Алексей КомаровКаталог средств защиты информации
КриптоПро NGate
КриптоПро NGate – это высокопроизводительный VPN-шлюз на базе протокола TLS, который позволяет безопасно и быстро организовать защищённый доступ удалённых пользователей к корпоративным ресурсам через незащищённые сети, например, сеть Интернет.
NGate обладает широкими возможностями по управлению доступом удалённых пользователей как с обеспечением строгой многофакторной аутентификации, так и прозрачно, обеспечивая при этом гибкое разграничение прав доступа к ресурсам. КриптоПро NGate (далее – NGate) реализует российские криптографические алгоритмы, сертифицирован по требованиям к СКЗИ, имеет сертификаты ФСБ России по классам КС1, КС2 и КС3 и может использоваться для криптографической защиты конфиденциальной информации, в том числе персональных данных, в соответствии с требованиями законодательства Российской Федерации по информационной безопасности.
Основные особенности КриптоПро NGate
- Простая реализация разграничения прав. В отличие от аналогичных систем, существующих в данный момент на рынке, КриптоПро NGate обладает возможностью обеспечения взаимодействия с удалёнными пользователями со строгой многофакторной аутентификацией. То есть пользователи получают доступ только к определённым ресурсам, с учётом применяемой к ним политики безопасности. В результате существенно упрощается процедура администрирования большого количества разных групп пользователей с доступом к большому числу различных ресурсов, что уменьшает ошибки администрирования, и снижает риск утечки конфиденциальных данных.
- Наличие клиентов под многие платформы. В настоящее время для разных типов доступа часто используют различные шлюзы (портальный с TLS (SSL), для клиентского доступа IPsec и другие), что приводит к необходимости использования VPN-клиентов, которые у других решений есть далеко не для всех платформ. При использовании шлюза КриптоПро NGate такой проблемы не существует. Поскольку к нашему шлюзу имеются различные VPN-клиенты под практически все операционные системы, для администраторов это упрощает управление подключениями с разнородных типов устройств.
- Доступ через браузер. При доступе через браузер пользователи попадают в свой личный портал, персонализированный в соответствии с ролью. При этом в нем отображается список ресурсов, к которым пользователи имеют доступ в соответствии с корпоративными политиками. Список ресурсов может быть произвольным, включая web страницы портала и клиент-серверные прикладные программы.
- Аутентификация с использованием токенов. КриптоПро NGate поддерживает различные токены доступа, такие как Аладдин, Рутокен, Esmart и многие другие. В том числе с использованием российской криптографиии и сертификатов созданных в соответствии с самыми современными ГОСТ Р 34.11-2012, ГОСТ Р 34.10-2012.
- TLS offloading. NGate может использоваться для снятия нагрузки по обработке TLS-соединений с бэкэнд-серверов. Это позволяет как существенно повысить производительность, так и снять нагрузку с серверов доставки данных, позволяя им стабильно выполнять свои основные задачи.
Преимущества КриптоПро NGate
- Низкие требования к аппаратной платформе. Продуманная оптимизация программы обеспечивает высокие продуктивность и производительность, даже на не самом мощном железе. А значит, снижаются требования к аппаратной платформе как для шлюза, так и для удаленного пользователя.
- Масштабируемость. КриптоПро NGate гибко масштабируется и может применяться в различных сценариях. Шлюз обеспечивает возможность одновременной работы до 35 000соединений с одним устройством, с возможностью увеличения данной характеристики при вертикальном наращивании аппаратных мощностей. Производительность одного шлюза также находится на высоком уровне, могут обрабатываться информационные потоки до 10 Гбит/с. В кластерных конфигурациях решение может обеспечивать безопасность и гораздо больших потоков данных. В кластере могут работать до 32 шлюзов одновременно.
- Совместимость. Обеспечивается совместимость с различными продуктами, реализующими протокол TLS (SSL) на российском рынке в соответствии с методическими рекомендациями технического комитета по стандартизации ТК26 (Криптографическая защита информации) «Использование наборов алгоритмов шифрования на основе ГОСТ 28147-89 для протокола безопасности транспортного уровня (TLS)».
- Соответствие требованиям ГОСТ. КриптоПро NGate использует сертифицированное ФСБ России СКЗИ КриптоПро CSP 4.0 с российскими криптографическими алгоритмами ГОСТ 28147-89, ГОСТ Р 34.11-94/ГОСТ Р 34.11-2012, ГОСТ Р 34.10-2001/ГОСТ Р 34.10-2012.
Архитектура системы
- Решение состоит из серверной и клиентской частей. Кроме того, имеется центр управления шлюзами. Шлюзы могут функционировать в составе кластера.
- Для небольших организаций без удалённых филиалов или без инфраструктуры, разнесённой на разные ЦОД, шлюз NGate вместе с системой управления может устанавливаться как единое решение на одну аппаратную платформу.
- Централизованная система управления несколькими шлюзами доступа может устанавливаться отдельно, в тех случаях, когда необходимо управлять шлюзами распределенными по инфраструктуре организации заказчика.
- Централизованная система управления позволяет производить настройку, мониторинг и управление всеми шлюзами доступа в организации заказчика. Есть возможность удалённой автоматизированной загрузки конфигураций на все узлы кластеров, а также получение в режиме онлайн параметров работы всех кластеров из единого центра управления.
