Как правильно выбрать VPN?

• Денис Бондаренко, директор по операционной деятельности “АДВ Консалтинг”
  Михаил Лисневский, руководитель группы регионального развития департамента информационной безопасности ГК Softline
• Юрий Сергеев, заместитель начальника отдела проектирования защищенных систем Центра информационной безопасностикомпании “Инфосистемы Джет”
• Сергей Терехов, и.о. директора центра компетенций по информационной безопасности компании “Техносерв”

Денис Бондаренко

– На данный момент под понятием VPN понимают и различные клиентские туннели в операторских сетях, и шифрованные каналы связи, и средства разграничения доступа, и многое другое. При этом изначально VPN – это средство разграничения доступа и защиты информации между абонентами или участниками связи, использующими один канал или одно и то же оборудование. В сети Интернет – это средство обеспечения приватности и защиты информации. Сегодня существуют два наиболее популярных и востребованных протокола для создания VPN в Интернете: SSL и IPSec.

Михаил Лисневский

– VPN сегодня, как и пять лет назад, представляет собой виртуальный туннель, в котором передаются данные, зашифрованные с использованием криптоалгоритмов. Данные шифруются посредством ключа, от длины которого зависит сложность его подбора. Сейчас эти ключи становятся всё длиннее и длиннее. Раньше это было 64 бита, потом 128, сейчас 256 и выше. Процесс становится якобы безопаснее, но ресурсозатратнее.

За последние несколько лет VPN перестала быть технологией, доступной "избранным" пользователям – тем, кто разбирается в информационной безопасности. VPN стала User Friendly. Сейчас люди начинают повсеместно ее использовать для собственной безопасности и для обхода ограничений. Сама процедура использования VPN также значительно упростилась.

Юрий Сергеев

– Рынок VPN – это очень зрелый рынок с богатой историей. Основные технологии были разработаны около 20 лет назад, и прорывных продуктов практически нет. Рынок можно рассматривать с разных сторон: с точки зрения операторов связи, которые предлагают свои услуги в этой сфере, с точки зрения интеграторов, работающих на рынке корпоративного VPN, и онлайн-провайдеров, работающих на рынке персональных VPN-услуг. Как представитель интегратора хочу отметить, что развитие на нашем рынке в основном задают такие общие тренды, как расширение влияния мобильных устройств и стремление приложений уйти в облака. Российский рынок еще имеет локальную особенность, связанную с необходимостью применения российской криптографии для определенных категорий информации ограниченного доступа. Как частные, так и юридические лица с каждым годом ощущают усиление влияния законодательства, поэтому этот тренд, скорее всего, сохранится. С технической точки зрения хочется отметить рост популярности SSL/TLS VPN и постепенное снижение интереса к классическим сетям на базе IPSec, особенно при обеспечении удаленного доступа.

Сергей Терехов

– Я бы разделил сегодняшний рынок VPN на три сегмента: VPN на базе технологии MPLS, корпоративный VPN на базе IPsec/SSL и отдельный сегмент – VPN с использованием криптоалгоритмов семейства ГОСТ. Технология MPLS, как правило, используется провайдерами для создания множества изолированных каналов связи, затем эти каналы предоставляются конечным клиентам в качестве услуги. IPsec и SSL применяются заказчиками для построения VPN-сетей для собственных нужд, а также для предоставления сотрудникам удаленного доступа к корпоративным ресурсам. VPN с использованием криптоалгоритмов семейства ГОСТ – решения, прошедшие сертификацию по требованиям ФСБ России как средство криптографической защиты, используются в сегменте государственных заказчиков или частных компаний, на которые распространяются требования законодательства в области обеспечения защиты информации при передаче ее по открытым каналам связи.

Денис Бондаренко

– Сейчас почти весь HTTP-трафик идет в зашифрованном виде по каналам SSL VPN. Средства для поддержки SSL VPN имеются практически в любом устройстве, подключаемом к Интернету. Поддержка IPSec VPN также есть в смартфонах и в популярных операционных системах. Эти встроенные средства предоставляются как незаменимая часть ПО или устройства.

Можно говорить об определенном "денежном" объеме рынка VPN, но массовую долю занимают именно «вмененные» средства, монетарный эквивалент которых посчитать невозможно.

