При организации безопасного подключения корпоративных информационных систем к сети Интернет компаниям, использующим DF Cloud или размещающим оборудование в DataFort ЦОД (colocation) предоставляется возможность воспользоваться услугой по шифрованию канала связи.
В рамках услуги происходит организация одного или нескольких виртуальных соединений (сессий или туннелей, VPN) с использованием средств криптографии (шифрование, аутентификация, и авторизация, средства для защиты от изменений передаваемых сообщений) по публичным каналам Интернет.
Для удовлетворения требований к защищённости при установлении соединения и передаче данных используются стандартные промышленные протоколы и алгоритмы шифрования. В случаях, когда предъявляются особые требования по защищенности (например, требования ФЗ-152), Заказчик имеет возможность выбрать вариант услуги, использующий сертифицированные ФСБ и ФСТЭК РФ средства защиты и передачи информации. При организации защищённого доступа в корпоративную облачную инфраструктуру в рамках нормативно-правовых и пр. законодательных актов РФ используются зарекомендовавшие репутацию надежных и простых в управлении ПАК VipNet Coordinator HW.
Пользователи со стороны заказчика получают доступ к корпоративным ресурсам с любого устройства, находясь за пределами периметра безопасности сети (например, вне офиса). Для подключения к VPN-шлюзу создаются учётные записи с уникальными данными (пара логин/пароль).
Защищенная сессия организуется между VPN-шлюзом на платформе предоставления услуг и абонентским программным обеспечением, которое устанавливается на устройстве доступа пользователя. Управление политиками аутентификации и учётными данными пользователей осуществляется облачным провайдером.
Пользователи со стороны заказчика получают доступ к корпоративным ресурсам с любого устройства, находясь за пределами периметра безопасности сети (например, вне офиса). Для подключения к VPN-шлюзу создаются учётные записи с уникальными данными (пара логин/пароль).
Защищенная сессия организуется между VPN-шлюзом на платформе предоставления услуг и абонентским программным обеспечением, которое устанавливается на устройстве доступа пользователя. Управление политиками аутентификации и учётными данными пользователей осуществляется облачным провайдером.
Общий сценарий реализации услуги представлен на схеме ниже:
IBS DataFort услугу по шифрованию каналов связи предоставляет по двум сценариям:
- Сценарий по схеме соединения двух площадок «точка-точка» (site-to-site VPN).
Соединение «точка – точка» применяется для подключения всей локальной сети в одной локации к локальной сети в другой. Стандартный сценарий – подключение удаленных филиалов к центральному офису или дата-центру компании. При этом не требуется установка VPN-клиентов на устройства пользователей, так как соединение обрабатывает VPN-шлюз, и передача данных между устройствами в разных сетях происходит прозрачно. - Сценарий по схеме удаленного доступа пользователя к корпоративной сети(remote-access VPN).
Данная схема используется для предоставления сотрудникам компании безопасного доступа к корпоративной сети и её ресурсам через сеть Интернет. Это особенно актуально, когда для подключения к Интернету используется общественная точка доступа Wi-Fi или другие небезопасные способы подключения. Приложение – клиент VPN на удаленном компьютере или мобильном устройстве подключается к VPN-шлюзу сети компании, на котором производится аутентификация и авторизация пользователя. После успешного прохождения этой процедуры пользователь получает доступ к внутренним сетевым ресурсам (файловый сервер, базы данных, принтеры и другие) так, будто он подключен к локальной сети.
ПРЕИМУЩЕСТВА:
VPN без установления соединения обеспечивает повышенную надежность и устойчивость соединений через шлюз безопасности ViPNet Coordinator HW
Поддержка работы в современных мультисервисных сетях связи без ограничений по совместимости:
- со службами DHCP, WINS, DNS
- с динамическим преобразованием адресов (NAT, PAT)
- с использованием мультимедийных протоколов (SIP, H323, SCCP и другие)
Использование ПО ViPNet Administrator в качестве центра генерации ключей шифрования
Специальная архитектура файловой системы предотвращает возможность порчи образа операционной системы и ПО ViPNet при сбоях питания
Возможность повышения надежности координатора за счет его развертывания в составе кластера горячего резервирования (failover cluster)
ВОЗМОЖНОСТИ:
1. Сервер в защищенной сети ViPNet
ViPNet VPN-шлюз сетевого уровня (L3): защита соединений сетевого уровня (OSI) с шифрованием и аутентификацией
ViPNet VPN-шлюз канального уровня (L2): защита соединений канального уровня (OSI) с шифрованием и аутентификацией
Сервер IP-адресов (оповещение защищенных узлов о параметрах доступа друг к другу)
Маршрутизатор VPN-пакетов (маршрутизация и контроль целостности зашифрованных IP-пакетов, передаваемых между сегментами защищенной сети)
Маскирование структуры трафика за счет инкапсуляция в UDP, TCP
2. Фильтрация трафика (межсетевой экран)
Межсетевой экран с контролем состояния сессий и инспекцией прикладных протоколов. Раздельная настройка фильтрации для открытого и шифруемого IP-трафика
NAT/PAT
Антиспуфинг
Сервер «открытого Интернета» (организация безопасного подключения компьютеров корпоративной сети к Интернету)
Прокси-сервер
3. Сетевые функции
Статическая маршрутизация
Динамическая маршрутизация
Резервирование и балансировка WAN каналов
Поддержка VLAN (dot1q)
Агрегирование интерфейсов (bonding, EtherChannel(LACP)): резервирование и балансировка
Поддержка классификации и приоритезации трафика (QoS, ToS, DiffServ)
4. Сервисные функции
DNS-/NTP-/DHCP-сервер
DHCP-Relay
Поддержка ИБП (UPS)
Кластер горячего резервирования: отказоустойчивый координатор в конфигурации ViPNet Failover
5. Настройка и управление
Удаленная настройка ViPNet Coordinator с помощью ViPNet Administrator, веб-интерфейса, системной консоли
Удаленное обновление ПО ViPNet Coordinator с помощью ViPNet Administrator
Локальная настройка с помощью консоли
