Безпечна віртуалізація «Єврогазбанку» з використанням рішень Checkpoint

Преса про нас:

ko.com.ua

За оцінками аналітиків IDC, в даний час проекти захисту віртуальних середовищ користуються великим попитом у світі, так як для віртуальних середовищ існують всі ті ж загрози, що і для фізичних середовищ (звіт Rethinking Security for Virtual Environments, квітень 2012 року). Але ринок України ще не дозрів для розуміння цієї проблематики, яке зазвичай приходить після першого серйозного «проколу». Втім, зустрічаються компанії, які ведуть упереджувальну роботу в цьому напрямку, так як цінують довіру клієнтів і намагаються всіма доступними способами виключити саму можливість порушень інформаційної безпеки. Серед них «Єврогазбанк».

Інформація до розкриття

АТ «Єврогазбанк» (Європейський газовий банк) було утворено восени 2006 р, а початок операційної діяльності покладено 2 лютого 2007. Основна активність банку спрямована на обслуговування потреб великих корпоративних клієнтів, підтримку малого і середнього бізнесу, а також фізичних осіб. За роки діяльності він піднявся на більш ніж 100 позицій за розмірами активів, за даними Національного банку України, і сьогодні займає 59-е місце серед діючих українських банків (всього таких налічується 175). Основним власником компанії виступає сім’я колишнього голови правління НАК «Нафтогаз України» Олексія Івченка.

Постійно удосконалюючи надані послуги, банк розширює межі своєї діяльності. Для подальшого закріплення позицій на фінансовому ринку України в кінці минулого року в компанії був ініційований проект модернізації ІТ-інфраструктури із застосуванням лезових серверів і технологій віртуалізації з урахуванням питань забезпечення безпеки як невід’ємної складової. Як розповів начальник департаменту інформаційних технологій та заступник голови правління «Єврогазбанку» Микола Андрушко, головними передумовами для проекту стали:

серверне обладнання банку, придбане в кінці 2006 р, морально застаріло і перестало підтримуватися постачальником;
у банку були відсутні промислові рішення типу брандмауерів.

«Як результат, було прийнято рішення щодо оновлення обчислювальних систем з перенесенням сервісів банку у віртуальне середовище. Виходячи з цього виникла ідея забезпечити інформаційну безпеку за рахунок експлуатації промислового ПЗ від Check Point Software Technologies ». Микола Андрушко

Крім того, ставилися завдання виносу сервісів банку (як внутрішніх, так і зовнішніх) в окремі DMZ з обмеженням і контролем трафіку.

Безумовно, вибір банкірів припав саме на Check Point не випадково. За словами Дениса Остапенко, заступника начальника управління системно-технічної підтримки та телекомунікацій «Єврогазбанку», на українському ринку представлено безліч гідних уваги захисних ІТ-продуктів (Cisco Systems, Juniper Networks, Aladdin та ін.). Однак після детального вивчення, з’ясувалося, що дійсно комплексний підхід реалізований у рішеннях ізраїльської компанії Check Point (зі штаб-квартирою в Тель-Авіві).

Check Point є світовим лідером і ключовим гравцем на ринку ІБ. Як зазначив Євген Чулков, консультант з інформаційної безпеки компанії Integrity Systems, даний постачальник одним з перших розробляє та впроваджує технології, які незабаром стають стандартом де-факто для всієї галузі. І рішення по захисту віртуальних середовищ не виняток.

Природно, вибір Check Point не без нюансів. Рішення CheckPoint поки не відрізняються високим рівнем поширення в Україні. «Фахівців поки мало, як і сертифікованих співробітників підтримки, тобто людей, готових оперативно дати відповідь по якомусь питанню. — зазначив Денис Остапенко. — Хоча, звичайно, в якості виходу з положення можливе звернення в глобальну підтримку постачальника». Втім, ситуація поступово змінюється. Розширення кількості дистриб’юторів призвело до позитивної динаміки у цьому питанні і зараз кількість сертифікованих співробітників Check Point зростає.

Комплексний продукт

Отже, в якості апаратної платформи у банку зупинилися на перевіреному часом шасі HP BladeSystem С3000, яке підтримує до 8 серверів Proliant BL460c Generation 8. У нього було встановлено три таких сервера (у кожному по два процесори Intel Xeon E5-2630/32 ГБ ОЗУ/4 ГБ для ESXi), два комутатора FC B-series 8/12c SAN Switch for BladeSystem, а також два комутатора GbE2c Layer 2/3 Ethernet Blade Switch. Крім того, була придбана система зберігання даних HP EVA P6300 c вісьмома жорсткими дисками по 600 ГБ. Це дуже поширене обладнання, не будемо на ньому зупинятися. Набагато цікавіше програмна складова проекту.

