Состояние рынка VPN шлюзов в России на апрель 2022 года

Состояние рынка VPN шлюзов в России на апрель 2022 года


Заказчики остались без подписок и поддержки для иностранных устройств и софта компаний Fortinet, Cisco, Palo Alto Networks, Juniper, внутри которых были шлюзы VPN. Часть устройств полностью перестало работать. В связи с этим на мероприятии AM Live мы обсуждали насколько быстро можно перейти на российские VPN и удовлетворяют ли они требованиям заказчиков. 

По нашему опросу больше 55% пришедших участников искали себе новые средства удаленного доступа, включая доступ по TLS и 39% site-to-site VPN. Павел Коростелев из Кода Безопасности считает, что в настоящее время повезло тем заказчикам, у которых уже был русский VPN, в частности это государственные заказчики.

Александр Веселов из Солар подсветил, что проблема еще усугубилась тем, что проблемно перейти на русские устройства VPN из-за их подорожания в 2 раза. А у большинства заказчиков бюджеты были заложены заранее. Андрей Шпаков из S-Terra объяснил, что подорожало железо, и это связано с нарушением цепочек поставок и отсутствием новых аппаратных платформ на рынке в принципе и приходится еще и возить через третьи страны аппаратные платформы. Множество платформ сегодня делается на основе тайваньского оборудования компании Lanner  и его сейчас трудно привезти.

Павел Луцик указал на то, что вдобавок к тому, что перестали работать VPN шлюзы, у работающих шлюзов были отозваны TLS сертификаты и это вызвало трудности с перевыпуском и быстрым переподключением у многих заказчиков. Сейчас по идее нужно переходить на сертификаты подписанные русским центрами сертификации, но для этого русские центры сертификации должны быть прописаны в браузеры. А это еще одна трудность и кому-то нужно договориться с производителями браузеров и с компанией Microsoft, чтобы добавить еще и в Windows корневой центр сертификации.

Павел Великов из Cross Technologies поделился, что часть производителей смогли быстро предоставить виртуальные версии VPN и заказчики смогли решить задачу удаленного подключения к офису достаточно быстро. Он видит, что часть заказчиков еще пытается держаться за иностранных поставщиков, а часть уже переходит на русские решения.

Андрей Шпаков и Павел Луцик рассказали, что все заказчики привыкли уже к VPN шлюзам в составе устройств UTM/NGFW и им приходится ставить вместо одного устройства сразу несколько решений. Также заказчики привыкли к второму фактору на базе смс в мобильные устройства а таких сертифицированных решений не существует. Сейчас приходится использовать VPN отдельно и UTM отдельно, что неудобно, поскольку часто нужно знать имя пользователя не только при аутентификации на VPN шлюзе, но и при написании правил межсетевого экранирования.

Еще одной трудностью по мнению Павла Великова является требование законодательства передавать ключи шифрования из рук в руки и это по сути вызов реальности, где люди находятся все по домам и им трудно так передавать ключи технически. В итоге из-за того, что российские производители делали устройство под требования российского законодательства, то они были ограничены и не могли в принципе реализовать некоторые необходимые фичи, такие как удобную двухфакторную аутентификацию, удобное распределение ключей, удобный API для интеграции с другими устройствами, что уже сделано иностранными производителями, которые не ориентировались на русские стандартны сертификации. При этом Павел Луцик из КриптоПро поделился тем, что их решения хорошо интегрируются с решениями класса MDM и NAC.

Павел Коростелев считает, что TLS шлюзы, которые публикуют приложения через браузер приносят много достаточно функционала ZTNA, поскольку контролируют что делать пользователь. 

Павел Коростелев считает, что сертифицировать клиент VPN по требованиям ФСТЭК и ФСБ одновременно практически нереально. И в итоге общий вывод, что сделать UTM c VPN сложно потому, что сложно сертифицировать одновременно VPN+МСЭ+СОВ. И в итоге производители вынуждены делать две ветки продуктов - для сертификации, чтобы соответствовать требованиям регуляторов и для заказчиков, которым удобство важнее, чем сертификат.

Получается, что и добавить такой функционал как compliance или допустим digital experience monitoring (DEM) тоже в сертифицированные клиенты невозможно. И это удел только несертифицированных решений.

Павел Луцик подсказал, что пока что для защиты неконфиденциальной информации можно пользоваться иностранной криптографией. Также в КИИ нет требований по использованию сертифицированной криптографии, кроме тех кто подключается к ГосСОПКА.

По схеме применения производители выделили две схемы применения для удаленного доступа: с программным клиентом и с подключением через браузер к VPN шлюзу. Павел Коростелев при этом считает, что есть три подхода, где самый правильный вариант подключения - выдать ноутбук корпоративный с VPN, второй вариант - экстремальный - поставить прямо на домашний компьютер пользователя, и еще гибридный вариант, когда выдается USB флешка с загружаемой операционкой. Клиентские приложения сегодня есть у российских производителей под Linux, MacOS, iOS, Android и Windows.

Когда мы перешли к вопросу интеграции вендора с вендором, то выяснилось, что у всех разные протоколы и стандартный IPSEC даже если и реализован, то возникают вопросы с передачей ключей шифрования. Инфотекс, например, создал свой протокол IPlir , который считает удобным для использования.

Александр Веселов поделился опытом работы со всеми производителями VPN и ситуация выглядит так, что до 10 Гбит/с у большинства производителей есть решения. Есть у некоторых аппаратные реализации, которые могут выдать до 40 Гбит/с. Сложности возникают при большом числе клиентов VPN и там приходится ставить уже несколько VPN шлюзов. Попытка поставить балансировщики упирается в поддержку ГОСТ алгоритмов. Компания Ростелеком-Солар проводит внутренние тестирования для выбора VPN шлюзов на оборудовании IXIA и стоит обратиться к ним, чтобы подобрать устройство с необходимой производительностью.

На пропускную способность VPN шлюза сегодня влияет
- размер пакета и размер транзакции
- количество новых сессий
- количество одновременных сессий
- количество правил журналирования
- количество правил фильтрации, если там есть межсетевой экран
Так много факторов, что тестирование производительности не так просто осуществить, особенно если это разные производители и разные функции реализованы у каждого.

На мой взгляд самое простое - референс, то есть пойти к компании, которая уже использует оборудование VPN и посмотреть какие устройства у него стоят и какую производительность они обеспечивают.

Все сказали, что самое трудное - это сроки сертификации. Я сам тратил на сертификацию производства TippingPoint и Proventia на каждый по 3 года и такой срок конечно уменьшает пользу - ведь пользоваться устройством трехлетней давности, лишь потому что оно сертифицированное заказчик чаще всего не хочет, да и не может, потому что за это время даже оборудование уже устаревает. И на мой взгляд это стоит обсуждать на ТК26.

И еще одна трудность была отмечена коллегами: системы управления. Удобство - это то, над чем сейчас нужно работать, чтобы заказчики были довольны.

Отзывы от слушателей по итогам мероприятия и вообще по используемым ими российским криптошлюзам выглядят вот так


Запись доступна ниже


По результатам конференции я выяснил, что в будущем производители ждут
- подорожания аппаратных платформ;
- множества запросов на виртуальные решения;
- ужесточения законодательства по использованию русского оборудования и софта;
- прихода подделок на основе opensource;
- интеграции криптошлюзов и NGFW;
- появление SD-WAN как новой фичи шлюзов.





Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!

ksiva

Пусть будет утренний в честь того, что я его создал утром.