СОИБ. Проектирование. Дизайн защищенных КСПД

Достаточно часто приходится проектировать защищенные КСПД или их сегменты. При этом стараюсь придерживаться лучших практик, таких как Cisco SAFE и т.п. (подборка у меня в блоге)

Как правило в них используются либо межсетевые экраны с функциями VPN либо маршрутизаторы с функциями VPN либо универсальные шлюзы безопасности с функциями VPN.  Но в российских реалиях эти практики приходится адаптировать. У нас два регулятора ФСТЭК и ФСБ со своими требованиями. Выполнить их в одном устройстве очень проблематично, о чем я уже писал в одной из предыдущих статей. Тем более что скоро завершаются продажи единственного сертифицированного ФСБ западного шлюза безопасности с функциями МЭ и VPN. Ещё одна российская реалия: из-за требований ФСБ приходится накладывать VPN поверх арендованных каналов.

Так что нам приходится использовать выделенные криптошлюзы, сертифицированные ФСБ. Куда лучше их приткнуть в общей схеме защищенной корпоративной сети? Такой вопрос часто задают Заказчики. У производителей нет ответа на этот вопрос. Если и приводятся схемы, то в них криптошлюзы, как сферические кони в вакууме - единственные сетевые устройства.

Давайте попробуем разобраться подробнее.

Рассмотрим ситуацию компании с двумя центральными офисами и множеством удаленных офисов. Для соответствия законодательству должны применяться сертифицированные средства защиты для всех каналов связи. Для высокой доступности используются арендованные корпоративные каналы связи (WAN) и подключения к сети Интернет. Для высокой доступности в центральных офисах должны использоваться кластеры сетевых устройств.  Локальные сегменты и сервисы рассматривать не будем, только Internet Edge (блок подключения к сети Интернет) и WAN Edge (блок подключения корпоративных каналов связи).

Посмотрим на схемы из лучших практик
WAN Edge


Internet Edge



Remote site




Где-то на этих схемах нужно разместить наши криптошлюзы.

Посмотрим на правильный порядок обработки WAN трафика из документа NG WAN. По хорошему сначала должен подключаться маршрутизатор (агрегация каналов, QoS), потом криптошлюз, потом маршрутизатор (mGRE, маршрутизация трафика). Хотя эти два маршрутизатора можно совместить в одном.


Получается такая схема WAN Edge с криптошлюзами



Internet Edge с криптошлюзами



Remote site с криптошлюзами




Если у нас много различных каналов связи и получается слишком много криптошлюзов на центральном узле, то можно совместить криптошлюзы WAN и  Inet. Такой дизайн также описан в лучших практиках







Комментарии

Unknown написал(а)…
В принципе все доступно и адекватно написано, что и следовало ожидать исходя из лучших практик, вот только применение решений на "ноге" через VLAN у многих представителей регулятора, да и проектировщиков, вызывает сомнения. Отчасти они оправданы. С формальной точки зрения в отечественных стандартах VLAN прослеживается косвенно, а как любят говорить компетентные органы - "покажите где это написано черным по белому". Хотя по факту вписать "в разрыв" просто невозможно.
18 июля 2014 г. в 03:22
Сергей Борисов написал(а)…
Когда у нас для межсетевого экранирования (в требуемых законом случаев) использовалась связка сертиф. МЭ и VLAN-ы на коммутаторах,
не встречал с этим особых проблем у представителей регулятора.

Криптошлюзы так вообще никаких проблем с VLAN не имеют. У нас есть требование - каналы выходящие за границы контролируемой территории должны шифроваться. Оно выполняется. То что происходит на контролируемой территории - уже не вопрос криптографии.
18 июля 2014 г. в 04:04
Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его
Далее...