Российский рынок VPN-продуктов является достаточно специфичным. В первую очередь, это связано с процедурой сертификации в отечественных органах регулирования, которая, как правило, занимает длительное время. Проведение сертификации под силу не каждой компании – необходимо быть лицензиатом ФСБ России и ФСТЭК России. Кроме того, важно, чтобы производитель имел хорошую репутацию на рынке, и его решения были проверены временем. Были случаи, когда компании – поставщики VPN продуктов – уходили с рынка, их решение переставало поддерживаться и обновляться, а сертификаты не продлевались. В этом случае заказчик был обречен на дорогостоящую замену всего имеющегося у него парка VPN-решений. Именно поэтому данный критерий настолько важен.

Компания «С-Терра СиЭсПи» основана в 2003 году и является ведущим российским разработчиком и производителем средств сетевой информационной безопасности, специализирующимся на разработке и производстве средств криптографической защиты информации (СКЗИ) на основе российских криптоалгоритмов и стандартов IPsec. Все продукты сертифицированы ФСБ России как средства криптографической защиты информации (СКЗИ) по классам КС1, КС2, КС3, а также во ФСТЭК России. Продуктовая линейка компании активно расширяется – появился клиент для ОС Android, шлюз для работы в виртуальной среде, а также высокопроизводительные решения.

«С-Терра СиЭсПи» является первым российским технологическим партнером Cisco (Cisco Solution Technology Integrator), Серебряным партнером Samsung и Авторизованным партнером Huawei. Продукты С-Терра имеют партнерский статус «Citrix Ready» компании Citrix. Бизнес-партнерами являются более 400 российских компаний, включая всех крупнейших системных интеграторов.

Продукты С-Терра используются в государственных и банковских организациях, в федеральных и региональных органах законодательной и исполнительной власти, в силовых структурах, крупных промышленных корпорациях, небольших коммерческих организациях.

«На углу двое юношей возились с каким-то механическим устройством. Один убежденно говорил: «Конструкторская мысль не может стоять на месте. Это закон развития общества. Мы изобретём его. Обязательно изобретём. Вопреки бюрократам вроде Чинушина и консерваторам вроде Твердолобова». Другой юноша нёс свое: «Я нашел, как применить здесь нестирающиеся шины из полиструктурного волокна с вырожденными аминными связями и неполными кислородными группами. Но я не знаю пока, как использовать регенерирующий реактор на субтепловых нейтронах. Миша, Мишок! Как быть с реактором?» Присмотревшись к устройству, я без труда узнал велосипед.»
«Понедельник начинается в субботу», Аркадий и Борис Стругацкие

Следующий важный критерий – стандартизация. Разработка сертифицированного VPN, как и любого другого продукта, должна быть основана на мировом опыте и лучших практиках. Технология должна быть отработана и проверена максимальным количеством лиц. В противном случае заказчик становится объектом исследований и технических доработок за свои же деньги. Нестандартный же дизайн продукта и недокументированное поведение устройств может поставить заказчика в зависимость от поставщика продуктов.

Продукты С-Терра работают в соответствии с международными стандартами IKE/IPsec (RFC2401-2412). Одним из основных протоколов, которые используются для обеспечения защиты данных, передаваемых по открытым каналам связи и сетям международного обмена, является мировой стандарт безопасности – IPsec. Применение данной технологии обеспечивает заказчику следующие преимущества:

• Отсутствие ошибок, связанных с дизайном протокола защиты. Архитектура IPsec проверена многократным технический анализом и тестированием специалистов многих стран и внедряется по всему миру, в том числе и в России.

• Отсутствие зависимости от поставщика оборудования. Поскольку технология IPsec является унифицированным мировым стандартом, он используется многими производителями, а значит их продукты могут взаимодействовать между собой и взаимозаменяемы.

Стоит отметить, что продукты компании С-Терра имеют кросс-совместимость с предыдущими версиями, а также с продуктами западных компаний, использующих криптоалгоритмы AES, 3DES, SHA, MD5 и т.д.

Российские сертифицированные продукты используют отечественную криптографию. В частности используются следующие алгоритмы:

• ГОСТ 28147 для реализации функций шифрования

• ГОСТ Р 34.10 для формирования и проверки электронной подписи

• ГОСТ Р 34.11 для реализации функции хеширования.

