актуальные новости и полезные материалы в telegram канале

TS Solution

Контакты

TS Solution

7 (800) 600-76-91

Контакты

Настройки cookie

Обязательные cookies

Эти файлы cookie необходимы для того, чтобы вы могли пользоваться сайтом и его функциями. Их нельзя отключить. Они устанавливаются в ответ на ваши запросы, такие как настройка ваших предпочтений конфиденциальности, вход в систему или заполнение форм.

Аналитические cookies

Disabled

Эти файлы cookie собирают информацию, чтобы помочь нам понять, как используются наши веб-сайты или насколько эффективны наши маркетинговые кампании, или чтобы помочь нам настроить наши веб-сайты для вас.

Рекламные cookies

Disabled

Эти файлы cookie предоставляют рекламным компаниям информацию о вашей активности в Интернете, чтобы помочь им предоставлять вам более релевантную онлайн-рекламу или ограничивать количество показов рекламы. Эта информация может быть передана другим рекламным компаниям.

28 февраля 2023

Удаленный доступ с помощью продуктов «Код Безопасности»

Варианты организации

В последнее время нас часто просят рассказать про различия между вариантами организации удаленного доступа с помощью продуктов компании «Код Безопасности». Рассказываем.

Для организации удаленного доступа компания «Код Безопасности» предлагает следующие продукты:
• АПКШ Континент 3 – VPN-шлюз
• Континент 4 – NGFW
• Континент TLS – VPN-концентратор

Ниже показана разница между данными продуктами.

Итоговая таблица:

* - поддержка MacOS появится в ближайшее время

Сертификаты ФСТЭК;3-й уровень доверия МЭ типа «А» 3-го класса;4-й уровень доверия МЭ типа «А» 4-го класса;4-й уровень контроля отсутствия НДВ Сертификаты ФСБ;СКЗИ класса КС2/КС3;Планируется в 2024 году;СКЗИ класса КС2/КС3 Клиентское ПО;Континент АП, Континент ZTN-клиент;Континент АП, Континент ZTN-клиент;Континент TLS-клиент, Континент ZTN-клиент, Браузеры с ГОСТ-шифрованием Поддерживаемые ОС для клиентского ПО;Windows, Linux, Android, iOS, MacOS*, Аврора;Windows, Linux, Android, iOS, MacOS*, Аврора;Windows, Linux, Android, iOS, MacOS*, Аврора Максимальное рекомендованное количество подключение на одно устройство;3000;3000;~7500 (45000 одновременных соединений) Лицензия;Лицензируется по общему количеству пользователей;Лицензируется по одновременному количеству пользователей;Лицензируется по одновременному количеству соединений Режимы работы VPN;L4VPN;L4VPN;L4VPN (TLS-туннель), L7VPN (HTTPS-прокси, Портал приложений) Интеграция пользователей из внешних каталогов;Отсутствует;Интеграция пользователей из Active Directory;Интеграция пользователей из Active Directory Варианты авторизации пользователей;По сертификатам (PKI-инфраструктура);По сертификатам (PKI-инфраструктура), По логину/паролю;По сертификатам (PKI-инфраструктура) – для режимов работы HTTPS-прокси, TLS-туннель, Портал приложений, По логину/паролю – для режима работы, Портал приложений Возможность многофакторной аутентификации;Да, сертификат на специальном токене;Да, Multifactor;Да, Multifactor или auth.as Возможность двухэтапной аутентификации;При авторизации по сертификатам создается пользовательский ключевой контейнер с закрытым ключом центра сертификации;При авторизации по сертификатам создается пользовательский ключевой контейнер с закрытым ключом центра сертификации;При авторизации по сертификатам создается пользовательский ключевой контейнер с закрытым ключом центра сертификации Функционал раздельного туннелирования (split tunneling);Да;Да;Нет Разграничение доступа;Да, с помощью написания отдельных правил по пользователям;Да, с помощью написания отдельных правил по пользователям или группам Active Directory;Да, с помощью групп Active Directory, полей сертификата Расширенный функционал публикации веб-ресурсов;Нет;Нет;Да Возможность изменения портов для публикации;Только через PAT ;Только через PAT;Да

Резюме. Континент 3

Я бы рекомендовал использовать удаленный доступ на Континент 3 для организаций, которым важна сертификация по требованиям ФСБ. Организовать массовый удаленный доступ сотрудников с помощью Континент 3 будет проблематично, так как нет интеграции с внешними каталогами пользователей, и в таком случае все учетные записи придется заводить вручную.

Также стоит учесть, что удаленный доступ в Континент 3 лицензируется именно по общему количеству учетных записей. В случае если необходимо организовать удаленный доступ для 500 человек, но в пике одновременно будет только 250 подключений, то придется покупать лицензию на 500 подключений.

Ниже представлен скриншот с настройками удаленного доступа в Континент 3:

Резюме. Континент 4

Континент 4 отлично подходит для организации удаленного доступа сотрудников организации (до 3000 пользователей на одно устройство). Есть интеграция с Active Directory, лицензируется по количеству одновременно подключенных пользователей, имеются функции по защите корпоративной инфраструктуры (функционал NGFW).

Однако стоит учесть, что на текущий момент Континент 4 (1 квартал 2023) не имеет сертификатов ФСБ, что будет критично для организаций, предоставляющих удаленный доступ до информации, которая защищается на законодательном уровне (ПДн, ГИС, КИИ).

Скриншот с настройками удаленного доступа в Континент 4:

Резюме. Континент TLS

Континент TLS объединил возможности по предоставлению удаленного доступа Континент 3 и Континент 4. Континент TLS является наиболее оптимальным вариантом для организации удаленного доступа: есть интеграция с Active Directory, возможность предоставить доступ ~7500 пользователем одновременно на одно устройство (в зависимости от интенсивности трафика), лицензируется по одновременному количеству соединений.

В случае, когда требуется предоставлять доступ до веб-ресурсов, Континент TLS реализует поддержку TLS с ГОСТ. Данная возможность позволяет выполнять Поручение Президента от 16 июля 2016 года № Пр-1380 «Об обеспечении разработки и реализации комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования»

Также Континент TLS имеет механизмы TLS-offload, что позволяет переложить шифрование с веб-сервера на TLS-сервер для того, чтобы сосредоточить ресурсы веб-севера на выполнении основных функций.

Немного скриншотов с настройками удаленного доступа в Континент TLS:

1. HTTPS-прокси:

2. TLS-туннель:

Автор: Дмитрий Лебедев, инженер TS Solution