четверг, 28 июля 2016 г.

Инструкция для подбора VPN оборудования

Предлагаю некоторый чек-лист для подбора VPN-продуктов.

Заметка будет полезна инженерам интеграторов, которые подбирают VPN-продукты для решения задач заказчиков. В принципе ей может воспользоваться и сам заказчик, чтобы не забыть о каком-либо компоненте VPN-решения или попросту проверить работу интегратора.


Вопросы разделены на три уровня. Первый - наиболее общий, его обсуждают на постановочных встречах, второй - немного подробнее - для инженеров, подбирающих решений, третий - тоже для инженеров, но максимально подробный и более специфичный.

1 Первый уровень - для руководителей

1.1 Какую задачу нужно решить - защита трафика между несколькими площадками или удаленный доступ (или обе одновременно)?
1.2 Требуется ли соответствие каким-либо нормативным документам (ФЗ152, СТО БР ИББС и т.п.)?


2 Второй уровень - для инженеров

2.1 Укажите топологию сети (точка-точка, звезда и т.п.) с указанием количества и типов объектов.
2.2 Укажите тип продукта - программно-аппаратный комплекс, виртуальная машина, модуль для другого оборудования
2.3 Какая производительность шифрования необходима (с указанием типа трафика)? Если неизвестно, то пропускная способность каналов связи.
2.4 Требуется ли резервирование оборудования (кластеры, ЗИП)?
2.5 Требуется ли шифрование на канальном уровне?
2.6 Если речь идет о удаленном доступе, то требуется указать версии ОС рабочих станций и/или мобильных устройств
2.7 Какой уровень сертификации необходим - КС1, КС2, КС3? Требуется ли сертификация во ФСТЭК?
2.8 Какой период и тип технического сопровождения ПО необходим?


3 Третий уровень - для инженеров инженеров

3.1 Есть ли предпочтения по производителю аппаратной платформы (АП)?
3.2 Сколько требуется сетевых интерфейсов 1G и 10G?
3.3 Требуется ли дополнительные элементы отказоустойчивости платформы (RAID массив жестких дисков и резервный БП)
3.4 Какой период и тип технического сопровождения АП необходим?


Вопрос - требуется ли система централизованного управления добавлять не стал, ответ на него очевиден. Собственная система мониторинга тоже будет плюсом, как и возможность встраивания в системы мониторинга заказчика.



Далее приведу пример заполненного опросника.

1.1 Защита КСПД между головным офисом, ЦОДом, филиалами, а также защита удаленного доступа
1.2 Необходимо соответствие требованиям ФЗ152

2.1 Топология звезда с двумя центрами - головной офис и ЦОД, к ним подключаются 85 филиалов. Удаленные пользователи подключаются к ЦОД
2.2 Требуется криптошлюз в виде отдельного устройства
2.3 Трафик различный. Каналы в головном офисе и ЦОДе - 100 Мбит/c, филиалы - 10 Мбит/c
2.4 Резервирование требуется в головном офисе и ЦОДе, для филиалов требуется ЗИП ~3-5%
2.5 L2 требуется между головным офисом и ЦОДом
2.6 Удаленные пользователи - MS Windows 8.1 x64, Android 5.x, iOS 9.x
2.7 ФСБ - СКЗИ КС1, ФСТЭК - МЭ3 и НДВ3
2.8 Поддержка требуется на 3 года

3.1 Предпочтений нет
3.2 В головном офисе и ЦОД требуется не менее четырех интерфейсов 1G, в филиалах - не менее трех
3.3 Резервирование требуется в головном офисе и ЦОДе
3.4 Поддержка требуется на 3 года



Комментариев нет:

Отправить комментарий