Корпоративные VPN хотят выступить единым фронтом

Как отмечают эксперты, дефицит аппаратных платформ является серьезной проблемой, и возможным выходом из этой ситуации мог бы стать переход на виртуальные решения, но такой подход вызывает настороженность у регуляторов.

На площадке AM Live 13 апреля прошла конференция "Выбор корпоративного VPN-шлюза в условиях санкций". Как признали участники, данная задача серьезно усложнилась после ухода с рынка большинства зарубежных поставщиков. Как отметил модератор мероприятия руководитель направления сетевой безопасности Positive Technologies Денис Батранков, продолжает работу лишь считаное количество израильских и бразильских вендоров. Руководитель направления ГОСТ VPN "Ростелеком-Солар" Александр Веселов обратил внимание и на то, что по российским производителям VPN нанес серьезный удар уход с российского рынка практически всех поставщиков гипервизоров виртуализации с одной стороны и усилившиеся сложности с логистикой аппаратных платформ с другой. В таких условиях выиграли те, у кого был "план Б", причем это в равной степени относится к вендорам, интеграторам и заказчикам. Также серьезно подорожали все программно-аппаратные решения.

При этом многие заказчики оказались в очень сложном положении. Так, подорожание оборудования привело к тому, что его плановая модернизация для многих потребовала пересмотра бюджета. По оценке руководителя отдела продвижения продуктов компании "Код безопасности" Павла Коростелева, для них были возможны три стратегии: смена ИТ- и ИБ-инфраструктуры в экстренном режиме, оставить все как есть на перспективу ближайших года-двух и пытаться менять все постепенно. Архитектор по информационной безопасности Cross Technologies Павел Великов обратил внимание, что особенно сложно было тем, кто использовал шлюзы от ушедших с рынка вендоров для удаленного доступа. Эти системы оказались неработоспособны, и их пришлось менять в экстренном режиме. Однако госструктуры, как отметил Павел Коростелев, не пострадали: они обязаны использовать шифрование ГОСТ и, соответственно, отечественные решения, для них ничего не поменялось.

Руководитель продуктового направления "С-Терра СиЭсПи" Андрей Шпаков напомнил, что большинство устройств с функцией VPN-шлюза от иностранных производителей являются многофункциональными (NGFW или UTM). Полноценной замены таким системам корпоративного уровня отечественные вендоры пока предоставить не могут. По мнению Павла Коростелева, это утверждение справедливо в отношении высокопроизводительных устройств. Однако связка отечественного NGFW с отечественным же VPN-шлюзом вполне в состоянии заменить большинство зарубежных аналогов. Однако по удобству работы такое решение, скорее всего, будет уступать единому решению, тем более что в отечественных криптошлюзах часто отсутствуют API для интеграции с другими инструментами, входящими в состав NGFW.

Директор по развитию бизнеса и работе с партнерами компании "КриптоПро" Павел Луцик назвал не менее острой проблемой отзыв TLS-сертификатов, что породило целый ряд технических проблем. Александр Веселов посоветовал использовать восточные удостоверяющие центры или те, которые сертифицированы Минкомсвязи. Павел Луцик напомнил, что многие из российских компаний, попавшие под санкции, смогли получить сертификаты в одном из европейских удостоверяющих центров. Но уже через год ситуация может измениться, и необходимо получать сертификаты везде, где возможно.

Представители российских вендоров единодушны во мнении, что создать полностью российский программно-аппаратный VPN-шлюз в нынешних условиях нереально.

Старший менеджер отдела развития продуктов "ИнфоТеКС" Виталий Беличко напомнил, что отсутствуют пригодные для использования в таких ПАК процессоры, модули памяти, накопители отечественного производства. Андрей Шпаков назвал возможной альтернативой виртуальные комплексы, что также позволило бы снизить остроту проблемы дефицита аппаратных платформ. Но такой подход не находит полного понимания у регуляторов, и пока виртуальный ПАК можно сертифицировать только по уровню КС1, а его недостаточно для использования у многих коммерческих заказчиков, и это практически закрывает дорогу для использования в федеральных госструктурах. Виталий Беличко предложил создать альянс из разработчиков систем криптозащиты информации (СКЗИ) и гипервизоров виртуализации, целью которого стало бы донести до регулятора возможность сертификации криптосредств, работающих в виртуальных средах по более высоким уровням. И в целом, как отметил Павел Луцик, наличие СКЗИ в любом устройстве серьезно удлиняет и осложняет процесс сертификации.