Rambler's Top100
Статьи ИКС № 4 2022
Николай НОСОВ  04 октября 2022

Удаленный доступ через VPN в новой реальности

В условиях санкционных ограничений и регуляторного давления для удаленной работы предпочтительнее использовать российские решения. Драйвером роста рынка VPN станет резко увеличившийся спрос на услуги ЦОДов и облачные сервисы.

Новый стандарт работы – «удаленка»

Пандемия и карантинные меры привели к резкому и массовому переходу на удаленный режим работы. Преимущества использования компьютерных технологий оценили все. Бизнес экономит на аренде помещений, организации рабочих мест в офисе и командировочных расходах, сотрудники не тратят время и деньги на дорогу до работы и обратно. Поэтому и после отмены карантинных ограничений люди не стали спешить возвращаться в офисы. В лексикон прочно вошло слово «видео-конференц-связь» (ВКС), написание которого до сих пор вызывает споры. Удаленная работа стала нормой нашей жизни и одним из основных критериев при трудоустройстве. Так, по данным исследования «Группы ГАЗ», при выборе работодателя значимость возможности удаленной работы отмечали 75% женщин и 60% мужчин (рис. 1).
Источник: gazgroup.ru
Рис. 1. Удаленная работа как аргумент в пользу выбора работодателя

А 60% респондентов заявили, что не готовы работать только в офисе (рис. 2).
Источник: gazgroup.ru
Рис. 2. Готовность работать из офиса на постоянной основе

Причем особенно важна возможность удаленной работы для молодежи – об этом заявили более 70% респондентов в возрасте от 21 до 40 лет, прежде всего айтишники (77%), пиарщики, юристы и HR-специалисты (рис. 3).
Источник: gazgroup.ru
Рис. 3. Топ-5 дисциплин, респондентам из которых важно иметь возможность работать удаленно

Существующие риски

С началом пандемии бизнес-процессы перестраивали в авральном порядке, зачастую не задумываясь об информационной безопасности. Неудивительно, что массовый переход на удаленную работу самых разных предприятий и организаций вызвал всплеск киберпреступности.

Ситуация значительно осложнилась после февраля 2022 г. из-за геополитической обстановки. С одной стороны, приостановили или прекратили свою деятельность в нашей стране международные компании, во многом обеспечивавшие безопасную удаленную работу. Ушла занимавшая лидирующее положение на российском рынке сетевого оборудования компания Cisco. Опасаясь вторичных санкций, практически заморозила активность в России китайская Huawei, которую рассматривали как главного кандидата на замену американского гиганта. Приостановила продажи и поддержку клиентов лидер на рынке безопасных виртуальных рабочих мест компания Сitrix. Отказывает в продаже лицензий Мicrosoft.

C другой стороны, стране объявили настоящую войну в киберпространстве. Россия стала самой атакуемой страной в мире. В зоне риска оказались все российские компании независимо от размеров и вида деятельности. Для того чтобы попасть под атаку, достаточно иметь домен в зоне .ru. При этом атаки проводят не только антироссийски настроенные хакеры-любители, но и, как говорится в заявлении МИД РФ, украинские спецподразделения информационно-технического воздействия и «армия кибернаемников, перед которыми стоят конкретные боевые задачи, нередко граничащие с открытым терроризмом». 

Защита канала связи

Системы удаленного доступа – привлекательная цель для преступников. Под угрозой как передаваемая по внешней сети информация, так и конечные устройства – компьютеры пользователей.

При удаленной работе прежде всего надо организовать канал связи. До каждого регионального офиса и тем более сотрудника выделенную линию не проведешь – слишком дорого. Остается использовать сети общего доступа и развертывать поверх них виртуальные частные сети (Virtual Private Network, VPN). Самый простой и дешевый способ – через интернет.

