КриптоПро NGate

КриптоПро NGate – это универсальное высокопроизводительное средство криптографической защиты сетевого трафика, объединяющее в себе функционал:

  • TLS-сервера доступа к веб-сайтам (WEB TLS)
  • Сервера портального доступа (WEB Portal TLS)
  • VPN-сервера удаленного доступа (Point-to-Site TLS VPN)
  • VPN-сервера доступа между площадками (Site-to-Site IPsec VPN)

NGate обладает широкими возможностями по управлению различными типами доступа как с обеспечением строгой многофакторной аутентификации, так и прозрачно, обеспечивая при этом гибкое разграничение прав доступа к ресурсам. КриптоПро NGate (далее – NGate) реализует российские криптографические алгоритмы, сертифицирован по требованиям к СКЗИ, имеет сертификаты ФСБ России по классам КС1, КС2 и КС3 и может использоваться для криптографической защиты конфиденциальной информации, в том числе персональных данных, в соответствии с требованиями законодательства Российской Федерации по информационной безопасности.

Кроме этого NGate обеспечивает снятие нагрузки по обработке TLS-соединений с веб-серверов, позволяя им сосредоточиться на выполнении своих основных задач, а также исключает необходимость установки на каждом веб-сервере отдельного СКЗИ и проведения исследований по оценке влияния программного обеспечения веб-серверов на СКЗИ.

NGate может быть особенно полезен следующим типам организаций для обеспечения защиты передаваемой информации и удаленного доступа в соответствии с требованиями законодательства:

  • Субъекты критической информационной инфраструктуры;
  • Государственные и муниципальные органы власти и подведомственные им организации;
  • Операторы персональных данных;
  • Банки и другие организации финансового сектора;
  • Иные организации, которым необходимо обеспечить защиту передаваемой информации и удалённого доступа.

TLS-сервер доступа к веб-сайтам (WEB TLS)

В режиме TLS-сервера обеспечивается прозрачный защищённый доступ пользователей к защищаемым публичным веб-сайтам организации с использованием браузера и обеспечением уровня защищённости до класса КС3 включительно.

Таким образом, обеспечивается высокий уровень криптографической защиты сайта, функции шифрования выносятся на отдельный высокозащищённый шлюз, тем самым разгружая сайт, обеспечивая ему возможность использовать освободившиеся ресурсы на его основные функции. Кроме того, обеспечивается более высокий уровень защищённости сайта в целом.

При этом одновременно поддерживаются как отечественные, так и зарубежные криптографические алгоритмы, за счёт чего возможно обеспечение постепенного и бесшовного перевода пользователей на использование отечественных криптографических алгоритмов (TLS с ГОСТ) при доступе к веб-сайтам организации.

Так, например, в настоящее время, реализован доступ пользователей к официальному сайту КриптоПро, при котором, в случае поддержки браузером пользователя отечественных криптографических алгоритмов доступ к сайту автоматически осуществляется по TLS с ГОСТ, в иных же случаях — с использованием зарубежных алгоритмов.

В данном режиме решение также может использоваться для обеспечения криптографической защиты конфиденциальной информации в системах видеоконференцсвязи, телемедицины и других информационных системах, предоставляющих доступ пользователей через браузер.

При этом, помимо HTTP-трафика, данный режим предоставляет возможность криптографической защиты HTTP/2, REST, gRPC, WebSockets, а также произвольных протоколов на базе TCP.

КриптоПро NGate в режиме TLS-сервера доступа к веб-сайтам

Сервер портального доступа (WEB Portal TLS)

В дополнение к традиционным методам доступа, которые требуют установки VPN-клиента на удаленном устройстве, NGate обеспечивает возможность подключаться к внутренним ресурсам организации в том числе с использованием веб-браузеров, поддерживающих протокол TLS с ГОСТ. Это может быть особенно полезно в том случае, когда пользователям необходимо предоставить доступ к строго ограниченным ресурсам. Таким образом, значительно расширяются возможности и варианты управления доступом к ресурсам организации, а также появляются возможности наиболее гибко обеспечивать удалённый доступ различным категориям пользователей с разными уровнями доверия как к самим пользователям, так и к устройствам, с которых осуществляется удаленный доступ.

КриптоПро NGate в режиме портального доступа

В отличие от доступа по протоколу IPsec и другим протоколам уровня сети, которые обеспечивают доступ к ресурсам на уровне IP (подсеть или отдельный компьютер), с использованием портального доступа можно обеспечить более гибкое и безопасное разграничение доступа по протоколу TLS (SSL), ограничивая доступ пользователя в корпоративную сеть только определенными веб-приложениями.

