Задача
Мы - вендор ПО. У нас есть контрагент, к API(в том числе к сетевым папкам) которого нам нужно подключаться по защищённому каналу с шифрованием по ГОСТ. По их схеме доступ организован через VPN-туннель в их сеть: инициатор подключения — мы, криптостек — КриптоПро. Нужна отказоустойчивость (два канала).

Собираем перечень закупки на нашей стороне (и для понимания — что должно быть у контрагента). Ниже черновик, буду признателен за замечания и дополнения.

НАША СТОРОНА — потребитель (кто подключается)

1. КриптоПро NGate Client — VPN-клиент, поднимает туннель в их сеть. Лицензия: нет (бесплатный). Кол-во: по числу хостов (мин. 1; 2 — резерв). ОС: Win/Linux/macOS/iOS/Android/Аврора.
   
2. КриптоПро CSP — ГОСТ-крипто на хосте клиента. Лицензия: да — основная платная позиция, класс КС уточнить (обычно КС1). Кол-во: на каждый хост.
   
3. Клиентский ГОСТ-сертификат — аутентификация на их шлюзе. Услуга аккредитованного УЦ, ГОСТ Р 34.10-2012. Кол-во: 1+.
   
4. Ключевой носитель (Рутокен/JaCarta) — хранение закрытого ключа. Покупка. Кол-во: по числу сертификатов.
   
5. Второй хост с клиентом (опц.) — отказоустойчивость доступа, дублирует пункты выше.
   
6. Два аплинка к разным провайдерам — резерв канала связи (услуги связи, не СКЗИ). Кол-во: 2.
   
7. Учёт СКЗИ и документация — поэкземплярный учёт CSP, приказы, журналы.
   

Не нужно у нас: NGate-шлюз, ЦУС, кластер — это инфраструктура контрагента.

СТОРОНА КОНТРАГЕНТА — издатель API (к кому подключаемся)

1. КриптоПро NGate — шлюз (ПО или ПАК) — режим Point-to-Site TLS VPN. Лицензия: да, по числу одновременных подключений. Кол-во: 1 (или 2 для кластера HA).
   
2. ЦУС КриптоПро NGate — управление и синхронизация. Лицензия: да. Кол-во: 1. Обязателен для кластера.
   
3. КриптоПро CSP (шлюз + АРМ админа) — базовый криптокомпонент NGate. Лицензия: да.
   
4. Серверный ГОСТ-сертификат шлюза — аутентификация шлюза. Услуга УЦ. Кол-во: 1+.
   
5. Ключевые носители (сервер/админ) — хранение ключей. Покупка.
   
6. Виртуальная платформа / серверы — хостинг шлюза (+ ЦУС). По проекту.
   
7. АРМ администратора — управление NGate. Кол-во: 1.
   
8. Два эндпоинта шлюза + два аплинка — отказоустойчивость канала.
   
9. Техподдержка и обновления — сопровождение, на период.
   
10. Учёт СКЗИ и документация — класс КС под модель угроз.