Заказчик проекта —
один из крупнейших и старейших в России производителей резинотехнических
изделий, АО КВАРТ.
В течение долгого времени заказчик использовал межсетевой экран зарубежного вендора для защиты трафика на границе сети и защиты Интернет-подключения.Так, решение решало сразу ряд различных бизнес-задач:
— для трех сотен сотрудников компании был обеспечен безопасный доступ в Интернет;
— для разных категорий пользователей был ограничен перечень ресурсов, которые можно посещать, а также ограничивался контент для загрузки; межсетевой экран использовался для фильтрации входящего трафика и для обеспечения VPN с несколькими филиалами компании;
— для фильтрации входящего трафика и для обеспечения VPN с несколькими филиалами компании.
Однако затем в компании изменились требования в отношении информационной безопасности и функционала СЗИ, которые было невозможно реализовать на существующем решении. Появилась необходимость управлять доступом в сеть, используя интеграцию со службой каталогов. Стало важно наличие системы обнаружение вторжений для блокировки подозрительного входящего и исходящего трафика.
Подобрать оптимальное и сбалансирование решение для замены СЗИ предстояло ICL Services.
Задачи
- Провести обследование существующей инфраструктуры, выявить потенциальные слабые места.
- Разработать требования к будущему решению и подобрать его.
- Спроектировать и согласовать с заказчиком новую инфраструктуру.
- Разработать план миграции на новое решение с минимизацией влияния на работу компании.
- Провести тесты на пробных группах пользователей и реализовать замену межсетевого экрана.
Реализованное нами решение
- Работы по проекту проходили в октябре-декабре 2023 года. В первую очередь, мы исследовали существовавшую инфраструктуру, количество устройств и особенности их работы.
После обследования была проведена серия интервью для получения и формализации детальных требований к будущему решению. На базе информации о существующей инфраструктуре и требований к целевой было проработано и предложено оптимальное с точки зрения стоимости и функционала решение.
Было решено, что новая инфраструктура будет основана на базе Ideco NGFW. Этот вариант оптимален по цене и функционалу для данной инфраструктуры и клиента, а также активности техподдержки, что было особенно важно для заказчика.
Спроектировав будущую инфраструктуру и согласовав календарный план работ с заказчиком (среди прочего пришлось поменять настройки службы каталогов, DHCP для динамического назначения IP-адресов и др.), мы поменяли инфраструктуру «на местах», выделив сначала тестовую группу пользователей примерно на 10 устройствах.
Когда процессы были отлажены, а локально возникшие технические задержки устранены, команда приступила к полномасштабной миграции межсетевого экрана.
Переход позволил решить не только задачу импортозамещения как такового: функционал отечественного решения оказался гораздо шире, чем у того, что был в пользовании прежде. Например, помимо активной техподдержки, у Ideco есть модуль распознавания аномального трафика, позволяющий распознавать хакерское вторжение на ранних этапах. Также в Ideco более гибкая система доступа: если раньше права на выход в интернет распределялись по устройствам, то теперь — по пользователям в зависимости от логина и пароля.
Наконец, решение на базе Ideco легче масштабируется: если клиент захочет в будущем расширить парк устройств или объем инфраструктуры, это будет значительно проще сделать, чем с предыдущим решением.
Продукты и технологии
- Ideco NGFW
Результаты
- Успешно проведена миграция с зарубежного межсетевого экрана на отечественный для 300+ устройств.
- Улучшены защита от кибератак и система доступа в сеть.
- Повышена масштабируемость решения.
Предоставленные услуги и решения
Олег Цыганов
Руководитель группы поддержки сетевых решений
Руководитель группы поддержки сетевых решений