КриптоПро NGate – это универсальное высокопроизводительное средство криптографической защиты сетевого трафика, объединяющее в себе функционал:

• TLS-сервера доступа к веб-сайтам
• Сервера портального доступа
• VPN-сервера

Компоненты NGate сертифицированы ФСБ России по классам КС1, КС2 и КС3. Это позволяет использовать NGate в том числе для защиты ПДн (152-ФЗ) при передаче по незащищенным каналам связи, в том числе из-за пределов РФ.

ГОСТ TLS

NGate обеспечивает одновременную поддержку TLS с ГОСТ и зарубежными криптоалгоритмами. Это позволяет реализовать плавный перевод защиты доступа к веб-сайтам на ГОСТ.

Режимы работы NGate

• Режим TLS-сервера используются для безопасного подключения к веб-айтам и снятия нагрузки по обработке TLS-соединений с веб-серверов. В данном режиме NGate может использоваться для обеспечения доступа к госпорталам, сайтам организаций и ДБО др., предоставляющих доступ пользователей через веб-браузер. При этом доступ к веб-ресурсам возможен как напрямую без аутентификации, так и с аутентификации, так и с аутентификацией через централизованной веб-портал, входящий в состав продукта.
• Режим VPN-сервера используется для безопасного подключения с помощью VPN-клиента, поддерживающего все популярные ОС )в том числе мобильные), к произвольным корпоративным ресурсам.

Безопасный доступ

Многофакторная аутентификация ( по сертификату, LDAP/AD, Radius) и гибкое разграничение прав доступа к ресурсам.

Примеры объектов, доступ к которым можно защитить с помощью КриптоПро NGate

• Публичные веб-сайты, в том числе государственные порталы, электронные торговые площадки, веб-сайты организаций, дистанционного банковского обслуживания и т.д.
• Внутренние ресурсы и информационные системы организаций
• Средства объектов (в том числе значимых) КИИ
• Единая биометрическая система
• Облачные ресурсы и информационные системы
• Системы видеоконференцсвязи
• Платформы телемедицины

NGate может использоваться для защиты удаленного доступа как самостоятельно, так и в составе комплексных решений.

Основные преимущества NGate

Соответствие требованиям регуляторов и ГОСТ. 
Компоненты решения сертифицированы ФСБ России по классам КС1, КС2, КС3 и используют в своем составе сертифицированное ФСБ России СКЗИ КриптоПро CSP с российскими криптографическими алгоритмами ГОСТ 28147-89, ГОСТ Р 34.11-94/ГОСТ Р 34.11-2012, ГОСТ Р 34.10-2001/ГОСТ Р 34.10-2012. При этом для классов КС2 и КС3 не требуется выполнение отдельных настроек, приобретение и конфигурирование электронных замков и прочих дополнительных мер защиты, все необходимое уже включено в аппаратные платформы решения.

Унификация доступа к ресурсам, в том числе с мобильных устройств.
Поддержка широкого функционала с возможностью подключения как с использованием браузера, так и с использованием VPN-клиента, а также поддержка большинства клиентских операционных систем, в том числе мобильных (в отличие от других решений на рынке), позволяет унифицировать доступ пользователей с разнородных типов устройств и исключает необходимость приобретения и сопровождения нескольких отдельных продуктов.
VPN-клиентом поддерживаются следующие операционные системы:

• Microsoft Windows 7/8/8.1/10;
• MacOS X 10.10/10.11/10.12/10.13/10.14/10.15;
• Linux (RHEL, CentOS, Debian, Ubuntu, ROSA, Astra, ALTLinux и другие);
• iOS;
• Android;
• Аврора.

Наряду с использованием мобильного VPN-клиента NGate, возможно также использовать собственное мобильное приложение, посредством встраивания в него КриптоПро CSP, реализующего поддержку TLS с ГОСТ для операционных систем iOS, Android и Аврора.

Гибкое разграничение прав доступа.
NGate обеспечивает возможность предоставления гранулированного доступа конкретным пользователям или группам пользователей к необходимым ресурсам с учетом применяемой политики безопасности. Шлюз интегрируется с Active Directory, LDAP и другими службами каталогов, содержащими списки пользователей, что избавляет от необходимости создания отдельной базы пользователей. Администратор может задать уровень доступа для конкретного пользователя или группы, а также ограничить доступ к определенному перечню приложений организации.

