Безопасность каналов связи и передаваемых по ним данным — один из наиболее важных аспектов обеспечения информационной безопасности для любой компании. Какой канал считается защищенным? Какие технологии применяются для построения таких каналов? Сегодня ответим на эти вопросы и разберемся, в каких ситуациях бизнес обязан использовать защищенные каналы связи по требованиям законодательства РФ.
![dreamstime_xxl_98060619.jpg dreamstime_xxl_98060619.jpg](/upload/medialibrary/5e9/uek2eyz214aj5kjng0wq9ockkautuxl3/dreamstime_xxl_98060619.jpg)
Зачем нужны защищенные каналы связи
Что происходит, когда вы открываете на своем ноутбуке или смартфоне браузер и заходите на какой-либо сайт? В этот момент ваш браузер взаимодействует с сервером, который после запроса «отдает» контент сайта. Однако до того, как трафик доберется из точки А в точку Б, он пройдет через множество сетевых устройств — маршрутизаторов и коммутаторов.
Эти устройства находятся в зоне ответственности разных организаций, поэтому гарантировать безопасность данных на всем пути, который проходят сетевые пакеты, просто невозможно.
В случаях, когда компании по требованиям собственной службы безопасности необходимо гарантировать безопасность данных, и применяются защищенные каналы связи. Чтобы передаваемые данные нельзя было изменить или подсмотреть, при их построении используются средства криптографии и аутентификации.
- Криптография
- Аутентификация
Криптографические решения модифицируют передаваемую информацию при помощи математического алгоритма и ключа. Благодаря тому, что один из этих элементов (чаще — ключ) засекречен, данные защищены от несанкционированного доступа. Их можно без проблем вернуть в первоначальный вид, если и алгоритм, и ключ известны.
Как и в случае с криптографией, ключевыми понятиями аутентификации являются алгоритм на базе хэш-функции и ключ. Однако здесь алгоритм уже не имеет отношения к шифрованию данных. Он используется для создания электронной подписи. Без ключа и алгоритма «повторить» ее невозможно.
Когда данные отправляются в «пункт назначения», вместе с ними посылается и электронная подпись. Она позволяет проверить, не были ли изменены данные в процессе передачи. Делается это очень просто: от полученной информации генерируется еще одна электронная подпись и сравнивается с той, которую прислал источник. Если подписи отличаются — данные подвергались модификации.
Защищенные сети VPN
Интернет — это сеть общего пользования, поэтому для передачи конфиденциальной информации используются виртуальные сети VPN. Между двумя узлами, которые обмениваются данными, строят защищенный VPN-туннель. Такой способ обеспечивает конфиденциальность, сохранность и целостность информации, передающейся по сетям общего пользования.
![dreamstime_xxl_124593248_1.png dreamstime_xxl_124593248_1.png](/upload/medialibrary/2c0/iobe60u8u9r559q0jdimcvwq21nyw1g2/dreamstime_xxl_124593248_1.png)
VPN-туннели позволяют строить безопасные каналы связи между офисами, филиалами компании, а также обеспечивать доступ к корпоративным данным для сотрудников, работающих удаленно.
Защита данных реализуется следующим образом:
- передаваемые данные шифруются криптографическими средствами;
- пользователи виртуальной сети проходят аутентификацию;
- данные проходят проверку на предмет подлинности и целостности.
Выделяется два популярных способа построения VPN-канала:
- между локальными сетями
- между локальной сетью и узлом
Используется в качестве замены дорогостоящим каналам. Такой канал ЛВС-ЛВС строится, когда нужно постоянное соединение между площадками.
Чаще всего такой способ, как правило, используется для подключения мобильных и удаленных сотрудников к корпоративной ИТ-площадке.
Типы VPN, их преимущества и недостатки
Защищенное соединение может быть построено на базе различных протоколов. Рассмотрим наиболее распространенные из них, разберем плюсы и минусы каждого.
- PPTP
- L2TP
- IPsec
- SSL и TLS VPN
Туннельный протокол типа точка-точка появился еще в 90-е годы прошлого века. Определенный плюс в этом есть — PPTP поддерживается практически всеми операционными системами, даже достаточно старыми. К тому же, этот протокол совершенно нетребователен к уровню производительности — ему достаточно небольшого количества ресурсов.
Однако минусы PPTP обойти сложно. По современным меркам он предлагает достаточно низких уровень защиты. PPTP не предусматривает шифрования по умолчанию, а получить несанкционированный доступ, используя современные методы, можно менее чем за 24 часа.
Layer 2 Tunneling Protocol был опубликован в том же году, что и PPTP, и во многом на него похож. Принято считать, что L2TP все же более эффективен при построении виртуальных сетей, чем его «современник», но и требовательнее к ресурсам, пусть и совсем немного. Как и в PPTP, в L2TP тоже нет шифрования по умолчанию. Как правило, используют его в паре с другими протоколами, например, IPSec.
Internet Protocol Security — это не один, а целое множество протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP. Работа над ним началась еще в 1990-е, однако цели сделать протокол «раз и навсегда» не стояло. По этой причине IPsec регулярно получал развитие в соответствии с актуальными требованиями времени.
Сегодня IPsec — это десятки стандартов (причем каждый из них имеет несколько версий), описывающих разные этапы работы с защищенными соединениями. Его неоспоримые плюсы — архитектура, высокая надежность алгоритмов и технические возможности.
Конечно, свои недостатки у IPsec есть, пускай и очень условные. В частности, настройка таких протоколов требует определенной квалификации и опыта. Также IPsec достаточно требователен к вычислительным ресурсам. Частично это компенсируется применением аппаратного ускорения определенных вариантов алгоритма шифрования AES, который применяется в современных версиях протокола IPsec.
Это целый класс решений, в основе которых лежат криптографические протоколы SSL/TLS. Их практическими реализациями являются OpenVPN и Microsoft SSTP. Первый, в силу своей open source природы и, как следствие, открытости, используется буквально во всех популярных ОС: Windows, Linux, Mac OS, FreeBSD, Android, iOS, Solaris и других.
VPN для безопасного подключения ИТ-площадок
Виртуальные сети VPN активно используются для подключения к облачным сервисам, предоставляемым в формате Infrastructure-as-a-Service.
Например, к облаку #CloudMTS можно подключиться несколькими способами с применением VPN.
- Через IPsec VPN поверх сетей общего пользования (интернет) с помощью VMware NSX.
- Через L3 VPN (доступно для подключения в качестве отдельного сервиса).
- Через VPN S-Terra.
Третий способ актуален при подключении к аттестованному Облаку 152-ФЗ. Это специализированный сервис для размещения информационных систем персональных данных (ИСПДн). В целях повышения отказоустойчивости Облако 152-ФЗ построено на базе сразу нескольких площадок. Соединение между ними реализовано с помощью site-to-site VPN-тоннеля с применением сертифицированных криптошлюзов.
Если ваша компания собирает, хранит и обрабатывает ПДн или вы планируете подключаться к государственным информационным системам (ГИС) — обратите внимание на Облако 152-ФЗ от #CloudMTS:
- аттестация; УЗ-1/К1;
- гарантия выполнения приказов ФСТЭК №17 и №21;
- SLA 99.95%.