Якщо не видно різниці, навіщо платити більше? А якщо вона все-таки є? Як, на мій погляд, дуже точно сформулював Брюс Шнайер (Bruce Schneier), безпека це не продукт, безпека це процес. Це висловлювання дуже точно підходить до опису ситуації в області забезпечення інформаційної безпеки у нас в Росії, де, на жаль, багато речей відбуваються у зворотному порядку: спочатку організація створює сегменти корпоративної мережі, потім створює і впроваджує корпоративні інформаційні системи і починає створювати системи захисту від проникнення в ці системи і компрометації оброблюваної інформації. В результаті корпоративні мережі та базуються на них інформаційні системи стають громіздкими, складно администрируемыми, починають конфліктувати один з одним.
Внаслідок хаотичного планування корпоративної мережі стає складним завданням аналіз вразливостей. Не кажучи вже просто про те, що вартість таких рішень вище ніж була би, якби задачі забезпечення безпеки були поставлені спочатку. Але вистачить міркувань. Реалії, з якими доводиться стикатися в житті, далекі від досконалості.

Почнемо захищатися

Отже, на черговому етапі розвитку корпоративної мережі, ви вирішили для себе, що інформація, яка циркулює в ній, повинна бути прихована від сторонніх очей. Перше що приходить в голову — передавати її між офісами по виділених каналах зв’язку. Але розум тут же відкидає таку ідею. По-перше, оренда таких каналів справа дорога. До того ж корпоративна мережа швидше за все вже використовує Internet, і хотілося б як-небудь використовувати його можливості. По-друге, навіть при такому варіанті дані доведеться захищати додатково — інакше вони стають доступні кожному, нелегально підключився до вашого виділеному каналу, а про те, що вони завжди доступні провайдера — і говорити не доводиться. Отже, інформацію доведеться шифрувати. Передавати її доцільніше через Internet, якщо на мережу, що захищається не накладається додаткових обмежень і вимог. Але тут починаються проблеми з тим, що сегменти корпоративної мережі доведеться захищати від проникнення ззовні — потрібно міжмережевий екран. Напевно варто перервати перерахування виростають, здавалося б, нізвідки, проблем і почати детально в них розбиратися.

Аспекти шифрування

Спочатку розберемося з шифруванням. Якщо мова йде про державних структурах, то питання вирішується однозначно — вибір слід робити тільки на користь сертифікованих ФАПСИ продуктів. В іншому випадку сам власник інформації має право приймати рішення про ступінь їх захисту. Однак тоді доведеться пам’ятати, що правильність реалізації нехай навіть найбільш відомих і поширених криптоалгоритмов в несертифікованих продуктах вам ніхто не гарантує. Свій вибір доведеться робити лише на запевненнях виробника, його «гучній» імені і вашому особистому йому довіру. Відразу, до речі, варто поцікавитися, чи підтримує продукт, що купується «вибіркове» шифрування. Якщо ні — то ваша корпоративна мережа стане замкнута «на себе» і ви втратите зв’язок із зовнішніми ресурсами. Якщо ваша компанія дотримується суворої політики безпеки, то це, може, і не недолік, однак хто здатний передбачити, які завдання ви будете вирішувати в майбутньому?

З міжмережевим екраном (МЕ) питання простіше: багато з представлених на російському ринку продуктів, у тому числі іменитих, сертифіковані Гостехкомиссией. Вже на даному етапі підбору засобів захисту, виникають перші труднощі, які полягають в наступному: як краще розташувати відносно один одного? Спроба заховати VPN пристрій всередині захищається МЕ області мережі призведе до того, що МЕ не зможе аналізувати шифрований трафік, що, зокрема, послабить захист від внутрішніх атак. Встановлення VPN модуля перед МЕ залишає його наодинці зі всією зовнішньою агресивною мережею. До того ж і вартість такого рішення «кусається». Вирішити цю проблему допоможе об’єднання двох таких корисних функцій в одному продукті.

Програмно або апаратно?

На щастя, на ринку представлено багато систем, які поєднують функції МЕ і VPN. Але яку реалізацію віддати перевагу — програмну або апаратно — програмну? Тут все залежить від фінансових можливостей вашої організації. Легко переконати керівника та головного бухгалтера в необхідності придбання окрім засоби захисту ще і необхідної кількості (між іншим, досить продуктивні, а тому дорогих комп’ютерів? Чи є можливість виділити під цю задачу необхідну кількість комп’ютерів з числа наявних? Зручно мати окремі незалежні гарантії різних організацій на комплектуючі та програмне забезпечення? А чи приємно буде дізнатися, що установка програмного забезпечення неможлива або продукт працює нестійко, наприклад, із-за некоректної підтримки саме вашого мережевого адаптера? Щоб відповісти на перше питання, необхідно відповісти на всі наступні.

Такий параметр, як кількість підтримуваних мережевих інтерфейсів, дозволить відразу оцінити гнучкість придбаного рішення: чи можливо буде одним VPN модулем забезпечити захист декількох сегментів корпоративної мережі. Між іншим, деякі VPN продукти надають можливість розділяти доступ між внутрішніми сегментами мережі, що дозволяє максимально адаптувати продукт до прийнятої корпоративній політиці безпеки.

