Эксперты UDV Group: корпоративные VPN становятся частью регулируемой инфраструктуры
За последние месяцы российские компании начали массово перестраивать подход к использованию корпоративных VPN. Причина — формирование реестра разрешенных каналов связи, через который бизнесу фактически предлагают легализовать защищенные соединения и отделить корпоративный трафик от пользовательских VPN-сервисов. На практике это означает, что компаниям приходится заранее регистрировать параметры своих подключений, согласовывать инфраструктурные изменения и выстраивать работу так, чтобы VPN не использовался как инструмент обхода ограничений.
Для крупного бизнеса и распределенных организаций тема становится особенно чувствительной: в реестр уже включены десятки тысяч IP-адресов, а сама инфраструктура защищенных каналов у большинства компаний строилась годами и часто состоит из решений разных вендоров. В результате бизнесу приходится одновременно обеспечивать стабильность связи, совместимость оборудования и соответствие новым требованиям регуляторов.
О том, как будет работать система «VPN по ГОСТу», какие данные компаниям придется передавать государству и почему поддержка корпоративных VPN постепенно превращается в отдельную инфраструктурную задачу, рассказал Дмитрий Бабич, ведущий инженер отдела сопровождения информационных систем UDV Group.
— Сейчас компании уже активно вносят свои VPN-сервисы в реестр разрешенных ресурсов. Что, по оценке UDV Group, требуется передавать регулятору, чтобы корпоративный трафик не блокировался?
Чтобы попасть в реестр разрешенных VPN-каналов, компания передает перечень публичных IP-адресов точек подключения — включая филиальные и распределенные узлы, а также параметры соединения: используемые протоколы, порты и схему организации туннеля.
В ряде случаев дополнительно могут фиксироваться характеристики используемых средств защиты информации, особенно если применяются сертифицированные решения, в том числе реализующие ГОСТ-алгоритмы.
По сути, задача в том, чтобы система могла идентифицировать корпоративный VPN-трафик и отличать его от пользовательских VPN-сервисов.
— То есть с точки зрения UDV Group, речь идет не просто о регистрации сервиса, а фактически о подробном описании всей схемы подключения?
Да, именно. И чем сложнее инфраструктура компании, тем объемнее становится этот процесс.
— В реестр уже включены десятки тысяч IP-адресов. Не начинает ли такая система сама по себе создавать дополнительную нагрузку на инфраструктуру?
Сам по себе рост числа IP-адресов в реестре почти не влияет на VPN-трафик компаний и не создает прямой нагрузки на каналы связи.
Более того, для DPI-систем это даже определенное упрощение. Вместо глубокого анализа содержимого трафика достаточно сверки с «белым списком».
Но нагрузка действительно появляется на другом уровне — из-за необходимости быстро обрабатывать и обновлять сами списки. В UDV Group отмечают, что в отдельных случаях это может приводить к небольшим задержкам и повышенным требованиям к оборудованию операторов связи, хотя обычно эффект остается ограниченным.
— При этом одним из условий работы остается ограничение доступа к запрещенным ресурсам. Как это контролируется внутри корпоративного VPN?
Контроль начинается еще на уровне архитектуры сети.
Пользовательский и корпоративный трафик изначально разводится по разным сегментам и маршрутам. Дальше подключаются межсетевые экраны нового поколения — NGFW, а также прокси-системы.
Они реализуют политики доступа, DNS- и URL-фильтрацию, ограничивают доступ к запрещенным ресурсам и не позволяют использовать корпоративный VPN как инструмент обхода ограничений.
— Получается, в подходе UDV Group корпоративный VPN постепенно превращается уже не просто в «защищенный канал», а в полностью контролируемую среду?
Да, именно так. Сейчас корпоративный VPN — это уже часть общей системы управления сетевой безопасностью, а не просто туннель для удаленного доступа.
— У многих компаний инфраструктура исторически строилась на решениях разных производителей. Насколько сложно, по опыту UDV Group, объединять такие системы в единую сеть?
Это одна из самых распространенных практических проблем.
Несмотря на наличие стандартных протоколов — например, IPsec, — у разных вендоров часто отличаются детали реализации. Из-за этого командам поддержки приходится адаптировать настройки, согласовывать параметры между платформами и обеспечивать совместимость конфигураций.
Иногда без ручной донастройки и обходных решений вообще не удается добиться стабильной работы.
— То есть основная сложность даже не в самом VPN, а в неоднородности инфраструктуры?
Да. В разнородной среде существенно усложняются мониторинг, управление и поддержка всей инфраструктуры.
Особенно это заметно в крупных распределенных компаниях, где одновременно используются решения нескольких производителей и десятки филиалов. Мы в UDV Group видим, что именно такие среды требуют наиболее внимательного сопровождения и регулярной актуализации сетевых настроек.
— Бизнесу приходится постоянно менять инфраструктуру: открывать филиалы, менять IP-адреса, перестраивать маршрутизацию. Как, по оценке UDV Group, в таких условиях будет работать обновление данных в реестре?
При изменении параметров сети компания фактически направляет повторное уведомление с актуальными IP-адресами, протоколами и параметрами подключения.
Но важно понимать: этот процесс не мгновенный. Он может включать дополнительные проверки и согласования с профильными ведомствами.
Поэтому любые инфраструктурные изменения теперь желательно планировать заранее, с учетом возможных задержек обновления данных и риска временных ограничений доступа.
— Получается, управление корпоративными VPN постепенно становится уже не просто технической, а организационной задачей?
Да, именно. Компании фактически переходят к модели, где поддержка VPN требует постоянной синхронизации между ИТ, ИБ и инфраструктурными подразделениями.
И чем крупнее и распределеннее сеть, тем заметнее становится эта нагрузка. В UDV Group считают, что корпоративные VPN постепенно становятся частью регулируемой инфраструктуры, которую нужно сопровождать как критически важный элемент цифровой среды компании.
