Континент TLS
Система обеспечения защищённого удалённого доступа к веб-приложениям с использованием алгоритмов шифрования ГОСТ.
В реестре отечественного ПО.
- Сертифицированное ФСБ России решение для обеспечения защищённого удалённого доступа к веб-приложениям.
Континент TLS VPN обеспечивает защиту трафика между удалённым пользователем и веб-приложением с использованием алгоритмов ГОСТ.
- Выделение механизмов шифрования на отдельное устройство перед веб-приложением.
Континент TLS VPN реализован в виде отдельного устройства. Его использование не требует затрат на проведение процедуры корректности встраивания.
- Низкая стоимость удалённого доступа на одного пользователя.
«Континент TLS VPN клиент» распространяется бесплатно. Лицензируется только число одновременных подключений.
- Продвинутые механизмы контроля доступа.
Интеграция «Континент TLS VPN сервер» с Active Directory и пользовательский портал приложений значительно сокращают затраты на управление доступом удалённых пользователей.
- Идентификация и аутентификация удалённых пользователей.
Идентификация и аутентификация пользователей выполняются по сертификатам открытых ключей стандарта x.509v3 (ГОСТ Р 31.11–94, 34.10–2001). «Континент TLS VPN» производит проверку сертификатов ключей по спискам отозванных сертификатов (CRL). Выпуск сертификатов осуществляется внешним удостоверяющим центром.
В случае успешного прохождения процедур аутентификации запрос пользователя перенаправляется по протоколу HTTP в защищённую сеть к соответствующему веб-серверу. При этом к каждой HTTP-сессии пользователя добавляются специальные идентификаторы (идентификатор клиента и идентификатор IP).
- Криптографическая защита передаваемой информации.
«Континент TLS VPN» осуществляет криптографическую защиту HTTP-трафика на сеансовом уровне. Шифрование информации производится по алгоритму ГОСТ 28147–89.
Расчет хэш-функции выполняется по алгоритму ГОСТ Р 34.11–94, ГОСТ Р 34.11-2012.
Формирование и проверка электронной подписи осуществляются в соответствии с алгоритмом ГОСТ Р 34.10–2001, ГОСТ Р 34.10-2012.
- Сокрытие защищаемых серверов и трансляция адресов.
«Континент TLS VPN» производит фильтрацию запросов и транслирует адреса запросов к веб-серверам корпоративной сети. Трансляция адресов осуществляются в соответствии с правилами, которые устанавливает администратор «Континент TLS VPN».
- Отказоустойчивость и масштабируемость.
«Континент TLS VPN» поддерживает работу в схеме высокопроизводительного кластера с балансировкой нагрузки (внешним балансировщиком). Повышение отказоустойчивости достигается добавлением в кластер избыточной ноды. При этом наращивания элементов балансирующего кластера может осуществляться неограниченно. Выход из строя элемента кластера не приводит к разрыву соединений, поскольку нагрузка равномерно распределяется между остальными элементами.
- Мониторинг и регистрация событий.
В «Континент TLS VPN» администратор всегда может получить оперативную информацию о текущем состоянии установленных соединений и статистику его работы. На сервере осуществляется журналирование событий информационной безопасности. Все события могут пересылаться на указанный сервер в формате syslog для дальнейшего анализа, что делает интеграцию с SIEM-системами максимально простой.
- Удобные инструменты управления.
Сочетание локальных и удалённых средств с веб-интерфейсом и удобной графической консолью управления обеспечивает гибкую настройку «Континент TLS VPN» в соответствии с требованиями политик безопасности.
- Поддерживаемые протоколы.
«Континент TLS VPN» поддерживает протоколы TLS v.1, TLS v.2.
- Работа пользователя через любой веб-браузер.
Используя приложение «Континент TLS VPN Клиент», пользователи могут получить доступ к защищённым ресурсам из любого веб-браузера. «Континент TLS VPN Клиент» является локальным прокси, перехватывает трафик браузера к защищаемым веб-серверам и упаковывает его в http-туннель. Благодаря этому пользователь может работать с любым веб-браузером, установленном на его устройстве.
- Использование удобного для пользователей программного клиента.
Использование удобного для пользователей программного клиента в качестве клиента на устройстве пользователя может быть использован «Континент TLS VPN Клиент» или «КриптоПро CSP» версии 3.6.1.
