Cisco memiliki strategi yang agak agresif dalam menyerap perusahaan di pasar, yang tidak hanya memberi kita penghasilan di bidang-bidang utama bisnis kami, tetapi juga menciptakan apa yang orang asing suka sebut kata tantangan, yang sering diterjemahkan ke dalam bahasa Rusia sebagai "tantangan". Mungkin ini pernah menjadi tantangan bagi layanan keamanan informasi kami, tetapi sekarang kami telah berhasil memecahkan masalah ini dan saya ingin membagikan solusinya dalam artikel ini. Inti dari masalah awal adalah sederhana - setelah pengumuman pengambilalihan perusahaan mana pun, rata-rata dibutuhkan sekitar satu tahun untuk sepenuhnya mengintegrasikannya, baik dari sudut pandang bisnis maupun dari sudut pandang infrastruktur TI. Tetapi satu tahun adalah periode yang cukup lama di mana kita tidak hanya harus menyediakan akses ke anggota baru akses tim kami ke sumber daya perusahaan, tetapi juga memastikan pemantauan perusahaan yang diserap dari sudut pandang keamanan informasi. Tentang bagaimana kami memecahkan masalah ini, saya ingin berbicara.
Selama proses integrasi, semua karyawan perusahaan yang diakuisisi diharuskan untuk menggunakan klien VPN Cisco AnyConnect untuk mengakses semua sumber daya internal, karena jaringan mereka pada awalnya dianggap tidak tepercaya dan tidak mematuhi persyaratan keamanan informasi kami. Pada saat yang sama, kebijakan keamanan Cisco melarang tunneling split, yang berarti bahwa karyawan baru tidak dapat secara bersamaan bekerja di jaringan perusahaan dan langsung di Internet, yang menciptakan kesulitan yang tidak biasa bagi mereka dan mengurangi produktivitas (terutama untuk pengembang). By the way, menurut survei yang dilakukan secara informal oleh layanan IS kami di perusahaan-perusahaan besar Amerika, larangan split tunneling adalah praktik umum yang meningkatkan keamanan jaringan perusahaan.
Tetapi kembali ke karyawan perusahaan yang diakuisisi. Komputer mereka yang tidak dipercaya dapat menjadi titik masuk ke jaringan perusahaan, tetapi kami tidak dapat mengizinkannya. Tetapi pada saat yang sama mereka harus memberikan kesempatan bagi karyawan baru untuk bekerja dengan semua sistem internal kita sampai penyelesaian integrasi penuh. Kami dapat mengimplementasikan skema dengan Site-to-Site VPN, tetapi itu tidak menyelesaikan masalah awal, karena kami tidak mengizinkan split tunneling, kantor yang terhubung tetap tidak dipercaya dan akses melalui ITU akan sangat terbatas. Menghubungkan ke sumber daya perusahaan Cisco membuat tidak mungkin untuk mengakses sumber daya lokal atau layanan eksternal (AWS, GitHub, dll.). Akses ke mereka karenanya memotong akses ke sumber daya Cisco. Dilema :-( Bahkan dalam kasus penerapan otentikasi web, masih ada kesulitan teknis (misalnya, dengan IPv6) dan kesulitan organisasi - kurangnya pengalaman pengguna dan ketidakmampuan untuk memverifikasi perangkat sebelum memberikan akses (yang dilakukan oleh
Cisco ISE dalam jaringan perusahaan). Selain itu Selain itu, situs yang tidak dipercaya tidak dapat dipantau, karena mereka tidak memiliki alat yang diperlukan yang diterima sebagai standar di Cisco.
Saat itulah gagasan C-Bridge, solusi jaringan yang menggunakan router Cisco, sakelar dan alat keamanan, lahir untuk menyediakan koneksi yang cepat dan aman dan memantau keamanan situs Cisco baru, tidak terpercaya, ketinggalan jaman atau tidak memenuhi syarat. Sedikit terganggu, perlu dicatat bahwa ide yang persis sama digunakan oleh kami dalam proyek konstruksi SOC, di mana perlu untuk memantau keamanan segmen industri dan bahkan situs yang terisolasi dari dunia luar.
C-Bridge adalah solusi seluler dan sepenuhnya otonom yang menggunakan manajemen identitas dan verifikasi perangkat pengguna untuk menyediakan akses ke sumber daya perusahaan Cisco dan jaringan lain (misalnya, cloud) tanpa mengorbankan keamanan perusahaan kami. Dari samping, C-Bridge terlihat seperti rak biasa, diisi dengan peralatan yang sesuai. Sekarang tingginya 20RU, tetapi hanya diisi pada 16RU (4RU tetap menjadi cadangan untuk digunakan di masa depan). Dari 16RU ini, seperempat dikhususkan untuk tugas-tugas TI, dan tiga perempat sisanya adalah untuk tujuan keamanan dan pemantauan.