Шифрование на программном уровне реализуется с помощью «криптопровайдера» или криптобиблиотеки. Различают два подхода: разработка собственного, интегрированного в продукт криптопровайдера или использование внешнего, разработанного сторонней компанией. Оба этих подхода имеют свои плюсы и минусы. Использование собственного криптопровайдера позволяет производителю лучше прогнозировать процесс сертификации VPN-продукта в ФСБ России, использовать единую лицензию на криптографию и продукт, а также уменьшить конечную стоимость решения. Однако, чаще всего такой криптопровайдер является проприетарным, и его использование вынуждает заказчиков приобретать отдельный уникальный удостоверяющий центр (УЦ) этого поставщика для работы с ключевой информацией для VPN-устройств. Но этот УЦ не сможет выпускать сертификаты, например, для доступа к системе ДБО, государственного документооборота или для других целей. Приходится создавать «зоопарк» несовместимых друг с другом решений.

С другой стороны, применение внешнего криптопровайдера позволяет интегрироваться с PKI инфраструктурой заказчика – использовать единый УЦ как для работы с электронной подписью (ЭП), так и для VPN-устройств. Важный момент: использование внешнего сертифицированного криптопровайдера не делает продукт сертифицированным СКЗИ. Позиция регулятора (ФСБ России) на этот счет однозначна – проверки корректности встраивания недостаточно, требуется сертификация целостного продукта. На рынке VPN есть производители, которые, встроив внешний сертифицированный криптопровайдер, позиционируют свой продукт как сертифицированное СКЗИ, которым он на самом деле не является. Использование таких продуктов не позволяет выполнить требования регуляторов по защите информации, но об этом немного позже.

Продукты компании «С-Терра СиЭсПи» сочетают в себе преимущества обоих подходов. С одной стороны – широкие возможности собственного криптографического провайдера, не требующего собственного УЦ, с другой – возможность использования продуктов КРИПТО-ПРО, являющегося де-факто стандартом в России. При этом, продукты компании «С-Терра СиЭсПи» являются сертифицированным СКЗИ, а версии с различными криптографическими библиотеками совместимы между собой.

Если в информационной системе обрабатывается информация, подлежащая обязательной защите в соответствии с законодательством (например, персональные данные), то необходимо использовать сертифицированные средства защиты, прошедшие процедуру оценки соответствия регуляторами – ФСБ России и/или ФСТЭК России.

Согласно нормативной базе ФСБ России, для информационной системы необходимо разработать модель угроз и выбрать предполагаемого нарушителя (тип Н1-Н6). Для конфиденциальной информации нарушители могут быть типов Н1, H2 и Н3, им соответствуют классы защищенности КС1, КС2 и КС3. Напомним, что встроенный сертифицированный криптопровайдер не делает продукт сертифицированным СКЗИ. При составлении модели угроз важно понимать, что чем выше класс сертификации, тем менее гибкими остаются варианты его администрирования.

ФСТЭК России применяет более гибкий подход и допускает возможность использования различных компенсирующих мер, но требование сертификации все равно остается.

Продукты компании «С-Терра СиЭсПи» имеют следующие уровни сертификации регуляторов, приведенные в таблице:

Продукт	ФСБ России	ФСТЭК России
С-Терра Шлюз	КС1, КС2, КС3	МЭ 4 класс тип «А» МЭ 4 класс тип «Б»	4 уровень доверия
С-Терра Шлюз DP	КС1, КС2, КС3	—
Криптомаршрутизатор ESR-ST	КС2, КС3	МЭ 4 класс тип «А»
C-Терра Виртуальный Шлюз	КС1	МЭ 4 класс тип «Б»
С-Терра CSCO-STVM	КС1	МЭ 4 класс тип «Б»
С-Терра Клиент	КС1, КС2	МЭ 4 класс тип «В»
С-Терра Клиент А	—	—
С-Терра Юнит	КС1, КС2	—
С-Терра Шлюз E С-Терра Виртуальный Шлюз E	КС1	—
C-Терра СОВ	СОА «В»	СОВ 4 класс
С-Терра КП	Средство управления	Средство управления

С сертификатами на все продукты компании можно ознакомиться на странице.

