Сразу хочу отметить исходные условия:
- вопросы необходимости сертификации СКЗИ в данной статье не рассматриваются;
- постоянно возникают задачи из всего спектра существующих средств построения VPN быстро выбрать те, которые походят под ограничивающие условия у Заказчика (а уже потом из тех, которые в принципе будут работать делать сравнение по функциям)
- функциональные возможности средств защиты удаленного доступа в данной заметке не рассматриваются
- основными ограничивающими условиями для защищенного удаленного доступа являются – типы устройств с которых должен осуществляться доступ, используемые операционные системы и требуемый класс криптографической защиты (КС1, КС2, КС3). По этим условиям легко проводить объективное сравнение – все они приведены в формулярах на СКЗИ
- речь идет о защите удаленного доступа типовых пользователей крупной и средней компании (то есть не единичного АРМ, а ноутбуков с разными ОС и желательно планшетов)
Вариант КС2.
Начну с выводов: если речь идет о ноутбуках, то решения фактически отсутствуют. С планшетами ситуация ещё хуже.
Обоснование: в формулярах на все СКЗИ в исполнении КС2 указывается необходимость использование средств защиты от несанкционированного доступа из следующего перечня:
- Программно-аппаратный комплекс с физическим датчиком случайных чисел "Соболь"
- Аппаратно-программный модуль доверенной загрузки универсальный КРИПТОН-ЗАМОК/У
- Программно-аппаратное средство "Аккорд-АМДЗ"
- Специальный загрузочный носитель - СЗН "МАРШ!-USB"
Возьмем, к примеру, Аккорд-АМДЗ. Единственными моделями в принципе подходящими для ноутбуков являются варианты Mini PCI Express и Mini PCI Express half-size. Но и в нем поддерживаются далеко не все модели BIOS и аппаратных платформ на ноутбуках. Перечень моделей, протестированных производителем, невелик . Перед каждым проектом нужно собирать подробный перечень моделей и отправлять производителю + время на тестирование + не всего оно возможно.
Например, у нашего пользователя есть довольно популярный MacBook Air . Куда там ставить Mini PCI Express? Его и открывать то нельзя. А если откроем – увидим что свободного слота там нет. Да и операционная система OS X Lion этого ноутбука так-же не поддерживается.
Соболь – ситуация аналогична Аккорду, толь ещё хуже, потому что модель Mini PCI Express только появилась и даже не сертифицирована ФСБ.
Криптон – вообще только PCI Express и для ноутбуков не подходит.
Загрузочный носитель МАРШ! – вроде подходит для всех ноутбуков, поддерживающих загрузку сUSB. Но какие он поддерживает ОС – Fedora и AltLinux? А где же наш Windows 7 Корпоративный (про OS X молчу)? Пересаживать всех пользователей на Linux? Нет – руководство заказчика на это не пойдет (ведь они же первые используют удаленный доступ с ноутбуков).
У Вас возникает вопрос – а кто вообще требует КС2/КС3 для удаленного доступа? Кому пришла в голову такая глупость?
Во-первых, такая ситуация возникает, когда пишется модель нарушителя по ФСБ сразу для всей области защиты. КС1 – это нарушитель Н1. Н1 – это нарушитель не имеющий физического доступа к средствам обработки организации. Н2 – отличается от Н1 тем что может получить физический доступ к средствам обработки организации. Чтобы обосновать Н1, нам фактически придется обосновать что все сотрудники являются доверенными лицами. Если по-честному, то после такого сильного утверждения применять средства защиты внутри организации вообще не требуется.
Во-вторых, требуемый класс защиты часто спускается отраслевым регулятором или вышестоящей организацией. В регионе такую ситуацию можно наблюдать регулярно.
В-третьих КС2 или даже КС3 может потребоваться в соответствии с будущими документами ФСБ по защите ПДн. По версии Алексея Лукацкого эти требования будут выглядеть так . И КС2 и выше там вполне могут быть.
PS: Следует продолжение по КС1, ссылки на формуляры и таблица сравнения.
