CBS модернизировала защиту периметра сети в финансовой компании

• 31.08.2016
• 680

До проекта защиту границы сети заказчика обеспечивала отказоустойчивая пара МЭ Cisco ASA 5515-X в сочетании с прокси-сервером MS TMG. Решение было внедрено в 2012 году. К настоящему времени MS TMG устарел как продукт и производитель прекратил его поддержку. Кроме того, за 4 года бизнес компании значительно вырос, и IT-инфраструктуру предстояло привести в соответствие возросшим требованиям. Проведённый проект стал частью масштабной реструктуризации, проходившей в компании.

Заказчик поручил специалистам CBS разработать и внедрить новое решение для защиты границы сети. Приоритетами проекта был высокий уровень контроля доступа пользователей в интернет и постоянный мониторинг всего интернет-трафика компании на наличие угроз. Основываясь на нашем опыте в подобных проектах, мы предложили решение, принятое в индустрии как передовая практика (best practice) по защите границы сети — систему предотвращения вторжений в сочетании с выделенным веб-прокси сервером. Система предотвращения вторжений анализирует трафик компании, отслеживая подозрительную активность и нейтрализуя сетевые угрозы. Веб-прокси регулирует доступ пользователей в интернет и ограждает их от потенциально опасных и отвлекающих от работы веб-ресурсов.

Заказчик уже использовал межсетевые экраны Cisco и предпочёл решить поставленные задачи, используя продукты того же вендора. Новая схема защиты границы сети была реализована на базе физических и виртуальных решений Cisco. На имеющихся ASA 5515-X специалисты CBS развернули сервисы FirePower с функционалом системы предотвращения вторжений нового поколения (NGIPS). Cisco WSA внедрили в виде виртуальной машины на выделенных заказчиком серверных ресурсах. Это позволило с максимальной эффективностью задействовать уже имеющееся оборудование, тем самым сократив затраты на проект.

Cisco WSA

В основу правил доступа, реализованных на WSA, легли правила, которые заказчик использовал на сервере TMG. Мы перенесли основные настройки и добавили озвученные отдельно пожелания заказчика, но в дальнейшем администратор клиента сможет настраивать правила доступа самостоятельно.

Функционал виртуального сервера WSA полностью совпадает с функционалом WSA в виде отдельного устройства. Решение лицензируется по числу пользователей, так что заказчик может в любой момент расширить его, добавив лицензии.

Cisco FirePower

Традиционные IPS ориентированы на защиту от атак извне и плохо приспособлены для работы с современными угрозами, действующими изнутри сети. Для противодействия более изощрённым методам вторжения были разработаны IPS нового поколения, к которым и относится Cisco FirePower. NGIPS собирают статистическую информацию о сети, в которой работают, благодаря чему быстро выявляют аномалии сетевого трафика, прогнозируют атаки, заранее обнаруживают и изолируют источники вредоносного ПО. FirePower на основе собранной информации генерирует для сети индивидуальные рекомендации по безопасности. Кроме того, веб-панель мониторинга FirePower позволяет администратору отслеживать любую активность на границе сети.

В рамках проекта сервисы FirePower были задействованы исключительно в качестве NGIPS. С дополнительными лицензиями (функционал NGFW) FirePower может осуществлять фильтрацию трафика и выполнять различные функции по защите и регламентированию доступа в Интернет. Но заказчику были критичны возможности прокси, которые нельзя реализовать средствами NGFW:

• антивирусная проверка пользовательских интернет-запросов и загружаемых файлов;
• квотирование трафика — ограничение объёма трафика, потребляемого каждым пользователем;
• кеширование часто посещаемых веб-страниц для ускорения загрузки сайтов и сокращения объёма интернет-трафика компании.

Итоги

Компания CBS успешно внедряла сервисы FirePower для клиентов в банковской, финансовой, производственной и масс-медиа отраслях. Благодаря богатому опыту работы наших инженеров с этим продуктом, текущий проект обошёлся без сложностей. Часть работ, требовавшая остановки бизнес-критических сервисов, выполнялась в нерабочее время. Таким образом, внедрение прошло незаметно для пользователей, без влияния на бизнес-процессы компании. Проект был завершён в срок.

Дальнейшая поддержка системы перешла в ведение IT-отдела клиента. У WSA и FirePower есть удобный интерфейс администрирования, с помощью которого IT-специалисты заказчика смогут отслеживать трафик и настраивать правила фильтрации доступа для пользователей. Решение внедрялось в центральном офисе заказчика, но в дальнейшем решение можно будет масштабировать на весь трафик компании, включая филиалы, поскольку производительность FirePower была заложена с запасом, а vWSA всегда можно расширить с помощью лицензий.