Указанный перечень основных уровней сертификации обеспечивает выполнение требований Российского законодательства по защите персональных данных:

• Федеральный закон №152 «О персональных данных»,

• Федеральный закон №149 «Об информации, информационных технологиях и о защите информации»,

• Постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Кроме того, обеспечивается соответствие стандартам банковской безопасности – выполнение Стандартов Банка России (СТО БР ИББС), PCI DSS, указа Банка России № 3361-У и других нормативных документов.

Продукты безопасности должны хорошо интегрироваться в существующую сетевую и ИТ-инфраструктуру. Хорошим трендом считается использование единых компонентов инфраструктуры (Active Directory, Удостоверяющий Центр, системы централизованного обновления и мониторинга) для всего имеющегося оборудования. Если же каждый производитель будет продвигать свою уникальную идеологию построения системы со множеством проприетарных продуктов, то это приведет к увеличению сложности и стоимости как внедрения решения, так и его технической поддержки.

Нередко компаниям приходится содержать специалистов, которые занимаются исключительно поддержкой работоспособности решений только одного производителя.

В соответствии с рассмотренным критерием, продукты компании «С-Терра СиЭсПи» имеют целый набор преимуществ:

• Реализация общепринятой концепции сетевого взаимодействия, благодаря использованию IPsec.

• Поддержка стандартных иностранных криптоалгоритмов, дающая, в сочетании с вышеуказанным пунктом, возможность плавной миграции на VPN ГОСТ.

• Возможность использования любого УЦ, выпускающего ГОСТ-сертификаты, причем как существующего, так и технологического (например, Microsoft CA c Крипто-Про CSP).

• Интерфейс локального управления Cisco-like, с которым знакомы множество инженеров как в России, так и по всему миру.

• Поддержка управления с помощью Cisco Security Manager.

• Возможность использовать аппаратные платформы принятого в организации бренда, а не навязанные производителем средства защиты.

• Возможность использования универсальных SIEM-систем ведущих российских и зарубежных производителей, таких как Arcsight (Hewlett-Packard) и MaxPatrol SIEM (Positive Technologies).

• Возможность использовать виртуальные шлюзы в составе виртуальной инфраструктуры заказчика.

Интеграция продуктов компании «С-Терра СиЭсПи» в инфраструктуру заказчика позволяет построить надежную систему защиты, а также снизить издержки при внедрении и обслуживании.

Зачастую при декларировании производительности речь идет о «маркетинговых» показателях, представляющих собой «пиковые» значения, которые достигаются при шифровании пакетов большого размера. Нередки случаи, когда после приобретения и установки оборудования наблюдаются проблемы с IP-телефонией, замедляется работа различных пользовательских сервисов.

Происходит это по одной простой причине: реальный трафик состоит не только из больших пакетов. В нем есть также маленькие и средние пакеты, служебные сообщения различных протоколов. Кроме того, дополнительная информация, добавленная при шифровании, может вызвать дополнительную фрагментацию пакетов. Производительность в этом случае оказывается гораздо меньше указанной в маркетинговых материалах. Поэтому перед приобретением оборудования важно убедиться, что производитель и заказчик одинаково воспринимают термин «производительность», который очень сильно зависит от условий конкретной решаемой задачи. Нужно либо получить информацию по тестированию с различными длинами пакетов, либо протестировать оборудование на реальном трафике.

Шлюзы безопасности компании «С-Терра СиЭсПи» являются лидерами по производительности в сегменте отечественных VPN-продуктов. При введении новых продуктов (шлюзов) в существующую линейку продуктов специалисты компании тщательно измеряют производительность для различных протоколов (TCP, UDP и др.) c различной длиной пакета, количеством сессий и т.д. В дальнейшем это позволяет максимально точно подобрать оборудование под требования конкретного заказчика.

