Содержание
ViPNet Prime: что это и как он устроенСовместимость ViPNet Prime
Процесс миграции ПО: этапы перехода и ключевые нюансы
Сравнение управляющего ПО 4 и 5 поколения
Режимы миграции
Подготовка к миграции
Завершение перехода на управляющее ПО 5 поколения
Ошибки при переходе
Ключевые отличия ViPNet Prime от ПО 4‑го поколения
Миграция с Policy Manager
Миграция с State Watcher
Сертификация ViPNet Prime
1. ViPNet Prime: что это и как он устроен
ViPNet Prime — продукт управления пятого поколения.
ViPNet Prime выступает в роли центрального ядра, на котором строится вся система управления. К нему подключаются специализированные функциональные модули, отвечающие за управление сетью и мониторинг. Дополнительно к платформе могут присоединяться управляющие консоли, охватывающие смежные области информационной безопасности — например, защиту конечных узлов или предотвращение вторжений. Кроме того, ViPNet Prime способен обмениваться данными с внешними системами, предоставляя им информацию о своём состоянии и работе, что позволяет интеграционным платформам и сторонним решениям осуществлять мониторинг или использовать эти данные для анализа и автоматизации процессов.
Рис.1 Состав ViPNet Prime
В базовой поставке Prime состоит из:
Ядра, которое обеспечивает лицензирование пользователей, администраторов, ролевые модели;
Модуля управления защищенной сетью (ViPNet VPN)
Модуля управления политиками (ViPNet Policy Manager)
Модуля мониторинга (NVS‑модуль, ранее — State Watcher).
2. Совместимость ViPNet Prime
ViPNet Prime совместим с продуктами как четвёртого, так и пятого поколения. После перехода на ViPNet Prime вы можете продолжать использовать сеть четвёртого поколения, однако рекомендуется перейти на решения пятого поколения — при этом возможно их параллельное взаимодействие в рамках единой среды Prime.
Платформа поддерживает работу с такими компонентами ViPNet, как ViPNet Client, ViPNet Деловая почта, ViPNet CSS Connect, защищёнными шлюзами, NGFW, квантовыми сетями и другими продуктами линейки, обеспечивая единую и гибкую инфраструктуру управления безопасностью.
Рис.2 Совместимость ViPNet Prime
3. Процесс миграции программного обеспечения: этапы перехода на ViPNet Prime и ключевые нюансы
Переход на ViPNet Prime — это первая часть процесса миграции на продукты пятого поколения и современные криптоалгоритмы.
Миграция управляющего ПО. Переход c ViPNet Administrator на ViPNet Prime как основа модернизации сети
Переход на продукты 5 поколения. Обновление ПО на шлюзах и конечных узлах.
ГОСТ 34.12-2018 ready. Возможность к переходу на обновленную ключевую систему и актуальные криптоалгоритмы.
Уже сегодня возможна миграция на ViPNet Client 5 без обязательного перехода на ViPNet Prime — Client 5 полностью работает в существующих сетях на базе ViPNet Administrator.
Также доступна миграция на Client4U for Linux, все узлы которого имеют действующий сертификат, соответствуют актуальным требованиям безопасности и закрывают известные уязвимости.
Однако для использования шлюзов пятого поколения платформа ViPNet Prime является обязательной. В частности, если вы планируете внедрение в инфраструктуру ViPNet Coordinator HW, сначала необходимо выполнить переход на ViPNet Prime, а уже в его среде — развернуть шлюз пятого поколения.
4. Сравнение управляющего программного обеспечения 4 поколения с ПО 5 поколения
Четвертое поколение
| Пятое поколение Prime |
|---|---|
ViPNet Administrator Управление защищенной сетью | ViPNet VPN Управление защищенной сетью |
ViPNet Policy Manager Управление политиками безопасности | ViPNet Policy Manager Module Управление политиками безопасности |
ViPNet State Watcher Мониторинг | ViPNet Network Visibility System Мониторинг |
В 4 поколении:
Administrator управлял защищенной сетью;
Его дополнял ViPNet Policy Manager — система централизованного управления политиками безопасности для отдельных узлов и групп узлов защищенной сети ViPNet;
И State Watcher, который мониторил состояние сети и устройств.
