26 лют 2021

Компанія CS спільно зі світовим лідером у галузі мережевих технологій – Cisco – реалізувала унікальний за своїм масштабом проект модернізації мережевої інфраструктури компанії.

Для компанії CS – провідного постачальника рішень для автоматизації банківської діяльності в Україні (частка ринку на лютий 2021 – 63%) – критично важливо мати стійку сучасну мережеву інфраструктуру.

У зв'язку з динамікою розвитку компанії та стрімким зростанням у всьому світі числа кібератак було прийнято рішення провести повну реорганізацію мережевої інфраструктури CS і впровадити кращі сервіси для убезпечення роботи.

Реорганізація мережевої інфраструктури

Всю мережу CS було розділено на три глобальних сегменти:

• користувацький;
• дата-центровий;
• публічний.

Користувацький сегмент

Побудовано на базі мережевої фабрики Cisco Software Defined Access – з побудовою сегмента реалізовано концепцію мережевої фабрики для кампусової мережі з централізованими засобами управління, автоматизації та оркестрації, а також моніторингу та аналітики.

Дата-центровий сегмент

Повністю змінено підхід до організації дата-центрового сегмента – уся мережа сегментується на кілька рівнів:

• згідно зі структурною діаграмою компанії;
• згідно з областю видимості;
• згідно з доменами ризику.

Упровадження сегментації дозволило за допомогою правил мережевих екранів здійснити контроль над усіма взаємодіями в мережі, а саме:

• користувач – сервіс;
• сервіс – сервіс;
• сервіс – інтернет.

Публічний сегмент

Придбано власну автономну систему з блоком IP-адрес, що дозволяє одночасно використовувати кілька провайдерів, збалансовувати навантаження між ними та забезпечувати відмовостійкість на рівні провайдерів зв'язку.

Упроваджено пари мережевих екранів і маршрутизаторів, що дозволяє контролювати весь вхідний і вихідний трафік, а також забезпечувати повну відмовостійкість.

Упровадження сервісів безпеки

Упроваджено сервіси безпеки, які дозволяють аналізувати атаки, захищати від вірусів, блокувати сайти з поганою репутацією, проводити повний аналіз поштових повідомлень, включно з посиланнями та вкладеннями на основі збирання аналітики, телеметрії та міток. Серед них:

Cisco Email Security Appliance (ESA) – пристрій убезпечення електронної пошти, водночас є поштовим шлюзом для CS. Відповідає за оброблення, аналіз і фільтрування всього поштового трафіку, як вихідного, так і вхідного. Email-шлюз Cisco ESA дозволяє не тільки захистити корпоративну пошту від спаму та шкідливого програмного забезпечення, але й гарантувати її цілісність, конфіденційність, маркування та захист від підміни.

Web Security Appliance (WSA) – веб-шлюз, що поєднує на єдиній платформі передовий захист від шкідливих програм, систему ідентифікації та контролю додатків (AVC), контроль за допустимим використанням Інтернету, формування інформативних звітів і мобільну безпеку.

StealthWatch Enterprise (SWE) – NBA-система (Network Behavior Analysis). Призначена для виявлення аномалій у мережі та моніторингу продуктивності за інформацією про потоки (NetFlow, sFlow), яка збирається з усіх мережевих пристроїв, включно з комп'ютерами та віртуальними об'єктами.

DUO Security – виконує функцію другого фактору у двофакторному VPN CISCO AnyConnect. Інтегрований до інфраструктури CS (FMC, ISE і AD) через DUO-proxy та не дає користувачеві авторизуватися, доки він не пройде другий фактор – підтвердження через додаток DUO mobile.

Cisco Advanced Malware Protection for Endpoints (AMP4E) – частина комплексного захисту CISCO AMP для кінцевих робочих станцій. AMP4E – антивірус нового покоління, орієнтований не тільки на сигнатурний аналіз – він повністю забезпечує захист у режимі реального часу, аналізуючи весь трафік, файли, поштові вкладення, поведінку сервісів, які запущено на ПК, і т.ін.

Cisco Advanced Malware Protection (AMP) – єдина система вдосконаленого захисту від шкідливого ПО, що охоплює весь період атаки – від її початку, під час її проведення і після завершення, з безперервним аналізом і розширеною аналітикою. Підтримує можливості ретроспективної безпеки Cisco.

Cisco Threat Response – хмарна платформа, що дозволяє втілити в життя концепцію Threat Hunting. Платформа виявляє підозрілі події в інформаційних масивах, одержуваних від різних продуктів Cisco і засобів сторонніх виробників, водночас використовуючи IoC від Cisco Talos або інших дослідницьких центрів. Cisco Threat Response є сполучною ланкою між управлінням ІБ в організації та глобальними джерелами Threat Intelligence.

Підсумки проекту

Реалізований проект дозволив оновити всю мережеву інфраструктуру CS на всіх рівнях мережі:

• збільшено продуктивність;
• реалізовано відмовостійкість;
• розроблено і впроваджено сегментацію;
• упроваджено повний контроль доступу між усіма сегментами на будь-якому рівні;
• упроваджено централізоване управління всім устаткуванням;
• упроваджено ряд сервісів для збору аналітики та телеметрії;
• упроваджено VPN із двофакторною авторизацією та інтеграцією із сервісами безпеки;
• інтегровано велику кількість сервісів безпеки.

Колаборація CS&Cisco: масштабування проекту

Компаніям CS і Cisco вдалося реалізувати унікальний проект, аналога якому ще не було в Україні.

Цінність проекту не тільки в найвищому рівні впровадженого обладнання та сервісів, а й у компетенції ІТ-команди.

Сергій Ляшенко, керівник IT-департаменту CS:

«Ми готові поділитися досвідом співпраці з Cisco в модернізації мережевої інфраструктури компанії і надати нашу мережу як демонстраційний майданчик для партнерів і замовників».