Як хотілося б, щоб VPN пристрій, інтегрований у корпоративну мережу, ніяк не впливало на її продуктивність. Однак не тут-то було Вузьким місцем в даній задачі стає шифрування даних — саме цей процес вносить основний внесок у зниження пропускної здатності VPN-тунелю. До того ж в процесі тунелювання даних до них неминуче додається службова інформація (так звані накладні витрати), що теж забирає на себе частину смуги пропускання. У цьому зв’язку актуальним стає наявність вбудованої можливості стиснення даних, особливо якщо ви працюєте з чутливими до затримок мультимедіа-сервісами.

Людський фактор

Але не варто робити вибір, аналізуючи лише технічні можливості продукту. Варто задуматися і про людей, яким доведеться з ним працювати. Якщо продукт складно адмініструвати, якщо він має багато точок управління — системний адміністратор швидше за все попросить істотного збільшення зарплати (в гіршому випадку доведеться наймати додатковий людини). До речі, відразу прикиньте, скільки часу ваш «сисадмін» буде розбиратися у всіх тонкощах застосування даного продукту. Це дозволить оцінити тривалість перехідного етапу впровадження, протягом якого продуктивність роботи ваших інформаційних систем впаде внаслідок частих збоїв з-за помилкових установок або параметрів, прийнятих за замовчуванням але суперечать логіці роботи в ваших мережах. Скоротити цей період, а відтак заощадити ваші нерви і гроші, буде можливо, якщо є можливість навчити персонал використання продукту на спеціалізованих курсах.

Автономність, надійність, масштабованість

А що робити, якщо у вас розгалужена мережа філій, штатний склад яких не дозволяє мати виділеного співробітника, що займається адмініструванням локальних мереж? В даному випадку необхідною умовою, що висуваються до продукту, здатність працювати в автономному режимі, що не вимагає присутності і втручання адміністратора при нормальній роботі. Ідеальним рішенням буде продукт, який при цьому надасть ще й можливість віддалено і централізовано керувати всіма компонентами VPN, наприклад, з головного офісу компанії. До речі описані можливості будуть сприяти більш суворого дотримання корпоративної політики безпеки, оскільки співробітники на місцях можуть бути позбавлені можливості переконфігурувати розташовуються у них VPN-пристрої. Якщо проявити передбачливість і подбати про надійність функціонування корпоративної VPN, то необхідно дізнатися, наскільки продукт, що купується готовий до відмови своєї апаратної частини. Якщо при цьому потрібно повністю переконфігурувати VPN, а до цього її компоненти не зможуть спілкуватися між собою — від такого рішення варто рішуче відмовитися. Перевагу варто такі рішення, де вихід з ладу однієї компоненти не порушить всього інформаційного функціонування VPN. Бажано, щоб була можливість «холодного» резервування — це дозволить відновити працездатність сегмента відразу після ремонту або заміни вийшов з ладу обладнання. Хоча, якщо філія підприємства знаходиться дуже далеко, пересилання туди нового обладнання або його придбання на місці може викликати певні труднощі і значні часові затримки. Знайти швидкий вихід з цієї ситуації вам допоможе можливість «гарячого резервування», якщо вона, звичайно, передбачена розробниками.

Неправильно буде не згадати і про кінцевих користувачів вашої корпоративної мережі. Погано, якщо продукт, наприклад, потребує встановлення на їх робочі місця додаткового ПЗ, з яким їм треба буде вчитися працювати, або воно не дозволить працювати з звичними їм програмами, не кажучи вже про те, що в такому разі доведеться купувати нові програми.

Якщо ви любите заглядати в майбутнє, і там ви бачите перспективу розширення вашої фірми, то уточніть можливості масштабування продукту. В ідеальній ситуації підключення додаткових сегментів не повинно вимагати переконфігурації наявних.

Докладно обговорювати такі питання, як наявність гарантії на продукт і здійснення продавцем чи виробником повноцінної технічної підтримки, не варто, але пам’ятати про них необхідно.

Отже, ваш вибір

У висновку давайте спробуємо скласти «фоторобот» максимально — досконалого VPN продукту.

Насамперед, це програмно-апаратний комплекс, що поєднує функції шифратора і МЕ, з можливістю підтримки більше двох мережевих інтерфейсів. Централізоване управління — обов’язково, наявність додаткових можливостей (наприклад рольове управління) — вітається. Продукт повинен бути простий в установці та налаштування, не вимагати зміни топології мережі, зміни сформованої політики взаємодії із зовнішньою мережею загального користування. Важливі критерії — простота експлуатації, можливість навчання персоналу і наявність техпідтримки. Непередбачуваність поведінки такого складного і постійно зростаючого організму як мережа підприємства, висуває вимоги до масштабованості, тобто можливості включення у VPN додаткових сегментів, і простоті даної операції.

Остаточний же вибір, зроблений по сукупності всіх параметрів, залишається за споживачем