June 6, 2022

Криптографический шлюз

Критошлюз – программный или аппаратно-программный комплекс, работающий на основе технологии VPN (Virtual Private Network – «виртуальная частная сеть») и обеспечивающий «прозрачное» шифрование информационных сетевых потоков между объектами, отдаленными друг от друга.

Использование криптографических шлюзов необходимо в том случае, если нужно обеспечить целостность и конфиденциальность передаваемых данных, которые отправляются по незащищенным или непроверенным каналам связи. VPN в таком случае может быть организована по принципу «сеть-сеть» или «сеть-удаленный пользователь». Если используется принцип «сеть-сеть», то криптографический шлюз необходимо установить с обеих сторон канала связи. В таком случае трафик между ними будет зашифрован. В случае использования принципа «сеть-удаленный пользователь» программный или аппаратный криптошлюз устанавливается на стороне сервера, пользователю достаточно лишь установить программный клиент.

Доступ к ресурсам защищенной сети

Сервер доступа (программное обеспечение криптошлюза) идентифицирует и аутентифицирует пользователей и связывает их с необходимыми узлами сети. Созданные защищенные каналы образовывают VPN-сети. Для обеспечения работы такой сети используется специализированное ПО (центр управления), которое управляет локальными политиками безопасности клиентов и отправляет всем пользователям конфигурационные данные, ведет системные журналы.

Функциональные возможности

Базовые функции криптошлюзов следующие:

  • защита конфиденциальности и целостности передающихся IP-пакетов;
  • аутентификация удаленных узлов и пользователей;
  • скрытие топологии внутренней сети с помощью инкапсуляции трафика в зашифрованном канале передачи данных.

Криптошлюзы часто выполняют функции межсетевых экранов. Но не в каждом случае они могут быть такими же гибкими и настраиваемыми, то есть не могут сравниться своим функционалом с полноценным межсетевым экраном.

Отличия и особенности криптографических шлюзов

На сегодняшний день разработано много технологических и схемных решений для организации защищенной передачи данных через сеть. Самая распространенная технология – средство криптографической защиты класса Hub-and-Spoke, в котором каждый канал связи соединяется с центром, и Full Mesh, при котором все каналы соединяются между собой. Отдельно взятые разработчики могут по-своему реализовывать технологии использования VPN.

С точки зрения применяемых протоколов криптошлюзы с Virtual Private Network можно разделить на:

  • проприетарные протоколы (частные разработки), которые несовместимы с какими-либо другими решениями;
  • протоколы класса IPSec/IKE (IP Security и The Internet Key Exchange);
  • протоколы класса SSL/TLS (sockets layer и transport layer security).

Сценарии использования

Криптографические шлюзы могут использовать в следующих случаях:

  • Для защиты личных данных в сети конкретного предприятия.
  • Для защиты конфиденциальной информации согласно действующему законодательству РФ. Например, при сохранении доступа к профессиональной или коммерческой тайне, данных о застрахованных людях и т.д.
  • Для защиты данных, хранящихся в сетях органов исполнительной власти.
  • Для предотвращения несанкционированного перехвата любой информации (например, о коммерческих заказах различных организаций, а также оказанных ими услуг, если речь идет о государственной деятельности).
  • Для защиты данных, которыми владеют какие-либо госструктуры или предприятия, работающие с госзаказами.