Сегодня не только коммерческие компании, но и многие государственные структуры активно используют веб-сервисы для взаимодействия с пользователями через Интернет. В режиме 24×7 пользователь может получить доступ к сервисам компании с любого устройства, будь то его персональный компьютер, смартфон или планшет. Для установки безопасного соединения и защиты данных при их передаче по сети Интернет используется расширение HTTPS c поддержкой шифрования. На данный момент HTTPS — самый распространенный способ защиты взаимодействия с веб-сайтами и порталами. HTTPS-соединение поддерживается большинством современных веб-серверов и веб-браузеров. Защиту данных в HTTPS обеспечивает протокол TLS/SSL, который использует для шифрования данных зарубежные криптоалгоритмы. Однако для защиты данных в ИСПДн и ГИС при их передаче по сети Интернет государственным и коммерческим организациям, в соответствии с требованиями регуляторов, необходимо применять сертифицированные решения, поддерживающие российские криптоалгоритмы ГОСТ
Самый распространенный путь решения — встраивание сертифицированных криптобиблиотек с поддержкой ГОСТ
Возможно применение сертифицированных VPN-клиентов и VPN-шлюзов, но и в этом случае существуют ограничения по поддерживаемым платформам и, как правило, требуется более сложное управление и администрирование системы при подключении большого количества пользователей.
Решением может стать применение специализированного программно-аппаратного комплекса «Континент TLS VPN», разработанного российской компанией «Код Безопасности», который обеспечивает защищенный удаленный доступ пользователя к веб-сервисам за счет организации безопасного HTTPS-соединения с поддержкой криптоалгоритмов ГОСТ в соответствии с требованиями российского законодательства.
В отличие от других способов организации HTTPS-соединения «Континент TLS VPN» является законченным и самодостаточным решением. Для «Континент TLS VPN» не имеет значения, какой веб-сервер используется в организации и какой браузер установлен на клиентском устройстве. Для организации защищенного доступа к веб-ресурсам на границе периметра сети организации устанавливается «Континент TLS VPN Сервер», для соединения с которым на стороне пользователя может применяться собственный VPN-клиент, СКЗИ «Континент TLS VPN Клиент» или любая другая криптобиблиотека, например, СКЗИ «КриптоПро CSP». СКЗИ «Континент TLS VPN Клиент» устанавливается на клиентский компьютер и работает как «маленький прокси»: перехватывает трафик браузера и «упаковывает» его в HTTPS. Та же схема работает и на стороне организации, где все операции выполняются на отдельном «Континент TLS VPN Сервере», что избавляет компанию от необходимости встраивания криптобиблиотек на используемый веб-сервер. Таким образом, организация может использовать любой веб-сервер, к примеру, Apache-веб-сервер, ISA Server и т. д.
«Континент TLS VPN» также может стать отличным решением для защиты веб-порталов с очень высокой нагрузкой. Один «Континент TLS VPN», сервер ICP-3000F, обеспечивает высокую производительность — до 20 000 одновременных соединений. Решение предусматривает возможность масштабирования путем объединения отдельных нод в высокопроизводительный кластер (с применением внешнего балансировщика соединений), что позволяет наращивать производительность системы и обеспечивать практически неограниченное количество одновременных подключений. Отказоустойчивость «Континент TLS VPN» достигается за счет добавления избыточного элемента в кластер, из-за чего в случае отказа одного из шлюзов нагрузка равномерно перераспределяется между оставшимися платформами без нарушения функционирования всей системы.
«Континент TLS VPN» имеет собственную систему управления, которое осуществляется через веб-консоль, что обеспечивает гибкую настройку системы в соответствии с требованиями корпоративных политик безопасности. Также имеется локальная графическая консоль управления, которая предназначена для администратора и выполнения им необходимых настроек.
«Континент TLS VPN» легко интегрируется с любыми корпоративными системами, в т.ч. SIEM-системами. Все регистрируемые в журналах события сохраняются локально и могут быть переданы на внешний сервер в формате syslog для дальнейшего анализа. Администратору также предоставляется возможность получения оперативной информации в режиме реального времени о текущем состоянии установленных соединений на «Континент TLS VPN Сервер» и статистики его работы.
За счет своих особенностей «Континент TLS VPN» является одним из наиболее удобных и надежных вариантов организации защищенного доступа к веб-ресурсам организации. Решение может успешно применяться там, где требуется обеспечить большое количество одновременных подключений. Это могут быть высоконагруженные порталы государственных услуг, электронные торговые площадки, веб-порталы систем интернет-банкинга или телекоммуникационных компаний. Наличие у «Континент TLS VPN» сертификата ФСТЭК России и поддержка российских криптоалгоритмов ГОСТ позволяют применять решение для защиты персональных данных в ИСПДН до
Автор — менеджер по маркетингу продукта компании «Код Безопасности».
СПЕЦПРОЕКТ КОМПАНИИ «КОД БЕЗОПАСНОСТИ»