Существует также огромное количество реализаций бесплатных сервисов SSL и IPSec VPN. Они составляют основную часть серверной стороны VPN, если говорить о клиент-серверном типе VPN.

С другой стороны, есть большое количество коммерческих аппаратных и программных средств, поставляемых как часть межсетевых экранов (МЭ). Они используются для корпоративных каналов между офисами распределенных компаний и для мобильных сотрудников. Собственно эту часть и можно называть коммерческим рынком VPN. При этом он также неотрывно связан с рынком МЭ.

Юрий Сергеев

– Оценивать объем корпоративного рынка VPN очень сложно. В целом считаю, что он небольшой относительно других средств защиты. Во-первых, функции VPN отдельно обычно не покупают. Так, например, у CiscoSystems их последний VPN-концентратор Cisco VPN 3000 "умер" в далеком 2007 г. Сейчас VPN есть в маршрутизаторах, межсетевых экранах и комплексных шлюзах безопасности, т.е. всегда как часть общего решения. Стоит ли засчитывать продажу маршрутизатора в рынок VPN – большой вопрос. Во-вторых, практически у всех вопрос с защитой каналов связи уже давно решен и появляется лишь при их расширении или моральном устаревании оборудования на периметре сети. Исключение составляет рынок ГОСТ VPN. Так как такие решения в основном продаются для закрытия требований ФСБ России по защите каналов связи, то его можно считать, но лучше о конкретных цифрах узнавать у самих производителей.

Сергей Терехов

– Объем рынка достаточно сложно оценить, так как практически любое сетевое оборудование поддерживает VPN, начиная от коммутаторов и заканчивая универсальными устройствами безопасности (UTM). На рынке VPN с использованием криптоалгоритмов семейства ГОСТ также не все однозначно, т.к. имеет место достаточно закрытая среда использования VPN для защиты государственной тайны.

Денис Бондаренко

– Преимущества VPN неоспоримы, именно этим обусловлено такое повсеместное использование.

Если говорить о SSL, то это в первую очередь шифрование. Так как шифруется все, начиная от запросов, то такой трафик невозможно фильтровать или ограничивать по любым критериям, кроме адреса обращения. С точки зрения других видов VPN – это изоляция трафика, шифрование, получение единого адресного пространства. С использованием IPSec VPN в корпоративных сетях появилась возможность связывать через Интернет удаленные офисы и отдельных сотрудников с такой же степенью комфорта, защищенности и изолированности от внешнего мира, как и в корпоративной ЛВС.

Михаил Лисневский

– Преимущества VPN на самом деле очевидны. Мало того, что мы шифруем информацию при передаче, но мы еще и создаем виртуальный туннель, который упрощает передачу данных, делает ее более прозрачной с точки зрения маршрутизации для отправляющей и принимающей стороны, обеспечивая при этом должный уровень безопасности.

Эту технологию нечем заменить – либо ты шифруешь данные во время передачи с ее помощью, либо не шифруешь.

Можно говорить о преимуществах той или иной реализации технологии VPN, но только применительно к конкретной ситуации у заказчика. Качество VPN можно оценить по двум составляющим: протокол, по которому осуществляется построение этого туннеля, и алгоритм шифрования.

Юрий Сергеев

– С одной стороны, VPN – это не всегда про безопасность, это может быть чисто ИТ-задача, требуемая при создании той или иной архитектуры сети. То есть просто логический канал связи без шифрования и контроля целостности передаваемых данных, который нужен, например, для передачи L2-трафика по каналу провайдера (MPLS и L2TP). С другой стороны, налицо преимущества в области безопасности: ваш трафик защищен от прослушивания, обеспечено доверие к целостности данных, взаимодействующие стороны надежно аутентифицированы (IPSec, TLS VPN).

Сергей Терехов

– Основными преимуществами являются масштабируемость сетей, безопасность передачи информации по открытым каналам связи и высокая степень мобильности сотрудников и офисов компаний.