Layanan Cisco CSIRT IS Monitoring dan Incident Response memantau dengan C-Bridge semua akses ke / melalui Internet, termasuk akses ke sumber daya internal kami. Perangkat keras dari rak ini adalah sebagai berikut:
Selain fungsi firewall dan VPN, solusi keamanan informasi berikut juga digunakan:
- Cisco NGIPS dengan AMP untuk Jaringan
- vWSA dengan AMP untuk Konten yang terintegrasi dengan ThreatGrid
- Pembuatan dan Transfer Netflow Tidak Teramputasi ke Cisco Stealthwatch vFlowCollector
- CSIRT PDNS dan Cisco Umbrella
- Qualys Vulnerability Scanner (virtual)
- BGP Black Hole / Karantina
- Fungsionalitas DLP
- Koleksi Syslog.
Semua lalu lintas dari situs yang tidak dipercaya sekarang melewati C-Bridge, yang merupakan titik kontrol utama. Pengguna jarak jauh yang menggunakan AnyConnect juga terhubung ke Cisco ASA di C-Bridge dan kemudian dapat terhubung ke sumber daya perusahaan kami atau ke Internet. Akses ke jaringan Cisco adalah melalui terowongan DMVPN, dan lalu lintas ke layanan cloud atau sumber daya Internet langsung, tanpa perlu melalui jaringan Cisco. Pada saat yang sama, kehadiran Cisco NGIPS generasi berikutnya sistem deteksi serangan di C-Bridge, sistem kontrol akses Internet Cisco Web Security, sistem anti-malware Cisco AMP, sistem pemantauan Cisco Payung DNS, dan sistem deteksi anomali
Cisco Stealthwatch membantu melindungi jaringan yang tidak dipercaya dari serangan itu berisi kode berbahaya dan pelanggaran keamanan informasi lainnya.
Karena C-Bridge digunakan di lingkungan yang tidak terpercaya, di samping keamanan internal dan mekanisme kontrol akses dalam alat keamanan itu sendiri, kami secara fisik melindungi rak ponsel yang terletak di sisi perusahaan yang diakuisisi. Dua set kunci digunakan (dalam + luar) pada "pintu" internal dan eksternal C-Bridge. Pada saat yang sama, pintu tertutup tidak mengganggu bekerja dengan kabel untuk menghubungkannya ke jaringan dan catu daya. Setelah implementasi, pintu luar dapat dibiarkan terbuka untuk ventilasi.
Namun keputusan ini tidak tinggal diam. Sekarang kami memiliki koneksi aman dari situs yang tidak terpercaya ke jaringan Cisco, fitur-fitur baru yang disediakan oleh C-Bridge menjadi tersedia. Misalnya, dukungan 802.1x untuk menghubungkan Telepresence atau mengunduh gambar dan perangkat lunak OS untuk laptop korporat Cisco. Juga, integrasi antara C-Bridge dan solusi Tim Keselamatan & Keamanan (keamanan fisik) untuk implementasi awal sistem pengawasan video dan kontrol akses di lokasi perusahaan yang diakuisisi juga dimungkinkan.
Pengalaman bertahun-tahun dengan C-Bridge sangat sukses, tetapi ada sejumlah kesulitan yang terkait dengan ukuran rak 20-tyunite. Yang utama terkait dengan fakta bahwa di situs kecil:
- tidak ada ruang terpisah untuk C-Bridge
- rak bisa kepanasan tanpa AC dan ventilasi yang baik
- ditempatkan di ruang kerja, rak itu sangat bising.
Kami telah memperkenalkan konsep gerbang ringan C-Bridge Lite untuk menggabungkan fungsi-fungsi TI dan keamanan informasi dalam sebuah paket kecil dengan persyaratan minimal untuk area instalasi, dampak lingkungan, dan biaya. Mengurangi rak menyebabkan penurunan bandwidth dan kinerja C-Bridge, tetapi untuk situs kecil ini tidak penting. Akibatnya, konsep gateway keamanan bertingkat dikembangkan, yang digunakan di kantor dengan berbagai ukuran:
- Kecil : 2RU = ISR4451 dengan modul Etherswitch, FTD untuk ISR (UCS-E) dan UCS-E untuk CSIRT VM, hingga 300Mbps
- Medium : 3RU = ISR4451 dengan modul switching dan 2x UCS-E untuk CSIRT VMs + ASA5555X-FTD, hingga 600Mbps
- Besar : solusi standar pada ½ rak C-Bridge, 1Gbps +.
Keuntungan dari solusi C-Bridge meliputi:
- Kecepatan . Memberikan akses bersamaan ke sumber daya perusahaan dan jaringan yang tidak terpercaya 10 bulan lebih cepat.
- Skalabilitas . Solusinya dapat diimplementasikan di satu atau lebih situs.
- Gunakan kembali . Satu rak dapat digunakan kembali dalam proyek baru.
- Keamanan jaringan . Kemampuan untuk memonitor Internet dan lalu lintas internal dalam jaringan yang tidak terpercaya untuk mendeteksi potensi ancaman.
- Produktivitas karyawan . Menghilangkan kebutuhan untuk menggunakan AnyConnect untuk mengakses sumber daya lokal.
Pada akhir proses integrasi, gateway C-Bridge dihapus dari perusahaan yang diakuisisi, yang bergabung dengan jaringan Cisco dan tidak lagi memerlukan mekanisme dan alat perlindungan tambahan untuk memantaunya - itu menjadi bagian integral dari infrastruktur kami.