Если у вас есть вопрос по услуге или задача в рамках направления, напишите нам. Наши специалисты проведут консультацию, помогут найти оптимальное решение вашей проблемы.
Одно из правил технических специалистов – «Если работает – не трогай». В эту логику вписывается кейс, в котором по просьбе заказчика был сохранен годами использовавшийся иностранный межсетевой экран, а ИБ-архитектура усилена внедрением российского UserGate NGFW. Этот проект по интеграции межсетевых экранов в инфраструктуру, обеспечению безопасности и управлению трафиком в облачной среде реализовала ИТ-компания Innostage. В материале подробно разберемся, как все было организовано и какие проблемы возникали в ходе реализации.
Установка NGFW Usergate: особенности кейса
Задача экспертов Innostage, отвечающих за проектирование и внедрение межсетевых экранов, заключалась в создании облака для коммерческой организации, включая развертывание сетевой инфраструктуры и системы безопасности. Для этого были закуплены платформы виртуализации, сетевая фабрика и два межсетевых экрана UserGate NGFW F8000. Существующая защита использовала производительный межсетевой экран западного вендора, который был растянут на два дата-центра. В связи с необходимостью защиты контура персональных данных было решено установить NGFW UserGate с централизованным управлением. Также по причине географической разобщенности площадок было принято решение установить их не в кластерной конфигурации.
Когда площадки находятся на значительном расстоянии друг от друга, поддержание кластера становится затруднительным из-за увеличения задержек в передаче данных и сложности синхронизации состояний между узлами. В таком случае альтернативным решением может стать установка независимых экземпляров МЭ с единой политикой безопасности, чтобы сохранить автономию каждой площадки и избежать проблем, связанных с удаленностью. Именно такое решение и было реализовано, что позволило обеспечить независимую работу двух межсетевых экранов, но с единообразной политикой безопасности.
Архитектура и проектирование ИБ-системы с NGFW
Проект по обеспечению сетевой безопасности и управлению трафиком в облаке на мульвендорной ИБ-архитектуре включал три основные стороны:
1. Сетевое взаимодействие — создание сетевой фабрики для построения новых ядер в двух разных дата-центрах (ЦОД). При разработке сетевой топологии учитывались требования к пропускной способности каналов связи, задержки пакетов и необходимость резервирования основных маршрутов.
2. Межсетевые экраны — внедрение решений UserGate NGFW для разделения трафика и обеспечения безопасности. Особое внимание уделялось настройке политик фильтрации трафика и созданию прозрачных правил доступа для легитимных пользователей, одновременно блокируя подозрительные активности.
3. Мониторинг и управление — использование UserGate LogAn для мониторинга и UserGate MC для централизованного управления устройствами. Это позволяло оперативно реагировать на инциденты безопасности и проводить аудит событий в режиме реального времени, обеспечивая соответствие стандартам SOC и SOX.
Технические сложности интеграции межсетевых экранов
Главным вызовом было правильное разделение трафика между двумя экранами и обеспечение отказоустойчивости. Для этого была разработана схема балансировки нагрузки, основанная на использовании динамических маршрутов и VRRP-протокола, обеспечивающая автоматическое переключение потоков данных в случае отказа основного канала. Для этого было важно разделить потоки данных так, чтобы весь трафик из корпоративной сети в облако проходил через межсетевой экран западного вендора, а персональные данные, требующие особой защиты, направлялись через UserGate. Такой подход обеспечивал требуемую изоляцию для различных типов данных и соответствие требованиям безопасности.
Одной из основных проблем комплексного проекта по установке и настройке двух NGFW-систем было правильное разделение трафика, которое не всегда было очевидным. Каждая из систем имела свое понимание управления трафика и приходилось долго согласовывать, какие сети должны проходить через межсетевой экран, а какие — нет. В результате, несмотря на сложность, удалось создать схему, в которой весь трафик, не относящийся к защищенным данным, направляется через иностранное решение, а чувствительные данные проходили через UserGate.
Особое внимание было уделено интеграции ранее установленного МЭ с платформами UserGate. Развертывание BGP для динамической маршрутизации позволило обеспечить отказоустойчивость, так как при сбое одного из экранов маршруты автоматически перенаправляются на резервный экран. Это исключало необходимость в ручной настройке или вмешательстве, что значительно ускоряло восстановление после сбоев.
Результаты и текущие проблемы
После развертывания система продемонстрировала хорошую сходимость: при сбое одного из компонентов она быстро восстанавливает маршруты и продолжает работу без потери данных. Это стало возможным благодаря использованию протоколов динамической маршрутизации, таких как OSPF или BGP, которые обеспечивают быстрое перераспределение путей в случае отказа. Например, при сбое одного из ядер в дата-центре, трафик автоматически перенаправляется на второй дата-центр, обеспечивая бесперебойную работу. Время сходимости было настроено на уровне 3-5 секунд, что является приемлемым для такого уровня инфраструктуры, учитывая расстояние между площадками и возможные задержки.
На данный момент остается одна незначительная проблема, связанная с дальнейшей оптимизацией работы между компонентами системы. Это временный технический недостаток, который будет решен на следующих этапах внедрения.
Совместное использование МЭ разных брендов: оценка эффективности
Проект по внедрению UserGate NGFW оказался успешным благодаря детальной проработке архитектуры, четкому разделению трафика и отказоустойчивости. Несмотря на сложности с интеграцией разных решений и детальной настройкой сетевых атрибутов, удалось создать систему, которая эффективно защищает данные и гарантирует высокую доступность. В целом, решение продемонстрировало хорошую эффективность и устойчивость, с минимальными требованиями к ручному вмешательству при сбоях.
Ситуации, когда производственные или административные площадки удалены друг от друга и установка МЭ требуется в некластерной конфигурации – явление довольно распространенное. По такому принципу можно решить вопрос обеспечения кибербезопасности магазинов ритейл-сети, производственных объектов добывающих и перерабатывающих предприятий, медицинских организаций, ИКТ-сектора, а также логистических, финансовых и страховых компаний.
Кейс демонстрирует, как правильно спроектированная и настроенная инфраструктура с UserGate NGFW может обеспечить надежность и безопасность данных, а также помочь в организации масштабируемой и отказоустойчивой сети для бизнеса.
Автор:
Алмаз Мазитов,
эксперт по развитию бизнеса ИТ-компании Innostage
