Если не видно разницы - то зачем платить больше? А если она все-таки есть?…
Как, на мой взгляд, очень точно сформулировал Брюс Шнайер (Bruce Schneier), безопасность это не продукт, безопасность это процесс. Это высказывание очень точно подходит к описанию ситуации в области обеспечения информационной безопасности у нас в России, где, к сожалению, многие вещи происходят в обратном порядке: сначала организация создает сегменты корпоративной сети, затем создает и внедряет корпоративные информационные системы и … начинает создавать системы защиты от проникновения в эти системы и компрометации обрабатываемой информации. В результате корпоративные сети и базирующиеся на них информационные системы становятся громоздкими, сложно администрируемыми, начинают конфликтовать друг с другом.
Вследствие хаотического планирования корпоративной сети становится сложной задачей анализ уязвимостей.
Не говоря уже просто о том, что стоимость таких решений выше чем была бы, если бы задачи обеспечения безопасности были поставлены изначально. Но хватит рассуждений. Реалии, с которыми приходится сталкиваться в жизни, далеки от совершенства.
Начнем защищаться
Итак, на очередном этапе развития корпоративной сети, вы решили для себя, что информация, циркулирующая в ней, должна быть скрыта от посторонних глаз. Первое что приходит в голову - передавать ее между офисами по выделенным каналам связи. Но разум тут же отвергает такую идею. Во-первых, аренда таких каналов дело дорогое. К тому же корпоративная сеть скорее всего уже использует Internet, и хотелось бы как-нибудь использовать его возможности. Во-вторых даже при таком варианте данные придется защищать дополнительно - иначе они становятся доступны любому, нелегально подключившемуся к вашему выделенному каналу, а о том, что они всегда доступны провайдеру - и говорить не приходится. Значит, информацию придется шифровать. Передавать ее целесообразней через Internet, если на защищаемую сеть не накладывается дополнительных ограничений и требований. Но тут начинаются проблемы с тем, что сегменты корпоративной сети придется защищать от проникновения извне - потребуется межсетевой экран. Наверно стоит прервать перечисление вырастающих, казалось бы ниоткуда, проблем и начать подробно в них разбираться.
Аспекты шифрования
Сначала разберемся с шифрованием. Если речь идет о государственных структурах, то вопрос решается однозначно - выбор следует делать только в пользу сертифицированных ФАПСИ продуктов. В противном случае собственник информации сам вправе принимать решение о степени их защиты. Однако тогда придется помнить, что правильность реализации пусть даже самых известных и распространенных криптоалгоритмов в несертифицированных продуктах вам никто не гарантирует. Свой выбор придется делать лишь на уверениях производителя, его "громком" имени и вашем личном ему доверии. Сразу, кстати, стоит поинтересоваться, поддерживает ли приобретаемый продукт "выборочное" шифрование. Если нет - то ваша корпоративная сеть станет замкнута "на себя" и вы потеряете связь с внешними ресурсами. Если ваша компания придерживается строгой политики безопасности, то это, может, и не недостаток, однако кто способен предугадать, какие задачи вы будете решать в будущем?
С межсетевым экраном (МЭ) вопрос обстоит проще: многие из представленных на российском рынке продуктов, в том числе именитых, сертифицированы Гостехкомиссией. Уже на данном этапе подбора средств защиты, возникают первые сложности, заключающиеся в следующем: как лучше их расположить относительно друг-друга? Попытка спрятать VPN устройство внутри защищаемой МЭ области сети приведет к тому, что МЭ не сможет анализировать шифрованный трафик, что, в частности, ослабит защиту от внутренних атак. Установка VPN модуля перед МЭ оставляет его один на один со всей внешней агрессивной сетью. К тому же и стоимость такого решения "кусается". Решить данную проблему поможет объединение двух таких полезных функций в одном продукте.
Программно или аппаратно?
К счастью, на рынке представлено много систем, объединяющих функции МЭ и VPN. Но какую реализацию предпочесть - программную или аппаратно - программную? Тут все зависит от финансовых возможностей вашей организации. Легко ли будет убедить руководителя и главного бухгалтера в необходимости приобретения помимо средства защиты еще и необходимого количества (между прочим, достаточно производительных, а потому дорогих) компьютеров? Или есть возможность выделить под данную задачу необходимое количество компьютеров из числа имеющихся? А удобно ли иметь отдельные независимые гарантии разных организаций на комплектующие и программное обеспечение? А приятно ли будет узнать, что установка программного обеспечения невозможна или продукт работает неустойчиво, например, из-за некорректной поддержки именно вашего сетевого адаптера? Чтобы ответить на первый вопрос, необходимо ответить на все последующие.
Такой параметр, как число поддерживаемых сетевых интерфейсов, позволит сразу оценить гибкость приобретаемого решения: возможно ли будет одним VPN модулем обеспечить защиту нескольких сегментов корпоративной сети. Между прочим, некоторые VPN продукты предоставляют возможность разделять доступ между внутренними сегментами сети, что позволяет максимально адаптировать продукт к принятой корпоративной политике безопасности.
