Внедрение ГОСТ-шифрования канала передачи данных с ЦБ РФ
Добрый день! Мы — команда сопровождения банковских телекоммуникаций Национального Расчетного Депозитария (Группа «Московская Биржа»). В НРД мы отвечаем за сопровождение информационных сервисов, которые используются на ежедневной основе при отправке платежей/сообщений через каналы SWIFT и СПФС, сдачи отчетности, взаимодействию со Федеральными органами исполнительной власти и других не менее важных направлений.
В этой статье расскажем о тех изменениях, которые затронули все банки, работающие через Транспортный Шлюз Банка России (ТШ БР), и как удалось найти альтернативное решение там, где это казалось невозможным.
Банк России предоставлял доступ к своему ТШ БР через двух аккредитованных провайдеров — Транстелеком (ТТК) и Ростелеком (РТК) с помощью выделенных каналов связи в режиме «точка-точка», при этом со стороны клиента поднимался шифрованный туннель при помощи программы Cisco AnyConnect. В связи с уходом зарубежного вендора возник вопрос о замене ПО на отечественное в рамках импортозамещения. В качестве такого продукта был выбран DiSec от моно-вендора «Фактор ТС», организующий шифрованный канал связи между двумя точками на основании ключей и сертификатов1.
При тестировании стало понятно, что отказоустойчивое решение при большом уровне трафика на этом продукте не построить. Периодические зависания, отключение каналов без какой-либо возможности настроить мониторинг состояния ПО. Для организаций с небольшим трафиком данный продукт, возможно, и подходит, но для больших объемов трафика, который агрегирует Сервис-Бюро, через которое работает около сотни клиентов, подобный уровень надежности недопустим.
Спустя две-три недели рутинного общения с технической поддержкой Банка России, отправки логов, описания ошибок DiSec, Банк России предложил рассмотреть возможность использования не программного продукта, а программно-аппаратного комплекса (ПАК) Dionis DPS серии 2000 от того же безальтернативного вендора — «Фактор ТС».
В спешном порядке запросили и получили две тестовые ноды Dionis DPS 2500, прошли обучение, получили ключи для ПАК к ТШ БР, провели разработку и реализацию временной схемы тестового контура с запуском параллельной задачи по разработке целевой схемы будущего промышленного контура. На все эти процедуры ушло порядка одного месяца.
Тестирование ПАК прошло успешно, каналы поднялись и работали без сбоев и зависаний в том числе и при нагрузочном тестировании и переключении на резервную ноду. Но всё равно мы обнаружили несколько неудобств. Для поддержания отказоустойчивости на высоком уровне было необходимо обеспечить автоматическое переключение между основным и резервным каналами связи, а также настроить технический мониторинг кластеров ПАК Dionis — как раз с этими пунктами и возникли проблемы. В ПАКах есть гибкая система мониторинга, в том числе snmp практически любой версии, отправка syslog на внешний сервер мониторинга, но данных, которые Dionis записывает в логи по умолчанию, недостаточно для отлавливания ошибок на комплексе. Второй момент — возможностей ПАК недостаточно для успешной автоматической перестройки маршрутизации при падении одного из провайдеров, при условии доступности его шлюза.
Задачу с резервированием провайдера удалось решить довольно легко, так как ТШ БР предоставляет доступ к четырем точкам построения туннеля (TUZ01–04), которым соответствуют четыре прикладных сервера, работающих в обычном режиме попарно 1–2 или 3–4. Таким образом, настроив туннель до TUZ01 и TUZ03 через шлюз одного провайдера, а TUZ02 и TUZ04 через шлюз другого, мы получаем отказоустойчивое решение с автоматическим переходом прикладного ПО АРМ КБР-Н и АРМ КБР СПФС на доступный сервер (список альтернативных серверов и перебор доступного встроен в вышеупомянутое прикладное ПО).
Решение второго вопроса заняло больше времени, поскольку требовался достаточно глубокий и кастомный мониторинг. Мы использовали встроенный в ПАК сервис watcher для выполнения диагностических команд, отслеживания возвращаемых результатов, записи их в лог и последующего информирования инженеров о неполадках на Комплексе. По сути, разработали список событий, которые необходимо было отслеживать, и соответствующие скрипты проверки: после реализации проверок посредством service watcher и помещения результата в соответствующий log-файл данное событие становится доступным для любой системы мониторинга.
Что имеем сейчас?
Решения от «Фактор-ТС» ПАК Dionis DPS 2500 внедрены и успешно функционируют в боевом режиме в виде двух отказоустойчивых кластеров на основной и резервной площадках, с настроенной и проверенной системой технического мониторинга.
Таким образом, нам удалось выполнить требования Постановления Банка России в части использования средств защиты информации, обеспечивая безопасное и отказоустойчивое шифрование каналов связи по ГОСТ с критичными сервисами ЦБ РФ. За все время с момента перехода на данные аппаратные решения мы не зафиксировали ни одного инцидента по потере каналов связи до Транспортного Шлюза Банка России, что с наилучшей стороны характеризует разработанную и реализованную схему подключения.
ВЫВОДЫ
Импортозамещение любого ПО — не всегда простой и очевидный процесс, поэтому хочется поддержать всех, кто столкнулся с трудностями, и дать несколько советов на основании нашего опыта:
Более глубоко анализировать альтернативные варианты реализаций того или иного требования, даже когда они не лежат на поверхности.
Уделять большее время на тестирование решений с учетом обучения персонала.
Стараться изначально строить отказоустойчивые решения, особенно для высоконагруженных систем.
1. 25.07.2022 Банк России выпустил постановление 802-П, в котором был представлен пункт 14.3 в части применения средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне в соответствии с эталонной моделью взаимосвязи открытых систем, предусмотренной пунктом 1.7 раздела 1 ГОСТ Р ИСО/МЭК 7498–1–991, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.
Habrahabr.ru прочитано 1693 раза