Connect with us

Кібербезпека

Натомість про корпоративні шлюзи VPN

mm
Published
Updated

Для чого потрібні шлюзи VPN? Чи має цей клас рішень майбутнє? Які параметри слід враховувати при захисті каналів зв’язку?

Багато організацій відчувають гостру потребу в захисті переданих даних. Масова трансформація до віддаленої роботи лише посилила цю тенденцію. Що визначає вибір шлюзу VPN — його функціональність, ціна чи наявність необхідних сертифікатів? Давайте розглянемо ці питання детальніше.

Як можна сконфігурувати шлюз VPN

Що стосується практичних варіантів використання криптографічних шлюзів, то захист відеоканалів зв’язку, телемедицини та безпечний доступ до офіційних державних порталів останнім часом стали дуже популярними. Загалом ми можемо говорити про звичайний сценарій, коли користувач отримує доступ до певних ресурсів. Це може бути безпечний канал зв’язку з системою IDM, хмарною платформою або єдиною точкою входу, через яку здійснюється маршрутизація до інших ресурсів.

Технічно існують два сценарії використання криптографічних шлюзів: сайт-до-сайту та клієнт-до-сайту. Сценарій сайт-до-сайту має два набори вимог. Перший — географічно розподілена мережа: наприклад, десяток філій, об’єднаних у спільну мережу VPN. Другий варіант — безпечний канал між двома центрами даних.

Завдання захисту корпоративних даних під час передачі можна розділити на політично-орієнтований VPN та маршрутизований VPN. Останній варіант стає актуальним, коли кількість вузлів зростає до декількох тисяч пристроїв. У разі захисту магістралі зазвичай використовуються низькорівневі рішення та топологія «точка-точка».

Говорячи про захист високозавантажених каналів, не можна обмежитися лише архітектурою «точка-точка». Рішення архітектури «точка-багатьох точок» зараз дуже популярні на світовому ринку. Дуже ефективним є захист каналу на рівні L2, оскільки тільки такий підхід може гарантувати відсутність затримок.

Слід пам’ятати, що захист сайт-до-сайту можна реалізувати як на програмному, так і на апаратному рівні. У другому випадку клієнт може вибрати варіант реалізації, наприклад, з точки зору швидкісних характеристик захищеного каналу.

Через зростання кількості працівників, які працюють віддалено, також зросла потреба в клієнт-до-клієнт сценаріях, тобто для побудови безпосереднього з’єднання VPN між користувачами. Такі канали використовуються для швидкої комунікації, відеоконференцій, телефонії та інших завдань.

Однак не відбулися суттєві зміни в попиті та технологічних рішеннях при реалізації комунікації «точка-точка». Вони використовують кодувальники потоку, які забезпечують хорошу швидкість з’єднання. З іншого боку, зростає попит на більш ефективні канали зв’язку між центрами даних. У деяких випадках йдеться про з’єднання з пропускною здатністю понад 100 ГБ, що вимагає цілої кластери шлюзів VPN.

Зате сценарій організації віддаленого доступу під час пандемії показав суттєвий ріст, і саме в цьому секторі виникли основні проблеми зі масштабованістю. Змінилися не тільки масштаб і технологічні рішення, такі як використання спеціалізованих балансувальників навантаження для розподілу навантаження між десятками тисяч з’єднань VPN, але й термін реалізації проекту став значно коротшим.

Щодо того, як сценарії використання криптографічних шлюзів пов’язані з необхідним рівнем відповідності, слід зазначити, що модель загроз має первинне значення в цьому питанні. Рівень відповідності можна явно вказати в нормативній документації або самостійно визначити організацією.

Технічні нюанси вибору шлюзу VPN

Що стосується відмінностей у шифруванні шлюзів VPN та випадків їх використання, слід пам’ятати, що модель використання шлюзу визначає рівень захисту. Існують різні технічні засоби реалізації рівня захисту L3; однак побудова робочої мережі L2 в цьому випадку є проблематичною, хоча й фундаментально можливою. Що стосується рівня L4, то він фактично стає стандартом для доступу як до публічних Інтернет-ресурсів, так і до корпоративних сайтів.