Как хотелось бы, чтобы VPN устройство, интегрированное в корпоративную сеть, никак не влияло на ее производительность. Однако не тут-то было… Узким местом в данной задаче становится шифрование данных - именно этот процесс вносит основной вклад в снижение пропускной способности VPN-тоннеля. К тому же в процессе туннелирования данных к ним неизбежно добавляется служебная информация (так называемые накладные расходы), что тоже отнимает на себя часть полосы пропускания. В этой связи актуальным становится наличие встроенной возможности сжатия данных, особенно если вы работаете с чувствительными к задержкам мультимедиа-сервисами.
Человеческий фактор
Но не стоит делать выбор, анализируя лишь технические возможности продукта. Стоит задуматься и о людях, которым придется с ним работать. Если продукт сложно администрировать, если он имеет много точек управления - ваш системный администратор скорее всего попросит существенного увеличения зарплаты (в худшем случае придется нанимать дополнительного человека). Кстати, сразу прикиньте, сколько времени ваш "сисадмин" будет разбираться во всех тонкостях применения данного продукта. Это позволит оценить продолжительность переходного этапа внедрения, в течении которого производительность работы ваших информационных систем упадет вследствии частых сбоев из-за ошибочных настроек или настроек, принятых по умолчанию но противоречащих логике работы в ваших сетях. Сократить этот период, а следовательно сэкономить ваши нервы и деньги, будет возможно, если имеется возможность обучить персонал использованию продукта на специализированных курсах.
Автономность, надежность, масштабируемость
А что делать, если у вас разветвленная сеть филиалов, штатный состав которых не позволяет иметь выделенного сотрудника, занимающегося администрированием локальных сетей? В данном случае необходимым условием, предъявляемым к продукту, будет способность работать в автономном режиме, не требующем присутствия и вмешательства администратора при нормальной работе. Идеальным же решением будет продукт, который при этом предоставит еще и возможность удаленно и централизованно управлять всеми компонентами VPN, например, из главного офиса компании. Кстати описанные возможности будут способствовать и более строгому соблюдению корпоративной политики безопасности, поскольку сотрудники на местах могут быть лишены возможности переконфигурировать располагающиеся у них VPN-устройства. Если проявить предусмотрительность и позаботиться о надежности функционирования корпоративной VPN, то необходимо узнать, насколько приобретаемый продукт готов к отказу своей аппаратной части. Если при этом потребуется полностью переконфигурировать VPN, а до этого ее компоненты не смогут общаться между собой - от такого решения стоит решительно отказаться. Предпочесть стоит такие решения, где выход из строя одной компоненты не нарушит всего информационного функционирования VPN. Желательно, чтобы имелась возможность "холодного" резервирования - это позволит восстановить работоспособность сегмента сразу после ремонта или замены вышедшего из строя оборудования. Хотя, если филиал предприятия находится очень далеко, пересылка туда нового оборудования или его приобретение на месте может вызвать определенные трудности и значительные временные задержки. Найти быстрый выход из этой ситуации вам поможет возможность "горячего резервирования", если она, конечно, предусмотрена разработчиками.
Неправильно будет не вспомнить и о конечных пользователях вашей корпоративной сети. Плохо, если продукт, например, потребует установки на их рабочие места дополнительного ПО, с которым им надо будет учиться работать, или оно не позволит работать с привычными им программами, не говоря уже о том, что в таком случае придется покупать новые программы.
Если вы любите заглядывать в будущее, и там вы видите перспективу расширения вашей фирмы, то уточните возможности масштабирования продукта. В идеальной ситуации подключение дополнительных сегментов не должно требовать переконфигурации имеющихся.
Подробно обсуждать такие вопросы, как наличие гарантии на продукт и осуществление продавцом или производителем полноценной технической поддержки, не стоит, но помнить о них необходимо.
Итак, ваш выбор
В заключении давайте попробуем составить "фоторобот" максимально - совершенного VPN продукта.
Прежде всего, это программно-аппаратный комплекс, сочетающий функции шифратора и МЭ, с возможностью поддержки более двух сетевых интерфейсов. Централизованное управление - обязательно, наличие дополнительных возможностей (например ролевое управление) - приветствуется. Продукт должен быть прост в установке и настройке, не требовать изменения топологии сети, изменения сложившейся политики взаимодействия с внешней сетью общего пользования. Немаловажные критерии - простота эксплуатации, возможность обучения персонала и наличие техподдержки. Непредсказуемость поведения такого сложного и постоянно растущего организма как сеть предприятия, предъявляет требования к масштабируемости, т.е. возможности включения в VPN дополнительных сегментов, и простоте данной операции.
Окончательный же выбор, сделанный по совокупности всех параметров, остается за потребителем…