Дополнительная информация

Источник: СМИ

Проект был сдан в срок

Бюджет не был превышен

Функциональность соответствует задаче

Описание

В последнее время стало принято считать, что информационная безопасность должна выступать основным приоритетом для любого предприятия, которое начинает внедрять технологии виртуализации. Однако в Украине проекты по защите виртуальных машин пока не так то просто найти. Трудно — не значит невозможно, и сегодня мы рассмотрим одно из первых подобных внедрений. По оценкам аналитиков IDC, в настоящее время проекты защиты виртуальных сред пользуются большим спросом в мире, так как для виртуальных сред существуют все те же угрозы, что и для физических сред (отчет Rethinking Security for Virtual Environments, апрель 2012 г.). Но рынок Украины еще не созрел для понимания этой проблематики, которое обычно приходит после первого серьезного «прокола». Впрочем, встречаются компании, ведущие упреждающую работу в этом направлении, так как ценят доверие клиентов и пытаются всеми доступными способами исключить саму возможность нарушений информационной безопасности. Среди них «Еврогазбанк».

Информация к раскрытию АО «Еврогазбанк» (Европейский газовый банк) было образовано осенью 2006 г., а начало операционной деятельности положено 2 февраля 2007 г. Основная активность банка направлена на обслуживание потребностей крупных корпоративных клиентов, поддержку малого и среднего бизнеса, а также физических лиц. За годы деятельности он поднялся на более чем 100 позиций по размерам активов, по данным Национального банка Украины, и сегодня занимает 59-е место среди действующих украинских банков (всего таковых насчитывается 175). Основным собственником компании выступает семья бывшего председателя правления НАК «Нафтогаз Украины» Алексея Ивченко. Как отметил Денис Остапенко: "Хотя продукт Check Point не отличается дешевизной, это оправданная цена за информационную безопасность". Постоянно совершенствуя предоставляемые услуги, банк расширяет границы своей деятельности. Для дальнейшего закрепления позиций на финансовом рынке Украины в конце прошлого года в компании был инициирован проект модернизации ИТ-инфраструктуры с применением лезвийных серверов и технологий виртуализации с учетом вопросов обеспечения безопасности как неотъемлемой составляющей. Как рассказал начальник департамента информационных технологий и заместитель председателя правления «Еврогазбанка» Николай Андрушко, главными предпосылками для проекта стали:
  • серверное оборудование банка, приобретенное в конце 2006 г., морально устарело и перестало поддерживаться поставщиком;
  • в банке отсутствовали промышленные решения типа брандмауэров.
«Как результат, было принято решение по обновлению вычислительных систем с переносом сервисов банка в виртуальную среду, — отметил г-н Андрушко. — Исходя из этого возникла идея обеспечить информационную безопасность за счет эксплуатации промышленного ПО от Check Point Software Technologies». Кроме того, ставились задачи выноса сервисов банка (как внутренних, так и внешних) в отдельные DMZ с ограничением и контролем трафика. Безусловно, выбор банкиров пал именно на Check Point не случайно. По словам Дениса Остапенко, заместителя начальника управленияьсистемно-технической поддержки и телекоммуникаций «Еврогазбанка», на украинском рынке представлено множество достойных внимания защитных ИТ-продуктов (Cisco Systems, Juniper Networks, Aladdin и пр.). Однако после детального изучения, выяснилось, что действительно комплексный подход реализован в решениях израильской компании Check Point (со штаб-квартирой в Тель-Авиве). Check Point является мировым лидером и ключевым игроком на рынке ИБ. Как отметил Евгений Чулков, консультант по информационной безопасности компании Integrity Systems, данный поставщик одним из первых разрабатывает и внедряет технологии, которые вскоре становятся стандартом де-факто для всей отрасли. И решения по защите виртуальных сред не исключение. Естественно, выбор Check Point не без нюансов. Решения CheckPoint пока не отличаются высоким уровнем распространения в Украине. «Специалистов пока мало, как и сертифицированных сотрудников поддержки, т. е. людей, готовых оперативно дать ответ по какому-то вопросу. — отметил Денис Остапенко. — Хотя, конечно, в качестве выхода из положения возможно обращение в глобальную поддержку поставщика». Впрочем, ситуация постепенно меняется. Расширение количества дистрибьюторов привело к позитивной динамике в этом вопросе и сейчас количество сертифицированных сотрудников Check Point растет.

