Построение комплексной системы защищённого удалённого доступа
- Заказчик:
- BORJOMI
- Руководитель проекта со стороны заказчика
-
- Поставщик
- Softline
- Год завершения проекта
- 2022
- Сроки выполнения проекта
- Август, 2021 - Январь, 2022
- Масштаб проекта
- 2500 автоматизированных рабочих мест
- Цели
- • Организация системы обеспечения безопасности корпоративной информационной вычислительной сети заказчика.• Управление трафиком.• Контроль доступа в корпоративную информационную вычислительную сеть.• Контроль использования информационных ресурсов заказчика.Система создавалась для достижения следующих результатов:• Обеспечение безопасной работы и легитимности удалённых пользователей при взаимодействии с ресурсами корпоративной информационной вычислительной сети.• Предотвращение компьютерных атак и вторжений в отношении корпоративной информационной вычислительной сети.• Выполнение требований нормативных правовых актов в области защиты информации.• Обеспечение защищённости и устойчивого функционирования корпоративной информационной вычислительной сети.
Уникальность проекта
• Территориально-распределённая инфраструктура заказчика состоит из трёх площадок, расположенных в разных странах. • Наличие в компании 2,5 тыс. пользователей, распределенных между площадками и осуществляющих подключение в удалённом формате, который требует проверки подлинности подключаемых сотрудников и комфортной доступности внутренних сервисов. • Специфическая административная характеристика организации подразумевает юридическое распределение аккаунтов функциональных компонентов Cisco DUO Single-Sign ON на три разных аккаунта в системе вендора. Это нетиповой кейс, который потребовал тестирования различных вариантов архитектуры для обеспечения отказоустойчивость при синхронизации пользователей различных доменов. В итоге удалось сформировать работоспособную архитектуру, протестировать сценарий интеграции решения с отладкой функциональных компонентов, а также организовать систему защищённого удалённого доступа с учётом требований заказчика и особенностей территориально-распределённого- Использованное ПО
Система состоит из трех распределённых подсистем контроля доступа, каждая из которых включает три функциональных модуля:
1. Модуль аутентификации, авторизации и аудита доступа в сеть. Реализуется компонентом Cisco Identity Service Engine. Cisco Identity Service Engine – виртуальная платформа для защиты сетевой инфраструктуры, к которой подключаются пользователи и устройства. Платформа обеспечивает динамическое, авторизованное применение политик для контроля доступа к сети с высоким уровнем безопасности и позволяет организовать программно-определяющий доступ с автоматизированной сегментацией.
2. Модуль обеспечения удалённого доступа. Реализуется компонентами: Cisco AnyConnect и Cisco ASAv. Cisco AnyConnect — программное обеспечение, предоставляющее защищённый удалённый доступ к корпоративной сети для мобильных сотрудников. Cisco ASAv – шлюз с возможностями VPN, предоставляющий защищённый удалённый доступ.
3. Модуль усиленной аутентификации доступа. Реализуется компонентом Cisco DUO. Cisco DUO – облачный сервис для предоставления функций безопасного доступа, имеющий в своём составе локальные (on-premise) технические средства и обеспечивающий проверку идентификационных данных пользователей с учётом двухфакторой аутентификации, а также оценку безопасности устройств и применение адаптивных политик для защиты доступа к приложениям.
- Сложность реализации
Основные сложности в реализации были связаны с настройкой рабочей связки функциональных модулей системы, а именно: Cisco ASAv + Cisco Identity Service Engine (ISE) с задействованием функционала Posturing (проверкой на соответствие требованиям организации конечного устройства при подключении к инфраструктуре) и применением для трёх разных аккаунтов Cisco DUO Single Sign-On (технологией единого входа) в соответствии с принадлежностью территориально-распределённым подразделениям заказчика.
Для отработки сценариев реализации было организовано макетирование компонентов системы, в частности Cisco DUO на трех площадках, включая:
1. Разработку схемы стенда.
2. Развертывание стенда с имитированием инфраструктуры компании.
3. Настройку удостоверяющего центра, выпуск сертификатов для Cisco Identity Service Engine, Cisco ASAv.
4. Базовую настройку Cisco ASAv на трёх площадках (IP-адреса, маршрутизация, NAT, ACL, Site-to-Site VPN).
5. Развёртывание домена с тремя сайтами.
6. Настройку связки трёх площадок с тремя аккаунтами Cisco DUO.
7. Настройку Cisco ISE в отказоустойчивом исполнении с функционалом Remote Access (RA) VPN для доменных пользователей.
8. Тестирование аварийных сценариев для DUO в случае выхода из строя основных площадок.
В результате макетирования был успешно протестирован функционал рабочих связок функциональных модулей системы: настроено взаимодействие компонентов, успешно выполняется переключение на резервную площадку (в том числе успешно протестирован функционал Optimal Gateway Selection, OGS), проверена автоматическая подстановка в клиенте Cisco AnyConnect группы площадки (страны), к которой относится пользователь, и отработан алгоритм настройки синхронизации Active Directory с DUO Single Sing-On.
- Описание проекта
Проект состоял из нескольких этапов:
1. Предпроектное обследование, где было выполнено обследование сегментов сети и проведен анализ текущей ИТ-инфраструктуры. По результатам создали организационно-технологический план работ и целевую архитектуру системы.
2. Техническое проектирование и разработка эксплуатационной документации, в том числе техническое задание, программа и методика приёмо-сдаточных испытаний, структурная схема комплекса технических средств, схема коммутации.
3. Поставка программного обеспечения, включая компоненты Cisco Identity Service Engine, Cisco AnyConnect, Cisco ASAv Cisco DUO.
4. Пусконаладочные работы с настройкой оборудования по техническому заданию и передача системы в опытную эксплуатацию.
5. Опытная эксплуатация, включая сопровождение и адаптацию решения.
6. Приёмо-сдаточные испытания и перевод в промышленную эксплуатацию. В ходе этапа был проведен комплекс испытаний, в результате которых подтверждено соответствие системы требованиям технического задания.
- География проекта
- Страны СНГ
