Крупная процессинговая компания размещает в двух дата-центрах свою инфраструктуру: внешние ИТ-сервисы – для организации приема платежей и внутренние ресурсы – для сотрудников. Для защиты периметра и предотвращения сетевых угроз компания приобрела зарубежный межсетевой экран нового поколения (Next generation firewall, NGFW). Собственное оборудование выполняет несколько задач сетевой безопасности:
- разделяет сеть на сегменты для разных категорий пользователей,
- обеспечивает безопасное подключение к удаленным рабочим местам,
- позволяет фильтровать не только входящий трафик, но и исходящий, при обращении в интернет из локальной сети,
- помогает выполнять требования стандарта PCI DSS.
В марте вендор NGFW прекратил поддержку клиентов в России и перестал обновлять сигнатуры. В базы IPS, антивируса и других модулей не поступала информация о новых угрозах, с каждым днем защита стала ослабевать. Компания решила заменить NGFW на отечественный аналог.
После анализа российских решений специалисты компании остановили выбор на шлюзе безопасности UserGate и обратились в DataLine за помощью с миграцией и настройкой.
Помочь с тестированием сервиса на базе UserGate. В ситуации неопределенности компания была не готова сразу закупать новое сетевое оборудование. Специалисты по ИБ хотели убедиться в надежности отечественного решения. Сервис в облаке позволил бы протестировать защиту без капитальных вложений, а затем принять решение о закупке.
Определить параметры NGFW с учетом принятых политик безопасности. Новое решение должно было сохранить все профили безопасности для разных категорий пользователей и учесть требования к защите платежной информации клиентов. Заказчику нужна была помощь в выборе модели и конфигурации UserGate, которая решит эти задачи.
Продумать перенос политик безопасности с минимальным простоем. Переезд на новое решение не должен был влиять на операции клиентов в платежных системах. Поэтому компания хотела подготовиться к миграции заранее и провести переезд без влияния на пользователей.
Специалисты DataLine совместно с заказчиком определили необходимую полосу пропускания, параметры отказоустойчивости и сегментации сети. Эта информация позволила сузить выбор модели UserGate.
Изначально компания рассматривала для переезда облачный вариант UserGate. Однако сервис на основе виртуальных решений в облаке потребовал бы создания туннеля IPSec VPN между площадкой заказчика и облаком DataLine. Необходимость шифрования каналов повлияла бы на производительность, поэтому компания выбрала закупку аппаратной модели решения.
Тем не менее, для тестирования функциональности UserGate компания выбрала облачный вариант NGFW, чтобы ускорить процесс.
Инженеры DataLine собрали информацию о текущих параметрах сетевой безопасности: какие VLAN’ы, NAT-трансляции используются, какие задачи решаются на модулях NGFW.
Это позволило определить время даунтайма и создать поминутный план миграции. В согласованный час переезда инженеры DataLine подадут VLAN’ы на UserGate, перенесут правила доступа со старого оборудования и создадут NAT-трансляции с новыми адресами. Для переключения трафика потребуется по несколько минут на каждый VLAN. И даже если что-то пойдет не так, вернуться на старое оборудование можно будет за пару минут.
Инженеры DataLine предложили заказчику виртуальные машины для проверки UserGate в облаке. В ближайшее время компания сможет подключить к облачному сервису NGFW свои тестовые ресурсы и выработать оптимальные политики на новом решении. Например, если за годы работы старого NGFW появились правила, которые затеняют друг друга, специалисты DataLine смогут найти и устранить возникшие противоречия.
UserGate в облаке DataLine предоставляется по подписке и не требует от компании капитальных вложений.
Инженеры DataLine провели все подготовительные работы, которые не требуют переключения оборудования. В дальнейшем при переезде это позволит переключить каждый VLAN за несколько минут и практически не влиять на работу пользователей.
За миграцию и настройку решения отвечают инженеры с большим опытом эксплуатации NGFW, которые выявляют неоптимальные решения и обновляют защиты в случае новых угроз.