Это надо знать!

network-security

Угрозы сетевой безопасности и защита от них. Часть 3. Кейс «Софткей-Украина»

Понравилась статья? Нажмите кнопку "Нравится" и расскажите друзьям:

Ты помнишь, с чего начиналось…

Начиналось все с переезда в новый офис, в каком-то смысле даже с новой жизни ИТ-инфраструктуры компании. В прежнем офисе границу сети охранял виртуальный шлюз Kerio Сontrol (и свои обязанности выполнял целиком и полностью), но при переезде в новый офис мы столкнулись с требованиями, который старый добрый Kerio не смог потянуть.

Во-первых, хотелось обеспечить бо́льшую отказоустойчивость всей системы, то есть продублировать функции. Например, мы планировали подключить двух интернет-провайдеров. В прежнем офисе это было сделать невозможно ввиду монополизации провайдера в бизнес-центре.

Во-вторых, мы столкнулись с трудностями «физического» характера. При проектировании сети офиса на каждое рабочее место было заложено по одной Ethernet-розетке, а для работы сотруднику нужно два IP-адреса из разных подсетей (один для телефона, другой – для ПК), то есть без VLAN (виртуальной локальной сети) нам было не обойтись.

Итак, задача понятна, осталось лишь найти необходимое решение. После первичного анализа в шорт-лист попали следующие разработки:

  • Cisco (ASA c подпиской FirePOWER);
  • WatchGuard;
  • Juniper;
  • Check Point;
  • FortiGate

Помимо двух указанных выше критериев нам, как и любой компании, при выборе был очень важен критерий «цена/производительность». Мы протестировали решения («сделав дырку» в головах поставщиков и вендоров соответственно), и остановили свой выбор на американской компании Fortinet и их решении FortGate. И вот почему.

Осознанный выбор

Во-первых, Fortigate – это целый комплекс сетевой безопасности, который выполняет массу функций (некоторые из них доступны по подписке, что также сыграло в его пользу): антивирус, IPS, web- и Spam-фильтр, контроль приложений, защита от DoS-атак, DLP, маршрутизация/коммутация, VPN…

Во-вторых, FortiGate работает как VLAN-коммутатор и сегментирует офисную сеть (что позволило решить проблему с розетками, заложенную при проектировании).

В-третьих, FortiGate имеет на борту два порта WAN, при помощи которых мы и подключили двух провайдеров Интернета, и таким образом обеспечили бесперебойный доступ во всемирную сеть для наших сотрудников. При этом все критичные сервисы всегда остаются он-лайн. Также есть выделенный DMZ-порт для безопасного подключения внутренних web-серверов.

В-четвертых, в выбранном решении поддерживается также Site-to-Site VPN для организации безопасного соединения филиалов компании (в нашем случае, например, для безопасной удаленной работы сотрудников).

В-пятых, все сервисы безопасности предоставляет одна компания, что гарантирует их консолидацию и слаженную работу. К примеру, если взять устройства компании Juniper, то антивирусная защита там предоставляется на выбор.

Далее, устройства Fortinet поддерживают так называемые виртуальные домены, то есть можно поделить физическое устройство на несколько независимых виртуальных устройств, и обслуживать/настраивать их будут независимые друг от друга администраторы.

Аргументов в пользу этого решения уже, в общем-то, немало, но сомнения оставались, и главное из них – нераспространенность решения на нашем рынке. Мало ли что?… Окончательной соломинкой, сломавшей спину верблюду, стал «user experience» – мы, команда инженеров, по достоинству оценили удобство работы с решением.

Александр Сапура, инженер компьютерных систем Softkey.ua: «Самое главное достоинство устройства – видимость всего происходящего в сети, что для администратора является важной функцией. Мы постоянно мониторим, какими приложениями пользуются сотрудники, какие web-сайты посещают, сколько трафика расходуют. А потом, на основании анализа логов и отчетов, просто блокируем ненужные сервисы/сайты либо всем, либо только тем, кто злоупотребляет рабочим временем. Имеется множество настроек блокировки приложений. Например, можно заблокировать использовать Skype или просто запретить пересылку файлов посредством Skype, а чат и видеозвонки – разрешить.

Очень удобно предоставлять удаленный доступ сотрудникам по VPN. Устройство поддерживает протоколы IPSec и SSL VPN. Есть бесплатный VPN-клиент для устройств на Mac, iOS, Windows, Android. Удаленный доступ настраивается для сотрудника/группы сослуживцев к конкретной сети/серверу (так называемый Policy-Based VPN), то есть на основании политик фаервола каждому сотруднику предоставляется доступ только к необходимым ему ресурсам. С помощью токенов и сертификатов также поддерживается усиленная двухфакторная аутентификация.

Для администратора доступны удобные функции обновления прошивок в два клика, создания бэкапов конфигурации устройства в шифрованный файл. В общем, очевидно, что эти решения создавались администраторами для администраторов».

Вместо заключения

Собственно, вот таким вердиктом и закончились наши муки выбора, о чем мы совершенно не жалеем. Конечно, это совсем не означает, что наш выбор подойдет для любой компании – у всех разная структура, требования к безопасности, тем более что стоимость подписки зависит от определенного устройства, на которое она покупается, а также от количества сервисов безопасности. Но поделиться полезным и позитивным клиентским опытом мы были просто обязаны!