Сегодня не только коммерческие компании, но и многие государственные структуры активно используют веб-сервисы для взаимодействия с пользователями через Интернет. В режиме 24×7 пользователь может получить доступ к сервисам компании с любого устройства, будь то его персональный компьютер, смартфон или планшет. Для установки безопасного соединения и защиты данных при их передаче по сети Интернет используется расширение HTTPS c поддержкой шифрования. На данный момент HTTPS — самый распространенный способ защиты взаимодействия с веб-сайтами и порталами. HTTPS-соединение поддерживается большинством современных веб-серверов и веб-браузеров. Защиту данных в HTTPS обеспечивает протокол TLS/SSL, который использует для шифрования данных зарубежные криптоалгоритмы. Однако для защиты данных в ИСПДн и ГИС при их передаче по сети Интернет государственным и коммерческим организациям, в соответствии с требованиями регуляторов, необходимо применять сертифицированные решения, поддерживающие российские криптоалгоритмы ГОСТ 28147–89.

Самый распространенный путь решения — встраивание сертифицированных криптобиблиотек с поддержкой ГОСТ 28147–89 в веб-сервер и веб-браузер. Однако в этом случае возникает ряд как технических, так и организационных ограничений. К организационным можно отнести необходимость подтверждения в ФСБ России корректности встраивания СКЗИ в среду функционирования (СФК). Технических ограничений несколько. Первое — ограничение по поддерживаемым платформам веб-серверов и веб-браузеров: выбор пользователя ограничивается применением единственного браузера MS Internet Explorer, поддерживающего возможность использования внешних криптобиблиотек через механизм MS CryptoAPI. Второе — вопрос производительности: ни поставщик веб-сервера, ни разработчик библиотеки СКЗИ не может гарантировать производительность, эта задача ложится на плечи владельца системы. Кроме того, остается открытым вопрос стабильности подобных решений.

Возможно применение сертифицированных VPN-клиентов и VPN-шлюзов, но и в этом случае существуют ограничения по поддерживаемым платформам и, как правило, требуется более сложное управление и администрирование системы при подключении большого количества пользователей.

Решением может стать применение специализированного программно-аппаратного комплекса «Континент TLS VPN», разработанного российской компанией «Код Безопасности», который обеспечивает защищенный удаленный доступ пользователя к веб-сервисам за счет организации безопасного HTTPS-соединения с поддержкой криптоалгоритмов ГОСТ в соответствии с требованиями российского законодательства.

В отличие от других способов организации HTTPS-соединения «Континент TLS VPN» является законченным и самодостаточным решением. Для «Континент TLS VPN» не имеет значения, какой веб-сервер используется в организации и какой браузер установлен на клиентском устройстве. Для организации защищенного доступа к веб-ресурсам на границе периметра сети организации устанавливается «Континент TLS VPN Сервер», для соединения с которым на стороне пользователя может применяться собственный VPN-клиент, СКЗИ «Континент TLS VPN Клиент» или любая другая криптобиблиотека, например, СКЗИ «КриптоПро CSP». СКЗИ «Континент TLS VPN Клиент» устанавливается на клиентский компьютер и работает как «маленький прокси»: перехватывает трафик браузера и «упаковывает» его в HTTPS. Та же схема работает и на стороне организации, где все операции выполняются на отдельном «Континент TLS VPN Сервере», что избавляет компанию от необходимости встраивания криптобиблиотек на используемый веб-сервер. Таким образом, организация может использовать любой веб-сервер, к примеру, Apache-веб-сервер, ISA Server и т. д.

«Континент TLS VPN» также может стать отличным решением для защиты веб-порталов с очень высокой нагрузкой. Один «Континент TLS VPN», сервер ICP-3000F, обеспечивает высокую производительность — до 20 000 одновременных соединений. Решение предусматривает возможность масштабирования путем объединения отдельных нод в высокопроизводительный кластер (с применением внешнего балансировщика соединений), что позволяет наращивать производительность системы и обеспечивать практически неограниченное количество одновременных подключений. Отказоустойчивость «Континент TLS VPN» достигается за счет добавления избыточного элемента в кластер, из-за чего в случае отказа одного из шлюзов нагрузка равномерно перераспределяется между оставшимися платформами без нарушения функционирования всей системы.

«Континент TLS VPN» имеет собственную систему управления, которое осуществляется через веб-консоль, что обеспечивает гибкую настройку системы в соответствии с требованиями корпоративных политик безопасности. Также имеется локальная графическая консоль управления, которая предназначена для администратора и выполнения им необходимых настроек.

«Континент TLS VPN» легко интегрируется с любыми корпоративными системами, в т.ч. SIEM-системами. Все регистрируемые в журналах события сохраняются локально и могут быть переданы на внешний сервер в формате syslog для дальнейшего анализа. Администратору также предоставляется возможность получения оперативной информации в режиме реального времени о текущем состоянии установленных соединений на «Континент TLS VPN Сервер» и статистики его работы.

За счет своих особенностей «Континент TLS VPN» является одним из наиболее удобных и надежных вариантов организации защищенного доступа к веб-ресурсам организации. Решение может успешно применяться там, где требуется обеспечить большое количество одновременных подключений. Это могут быть высоконагруженные порталы государственных услуг, электронные торговые площадки, веб-порталы систем интернет-банкинга или телекоммуникационных компаний. Наличие у «Континент TLS VPN» сертификата ФСТЭК России и поддержка российских криптоалгоритмов ГОСТ позволяют применять решение для защиты персональных данных в ИСПДН до 1-го уровня защищенности для распределенных сетей и ГИС до 1-го класса включительно. В настоящее время решение проходит сертификацию в ФСБ России на соответствие требованиям к СКЗИ класса КС 2. «Континент TLS VPN» — готовое, сертифицированное решение, не требующее прохождения процедуры контроля встраивания СКЗИ со стороны ФСБ России.

Автор — менеджер по маркетингу продукта компании «Код Безопасности».

СПЕЦПРОЕКТ КОМПАНИИ «КОД БЕЗОПАСНОСТИ»