Масштабна модернізація мережевої інфраструктури CS у співпраці з Cisco

ЗАВДАННЯ

У зв’язку з динамічним розвитком компанії та стрімким зростанням числа кібератак у всьому світі, керівництво CS прийняло рішення про необхідність повної реорганізації мережевої інфраструктури та впровадження передових сервісів для підвищення безпеки роботи. Це рішення було продиктовано не лише внутрішніми потребами компанії, але й загальною тенденцією до посилення кібербезпеки у фінансовому секторі.

РІШЕННЯ

Для реалізації поставлених завдань CS об’єднала зусилля зі світовим лідером у галузі мережевих технологій – компанією Cisco. Разом вони розробили та впровадили унікальний за своїм масштабом проєкт модернізації мережевої інфраструктури.

Реорганізація мережевої інфраструктури

Першим кроком стало розділення всієї мережі CS на три глобальних сегменти:

• Користувацький сегмент. Побудований на базі мережевої фабрики Cisco Software Defined Access. Це рішення дозволило реалізувати концепцію мережевої фабрики для кампусової мережі з централізованими засобами управління, автоматизації та оркестрації, а також моніторингу та аналітики.
• Дата-центровий сегмент. Тут було повністю змінено підхід до організації. Вся мережа сегментується на кілька рівнів:
  • згідно зі структурною діаграмою компанії;
  • згідно з областю видимості;
  • згідно з доменами ризику.

Така сегментація дозволила за допомогою правил мережевих екранів здійснити контроль над усіма взаємодіями в мережі: користувач – сервіс, сервіс – сервіс, сервіс – інтернет.

• Публічний сегмент. Для цього сегменту було придбано власну автономну систему з блоком IP-адрес. Це дозволило одночасно використовувати кілька провайдерів, збалансовувати навантаження між ними та забезпечувати відмовостійкість на рівні провайдерів зв’язку. Також було впроваджено пари мережевих екранів і маршрутизаторів, що дозволяє контролювати весь вхідний і вихідний трафік, а також забезпечувати повну відмовостійкість.

Впровадження сервісів безпеки

Наступним важливим кроком стало впровадження низки сервісів безпеки, які дозволяють аналізувати атаки, захищати від вірусів, блокувати сайти з поганою репутацією, проводити повний аналіз поштових повідомлень, включно з посиланнями та вкладеннями на основі збирання аналітики, телеметрії та міток. Серед впроваджених сервісів:

• Cisco Email Security Appliance (ESA). Цей пристрій забезпечення електронної пошти одночасно виконує функції поштового шлюзу для CS. Він відповідає за обробку, аналіз і фільтрування всього поштового трафіку, як вихідного, так і вхідного. ESA не тільки захищає корпоративну пошту від спаму та шкідливого програмного забезпечення, але й гарантує її цілісність, конфіденційність, маркування та захист від підміни.
• Web Security Appliance (WSA). Цей веб-шлюз поєднує на єдиній платформі передовий захист від шкідливих програм, систему ідентифікації та контролю додатків (AVC), контроль за допустимим використанням Інтернету, формування інформативних звітів і мобільну безпеку.
• StealthWatch Enterprise (SWE). Ця NBA-система (Network Behavior Analysis) призначена для виявлення аномалій у мережі та моніторингу продуктивності за інформацією про потоки (NetFlow, sFlow), яка збирається з усіх мережевих пристроїв, включно з комп’ютерами та віртуальними об’єктами.
• DUO Security. Виконує функцію другого фактору у двофакторному VPN CISCO AnyConnect. Інтегрований до інфраструктури CS (FMC, ISE і AD) через DUO-proxy, цей сервіс не дає користувачеві авторизуватися, доки він не пройде другий фактор – підтвердження через додаток DUO mobile.
• Cisco Advanced Malware Protection for Endpoints (AMP4E). Це частина комплексного захисту CISCO AMP для кінцевих робочих станцій. AMP4E – антивірус нового покоління, орієнтований не тільки на сигнатурний аналіз. Він повністю забезпечує захист у режимі реального часу, аналізуючи весь трафік, файли, поштові вкладення, поведінку сервісів, які запущено на ПК, тощо.
• Cisco Advanced Malware Protection (AMP). Це єдина система вдосконаленого захисту від шкідливого ПО, що охоплює весь період атаки – від її початку, під час її проведення і після завершення, з безперервним аналізом і розширеною аналітикою. AMP підтримує можливості ретроспективної безпеки Cisco.
• Cisco Threat Response. Ця хмарна платформа дозволяє втілити в життя концепцію Threat Hunting. Вона виявляє підозрілі події в інформаційних масивах, одержуваних від різних продуктів Cisco і засобів сторонніх виробників, водночас використовуючи IoC від Cisco Talos або інших дослідницьких центрів. Cisco Threat Response є сполучною ланкою між управлінням ІБ в організації та глобальними джерелами Threat Intelligence.

РЕЗУЛЬТАТИ

Реалізований проєкт дозволив оновити всю мережеву інфраструктуру CS на всіх рівнях мережі. Основні досягнення включають:

• Значне збільшення продуктивності мережі.
• Реалізацію відмовостійкості на всіх рівнях.
• Розробку і впровадження ефективної сегментації.
• Впровадження повного контролю доступу між усіма сегментами на будь-якому рівні.
• Забезпечення централізованого управління всім устаткуванням.
• Впровадження ряду сервісів для збору аналітики та телеметрії.
• Реалізацію VPN із двофакторною авторизацією та інтеграцією із сервісами безпеки.
• Інтеграцію великої кількості сервісів безпеки в єдину систему.

Ця модернізація не лише підвищила рівень безпеки та ефективності роботи CS, але й створила потужну основу для подальшого розвитку та масштабування компанії.

Сергій Ляшенко, керівник IT-департаменту CS: 

Ми готові поділитися досвідом співпраці з Cisco в модернізації мережевої інфраструктури компанії і надати нашу мережу як демонстраційний майданчик для партнерів і замовників.

Цей проєкт став яскравим прикладом успішної співпраці між провідними технологічними компаніями та демонструє можливості сучасних рішень у сфері мережевої безпеки та інфраструктури.