Компания CS совместно с мировым лидером в области сетевых технологий – Cisco – реализовала уникальный по своему масштабу проект модернизации сетевой инфраструктуры компании.
Для компании CS – ведущего поставщика решений для автоматизации банковской деятельности в Украине (доля рынка на февраль 2021 – 63%) – критически важно иметь устойчивую современную сетевую инфраструктуру.
В связи с динамикой развития компании и стремительным ростом во всем мире числа кибератак было принято решение провести полную реорганизацию сетевой инфраструктуры CS и внедрить лучшие сервисы для обеспечения безопасности.
Реорганизация сетевой инфраструктуры
Вся сеть CS была разделена на три глобальных сегмента:
- пользовательский;
- дата-центровый;
- публичный.
Пользовательский сегмент
Построен на базе сетевой фабрики Cisco Software Defined Access — реализация концепции сетевой фабрики для кампусной сети с централизованными средствами управления, автоматизации и оркестрации, а также мониторинга и аналитики.
Дата-центровый сегмент
Полностью изменен подход к организации дата-центрового сегмента — вся сеть сегментируется на несколько уровней:
- согласно структурной диаграмме компании;
- согласно области видимости;
- согласно домену риска.
Внедрение сегментации позволило с помощью правил сетевых экранов осуществить контроль над всеми сетевыми взаимодействиями, а именно:
- пользователь — сервис;
- сервис — сервис;
- сервис — интернет.
Публичный сегмент
Приобретена собственная автономная система с блоком IP-адресов, позволяющая одновременно использовать несколько провайдеров, балансировать нагрузку между ними и обеспечивать отказоустойчивость на уровне провайдеров связи.
Внедрены пары сетевых экранов и маршрутизаторов, что позволило контролировать весь входящий и исходящий трафик, а также обеспечить полную отказоустойчивость.
Внедрение сервисов безопасности
Внедренные сервисы безопасности позволяют проводить анализ атак, защищать от вирусов, блокировать сайты с плохой репутацией, проводить полный анализ почтовых сообщений, включая ссылки и вложения на основе сбора аналитики, телеметрии и меток. Среди них:
Cisco Email Security Appliance (ESA) – устройство обеспечения безопасности электронной почты, одновременно является и почтовым шлюзом для CS. Отвечает за обработку, анализ и фильтрацию всего почтового трафика, как исходящего, так и входящего. Email-шлюз Cisco ESA позволяет не только защитить корпоративную почту от спама и вредоносного программного обеспечения, но и обеспечить ее целостность, конфиденциальность, маркировку и защиту от подмены.
Web Security Appliance (WSA) – веб-шлюз, сочетающий на единой платформе продвинутую защиту от вредоносных программ, систему идентификации и контроля приложений (AVC), контроль за допустимым использованием Интернета, формирование информативных отчетов и мобильную безопасность.
StealthWatch Enterprise (SWE) – NBA-система (Network Behavior Analysis). Предназначена для обнаружения аномалий в сети и мониторинга производительности на основе информации о потоках (NetFlow, sFlow), собираемой со всех сетевых устройств, включая компьютеры и виртуальные объекты.
DUO Security – выполняет функцию второго фактора в двухфакторном VPN CISCO AnyConnect. Он интегрирован с инфраструктурой CS (FMC, ISE и AD) через DUO-proxy и не дает пользователю авторизоваться, пока он не пройдет второй фактор – подтверждение через приложение DUO mobile.
Cisco Advanced Malware Protection for Endpoints (AMP4E) – часть комплексной защиты CISCO AMP для конечных рабочих станций. AMP4E – антивирус нового поколения, который ориентирован не только на сигнатурный анализ, а в целом обеспечивает защиту в режиме реального времени, анализируя весь трафик, файлы, почтовые вложения, поведение сервисов, запущенных на ПК, и т.д.
Cisco Advanced Malware Protection (AMP) – единственная система усовершенствованной защиты от вредоносного ПО, охватывающая весь период атаки – от ее начала, во время ее проведения и после завершения, с непрерывным анализом и расширенной аналитикой. Поддерживает возможности ретроспективной безопасности Cisco.
Cisco Threat Response – облачная платформа, позволяющая воплотить в жизнь концепцию Threat Hunting. Платформа выявляет подозрительные события в информационных массивах, получаемых от различных продуктов Cisco и средств сторонних производителей, используя при этом IoC от Cisco Talos или других исследовательских центров. Cisco Threat Response является связующим звеном между управлением ИБ в организации и глобальными источниками Threat Intelligence.
Итоги проекта
Реализация проекта позволила обновить всю сетевую инфраструктуру CS на всех уровнях сети:
- увеличена производительность;
- реализована отказоустойчивость;
- разработана и внедрена сегментация;
- внедрен полный контроль доступа между всеми сегментами на любом уровне;
- внедрено централизованное управление всем оборудованием;
- внедрен ряд сервисов для сбора аналитики и телеметрии;
- внедрен VPN с двухфакторной авторизацией и интеграцией с сервисами безопасности;
- интегрировано большое количество сервисов по безопасности.
Коллаборация CS&Cisco: масштабирование проекта
Компаниям CS и Cisco удалось реализовать уникальный проект, аналога которому еще не было в Украине.
Ценность проекта не только в высочайшем уровне внедренного оборудования и сервисов, но и в компетенции ИТ-команды.
Сергей Ляшенко, руководитель IT-департамента CS:
Мы готовы поделиться опытом сотрудничества с Cisco в модернизации сетевой инфраструктуры компании и предоставить нашу сеть как демонстрационную площадку для партнеров и заказчиков.
