Инфраструктура большинства компаний территориально распределена, информационное взаимодействие между компонентами этой инфраструктуры осуществляется по недоверенным каналам связи, и большинство рабочих мест в компаниях имеют выход в Интернет. Следовательно, важно обеспечить надежную защиту периметра корпоративной сети и вести постоянный мониторинг событий информационной безопасности, чтобы оперативно реагировать на инциденты.
При обработке в информационной системе компании сведений, подлежащих обязательной защите в соответствии с российским законодательством, например, персональных данных (ПДн), становится необходимым использование средств защиты информации (СЗИ), сертифицированных регуляторами: ФСБ России и ФСТЭК России.
Комплексное решение С-Терра по защите межфилиальных взаимодействий обеспечивает:
Решение тестировалось на открытых площадках параллельно с аналогичными решениями других вендоров и показало лучшие результаты. Сейчас С-Терра Шлюз является основным компонентом криптографической защиты информации в сетях таких компаний, как Газпромнефть-Ямал, ГАЗПРОМБАНК, СОГАЗ и др.
Комплексно защитить взаимодействие центрального офиса и двух региональных филиалов. Предусмотреть шифрование сетевого трафика, межсетевое экранирование, обнаружение вторжений. Обеспечить отказоустойчивость средств защиты в центральном офисе.
Состав продуктов:(опционально) С-Терра КП на 10 VPN-устройств
Решение базируется на продуктах С-Терра Шлюз и С-Терра СОВ в различных форм-факторах. В центральном офисе два шлюза безопасности С-Терра Шлюз объединены в отказоустойчивый VRRP кластер. В архитектуре шлюзов безопасности С-Терра Шлюз используется стандартизированный стек протоколов IKE/IPsec, реализованный в соответствии с ГОСТ алгоритмами шифрования. В актуальной версии С-Терра Шлюз может использоваться для защиты любых сетевых топологий (TCP/IP).
Межсетевой экран интегрирован в С-Терра Шлюз, и по умолчанию С-Терра Шлюз выполняет функции межсетевого экрана с контролем состояния сессий.
С-Терра СОВ в центральном офисе применяется в исполнении на отдельной аппаратной платформе. В региональных филиалах устанавливаются шлюзы безопасности С-Терра Шлюз со встроенным С‑Терра СОВ, что представляет собой одну 1U аппаратную платформу.
В небольших сетях можно отказаться от использования системы централизованного управления, так как мониторинг и управление криптошлюзами (четырьмя в данном примере) вполне можно осуществить вручную. Например, обновить цифровые сертификаты на 4 шлюзах не является сильно трудоемкой задачей. Но можно и автоматизировать труд администратора, применив С-Терра КП, и тем самым снизить влияние человеческого фактора.
Для обеспечения отказоустойчивости С-Терра Шлюз поддерживает открытые протоколы VRRP (кластер active/passive) и RRI (кластер active/active). Отказоустойчивость интерфейсов реализуется агрегированием: LACP и PAgP. Отказоустойчивость провайдеров – GRE-over-IPsec c OSPF, либо пакетом changeroutes (аналог Cisco IP SLA).
Схема решения для Примера 1 представлена на рисунке 1.
Рисунок 1. Схема решения для Примера 1
Комплексно защитить взаимодействие центрального офиса и 30-ти региональных филиалов. Предусмотреть шифрование сетевого трафика, межсетевое экранирование, обнаружение вторжений. Обеспечить отказоустойчивость средств защиты в центральном офисе.
Состав продуктов:С-Терра КП на 100 VPN-устройств
Решение аналогично приведенному в Примере 1, но в данном случае требуется большее количество устройств С‑Терра Шлюз со встроенным С‑Терра СОВ для установки в филиалах компании.
Кроме того, в средних и больших сетях не обойтись без системы централизованного управления. С‑Терра КП может выполнять функции центра управления сертификатами путем интеграции с сервисом Microsoft CA и криптопровайдером КриптоПро CSP. С помощью системы С-Терра КП процесс замены цифровых сертификатов централизуется и автоматизируется, поддерживаются и групповые операции обновления.
Схема решения для больших и средних сетей представлена на рисунке 2.
Рисунок 2. Схема решения для больших и средних сетей
Решение, описанное в примерах, легко масштабируется и может быть использовано для защиты больших сетей с количеством узлов более 1000. Для сетей, где требуется полносвязная топология, поддерживается технология DMVPN для динамического построения VPN-туннелей между региональными филиалами.
Шлюзы безопасности С-Терра Шлюз и системы обнаружения вторжений С-Терра СОВ следует подбирать исходя из требований по производительности.
Значения производительности приведены на страницах продуктов: С-Терра Шлюз, С-Терра СОВ.