В рубрику "Защита информации и каналов связи" | К списку рубрик | К списку авторов | К списку публикаций
С.А. Ясько
Эксперт, к.т.н.
В настоящей статье сделана попытка детально проанализировать средства организации VPN с позиций системного интегратора. Цель статьи - заострить внимание производителей на непрозрачности рынка, а конечных пользователей - на различных функциональных возможностях существующих средств и проблеме обоснования выбора средства системным интегратором при отсутствии четких критериев со стороны заказчика.
Предпосылки анализа
В последние годы на российском рынке VPN-продуктов наблюдается значительное оживление. Во-первых, рынок осознает важность функциональности: VPN позволяет не просто установить защитное устройство на периметре корпоративной сети (например, межсетевой экран), но и построить стойкую границу вокруг всей корпоративной сети, включая каждый офис, а при необходимости - каждое рабочее место и каждый сетевой пакет.
Во-вторых, заметно ускорился темп развития функциональности в VPN-продуктах отечественных производителей.
Наконец, практически все мировые лидеры технологий сетевой безопасности - Cisco Systems, Check Point Software Technologies и Nortel Networks - предприняли значительные усилия при проведении локализации своих VPN-продуктов для их применения в России. И, нужно отметить, деятельность названных компаний в этом направлении еще далеко не завершена.
Вместе с тем, действуя в рамках требований заказчика при решении задачи обоснования выбора конкретного решения из множества существующих, системные интеграторы, как правило, сталкиваются с тем, что выбор оптимального продукта непосилен не только для заказчиков, в задачи которых не входит экспертиза сложной и специальной технологии, но и для самих системных интеграторов, которые, казалось бы, призваны выработать подходы к выбору оптимальных решений.
И дело здесь не в сложности технологии (которая действительно сложна) и не в том, что интеграторы не уделяют должного внимания выбору адекватного решения с учетом критериев к средствам защиты от НСД, определяемых заказчиком [1]. Ситуация в высшей степени затруднена тем, что российский рынок VPN-продуктов, достаточно развитый в технологическом отношении, абсолютно непрозрачен и неструктурирован в части продуктового предложения.
Проблемы оценки рыночного предложения и формирования решения для заказчика
Почему пользователь нуждается в прозрачности рынка? Пользователь должен понимать, какой продукт ему наиболее подходит технически. Приоритетом для него является ясно оформленное продуктовое предложение. На втором месте - прозрачное ценообразование. Пользователь должен понимать, какой продукт ему экономически выгоднее. И в том и в другом случае у пользователя возникают большие проблемы...
По технике на рынке доминирует описание в стиле "наш продукт обеспечивает уникальную защиту" - без пояснения, как эта защита организована. Более того, в составе материалов Web-сайта отдельно взятого производителя можно найти несколько противоречащих друг другу утверждений.
В отношении ценообразования - несколько компаний публикуют свои прайс-листы, но официальной информации о цене продукта и данных по прочим продуктам нет.
Выбор критериев сравнения VPN-продуктов
Задача выбора критериев сравнения VPN-продуктов применительно к российскому рынку достаточно сложна. Поэтому в ряде случаев аналитики удовлетворяются самыми общими характеристиками [2]. Однако "общность" этого анализа ведет к тому, что он не учитывает важнейших деталей и поэтому непригоден для выбора решения [3]. В связи с этим в настоящем обзоре принята попытка дойти до конкретики, расширить критериальную базу анализа VPN-продуктов.
С самой общей точки зрения можно выделить четыре группы критериев для сравнения VPN-продуктов:
Все четыре области сравнения, населены, по меткому выражению сэра Фрэнсиса Бэкона, демонами...
Демоны машины (технические характеристики)
Сравнение технических механизмов защиты VPN-продуктов представляется наиболее простым, однако и здесь может возникнуть ряд противоречивых оценок.
Вопрос первый: является ли безусловным преимуществом использование стандартных протоколов? В общем случае стандартизация - важное преимущество, ценность которого, прежде всего, в совместимости решений и в документированности поведения продукта. Однако позиция "только стандарт" слишком радикальна. На российском рынке (и, строго говоря, на западном тоже) присутствует ряд достаточно авторитетных нестандартных решений.
