Масштабная модернизация сетевой инфраструктуры CS в сотрудничестве с Cisco

ЗАДАЧА

В связи с динамичным развитием компании и стремительным ростом числа кибератак во всем мире руководство CS приняло решение о необходимости полной реорганизации сетевой инфраструктуры и внедрении передовых сервисов для повышения безопасности работы. Это решение было продиктовано не только внутренними потребностями компании, но общей тенденцией к усилению кибербезопасности в финансовом секторе.

РЕШЕНИЕ

Для реализации поставленных задач CS объединила усилия с мировым лидером в области сетевых технологий – компанией Cisco. Вместе они разработали и ввели уникальный по своему масштабу проект модернизации сетевой инфраструктуры.

Реорганизация сетевой инфраструктуры

Первым шагом стало разделение всей сети CS на три глобальных сегмента:

• Пользовательский сегмент. Построен на основе сетевой фабрики Cisco Software Defined Access. Это решение позволило реализовать концепцию сетевой фабрики для кампусовой сети с централизованными средствами управления, автоматизации и оркестрации, а также мониторинга и аналитики.
• Дата-центровый сегмент. Здесь был полностью изменен подход к организации. Вся сеть сегментируется на несколько уровней:
  • Согласно структурной диаграмме компании.
  • Согласно области видимости.
  • Согласно доменам риска.
    Такая сегментация позволила с помощью правил сетевых экранов осуществить контроль всех взаимодействий в сети: пользователь – сервис, сервис – сервис, сервис – интернет.
• Публичный сегмент. Для этого сегмента была приобретена собственная автономная система с блоком IP-адресов. Это позволило одновременно использовать несколько провайдеров, сбалансировать нагрузку между ними и обеспечивать отказоустойчивость на уровне провайдеров связи. Также были внедрены пары сетевых экранов и маршрутизаторов, что позволяет контролировать весь входящий и исходящий трафик, а также обеспечивать полную отказоустойчивость.

Внедрение сервисов безопасности

Следующим важным шагом стало внедрение ряда сервисов безопасности, позволяющих анализировать атаки, защищать от вирусов, блокировать сайты с плохой репутацией, проводить полный анализ почтовых сообщений, включая ссылки и вложения, на основе сбора аналитики, телеметрии и меток. Среди введенных сервисов:

• Cisco Email Security Appliance (ESA). Устройство электронной почты одновременно выполняет функции почтового шлюза для CS. Он отвечает за обработку, анализ и фильтрацию всего почтового трафика, как исходящего, так и входящего. ESA не только защищает корпоративную почту от спама и вредоносного программного обеспечения, но и гарантирует ее целостность, конфиденциальность, маркировку и защиту от замены.
• Web Security Appliance (WSA). Этот веб-шлюз объединяет на единой платформе передовую защиту от вредоносных программ, систему идентификации и контроля приложений (AVC), контроль за допустимым использованием Интернета, формирование информативных отчетов и мобильную безопасность.
• StealthWatch Enterprise (SWE). Эта NBA-система (Network Behavior Analysis) предназначена для обнаружения аномалий в сети и мониторинга производительности по информации о потоках (NetFlow, sFlow), которая собирается со всех сетевых устройств, включая компьютеры и виртуальные объекты.
• DUO Security. Выполнение функции второго фактора в двухфакторном VPN CISCO AnyConnect. Интегрированный в инфраструктуру CS (FMC, ISE и AD) через DUO-proxy, этот сервис не дает пользователю авторизоваться, пока он не пройдет второй фактор – подтверждение через приложение DUO mobile.
• Cisco Advanced Malware Protection for Endpoints (AMP4E). Это часть комплексной защиты CISCO AMP для конечных рабочих станций. AMP4E – антивирус нового поколения, ориентированный не только на сигнатурный анализ. Он полностью обеспечивает защиту в режиме реального времени, анализируя весь трафик, файлы, почтовые вложения, поведение запущенных на ПК сервисов и т.д.
• Cisco Advanced Malware Protection (AMP). Это единственная система усовершенствованной защиты от вредоносного ПО, охватывающая весь период атаки – от ее начала, во время ее проведения и после завершения, с непрерывным анализом и расширенной аналитикой. AMP поддерживает возможности ретроспективной безопасности Cisco.
• Cisco Threat Response. Эта облачная платформа позволяет воплотить в жизнь концепцию Threat Hunting. Она обнаруживает подозрительные события в информационных массивах, получаемых от различных продуктов Cisco и средств сторонних производителей, используя IoC от Cisco Talos или других исследовательских центров. Cisco Threat Response является связующим звеном между управлением ИБ в организации и глобальными источниками Threat Intelligence.

РЕЗУЛЬТАТЫ

Реализованный проект позволил обновить всю сетевую инфраструктуру CS на всех уровнях сети. Основные достижения:

• Значительное увеличение производительности сети
• Реализация отказоустойчивости на всех уровнях
• Разработка и внедрение эффективной сегментации
• Внедрение полного контроля доступа между всеми сегментами на любом уровне
• Обеспечение централизованного управления всем оборудованием
• Внедрение ряда сервисов по сбору аналитики и телеметрии
• Реализация VPN с двухфакторной авторизацией и интеграцией с сервисами безопасности
• Интеграция большого количества сервисов безопасности в единую систему.

Проведенная модернизация не только повысила уровень безопасности и эффективности работы CS, но и создала мощную основу для дальнейшего развития и масштабирования компании.

Сергей Ляшенко, руководитель IT-департамента CS:

Мы готовы поделиться опытом сотрудничества с Cisco в модернизации сетевой инфраструктуры компании и предоставить сеть в качестве демонстрационной площадки для партнеров и заказчиков.

Этот проект стал ярким примером успешного сотрудничества между ведущими технологическими компаниями и продемонстрировал возможности современных решений в сфере сетевой безопасности и инфраструктуры.