кибербезопасности на российском рынке (рис. 9). Этот подход позволяет объединить опыт и знания ведущих экспертов рынка вокруг ядра сети — NGFW, обеспечивая независимость от конкретных вендоров при организации комплексной безопасности:

  • защищённый удалённый доступ;
  • организация и поддержка ИТ-инфраструктуры;
  • расширенная безопасность.

С точки зрения организации защищённого удалённого доступа по ZTNA предлагаются три класса систем:

Многофакторная аутентификация 

Может работать в паре с односторонней аутентификацией на «Континент 4»: логин/пароль + второй фактор.

VPN-клиенты
«Код Безопасности» предоставляет VPN-клиенты под все основные операционные системы: Windows, Linux, MacOS, iOS, Android, Аврора. Для шифрования используются алгоритмы ГОСТ.

Комплаенс-контроль
В дополнение к подключению и аутентификации удаленных пользователей можно осуществлять комплаенс-контроль, как с помощью встроенных возможностей в Континент ZTN-клиент, так и с помощью интеграции со сторонними системами комплаенс-контроля.

Это лишь один из примеров того, как можно организовать защищённый удалённый доступ и заменить иностранных поставщиков решений.

Вероятно, вы уже сталкиваетесь с трудностями при организации RA VPN, особенно учитывая, что удалённая работа стала нормой. Возможно, вы также планируете внедрить архитектуру нулевого доверия, которую мы рекомендуем реализовывать поэтапно по сегментам, а не сразу для всей ИТ-инфраструктуры предприятия.

Если кратко обозначить основные различия между классическим RA VPN и ZTNA для удалённого доступа:

  • RA VPN — защищённый удалённый доступ к корпоративной сети.
  • ZTNA для удалённого доступа — детализированный и динамически управляемый доступ: разрешение определённых приложений, ограничение времени подключения или местоположения, комплаенс-контроль и т.д.
0Избранное
Товар в избранных
0Сравнение
Товар в сравнении
0Просмотренные
0Корзина
Товар в корзине
Этот веб-сайт использует cookie-файлы. При использовании данного сайта вы даете свое согласие на использование cookie-файлов.