Часто возникает ситуация, когда компании-производители VPN-продуктов сравнивают пиковые показатели производительности с результатами измерений на смешанном трафике (IMIX). Такой подход сознательно дезориентирует заказчика и создает у него заблуждение, которое может привести к серьезным ошибкам при выборе решения. И если говорить об этих цифрах, то пиковые значения производительности одной пары шлюзов С-Терра Шлюз составляют около 7.5 Гбит/с при условии использования Jumbo-Frame. Однако, необходимо понимать при каких условиях достигается данная производительность.

Поддержка качества сетевого обслуживания (QoS) – обязательный компонент любого сетевого оборудования. В случае если хотя бы один узел сети не выполняет этих требований, последствия для критичного трафика и, как следствие, бизнес процессов, могут быть крайне негативными. Это может проявляться в виде неразборчивой речи в IP-телефонии, пропадания кадров в видеоконференцсвязи, либо просто отброса критичных пакетов при большой загрузке сети.

Разделяют два механизма поддержки QoS:

• обработка трафика в соответствии с приоритетами, выставленными на трафике ранее;

• приоритезация трафика средствами самого устройства.

К сожалению, некоторые отечественные производители VPN поддерживают QoS следующим образом: их устройства не мешают стороннему оборудованию маркировать трафик, организовывать очереди и т.д., но сами при этом не обрабатывают критичный трафик приоритетно. Т.е. полноценная поддержка QoS не осуществляется, что может привести к вышеописанным проблемам.

В продуктах С-Терра реализовано не только традиционное копирование значений поля ToS, но и возможность самостоятельно маркировать трафик, как транзитный, так и предназначенный для шифрования. Помимо этого, шлюз имеет механизм обработки приоритетных очередей для трафика, что позволяет избежать отказа в обслуживании для критичного трафика.

Нельзя недооценивать такой показатель, как удобство внедрения и использования средств информационной безопасности. Важно, чтобы структура и логика средств управления была простой и понятной. Привычный и удобный интерфейс ускоряет процесс инсталляции продуктов, а также уменьшает количество инцидентов, связанных с человеческим фактором. Также необходимо учитывать, что терминология, используемая в настройках, должна быть общедоступной и независимой от производителя. В противном случае, помимо увеличенных затрат на обучение, инженеру потребуется немало времени для закрепления даже базовых навыков администрирования.

Всех специалистов можно разделить на два типа: сторонники графического интерфейса, либо приверженцы командной строки. Для первых важна единая консоль настройки для всех продуктов, наглядность статуса оборудования и отсутствие перегруженности данными. Для вторых – привычный синтаксис и наличие сокращений для часто используемых команд. Кроме того, пользователю удобно настраивать оборудование по подробным сценариям.

Продукты компании «С-Терра СиЭсПи» поддерживают все перечисленные способы управления. При большом количестве VPN-устройств администратору удобнее управлять централизованно – с помощью системы управления С-Терра КП. Она позволяет, в том числе, облегчить задачу развертывания системы – клонировать устройства и инициализировать их с USB носителя. В то же время, система управления не является обязательной для небольших систем – её наличие, а также непосредственный доступ к ней не влияют на работоспособность оборудования. Инженеры, знакомые с оборудованием Cisco, используют для управления Cisco Security Manager, Web GUI (аналог Security Device Manager) или командную строку с интерфейсом, аналогичным Cisco IOS.

Это позволяет минимизировать расходы заказчика на обучение персонала и эксплуатацию устройств.

На сайте компании доступны пошаговые сценарии настройки оборудования.

Непрерывный мониторинг – основа реальной сетевой безопасности. После внедрения системы защиты важно постоянно оценивать текущий уровень информационной безопасности, сравнивать его с целевыми показателями и, в зависимости от результатов анализа, предпринимать соответствующие действия. От средств защиты в такой ситуации требуется интеграция с системами мониторинга заказчика, так как использование собственных инструментов мониторинга для каждого компонента системы защиты не дает полной картины.

Мониторинг продуктов компании «С-Терра СиЭсПи» осуществляется по стандартному протоколу SNMP. Разнообразные базы MIB позволяют полноценно охватить колоссальный перечень параметров, которые относятся как непосредственно к VPN, так и к ОС, сетевой части и т.п. Кроме того, поддерживается протоколирование событий по протоколу Syslog. Использование стандартных протоколов позволяет интегрироваться с системами мониторинга заказчика, в том числе с продуктами SIEM, например Arcsight и MaxPatrol SIEM.

