«Энвижн Груп» модернизировала систему информационной безопасности корпоративной сети «АФК «Система» для дополнительной защиты ресурсов компании от вредоносного ПО и утечек данных. В рамках проекта эксперты «Энвижн Груп» создали концепцию обновления архитектуры локальной вычислительной сети (ЛВС), произвели модернизацию оборудования ядра ЛВС на базе высокопроизводительных коммутаторов Cisco Catalyst. Для организации защищенного подключения к ЛВС было использовано решение Cisco Identity Service Engine (ISE), которое позволяет ИТ-специалистам заказчика удобно и централизованно управлять политиками доступа к сети для сотрудников и гостей, точно идентифицировать и отслеживать активность всех устройств, находящихся в сети. Система Cisco ISE интегрирована с корпоративным каталогом Active Directory, в котором содержится информация обо всех группах и пользователях. Разделение пользователей по группам позволяет задавать различные права доступа в зависимости от статуса сотрудника: руководители компании, сотрудники административных отделов, коммерческих подразделений и т.д. Аутентификация и авторизация осуществляется на портах коммутаторов доступа, которые отправляют запрос на сервер Cisco ISE. Сервер, в свою очередь, подтверждает или отклоняет предоставление прав доступа к сети. Дополнительно система определяет тип устройства (ПК, смартфон, принтер и т.д.), а также автоматически проверяет состояние его операционной системы и настройки безопасности: активирован ли антивирус, нет ли вредоносного ПО. Посетители офисов АФК «Система» могут воспользоваться гостевым Wi-Fi, к которому можно подключиться после необходимой аутентификации по временному паролю. Для удобства возможно создание нескольких типов гостевых учетных записей: часовые, дневные и контрактные, предполагающие доступ в интернет более чем на одну неделю. Такой доступ предоставляется, например, специалистам, которые работают в АФК по договору аутсорсинга. Дополнительно специалисты провели полную инвентаризацию компьютерного парка АФК «Система», проверив соответствие политикам безопасности на более чем 350 компьютерах. «Мы высоко оценили работу специалистов «Энвижн Груп», которые модернизировали нашу ИТ-инфраструктуру в соответствии со всеми требованиями надежности, отказоустойчивости сети и корпоративной политики безопасности. В наших дальнейших планах – трансфер успешного опыта и на другие дочерние компании Корпорации», – Александр Будников, управляющий директор по информационной безопасности и информационным технологиям ПАО «АФК «Система». «Высокая производительность сети, информационная безопасность и качественное обслуживание пользователей и приложений – необходимые условия для работы офиса крупной корпорации, которая трансформирует свой бизнес в соответствии с требованиями времени. Мы предложили заказчику комплексное решение для обновления защиты информационной среды, которое предотвращает возможную утечку данных, и при этом повышает эффективность бизнес-процессов», – комментирует Сергей Кузьмин, президент АО «Энвижн Груп». «Управление сетью на основе политик – важнейший инструмент оптимизации бизнес-процессов, повышения эффективности труда и обеспечения информационной безопасности, ‒ отмечает Андрей Кузьмич, директор по технологиям ООО «Сиско Солюшенз» (Cisco). ‒ Cisco ISE реализует защищенный доступ к сетевым ресурсам с учетом контекста, предоставляя мониторинг пользователей и устройств для поддержки и контроля корпоративного мобильного доступа. Этот функционал ускоряет переход к цифровым бизнес-моделям и способствует достижению высоких деловых результатов».

Заказчик Украэрорух является основой национальной аэронавигационной системы и объединенной гражданско-военной системы организации воздушного движения Украины. Основная миссия предприятия заключается в обеспечении качественного и безопасного аэронавигационного обслуживания в воздушном пространстве Украины и в воздушном пространстве над открытым морем.

Задачи проекта Основной задачей было создать опорную магистральную сеть для обмена критичной навигационной  информацией. В связи с тем, что этот обмен информацией напрямую влияет на безопасность полетов, сеть должна иметь очень высокую надежность и минимальное время восстановления. Необходимо было создать надежную, безопасную и масштабируемую сеть.

Проблемы и предпосылки проекта Основная задача Украэрорух состоит в обеспечении безопасности полетов пассажирских самолетов над Украиной. Для этого на каждом объекте, который  входит в навигационную сеть, развернуты несколько специализированных комплексов. Большинство этих комплексов создавались еще в прошлом веке и опирались на технологии обмена данными доступными на тот момент. В последние годы эти комплексы заменяются, обновляются или добавляются новые, поэтому старые технологии обмена данными уже не могут справляться с возложенной на них задачей.  Для обмена навигационными данными в современных комплексах используется протокол IP и постепенно все данные будут передаваться по этому протоколу. Основная трудность была в огромном количестве данных, которые нужно было собрать, проанализировать и на их основе создать проекты для каждого объекта. Каждый объект по своему уникальный, что в масштабах страны выглядит довольно сложным.

Продукты Были выбраны различные модели серии маршрутизаторов Cisco ISR 4000, коммутаторы Cisco Catalyst 2960 Plus и коммутаторы Cisco Catalyst 3650. Все оборудование поставлялось в виде бандлов Cisco ONE, которые включали в себя все необходимые лицензии. В качестве системы контроля доступа к сетевым ресурсам была выбрана Cisco ISE.

Особенности проекта Проект начался со сбора информации и подготовки рабочей документации для каждого объекта. На втором этапе проводился монтаж физической инфраструктуры. После этого проводилась настройка оборудования согласно рабочей документации. Заключительный этап состоял из тестирования и инструктажа персонала.