Дополнительным аргументом в пользу стандартов является их исключительная техническая проработанность. Детальный разбор специфики стандартных решений выйдет далеко за пределы замысла статьи, однако следует упомянуть три важных преимущества архитектуры IKE/IPsec, которые не всегда есть в нестандартных продуктах:
Вопрос второй: криптография. Какие криптографические библиотеки лучше применять? "Свои" (встроенные) или "чужие"? Нужны ли в VPN западные алгоритмы? Какой спектр криптоалгоритмов необходим для реализации VPN?
Здесь необходимо учитывать действующее законодательство, а также то, что все сертифицированные ФСБ криптобиблиотеки обладают достаточной стойкостью в том смысле, что их реализации соответствуют стандартам, а стандарты стойки по отношению к современным и перспективным методам криптоанализа. Таким образом, кажется, что все сертифицированные криптобиблиотеки достаточно хороши. Однако в случае применения "внешних" криптобиблиотек (такую возможность предоставляет почти половина ведущих игроков VPN-рынка) у пользователя появляется шанс унифицировать процессы эксплуатации криптосистем и ключевых инфраструктур в VPN и в прочих приложениях. Это - несомненный плюс, поскольку практика показывает, что эксплуатация криптографии - ответственный и довольно дорогостоящий процесс, а Закон РФ "О коммерческой тайне" позволяет собственнику самостоятельно устанавливать режим защиты своей конфиденциальной информации.
Что касается применения западных криптоалгоритмов, то их нельзя использовать в областях, где законодательство прямо регулирует вопросы защиты информации, передаваемой в незащищенных каналах связи, выходящих за пределы контролируемой зоны. Однако можно допустить, что существует "ниша" для использования западных алгоритмов (наряду с российскими) в областях, где они применяются как дополнительное средство защиты, например в качестве только средств управления доступом и аутентификации узлов сети, или как тестовое обеспечение.
Наконец, в вопросе о составе криптоалгоритмов, которые можно применять в VPN, ситуация выглядит так: стандарт IPsec (включая протокол управления ключами IKE) рассчитан на применение полного спектра криптоалгоритмов - от шифрования до электронно-цифровой подписи. При этом ряд российских VPN-продуктов использует только стандарт шифрования по ГОСТ 28147. Эти продукты ни в коем случае не следует рассматривать как менее криптостойкие. Однако у продуктов, применяющих электронно-цифровую подпись, есть два вполне весомых преимущества:
Другая важнейшая группа критериев оценки - качество интеграции VPN-продукта в сетевую инфраструктуру.
Сегодня любой "сетевой" продукт должен адаптироваться к "обстановке" в сети. Здесь на уровне абсолюта следует требовать две функции:
На современном этапе в разряд обязательных переходит также требование поддержки качества сетевого обслуживания (QoS) для защиты трафика данных, голоса и видео одновременно.
Еще одним важным аспектом интеграции в сеть является поддержка стандартных протоколов сигнализации (ICMP), мониторинга (SNMP) и событийного протоколирования (Winlog, Syslog). Без этих функций взаимодействие со смежными сетевыми устройствами и инфраструктурой сети будет ограничено, а эксплуатация защищенной сети сильно подорожает.
Трудность сравнения российских VPN-решений по перечисленным выше параметрам состоит в том, что параметры комплексны. К примеру, сравнение реализаций систем событийного протоколирования требует рассмотрения информационной базы протоколирования (насколько полный состав событий она в себе несет) и вопросов интеграции с внешними системами. Расписывая сравнительную таблицу двух продуктов только по этой теме, мы получим число микрокритериев, сравнимое с числом регистрируемых событий, не говоря уже о сравнении функциональности частного "Центра управления и мониторинга" и, скажем, мощнейшего Syslog-сервера компании NetForen-sics...
Демоны комплексности
Начать здесь следует с того, что понятия "комплексность" и "интеграция" участники рынка трактуют существенно по-разному. Если взять за основу понятие "комплексности", как его понимает компания Cisco Systems, то это набор сетевых сервисов, вписанных в единую инфраструктуру коммуникаций, управления, аутентификации, мониторинга и аудита.
