Мир диктует нам свои правила, и цифровая среда адаптируется под его изменения. Глобализация открыла перспективы удаленной работы для сотрудников, а пандемия превратила этот тренд в необходимость не только для компаний, которые находятся на пике технологий, но и для большей части бизнеса в мире. Те, кто не адаптировались к новым реалиям, оказались в аутсайдерах. Вопросы организации безопасности в таких условиях становятся еще более острыми. 

Именно поэтому сейчас крайне важно перейти на полноценное решение по защите удаленного доступа. Поскольку критерии выбора у каждой компании свои (кому-то важно наличие дополнительных функций защиты, кому-то – сертификации), то для выбора подходящего решения представляем сравнение популярных в корпоративной среде продуктов по удаленному доступу в соответствии с основными параметрами. 



Критерий

Cisco Any Connect

Palo Alto GlobalProtect

FortiNet FortiClient

Check Point Endpoint Security

Континент АПКШ

VipNet

S-terra

Полноценный IPSEC VPN клиент и используемая технология VPN

Windows

MAC

Linux

Windows

MAC

Linux

Windows

MAC

Linux

Windows

MAC

Linux

Windows

Linux

Windows

MAC

Linux

Windows

Linux

Русскоязычный интерфейс ПО пользователя

Да [A.1] 

нет

нет

да

да

да

да

Доступны аппаратная, виртуальная реализации криптошлюза

да

да

да

да

нет,
только аппаратная   

да

да

Проверка клиента на соответствие политикам безопасности (наличие обновлений, антивируса и т. Д.)

да
(с доп. средствами вендора)

да

да

да

нет

нет

нет

Поддержка функции Split Tunnel – вариант маршрутизации не всего трафика в туннель

да

да

да

да

да

да

да

Поддержка L2TP (для подключения нативным клиентом ОС Windows, MAC, Android, iOS и только функции VPN)

да

нет

да

да

нет

нет

нет

Поддержка режима VPN через SSL/TLS (для доступности VPN из фильтруемых сетей)

да

да

да

да

доступно через отдельные решения ГОСТ TLS

Поддержка фильтрации трафика (МЭ) на уровне ПО VPN клиента

да

нет
(для этого используется отдельное решение вендора
(Traps/Cortex)

да

да

да

нет

нет

Web application type based policy внутри VPN туннеля (исключить Youtube и т. д.) или Per App VPN

да

да

да

да

нет

нет

нет

Встроенные в клиент дополнительные функции защиты:

нет
(частично доступны с интеграцией с Cisco AMP)

нет
(для этого используется отдельное решение вендора (Traps/Cortex)

да

да

нет

ограниченно

нет

- антивирусная защита,

доступно с интеграцией с Cisco AMP

нет

да

да

нет

нет

нет

- шифрование данных при хранении на жестком диске

нет

нет

нет

да

нет

да

нет

- контроль и защита внешних устройств

нет

нет

да

да

нет

да

нет

- криптографически защищенная почта

нет

нет

нет

да
(мобильный вариант песочницы Capsule Workspace)

нет

да

нет

Обратный RDP до клиента (для тех.поддержки)

да

да

да

да

да

да

да

Наличие у производителя клиента для мобильных устройств (Android, iOS)

да

да

да

да
(Capsule)

да

да

нет

Многофакторная аутентификация при подключении (Х.509, токены, интеграции с каталогами LDAP, Radius итд)

да

да

да

да

да
(рутокен, eTocken, Jakarta, Esmart)

да
(рутокен, eTocken, Jakarta, Esmart)

да (рутокен, eTocken, Jakarta)

Поддержка одноразовых паролей на уровне криптографического шлюза

нет

нет

нет

да
(one-time pass -код генератор)

нет

нет

нет

SSL портал для доступа к Web-приложениям компании

да

да

да

да

Есть вариант TLS-шлюзов

ГОСТ VPN

нет

нет

да
(с КритоПро с ограничениями)  

да
(с КритоПро с ограничениями)

да

да

да

ГОСТ SSL VPN

нет

нет

нет

нет

да

да

да

Сертификация ФСТЭК

нет

нет

нет

да

да

да

да

Сертификация ФСБ

нет

нет

нет

нет

да

да

да

Интеграция с агентами песочницы производителя

да
(Cisco AMP + Threadgrid)

да
(Traps + Wildfire)

да

да
(CheckPoint Sandblast)

нет

нет

нет

Кластеризация шлюза Active-Standby

да

да

да

да

да

да

да

Кластеризация шлюза Active-Active

да

да

да

да

нет

нет

нет

Интеграция с облачными платформами (Amazon AWS, MS Azure и др.)

да
(Cisco CSR 1000)

да

да

да

нет

с ограничениями

нет

Функция роуминга для мобильного VPN – переподключение при разрыве соединения

да

да

да

да

нет

нет

нет


В целом все решения реализуют основной функционал, имеют возможности интеграции с SIEM-системами и встроенные средства мониторинга. Существуют нюансы в технических реализациях и поддерживаемых функциях (например, защита DNS), различия в моделях лицензирования. Так, ПО VPN клиента отдельного производителя хорошо интегрируется с существующими решениями по защите этого же производителя: Cisco AnyConnect интегрируется с Cisco ISE и имеет полноценную поддержку 802.1х, а VipNet имеет отдельный клиент для защиты почтового трафика по алгоритмам ГОСТ – VipNet «Деловая почта». В основном реализации российских вендоров и зарубежных по главным критериям имеют схожий функционал. Выбор между решениями можно сделать на основе уже существующего в компании комплекса сетевой защиты, требуемой производительности, технических нюансов и факторов удобства администрирования и наличия персонала, технической поддержки и т. д.

Источник: CISOClub