В этом посте мы расскажем об Enterprise-функциях Traffic Inspector Next Generation на примере реализации комплексной защиты в банке с дополнительными офисами и филиалами.

О компании

В банке ХХХ около 10 тыс. работников. Примерно 4 тыс. размещены в Москве в двух офисных центрах. В головном офисе располагаются бизнес-подразделения — 3500 человек, второй бизнес-центр занимают работники бэк-офиса: ИТ и ИБ-службы, административно-хозяйственный департамент, а также бухгалтерская и другие службы. В Москве у банка имеется 50 дополнительных офисов, в каждом из которых работает около 20 человек. В России у банка 14 филиалов в крупных городах, в каждом из которых работает от 100 до 200 человек, а также два центра операционной поддержки (ЦОП) — Центральный и Дальневосточный. Штат каждого из ЦОПов составляет примерно 900 человек. У филиалов также есть дополнительные офисы численностью от 10 до 20 человек. В головном офисе также имеется большой конференцзал и учебный центр, где проходят клиентские мероприятия и обучение работников.

Требования к решению

• Большинство работников используют интернет для работы. 
• Перечень разрешённых сайтов определяется нормативными актами банка. 
• В конференцзале и учебном центре необходимо организовать авторизацию пользователей для доступа к публичному Wi-Fi в соответствии с требованиями действующего законодательства.
• Настройку функций по обеспечению информационной безопасности и управление доступом должны осуществлять работники Департамента безопасности головного офиса Банка. 
• Кроме того, необходимо обеспечить отказоустойчивость и возможность расшифровки https-трафика.

Для защиты периметра сети банка было выбрано решение Traffic Inspector Next Generation Enterprise, в состав которого вошли различные модели Traffic Inspector Next Generation в соответствии с потребностями заказчика.

Публичный Wi-Fi

Для организации публичного беспроводного доступа к интернету в конференцзале и учебном центре головного офиса банка использовали входящую в состав Traffic Inspector Next Generation функцию Captive Portal. Это специальный сайт, на который попадает пользователь после подключения к беспроводной сети. Для идентификации в соответствии с требованиями законодательства использовались два метода:

• через Active Directory для работников, имеющих учётные записи в сети банка;
• через смс для гостей и посетителей.

Отказоустойчивость

В главном офисе в режиме отказоустойчивого кластера установили два устройства Traffic Inspector Next Generation L1000+ (модель L1000+ способна поддерживать работу более 1000 единовременных пользователей интернета). 

В каждый момент времени только одно устройство в кластере (мастер-устройство) обрабатывает весь трафик пользователей. Резервное устройство постоянно синхронизирует своё состояние с мастер-устройством. Если мастер-устройство выходит из строя, резервный шлюз подменяет его, превращаясь в мастера. Новый мастер незаметно для пользователей продолжает обработку сетевых потоков от клиентов. Если старый мастер возвращается в рабочее состояние, резервное устройство возвращается в прежнее состояние. Функционал кластеризации реализован на базе технологий СARP, PFSYNC и XMLRPC Sync.

Благодаря такому решению доступ пользователей главного офиса банка к интернету стал не только защищённым, но и отказоустойчивым.

Для обеспечения бесперебойной работы в устройствах Traffic Inspector Next Generation имеется возможность горячей замены блоков питания и удалённого управления без физического доступа к серверу. Благодаря этому работники Департамента безопасности получили возможность дистанционно управлять защитой главного офиса.

Централизованное управление

В бэк-офисном центре банка установили два устройства Traffic Inspector Next Generation M1000 также в режиме отказоустойчивого кластера, поскольку от бесперебойной работы этого подразделения напрямую зависит работа банка (модель M1000 поддерживает до 1000 единовременных пользователей).

Поскольку управление распределённой инфраструктурой сетевых шлюзов Traffic Inspector Next Generation возложено на работников Департамента безопасности, кластер из установленных в бэк-офисном центре банка устройств стал мастер-узлом системы централизованного управления Traffic Inspector Next Generation.

Мастер-узел позволяет централизованно администрировать, проводить диагностику и сбор отчётов с сетевых шлюзов, расположенных в удалённых офисах.

В региональных филиалах банка были установлены шлюзы Traffic Inspector Next Generation S500 (до 500 единовременных пользователей), а в ЦОПах — Traffic Inspector Next Generation L1000+, настроенные как подчинённые узлы инфраструктуры. Эти узлы получают свои настройки от мастер-узла, и это очень удобно: чтобы установить заданные параметры по всей многофилиальной сети, достаточно создать их на мастер-узле, а затем распространить на все устройства. Сбор диагностических и отчётных данных по региональным подразделениям также стал значительно проще.

Развёртывание шлюзов по филиальной сети Банка производилось постепенно, по мере их доставки в региональные офисы. Местные работники ИТ-подразделения устанавливали 1U-устройство в стойку с оборудованием и включали в сеть, после чего администраторы из Департамента безопасности клонировали настройку эталонного узла и отправляли её на новое устройство.

Защита от кибератак

Одно из направлений работы Департамента безопасности — своевременное выявление и блокировка попыток проникновения в корпоративную сеть, следствием которых могут быть утечки конфиденциальной и коммерческой информации, а также персональных данных и сведений, составляющих банковскую тайну. В составе Traffic Inspector Next Generation имеется система обнаружения и предотвращения атак (IDS/IPS), которая распознает в сетевом трафике действия хакеров и эффективно «очищает» его от вредоносной составляющей.

Внедрение Traffic Inspector Next Generation позволило Департаменту безопасности банка повысить эффективность выявления кибератак и расширить спектр выявляемых киберугроз, поскольку решение позволяет заблокировать:

• использование скомпрометированных SSL-сертификатов;
• эксплуатацию уязвимостей в сетевых протоколах, системных и сетевых приложениях;
• атаки на отказ в обслуживании;
• трафик ботнетов и скомпрометированных хостов.

Достигнутые результаты

Развернув защиту инфраструктуры на базе Traffic Inspector Next Generation Enterprise, банк получил:

1. идентификацию пользователей беспроводного интернета в конференцзале и учебном центре;
2. отказоустойчивую конфигурацию;
3. высокую управляемость и простоту внесения глобальных изменений в настройки;
4. защиту от внешних атак и действий инсайдеров;
5. удобный сбор отчётных и диагностических сведений для анализа активности пользователей и выявления потенциально нежелательных действий.

Таким образом, Traffic Inspector Next Generation Enterprise продемонстрировал отличную масштабируемость и управляемость при развёртывании в территориально распределённой организации со сложной структурой и большим штатом работников. 

Наличие сертифицированной ФСТЭК версии шлюза позволяет эффективно использовать его для защиты сетей государственных организаций и госкомпаний.

Протестируйте Traffic Inspector Next Generation в своей сети бесплатно в течение 30 дней по ссылке