Внедрение шлюза безопасности NGFW для одного из крупнейших вузов Сибири
Заказчик
Высшее учебное заведение, один из ведущих учебных и научных центров Сибири и Дальнего Востока России.
Ситуация
В качестве шлюза безопасности в вузе долгое время использовался Microsoft Forefront TMG. В 2020 году заказчик обратился в ISIB со следующими проблемами:
Решение устарело и было снято с производства. Microsoft объявил о прекращении его развития, а также прекращении поддержки, включая расширенную.
Microsoft Forefront TMG не соответствовал требованиям импортозамещения.
У заказчика возникла острая необходимость в замене существующего шлюза безопасности на аналогичное решение, которое будет соответствовать ряду требований:
удовлетворять действующим нормативам ФСТЭК в системе сертификации средств защиты информации по требованиям безопасности информации;
присутствовать в Едином реестре российских программ для электронных вычислительных машин и баз данных;
быть реализованным в виде программно-аппаратного комплекса;
иметь возможность эксплуатации в режиме отказоустойчивой кластерной конфигурации;
иметь локализованную документацию и техподдержку.
Решение
В качестве решения заказчику был предложен программно-аппаратный комплекс Usergate E3000.
Внедрение проходило в 3 этапа:
1) Аудит сетевой инфраструктуры заказчика
На первом этапе были определены требования к производительности и пропускной способности решения. Была учтена текущая и планируемая интенсивность межсегментного сетевого трафика.
По итогам аудита было выбрано решение, которое подходило Заказчику по производительности, им стал межсетевой экран Usergate E3000.
Также был составлен план внедрения в режиме пилотного тестирования, разработано и утверждено техническое задание.
2) Пилотное тестирование
Этап продолжался 2 месяца. Для тестирования в среде виртуализации Заказчика было развернуто несколько виртуальных машин, на которых тестировали работу всех сервисов Заказчика (VPN, прокси-сервер, антивирус, Firewall) через новый шлюз, при необходимости вносили изменения.
Помимо переноса существующих правил Forefront TMG также на данном этапе было сделано:
разработаны и отлажены новые правила контентной URL-фильтрации, функционала Application Control и модуля Advanced Threat Protection;
настроена интеграция со службой каталогов Active Directory в части синхронизации базы пользователей и использования для аутентификации пользователей доменных учетных записей;
проверена и отлажена работа агентов авторизации на серверах терминального доступа;
перенастроены VPN-каналы до филиалов заказчика;
разработаны стандартные рабочие процедуры для эксплуатирующего персонала заказчика.
3) Масштабное внедрение
В результате пилотного тестирования Заказчиком было принято решение о начале эксплуатации в продуктивной среде.
Решение внедрялось для 1500 пользователей ВУЗа.
Внедрение происходило, согласно разработанного плана с поэтапным переводом трафика пользователей и сервисов под управление решения Usergate UTM 3000.
Результаты
Главный результат проекта – миграция на новый шлюз безопасности для соответствия современным тенденциям защиты периметра сети, а также выполнение требований по импортозамещению.
К другим значимым для Заказчика результатам относится то, что:
было внедрено современное решение, которое учитывает дальнейшее увеличение межсетевого трафика;
решение позволяет в будущем расширить функционал шлюза безопасности по производительности, отказоустойчивости и новым функциям, таким как IDS/IPS;
появилась возможность простого масштабирования решения на филиалы, используя единые политики безопасности для пограничных шлюзова безопасности;
прозрачная для пользователей миграция всех настроек, без остановки бизнес-сервисов;
решение соответствует требованиям импортозамещения, что является необходимым требованием для государственного ВУЗа.
Используемые решения и технологии: программно-аппаратный комплекс Usergate E3000