Ваш ориентир в мире безопасности

Главная  > Решения  > Комплексные решения  > Защита межфилиальных взаимодействий

Защита межфилиальных взаимодействий


Инфраструктура большинства компаний территориально распределена, информационное взаимодействие между компонентами этой инфраструктуры осуществляется по недоверенным каналам связи, и большинство рабочих мест в компаниях имеют выход в Интернет. Следовательно, важно обеспечить надежную защиту периметра корпоративной сети и вести постоянный мониторинг событий информационной безопасности, чтобы оперативно реагировать на инциденты.

При обработке в информационной системе компании сведений, подлежащих обязательной защите в соответствии с российским законодательством, например, персональных данных (ПДн), становится необходимым использование средств защиты информации (СЗИ), сертифицированных регуляторами: ФСБ России и ФСТЭК России.

Комплексное решение С-Терра по защите межфилиальных взаимодействий обеспечивает:

  • конфиденциальность и целостность информации при передаче по недоверенным каналам связи путем шифрования в соответствии с ГОСТ;
  • межсетевое экранирование;
  • непрерывный мониторинг событий и инцидентов информационной безопасности;
  • выполнение требования российского законодательства по защите информации.

Пример 1. Для малой сети


ЗАДАЧА: Комплексно защитить взаимодействие центрального офиса и двух региональных филиалов. Предусмотреть шифрование сетевого трафика, межсетевое экранирование, обнаружение вторжений. Обеспечить отказоустойчивость средств защиты в центральном офисе.

Состав продуктов:

Центральный офис Региональные филиалы
2 x С-Терра Шлюз
1 х С-Терра СОВ
(опционально) С-Терра КП на 10 VPN-устройств
2 х С-Терра Шлюз со встроенным С-Терра СОВ

 

Решение базируется на продуктах С-Терра Шлюз и С-Терра СОВ в различных форм-факторах. В центральном офисе два шлюза безопасности С-Терра Шлюз объединены в отказоустойчивый VRRP кластер. В архитектуре шлюзов безопасности С-Терра Шлюз используется стандартизированный стек протоколов IKE/IPsec, реализованный в соответствии с ГОСТ алгоритмами шифрования. В актуальной версии С-Терра Шлюз может использоваться для защиты любых сетевых топологий (TCP/IP).

Межсетевой экран интегрирован в С-Терра Шлюз, и по умолчанию С-Терра Шлюз выполняет функции межсетевого экрана с контролем состояния сессий.

С-Терра СОВ в центральном офисе применяется в исполнении на отдельной аппаратной платформе. В региональных филиалах устанавливаются шлюзы безопасности С-Терра Шлюз со встроенным С‑Терра СОВ, что представляет собой одну 1U аппаратную платформу.

В небольших сетях можно отказаться от использования системы централизованного управления, так как мониторинг и управление криптошлюзами (четырьмя в данном примере) вполне можно осуществить вручную. Например, обновить цифровые сертификаты на 4 шлюзах не является сильно трудоемкой задачей. Но можно и автоматизировать труд администратора, применив С-Терра КП, и тем самым снизить влияние человеческого фактора.

Для обеспечения отказоустойчивости С-Терра Шлюз поддерживает открытые протоколы VRRP (кластер active/passive) и RRI (кластер active/active). Отказоустойчивость интерфейсов реализуется агрегированием: LACP и PAgP. Отказоустойчивость провайдеров – GRE-over-IPsec c OSPF, либо пакетом changeroutes (аналог Cisco IP SLA).

Схема решения для Примера 1 представлена на рисунке 1.


sxema-mezhfilialnoe-vzaimodeistvie_1.png


Рисунок 1. Схема решения для Примера 1


Пример 2. Для средней или большой сети


ЗАДАЧА: Комплексно защитить взаимодействие центрального офиса и 30-ти региональных филиалов. Предусмотреть шифрование сетевого трафика, межсетевое экранирование, обнаружение вторжений. Обеспечить отказоустойчивость средств защиты в центральном офисе.

Состав продуктов:

Центральный офис Региональные филиалы
2 x С-Терра Шлюз
1 х С-Терра СОВ
С-Терра КП на 100 VPN-устройств
30 х С-Терра Шлюз со встроенным С-Терра СОВ

 

Решение аналогично приведенному в Примере 1, но в данном случае требуется большее количество устройств С-Терра Шлюз со встроенным С-Терра СОВ для установки в филиалах компании.

Кроме того, в средних и больших сетях не обойтись без системы централизованного управления. С‑Терра КП может выполнять функции центра управления сертификатами путем интеграции с сервисом Microsoft CA и криптопровайдером КриптоПро CSP. С помощью системы С-Терра КП процесс замены цифровых сертификатов централизуется и автоматизируется, поддерживаются и групповые операции обновления.

Схема решения для больших и средних сетей представлена на рисунке 2.


sxema-mezhfilialnoe-vzaimodeistvie_2.png


Рисунок 2. Схема решения для больших и средних сетей


Решение, описанное в примерах, легко масштабируется и может быть использовано для защиты больших сетей с количеством узлов более 1000. Для сетей, где требуется полносвязная топология, поддерживается технология DMVPN для динамического построения VPN-туннелей между региональными филиалами.

Шлюзы безопасности С-Терра Шлюз и системы обнаружения вторжений С-Терра СОВ следует подбирать исходя из требований по производительности.

proizvoditelnost-icon.png

Значения производительности приведены на страницах продуктов:

С-Терра Шлюз
С-Терра СОВ

Преимущества

Опыт внедрения

Решение тестировалось на открытых площадках параллельно с аналогичными решениями других вендоров и показало лучшие результаты. Сейчас С-Терра Шлюз является основным компонентом криптографической защиты информации в сетях таких компаний, как Газпромнефть-Ямал, ГАЗПРОМБАНК,СОГАЗ и др.