Мир диктует нам свои правила, и цифровая среда адаптируется под его изменения. Глобализация открыла перспективы удаленной работы для сотрудников, а пандемия превратила этот тренд в необходимость не только для компаний, которые находятся на пике технологий, но и для большей части бизнеса в мире. Те, кто не адаптировались к новым реалиям, оказались в аутсайдерах. Вопросы организации безопасности в таких условиях становятся еще более острыми.
Именно поэтому сейчас крайне важно перейти на полноценное решение по защите удаленного доступа. Поскольку критерии выбора у каждой компании свои (кому-то важно наличие дополнительных функций защиты, кому-то – сертификации), то для выбора подходящего решения представляем сравнение популярных в корпоративной среде продуктов по удаленному доступу в соответствии с основными параметрами.
Критерий |
Cisco Any Connect |
Palo Alto GlobalProtect |
FortiNet FortiClient |
Check Point Endpoint Security |
Континент АПКШ |
VipNet |
S-terra |
Полноценный IPSEC VPN клиент и используемая технология VPN |
Windows MAC Linux |
Windows MAC Linux |
Windows MAC Linux |
Windows MAC Linux |
Windows Linux |
Windows MAC Linux |
Windows Linux |
Русскоязычный интерфейс ПО пользователя |
Да [A.1] |
нет |
нет |
да |
да |
да |
да |
Доступны аппаратная, виртуальная реализации криптошлюза |
да |
да |
да |
да |
нет, |
да |
да |
Проверка клиента на соответствие политикам безопасности (наличие обновлений, антивируса и т. Д.) |
да |
да |
да |
да |
нет |
нет |
нет |
Поддержка функции Split Tunnel – вариант маршрутизации не всего трафика в туннель |
да |
да |
да |
да |
да |
да |
да |
Поддержка L2TP (для подключения нативным клиентом ОС Windows, MAC, Android, iOS и только функции VPN) |
да |
нет |
да |
да |
нет |
нет |
нет |
Поддержка режима VPN через SSL/TLS (для доступности VPN из фильтруемых сетей) |
да |
да |
да |
да |
доступно через отдельные решения ГОСТ TLS |
||
Поддержка фильтрации трафика (МЭ) на уровне ПО VPN клиента |
да |
нет |
да |
да |
да |
нет |
нет |
Web application type based policy внутри VPN туннеля (исключить Youtube и т. д.) или Per App VPN |
да |
да |
да |
да |
нет |
нет |
нет |
Встроенные в клиент дополнительные функции защиты: |
нет |
нет |
да |
да |
нет |
ограниченно |
нет |
- антивирусная защита, |
доступно с интеграцией с Cisco AMP |
нет |
да |
да |
нет |
нет |
нет |
- шифрование данных при хранении на жестком диске |
нет |
нет |
нет |
да |
нет |
да |
нет |
- контроль и защита внешних устройств |
нет |
нет |
да |
да |
нет |
да |
нет |
- криптографически защищенная почта |
нет |
нет |
нет |
да |
нет |
да |
нет |
Обратный RDP до клиента (для тех.поддержки) |
да |
да |
да |
да |
да |
да |
да |
Наличие у производителя клиента для мобильных устройств (Android, iOS) |
да |
да |
да |
да |
да |
да |
нет |
Многофакторная аутентификация при подключении (Х.509, токены, интеграции с каталогами LDAP, Radius итд) |
да |
да |
да |
да |
да |
да |
да (рутокен, eTocken, Jakarta) |
Поддержка одноразовых паролей на уровне криптографического шлюза |
нет |
нет |
нет |
да |
нет |
нет |
нет |
SSL портал для доступа к Web-приложениям компании |
да |
да |
да |
да |
Есть вариант TLS-шлюзов |
||
ГОСТ VPN |
нет |
нет |
да |
да |
да |
да |
да |
ГОСТ SSL VPN |
нет |
нет |
нет |
нет |
да |
да |
да |
Сертификация ФСТЭК |
нет |
нет |
нет |
да |
да |
да |
да |
Сертификация ФСБ |
нет |
нет |
нет |
нет |
да |
да |
да |
Интеграция с агентами песочницы производителя |
да |
да |
да |
да |
нет |
нет |
нет |
Кластеризация шлюза Active-Standby |
да |
да |
да |
да |
да |
да |
да |
Кластеризация шлюза Active-Active |
да |
да |
да |
да |
нет |
нет |
нет |
Интеграция с облачными платформами (Amazon AWS, MS Azure и др.) |
да |
да |
да |
да |
нет |
с ограничениями |
нет |
Функция роуминга для мобильного VPN – переподключение при разрыве соединения |
да |
да |
да |
да |
нет |
нет |
нет |
В целом все решения реализуют основной функционал, имеют возможности интеграции с SIEM-системами и встроенные средства мониторинга. Существуют нюансы в технических реализациях и поддерживаемых функциях (например, защита DNS), различия в моделях лицензирования. Так, ПО VPN клиента отдельного производителя хорошо интегрируется с существующими решениями по защите этого же производителя: Cisco AnyConnect интегрируется с Cisco ISE и имеет полноценную поддержку 802.1х, а VipNet имеет отдельный клиент для защиты почтового трафика по алгоритмам ГОСТ – VipNet «Деловая почта». В основном реализации российских вендоров и зарубежных по главным критериям имеют схожий функционал. Выбор между решениями можно сделать на основе уже существующего в компании комплекса сетевой защиты, требуемой производительности, технических нюансов и факторов удобства администрирования и наличия персонала, технической поддержки и т. д.
Источник: CISOClub