В пятом поколении ViPNet Prime выступает как единая управляющая платформа, объединяющая все подключаемые к ней модули. В первую очередь мы переносим на Prime управление защищённой VPN-сетью, поскольку обязательства по обеспечению безопасности в таких сетях должны быть выполнены и стабильно поддерживаться.
Однако функциональность Prime — это больше про централизованное управление политиками безопасности во всех аспектах, мониторинг сетевой активности, учёт и контроль активов и комплексный контроль инфраструктуры безопасности.
5. Режимы миграции на Prime
Предусмотрены два режима перехода на ViPNet Prime.
Рис.3 Способы миграции на ViPNet Prime
Классический режим.
Данные из ViPNet Administrator переносятся в Prime и незаметно для сети происходит миграция.
При развертывании ViPNet Prime с сохранением номера сети, вы остаетесь с тем же номером сети и переносите все настройки из Administrator в Prime. Сеть не замечает, что произошла смена управляющего приложения, вам не требуется переразворачивать узлы. При прямой миграции сохраняется работоспособность всех установленных межсетевых связей и не требуется их переустанавливать.
Альтернативный режим.
Если прямая миграция по каким-то причинам невозможна, то допустимо развёртывание второй сети на Prime и постепенный перенос узлов. Такой вариант подойдет,если вам нужно получить прямо сейчас сеть на продуктах пятого поколения.
Если вы мигрируете с разворачиванием второй сети на Prime, вы получаете дублирующую лицензию с новым номером сети. Устанавливаете Prime специальным инсталлятором, на который разворачиваете эту сеть. При установке и настройке ViPNet Prime стоит обратить внимание на получение корректных сертификатов и разрешение DNS имен.
Далее вы устанавливаете межсетевое взаимодействие между сетью с Administrator и Prime и у вас сохраняется сетевая связанность между узлами и теми ресурсами, которыми управляет Administrator. Постепенно узлы переносятся и разворачиваются на устройствах в новой сети. После полного переноса, сеть и Administrator. выводятся из эксплуатации.
6. Подготовка к миграции на ViPNet Prime
Перед миграцией сеть, Administrator и связь с доверенными сетями необходимо подготовить, привести сеть в консистентное состояние, обменявшись актуальной информацией со всеми узлами. Рекомендуется сменить мастер-ключи перед миграцией и убедиться, что в доверенных сетях установлены актуальные версии Administrator 4.6.11, совместимые версии Client. После всей подготовки нежелательно вносить изменения в сеть..
Верификатор миграции — утилита для автоматизации проверки готовности сети.
Утилита миграции проводит автоматизированную проверку готовности сети, узлов и настроек, где будут выявлены потенциальные препятствия миграции и даны рекомендации. Рекомендации будут выгружены в подробный файл отчёта.
К утилите есть подробная документация, где есть подробные инструкции по использованию верификатора и о том, как устранить замечания.
Отчет представлен в виде таблицы, где удобно отрабатывать и помечать, какие узлы уже отработаны и готовы к миграции.
Рис.4 Отчет верификатора миграции
Сам мигратор состоит из двух частей:
1. Мигратор из Administrator (Windows-утилита)
Выгружает данные из Administrator для импорта в Prime.
Утилита снова проверит препятствия к миграции, и если все хорошо, выгрузит данные ЦУС, УКЦ.
2. Мигратор в Prime. (Скрипты для Linux, где стоит Prime)
Утилита в третий раз, помимо верификации и выгрузки данных проверит, корректны ли данные, проверит готовность к загрузке и загрузит данные. Если сеть большая, нужно запастись терпением, это может быть не быстро. По итогу будет сформирован отчет, где можно будет убедиться, что всё хорошо. Или, если были ошибки, в отчете отобразится, что пошло не так.
7. Завершение перехода на управляющее программное обеспечение 5 поколения
После успешного перехода с ViPNet Administrator на ViPNet Prime, мы должны переключить управление, так как Prime должен быть единственным центром управления в сети. Для этого:
• Отключаем Administrator от сети. Для этого мы останавливаем работу ViPNet Client на сервере с Administrator, отключаем защиту и сам сервер с Administrator, для избежания конфликтов.
• Подключаем Prime к ViPNet сети. На машине с Prime устанавливаем ViPNet Client и разворачиваем узел управления. После этого Prime выходит в сеть, мы выводим его из сервисного режима.