Заказчик Министерство финансов Украины — государственный орган исполнительной власти Украины. Министерство обеспечивает проведение единой государственной финансовой, бюджетной, налоговой политики, направленной на реализацию определённых задач экономического и социального развития Украины, координирует деятельность в этой сфере других центральных органов исполнительной власти.

Задачи проекта Необходимо было обеспечить стабильную, надежную и безопасную работу сетевой инфраструктуры, поскольку это основа для всех бизнес процессов. Модернизация инфраструктуры должна была стать важным шагом в цифровизации работы Министерства.

Проблемы и предпосылки проекта Все инфраструктура была построена на морально и физически устаревшем, на данный момент, оборудовании, которое часто выходило из строя и были постоянные простои в работе. Устаревшее и часто выходящее из строя оборудование, высокое энергопотребление, невозможность реализовать новые подходы в управлении инфраструктурой и доступом пользователей. Для серверного сегмента использовались огромные модульные коммутаторы с большим количеством портов, которые в эру виртуализации были просто избыточны.
Также существует ограниченность в  количестве администраторов  и, как следствие, высокая нагрузка на них.
Основным требованием стало создание наиболее автоматизированной инфраструктуры, управление которой бы занимало как можно меньше времени и усилий.

Критерии выбора системы
В первую очередь, стояла задача получить автоматизированную инфраструктуру, которой можно было бы управлять с помощью политик и шаблонов, с минимальными административными усилиями. В ходе подготовки решения рассматривались такие производители, как Cisco Systems, HPE, Dell, Juniper, Extreme Networks. До модернизации использовались коммутаторы компании Enterasys Networks, которую  еще в 2013 году купила компания Extreme Networks.
В тоже время, при выборе системы необходимо учитывать критическую важность безопасности в сети и стояла большая необходимость средств выявления сетевых аномалий и автоматического реагирования на обнаруженные аномалии.

Продукты
Было выбрано решение от лидера рынка Cisco Systems: Cisco Catalyst 2960X, Cisco Catalyst 9500, Cisco Nexus 9000, Cisco StealthWatch,  Cisco ISE, Сisco Prime Infastructure, Cisco Data Center Network Manager.

 
Преимущества решения
В этом решении закачик получил все, что было необходимо: новейшее сетевое оборудование от мирового лидера, систему выявления аномалий, систему контроля доступа в сеть по политикам, системы управления и мониторинга оборудования.

В качестве коммутаторов доступа пользователей была выбрана проверенная и надежная линейка Cisco Catalyst 2960X, в качестве коммутаторов ядра пользовательской сети были выбраны новейшие Cisco Catalyst 9500.

В роли коммутаторов ЦОД были выбраны серверные коммутаторы Cisco Nexus 9000 с расширениями фабрики Cisco FEX 2000, которые по сети являются выносными линейными платами.  Данная технология позволила устанавливать коммутаторы в каждый шкаф, но сохранить логику модульного коммутатора с единой точкой управления линейными картами.

В качестве системы выявления аномалий выступает компонент Cisco StealthWatch, который в связке с еще одним продуктом Cisco ISE умеет выявлять аномальные всплески трафика и немедленно реагировать на них. ISE используется для обеспечения доступа к информационным ресурсам по определенным политикам пользователей, рабочих станций и администраторов. Для управления сетевым оборудованием используется продукты Сisco Prime Infastructure и DCNM.

Результаты проекта
Реализация проекта позволила достичь всех требований заказчика, построить надежную основу для бизнес процессов Министерства и дальнейшего движения к цифровизации экономики.

Заказчик после реализации проекта получил:

Надежную сетевую инфраструктуру от мирового лидера.
Автоматизированное управление сетью.
Безопасность встроенная в сетевые устройства и специализированное ПО по обнаружению подозрительной активности.
Предоставление доступа к сетевым ресурсам на основе политик.

О заказчике PurePeak - сервисная компания, специализирующаяся на предоставлении услуг по оптимизации, мониторингу, управлению и технической поддержке ИТ-инфраструктуры.

Цели проекта Предоставить консультационные услуги по внедрению единой политики информационной безопасности для всех уровней сетевого доступа:

• Организация единой точки управления и обеспечения мониторинга процессов подключения в сеть

• Идентификация типов подключаемых устройств в сети по различным критериям

• Обеспечение полного жизненного цикла гостевого доступа

• Учет и контроль подключения персональных устройств (BYOD).

Решение В качестве платформы обеспечения комплексной информационной безопасности был выбран флагманский продукт компании Cisco - Cisco Identity Services Engine 1.2 Ключевыми моментами разработанного проекта являются:

• анализ сетевой инфраструктуры проводного (Wired), беспроводного (Wireless) подключения

• разработка HLD (High Level Design) – топология включения ПО Cisco Identity Services Engine в инфраструктуру компании

• Построение отказоустойчивого и производительного решения

• Согласование сценариев предоставления доступа в корпоративную сеть:

        - для корпоративных ПК: по Wired и Wireless
        - персональным устройствам: ПК, смартфонам, планшетам по Wireless

• Согласование сценариев предоставления гостевого доступа по Wireless и Wired

• Механизмы онлайн мониторинга, получения отчетности

• Удобная система администрирования и делегирования полномочий по доступу.

Результаты и преимущества от реализации проекта В результате проекта Заказчик получил разработанный документ с HLD (High Level Design) для снятия продукта Identity Services Engine с hold Cisco и последующего внедрения решения.