СОИБ. Проектирование. Инженеры по сетевой безопасности тоже плачут (от КС2)

СОИБ. Проектирование. Инженеры по сетевой безопасности тоже плачут (от КС2)
Я достаточно много писал про проблемы и сложности использования сертифицированных ФСБ решений по удаленному доступу (remote VPN) в общем и сертифицированного по классу КС2 и выше в часности.

Но когда вы устанавливаете себе требования КС2 и с обычными криптошлюзами и Site-to-SiteVPN можно испытать много горя.

Поставить электронные замки в криптошлюзы – проблема не такая большая. Да, они займут место, необходимое для доп. сетевых интерфейсов, но подставятся.

Проблема вот где – при каждом запуске криптошлюза, необходимо чтобы сетевой инженер бежал к нему с монитором, клавиатурой, таблеткой и локально вводил пароль администратора. Никакие варианты типаSSH, консольного, терминального – не подходят.

Во-первых, у инженера по сетевой безопасности пропадает возможность преднастраивать криптошлюзы и не выезжать на удаленные узлы при подключении криптошлюзов.

Во-вторых криптошлюз нам придется перезагружать. Кроме производственных случаев обновления, обслуживания, сбоев и т.п. есть ещё требования эксплуатационной документации. Приведу несколько цитат:

· “При использовании шлюза StoneGate Firewall/VPN, системы централизованного управления SMC и клиентского компонента StoneGate Firewall/VPN Client необходимо не реже чем раз в неделю осуществлять перезагрузку технических средств с установленными компонентами СКЗИ.” – из правил пользования 89625543.4012-001 90 02

· Криптошлюзы, использующие в своем составе КриптоПро ссылаются “ Требования по криптографической защите изложены в документе «Руководство администратора безопасности» КриптоПро CSP”. В свою очередь этот документ содержит “Требования по криптографической защите …. 10. Ежесуточная перезагрузка ПЭВМ.

У других СКЗИ могут быть аналогичные требования. Криптошлюзы у нас разбросаны по удаленным узлам, до которых добираться иногда приходится более суток (ну в среднем возьмем - пол дня)

В итоге не каждые 2 криптошлюза сертифицированных ФСБ по классу КС2 приходится нанимать дополнительного администратора. Если у нас 100 удаленных узлов, то можете представить какую армию инженеров по сетевой безопасности придется содержать и в какую дополнительную стоимость обойдется эксплуатация такой системы защиты.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь