ViPNet Prime представляет собой централизованную систему управления защищенной сетью, объединяющую работу с VPN-инфраструктурой, политиками безопасности и мониторингом устройств.
Архитектура решения позволяет:
управлять распределенными сетями;
сегментировать инфраструктуру по организациям;
централизованно контролировать состояние узлов.
Ключевая особенность Prime — единая предметная область для всех модулей системы, благодаря чему управление сетью, политиками безопасности и мониторингом выполняется в рамках общей инфраструктуры.
Такое развертывание сети vipnet особенно востребовано в крупных распределенных инфраструктурах.
Архитектура ViPNet Prime
Prime состоит из обязательных и дополнительных модулей.
Обязательные модули
ядро системы;
VPN-модуль.
Дополнительные модули
PMM — управление политиками безопасности;
NWS — мониторинг и работа с отчетностью.
Все модули используют единую модель данных и работают с общими объектами инфраструктуры.
Ролевая модель и разграничение доступа
Для управления правами используется ролевая модель.
Роли управления Prime
К ролям управления системой относятся:
суперадминистратор;
сервисный администратор;
оператор Prime.
Роли управления организациями
Для работы с инфраструктурой организаций используются:
владелец организации;
администратор организации;
сетевой администратор;
администратор шлюза безопасности;
аудитор устройств.
Набор ролей определяет, какие действия доступны администратору в пользовательском интерфейсе.
Организации как механизм сегментации сети
Одним из базовых элементов архитектуры Prime являются организации.
Организации представляют собой логические сегменты внутри одной сети и могут использоваться для разделения:
филиалов;
подразделений;
поставщиков услуг;
отдельных бизнес-структур.
Особенности изоляции организаций
По умолчанию организации:
имеют собственных пользователей;
используют собственные устройства;
управляются независимо.
При необходимости доступ к объектам одной организации может быть предоставлен другой организации.
Core Network и узлы управления
После выполнения процедуры vipnet prime установка автоматически создается организация Core Network.
В ней размещаются обязательные узлы управления:
Control Center;
Core Coordinator.
Control Center
Control Center создается как узел типа Client for Linux и отвечает за:
рассылку обновлений;
работу транспортных серверов;
доставку транспортных конвертов.
Core Coordinator
Core Coordinator — координатор, за которым регистрируется Control Center и через который осуществляется управление сетью.
Создание этих узлов возможно только при наличии соответствующих лицензий.
Лицензирование в Prime
Работа Prime полностью завязана на систему лицензирования.
Файл лицензии содержит
номер сети;
срок действия;
максимальную поддерживаемую версию ViPNet;
лицензии на модули Prime;
лицензии на создание узлов;
лицензии на функции устройств;
ограничения по количеству управляемых устройств.
Для узлов пятого поколения используется отдельный постфикс V5, позволяющий отличать лицензии HW5 от лицензий четвертого поколения.
Prime также отслеживает сроки действия лицензий и отображает предупреждения о приближающемся окончании действия.
Дистрибутивы и поколения инфраструктуры
Информация о лицензиях, связях и ключах передается на узлы через дистрибутивы.
Дистрибутив включает
ключевую информацию;
параметры взаимодействия;
лицензии;
информацию о связях между узлами.
Четвертое поколение
Для HW4 используются:
управление через ViPNet Administrator или Prime;
транспорт MFTP;
дистрибутивы формата DST.
Пятое поколение
Для HW5 используются:
управление через Prime;
транспорт HTTP/HTTPS;
дистрибутивы формата DS5.
Именно для инфраструктур HW5 система Prime становится обязательной, а переход на vipnet prime позволяет централизовать управление всей защищенной сетью.
Развертывание сети vipnet в Prime
Процесс развертывание vipnet prime строится по определенному сценарию.
Основные этапы развертывания
Создание организации.
Распределение лицензий.
Создание пользователей.
Инициализация ключевого центра.
Создание объектов защищенной сети.
Назначение прикладного ПО.
Создание связей.
Настройка паролей администратора.
Выпуск дистрибутивов.
Такой подход позволяет централизованно разворачивать инфраструктуру сразу для нескольких организаций внутри одного Prime.
Подобное развертывание vipnet упрощает администрирование распределенных VPN-сетей.
Инициализация VPN-модуля и мастер-ключи
Для работы VPN-инфраструктуры необходимо создать мастер-ключи ключевого центра.