Технические характеристики шлюзов доступа
- Пропускная способность шлюза в режиме VPN c обеспечением аутентификации - до 10 Гбит/с;
- Поддержка одновременных аутентифицированных соединений до 35 000;
- Возможность обработки до 8 000 новых соединений в секунду;
- Возможность настройки прав доступа к приложениям для удаленных пользователей на основе политик;
- Интеграция с Active Directory;
- Возможность идентификации пользователей различными методами:
- с использованием Active Directory или LDAP;
- с использованием сертификатов;
- с использованием внутренней базы данных пользователей.
- Поддержка разграничения доступа на основе содержания полей сертификатов пользователей;
- Возможность подключения удаленных пользователей как с помощью VPN-клиента, так и посредством портального доступа (через браузер);
- Возможность работы в виртуальном окружении;
- Поддержка NTP (Network Time Protocol);
- Поддержка SNI (Server Name Indication).
Отказоустойчивость и масштабируемость
КриптоПро NGate поддерживает работу в схеме высокопроизводительного кластера с балансировкой нагрузки. В кластере, где будут полностью синхронизироваться все сессии, может работать до 32 устройств (узлов NGate). Выход из строя какого-либо элемента кластера не приводит к разрыву соединений, поскольку данные о сессии синхронизируются между устройствами балансировщиком и соединение будет перераспределено на свободные узлы кластера.
Доступ с использованием динамического VPN-туннеля
Как правило, в решениях, используемых для удаленного доступа с использованием протокола TLS, отсутствует возможность обеспечивать доступ сотрудникам компании так же, как и при использовании протокола IPsec, когда можно подключать конкретного сотрудника к сети организации. С использованием динамического VPN-туннеля шлюза КриптоПро NGate обеспечивается динамическое туннелирование - доступ клиентской машины к удаленной сети по любым протоколам и портам внутри туннеля без ограничения количества одновременно подключаемых приложений.
Работа с мобильных устройств
КриптоПро NGate позволяет удалённым пользователям работать с ресурсами организации с устройств Android и iOS, используя либо очень простой VPN-клиент, либо через мобильный портал. Безопасность обеспечивается как использованием строгой аутентификации, в том числе и на сертификатах, так и использованием российской криптографии и других мер безопасности.
Точное управление правами доступа
КриптоПро NGate обладает мощными средствами полномочного управления, обеспечивающими гранулированный доступ конкретным пользователям или группам пользователей к необходимым ресурсам. Шлюз интегрируется с Active Directory, LDAP и другими службами каталогов, содержащими списки пользователей, что избавляет от необходимости создания отдельной базы пользователей. Администратор может задать уровень доступа для конкретного пользователя или группы, а также ограничить доступ к определенному перечню приложений организации. КриптоПро NGate одновременно интегрируется с большим количеством различных центров сертификации для обеспечения доступа различных групп пользователей по доверенным сертификатам, что крайне важно при доступе к облачным ресурсам и ресурсам крупных компаний. Таким образом КриптоПро NGate обладает набором инструментария, позволяющим очень гибко настраивать возможности доступа к корпоративным ресурсам, используя различные методы ограничения в соответствии с корпоративными политиками безопасности.
Бесклиентский доступ к ресурсам
В дополнение к традиционным методам доступа, которые требуют установленного VPN-клиента на удаленном устройстве, КриптоПро NGate обеспечивает возможность пользоваться ресурсами организации, в том числе и через web браузер. Такая возможность устраняет необходимость установки на удалённых устройствах VPN-клиента, например, в случае необходимости разового использования или если у организации много пользователей, которым необходим доступ к строго ограниченным ресурсам. Таким образом, значительно расширяются возможности и варианты управления доступом к ресурсам организации и появляются возможности наиболее гибко обеспечивать удалённый доступ различным категориям пользователей с разными уровнями доверия как к самим пользователям, так и к устройствам, с которых осуществляется удаленный доступ.
Широкий выбор решений
КриптоПро NGate поставляется в разных конфигурациях, позволяя получать наиболее оптимальные решения для конкретных организаций. Первый вариант поставки в виде программного обеспечения для использования в различных виртуальных средах. Второй вариант - ПО КриптоПро NGate предустанавливается на специализированную IBM PC-совместимую платформу с оптимальной производительностью (программно-аппаратное исполнение). Для каждого шлюза можно выбрать нужное количество обрабатываемых одновременных соединений, на которые будет выдана специализированная лицензия от производителя. Одна аппаратная платформа в зависимости от производительности может работать с различными лицензиями и с различными ограничениями на количество одновременных соединений.
Поддерживаемые операционные системы
- Microsoft Windows Vista/7/8/8.1/10;
- macOS 10.8-10.13;
- Linux (RHEL, CentOS, Debian, Ubuntu, ROSA, Astra, ALTLinux и другие);
- iOS;
- Android.
Источник: https://www.cryptopro.ru/products/ngate
Дополнительные связанные ссылки
- 08.12.2021 Обзор новой версии КриптоПро NGate 1.0 R2, универсального шлюза удалённого доступа и VPN
- 18.11.2020 Совместимость m-TrusT и КриптоПро NGate
- 26.12.2019 SSL VPN-шлюз «КриптоПро NGate» совместим с клиентскими аппаратными платформами Dell Wyse
- 16.12.2019 SSL VPN-шлюз «КриптоПро NGate» совместим с аппаратными платформами TOНК
- 25.11.2019 SSL VPN-шлюз "КриптоПро NGate" совместим с аппаратными платформами Getac
- 21.08.2019 Интеграция шлюза безопасности "ГРАНИЦА" с "КриптоПро NGate"
- 09.01.2019 Подписано заключение ФСБ России на КриптоПро NGate (КС1, КС2, КС3)