Таким образом, режим сервера портального доступа может использоваться для организации персонального аутентифицированного доступа пользователей с использованием браузера к опубликованным на портале NGate ресурсам.

В процессе предоставления доступа проводится процедура аутентификации, после прохождения которой пользователь попадает на веб-портал, персонализированный в соответствии с ролью пользователя. При этом, на портале отображается список веб-ресурсов, доступ к которым разрешён пользователю в соответствии с корпоративными политиками безопасности. Список опубликованных ресурсов может быть произвольным, включая внутренние веб-сайты, порталы, консоли управления информационными системами и различные клиент-серверные приложения, доступ к которым может быть осуществлён через браузер.

КриптоПро NGate в режиме портального доступа

Для доступа к целевому ресурсу пользователю достаточно знать имя портала (например, employees.corp.ru), к которому ему необходимо подключиться. При этом администратор может создавать любое количество порталов доступа с разными политиками безопасности для различных групп пользователей (сотрудников, подрядчиков, заказчиков и т.д.).

VPN-сервер удалённого доступа (Point-to-Site TLS VPN)

Как правило, в решениях, используемых для удалённого доступа с использованием протокола TLS (SSL), отсутствует возможность обеспечивать доступ сотрудникам компании так же, как и при использовании протокола IPsec, когда можно подключать конкретного сотрудника к сети организации.

С использованием динамического VPN-туннеля шлюза NGate обеспечивается динамическое туннелирование – доступ клиентской машины к удаленной сети по любым протоколам и портам внутри туннеля без ограничения количества одновременно подключаемых приложений.

Таким образом, режим VPN-сервера используется для предоставления пользователям доступа к произвольным ресурсам корпоративной сети с помощью VPN-клиента, поддерживающего все популярные платформы. При этом разграничение доступа возможно на уровне подсетей, в том числе виртуальных (VLAN). При реализации VPN-доступа, также, как и в других режимах, возможно использование любых поддерживаемых методов аутентификации.

КриптоПро NGate в режиме vpn-сервера

VPN-сервер доступа между площадками (Site-to-Site IPsec VPN)

КриптоПро NGate 1.0 R2 с поддержкой протокола IPsec предоставляет возможность связать несколько территориально распределенных площадок (в том числе ЦОДов) в единую защищённую логическую сеть с подтверждением подлинности участников сетевого взаимодействия и обеспечением конфиденциальности и целостности передаваемых данных.

Для аутентификации сторон при построении Site-to-Site IPsec VPN можно использовать как PSK-ключи (Pre-Shared Key), так и сертификаты шлюзов.

КриптоПро NGate в режиме Site-to-Site IPsec VPN

Архитектура системы

Решение состоит из серверной (шлюз) и клиентской частей (VPN-клиент или браузер). Кроме этого, в состав решения входит центр управления сетью (ЦУС). Для небольших организаций без удалённых филиалов или без инфраструктуры, разнесённой на разные ЦОД, а также при отсутствии повышенных требований к отказоустойчивости и производительности, шлюз NGate вместе с ЦУС могут устанавливаться как единое решение на одну аппаратную или виртуальную платформу.

КриптоПро NGate простое исполнение

ЦУС необходимо устанавливать отдельно в тех случаях, когда необходимо управлять шлюзами, распределенными по инфраструктуре организации или при объединении нескольких шлюзов в кластер.

ЦУС позволяет производить настройку, мониторинг и управление всеми шлюзами доступа в организации с возможностью удалённой автоматизированной загрузки конфигураций на все узлы кластеров, а также получения в режиме онлайн параметров работы всех кластеров из единого центра управления.

КриптоПро NGate исполнение в виде кластера

Основные преимущества NGate

Соответствие требованиям регуляторов и ГОСТ. Компоненты решения сертифицированы ФСБ России по классам КС1, КС2, КС3 и используют в своем составе сертифицированное ФСБ России СКЗИ КриптоПро CSP с российскими криптографическими алгоритмами ГОСТ 28147-89, ГОСТ Р 34.11-94/ГОСТ Р 34.11-2012, ГОСТ Р 34.10-2001/ГОСТ Р 34.10-2012. При этом для классов КС2 и КС3 не требуется выполнение отдельных настроек, приобретение и конфигурирование электронных замков и прочих дополнительных мер защиты, все необходимое уже включено в аппаратные платформы решения.

Унификация доступа к ресурсам, в том числе с мобильных устройств. Поддержка широкого функционала с возможностью подключения как с использованием браузера, так и с использованием VPN-клиента, а также поддержка большинства клиентских операционных систем, в том числе мобильных (в отличие от других решений на рынке), позволяет унифицировать доступ пользователей с разнородных типов устройств и исключает необходимость приобретения и сопровождения нескольких отдельных продуктов.