В качестве альтернативы средствам мониторинга заказчика можно использовать С-Терра КП. Она поддерживает сбор статистики (причем не только с оборудования С-Терра) и её последующий анализ с графическим отображением результатов.

В основе любого шлюза безопасности лежит аппаратная платформа (АП). Ее выбор – важная задача. Любая АП характеризуется определенным набором параметров:

• Надежность. Среднее время наработки на отказ (MTBF) – основной параметр, характеризующий надежность АП. Использование АП с низким значением MTBF провоцирует риск, когда процент вышедшего из строя оборудования оказывается неприемлемо высоким.

• Цена. Довольно часто фактор является определяющим.

• Бренд. Многие заказчики используют определенного производителя АП во всей ИТ инфраструктуре. Это может быть связано как со специальной сервисной программой и скидками, так и с дополнительными возможностями (например, управление с помощью iLO в HP и с помощью CIMC в Cisco).

• Сеть сервисных центров (СЦ). Широкое распространение СЦ производителя позволяет снизить время по замене или ремонту АП и получить оперативные консультации специалистов.

• Технические характеристики. Использование современных комплектующих и возможность использования дополнительных PCI устройств (сетевые интерфейсы, АПМДЗ) довольно часто играет решающую роль при выборе АП.

Компания «С-Терра СиЭсПи» предоставляет уникальную гибкость при выборе АП для шлюзов. Компания работает с ведущими российскими и зарубежными производителями аппаратных платформ, сервисные центры которых расположены по всей территории России. На каждую АП предусмотрена гарантия не меньше трех лет. В случае аппаратной неисправности заказчик может обращаться как в компанию «С-Терра СиЭсПи», так и напрямую в СЦ производителя АП, что значительно сокращает временные и финансовые затраты на устранение проблемы. Помимо стандартных конфигураций, шлюзы могут комплектоваться двумя блоками питания горячего резервирования, отказоустойчивым массивом жестких дисков, а также, при необходимости, оптическими сетевыми интерфейсами (SFP+).

Таким образом, заказчик может выбрать оптимальную аппаратную платформу, исходя из своих предпочтений, специфических требований, близости сервисных центров и т.д.

VPN-продукты являются основой при построении решений сетевой информационной безопасности. И интегратору, и заказчику важно понимать, какие задачи с помощью этих продуктов можно решить. Причем решение большинства задач желательно охватить продуктами одного производителя. Это уменьшает расходы на внедрение, поддержку и другие эксплуатационные издержки. За счет единой концепции построения сети такие решения оптимально интегрируются друг с другом и требуют минимального количества компонентов.

В большинстве случаев необходимо решить одну или несколько из перечисленных задач:

• защита распределенной корпоративной сети в различных топологиях;

• подключение удаленных пользователей к корпоративной сети (в том числе с мобильных устройств);

• защита канального уровня.

Все перечисленные задачи можно решить с помощью продуктов компании «С-Терра СиЭсПи». Кроме того, продукты применимы и в более специфических случаях, таких как:

• защита сети банкоматов;

• защита доступа к виртуальному рабочему столу (VDI);

• защита АСУТП;

• защита виртуальной инфраструктуры;

• защита взаимодействия ЦОД-ЦОД;

• безопасная миграция ЦОД.

• подключение к системе межведомственного электронного взаимодействия РФ (СМЭВ).

Одним из определяющих и важных критериев при выборе решения для обеспечения защиты информационных систем являются его стоимость и затраты на последующую эксплуатацию. Некоторые производители идут на различные ухищрения, используя дополнительные (скрытые и неявно навязываемые) наборы ПО, без которых решение не будет функционировать. Например, при решении простой задачи по защите данных между двумя объектами выясняется, что необходимо дополнительно приобрести:

• Определенный центр выработки ключевой информации. Как правило, его возможности (а, следовательно, и цена) значительно превосходят потребности.

• Конкретное средство централизованного управления, без которого оборудование работать не может. В данном случае актуальны риски из предыдущего пункта.

• Дополнительное программное обеспечение, которое могло бы быть опциональным, но таковым не является.