СКЗИ «Континент TLS VPN Сервер» – аппаратно-программный комплекс на базе специализированного телекоммуникационного сервера с архитектурой х64 «Континент TLS VPN Сервер» устанавливается на границе периметра защищаемой сети.
«Континент TLS VPN Сервер» может работать как самостоятельно, так и в составе кластера (основного или подчинённого).
СКЗИ «Континент TLS VPN Клиент» – программный модуль, установленный на компьютеры или мобильные устройства удалённых пользователей, представляет собой локальный прокси.
Клиент обеспечивает обоюдную аутентификацию с сервером в процессе установки защищённого соединения, установку защищённого соединения и обмен зашифрованными данными с сервером. «Континент TLS VPN Клиент» производит контроль целостности программного обеспечения и регистрацию событий, связанных с работой клиента.
Модельный ряд АПКШ «Континент» позволяет находить решения для организации связи с удалёнными подразделениями, филиалами или партнерами по каналам связи с различной пропускной способностью. Возможно выбрать вариант «Континента», который наиболее полно соответствует потребностям предприятия.
Устройства средней производительности |
Высокопроизводительные устройства |
Модель |
Спецификация |
Континент TLS VPN Сервер IPC-3000F |
|
Континент TLS VPN Сервер IPC-1000F |
|
Континент TLS VPN Сервер IPC-1000 |
|
Континент TLS VPN Сервер IPC-400 |
|
Континент TLS VPN Сервер IPC-100 |
|
Принципы лицензирования Континент TLS VPN:
-
Использование Континент TLS VPN возможно после приобретения аппаратной платформы и лицензии на количество одновременных пользовательских https-подключений.
-
Континент TLS VPN-Клиент отдельно не лицензируется: стоимость клиентской части включена в серверную лицензию.
Три параметра лицензирования Континент TLS VPN:
- По типу пользовательской лицензии.
В зависимости от решаемой задачи Континент TLS VPN может использоваться для удалённого доступа к веб-приложениям (лицензия Proxy) или для туннелирования трафика к классическим приложениям (лицензия Tunnel).
Тип лицензии |
Назначение |
Клиенты |
Proxy |
Доступ к веб-приложениям |
|
Tunnel |
Туннелирование трафика «толстых» клиентов (например Remote Desktop) через протокол TLS |
|
- На одно устройство можно установить по одной лицензии каждого типа.
- Для создания кластера необходимо приобрести лицензию на подключение для каждого устройства.
- По классу СКЗИ.
При покупке Континент TLS VPN заказчикам необходимо выбрать класс СКЗИ – КС1 или КС2, для этого необходимо при формировании спецификации выбрать соответствующий установочный комплект.
Класс СКЗИ |
Установочный комплект |
КС1 |
Установочный комплект. «АПКШ "Континент" TLS VPN Клиент» Версия 1.2. КС1. |
КС2 |
Установочный комплект. «АПКШ "Континент" TLS VPN Клиент» Версия 1.2. КС2. |
Состав установочного комплекта:
- CD-диск с дистрибутивом и документацией.
- Формуляр ФСБ.
- Учётный номер СКЗИ.
- По производительности.
Аппаратная платформа Континент TLS VPN выбирается в соответствии с количеством одновременных https-подключений и предельной пропускной способностью.
Характеристика |
IPC-100 |
IPC-400 |
IPC-1000 |
IPC-1000F |
IPC-3000F |
Предельная пропускная способность Континент TLS VPN Сервера в режиме https-прокси, Мбит/с |
200 |
700 |
900 |
900 |
1600 |
Максимальное количество соединений в режиме https-прокси |
500 |
5000 |
10000 |
10000 |
20000 |
Ведомство |
Номер |
Продукт |
Описания |
Действителен до: |
ФСБ России |
СФ/124-3123 RU.88338853.501430.016,30 |
СКЗИ «Континент TLS VPN Клиент» версия 1.2 (исполнения 1, 2) |
Подтверждает соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС1 (исполнение 1), КС2 (исполнение 2) и возможность применения для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну |
31.12.2018 |
ФСБ России |
СФ/124-3122 RU.88338853.501430.017,30 |
СКЗИ «Континент TLS VPN Сервер» версия 1.2 |
Подтверждает соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС2 и возможность применения для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну |
31.12.2018 |