Комплексный продукт Итак, в качестве аппаратной платформы в банке остановились на проверенном временем шасси HP BladeSystem с3000, которое поддерживает до 8 серверов Proliant BL460c Generation 8. В него было установлено три таких сервера (в каждом по два процессора Intel Xeon E5-2630/32 ГБ ОЗУ/4 ГБ для ESXi), два коммутатора FC B-series 8/12c SAN Switch for BladeSystem, а также два коммутатора GbE2c Layer 2/3 Ethernet Blade Switch. Кроме того, была приобретена система хранения данных HP EVA P6300 c восемью жесткими дисками по 600 ГБ. Это весьма распространенное оборудование, не будем на нем останавливаться. Гораздо интереснее программная составляющая проекта. Программная платформа включала популярное средство построения и управления виртуальными средами VMware ESXi и шлюз CheckPoint Security Gateway Virtual Edition. Как известно, решения виртуализации от VMware имели некоторые проблемы с обеспечением безопасности внутри виртуализированного хоста (как и Microsoft). Гипервизор способен проверять гостевые системы постольку-поскольку. «Обмен между виртуальными машинами может происходить любой, проверка на уровне IDS не осуществляется», — отметил Денис Остапенко. Поэтому выход ПО Check Point Secure Gateway Virtual Edition, решающего до этого не закрытые вопросы обеспечения безопасности виртуальных сред, был ожидаемым и предсказуемым событием. И оно произошло в 2010 г. По существу, Security Gateway VE представляет собой аналог «классических» многофункциональных шлюзов безопасности, реализованный в виде виртуального образа. «Кажется, применять такую систему безрассудно, ведь файлы «охраняемых» и «охраны» располагаются на одном устройстве хранения. Создается впечатление, что все хозяйство можно легко сломать. На самом же деле это не так. Ведь нет сведений, какие файлы где расположены. ПО в гостевой системе не знает, что оно виртуализировано. Лишь обладая правами администратора, можно все сломать», — рассказал специалист «Еврогазбанка». Security Gateway VE базируется на архитектуре программных «лезвий» и позволяет предприятиям применять для защиты виртуальных сред те же гибкие и всеобъемлющие системы безопасности Check Point, что используются в обычных физических сетях: антивирус, антиспам, IPsec VPN, предотвращение атак (IPS), защита от утечек (DLP), ограничение доступа к определенным сайтам и др. Все они лицензируются отдельно, т. е. у заказчика есть свобода выбора сервисов, что позволяет оптимизировать функциональность шлюза под текущие потребности. В «базе» платформа располагает возможностями брандмауэра, защиты от L2/L3 спуфинга виртуальных машин, виртуальных коммутаторов и групп портов, а также фиксирования событий vSphere в собственной системе мониторинга SmartView Tracker. Характерная особенность решения — наличие технологии VMSafe, предусматривающей фильтрацию трафика как на периметре виртуализированного сервера, так и внутри его. Применение Fast Path агентов, выступающих своеобразной прослойкой между гипервизором и виртуальной машиной, решает проблемы инспекции трафика между виртуальными машинами в пределах одного L2-домена виртуализированного хоста, а также позволяет автоматически задействовать преднастроенную политику безопасности для вновь создаваемых виртуальных машин, закрепить профиль безопасности за виртуальной машиной во время миграции. Кроме того, глубокая интеграция с гипервизором позволяет предотвращать спуфинг в рамках виртуализированного хоста. Еще одна отличительная особенность ПО состоит в том, что защита виртуальной машины не прекращается даже при переходе с одного хоста на другой в режиме реального времени. Также Security Gateway VE поддерживает технологии VMware VMotion и DRS и политики безопасности для открытых соединений. Все вновь добавленные виртуальные машины автоматически попадают под защиту Check Point Security Gateway Virtual Edition. Естественно, имеется централизованная панель управления как для виртуальных, так и для физических серверов. Также есть возможность распределять роли между администраторами безопасности сети и администратором виртуальных машин. Правда, у решения есть и свои недостатки. «Из-за новизны данного продукта, мы встретились с небольшими трудностями на этапе квотации, так как по мере работы возникали все новые и новые нюансы лицензирования, — рассказал Евгений Чулков. — Всегда немного сложнее быть первым, в любом направлении, особенно если оно новое и малоизученное, но в итоге мы предложили самый оптимальный вариант, наиболее широко покрывающий существующую задачу, с минимально возможным вложением средств». Именно это и сыграло ключевую роль при проведении тендерных торгов и позволило Integrity Systems опередить конкурентов.

Не отходя от кассы Зимой 2011 г. было принято решение о модернизации ИТ-инфраструктуры «Еврогазбанка». В январе 2012 г. по спецификациям банка компании проведен тендер, по результатам которого победила компания Integrity Systems. В мае состоялась продажа оборудования и ПО, летом осуществлена поставка «железа», началась установка VMware ESXi с активным участием специалистов Integrity Systems (прежде всего в задаче объединения лезвий в кластер). В это время был выполнен полноценный анализ системы и проведено планирование архитектуры будущих виртуальных сред. На этом этапе были предусмотрены и вопросы безопасности. Ближе к концу осени на собранном решении начался процесс обеспечения безопасности — внутренней и внешней (периметра). Старые серверы были переведены в режим резервного копирования на вспомогательной вычислительной площадке финансового учреждения. Эту часть работ выполняли сотрудники банка совместно с сертифицированными специалистами по ПО Check Point. Координировал процесс официальный представитель вендора в Украине. Наконец, в промышленную эксплуатацию система пошла в декабре прошлого года.

Подбивая баланс По словам Николая Андрушко, хотя внедрение решения полностью закончено, но еще не все сервисы перенесены в отдельные DMZ, ведь банк не может остановить обслуживание клиентов. «О глобальном эффекте говорить еще рано. — сообщил он. — Оправдались ли ожидания? — однозначно да. Банк получил хороший промышленный инструмент, с помощью которого может решать вопросы, связанные с информационной безопасностью». Так что на данный момент в «Еврогазбанке» на первом месте задача завершения миграции сервисов «под зонтик» ПО Check Point. «Между тем, жизнь не стоит на месте и возникают новые проблемы, которые мы надеемся решать с помощью внедренного решения, например, гео-фильтрации входящего интернет-трафика и т. п.», — поделился информацией CIO «Еврогазбанка». С точки зрения интегратора, данный проект был интересен своей инновационностью, так как на рынке Украины он был первым для Check Point в своем роде и стал для компании своеобразным поворотным моментом для Украины, после которого защита виртуальных сред перестала быть чем-то из ряда вон выходящим и данное направление стало набирать обороты.

Подробности

Проблемы

Децентрализация управления

Сложность и непрозрачность бизнес-процессов

Несоответствие требованиям ИТ безопасности

Риск потери доступа к данным и ИТ-системам

Несоответствие ИТ-инфраструктуры бизнес-задачам

Утечка конфиденциальной информации или ее риск

Несанкционированный доступ к ИТ системам и данным предприятия

Бизнес задачи

Безопасность и непрерывность бизнеса

Управление рисками

Централизация управления

Схожие внедрения

prev
next