Внедрение межсетевого экрана UserGate для крупного завода Восточной Сибири

Заказчик

Заказчик проекта – крупное предприятие оборонной промышленности Восточной Сибири.

Завод выпускает технику, готовую к эксплуатации в режиме полного цикла производства, и отдельные комплектующие из композитных материалов, а также осуществляет гарантийное сервисное обслуживание техники.

Является одним из самых крупных предприятий Восточной Сибири.

Основано в 1939 году.

Численность сотрудников около 6 000 человек.

Продукция завода поставляется государственным и коммерческим предприятиям России и других стран – техника, произведённая на заводе, успешно эксплуатируется в более чем 40 странах мира.

Ситуация

В связи со сложной геополитической обстановкой, сложившейся в начале 2022 года, в существующей системе защиты был заблокирован ряд важных функций, включая обновления системы и антивирусных баз, в связи с чем было принято решение перейти на отечественный аналог NGFW.

Целью проекта было импортозамещение зарубежной системы на отечественную с минимальными рисками для информационной безопасности предприятия.

Поставка необходимого оборудования должна была включать в себя программно-аппаратный комплекс отечественного производства.

При переходе на новую систему особое внимание должно было быть уделено взаимодействию с заказчиком, чтобы понять потребности и ожидания от новой системы. Таким образом планировалось создать оптимальную конфигурацию системы, которая наилучшим образом соответствует потребностям предприятия и гарантирует эффективное и безопасное функционирование. 

Решение

Проект по переходу на отечественный межсетевой экран стартовал в начале июля 2023 года.

В качестве решения был выбран межсетевой экран российского производства UserGate E3000.

Для повышения безопасности и удобства управления была реализована интеграция с Active Directory для управления доступом пользователей и компьютеров в сети. Настроены правила межсетевого экрана, правила NAT. Также настроен VPN, SSLVPN для подключения как внутренних пользователей предприятия, так и внешних. Реализована двухфакторная авторизация в VPN, SSLVPN с сторонней системой многофакторной аутентификацией, где совместно с разработчиками отечественного NGFW были внесены изменения в системное ПО для достижения необходимых показателей интеграции системы многофакторной аутентификации. При настройке системы безопасности возникла сложность с передачей VLAN от провайдера в локальную сеть предприятия, а именно - не передавался тег в локальную сеть при настройке VLAN. Однако, благодаря системному подходу команды ISIB и её знаниям в области сетевых технологий, эта проблема была успешно решена путём создания необходимых VLAN на интерфейсах и объединения их в мост 3 уровня.

Важным фактором было то, что при переходе на отечественный NGFW необходимо было обеспечить совместимость с уже имеющимися в инфраструктуре системами и устройствами. В рамках этого требования была выполнена оптимизация и настройка маршрутов в защищенные сети.  Была проведена проверка на соответствие требованиям безопасности и конфиденциальности данных, а также на соответствие требованиям регулирующих органов и законодательства в области информационной безопасности.

По завершению всех работ была проведена повторная проверка настроек и правил, а также тестирование работоспособности системы в реальных условиях. 

Результаты

Переход на российский аналог NGFW был успешно завершен, благодаря накопленному опыту по изучению и настройке межсетевых экранов, тесному взаимодействию с заказчиком и использованию передовых технологий в области информационной безопасности от отечественного производителя.