Что касается "комплексности" отдельного устройства, то тут мнение Cisco неоднозначно. Универсальное устройство ("все в одном флаконе"), типа ASA, рекомендуется для малых и средних по масштабу решений. Когда речь идет о крупных корпоративных решениях или о провайдерских сетях, обрабатывающих огромные объемы трафика, Cisco меняет позицию на противоположную: здесь требуется прежде всего производительность и в этом случае настоятельно рекомендуется использовать специализированные устройства (одни - маршрутизируют, другие - фильтруют, третьи -шифруют). И в этом подходе, безусловно, есть логика.
Напротив, компания Check Point (и здесь рядом с ними можно поставить идеологию решения, например, "Элвис Плюс") ставит перед собой задачу создания функционально полного решения по типу "наложенная защищенная сеть" от одного производителя. Обе компании показывают в этой идеологии очень достойные решения. С некоторым функциональным проигрышем к этому классу решений следует отнести также предложения компаний "Информзащита" и "Амикон". Подход этих компаний вполне логичен, однако выделенная наложенная сеть, вероятно, будет несколько дороже в эксплуатации, нежели интегрированное решение "коммуникации + защита".
Также этим компаниям можно бы пожелать рассмотреть возможность оперативного управления одним устройством. Дело в том, что в предлагаемых решениях центр управления - это довольно громоздкая интегрированная платформа, к которой, правда, часто предоставляется удаленный доступ администратора. Такая архитектура системы может оказаться недостаточно оперативной, в случае когда администратору нужно срочно отработать отказ или взлом отдельного устройства. Иногда в такой ситуации может выручить только прямой и информационно ненагруженный способ доступа (например, консольное подключение к отдельному устройству). Такое соединение "пробьет" любой канал, включая модем на шумящем канале или GPRS.
Совсем другую идеологию "комплексности" исповедуют компании "Инфотекс" и "Фактор-ТС". Здесь под комплексностью также понимается "все в одном флаконе", но это - совсем не то, что пытается предложить рынку, например, Cisco в устройстве ASA. Если у Cisco в один флакон "наливаются" исключительно сетевые сервисы безопасности (межсетевой экран, VPN, шлю-зовый антивирус, контентный фильтр и т.п.), то у упомянутых российских компаний комплекс "межсетевой экран + VPN" дополняется прикладными сервисами, такими, как электронная почта, защищенный документооборот и т.п.
Этот подход корнями восходит к 1990-м годам. В то время он был вполне оправдан, поскольку рынок продуктов защиты информации был абсолютно ненасыщен, а заказчики работали с крайне бедными ИТ-бюдже-тами. Но сегодня такое предложение выглядит рудиментарным. Российский разработчик уже не может угнаться за прикладной и почтовой инфраструктурами Microsoft или IBM, в которые сегодня успешно встраивается российская криптография. Поэтому мотивация заказчиков к использованию малофункциональных ИТ-ин-фраструктур резко падает.
Как атавизм также следует рассматривать нестандартный "центр управления ключевой информацией". Инфраструктуры открытых ключей распространились повсеместно, и заставлять сегодня заказчика сопровождать несколько ключевых систем не совсем правильно. Скорее, VPN должны вписываться в современные ключевые инфраструктуры, единые для средств защиты сетевого, транспортного и прикладного уровня.
Наконец, еще два крупных игрока российского VPN-рынка - "Инфоси-стемы Джет" и "Голлард" не упоминают в своем продуктовом решении приоритет комплексности как таковой. Эти компании сконцентрировали свои усилия на потребительских свойствах своих продуктов.
Демоны скорости
В сравнении производительности VPN-продуктов дела обстоят еще сложнее. Во-первых, участники рынка дружно вводят в заблуждение в вопросах оценки номинальной (рекомендуемой для применения) производительности. Все публикуемые измерения производительности, и российские и западные, производятся на длине пакетов в 1,5 килобайта (или 1,5 килобайта минус длина служебных заголовков защиты). Эти цифры не могут быть прямо сопоставлены с производительностью канала, который необходимо защитить. Дело в том, что производительность системы (причем не только VPN-шлюза, но и маршрутизатора, и межсетевого экрана) падает в 4-8 раз при уменьшении длины пакета от 1,5 килобайт до 64 байт. Таким образом, для применения шлюза безопасности на канале заданной производительности нужно брать пиковую производительность этого устройства и делить ее на 2-4 в зависимости от реальной статистики трафика. Корректной практикой являлась бы публикация для каждой системы пиковой производительности и закона изменения производительности в зависимости от длины пакета. Альтернативой является рекомендация производителя по применению определенной системы под заданный канал связи. В открытых источниках удалось найти такие рекомендации, публикуемые ЗАО "С-Терра СиЭсПи".