Збереження даних та безвідмовність є важливими критеріями вибору шлюзу VPN. Слід пам’ятати, що необхідно враховувати безвідмовність обладнання та систем контролю. Серед важливих параметрів також є швидкість перемикання на резервний робочий кластер у разі аварії та швидкість відновлення системи до нормального стану.

Доволі часто апаратне забезпечення не має рівня середнього часу між відмовами, заявленого постачальником. Тому для обладнання, яке використовується на магістралі, важливо не забувати про базові засоби безвідмовності, такі як подвійне живлення або резервні системи охолодження.

Альтернативні рішення для захисту каналів зв’язку

Іншими важливими темами, які слід тут торкнутися, є можливі альтернативи шлюзам VPN, а також способи інтеграції рішень для криптографічного захисту каналів зв’язку з іншими засобами безпеки, такими як брандмауери, для забезпечення кращого захисту проти різних загроз.

Окрім криптографічних шлюзів, для захисту каналів можна використовувати високопродуктивні апаратні пристрої шифрування, а також їх віртуальні аналоги, які достатньо гнучкі, щоб працювати майже на всіх рівнях моделі OSI. Крім того, існують компактні рішення у форматі трансивера та модулі, які можна вбудовувати в пристрої IoT.

Експерти передбачають, що індивідуальні криптографічні шлюзи як пристрої поступово зникнуть з ринку, поступившись місцем інтегрованим системам. Існує інший погляд: як правило, універсальні системи дешевші, але їх ефективність нижча, ніж у спеціалізованих рішень. Успішну інтеграцію також можна проводити в хмарі на рівні постачальника послуг. У цьому випадку постачальник послуг вирішує питання сумісності, а клієнт отримує універсальне рішення з необхідною функціональністю.

Прогнози ринку та перспективи

Я бачу велику потребу у збільшенні швидкості криптографічних шлюзів, і рішення цього класу будуть розвиватися для задоволення цього запиту. Інтеграційні процеси будуть діяти на ринку, але результат такого руху ще неясний. Ринок шлюзів VPN буде розвиватися під впливом пристроїв IoT, технологій 5G та тривалого зростання популярності віддаленої роботи. Деякі нові ніші для криптографічних засобів захисту можуть бути промисловими системами контролю.

Оскільки підтримка безпечних каналів VPN на рівні підприємства вимагає високого рівня кваліфікації, клієнти все частіше будуть змінювати модель використання таких рішень інформаційної безпеки, передавши управління криптографічними шлюзами постачальникам послуг. Одним із важливих трендів буде зростання уваги до компоненту UX криптографічних шлюзів, підвищення зручності роботи з ними.

Інший погляд полягає в тому, що ринок криптографічних шлюзів приречений, і протягом наступних п’яти чи десяти років такі рішення перетворяться на нішевий продукт. Універсальні рішення та локалізоване обладнання замінять їх. Тим не менш, клас шлюзів TLS буде розвиватися.

Висновок

При виборі засобів криптографічного захисту каналів зв’язку слід враховувати не тільки функціональність конкретного рішення, але й його відповідність вимогам регуляторів. Розглядаючи різні варіанти шлюзів VPN, варто подумати про сценарії їх використання, а також вирішувати питання інтеграції з іншими системами інформаційної безпеки. У деяких випадках спеціалізована система може краще забезпечити безпеку; однак універсальні, багатокомпонентні рішення часто мають кращу вартість.

Related Topics:
mm

Девід Балабан - дослідник комп'ютерної безпеки з понад 17-річним досвідом у сфері аналізу шкідливого програмного забезпечення та оцінки антивірусного програмного забезпечення. Девід керує проектами MacSecurity.net та Privacy-PC.com, які представляють експертні висновки щодо сучасних питань інформаційної безпеки, включаючи соціальну інженерію, шкідливе програмне забезпечення, тестування на проникнення, розвідку загроз, онлайн-конфіденційність та хакінг у білих шапках. Девід має сильний досвід у ліквідації шкідливого програмного забезпечення, з недавнім акцентом на заходи проти вимагання викупу.