• Запускаем и проверяем Prime. В первую очередь отправка межсетевой информации, тестовые рассылки справочников и далее проверяем связанность сети. Убеждаемся, что сеть не заметила смены управляющего приложения, связанность не потерялась и все сервисы продолжают работать.
8. Ошибки при переходе на ViPNet Prime
Миграция — это целостный и дискретный процесс, поэтому, если возникли ошибки,начинаем с начала.
1. Восстанавливаем Prime
Удаляем и заново устанавливаем и настраиваем ViPNet Prime как описано в инструкции.
2. Повторяем экспорт и импорт, устранив причины неудачной миграции.
3. Подготовка — залог успеха.
Внимательно изучите документацию, обращайте внимание на такие нюансы, как сертификаты и резолвинг DNS имен. При экспорте следует помнить, какие у вас данные для подключения к Administrator, пароли от УКЦ и ЦУС, под каким пользователем вы подключаетесь к Administrator. Проведите полноценные тесты и пилоты перед миграцией.
9. Ключевые отличия ViPNet Prime от ПО 4‑го поколения
Prime — управляющее ПО нового поколения, в нем заложены новые концепции. Если ваша сеть не соответствует этим особенностям, верификатор будет требовать привести вашу сеть к такому состоянию.
1. Один пользователь на устройство
2. Все узлы должны быть с пользователями
3. Актуальное обновление ViPNet Administrator 4.6.11 в МСВ
4. Prime – не удостоверяющий центр, не выпускает сертификаты 5. Не поддерживается иерархия сетей*
6. Не переносятся устаревшие роли узлов (к примеру Terminal)
7. Не забудьте расшифровать письма ДП перед миграцией.
*-в текущих версиях.
10. Миграция с Policy Manager
К этому моменту вы уже должны были мигрировать на Prime и вам не потребуется запускать консольные утилиты. Вы используете штатный функционал ViPNet Policy Manager и Policy Manager Module (PMM).
Подготовка к миграции:
Мигрируйте на Prime и обновитесь до Prime 1.9.11 и выше;
Убедитесь что у вас самая актуальная версия PM 4.5.5;
Убедитесь что загружены лицензии на PMM и узлы применения политик.
Миграция:
1. Экспортируйте данные. Выгрузите шаблоны и дополнительные данные
2. Импортируйте данные в Prime. В интерфейсе модуля PMM
3. Распределите слои. Если необходимо разделите слои (бывшие шаблоны) по разным политикам
4. Назначьте устройства. Каждое устройство только в одной политике
5. Отправьте политики PMM. проверит корректность политик
Особенности Prime:
1. При миграции лицензии PM должны быть заменены на лицензии Prime PMM
2. Шаблоны PM будут трансформированы в слои политик PMM Каждый шаблон = слой политики
3. Не сохраняется приоритет шаблонов, нужно переопределить в слоях
4. Приоритет правил в шаблонах сохраняется
5. Обновляются идентификаторы правил
11. Миграция с State Watcher
Здесь также используется штатный функционал State Watcher и NVS модуль. Через пользовательский интерфейс.
Подготовка к миграции:
Мигрируйте на Prime и обновитесь До Prime 1.9.11 и выше
Убедитесь что у вас самая актуальная версия State Watcher 4.9.2
Убедитесь что загружены лицензии на NVS и узлы мониторинга
Миграция:
Экспортируйте данные. Выгрузите список узлов и настройки сервера мониторинга State Watcher
Импортируйте данные в Prime NVS. В интерфейсе модуля NVS добавьте устройства и режим мониторинга
Проверьте настройки мониторинга. Мониторинг настроен верно и данные поступают
Особенности Prime:
1. Импортируется только список устройств, период мониторинга и настройка SNMP-агента.
2. Данные мониторинга не переносятся
3. Если вы хотите пользоваться накопленными данными и функционалом State Watcher, возможно продолжить его использовать для мониторинга, параллельно с Prime NVS.
4. Узлы в режиме кластера необходимо перевести в режим мониторинга кластер
12. Сертификат ViPNet Prime
На данный момент имеются сертификаты на ключевой центр СКЗИ Prime Key Center 1.8.и на Сертифицированное управляющее ПО + СКЗИ ViPNet Prime 1.9.6. В планах — прохождение сертификации для версии ViPNet Prime 1.9.11 (Сертифицированное управляющее ПО + СКЗИ), планируемый срок сертификации которой — второй квартал 2026 года.