ГОСТ VPN на Anti-malware
9ого июня состоялся эфир anti-malware, посвященный обзору ГОСТ VPN, в котором мне удалось поучаствовать. В этой заметке поделюсь своими впечатлениями по контенту.
В дискуссии участвовало 9 человек, включая модератора. Состав участников получился достаточно интересный: представители основных российских вендоров, двух иностранных, модератор из заказчика и я, представляющий сервис-провайдера. Если вы не знаете спикеров, то можно почитать описание эфира (еще там есть результаты опросов зрителей).
Повестка оказалась довольно популярной, в пике эфир смотрели примерно 1500 человек. Для тех, у кого нет двух с половиной часов на просмотр эфира, я подготовил резюме в этой заметке. Очевидные тезисы, например, о том, что криптошлюзы необходимы для сценариев site-to-site и remote access, не рассматривал.
Пандемия
Без этой темы не обходится сейчас ни одно мероприятие в любой отрасли.
В целом пандемия положительно повлияла на рынок криптошлюзов. Спрос сильно возрос, а особенно на криптошлюзы в виде виртуальных машин, несмотря на их минимальный класс сертификации КС1. При массовом переходе на удаленку для них не требуется доставка, локальная настройка, монтаж.
Возросла нагрузка на существующее оборудование. В начале пандемии вендора предоставляли заказчикам временные лицензии на клиентское ПО для организации удаленки. Тем, у кого на центральных криптошлюзах был запас по производительности, не пришлось экстренно искать отдельное оборудование/виртуальные машины. Это быстрое и временное (как тогда казалось) решение. При этом увеличилась нагрузка и на сопутствующее оборудование, к примеру — брокер клиентских соединений.
Стандартизация
Проприетарные протоколы — это хорошо и безопасно, а в Континент 4.2 появится IPsec 🙂
Тестирование российских вендоров на совместимость проводится на площадке Криптонит. Положительные результаты по стандартизации TLS уже есть. Жаль, что их не публикуют ни на сайте Криптонита, ни на сайтах вендоров. По совместимости протоколов L3 VPN – результатов придется ждать еще несколько лет.
Нормативка
Отрицание тезиса «У них (на западе) все хорошо, а у нас все плохо». Одна из вечных тем – соблюдение правил пользования СКЗИ, множество требований которых кажутся архаичными и на практике довольно сложно выполнимы, например, локальное обновление ключей. В качестве примера «сложностей» на западе приводились требования fips level 2 по опечатыванию аппаратных платформ и периодической проверке наклеек. В целом, позиция вендоров – если бы в России требовалось выполнение иностранных требований для иностранного оборудования, неизвестно, чьи требования (их регуляторов или наших) были бы сложнее в реализации.
Вендора с одной стороны отмечают усиление требований регуляторов в части сертификации, с другой – возможность точечных послаблений в конкретных прикладных областях (финансы, электроэнергетика).
All-in-one
Удобно терминировать на одном криптошлюзе туннели и с ГОСТ шифрованием, и с западным. Особенно это важно для миграции на ГОСТ TLS. Нужно поразбираться насколько это легитимно с точки зрения правил пользования.
Интеграция сетевого устройства и криптошлюза для типовых филиалов выглядит сомнительной. В такой кейс просится CPE c поддержкой SD-WAN и ГОСТ. Трафик туннелируется в центр, а там с ним уже разбирается центральный NGFW.
По интеграции NGFW и криптошлюзов мнения разделились:
- Зачем пытаться собрать бандл, если можно выбрать два отдельных оптимальных по цене/качеству устройства,
- Рынок отдельных криптошлюзов «уйдет в глубокую … нишу» (с).
Какой из вариантов победит — покажет время.
Что в криптошлюзе важно пользователям?
В конце эфира зрителям был задан вопрос о наиболее важных факторах при выборе криптошлюза. Голоса разделились следующим образом:
- Функциональные возможности 32% (ура-ура-ура),
- Сертификация 19% (внезапно оказалась не на первом месте),
- Удобство эксплуатации 18%,
- Стоимость решения 14%
Ещё 17 % зрителей затруднились с ответом.
После эфира с каждым спикером записали небольшое интервью, моё можно посмотреть на канале anti-malware (ссылка).
Мне кажется, что в целом эфир получился интересным и насыщенным. Здорово, что участники дискуссии были не из одного лагеря, это позволило посмотреть на одну и ту же проблему с разных сторон. При этом надо признать, что мнения 9 человек по длинному списку вопросов явно не умещаются в тайминг — много интересного осталось за кадром. Хотелось бы продолжить диалог про ГОСТ VPN на площадке anti-malware, но в более узких областях, например, защита высокопроизводительных каналов, ГОСТ TLS, СКЗИ в виртуальной среде и т.д.