Централизация или независимость?

Как обеспечить безопасность сети компании с филиалами в разных регионах

Реализация сетевой безопасности компаний, подразделения которых расположены в разных регионах — задача, решить которую можно различными способами. Наиболее распространенными являются два подхода:

• независимый, при котором на уровне организации принимается набор стандартов, а их реализация отдается на откуп сотрудникам региональных подразделений;
• централизованный, когда все защитные системы закупаются и настраиваются единым образом, а затем устанавливаются в филиалы, сотрудники которых не имеют доступа к управлению.

Рассмотрим достоинства и недостатки каждого из подходов.

Независимый подход

Независимая организация безопасности означает, что региональные ИТ-службы самостоятельно решают все вопросы защиты сетевой инфраструктуры от приобретения до настройки систем противодействия кибератакам. Головная организация может сформировать единый технологический стандарт, определить требования к функциональности системы защиты или набор правил межсетевого экрана, но это необязательно.

Такой способ взаимодействия имеет как достоинства, так и недостатки.

Достоинства:

• Эффективность. Если инфраструктура региональных подразделений разнородна и представляет собой «сборную солянку», образовавшуюся, например, в результате слияния нескольких компаний, приведение к единому стандарту может занять не один год в зависимости от размера сети. При этом даже в переходный период сеть компании нужно защищать. С точки зрения затрат времени и ресурсов оптимальным решением будет поручить эту задачу тем, кто хорошо владеет ситуацией — региональному ИТ-подразделению.
• Экономия трудозатрат. Дистанционная поддержка разнородной инфраструктуры — сложная задача. Поэтому делегирование этой работы в регион значительно упрощает взаимодействие между головной компанией и региональными подразделениями и чётко разграничивает сферы ответственности.

Недостатки:

• Легкость злоупотреблений. Сотрудники региональных ИТ-служб могут использовать свои полномочия некорректно, например ухудшить защищенность сети, открыв себе удаленный доступ, позволив сотрудникам своего офиса посещать небезопасные интернет-ресурсы или разрешив выполнять действия, нарушающие политику безопасности организации.
• Низкая квалификация. Если в крупных городах дефицит квалифицированных специалистов — редкое явление, в небольших городских поселениях это вполне обычная картина. Настройка защитного решения, произведенная сотрудником, не обладающим необходимыми знаниями, может привести к тому, что сеть окажется уязвимой для всех видов атак.
• Сложность управления. В условиях, когда решения о мерах защиты принимают региональные сотрудники, внедрение изменений занимает продолжительное время. А поскольку ИТ-служба ГО не может проконтролировать исполнение указаний, региональные сети становятся источником киберрисков.

Централизованный подход

Этот вариант взаимодействия предполагает, что все управление инфраструктурой и защитой производятся из единого центра. Как правило, такую работу выполняет выделенная группа администраторов в составе ИТ-службы головного офиса. При этом региональные подразделения оснащены стандартным оборудованием, конфигурация сети и настройки защиты унифицированы, а необходимые изменения можно быстро развернуть во всех регионах разом.

Достоинства:

• Выше уровень безопасности. Унифицированная конфигурация сетевой инфраструктуры в сочетании с квалифицированным управлением дают большую уверенность в том, что система защиты остановит кибератаки и действия злонамеренных инсайдеров.
• Управляемость и оперативность. Управление защитой всей сети из единого центра обеспечивает целостное внедрение новых конфигураций системы защиты без задержек.

Недостатки:

• Стоимость. Разовые затраты на внедрение унифицированной инфраструктуры во всех регионах могут вылиться в значительную сумму.
• Сложность внедрения. В процессе развертывания типового оборудования в регионах может оказаться, что первоначальное обследование было проведено недостаточно подробно, и где-то требуется дополнительные усилия по корректировке типовой конфигурации и/или закупка дополнительных устройств для замены устаревших.
• Сопротивление региональных ИТ-служб. Централизация управления системой защиты лишает региональных айтишников привычных полномочий. Некоторые сотрудники расценивают это как вмешательство в их сферу ответственности и пытаются саботировать нововведения.

Что выбрать?

В качестве решения, которое позволяет централизованно управлять безопасностью всех территориально удаленных структурных подразделений, рассмотрим универсальный шлюз безопасности (UTM) Traffic Inspector Next Generation версии Enterprise.

Traffic Inspector Next Generation Enterprise имеет в составе систему централизованного управления распределенной инфраструктурой сетевых шлюзов – Central Management System.

Для организации управления «из центра» одному из шлюзов Traffic Inspector Next Generation назначают роль мастер-узла (master node). Обычно в этом качестве используют шлюз центрального офиса организации. Из интерфейса мастер-узла выполняется централизованное администрирование, диагностика и сбор данных с сетевых шлюзов, расположенных в удаленных офисах.

Шлюзы Traffic Inspector Next Generation в каждом из удаленных офисов учреждения устанавливаются в режиме подчиненного узла (slave node). Подчиненный узел получает свои настройки от мастер-узла и в соответствии с ними контролирует и защищает сетевое взаимодействие между компьютерами удаленного офиса и сетью Интернет.

Рис. 1. Система централизованного управления распределенной инфраструктурой сетевых шлюзов Traffic Inspector Next Generation Enterprise

В процессе развертывания решения администратор настраивает каждый из узлов будущей инфраструктуры для взаимодействия с мастер-узлом, а на мастер-узле производится регистрация подчиненных шлюзов.

Рис. 2. Окно добавления подчиненного узла в Traffic Inspector Next Generation Enterprise

Сетевое взаимодействие между главным и подчиненными шлюзами производится по защищенным соединениям SSH и HTTPS. Завершив базовую настройку инфраструктуры, администратор может передать на подчиненные узлы настройки и получить от них диагностические сообщения, просмотреть syslog-журналы и установить обновления.

Если потребуется добавить в сеть организации новое подразделение, с помощью Central Management System легко клонировать конфигурацию имеющегося узла и отправить ее на новый шлюз.

Рис. 3. Настройки для передачи правил фильтрации Traffic Inspector Next Generation Enterprise

Заключение

Независимое управление безопасностью сетей региональных подразделений было оправдано, пока каналы связи и оборудование не обладали достаточной надежностью. В современных условиях практически любая компания может позволить себе арендовать несколько VPN-каналов до каждого удаленного подразделения, чтобы обеспечить отказоустойчивую работу.

С учетом сказанного в качестве приоритетного решения следует рассматривать централизованный подход, поскольку он обеспечивает лучшую эффективность и более высокий уровень безопасности. При этом первоначальные инвестиции на унификацию оборудования и приобретение комплексного защитного решения быстро окупятся за счет устранения рисков информационной безопасности и снижения трудозатрат ИТ-персонала.

Примечание

Получите консультацию специалиста Softline по вопросу Traffic Inspector Next Generation:

Дмитрий Банников, email: Dmitriy.Bannikov@softline.com.

Для получения 5% скидки при оформлении заказа на Traffic Inspector Next Generation сообщите менеджеру промокод SoftTING04. Промокод действителен до 31.12.2020.