Широкий набор поддерживаемых способов и средств аутентификации.
NGate поддерживает следующие способы аутентификации пользователя с возможностью их комбинирования и обеспечения многофакторной аутентификации:

• без аутентификации (используется в режиме прозрачного доступа);
• аутентификация по логину и паролю (MS Active Directory);
• аутентификация с использованием сертификата (простая проверка на валидность); аутентификация по полям: Organization, Organizational Unit, Enhanced Key Usage);
• аутентификация по UPN в MS Active Directory;
• аутентификация с использованием сертификата в MS AD/LDAP;
• различные методы многофакторной аутентификация, в т.ч. по одноразовым паролям, при интеграции со стандартными RADIUS-серверами.

NGate может одновременно интегрироваться с большим количеством различных центров сертификации для обеспечения доступа различных групп пользователей по доверенным сертификатам. В качестве ключевых носителей поддерживаются различные токены и смарт-карты Aladdin, Рутокен, Esmart и др., в том числе с использованием российской криптографии и сертификатов, созданных в соответствии с современными ГОСТ Р 34.11-2012, ГОСТ Р 34.10-2012.

Низкие требования к аппаратной платформе.
Программные компоненты NGate существенно оптимизированы на этапе разработки, предоставляя максимальную на рынке производительность и предъявляя относительно невысокие требования к аппаратной платформе как для шлюза, так и для удаленного пользователя.

Масштабируемость.
NGate гибко масштабируется и может применяться в различных сценариях. Шлюз обеспечивает возможность увеличения пропускной способности за счет объединения аппаратных мощностей в кластерную конфигурацию. Решение поддерживает работу в схеме высокопроизводительного кластера (до 32 узлов) с балансировкой нагрузки с полной синхронизацией сессий. При этом выход из строя какого-либо узла кластера не приводит к разрыву соединений, поскольку данные о сессии синхронизируются между устройствами балансировщиком и соединение перераспределяется на свободные узлы кластера.

Совместимость.
Со стороны решения обеспечивается совместимость с различными продуктами, реализующими протокол TLS (SSL) на российском рынке в соответствии с методическими рекомендациями технического комитета по стандартизации ТК 26 (Криптографическая защита информации).

Высокая производительность, поддержка аппаратной и виртуальной платформ.
NGate поставляется в виде программного обеспечения для использования в различных виртуальных средах, с обеспечением уровня защищённости класса КС1, а также в виде программно-аппаратного исполнения, представляющего собой специализированную IBM PC-совместимую платформу из имеющейся линейки аппаратных платформ с оптимальной производительностью с предустановленным ПО NGate и обеспечением уровня защищённости до класса КС3 включительно. При этом обеспечивается следующая максимальная производительность (средствами аппаратной платформы NGate 3000):

• Пропускная способность в режиме VPN-сервера c обеспечением аутентификации – до 10 Гбит/с;
• Поддержка одновременных аутентифицированных соединений - до 45 000;
• Возможность обработки до 12 000 новых соединений в секунду.

Наличие экспортного варианта.
На VPN-клиент NGate получена соответствующая нотификация ФСБ России, позволяющая экспортировать его за пределы Российской Федерации.

Интеграционные решения

Для обеспечения безопасности сети организации и размещенных в ней ресурсов NGate может использоваться в составе комплексных решений. Далее приведены примеры таких интеграционных решений.

Защита Единой биометрической системы (ЕБС). 
NGate входит в состав типовых решений Ростелекома, ЦФТ и IDSystems по обеспечению безопасности ЕБС, предоставляя возможность обеспечения криптографической защиты передаваемой информации на этапах сбора биометрических данных и удаленной идентификации пользователей при получении ими удаленных услуг.