На их основе в дальнейшем генерируются ключи, используемые при шифровании трафика между узлами.
Для обеспечения совместимости разных поколений инфраструктуры используется мастер-ключ на базе ГОСТ-89.
Управление паролями администраторов
Prime позволяет централизованно управлять паролями администраторов устройств.
Поддерживаются
настройка сложности паролей;
централизованное назначение;
локальное назначение для отдельных устройств;
автоматическая генерация.
Пароль администратора используется для перехода в режим локального администрирования устройства.
Работа с функциями координаторов
Функции координаторов лицензируются отдельно и могут включаться через Prime.
Доступные функции
VPN-шлюз;
кластер горячего резервирования FileOver;
дополнительные сервисные функции.
Список доступных функций определяется распределенными лицензиями.
Управление дистрибутивами
Prime позволяет:
выпускать дистрибутивы;
распространять обновления;
управлять отправкой справочников и ключей;
контролировать доставку транспортных конвертов.
Обновления могут отправляться
вручную;
автоматически по таймеру.
Результат доставки отслеживается через журнал транспортных конвертов.
PMM: управление политиками безопасности
Для управления политиками безопасности используется модуль PMM.
Перед использованием PMM необходимо
назначить центр управления политиками;
распределить лицензии на отправку политик.
Создание правил фильтрации
Политики безопасности позволяют задавать правила фильтрации трафика.
Например, можно
ограничить SSH-доступ;
блокировать определенные протоколы;
фильтровать трафик по сервисам;
ограничивать доступ к отдельным узлам.
Для правил задаются
источники трафика;
получатели;
протоколы;
порты;
действие при срабатывании.
В системе присутствуют встроенные группы устройств, включая системную группу «Целевое устройство», интерпретируемую как локальный узел.
NWS: мониторинг и контроль состояния инфраструктуры
Модуль NWS отвечает за мониторинг устройств и сбор телеметрии.
Перед использованием создается узел сборщика данных на базе Client for Linux.
Сборщик данных выполняет
опрос устройств по SNMP;
получение трапов;
обнаружение новых устройств;
агрегацию телеметрии.
Настройка SNMP и параметров подключения
При настройке сборщика данных задаются:
параметры SNMP v2;
параметры SNMP v3;
trap community;
пользователи и пароли;
параметры шифрования;
протоколы аутентификации.
Для работы мониторинга между сборщиком данных и устройствами должна существовать VPN-связь.
Мониторинг координаторов и клиентов
NWS позволяет получать информацию о состоянии устройств.
Для координаторов доступны
состояние компонентов;
состояние окружения;
работа активной и пассивной ноды в кластере;
события системы;
метрики производительности;
техническая информация об устройстве.
Для клиентских узлов дополнительно доступны
журналы событий, полученные непосредственно с устройств.
Отчетность и контроль версий ПО
В модуле NWS реализована система отчетности.
Поддерживаемые сценарии
контроль версий ПО;
анализ инфраструктуры;
мониторинг обновлений;
аудит состояния устройств.
Помимо готовых типов отчетов поддерживается создание пользовательских шаблонов.
Работа с несколькими организациями
Prime позволяет одновременно управлять несколькими организациями в рамках одной инфраструктуры.
Для каждой организации могут быть
собственные устройства;
собственные администраторы;
собственные политики;
собственные лицензии.
Для филиалов могут создаваться отдельные учетные записи администраторов с соответствующими ролями и ограниченным набором полномочий.
Практические особенности эксплуатации Prime
Ключевая особенность Prime — централизованное управление всеми компонентами инфраструктуры через единый интерфейс.Система объединяет
управление VPN-сетью;
работу с политиками безопасности;
мониторинг;
лицензирование;
управление обновлениями;
контроль транспортной инфраструктуры.
При этом поддерживается работа как с четвертым, так и с пятым поколением продуктов ViPNet.
Во многих организациях переход на vipnet prime выполняется одновременно с модернизацией инфраструктуры и внедрением HW5.
Вывод
ViPNet Prime формирует единую систему управления защищенной сетью, объединяя VPN-инфраструктуру, политики безопасности и мониторинг устройств.
Архитектура решения позволяет
сегментировать инфраструктуру по организациям;
централизованно управлять узлами;
контролировать состояние сети;
распространять политики безопасности;
управлять лицензиями и обновлениями;
мониторить устройства и инфраструктуру.