Общедоступная сеть накладывает ограничения – мало организовать канал, нужно еще и шифровать трафик. Чем сложнее алгоритмы шифрования и выше надежность защиты, тем медленнее идет передача, ведь данные надо сначала зашифровать, а потом расшифровать, и на это тратятся ресурсы находящихся по обе стороны туннеля компьютеров. Недостаток компенсируется использованием специализированных программно-аппаратных средств для шифрования – криптографических шлюзов (VPN-шлюзов). В числе российских решений можно назвать криптошлюзы «С-Терра Шлюз» (производства компании «С-Терра СиЭсПи»), АПКШ «Континент» («Код Безопасности»), «Атликс-VPN» («НТЦ Атлас») и программно-аппаратные комплексы, в которые помимо криптошлюза входит межсетевой экран: ViPNet Coordinator HW («ИнфоТеКС») и ФПСУ-IP («Амикон» при участии «ИнфоКрипт»). 

Для организации безопасного зашифрованного канала применяются и программно-аппаратные комплексы с более широким функционалом, включающим в себя VPN-шлюз, межсетевой экран, средства обнаружения и предотвращения вторжений. В ряду таких систем можно отметить: Dionis-NX («Фактор-ТС»); Diamond VPN/FW (ТСС); Altell Neo («АльтЭль»); «Застава» («Элвис-Плюс»). Последний из перечисленных комплексов может служить также центром управления политиками безопасности.

Режим полного туннелирования на основе аппаратных криптошлюзов, установленных на обеих сторонах канала, обеспечивает наибольшую безопасность и производительность, но из-за высокой стоимости применяется в основном для защиты каналов связи с филиалами и другими удаленными площадками компаний. 

Для работы сотрудников проще использовать программную реализацию механизмов межсетевой фильтрации и шифрования. В условиях жестких санкций на поставку микропроцессоров и других ИТ-компонентов для рынка связи программные решения приобретают особую актуальность. «Наша компания, как и многие другие участники рынка средств информационной безопасности, столкнулась с ограничениями на поставку комплектующих для программно-аппаратных комплексов. Но для нас это не стало проблемой, поскольку мы предлагаем продукты также в виртуализированном исполнении: виртуализированный шлюз безопасности и виртуализированный межсетевой экран нового поколения», – отметил заместитель генерального директора компании «ИнфоТеКС» Дмитрий Гусев.

Помимо обеспечения безопасного доступа сотрудников к корпоративной сети (Remote-access VPN), защищенные каналы используются для объединения в единую сеть нескольких филиалов одной организации (Intranet VPN), для сетей, к которым подключаются заказчики или клиенты (Extranet VPN). Настройку и поддержку работы защищенных каналов осуществляют интеграторы или телеком-операторы, предоставляющие оборудование в аренду.

Многофакторная аутентификация

Поскольку устройство, с которого сотрудник подключается к информационной системе предприятия, находится вне периметра безопасности организации, существует риск несанкционированного доступа к VPN-каналу. Простой аутентификации – проверки подлинности пользователя путем сравнения введенных им логина и пароля с сохраненными в базе данных организации – становится недостаточно. Не помогут даже повышенные требования к используемым символам и длине пароля – его могут перехватить незаметно, внедрив зловред на устройство пользователя. Риск компрометации пароля усиливают фишинговые атаки и применение преступниками средств социальной инженерии. Да и службы безопасности нередко допускают халатность – не удаляют из базы логины и пароли уволившихся сотрудников. Поэтому правильный подход – использование многофакторной аутентификации. В качестве второго фактора проверки подлинности сотрудника и правомерности его доступа задействуют токены, биометрию, push- и sms-сообщения, подтверждение через социальные сети или телефон.

Производящие средства двухфакторной аутентификации компании предоставляют свои услуги в виде готовой платформы, устанавливаемой в защищаемом периметре заказчика, а также в виде облачного сервиса (SaaS). Пример такой реализации – продукт Multifactor компании «Мультифактор» (рис. 4). 
Источник: «Мультифактор»
Рис. 4. Общая схема системы Multifactor

После проверки логина и пароля запрос отправляется во внутреннюю сеть – на сервер аутентификации, который служит единым центром администрирования всех процессов проверки подлинности для всех приложений и сервисов. Промышленные серверы такого типа поддерживают целый набор методов аутентификации. Как правило, это OATH HOTP, TOTP, OCRA, PKI-сертификаты, RADIUS, LDAP, обычный пароль, SMS, CAP/DPA. Каждый ресурс, использующий сервер аутентификации, может задействовать метод, который требуется именно ему. Логин пользователя передается в облако, через которое осуществляется проверка второго фактора. 

