`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Многоуровневая защита

+22
голоса

«Укрнафта» на замену устаревшему решению информационной безопасности развернула новую комплексную систему на основе продуктов Check Point, для защиты наземной и облачной ИТ-инфраструктуры предприятия, а также конечных точек в центральном офисе и филиалах. Партнером внедрения выступила компания «CBIT IT», реализация проекта заняла более года.

Многоуровневая защита

Начнем с того, что коротко представим компанию «Укрнафта» - это акционерное общество было образовано в 1994 г. и на сегодня является крупнейшим нефтедобывающим предприятием Украины. Его доля в общей добыче нефти с газовым конденсатом в нашей стране превышает 62%, а в добыче газа — 5%. Предприятие разрабатывает месторождения углеводородов на территории двух нефтегазоносных регионов, которые охватывают семь областей. В его структуру входят шесть нефтегазодобывающих управлений и три газоперерабатывающих завода, а также сеть из 537 автозаправочных станций по всей Украине. Общий доход компании в 2020 г. вырос до 35,5 млрд. грн., а чистая прибыль — до 4,3 млрд. грн. Штат компании превышает 20 тыс. человек.

В рамках модернизации корпоративной сети «Укрнафта» управление информационной безопасности предприятия разработало новую концепцию защиты ИТ-инфраструктуры от внешних угроз. Поскольку используемая прежде система базировалась на решениях разных производителей, включая морально устаревшие межсетевые экраны Cisco ASA, срок поддержки которых истек, и не обеспечивала ни требуемых возможностей, ни должного уровня надежности.

Исходя из актуального ландшафта угроз и необходимого предприятию инструментария, специалисты «Укрнафты» разработали технические требования к системе защиты корпоративных информационных ресурсов. Она должна обеспечивать безопасность периметра сети, включающей центральный офис компании, шесть удаленных площадок и ресурсы в облаке Microsoft Azure, защиту конечных точек (серверов и рабочих станций) от внешних угроз, централизованное управление всеми компонентами подсистемы, а также сбор и обработку лог-файлов, включая интеграцию с SIEM-системой. В частности требовалось осуществлять инспекцию трафика посредством модулей межсетевого экрана, предотвращения вторжений, контроля приложений, веб-фильтрации, антивируса и проверки входящей почты в облачной «песочнице», обеспечивать безопасное удаленное подключение авторизованных сотрудников к корпоративным ресурсам, централизованное управление политиками и всей системой и пр.

Многоуровневая защита

Николай Хлапонин

«Требования к подсистеме защиты корпоративной сети были тщательно продуманы и детально отражены в техническом задании на тендер группой специалистов управления информационной безопасности «Укрнафты». К чести его коллектива можно сказать, что все требования были обоснованными, поскольку люди четко понимали, что они хотят получить в итоге развертывания и какие точно задачи информационной безопасности в результате будут решены», — говорит Николай Хлапонин, коммерческий директор компании «CBIT IT».

На основе технических требований был проведен анализ имеющихся на отечественном рынке решений для защиты корпоративных сетей и осуществлено пилотное тестирование некоторых из них. В результате в short-лист вошли два разработчика — Cisco и Check Point. В числе прочего весомым аргументом в пользу этих вендоров стало наличие на территории Украины официальных представительств со штатом инженеров, имеющих богатый опыт реализации крупных инфраструктурных проектов. Со стороны Check Point кандидатом выступила компания «CBIT IT», имеющая статус CCSP (Check Point Certified Support Provider) и пять сертифицированных специалистов уровня CCSE (Check Point Certified Security Engineer), которая и была признана победителем по итогам тендера.

Работа над внедрением фактически началась еще до подписания официального соглашения. Были созданы проектные комитет и группа, в команду вошли четыре человека со стороны исполнителя и двенадцать от заказчика. Начался процесс поиска взаимопонимания по ключевым вопросам. Для отслеживания этапов реализации был разработан план-график, а все рабочие моменты решались в ходе ежедневных совещаний проектной команды в Microsoft Teams.

Небольшие задержки на одних этапах зачастую удавалось нивелировать досрочным выполнением других. Однако случилась также и серьезная, почти трехмесячная остановка, когда в ходе нагрузочного тестирования оборудования в продуктивной среде стало понятно, что выбранная заказчиком модель шлюза безопасности в реальных условиях не обеспечит необходимый запас мощности и лишит его перспективы роста трафика.

Выйти из затруднительной ситуации удалось благодаря инициативе Александра Савушкина, директора по развитию бизнеса Check Point в Украине и странах СНГ, предложившего заменить оговоренную модель на более производительную. Тестирование показало, что CheckPoint 5800 обеспечивал 30-40% запас мощности. После чего было подписано дополнительное соглашение, и через полтора месяца заказчик получил новое оборудование.

Архитектура решения создавалась с учетом специфики территориально-распределенной и гибридной ИТ-инфраструктуры «Укрнафты». В его состав вошли аппаратно-программные комплексы Check Point 15400 и 5800, а также Smart-1 525, программное обеспечение CloudGuard IaaS, Endpoint Advanced Package, Endpoint Security и Endpoint Мanagement Server и пр. Модели устройств, состав лицензий и подписок к оборудованию были выбраны так, чтобы в полной мере удовлетворить требования технического задания и обеспечить разумный запас производительности на перспективу развития инфраструктуры заказчика.

