А вы доверяете своей сети?

Чтобы ответить на эти вопросы, предлагаем рассмотреть архитектуру ИТ-системы крупной государственной организации или компании. Один из типовых вариантов, который сегодня является наиболее распространенным и востребованным, базируется на централизованном разворачивании основных информационных, вычислительных и других ресурсов системы с последующим их предоставлением удаленным подразделениям и пользователям.

Головная или центральная часть системы, как правило, функционирует в составе ЦОДа или облачной платформы и включает в себя следующие виды ресурсов:
— веб-серверы для обработки клиентских запросов и взаимодействия с внутренними компонентами системы;
— серверы идентификации и авторизации пользователей;
— средства виртуализации унифицированных ресурсов;
— серверы приложений и сервисов, с использованием которых выполняется обработка данных, базы данных и СУБД;
— системы и сети хранения, резервного копирования и восстановления данных.

Центральная часть также может включать другие виды ресурсов, которые определяются конкретным назначением ИТ-системы. На границе головной подсистемы для ее подключения к внешней сети должны быть установлены средства защиты информации (СЗИ), которые обеспечивают ее безопасность от различных видов угроз:
— криптографическая защита для обеспечения конфиденциальности информации;
— средства обнаружения вторжений и межсетевого экранирования для защиты внутренних ресурсов от внешних атак и др.

Локальные подсистемы включают в себя инфраструктуру пользовательских рабочих мест, которые применяются для подключения к системе и работы в ней. Кроме того, они могут содержать локальные ресурсы, такие как терминальные сервисы, средства виртуализации и другие промежуточные компоненты системы в зависимости от ее архитектуры.
В пределах отдельной локальной или головной подсистемы функционирует внутренняя сетевая инфраструктура, которая обеспечивает связность между локальными узлами и подключение к сети общего пользования. Основу внутренней сетевой инфраструктуры составляют средства коммутации и маршрутизации пакетов информации.

Теперь вернемся к вопросам, на которые мы стремимся ответить. Если ИТ-система предназначена для работы со сведениями ограниченного доступа, то их обработку и хранение необходимо осуществлять с использованием аппаратно-программных средств, которые прошли проверку по требованиям безопасности информации. В частности, оснащение пользовательских рабочих мест должно включать сертифицированное программное обеспечение и средства зашиты информации, обеспечивающие соответствующий уровень защищенности. Аналогичные требования предъявляются к оборудованию, применяющемуся для размещения локальных сервисов. Средства защиты, которые устанавливаются по периметру локальной подсистемы и обеспечивают безопасное подключение к внешней сети, также должны быть сертифицированы в соответствии с действующим законодательством.

В итоге остается открытым вопрос в отношении оборудования, которое формально не отвечает за защиту информации, но обеспечивает непосредственную связь между всеми узлами подсистемы. В абсолютном большинстве случаев здесь применяется оборудование иностранной разработки и производства, которое не проходит какие-либо проверки и сертификацию. То же самое относится к внутренней инфраструктуре центральной подсистемы.
В условиях применения такого оборудования нельзя говорить о полноценном решении проблемы соблюдения необходимого уровня доверия ко всей подсистеме в целом.

Таково фактическое положение в инфраструктурах большинства действующих сейчас ИТ-систем. Оно во многом обусловлено нормами текущего законодательства в области безопасности информации, согласно которым требования по обеспечению безопасности предъявляется только к оборудованию, являющемуся средством защиты. Однако очевидно, что любые наложенные на сеть СЗИ могут оказаться неэффективными, если не обеспечен необходимый уровня доверия непосредственно к самой сетевой инфраструктуре. Более того, невозможно гарантировать полноценную безопасность информации, если для ее передачи используется оборудование, центры разработки которого находятся за пределами страны владельца информации. Иначе говоря, находясь в технологической зависимости от такой продукции и ее вендоров, нельзя полностью обеспечить один из трех основных аспектов безопасности информации, а именно ее доступность. Очевидно, что в современных условиях, когда в широких масштабах применяются прослушивание и кибератаки с использованием уязвимостей и скрытых в программно-аппаратных средствах возможностей, любое государство, стремящееся к обеспечению полноценной безопасности, должно гарантировать независимость своей инфраструктуры в широком смысле. Опыт других стран показывает, что для эффективного решения этой задачи, прежде всего, нужно построить собственные независимые сети, а затем на них накладывать средства защиты.

Каким образом решить задачу создания сетевых доверенных инфраструктур?

Для решения данной задачи компания Русьтелетех предлагает использовать оптимальный подход, который заключается в создании условий для трансфера актуальных сетевых технологий в Россию с целью их дальнейшего развития на независимых партнерских началах. Мы реализовали этот принцип с группой компаний Marvell Technology Group, которая является одним из мировых лидеров в области полупроводниковых систем для сетевых решений. Такой подход позволил нам преодолеть основные недостатки других возможных способов решения проблемы:

• получив доступ не к конечному оборудованию, а к лежащим в их основе технологиям, мы можем обеспечить любой требующийся уровень доверия и соответствующую сертификацию;
• получив доступ к технологиям мирового лидера в данной области, мы можем разрабатывать и производить сетевое оборудование, которое по своим функциональным характеристикам и производительности не уступает аналогам от ведущих вендоров;
• получив доступ на уровне технологий, мы можем создавать собственную линейку сетевого оборудования, обеспечив тем самым независимость от какого-либо вендора конечной продукции.

На основе такого подхода создана линейка продуктов и решений Русьтелетех, которые являются уникальными в плане обеспечиваемого уровня доверия в сочетании с высокими функционально-техническими характеристиками и производительностью: