ГОСТ VPN на Anti-malware: продолжение

Ура, снова ГОСТ VPN на Anti-malware! 13ого апреля состоялся второй эфир AM Live, посвященный криптошлюзам. В этой заметке поделюсь своими впечатлениями по контенту.

Запись эфира
Обзор эфира

Повестка эфира была построена вокруг ускоренного импортозамещения, которое сейчас шагает по стране. В дискуссии участвовало 7 человек, включая модератора (в прошлый раз было 9). На мой взгляд 6-7 человек — это оптимальное количество участников, чтобы каждому хватило времени высказаться. Эфир смотрели всего 684 человека (в прошлый раз – около 1500). Всё-таки это уже второй эфир по криптошлюзам, да и в целом сотрудники ИТ/ИБ сейчас довольно сильно заняты срочными задачами. Я думаю, что основная масса интересующихся темой ГОСТ VPN будет смотреть эфир в записи.

Ну а если у вас нет двух часов на просмотр, то добро пожаловать в заметку с кратким обзором.

Кто пострадал от санкций?

Естественно больше всего досталось заказчикам. Их условно можно разделить на три группы:

  • срочно меняют средства защиты ушедших поставщиков,
  • запланировали замену на ближайшее время,
  • отложили замену на потом.

Те, у кого был план Б, пострадали в меньшей степени. У них либо были готовые запасные варианты, либо они смогли быстрее сориентироваться в ситуации и предпринять какие-то меры. Согласно опросу, среди зрителей эфира таких организаций около 30%.

ГОСТ VPN на Anti-malware: Пострадала ли ваша компания от ухода зарубежных поставщиков VPN с рынка

Отдельно стоит отметить тех, кто не использовал импортные средства защиты и давно импортозаместился. Им в условиях роста цен тоже приходится нелегко – отечественные средства защиты на зарубежных аппаратных платформах сильно подорожали.

С чем сталкиваются те, кто меняет импортные средства защиты на отечественные?

Все отмечали неоспоримый факт – при импортозамещении нужно мириться с понижением уровня зрелости применяемых средств защиты. Это подтверждается и результатами опроса – 31% зрителей считает отечественные криптошлюзы слишком «сырыми». Радует, что вариант «Российские криптошлюзы нам неинтересны» набрал 0% голосов.

ГОСТ VPN на Anti-malware: Ваше мнение о российских VPN шлюзах

Из-за отсутствия необходимого функционала вместо одного устройства приходится устанавливать несколько. Это приводит к увеличению затрат на приобретение самих продуктов и на утилизацию вычислительных ресурсов, если смотрим в сторону виртуализации. Отдельно стоит отметить проблему с управлением: для нескольких продуктов понадобится несколько консолей управления, что тоже не прибавит удобства отечественным решениям.

Чего не хватает в отечественных продуктах?

Топ-5 фич, которых очень не хватает:

1) В сценарии защиты удаленного доступа, который вроде бы хорошо отработали в период пандемии, явно не хватает второго фактора аутентификации (помимо токена). Вендора приводили контрпримеры:

2) Снова сценарий удаленного доступа, теперь речь о проверке рабочей станции пользователя. Возможны два подхода – первичная проверка при подключении и постоянная во время работы. В любом из них совмещать VPN-клиент и средство проверки рабочей станции проблематично (в первую очередь из-за сертификации). Оптимальный вариант – применять отдельное партнерское решение.

И опять вспоминали продукты САКУРА. На их сайте в презентации указаны основные поставщики ГОСТ VPN.

САКУРА

Конкретику по комбинациям вендор-сценарий мы не обсудили. Но очевидно, что в зависимости от сценария (первичная проверка или постоянная) и реализации взаимодействия между криптошлюзом и сервером САКУРА может потребоваться доработка (и пересертификация) криптошлюзов. Поэтому прямо сейчас САКУРА не панацея, а скорее перспективный продукт, который со временем поможет решить задачу проверки рабочей станции пользователя при подключении по VPN.

3) API. Характеристика хоть и банальная, то зачастую отсутствует. Из-за отсутствия API страдает автоматизация. В этом же пункте нужно отметить отсутствие конвертора политики безопасности. Если уж решили импортозаместить условный Fortinet, то предоставьте конвертор конфигурации, чтобы администратор вручную не разбирался с кучей правил.

4) Управление. Вендора называют управление одним из самых сложно-выполнимых пунктов. Даже совместить управление VPN и МСЭ довольно сложно, чего уж говорить о партнерских решениях.

5) Производительность. Отечественные криптошлюзы явно не подходят под задачи уровня операторов связи. Можно подобрать оборудование для небольших и средних офисов, но в центральных узлах недостаточно даже топовых моделей и придется продумывать балансировку нагрузки. Подробнее о производительности в отдельном разделе чуть ниже.