Многоуровневая защита

Александр Савушкин

«В последние месяцы мы в Check Point Software наблюдаем серьезный рост кибератак во всем мире. К сожалению, и на украинском рынке аналогичная ситуация, — рассказывает Александр Савушкин, региональный директор по развитию бизнеса Check Point Software Technologies в Украине, Грузии и странах СНГ. — Комплексная защита очень важна: мы всегда говорим, что лучше предотвратить атаку, чем устранять ее последствия. Идеальная защитная система должна быть, во-первых, консолидирована, построена на решениях от одного производителя — «зоопарком» из разных систем управлять очень сложно, практически невозможно делать это эффективно. Во-вторых, решения должны быть максимально автоматизированы, просты в управлении. В случае с «Укрнафтой» мы смогли соблюсти практически все эти требования. Команда «Укрнафты» следует последнем тенденциям киберзащиты — и гордимся сотрудничеством с таким клиентом».

По мере реализации проекта совместная команда столкнулась с рядом вызовов, связанных с необходимостью интеграции решений Check Point с существующими системами, в частности: системы логирования и отчетности с SIEM; системы управления и шлюзов безопасности с распределенной архитектурой контроллеров домена Active Directory, расположенных как в наземных ЦОДах, так и в облаке Microsoft Azure; с внутренним центром сертификатов, с целью построения безопасного удаленного доступа сотрудников к внутренним корпоративным ресурсам. Кроме того, оборудование Check Point в некоторых локациях требовалось сделать активным участником динамической маршрутизации по протоколу OSPF. Также на базе решений Check Point были построены защищенные шифрованные каналы связи между ЦОДами, для обеспечения безопасного обмена информацией.

Одной из интересных стала задача интеграции решения по защите конечных точек с серверами заказчика. На этапе развёртывания возникали отдельные сложности взаимодействия компонентов ПО серверов и SandBlast Agent от Check Point. Точно их идентифицировать и согласовать версии программных модулей удалось благодаря профессиональной работе инженеров технической поддержки вендора.

Поскольку серверы имели достаточно широкое назначение и выполняли большое количество функциональных задач, также возникали ситуации блокирования защитными решениями Check Point некоторых процессов операционной системы как подозрительных или опасных. В тесном сотрудничестве с технической поддержкой Check Point удалось идентифицировать все цепочки взаимодействия и создать корректные правила исключений, учитывающие особенности работы в среде заказчика.

Построение новой системы защиты корпоративной ИТ-инфраструктуры «Укрнафты» и конечных точек в целом заняло 14 месяцев, включая подготовительный период, обучение технических специалистов администрированию решений Check Point, установку и настройку оборудования, развертывание агентов на рабочих станциях и серверах, опытное тестирование с последующим устранением выявленных ошибок и ввод решения в продуктивную эксплуатацию.

Многоуровневая защита

Алексей Желудков

«Проект масштабный, комплексный, внедряемый «по живому» в разрыв существующих ИТ-систем, порой с изменением схемы их работы. Конечно же, были сложности и немало. В рамках проекта в технической поддержке открыли и отработали четыре десятка кейсов.

Однако новая комплексная система позволяет реализовать полноценное предотвращение угроз на всех уровнях — от сетевого, до серверов и рабочих станций. Ранее мы таких возможностей попросту не имели. Согласно статистике, в прошлом году в автоматическом режиме уже было заблокировано около 30 тыс. критичных атак, до 400 в день. Общее же число обрабатываемых CheckPoint NGFW событий доходит до 20 млн. в месяц. С начала этого года на корпоративных устройствах предотвращены 853 вредоносные активности», — говорит Алексей Желудков, начальник управления информационной безопасности «Укрнафты».

Результатом проекта стала комплексная система сетевой безопасности и защиты конечных точек. Была произведена замена устаревших файрволов, построена новая система контроля сетевого доступа на основе идентификации сотрудников по доменным учетным записям. Также продукты Check Point обеспечивают многоуровневую защиту от широкого спектра угроз, включая таргетированные и атаки нулевого дня, а решение SandBlast Agent позволило реализовать комплексную защиту конечных точек и серверов от различного зловредного кода, включая шифровальщиков.

Впрочем, несмотря на всю масштабность данного проекта, в результате его реализации были решены не все задачи «Укрнафты» по части обеспечения кибербезопасности. Уже после запуска системы в промышленную эксплуатацию расширены возможности SandBlast и зашифрованы жесткие диски рабочих станций. В настоящее время внедряется защита электронных документов для обеспечения безопасного обмена ими по открытым или недоверенным каналами связи. В перспективе планируется реализовать микросегментацию, контроль доступа, защиту от угроз внутри виртуальной среды наземного ЦОДа и многое другое.

Дополнительную информацию о компании и ее решениях вы можете найти на специальной странице http://ko.com.ua/check_point

Вы можете подписаться на нашу страницу в LinkedIn!

+22
голоса

Напечатать Отправить другу

Читайте также

 
 

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT