Шифрование: сценарии использования

Базовый сценарий – защита передаваемых данных

Чаще всего данные между географически удаленными объектами передаются через каналы общего пользования. Даже если провайдер может предоставить вам персональный выделенный канал, это все равно не означает его полной защищенности. Да и услуга эта стоит недешево, особенно если вам нужно соединить локальные сети не в рамках одного города, а распределенные по всей стране. Поэтому провайдерский канал почти всегда является недоверенным, и для защиты данных, которые циркулируют в этом канале, требуются дополнительные меры. Это базовый сценарий использования шифрования. В классическом варианте для его реализации используются VPN-шлюзы и VPN-клиенты. Современные условия требуют, чтобы криптографические функции, встроенные в эти продукты, работали прозрачно, то есть таким образом, чтобы пользователи сетей передачи данных не замечали этого. Такого эффекта можно добиться, используя в VPN-продуктах механизмы QoS, приоритизацию трафика, технологию плавного перестроения криптографических туннелей Smooth Rekeying, а также различные механизмы обеспечения отказоустойчивости. Собственно, шифрование при этом должно обладать высокой производительностью, поддержкой современных криптографических стандартов и быть одобрено регуляторами отрасли (ФСТЭК РФ, ФСБ РФ). В полной мере всем перечисленным требованиям отвечают шлюзы и клиенты безопасности "С-Терра" со встроенным криптографическим модулем ST и интегрированным межсетевым экраном.

Помимо этого, шлюзы безопасности со встроенной криптографической библиотекой ("С-Терра Шлюз" с криптографией ST) обладают целым рядом преимуществ. Кроме более привлекательной стоимости, бесспорным плюсом является то, что на использование VPN-продукта требуется только одна лицензия. Это снижает затраты на поддержку системы, количество разрешительных документов и позволяет спокойно работать в течение всего срока действия сертификатов регуляторов на сам продукт.

Не только филиальные сети требуют защиты. Для эффективного функционирования бизнеса бывает чрезвычайно удобно, а зачастую и жизненно необходимо наличие сотрудников, работающих с корпоративными данными удаленно. Но одновременно это может стать и угрозой безопасности. Дистанционные сотрудники работают с корпоративной сетью не только через недоверенные провайдерские каналы (Интернет), но и часто через открытые точки доступа (в кафе, аэропортах, гостиницах и т.д.). В данном случае на помощь также приходит шифрование, которое позволяет защитить взаимодействие между устройством сотрудника, работающего вне офиса (ноутбук, планшет, смартфон), и корпоративной сетью. Для защиты удаленного доступа с такого рода устройств существуют мобильные клиенты безопасности, специально разработанные для работы под управлением различных операционных систем. Например, "С-Терра Клиент" поддерживает работу под управлением ОС Windows, включая версию 8.1, а "С-Терра Клиент-М" – под управлением ОС Android 4.х. Примечательно, что высокий уровень оптимизации шифрования ST позволяет добиться производительности, достаточной для комфортной работы даже на не очень мощных мобильных платформах. Кроме того, "С-Терра Клиент-М" не требует взлома устройства (т.е. получения прав root).

Защищенный терминальный доступ

Итак, мобильный клиент С-Терра позволяет защитить данные, передаваемые по сети. Однако это не единственный из существующих рисков. Например, работник может потерять ноутбук, на жестком диске которого будут находиться конфиденциальные данные. Кроме того, даже без физической потери устройства доступ к нему может быть получен злоумышленником удаленно. Для того, чтобы избежать подобных рисков, лучше вообще не хранить важную информацию на устройствах сотрудников, работающих дистанционно. Для решения этой задачи можно применить терминальный доступ.

Нагляднее всего продемонстрировать принцип реализации такого применения шифрования можно на примере. Устройство СПДС "ПОСТ" от компании "С-Терра СиЭсПи" позволяет загрузить со специального загрузочного носителя безопасную операционную систему и целевое приложение (терминальный клиент или Web-браузер). Целостность ОС и прикладного ПО контролируется на этапе загрузки. Обмен данными между терминальным клиентом и терминальным сервером (находящимся внутри защищенного корпоративного периметра) защищается шифрованным IPsec-туннелем. Конфиденциальные данные, с которыми работает пользователь, не сохраняются на его локальном компьютере, а остаются внутри защищаемого периметра. В результате потеря пользовательского устройства не приводит к компрометации конфиденциальных данных.

Эшелонированная защита, различные уровни доверия

Мир не делится на белый и черный, поэтому и всех пользователей, пытающихся получить доступ к информации, нельзя разделить на однозначно добропорядочных и злоумышленников. Так, например, даже добропорядочному сотруднику бухгалтерии не нужно иметь доступ к инженерным разработкам компании. Верно и обратное: простому инженеру не должны быть доступны внутренние финансовые документы компании. Зачастую защищаемую информацию нужно разделить на несколько уровней конфиденциальности. Шифрование может помочь и в этом случае. Так, например, часть корпоративных данных может шифроваться только при передаче через Интернет и быть доступна в открытом виде в локальной сети. В то время как другая информация может передаваться в зашифрованном виде и внутри локальной сети тоже. Стандартные возможности семейства протоколов IPsec, реализованные в VPN-продуктах "С-Терра", позволяют создавать эшелонированную защиту с разделением на разные уровни доверия. Более того, программный комплекс "С-Терра Клиент" позволяет строить защищенные одноранговые полносвязные топологии внутри локальной сети. Такая возможность становится особенно актуальной для защиты беспроводной (Wi-Fi) локальной сети.

Новое время и новые вызовы. Шифрование в облаке

Стремительно растет популярность средств криптографической защиты, встраиваемых непосредственно в виртуальную инфраструктуру. При этом шифруются данные, не только передаваемые за пределы облака, но и находящиеся внутри его периметра.

В качестве примера такого решения можно привести "С-Терра Виртуальный шлюз", который может работать под большинством популярных гипервизоров (VMware ESX, Xen, Hyper-V, KVM и др.) и обеспечивает надежную защиту данных, передаваемых в зашифрованном виде как между виртуальными машинами, так и за пределы облачной инфраструктуры. При этом производительность и функциональность виртуального VPN-шлюза и шлюзов на аппаратной платформе идентичны, а его важным преимуществом является гибкая масштабируемость: по мере роста облачной инфраструктуры проще наращивать мощность виртуального шлюза, чем аппаратных модулей. Важно также отметить, что "С-Терра Виртуальный шлюз" сертифицирован ФСБ РФ и ФСТЭК РФ.

Обеспечение безопасности – не место для экспериментов

Важно обратить внимание как на репутацию компании – поставщика криптографического решения, время ее присутствия на рынке информационной безопасности (компания "С-Терра СиЭсПи" уже более 10 лет успешно работает в этой отрасли), так и на соответствие продукта современным требованиям и стандартам (ГОСТ Р 34.10–2012, ГОСТ Р 34.11–2012, VKO_GOSTR3410_2012_256), а также целостность и комплексность решений. Также во избежание архитектурных проблем необходимо соблюдать лучшие мировые практики, естественно, с учетом особенностей национального законодательства.

Использование этих критериев позволит вам создать не только функциональную, но и действительно надежную систему безопасности.

С-ТЕРРА СИЭСПИ, ООО
124460 Зеленоград, Москва,
Георгиевский просп., 5,
этаж 4 (основной)
Тел.: (499) 940-9061, (499) 940-9001
Факс: (499) 940-9061
E-mail: information@s-terra.com
www.s-terra.com