Защита локальной и удаленной работы на произвольном ПК.
Решение позволяет обеспечить защищенную работу на произвольном, в том числе на недоверенном ПК, а также защищенный удаленный доступ к ресурсам организации с такого ПК. Для этой цели NGate используется совместно с Рутокен ЭЦП 2.0 Flash, во Flash память которого устанавливается операционная система и VPN-клиент NGate. При работе данного решения пользователь подключает Рутокен ЭЦП 2.0 Flash к произвольному ПК и выбирает загрузку с USB-токена. В результате загружается ОС, которая гарантированно свободна от вирусов и не взаимодействует с файловой системой ПК. Для повышения уровня защищенности при этом применяется многофакторная аутентификация. При этом сотрудник может работать со своими документами локально, используя входящее в состав офисное ПО и сохраняя их в защищенном разделе флеш-памяти, а также может обращаться к корпоративным ресурсам, используя защищенное VPN-соединение между VPN-клиентом и VPN-шлюзом NGate.

Защита VDI. 
Интеграция NGate с VDI-системами позволяет обеспечить защиту передаваемой конфиденциальной информации, в том числе персональных данных, в соответствии с требованиями законодательства РФ по информационной безопасности.

Защита удаленного доступа со специализированных устройств.
NGate предоставляет возможность реализовать защищенный удаленный доступ не только с классических стационарных и мобильных устройств, но и с различных специализированных аппаратных платформ, таких как:

• промышленные планшеты MIG T10 и MIG T8;
• уникальный планшет ПКЗ 2020, позволяющий обеспечить уровень защищённости КС3;
• тонкие клиенты Dell Wyse и ТОНК;
• аппаратные платформы Getac (ноутбуки, планшетные промышленные компьютеры и мобильные устройства), разработанные для применения в жестких условиях эксплуатации.

Защита Видеоконференцсвязи. Совместное использование NGate c российской системой ВКС TrueConf Server и другими подобными системами позволяет ИТ-специалистам, в том числе компаний-интеграторов, строить защищенные корпоративные сети ВКС для удаленного взаимодействия сотрудников с соблюдением требований законодательства Российской Федерации по информационной безопасности.

Защита Телемедицины. Совместное использование NGate с различными платформами Телемедицины позволяет обеспечить надежную защиту персональных данных, передаваемых в процессе удаленного взаимодействия врачей и пациентов, с соблюдением требований законодательства Российской Федерации по информационной безопасности.
Комплексная защита веб-приложений. Для этой цели NGate может использоваться совместно с межсетевым экраном прикладного уровня (WAF - Web Application Firewall) Wallarm в рамках единой виртуальной или аппаратной платформы NGate. Где NGate обеспечивает защищенный доступ к веб-приложениям, а Wallarm – защиту веб-приложений от целенаправленных атак. Данное комплексное решение позволяет организовать выявление и блокирование атак, обнаружение уязвимостей и отслеживание периметра с дообучением на основе анализа отслеживаемого трафика. При этом NGate может поставляться с уже протестированными профилями безопасности.

Комплексная защита сети.
Для этой цели NGate может использоваться совместно с решением FortiGate в составе шлюза безопасности «Граница». Где NGate обеспечивает криптографическую защиту передаваемой информации, а FortiGate – межсетевое экранирование и обнаружение вторжений.

Централизованная загрузка политик безопасности на VPN-клиенты NGate.
Данный функционал реализуется за счет интеграции NGate с системами класса Mobile Device Management (MDM), позволяющей производить централизованную установку VPN-клиентов, а также централизованную загрузку на них политик безопасности. В настоящее время протестирована совместимость с решениями SafePhone MDM и Microsoft Intune.

Мониторинг и управление событиями информационной безопасности.
Для этой цели NGate поддерживает стандартные протоколы SNMP и Syslog и может выступать в качестве подконтрольного объекта как для системы мониторинга КриптоПро Центр Мониторинга, так и для сторонних систем мониторинга, направляя в них соответствующие сообщения.

NGate может быть особенно полезен следующим типам организаций для обеспечения защиты передаваемой информации и удаленного доступа в соответствии с требованиями законодательства:

• Субъекты критической информационной инфраструктуры;
• Государственные и муниципальные органы власти и подведомственные им организации;
• Операторы персональных данных;
• Банки и другие организации финансового сектора;
• Иные организации, которым необходимо обеспечить защиту передаваемой информации и удаленного доступа.

Дистрибутив продукта

Руководство пользователя