Далее: те, кто применяет системы сжатия данных, часто публикуют информацию о "производительности в режиме одновременного сжатия, фильтрации и шифрования". Такое измерение представляется мало полезным для сравнения VPN-функцио-нальностей, поскольку в нем реальная производительность шифрования равна опубликованной интегральной производительности, разделенной на коэффициент сжатия данных. Если в тестовом измерении на вход VPN-шлюза подать поток из чистых единиц, производительность в сравнении с реальными данными, может быть завышена в 10 раз и более.
Кроме того производительность системы зависит от сложности политики безопасности VPN-шлюза. Чем больше правил содержит политика безопасности VPN-шлюза, тем ниже его производительность по обработке потока данных. Таким образом, сравнительные измерения должны производиться при одинаковых (или функционально подобных) политиках безопасности.
Далее, производительность системы зависит от аппаратной платформы. Чем мощнее платформа, тем выше производительность шлюза (грубо -пропорционально тактовой частоте процессора). Измерения в многопроцессорных системах также сильно зависят от диспетчеризации потоков вычислений в операционной системе. В этой ситуации производительность может существенно зависеть от политики безопасности. Таким образом, сравнительные измерения надо производить на одинаковых платформах или хотя бы на однопроцессорных машинах с одинаковой архитектурой процессоров и приводить результат к единой норме по частоте процессора.
Кроме того, часть продуктов на VPN-рынке - программные VPN-шлюзы. Данные по их производительности производители вообще избегают публиковать, поскольку всякий пользователь ставит продукт на "свой" компьютер.
Резюмируя вышесказанное, можно сказать:
Факты проведения таких исследований для обоснования выбора VPN-продуктов нам известны. С учетом собственного опыта [4] и сведений, собранных из других источников, такая процедура занимала не менее нескольких месяцев с задействованием ресурсов заказчика, соисполнителей проекта и с привлечением представителей производителей. Бюджет такой работы может составить десятки тысяч долларов.
Демоны денег
Строгое экономическое обоснование выбора VPN-решения потребует усилий не меньших, чем сравнительный анализ потребительских качеств, включая производительность. Причины здесь следующие:
Как же быть заказчику, а особенно системному интегратору, который желает проанализировать ценовые аспекты различных решений при их обоснованном выборе? Скорее всего, у них просто нет альтернативы тому, чтобы запросить у производителей и партнеров сметные оценки по своему проекту. При этом лучше всего строго делить и сравнивать отдельно следующие составляющие:
Необходимо отметить, что по последнему параметру - ТСО - заказчику можно рекомендовать самостоятельную проверку с карандашом и калькулятором, а лучше - совместно с исполнителем проектного решения. Очень часто встречаются расчеты ТСО, составленные двумя конкурентами-производителями друг против друга, в которых каждый убедительно доказывал, что стоимость эксплуатации именно его продукции много ниже, чем у конкурента.
Резюме
Изложенный выше анализ не претендует на исчерпывающую полноту, не дает окончательных рекомендаций по выбору продукта или решения для конечного заказчика. Он ориентирован на то, чтобы дать общую оценку ситуации на рынке российских VPN, поставить вопрос о проблемах этого рынка. Приведенные данные в силу объективных обстоятельств страдают неполнотой и могут быть не точны. Поэтому, было бы, наверное, важно не ставить точку в обсуждении проблем этого рынка, одного из важнейших в индустрии информационной безопасности. Автор был бы признателен всем, кто сможет конкретизировать и дополнить представленные выше данные, а также не настаивает на "законченности" выводов и готов к конструктивной дискуссии.
Литература
Опубликовано: Журнал "Технологии и средства связи" #6, 2006
Посещений: 11991
Автор
| |||
В рубрику "Защита информации и каналов связи" | К списку рубрик | К списку авторов | К списку публикаций