VPN: как сделать правильный выбор

Специалист по криптографии Брюс Шнайер удачно заметил, что безопасность — это не продукт, а процесс. В сфере обеспечения информационной безопасности у нас в России, к сожалению, многие процессы происходят в противоречащем здравому смыслу порядке: сначала организация создает сегменты корпоративной сети, затем создает и внедряет корпоративные информационные системы и... начинает создавать системы защиты от проникновения в эти системы и несанкционированного доступа к информации. В результате системы становятся громоздкими, управлять ими оказывается трудно, к тому же они начинают конфликтовать друг с другом. Хаотическое планирование приводит к усложнению анализа уязвимости. И наконец, из-за того, что задачи обеспечения безопасности не были поставлены изначально, стоимость решений повышается.

Начинаем защищаться

Итак, на очередном этапе развития своей корпоративной сети вы решили, что информация, циркулирующая в ней, должна быть скрыта от посторонних глаз. Первое, что приходит в голову, — передавать ее между офисами по выделенным каналам связи. Но от этого варианта тут же приходится отказаться: аренда выделенных каналов — дело дорогое, к тому же корпоративная сеть скорее всего уже имеет выход в Интернет, возможности которого хотелось бы максимально использовать. И даже при наличии выделенного канала данные придется защищать дополнительно, иначе они становятся доступны любому, кто нелегально подключится к вашему каналу, а о том, что эти данные всегда доступны провайдеру, и говорить не приходится. Значит, информацию придется шифровать. Передавать ее целесообразнее через Интернет, если на защищаемую сеть не накладывается дополнительных ограничений и требований. Но тут начинаются другие проблемы: сегменты корпоративной сети придется защищать от проникновения извне, а значит, потребуется межсетевой экран.

Аспекты шифрования

Сначала разберемся с шифрованием. Если речь идет о государственных структурах, то вопрос решается однозначно — использовать можно только продукты, сертифицированные ФАПСИ. В остальных случаях собственник информации сам вправе принимать решение о мерах по ее защите. Однако следует помнить, что никто не гарантирует вам правильность реализации пусть даже самых известных и распространенных криптоалгоритмов, если речь идет о несертифицированных продуктах. Вам остается только положиться на уверения производителя и его репутацию. В любом случае стоит поинтересоваться, поддерживает ли приобретаемый продукт «выборочное» шифрование. Если нет, то ваша корпоративная сеть рискует оказаться замкнутой «на себя» — вы потеряете связь с внешними ресурсами. Если ваша компания придерживается строгой политики безопасности, то это, возможно, не недостаток, однако кто может заранее сказать, какие задачи вам потребуется решать в дальнейшем?

С межсетевым экраном вопрос обстоит проще: многие из представленных на российском рынке продуктов, в том числе достаточно известных, сертифицированы Гостехкомиссией при Президенте РФ. Однако и здесь возникают сложности. Как взаимно расположить эти средства защиты? Попытка спрятать VPN-устройство внутри области сети, защищаемой межсетевым экраном, приведет к тому, что экран не сможет анализировать шифрованный трафик, а это, в частности, ослабит защиту от внутренних атак. Установка VPN-модуля перед межсетевым экраном оставляет его один на один со всей внешней агрессивной сетевой средой. К тому же и стоимость такого решения "кусается".

Программно или аппаратно?

К счастью, на рынке представлено много систем, объединяющих функции межсетевого экрана и VPN. Но какую реализацию предпочесть — программную или аппаратно-программную? Тут все зависит от финансовых возможностей вашей организации. Легко ли будет убедить руководителя и главного бухгалтера в необходимости приобретения наряду со средствами защиты еще и некоторого количества компьютеров (между прочим, достаточно производительных, а потому дорогих)? Или есть возможность выделить под данную задачу компьютеры из числа имеющихся? Нужна ли системному администратору головная боль по поводу независимых гарантий на комплектующие от разных организаций? Все эти вопросы тесно увязаны между собой.

Такой параметр, как число поддерживаемых сетевых интерфейсов, позволит сразу оценить гибкость приобретаемого решения, определив, удастся ли одним VPN-модулем обеспечить защиту нескольких сегментов корпоративной сети. Некоторые VPN-продукты предусматривают разделение доступа между внутренними сегментами сети, что позволяет максимально адаптировать продукт к политике корпоративной безопасности.