VPN-клиентом поддерживаются следующие операционные системы:

  • Microsoft Windows 7/8/8.1/10;
  • MacOS X 10.10/10.11/10.12/10.13/10.14/10.15;
  • Linux (RHEL, CentOS, Debian, Ubuntu, ROSA, Astra, ALTLinux и другие);
  • iOS;
  • Android;
  • Аврора.

Наряду с использованием мобильного VPN-клиента NGate, возможно также использовать собственное мобильное приложение, посредством встраивания в него КриптоПро CSP, реализующего поддержку TLS с ГОСТ для операционных систем iOS, Android и Аврора.

Гибкое разграничение прав доступа. NGate обеспечивает возможность предоставления гранулированного доступа конкретным пользователям или группам пользователей к необходимым ресурсам с учетом применяемой политики безопасности. Шлюз интегрируется с Active Directory, LDAP и другими службами каталогов, содержащими списки пользователей, что избавляет от необходимости создания отдельной базы пользователей. Администратор может задать уровень доступа для конкретного пользователя или группы, а также ограничить доступ к определенному перечню приложений организации.

Широкий набор поддерживаемых способов и средств аутентификации. NGate поддерживает следующие способы аутентификации пользователя с возможностью их комбинирования и обеспечения многофакторной аутентификации:

  • без аутентификации (используется в режиме прозрачного доступа);
  • аутентификация по логину и паролю (MS Active Directory);
  • аутентификация с использованием сертификата (простая проверка на валидность); аутентификация по полям: Organization, Organizational Unit, Enhanced Key Usage);
  • аутентификация по UPN в MS Active Directory;
  • аутентификация с использованием сертификата в MS AD/LDAP;
  • различные методы многофакторной аутентификация, в т.ч. по одноразовым паролям, при интеграции со стандартными RADIUS-серверами.

NGate может одновременно интегрироваться с большим количеством различных центров сертификации для обеспечения доступа различных групп пользователей по доверенным сертификатам. В качестве ключевых носителей поддерживаются различные токены и смарт-карты Aladdin, Рутокен, Esmart и др., в том числе с использованием российской криптографии и сертификатов, созданных в соответствии с современными ГОСТ Р 34.11-2012, ГОСТ Р 34.10-2012.

Низкие требования к аппаратной платформе. Программные компоненты NGate существенно оптимизированы на этапе разработки, предоставляя максимальную на рынке производительность и предъявляя относительно невысокие требования к аппаратной платформе как для шлюза, так и для удаленного пользователя.

Масштабируемость. NGate гибко масштабируется и может применяться в различных сценариях. Шлюз обеспечивает возможность увеличения пропускной способности за счет объединения аппаратных мощностей в кластерную конфигурацию. Решение поддерживает работу в схеме высокопроизводительного кластера (до 32 узлов) с балансировкой нагрузки с полной синхронизацией сессий. При этом выход из строя какого-либо узла кластера не приводит к разрыву соединений, поскольку данные о сессии синхронизируются между устройствами балансировщиком и соединение перераспределяется на свободные узлы кластера.

Совместимость. Со стороны решения обеспечивается совместимость с различными продуктами, реализующими протокол TLS (SSL) на российском рынке в соответствии с методическими рекомендациями технического комитета по стандартизации ТК 26 (Криптографическая защита информации).

Высокая производительность, поддержка аппаратной и виртуальной платформ. NGate поставляется в виде программного обеспечения для использования в различных виртуальных средах, с обеспечением уровня защищённости класса КС1, а также в виде программно-аппаратного исполнения, представляющего собой специализированную IBM PC-совместимую платформу из имеющейся линейки аппаратных платформ с оптимальной производительностью с предустановленным ПО NGate и обеспечением уровня защищённости до класса КС3 включительно. При этом обеспечивается следующая максимальная производительность (средствами аппаратной платформы NGate 3000):

  • Пропускная способность в режиме VPN-сервера c обеспечением аутентификации – до 10 Гбит/с;
  • Поддержка одновременных аутентифицированных соединений - до 45 000;
  • Возможность обработки до 12 000 новых соединений в секунду.

Наличие экспортного варианта. На VPN-клиент NGate получена соответствующая нотификация ФСБ России, позволяющая экспортировать его за пределы Российской Федерации.

Интеграционные решения

Для обеспечения безопасности сети организации и размещенных в ней ресурсов NGate может использоваться в составе комплексных решений. Далее приведены примеры таких интеграционных решений.

Защита Единой биометрической системы (ЕБС). NGate входит в состав типовых решений Ростелекома, ЦФТ и IDSystems по обеспечению безопасности ЕБС, предоставляя возможность обеспечения криптографической защиты передаваемой информации на этапах сбора биометрических данных и удаленной идентификации пользователей при получении ими удаленных услуг.