Денис Бондаренко

– Если корпоративная сеть предполагает мобильных сотрудников или удаленную работу, то использование VPN – это жизненная необходимость. Сейчас 99% компаний используют корпоративную электронную почту как один из основных видов взаимодействия сотрудников. Доступ к почте должен быть всегда. То есть, как минимум, корпоративная почта должна быть доступна извне по зашифрованному каналу SSL. Это касается и других TCP-образных приложений (например, корпоративных CRM или ERP систем), где SSL будет лучшим выбором, так как не требует установки дополнительного ПО и доступен в любом Web-браузере. Если же есть более специфичные задачи, требуется связь офисов или есть протоколы, которые не могут работать на уровне SSL, то лучшим выбором будет IPSec. IPSec универсален, допускает связь офисов, работу любых протоколов IP, но более сложен в настройке и развертывании (требуется отдельный IPSec VPN шлюз, зачастую совмещенный с МЭ).

Михаил Лисневский

– Когда возникает географическое разделение, на помощь приходит VPN. Это применимо как к сотрудникам, работающим за периметром ИТ-инфраструктуры, так и к целым филиалам, отделенным от центрального офиса.

Например, в командировке сотруднику нужны данные из внутренней 1С. Для доступа к данным нужно быть внутри организации. По определенному протоколу строится туннель, который шифрует данные, и сотрудник, находясь за тысячи километров от своей инфраструктуры, располагается будто бы внутри нее. VPN гарантирует целостность и конфиденциальность данных.

Сотрудники в разных городах обмениваются важной информацией, и без шифрования данные передаются в открытом виде через целый пул провайдеров. VPN же позволяет передавать информацию в зашифрованном виде четко из пункта А в пункт Б.

Юрий Сергеев

– На сегодняшний день основные сферы применения – это Site-to-Site (соединение между площадками), RemoteAccess (удаленный доступ сотрудников), Mobile VPN (удаленный доступ с мобильных устройств), ГОСТ VPN (выполнение требований законодательства либо отсутствие доверия к иностранных решениям). Решения по защите трафика внутри корпоративной сети для создания выделенного VPN-сегмента редки, в основном это решения, устанавливаемые на периметре сети.

Сергей Терехов

– VPN позволяет решать множество задач: централизация активов для геораспределенных компаний, снижение расходов на корпоративные средства коммуникации между сотрудниками, повышение мобильности сотрудников за счет использования защищенного удаленного доступа. Правильное построение архитектуры решения и выбор вендора позволяют решать данные задачи с высокой степенью доступности ресурсов корпоративной сети, не забывая об обеспечении конфиденциальности и целостности информации, передаваемой внутри VPN.

Денис Бондаренко

– Вопросы доступа, приоритетности и безопасности могут решаться разными способами. Например, за счет сертификатов, логинов и паролей, токенов, временных меток, групповых логинов, правил фильтрации и приоритизации трафика внутри и снаружи VPN.

Михаил Лисневский

– VPN чаще всего привязывается к основной системе аутентификации пользователей, которая применяется в компании. Иногда сотрудники аутентифицируются через домен, иногда через специальные системы регулирования доступа.

Юрий Сергеев

– Для мобильных устройств – приоритет использования беспарольной аутентификации (например, по сертификату, записанному в телефон), это в основном связано с удобством пользования. В целом отдельно VPN для мобильных устройств используется нечасто, гораздо интереснее применять решения класса MDM (MobileDevice Management), которые и защищенный канал обеспечат, и позволят управлять всеми функциями телефона, удаленно очистить информацию при утере, создать защищенный контейнер для хранения корпоративных данных. Для RemoteAccess и Site-to-Site технологии отработаны годами. Управление приоритетом того или иного трафика решаются с применением QoS-технологий, доступных в любом современном маршрутизаторе. Это обычно важно для голосового и видеотрафика. Вопросы с качеством канала возникают при использовании ГОСТ VPN, которые не всегда поддерживают QoS, но сейчас хотя бы умеют не портить "помеченный" трафик. В целом основная задача при обеспечении безопасности – это уход от паролей и Pre-Sharedkey и использование более надежных средств аутентификации, включая сертификаты x509 и другие механизмы.

Сергей Терехов

– При аренде каналов связи у провайдеров клиенты получают гарантированную полосу пропускания, зафиксированную в договоре на поставку услуг. При необходимости провайдеры могут предоставить сервис по обеспечению безопасности информации путем применения криптографических средств защиты, в том числе с использованием решений, имеющих сертификацию ФСБ России. Когда получение такой услуги невозможно, заказчик может установить на своей стороне специализированные криптошлюзы для обеспечения конфиденциальности информации, передаваемой по арендованным каналам связи.

