Построение защищённых сетей во многом похоже на построение обычных сетей передачи данных. При этом имеются некоторые отличия, которые важно учитывать при проектировании и подборе решения.
Надо иметь в виду, что передача некоторых видов информации (например, персональные данные) по общим сетям строго контролируются нормативными актами ФСБ и ФСТЭК. Стандартные алгоритмы шифрования (DES, 3DES, AES) и обеспечения целостности данных (MD5, SHA), которые применяются в оборудовании западных производителей, для защиты такой информации не могут быть использованы, т.к. это противоречит законодательству. И может привести к серьёзным санкциям, вплоть до закрытия нарушившего правила предприятия.
В таких ситуациях организации должны применять российские криптоалгоритмы семейства ГОСТ, причём шифровальные устройства должны иметь соответствующие сертификаты регуляторов. Государственные предприятия также подчиняются этим требованиям независимо от уровня конфиденциальности передаваемых данных.
Кроме того, важен обдуманный выбор модели оборудования. Главная цель создания защищённой виртуальной сети — непрерывная передача данных без потерь. Шифрование требует серьезных вычислительных мощностей, поэтому устройство должно быть достаточно производительным, чтобы обрабатывать весь необходимый объём трафика в реальном времени.
Существующие каналы связи часто используются почти на полную мощность. Шифрование увеличивает нагрузку на канал, поскольку каждый пакет сопровождается служебной информацией и данными, необходимыми для шифрования. Это приводит к тому, что зашифрованному трафику требуется больше пропускной способности. Чем меньше средний размер пакета, тем выше доля этих дополнительных затрат, которая может превышать объём полезных данных в разы. Если планируется передавать данные, чувствительные к задержкам и потерям (к примеру, видеосвязь), необходимо выбрать устройство с поддержкой функции Quality of Service (QoS). Эта функция позволяет настроить приоритезацию трафика. Если этого не сделать, то пострадает качество связи. В некоторых случаях может потребоваться даже расширение канала.
У любой сетевой архитектуры есть свои преимущества и недостатки. Оптимальную топологию для конкретной сети можно выбрать, только учитывая маршруты трафика и пропускную способность каналов. Необходимо определить, какие сегменты сети нужно соединить и каким образом. Возможно, потребуется двойная защита, например, если в сети есть особо важные данные (финансовая информация или исследования и разработки). Чтобы грамотно создать защищённую сеть, необходимо собрать полную информацию о данных и маршрутах их передачи. Это ещё раз подчёркивает важность тщательного обследования, документирования и анализа существующей сети, которые должны проводить профессионалы.