Также приводилась интересная аналогия: Toyota Land Cruiser Prado и УАЗ Патриот. По характеристикам автомобили очень похожи, а вот по ощущениям водителя и пассажира существенно отличаются 🙂

Отзыв TLS сертификатов российских банков

Несколько советов владельцам сайтов, у которых могут отозвать сертификаты.

  1. Выпустить сертификат в бельгийском GlobalSign, как поступили в Банке России. Также можно рассмотреть УЦ Турции или Китая
  2. Получить RSA сертификат в НУЦ. Недавно я делал про это заметку.
  3. Продумать реализацию одновременной работы сайта с ГОСТ и RSA сертификатами. По готовности НУЦ — получить ГОСТ сертификат.

Реализация последнего пункта возможна с помощью российского криптошлюза, который поддерживает и российские, и зарубежные криптоалгоритмы. А если сайт высоконагруженный, то можно рассмотреть вариант с балансировщиком, который ГОСТ TLS отправляет на криптошлюзы, а расшифровку RSA осуществляет самостоятельно.

Сертификация

Отечественные вендора отмечают, что иногда вынуждены вести две ветки продукта – коммерческую (быстрое добавление нового функционала) и сертифицированную (фиксированная сборка). Покупать предлагается сертифицированную, а использовать на свой страх и риск коммерческую. Аналогичный подход был у зарубежных производителей, так как коммерческая и сертифицированные сборки существенно отличались. Применять ли такой подход решает заказчик в каждом конкретном случае.

Также интересно изменилась позиция по поводу поддержки западной криптографии в российских сертифицированных СКЗИ. Ранее, например, в правилах пользования С-Терры было указано, что модуль поддержки западных криптоалгоритмов установлен для плавной миграции с RSA на ГОСТ и должен быть удален после перехода на целевую схему. Теперь же позиция немного поменялась, по крайней мере в части TLS. В КриптоПро NGate западные алгоритмы на борту, использовать их можно для «защиты информации, которая не подлежит обязательной защите в соответствии с законодательством».

Совместимость

В сегменте классического L3VPN глобально совместимости по-прежнему нет. Заказчики, которым нужно обеспечить подключение к своим ресурсам большого количества организаций, вынуждены устанавливать оборудование нескольких вендоров в центре, чтобы не создавать монополию конкретного продукта.

Но работа ТК26 и Криптонит даром не проходит. Совместимость реализаций IPsec вполне реальна в ближайшем будущем. Во время эфира Павел Луцик из КриптоПро анонсировал появление NGate c поддержкой не только TLS, но и IPsec. Причем IPsec совместим с решениями C-Терра, ФакторТС, Элвис Плюс и другими. Понятно, что будут звездочки и оговорки, но тем не менее это важный шаг.

На фоне этого выглядит логичными желание Кода Безопасности тоже перейти в Континенте с проприетарного протокола на IPsec.

С собственным протоколом остается только ИнфоТеКС. Справедливости ради, нужно сказать, что IPlir де-юре открытый стандарт, методические рекомендации по стандартизации выпущены ТК26. Но желающих реализовать IPlir, помимо самого ИнфоТеКСа, пока не нашлось.

Особняком смотрится TLS в бесклиентском режиме. Рекомендации по стандартизации давно выпущены и приносят результат – вендора подтверждают совместимость различных продуктов между собой.

Производительность

Никаких прорывных новостей от участников эфира не было.

Шифрование на процессоре для широкого перечня сценариев упирается в 10Гбит/c. Поточные шифраторы с аппаратным шифрованием уже шагнули выше 10. Есть варианты на 20, 40 и даже 100Гбит/c, но только для сценария точка-точка.

Такое положение дел приводит к печальной ситуации для крупных сетей на несколько тысяч узлов. В центральном узле приходится устанавливать большое количество криптошлюзов и придумывать механизмы балансировки. Отдельно стоящие балансировщики стоят немалых денег как для классического L3VPN, так и для TLS.

С учетом санкций, темпы роста производительности отечественных криптошлюзов могут снизиться. Получить топовые процессоры и ПЛИС становится сложнее даже разработчикам, чего уж говорить о массовых поставках для заказчиков.

Советы по выбору подходящей производительности довольно типовые:

  • Определить параметры трафика
  • Получить информацию у вендора. Причем не «даташит» на сайте из одной цифры, а полноценные замеры на различном типе трафика,
  • Получить информацию о независимом тестировании. К сожалению, аналога NSS Labs у нас пока нет.
  • Провести пилот и проверить характеристики самостоятельно.
  • «Сходить к соседу» по отрасли и получить отзыв из первых рук.

Вообще об производительность криптошлюзов сломано много копий, я недавно написал на хабре статью об этом. Если интересно – почитайте.

Еще эфиры будут?

Надеюсь, мы еще увидим эфиры про ГОСТ VPN на Anti-malware. Как минимум стоит подробнее поговорить про ГОСТ TLS. Ждем следующего эфира 😉

Поделиться:

One thought on “ГОСТ VPN на Anti-malware: продолжение

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *