Connect with us

Кибербезопасность

Взгляды на корпоративные VPN-шлюзы

mm
Published
Updated

Что такое VPN-шлюзы для? Имеет ли этот класс решений будущее? Какие параметры следует учитывать при защите каналов связи?

Многие организации испытывают острую необходимость защитить передаваемые данные. Массовый переход на удаленную работу только усилил эту тенденцию. Что определяет выбор VPN-шлюза — его функциональность, цена или наличие необходимых сертификатов? Давайте рассмотрим эти вопросы подробнее.

Как можно настроить VPN-шлюз

Что касается практических вариантов использования криптографических шлюзов, то защита видеоканалов связи, телемедицины и безопасный доступ к официальным государственным портам в последнее время находятся в спросе. В целом мы можем говорить о общем сценарии, когда пользователь получает доступ к определенным ресурсам. Это может быть защищенный канал связи с системой IDM, облачной платформой или единой точкой входа, через которую выполняется маршрутизация к другим ресурсам.

Технически существуют два сценария использования криптографических шлюзов: сайт-к-сайту и клиент-к-сайту. Сценарий сайт-к-сайту имеет два набора требований. Первое — географически распределенная сеть: например, десяток филиалов, объединенных в общую VPN-сеть. Второй вариант — защищенный канал между двумя центрами обработки данных.

Задачи защиты корпоративных данных при передаче можно разделить на политику, основанную на VPN, и маршрут, основанный на VPN. Последний вариант становится актуальным, когда количество узлов увеличивается до нескольких тысяч устройств. В случае защиты магистральной сети обычно используются низкоуровневые решения и топология «точка-точка».

Говоря о защите высоконагруженных каналов, нельзя ограничиваться только архитектурой «точка-точка». Решения архитектуры «точка-множественная точка» находятся в большом спросе на мировом рынке. Очень эффективна защита канала на уровне L2, поскольку только этот подход может гарантировать отсутствие задержек.

Следует помнить, что защита сайт-к-сайту может быть реализована как на программном, так и на аппаратном уровне. В последнем случае клиент может выбрать вариант реализации в зависимости от, например, скоростных характеристик защищенного канала.

Из-за увеличения количества сотрудников, работающих удаленно, также возросла потребность в сценариях клиент-к-клиент, то есть для построения VPN-соединения直接 между пользователями. Такие каналы используются для быстрой связи, видеоконференций, телефонии и других задач.

Однако не произошло значительных изменений в спросе и технологических решениях при реализации точечной связи. Они используют потоковые кодировщики, которые обеспечивают хорошую скорость соединения. С другой стороны, растет спрос на более эффективные каналы связи между центрами обработки данных. В некоторых случаях речь идет о соединениях с пропускной способностью более 100 ГБ, что требует целого кластера VPN-шлюзов.

В свою очередь, сценарий организации удаленного доступа во время пандемии показал значительный рост, и именно в этом секторе возникли основные проблемы с масштабируемостью. Не только масштаб и технологические решения изменились, такие как использование специализированных балансировщиков нагрузки для распределения нагрузки между десятками тысяч VPN-соединений, но и сроки реализации проекта стали намного короче.

Что касается того, как сценарии использования криптографических шлюзов связаны с необходимым уровнем соответствия, следует отметить, что модель угроз имеет первостепенное значение в этом вопросе. Уровень соответствия может быть явно указан в регуляторной документации или самостоятельно определена организацией.

Технические нюансы выбора VPN-шлюза

Что касается различий в шифровании VPN-шлюзов и случаев их использования, следует помнить, что модель использования шлюза в значительной степени диктует уровень защиты. Существуют различные технические средства реализации уровня защиты L3; однако проектирование работающей сети L2 в этом случае проблематично, хотя и фундаментально возможно. Что касается уровня L4, он фактически становится стандартом для доступа как к публичным интернет-ресурсам, так и к корпоративным сайтам.

Избыточность данных и отказоустойчивость являются важными критериями выбора VPN-шлюза. Помните, что необходимо учитывать отказоустойчивость оборудования и систем управления. Важными параметрами также являются скорость переключения на резервный рабочий кластер в случае аварии и скорость восстановления системы до нормального состояния.

Довольно часто аппаратное обеспечение не имеет заявленного поставщиком уровня среднего времени между отказами. Поэтому для оборудования, используемого на магистральной сети, важно не забыть о базовых средствах отказоустойчивости, таких как двойное питание или резервные системы охлаждения.

Альтернативные решения для защиты каналов связи

Другими важными темами, которые следует затронуть здесь, являются возможные альтернативы VPN-шлюзам, а также способы интеграции решений для криптографической защиты каналов связи с другими средствами безопасности, такими как брандмауэры, для обеспечения лучшей защиты от различных угроз.

Помимо криптографических шлюзов, для защиты каналов можно использовать высокопроизводительное аппаратное шифрование, а также их виртуальные аналоги, которые достаточно гибкие, чтобы работать几乎 на всех уровнях модели OSI. Кроме того, существуют небольшие решения в форм-факторе трансивера и модули, которые можно встроить в устройства IoT.

Эксперты предсказывают, что индивидуальные криптографические шлюзы как устройства постепенно покинут рынок, уступая место интегрированным системам. Существует и другой взгляд: как правило, универсальные системы дешевле, но их эффективность ниже, чем у специализированных решений. Успешная интеграция также может быть проведена в облаке на уровне поставщика услуг. В этом случае поставщик решает проблемы совместимости, а клиент получает универсальное решение с необходимой функциональностью.

Прогнозы рынка и перспективы

Я вижу большую потребность в увеличении скорости криптографических шлюзов, и решения этого класса будут разрабатываться для удовлетворения этого запроса. Процессы интеграции будут действовать на рынке, но результат такого движения еще неясен. Рынок VPN-шлюзов будет стимулироваться устройствами IoT, технологиями 5G и продолжающимся ростом популярности удаленной работы. Некоторые новые ниши для криптографических средств защиты могут быть промышленными системами управления.

Поскольку поддержка безопасных VPN-каналов на уровне предприятия требует высокого уровня экспертизы, клиенты все чаще будут менять модель использования таких решений информационной безопасности, передавая управление криптографическими шлюзами поставщикам услуг. важной тенденцией будет увеличение внимания к компоненту UX криптографических шлюзов, повышение удобства работы с ними.

Другой взгляд заключается в том, что рынок криптографических шлюзов обречен, и в течение следующих пяти или десяти лет такие решения превратятся в нишевый продукт. Универсальные решения и локализованное оборудование заменят их. Тем не менее, класс шлюзов TLS будет развиваться.

Заключение

При выборе средств криптографической защиты каналов связи необходимо учитывать не только функциональность конкретного решения, но и его соответствие требованиям регуляторов. Рассматривая различные варианты VPN-шлюзов, стоит подумать о сценариях их использования, а также решить вопросы интеграции с другими системами информационной безопасности. В некоторых случаях специализированная система может лучше обеспечить безопасность; однако универсальные, многофункциональные решения часто имеют лучшую стоимость.

Related Topics:
mm

Дэвид Балабан - исследователь компьютерной безопасности с более чем 17-летним опытом в области анализа вредоносного ПО и оценки антивирусного программного обеспечения. Дэвид управляет проектами MacSecurity.net и Privacy-PC.com, которые представляют собой экспертные мнения по современным вопросам информационной безопасности, включая социальную инженерию, вредоносное ПО, тестирование на проникновение, интеллект угроз, онлайн-приватность и белую хакерскую атаку. Дэвид имеет сильный опыт в решении проблем с вредоносным ПО, с недавним акцентом на противодействии программам-вымогателям.