понедельник, 12 марта 2018 г.

Варианты установки криптошлюза: inline или on-a-stick

При добавлении в инфраструктуру отдельного VPN-шлюза (особенно отечественного) всегда возникает вопрос какую схему включения использовать – inline (в разрыв) или on-a-stick (сбоку – «на одной ноге» или на двух). Технически при грамотной настройке все эти варианты работоспособны. Больше всего вопросов возникает по схеме on-a-stick: для сетевых инженеров она наиболее привычна и удобна, но многие сомневаются пройдет ли такая система аттестацию.


Во-первых, независимо от выбранной схемы установки VPN-шлюза на границе сетей с различными уровнями безопасности потребуется межсетевой экран, сертифицированный ФСТЭК России.
Обычно в небольших офисах межсетевой экран совмещен с VPN-шлюзом, и вопрос по выбору схемы установки криптошлюза вообще отпадает. А вот в крупных узлах межсетевой экран и криптошлюз обычно представляют собой отдельные устройства. При этом возможны следующие типовые схемы интеграции:

1) Установка криптошлюза «в разрыв» между внутренней сетью и межсетевым экраном

Установка в разрыв многих пугает по ряду причин:

-дополнительная точка отказа, причем не только для VPN, а для всего трафика
-невозможность фильтрации трафика, расшифрованного VPN-шлюзом (точнее фильтрация только средствами самого криптошлюза, а это зачастую явно не DPI).




2) Установка криптошлюза «в разрыв» в DMZ

Классика жанра из учебников по сетям. Опять-таки дополнительная точка отказа и установка дополнительного межсетевого экрана. 



3) Установка криптошлюза on-a-stick (сбоку – «на одной ноге» или на двух)

А теперь самый распространённый и интересный вариант, лишенный указанных выше недостатков. В этой схеме «Межсетевой экран» и «Межсетевой экран 2» являются логическими элементами одного устройства, а VPN-шлюз не является границей внутренней и внешней среды. При этом конфигурацией устройства «Межсетевой экран» обеспечивается невозможность выхода трафика, подлежащего шифрованию, во внешнюю сеть. 



Рассмотрим несколько вариантов реализации взаимодействия устройств «Криптошлюз» - «Межсетевой экран» в последней схеме.

А) Между устройствами «Криптошлюз» и «Межсетевой экран» два физических интерфейса – один для шифрованного трафика, второй для расшифрованного.

«Межсетевой экран» имеет сертификат ФСТЭК России. «Криптошлюз» находится во внутренней сети. Шифрованный и расшифрованный трафик разделены по физическим интерфейсам. Идеальный вариант!

Б) Между устройствами «Криптошлюз» и «Межсетевой экран» один физический интерфейс с двумя VLAN для шифрованного и расшифрованного трафика.

«Межсетевой экран» имеет сертификат ФСТЭК России, при сертификации проверена реализация разделения трафика по VLAN. Шифрованный и расшифрованный трафик разделены по VLAN интерфейсам и различаются межсетевым экраном по принадлежности к VLAN (а при необходимости – и по IP-адресам источника и назначения). На практике ситуация осложняется тем, что отдельного руководящего документа по VLAN не существует, как и упоминания VLAN в требованиях регуляторов к межсетевым экранам. Соответственно, реализация разделения трафика по VLAN не является обязательной и не проверяется при сертификации, если производитель специально не включил это в задание по безопасности (ЗБ) или технические условия (ТУ). Убедиться в этом можно, запросив документацию у производителя межсетевого экрана.

В) Устройство «Криптошлюз» работает в виртуальной среде на сервере виртуализации (в соответствии с формуляром и правилами пользования). Между сервером виртуализации и устройством «Межсетевой экран» один физический интерфейс с двумя VLAN/Vmnet для шифрованного и расшифрованного трафика.

«Межсетевой экран» имеет сертификат ФСТЭК России. По аналогии с предыдущим пунктом шифрованный и расшифрованный трафик разделены по VLAN интерфейсам и различаются межсетевым экраном по принадлежности к VLAN (а при необходимости – и по IP-адресам источника и назначения). Дополнительно требуется разделение трафика внутри виртуальной среды. Оно может быть обеспечено встроенными средствами гипервизора (например, сертифицированного по ТУ) или дополнительными средствами защиты (например, межсетевым экраном, сертифицированным для работы в среде виртуализации).

Г) «Межсетевой экран» НЕ сертифицирован ФСТЭК России, «Криптошлюз» может быть установлен где угодно. Такую схему аттестовать не получится. Никогда :)


Таким образом, при установке криптошлюза в существующую инфраструктуру возможны несколько вариантов. Оптимальный вариант можно выбрать, исходя из архитектуры конкретной системы, возможностей межсетевого экрана и VPN-шлюза.

Но не стоит забывать, что для конкретного криптошлюза могут быть ограничения по установке в определенной ситуации, поэтому перед проектированием нужно в обязательном порядке ознакомиться с формуляром, правилами пользования и рекомендациями производителя. А перед аттестацией – проконсультироваться с экспертами организации, которые будут эту аттестацию проводить.

Комментариев нет:

Отправить комментарий