Денис Бондаренко

– В VPN нуждаются все, кто хоть раз заходил в сеть Интернет. Даже не нуждается, а уже использует, даже не замечая этого. Защита от подмены и/или кражи данных является насущной задачей современного Интернета. Если кто-то думает, что может обойтись без VPN по принципиальным соображениям, то рано или поздно столкнется с неприятными сюрпризами.

Михаил Лисневский

– Ключевой признак здесь один – географическая распределенность.

Юрий Сергеев

– Очевидно – мобильные пользователи, те кто много путешествует, находится за пределами контролируемой зоны. Однако никто не рассматривает задачу обеспечения VPN отдельно. На проблему смотрят шире, в том числе в рамках концепции BYOD. Как не мешать пользоваться личными данными пользователю? Как не допустить несанкционированный доступ к корпоративным данным? Как обеспечить контентный анализ интернет-коммуникаций с таких мобильных устройств? VPN – это защита по умолчанию.

Сергей Терехов

– Практически все корпоративные клиенты так или иначе нуждаются и используют VPN в своей инфраструктуре. Отдельно хочу отметить сегмент заказчиков, которым необходимо использовать VPN-решения, прошедшие процедуру сертификации по требованиям ФСБ России, как средства криптографической защиты. Применение таких средств регламентируется законодательством.

Денис Бондаренко

– Отбор сервиса зависит от поставленных задач и достаточности средств на их реализацию. Практически любую базовую задачу для создания и использования VPN можно решить малыми средствами, имея слабенький компьютер с Linux и бесплатным ПО. Такого решения хватит для работы VPN небольшой компании. Отсутствие поддержки и временные отказы не сильно скажутся на работе такой организации, тем более что информации о развертывании и решении проблем в подобных системах в Интернете очень много. Если же говорить о среднем или крупном бизнесе, где масштабы не лимитированы и цена простоя бизнес-процессов огромна, то лучше использовать наращиваемые, дублированные системы VPN-шлюзов, с резервными каналами связи, круглосуточной поддержкой и т.п., что в целом характерно для любых ИТ-систем серьезных компаний.

Михаил Лисневский

– Все зависит от потребностей компании. Те хно логия VPN различается по двум основным критериям – алгоритму шифрования и протоколу. Все современные межсетевые экраны уже наделены способностью строить VPN-туннель, но, если подразумевается создание VPN между устройствами разных производителей, следует обратить внимание на протоколы, которые используются в том или ином решении. Самый распространенный – IPSec. При выборе криптоалгоритма необходимо учитывать количество подключаемых сегментов, критичность информации для выбора стойкости криптоалгоритма, длину ключа и требования законодательства.

В зависимости от этих двух факторов и подбирается уже готовое решение, которое будет устраивать вас по криптостойкости, ресурсоемкости и удобства в использовании.

Юрий Сергеев

– Под VPN-сервисами обычно понимают решения онлайн-провайдеров, которые предоставляют анонимный доступ в сеть Интернет, либо облачных провайдеров, предоставляющих доступ с площадки клиента к вирутальному ЦОД в облаке. По первой части – в связи с многочисленными блокировками сайтов в России не научились ими пользоваться только ленивые, поэтому мои комментарии будут излишними. А по второму вопросу стоит отметить, что при передаче сведений ограниченного доступа следует уточнить у облачного провайдера возможность организации ГОСТ-VPN-сервиса. Зарубежные площадки вам его не предоставят, а вот российские – пожалуйста. При этом стоит обращать внимание и на параметры конфигурации таких сервисов: алгоритмы хэширования, шифрования, режимы работы блочных шифров.

Сергей Терехов

– Принятие решения о применимости и необходимости использования VPN основывается на множестве факторов, будь то область применения, задачи, которые планируется решать, география клиента, гарантированные скорости передачи данных, требования к отказоустойчивости и доступности, требования к конфиденциальности информации при передаче ее по VPN-каналам, в том числе необходимость соответствия требованиям законодательства. В целом заказчику потребуется грамотно определить бизнес-задачи, которые планируется решать с помощью VPN. В подборе оптимального решения и выборе архитектуры, бесспорно, лучше обратиться к специалистам интегратора. В "Техносерве" такая процедура обязательна при всех проектах, где задействуются корпоративные сети заказчиков.