Как мы создали эшелонированную защиту из нескольких фаерволов для сети гипермаркетов

3 года назад мы внедрили межсетевые экраны для крупной сети гипермаркетов в России и продолжаем ими управлять. Описываем наше решение в подробностях.

Василий Зыбкин,
аккаунт-менеджер

Владимир Сегалов,
аккаунт-менеджер

Виктор Орлов,
старший специалист сектора кибербезопасности

Задача: создать безопасную распределенную сеть

Ранее весь трафик магазинов проходил через сети их глобальных коллег в Европе. Чтобы повысить управляемость, компания переходила на инфраструктуру собственных ЦОД на территории России. В том числе — на новые межсетевые экраны, с которыми были связаны две задачи:

• Обеспечить безопасность в рамках распределенной сети
  Клиенту нужно было обезопасить передачу информации внутри — между магазинами, складами и дата-центрами, и снаружи — между дата-центрами и внешним интернетом.
• Обеспечить безопасность обмена данных с облачным хранилищем
  Клиент переходил на новую облачную инфраструктуру. Нагрузка на сеть возрастала в 3 раза — сотрудники стали чаще обмениваться данными и поэтому возрастали риски доступа к этим данным со стороны третьих лиц. Нам требовалось снизить эти риски и нагрузку на дата-центры.

Решение: 3 фаервола вместо одного

Мы подготовили решение, которое включало трех вендоров для межсетевого экрана из трех больших кластеров. Клиент проводил тендер на эти работы, и такое решение понравилось ему больше других.

Внутренний и внешний фаерволы

Первый межсетевой экран — Cisco — отделяет дата-центры от магазинов. Он контролирует передачу данных внутри сети. Второй межсетевой экран —  Check Point — отделяет дата-центры от интернета. Он контролирует передачу данных между дата-центром и внешней сетью. Так выглядит схема:

Гид по межсетевым экранам

Рассказываем о том, как работают фаерволы и от каких угроз защищают.

Читать статью

Фаервол для магазинов в сети

Третья группа межсетевых экранов — Fortigate — контролирует передачу данных между четырьмя магазинами и интернетом. С дата-центрами магазины взаимодействуют по WAN-каналам. Так снижается нагрузка на сеть, при этом все данные по-прежнему идут по защищенному каналу. Схема выглядит так: 

Политики безопасности для всех офисов, магазинов, складов и дата-центра управляются через единую административную консоль.

3 вендора и эшелонированная защита

Схема с несколькими фаерволами называется эшелонированной защитой. Она считается более рекомендуемой, но более дорогостоящей и сложной при управлении. Еще тяжелее управлять такой системой, если межсетевые экраны от разных вендоров.

В нашем случае в одной точке последовательно используется оборудование от двух вендоров: либо связка Cisco и Check Point, либо связка Check Point и Fortigate.

Проблему со стоимостью мы решили благодаря скидкам от вендоров. Проблему с управлением — предоставлением услуги Managed Firewall: межсетевыми экранами управляет наша опытная команда.

Главное преимущество такого решения — злоумышленнику труднее преодолеть «эшелон» из двух фаерволов. Это усложняет и наличие нескольких вендоров — даже если мошенник найдет уязвимости на одном фаерволе, на следующем их уже не будет. Плюс, система устоит, даже если из строя выйдет один из фаерволов.

Выбор вендоров

Самих вендоров выбирали из лидеров. Check Point, Cisco и Fortigate предоставляют лучшие решения на рынке. У них есть оперативная поддержка и их удобно администрировать.

Сертификация специалистов

Чтобы сотрудники клиента могли поддерживать и пользоваться новым решением, им нужно было пройти дополнительную обучение, которое мы для них провели. Сотрудники получили сертификаты, которые позволяют работать с оборудованием от вендоров.

Скидки

Изначально вендоры были против решения с тремя межсетевыми экранами и отказывали в скидках — стоимость системы из-за этого могла стать сильно выше. Но мы получили помощь от наших глобальных коллег из французского офиса Orange. В итоге глобальные офисы Cisco и Checkpoint сделали большие скидки и наше предложение закрыло потребности клиента на его условиях.