Аренда служб организации виртуальных частных сетей (VPN) является одной из наиболее распространенных услуг в области информационной безопасности (ИБ), предлагаемых телекоммуникационными провайдерами. На Западе этот сервис оказался весьма востребованным, но и отношение компаний к аутсорсингу там несколько иное, чем в России.
Наши соотечественники пока настороженно относятся к идее делегирования задач обеспечения конфиденциальности и целостности данных третьей стороне. Однако «первые ласточки», предвещающие бурное развитие аутсорсинга услуг поддержки ИБ, появляются и в нашей стране. В качестве примера расскажем об опыте внедрения сервиса, подразумевающего организацию VPN, российским телекоммуникационным оператором «Эквант».
В 2001 году корпоративным заказчикам «Экванта» была предложена услуга Equant IP VPN, а год спустя появилась служба Managed Crypto VPN. Порядок вывода на рынок этих сервисов, предназначенных для построения защищенной инфраструктуры передачи данных по IP-сетям без покупки заказчиками дорогостоящего оборудования, был обусловлен логикой поэтапного строительства защищенной среды передачи информации с использованием открытых сетей. Equant IP VPN, реализованная на базе технологии IP-MPLS, позволяет создавать своего рода «внутрикорпоративные backbone» для компаний с территориально-распределенной структурой и функционально заменяет аренду выделенных линий. В свою очередь, Managed Crypto VPN обеспечивает безопасное подключение малых удаленных филиалов и офисов к построенной магистрали через публичный Internet (туннельное шифрование трафика).
Принципиальным отличием подписки на перечисленные услуги от самостоятельного внедрения соответствующего конечного решения является то, что в первом случае получение «со стороны» некой функциональности корпоративной сети позволяет заказчику сосредоточиться на ее использовании для нужд бизнеса. При этом он может не задумываться о поддержке, оптимизации и модернизации технического решения.
В частности, услуга Equant Managed Crypto VPN подразумевает предоставление клиенту всех необходимых компонентов для создания криптографической виртуальной частной сети на базе Internet, их инсталляцию, настройку, тестирование и контроль за работоспособностью системы в круглосуточном режиме. Отдельные элементы услуги могут предоставляться вместе либо раздельно, на узлах «Экванта» или непосредственно на территории заказчика. Как утверждает начальник отдела маркетинга этой компании Александр Вронский, учитывая существующую в России законодательную базу, «Эквант» использует для построения криптографически защищенных сетевых решений только сертифицированные ФАПСИ продукты.
Кроме того, при аренде любой сетевой службы или приложения заказчику не нужно вкладывать средства в множество инфраструктурных элементов (серверы, оборудование, ПО), необходимых для получения требуемой функциональности информационной системы. Он не должен тратить деньги на обучение своего персонала — достаточно того, что провайдер услуг располагает штатом высококвалифицированных специалистов. Наконец, ему не приходится вкладывать средства в обеспечение бесперебойной «работоспособности» услуги, поскольку центры сетевого управления таких крупных операторов, как «Эквант», ведут наблюдение за качеством и доступностью сервисов в круглосуточном режиме.
Итак, понятно, что аутсорсинг услуг — не просто привлекательная альтернатива самостоятельно эксплуатируемому решению, а экономически осознанная необходимость. Следует также принять во внимание, что при подписке на услугу криптографической защиты информации клиенту уже не требуется получать лицензию ФАПСИ — достаточно лицензии, выданной поставщику услуг.
Разумеется, для крупных клиентов, имеющих территориально-распределенную структуру филиалов и офисов, важен и размер самого провайдера услуг. Чем меньше межсетевых стыков и шлюзов, чем меньше центров управления услугами задействуются при организации сквозного сервиса, тем более надежной является сетевая инфраструктура и тем легче определить причину инцидента, если таковой все же случится. В идеале каждого корпоративного клиента должен обслуживать какой-либо один телекоммуникационный провайдер.
В этом отношении «Эквант» выглядит очень солидно, ибо ему принадлежит один из крупнейших российских сегментов Internet, именуемый GIN. Именно на базе этого сегмента развернута услуга Equant Managed Crypto VPN, хотя по желанию заказчика сервис можно реализовать в любой несущей сети — главное, чтобы в качестве транспортного протокола использовался IP. Кроме того, этот оператор построил собственную опорную MPLS-сеть национального масштаба, которая служит основой для предоставления услуги Equant IP VPN.
В некоторых случаях, по словам Александра Вронского, клиентам предоставляютcя гибридные решения для организации VPN, сочетающие в себе технологии MPLS и криптоалгоритмы IPSec. Объединение функциональности двух услуг позволяет предлагать корпоративным заказчикам комплексные, экономически оправданные решения для подключения к корпоративной сети не только основных подразделений (по защищенной внутрикорпоративной магистрали), но и удаленных филиалов (по криптографически защищенным локальным каналам), которые обмениваются с центральными офисами низкоприоритетным трафиком малой интенсивности.
Если говорить о нынешней клиентской базе оператора, то первая услуга уже обрела популярность среди российских компаний. Менее чем за два года с помощью службы Equant IP VPN реализованы несколько десятков проектов в области ИБ. В отношении Managed Crypto VPN оператор пока не может похвастаться такими же успехами, но поскольку данная услуга является логическим продолжением и развитием первой, ожидается, что количество заключенных по ней контрактов также станет увеличиваться. Этому будут способствовать постепенное внедрение корпоративными клиентами и госструктурами средств электронного ведения бизнеса и благоприятная экономическая ситуация в стране, побуждающая компании расширять внешние связи.
Из других предложений «Экванта», нацеленных на обеспечение комплексной информационной безопасности клиентов, стоит упомянуть услугу Equant Secure Gateway, которая базируется на том же принципе аутсорсинга. Она состоит в предоставлении клиентам функциональности управляемого межсетевого экрана (firewall) с дополнительными опциями проверки информации в режиме реального времени на наличие вирусов, а также контроля за доступом к Web-ресурсам и надежной аутентификации пользователей.