• Отдельную техническую поддержку, стоимость которой составляет значительный процент стоимости оборудования, но не включенную в цену.

Чтобы сделать подобные затраты для заказчика менее явными, распространенной практикой является закрытый прайс-лист, позволяющий устанавливать разные цены в зависимости от платежеспособности заказчика.

Компания «С-Терра СиЭсПи» – одна из немногих компаний – поставщиков VPN, которая открыто публикует свой прайс-лист. Первый год технической поддержки уже включен в стоимость продуктов. Средство централизованного обновления и мониторинга является полезным и удобным, но не обязательным для функционирования системы. Что касается средства выпуска ключевой информации, то заказчик может использовать любой УЦ, выпускающий ГОСТ-сертификаты, как существующий, так и технологический (Microsoft CA c Крипто-Про CSP), стоимость которого минимальна.

Стоимость продуктов и решений С-Терра значительно более привлекательна по сравнению с аналогами, предлагаемыми другими производителями СЗИ на отечественном рынке информационной безопасности. Это обусловлено гибким подходом к формированию прайс-листа, в котором представлены как программные средства защиты, так и шлюзы безопасности на базе аппаратных платформ от широко известных производителей с различными вариантами исполнения, обеспечивающими хорошую масштабируемость, высокую производительность, надёжность и отказоустойчивость, соответствующие при этом различным финансовым возможностям и удовлетворяющие необходимые для конкретного заказчика потребности.

Стоимость лицензий на право использования программных продуктов зафиксирована в рублях на срок не менее одного года, а цена подготовленных аппаратных комплексов шлюзов безопасности отражена в условных единицах. Это позволяет не только подобрать решение в рамках имеющегося бюджета, но и выполнять предварительное бюджетирование проектов: когда следует закладывать риски, связанные, в том числе, с инфляцией и колебанием валютного курса.

Кроме того, заказчик может предоставить для подготовки аппаратных комплексов шлюзов безопасности собственные аппаратные платформы (даже не включенные в перечень в открытых прайс-листах) по согласованной спецификации. Это позволяет заказчику использовать для защиты своих информационных систем шлюзы безопасности на базе аппаратных платформ выбранного производителя, при этом сокращая как затраты на «железо» в рамках крупных проектов или интеграции в существующую инфраструктуру, так и сроки поставки готовых криптошлюзов.

Для случаев, когда становится неудобным добавлять в информационную систему дополнительное оборудование или требуется минимизировать затраты, «С-Терра СиЭсПи» предлагает выгодный вариант использования сертифицированных регуляторами виртуальных шлюзов безопасности, не уступающих по функциональности и производительности аппаратным решениям. Стоимость виртуальных шлюзов С-Терра, как и других программных продуктов, указана в рублях и зафиксирована как минимум на один год.

Компания «С-Терра СиЭсПи» предлагает два варианта исполнения программных и аппаратных решений:

• на базе собственной встроенной сертифицированной криптографии ST, поддерживающей самые современные протоколы и технологии, удовлетворяющей, в том числе, требованиям ГОСТ 2012 года и ТК26;

• с использованием современных криптоалгоритмов от ведущего отечественного производителя СКЗИ – ООО «КРИПТО-ПРО».

О технических преимуществах каждого варианта сказано выше. Здесь отметим снижение стоимости решения при использовании криптографии ST – до 20% для клиентского ПО. Открытые прайс-листы на продукты С-Терра как с криптографией ST, так и криптографией СР размещены на сайте.

При выборе любого технического устройства необходимо обращать внимание на условия предоставления гарантийного и технического обслуживания. Срок гарантийного обслуживания аппаратных комплексов продуктов С-Терра транслируется от производителя платформы и составляет не менее трех лет. Техническое сопровождение программных комплексов С-Терра в течение одного года после приобретения осуществляется бесплатно. Стоимость же каждого последующего года технического сопровождения на программное обеспечение составит примерно 10% от стоимости решения.

Благодаря указанным в данном разделе преимуществам, сертифицированные продукты и решения С-Терра подходят для самого широкого спектра задач по обеспечению безопасности информационных систем, удовлетворяя требования различных сетей и позволяя оставаться в рамках любого бюджета.