English | exeshop | Kontakt

Nepretržité pripojenie nainternet s vysokými požiadavkami na bezpečnosť

Klient: Generálne riaditeľstvo Zboru väzenskej a justičnej stráže

Využívanie elektronickej komunikácie a nároky na dostupnosť informačných zdrojov v súčasnosti stúpajú vo všetkých organizáciách. Výnimkou nie je ani štátna správa. Zaistenie vysokorýchlostného internetového pripojenia je iba prvým krokom. V súvislosti s ním je potrebné mať neustále na zreteli zabezpečenie internej infraštruktúry, a to pri minimálnom, resp. žiadnom obmedzení pripojenia do verejnej siete. Ďalšou úlohou, ktorú je nutné riešiť, je minimalizácia výpadkov – zaistenie dostupnosti príslušných zdrojov údajov vo vnútornej sieti. Samozrejme ? komunikačnú infraštruktúru v rámci organizácie je potrebné budovať tak, aby bola flexibilná a ľahko spravovateľná.
Okrem týchto základných požiadaviek mal náš klient – Generálne riaditeľstvo Zboru väzenskej a justičnej stráže – ešte niekoľko ďalších, doplňujúcich požiadaviek: a) zabezpečiť neverejné údaje pred únikom, neautorizovanou zmenou alebo stratou, b) možnosť regulovať komunikáciu medzi lokalitami v rámci organizácie, c) zaistiť vonkajšie pripojenie do organizácie formou pripojenia VPN a d) poskytnúť detailné monitorovanie prevádzky so spracovanými výstupmi.
To všetko s integrovaním riešenia do existujúcej infraštruktúry organizácie – Active directory (AD).
Popis riešenia
Po zvážení nárokov a vychádzajúc z vyššie uvedených požiadaviek bolo klientovi odporúčané riešenie s využitím produktu Microsoft ISA Server 2004. Tento nástroj, dynamická brána firewall postavená na princípoch hĺbkovej ochrany, umožňuje spravovať údaje až na úrovni aplikačnej vrstvy. Navyše, bránu firewall je možné plne integrovať s existujúcou infraštruktúrou AD. Model komunikačnej infraštruktúry bol koncipovaný tak, aby kopíroval topológiu AD celkom od začiatku.
Usporiadanie siete je tvorené centrálnou lokalitou, s ktorou sú pobočkové lokality prepojené v tvare hviezdy. Model bol zvolený na základe kapacitných možností prepojenia medzi lokalitami. Centrálna lokalita má zároveň ako jediná pripojenie na internet. Politika zabezpečenia a prístupu je v jednotlivých pobočkách nastavená identicky, keďže požiadavky na komunikáciu sú v pobočkách identické.
Z hľadiska konfigurácie využíva brána firewall na centrálnej lokalite model ďalších podsietí, ktoré majú povahu Perimeter. Všetky definované podsiete majú vytvorené statické smerovanie; jedna z podsietí má povahu verejnej a umožňuje organizácii prístup na internet. Pobočkové lokality nemajú povolené smerovanie na verejný adresný priestor a prístup do verejnej siete je realizovaný smerovaním „web“ požiadaviek na nadradený server proxy.
Koncept riešenia spolu s prijatými opatreniami tak umožňuje maximálny dohľad nad zabezpečením v vnútornej siete. Poskytuje tiež možnosť rýchleho a efektívneho zákroku v prípade potreby (napr. v prípade bezpečnostného rizika).
Ďalšia požiadavka na riešenie – vysoká dostupnosť informačných zdrojov – bola dosiahnutá pomocou funkcie Network Load Balancing (NLB) a/alebo Fail Over, ktorú poskytuje produkt Microsoft ISA Server 2004. Funkčnosť NLB/Failover v skratke znamená, že prevádzková záťaž je smerovaná cez akýkoľvek dostupný server v sieti.
V danom prípade sa ako dostatočná javila konfigurácia zložená z dvoch členov v zapojení NLB/Failover. Zapojenie NLB bolo realizované vo všetkých podsieťach brány firewall na centrálnej lokalite, s výnimkou podsiete využívanej na komunikáciu brány firewall so štýlmi CSS.
Takýmto spôsobom je zaistená dostupnosť a stabilita celej komunikačnej infraštruktúry, najmä však centrálneho uzla.

Technické zabezpečenie riešenia
Prepojenie medzi lokalitami bolo zabezpečené pomocou mechanizmu Multiprotocol Label Switching. Na centrálnej lokalite bol nasadený produkt Microsoft ISA Server 2004 Enterprise Edition v zapojení „multihomed“, na pobočkových lokalitách bol využitý produkt Microsoft ISA 2004 Firewall Standard Server v zapojení „edge“.
Všetky brány firewall Microsoft ISA 2004 majú definované konto v doméne AD, čo umožňuje definovať bezpečnostné politiky prostredníctvom účtov a politík domény. Informačné toky cez bránu firewall ISA 2004 EE na centrálnej lokalite sú okrem toho ešte doplnkovo chránené antivírusovým riešením GFI Web Monitor.

Výsledky a prínos riešenia
Riešenie viac ako splnilo základný cieľ a jeho hlavným prínosom je podstatné zlepšenie prístupu k informačným zdrojom pri zabezpečení ochrany interných údajov pred ich neautorizovaním použitím.
Nové riešenie zároveň poskytuje zákazníkovi stabilitu a spoľahlivosť v spojení so značnou mierou pružnosti. Celú topológiu, ako aj jej jednotlivé prvky, možno operatívne meniť, podľa toho, ako to vyžadujú zmeny vnútornej štruktúry v organizácii.
S ohľadom na predchádzajúci bod sú prínosom aj nízke nároky na správu. Produkt poskytuje výkonné nástroje a riešenie bolo postavené tak, aby bola práca správcu čo najefektívnejšia.
Úvodná stránka | Mapa stránky | Kontakt
Copyright © 1997-2012 exe, spol. s r. o. Všetky práva vyhradené.