Все статьи

Защищенные каналы связи: сценарии использования и методы реализации

19 ноя 202111273

Безопасность каналов связи и передаваемых по ним данным — один из наиболее важных аспектов обеспечения информационной безопасности для любой компании. Какой канал считается защищенным? Какие технологии применяются для построения таких каналов? Сегодня ответим на эти вопросы и разберемся, в каких ситуациях бизнес обязан использовать защищенные каналы связи по требованиям законодательства РФ.

dreamstime_xxl_98060619.jpg

Зачем нужны защищенные каналы связи

Что происходит, когда вы открываете на своем ноутбуке или смартфоне браузер и заходите на какой-либо сайт? В этот момент ваш браузер взаимодействует с сервером, который после запроса «отдает» контент сайта. Однако до того, как трафик доберется из точки А в точку Б, он пройдет через множество сетевых устройств — маршрутизаторов и коммутаторов.

Эти устройства находятся в зоне ответственности разных организаций, поэтому гарантировать безопасность данных на всем пути, который проходят сетевые пакеты, просто невозможно.

В случаях, когда компании по требованиям собственной службы безопасности необходимо гарантировать безопасность данных, и применяются защищенные каналы связи. Чтобы передаваемые данные нельзя было изменить или подсмотреть, при их построении используются средства криптографии и аутентификации.

  • Криптография
  • Криптографические решения модифицируют передаваемую информацию при помощи математического алгоритма и ключа. Благодаря тому, что один из этих элементов (чаще — ключ) засекречен, данные защищены от несанкционированного доступа. Их можно без проблем вернуть в первоначальный вид, если и алгоритм, и ключ известны.

  • Аутентификация
  • Как и в случае с криптографией, ключевыми понятиями аутентификации являются алгоритм на базе хэш-функции и ключ. Однако здесь алгоритм уже не имеет отношения к шифрованию данных. Он используется для создания электронной подписи. Без ключа и алгоритма «повторить» ее невозможно.

Когда данные отправляются в «пункт назначения», вместе с ними посылается и электронная подпись. Она позволяет проверить, не были ли изменены данные в процессе передачи. Делается это очень просто: от полученной информации генерируется еще одна электронная подпись и сравнивается с той, которую прислал источник. Если подписи отличаются — данные подвергались модификации.

Защищенные сети VPN

Интернет — это сеть общего пользования, поэтому для передачи конфиденциальной информации используются виртуальные сети VPN. Между двумя узлами, которые обмениваются данными, строят защищенный VPN-туннель. Такой способ обеспечивает конфиденциальность, сохранность и целостность информации, передающейся по сетям общего пользования.

dreamstime_xxl_124593248_1.png

VPN-туннели позволяют строить безопасные каналы связи между офисами, филиалами компании, а также обеспечивать доступ к корпоративным данным для сотрудников, работающих удаленно.

Защита данных реализуется следующим образом:

  • передаваемые данные шифруются криптографическими средствами;
  • пользователи виртуальной сети проходят аутентификацию;
  • данные проходят проверку на предмет подлинности и целостности.

Выделяется два популярных способа построения VPN-канала:

  • между локальными сетями
  • Используется в качестве замены дорогостоящим каналам. Такой канал ЛВС-ЛВС строится, когда нужно постоянное соединение между площадками.

  • между локальной сетью и узлом
  • Чаще всего такой способ, как правило, используется для подключения мобильных и удаленных сотрудников к корпоративной ИТ-площадке.

Типы VPN, их преимущества и недостатки

Защищенное соединение может быть построено на базе различных протоколов. Рассмотрим наиболее распространенные из них, разберем плюсы и минусы каждого.

  • PPTP
  • Туннельный протокол типа точка-точка появился еще в 90-е годы прошлого века. Определенный плюс в этом есть — PPTP поддерживается практически всеми операционными системами, даже достаточно старыми. К тому же, этот протокол совершенно нетребователен к уровню производительности — ему достаточно небольшого количества ресурсов.

    Однако минусы PPTP обойти сложно. По современным меркам он предлагает достаточно низких уровень защиты. PPTP не предусматривает шифрования по умолчанию, а получить несанкционированный доступ, используя современные методы, можно менее чем за 24 часа.

  • L2TP
  • Layer 2 Tunneling Protocol был опубликован в том же году, что и PPTP, и во многом на него похож. Принято считать, что L2TP все же более эффективен при построении виртуальных сетей, чем его «современник», но и требовательнее к ресурсам, пусть и совсем немного. Как и в PPTP, в L2TP тоже нет шифрования по умолчанию. Как правило, используют его в паре с другими протоколами, например, IPSec.

  • IPsec
  • Internet Protocol Security — это не один, а целое множество протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP. Работа над ним началась еще в 1990-е, однако цели сделать протокол «раз и навсегда» не стояло. По этой причине IPsec регулярно получал развитие в соответствии с актуальными требованиями времени.

    Сегодня IPsec — это десятки стандартов (причем каждый из них имеет несколько версий), описывающих разные этапы работы с защищенными соединениями. Его неоспоримые плюсы — архитектура, высокая надежность алгоритмов и технические возможности.

    Конечно, свои недостатки у IPsec есть, пускай и очень условные. В частности, настройка таких протоколов требует определенной квалификации и опыта. Также IPsec достаточно требователен к вычислительным ресурсам. Частично это компенсируется применением аппаратного ускорения определенных вариантов алгоритма шифрования AES, который применяется в современных версиях протокола IPsec.

  • SSL и TLS VPN
  • Это целый класс решений, в основе которых лежат криптографические протоколы SSL/TLS. Их практическими реализациями являются OpenVPN и Microsoft SSTP. Первый, в силу своей open source природы и, как следствие, открытости, используется буквально во всех популярных ОС: Windows, Linux, Mac OS, FreeBSD, Android, iOS, Solaris и других.

VPN для безопасного подключения ИТ-площадок

Виртуальные сети VPN активно используются для подключения к облачным сервисам, предоставляемым в формате Infrastructure-as-a-Service.

Например, к облаку #CloudMTS можно подключиться несколькими способами с применением VPN.

  1. Через IPsec VPN поверх сетей общего пользования (интернет) с помощью VMware NSX.
  2. Через L3 VPN (доступно для подключения в качестве отдельного сервиса).
  3. Через VPN S-Terra.

Третий способ актуален при подключении к аттестованному Облаку 152-ФЗ. Это специализированный сервис для размещения информационных систем персональных данных (ИСПДн). В целях повышения отказоустойчивости Облако 152-ФЗ построено на базе сразу нескольких площадок. Соединение между ними реализовано с помощью site-to-site VPN-тоннеля с применением сертифицированных криптошлюзов.

Если ваша компания собирает, хранит и обрабатывает ПДн или вы планируете подключаться к государственным информационным системам (ГИС) — обратите внимание на Облако 152-ФЗ от #CloudMTS:

  • аттестация; УЗ-1/К1;
  • гарантия выполнения приказов ФСТЭК №17 и №21;
  • SLA 99.95%.