Было бы весьма желательно, чтобы VPN-устройство, интегрированное в корпоративную сеть, никак не влияло на производительность сети. Однако не тут-то было... Узким местом в данном случае становится шифрование данных — именно этот процесс вносит основной вклад в снижение пропускной способности VPN-тоннеля. К тому же в процессе туннелирования данных к ним неизбежно добавляется служебная информация (так называемые накладные расходы), также отнимающая часть полосы пропускания. В этой связи актуальной становится встроенная возможность сжатия данных, особенно если вы работаете с чувствительными к задержкам мультимедиа-сервисами.

Человеческий фактор

Но при выборе не следует ограничиваться лишь анализом технических возможностей продукта. Стоит подумать и о людях, которым придется с ним работать. Если продукт сложно администрировать, если он имеет много точек управления, то не исключено, что ваш системный администратор попросит существенного увеличения зарплаты (в худшем случае придется нанимать дополнительного человека). Кстати, сразу прикиньте, сколько времени системный администратор будет разбираться во всех тонкостях применения данного продукта, а следовательно, сколько времени займет переходный этап его внедрения. В течение этого периода производительность работы ваших информационных систем упадет из-за частых сбоев, вызванных ошибочными настройками или тем, что принятые по умолчанию параметры не соответствуют логике работы в ваших сетях. Если вы сможете обучить персонал использованию продукта на специализированных курсах, то это сэкономит в дальнейшем ваши нервы и деньги.

При выборе VPN-продукта следует учесть и потребности пользователей корпоративной сети. Плохо, если продукт потребует установки на их рабочих местах дополнительного ПО, с которым им надо будет учиться работать. Еще хуже, если продукт не позволит работать с привычными приложениями, — в этом случае вам придется покупать новые программы.

Автономность, надежность, масштабируемость

А что делать, если у вас разветвленная сеть филиалов, в штатном расписании которых не предусмотрен выделенный сотрудник, занимающийся администрированием локальных сетей? Тогда вам следует выбрать продукт, компонентами которого можно удаленно управлять из центрального офиса. Дополнительным плюсом будет способность продукта функционировать в автономном режиме, не требующем присутствия и вмешательства администратора.

Полезно поинтересоваться у поставщика, насколько приобретаемый продукт готов к отказу аппаратной части, в том числе к полному отказу жесткого диска на центральных или координирующих компонентах. Если в подобной ситуации потребуется полностью переконфигурировать VPN, а до этого ее компоненты не смогут общаться между собой, то от такого решения нужно решительно отказаться. В действительно надежном решении выход из строя одного компонента не нарушит всего информационного функционирования VPN. Одним из средств повышения надежности является механизм «холодного» резервирования, позволяющий восстановить работоспособность сегмента сразу по восстановлении или замене вышедшего из строя оборудования. Правда, если филиал предприятия находится очень далеко, пересылка туда резервного устройства или его приобретение на месте может вызвать значительные задержки. Более совершенное, но и более дорогостоящее средство — механизм горячего резервирования.

Если вы планируете расширять свой бизнес, то уточните возможности масштабирования продукта. В идеальной ситуации подключение дополнительных сегментов не должно требовать переконфигурации имеющихся. Немаловажно также при покупке получить не просто гарантию на продукт, но и полноценную техническую поддержку.

Итак, ваш выбор

В заключение давайте попробуем составить «фоторобот» VPN-продукта, максимально приближающегося к совершенству. Прежде всего, это программно-аппаратный комплекс, сочетающий функции шифратора и межсетевого экрана, с возможностью поддержки не менее трех сетевых интерфейсов. Централизованное управление в нем обязательно, дополнительные возможности (например, ролевое управление) приветствуются. Продукт должен быть прост в установке и настройке, не требовать изменений в топологии сети и в сложившейся политике взаимодействия с внешней сетью общего пользования. Немаловажные критерии — простота эксплуатации, возможность обучения персонала и наличие техподдержки. Непредсказуемость поведения такого сложного и постоянно растущего организма, как сеть предприятия, требует масштабируемости, т. е. возможности включения в VPN дополнительных сегментов, и того, чтобы эта операция выполнялась достаточно просто. Окончательный же выбор, сделанный с учетом всех параметров, остается за потребителем…

Михаил Савельев — менеджер департамента маркетинга научно-инженерного предприятия "Информзащита". С ним можно связаться по e-mail: saveliev@infosec.ru.