Защита локальной и удаленной работы на произвольном ПК. Решение позволяет обеспечить защищенную работу на произвольном, в том числе на недоверенном ПК, а также защищенный удаленный доступ к ресурсам организации с такого ПК. Для этой цели NGate используется совместно с Рутокен ЭЦП 2.0 Flash, во Flash память которого устанавливается операционная система и VPN-клиент NGate. При работе данного решения пользователь подключает Рутокен ЭЦП 2.0 Flash к произвольному ПК и выбирает загрузку с USB-токена. В результате загружается ОС, которая гарантированно свободна от вирусов и не взаимодействует с файловой системой ПК. Для повышения уровня защищенности при этом применяется многофакторная аутентификация. При этом сотрудник может работать со своими документами локально, используя входящее в состав офисное ПО и сохраняя их в защищенном разделе флеш-памяти, а также может обращаться к корпоративным ресурсам, используя защищенное VPN-соединение между VPN-клиентом и VPN-шлюзом NGate.

Защита VDI. Интеграция NGate с VDI-системами позволяет обеспечить защиту передаваемой конфиденциальной информации, в том числе персональных данных, в соответствии с требованиями законодательства РФ по информационной безопасности.

Защита удаленного доступа со специализированных устройств. NGate предоставляет возможность реализовать защищенный удаленный доступ не только с классических стационарных и мобильных устройств, но и с различных специализированных аппаратных платформ, таких как:

  • промышленные планшеты MIG T10 и MIG T8;
  • уникальный планшет ПКЗ 2020, позволяющий обеспечить уровень защищённости КС3;
  • тонкие клиенты Dell Wyse и ТОНК;
  • аппаратные платформы Getac (ноутбуки, планшетные промышленные компьютеры и мобильные устройства), разработанные для применения в жестких условиях эксплуатации.

Защита Видеоконференцсвязи. Совместное использование NGate c российской системой ВКС TrueConf Server и другими подобными системами позволяет ИТ-специалистам, в том числе компаний-интеграторов, строить защищенные корпоративные сети ВКС для удаленного взаимодействия сотрудников с соблюдением требований законодательства Российской Федерации по информационной безопасности.

Защита Телемедицины. Совместное использование NGate с различными платформами Телемедицины позволяет обеспечить надежную защиту персональных данных, передаваемых в процессе удаленного взаимодействия врачей и пациентов, с соблюдением требований законодательства Российской Федерации по информационной безопасности.

Комплексная защита веб-приложений. Для этой цели NGate может использоваться совместно с межсетевым экраном прикладного уровня (WAF - Web Application Firewall) Wallarm в рамках единой виртуальной или аппаратной платформы NGate. Где NGate обеспечивает защищенный доступ к веб-приложениям, а Wallarm – защиту веб-приложений от целенаправленных атак. Данное комплексное решение позволяет организовать выявление и блокирование атак, обнаружение уязвимостей и отслеживание периметра с дообучением на основе анализа отслеживаемого трафика. При этом NGate может поставляться с уже протестированными профилями безопасности.

Комплексная защита сети. Для этой цели NGate может использоваться совместно с решением FortiGate в составе шлюза безопасности «Граница». Где NGate обеспечивает криптографическую защиту передаваемой информации, а FortiGate – межсетевое экранирование и обнаружение вторжений.

Централизованная загрузка политик безопасности на VPN-клиенты NGate. Данный функционал реализуется за счет интеграции NGate с системами класса Mobile Device Management (MDM), позволяющей производить централизованную установку VPN-клиентов, а также централизованную загрузку на них политик безопасности. В настоящее время протестирована совместимость с решениями Аврора Центр, SafePhone MDM и Microsoft Intune.

Мониторинг и управление событиями информационной безопасности. Для этой цели NGate поддерживает стандартные протоколы SNMP и Syslog и может выступать в качестве подконтрольного объекта как для системы мониторинга КриптоПро Центр Мониторинга, так и для сторонних систем мониторинга, направляя в них соответствующие сообщения.

Тестирование

Для самостоятельно тестирования функционала NGate можно скачать дистрибутив (достаточно вариант Complete) и установить его в виртуальной среде (рекомендуется использовать VMWare). В состав дистрибутива входит полнофункциональная лицензия сроком на три месяца. Для функционирования шлюза NGate необходимо получить сертификат аутентификации сервера в нашем или ином Удостоверяющем центре. В тестовых целях сертификаты можно получить в нашем тестовом удостоверяющем центре бесплатно и удаленно на три месяца.