Среди других российских решений двухфакторной аутентификации можно выделить продукты JaCarta компании «Алладин Р.Д.» и сервис AUTH.AS от компании RCNTEC, входящие в Единый реестр российских программ для ЭВМ и баз данных.

Прогноз развития рынка

В годы пандемии, по данным iKS-Consulting, российский рынок услуг VPN рос на 1–2% в год (рис. 5). Геополитические изменения и санкции привели к необходимости оптимизации затрат, что сказалось и на бюджетах ИТ-служб. Прогнозируется, что по итогам 2022 г. рынок сократится на 3,8%.
 
Источник: iKS-Consulting
Рис. 5. Динамика объема рынка услуг VPN (все технологии) в РФ, 2020–2022П гг., млрд руб.

Услуги VPN предлагают в основном российские операторы связи, а среди зарубежных заметную долю (9%) в 2021 г. имела только французская Orange Business Services, которая может сильно пострадать из-за ухода с российского рынка своих клиентов – зарубежных компаний. Игроков много, конкуренция высокая. Лидирующие позиции (45%) занимает «Ростелеком», а региональные операторы представлены слабо, и, по мнению аналитиков iKS-Consulting, и их доля в ближайшие годы будет сокращаться из-за обострения конкуренции как с федеральными операторами, так и с интеграторами.

Таблица. Уровень проникновения VPN разных типов в разрезе основных отраслей, 2020 г.
 
Источник: опрос Минцифры России, более 190 тыс. средних и крупных предприятий РФ, 2020 г.

Сложная экономическая ситуация отражается на прогнозах развития рынка VPN. Рынок насыщен, проникновение услуг VPN на внутрирегиональном рынке в ряде отраслей превышает 50%, но все же потенциал для роста есть. Например, за счет все еще слабо используемых межрегиональных VPN-подключений. Особенно контрастно использование внутрирегиональных и межрегиональных VPN-подключений в торговле (см. таблицу).
 
Источник: опрос Минцифры России, более 190 тыс. средних и крупных предприятий РФ, 2020 г.
Рис. 6. Уровень проникновения VPN разных типов в разрезе предприятий различного размера, 2020 г., %

Рост возможен и за счет более широкого проникновения услуг VPN в сегмент среднего и малого бизнеса (рис. 6). Да и крупный бизнес, активно применяющий VPN, столкнется с проблемами модернизации, в том числе из-за прекращения поддержки оборудования ушедшими с российского рынка компаниями.

Дефицит оборудования тормозит развитие корпоративных on-premise решений и повышает привлекательность облачных сервисов. Резко возросший спрос на услуги ЦОДов и облачные сервисы и, как следствие, на защиту каналов связи станет драйвером роста рынка VPN.

Ставка на российское

Прошли те времена, когда наиболее беспечные банки выходили из внутренней сети в интернет без NAT и межсетевого экрана – с «белых» IP-адресов. Сейчас это такая же дикость, как квартира без замка в многоэтажке. Сегодня «замки» и защищенные каналы используют все. 

Уход с российского рынка западных поставщиков средств защиты каналов связи усложнил использование их аппаратных и программных продуктов. Конечно, можно ничего не предпринимать и ждать окончания срока действия лицензий, надеясь, что к тому времени ситуация нормализуется и западные вендоры вернутся в Россию. Можно переходить на продукты компаний, не покинувших российский рынок, но нет гарантий, что изменения в геополитической обстановке не подтолкнут к уходу и их.
До начала спецоперации на Украине перспективным вариантом замены выглядело использование свободного ПО, но в последнее время в этих программах выявлены десятки специальных ориентированных на конкретные страны закладок, что заставляет относиться к СПО с осторожностью. Многие компании после февраля даже прекратили обновлять такие продукты.

Интерес к российским решениям стимулирует Указ Президента РФ № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», согласно которому с 1 января 2025 г. иностранное ПО запрещается использовать компаниям с госучастием, ЗОКИИ и органам государственной власти. Вариантов развертывания новых и поддержки старых VPN много. Каждая компания выбирает, исходя из оценки рисков и уже сделанных инвестиций. Наиболее безопасный путь – использовать российские продукты.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!