Импортозамещение в области информационной безопасности

Поставка и внедрение отечественного межсетевого экрана
О проекте
Организация: ЗАО «Сибинформбюро»

Задача: обеспечение межсетевого экранирования и сегментации сети с отказоустойчивостью.

Срок реализации: май-июнь 2023 года
О компании:

Медиахолдинг «Сибинформбюро»
Медиахолдинг имеет телеканалы собственного программирования: обязательный общедоступный региональный телеканал «Телеканал Тюменское время» (21 кнопка), обязательный общедоступный муниципальный телеканал «ТVОЯ Тюмень» (22 кнопка), «Телеканал Тобольское время», радиостанцию «Диполь FM», является партнером в городе Тюмени радиостанции «МИР» и федерального общедоступного телеканала «ОТР».
Введение
В данном проекте заказчиком являлся крупнейший медиахолдинг Уральского Федерального округа АНО «Сибинформбюро». Отсюда максимальные требования к доступности сетевой инфраструктуры и процессу внедрения новых устройств, и не менее строгие требования к безопасности.

Уход зарубежных вендоров из России означает невозможность получить обновления и произвести продление лицензий. Утратили доверие продукты, которые не получают сертификацию ФСТЭК России и потенциально могут подвергать опасности критически важную инфраструктуру. В связи с этим заказчик принял верное решение - подобрать современное средство для обеспечения безопасности своей ИТ-инфраструктуры.
Описание
На этапе проработки проекта было проведено тестирование двух систем межсетевого экранирования: АПКШ Континент 4 UTM и UserGate UTM. На основе анализа результатов, выбор сделали в пользу UserGate - данное решение предлагает дружелюбный пользовательский интерфейс, собственные базы сигнатур и широкий функционал по фильтрации трафика вплоть до уровня приложений (L7).
До установки межсетевого экрана UserGate, заказчик использовал решение от pfSense, которое не могло обеспечить должный уровень защищенности от актуальных угроз.
  • Решение
    Кластер из двух узлов UserGate D200 в режиме Актив-Пассив.

    А также модули:
    • Advanced Threat Protection - обновляемые категории сайтов, списки сайтов для соответствия спискам Роскомнадзора, а также морфологические базы;
    • Stream Antivirus - потоковая проверка файлов, передаваемых по сети;
    • Mail Security - защита внутреннего почтового сервера от спама и вирусов во вложениях.
    Соответствие законам РФ
    UserGate соответствует требованиям ФСТЭК России к Межсетевым экранам (4 класс, профили защиты А и Б) и к Системам обнаружения вторжений (4 класс).
    UserGate внесен в Реестр Российского программного обеспечения (регистрационный номер 1194)

    Внедрение решения в сеть заказчика осуществили без прерывания работы сервисов трансляций.

Кластер из двух узлов UserGate D200 в режиме Актив-Пассив.

  • В режиме Актив-Пассив один из серверов выступает в роли Мастер-узла, обрабатывающего трафик, а остальные - в качестве резервных. На каждом из узлов кластера выбираются сетевые интерфейсы, которым администратор назначает виртуальные IP-адреса. Между этими интерфейсами передаются VRRP-объявления (ADVERTISEMENT) - сообщения, с помощью которых узлы обмениваются информацией о своем состоянии.

  • Режим Актив-Пассив поддерживает синхронизацию пользовательских сессий, что обеспечивает прозрачное для пользователей переключение трафика с одного узла на другой, за исключением сессий, использующих прокси сервер, например, трафик HTTP/S.
Результат
В процессе внедрения пользователи и сервисы постепенно и прозрачно переводились на новую систему с помощью маршрутизации на основе политик: выделялись небольшие группы пользователей, собиралась обратная связь и вносились требуемые корректировки.
Благодаря использованию кластера, а также двух провайдеров, обеспечена возможность обновлять систему без прерывания работы.

Таким образом, обеспечена отказоустойчивость на трех уровнях:
  1. Подключение во внутреннюю сеть дублировано с помощью агрегирования каналов.
  2. Работа МСЭ дублирована с помощью кластера отказоустойчивости.
  3. Подключение к интернету обеспечено двумя провайдерами.

Для защиты сервисов публикуемых в интернет, настроены профили сигнатур системы обнаружения вторжений и выделен сегмент DMZ. Доступ к сервисам в этом сегменте разрешен только для тех приложений (с помощью анализа на уровне L7), которые действительно должны быть доступны извне.
Для почтового сервера настроен модуль защиты почты, который обнаруживает спам и вирусы в сообщениях без влияния на производительность почтовой системы.