«Обмін між віртуальними машинами може відбуватися будь-який, перевірка на рівні IDS не провадиться»Денис Остапенко

По суті, Security Gateway VE являє собою аналог «класичних» багатофункціональних шлюзів безпеки, реалізований у вигляді віртуального образу. «Здається, застосовувати таку систему нерозважливо, адже файли „охоронюваних“ і „охорони“ розташовуються на одному пристрої зберігання. Створюється враження, що все господарство можна легко зламати. Насправді ж це не так. Адже немає відомостей, які файли де розташовані. ПО в гостьовій системі не знає, що воно віртуалізовано. Лише володіючи правами адміністратора, можна все зламати», — розповів фахівець «Єврогазбанку».

Security Gateway VE базується на архітектурі програмних «лез» і дозволяє підприємствам застосовувати для захисту віртуальних середовищ ті ж гнучкі і всеосяжні системи безпеки Check Point, що використовуються в звичайних фізичних мережах: антивірус, антиспам, IPsec VPN, запобігання атак (IPS), захист від витоків (DLP), обмеження доступу до певних сайтів та ін. Всі вони ліцензуються окремо, т. е. у замовника є свобода вибору сервісів, що дозволяє оптимізувати функціональність шлюзу під поточні потреби.

У «базі» платформа маэ можливості брандмауера, захисту від L2 / L3 спуфинга віртуальних машин, віртуальних комутаторів і груп портів, а також фіксування подій vSphere у власній системі моніторингу SmartView Tracker.

Характерна особливість рішення — наявність технології VMSafe, що передбачає фільтрацію трафіку як на периметрі віртуалізованого сервера, так і всередині його. Застосування Fast Path агентів, які виступають своєрідною прошарком між гіпервізором і віртуальною машиною, вирішує проблеми інспекції трафіку між віртуальними машинами в межах одного L2-домену віртуалізованого хоста, а також дозволяє автоматично задіяти Переднастроєні політику безпеки для новостворюваних віртуальних машин, закріпити профіль безпеки за віртуальною машиною під час міграції. Крім того, глибока інтеграція з гіпервізором дозволяє запобігати спуфинг в рамках віртуалізованого хоста.

Ще одна відмінна особливість ПЗ полягає в тому, що захист віртуальної машини не припиняється навіть при переході з одного хоста на інший в режимі реального часу. Також Security Gateway VE підтримує технології VMware VMotion і DRS і політики безпеки для відкритих з’єднань. Все знову додані віртуальні машини автоматично потрапляють під захист Check Point Security Gateway Virtual Edition.

Природно, є централізована панель управління як для віртуальних, так і для фізичних серверів. Також є можливість розподіляти ролі між адміністраторами безпеки мережі та адміністратором віртуальних машин.

Правда, у рішення є і свої недоліки.

«Из-за новизны данного продукта, мы встретились с небольшими трудностями на этапе квотации, так как по мере работы возникали все новые и новые нюансы лицензирования. Всегда немного сложнее быть первым, в любом направлении, особенно если оно новое и малоизученное, но в итоге мы предложили самый оптимальный вариант, наиболее широко покрывающий существующую задачу, с минимально возможным вложением средств».Евгений Чулков

Именно это и сыграло ключевую роль при проведении тендерных торгов и позволило Integrity Systems опередить конкурентов.

Не отходя от кассы

Остановимся в двух словах на этапах прохождения проекта. Зимой 2011 г. было принято решение о модернизации ИТ-инфраструктуры «Еврогазбанка». В январе 2012 г. по спецификациям банка компании проведен тендер, по результатам которого победила компания Integrity Systems. В мае состоялась продажа оборудования и ПО, летом осуществлена поставка «железа», началась установка VMware ESXi с активным участием специалистов Integrity Systems (прежде всего в задаче объединения лезвий в кластер). В это время был выполнен полноценный анализ системы и проведено планирование архитектуры будущих виртуальных сред. На этом этапе были предусмотрены и вопросы безопасности.

Ближе к концу осени на собранном решении начался процесс обеспечения безопасности — внутренней и внешней (периметра). Старые серверы были переведены в режим резервного копирования на вспомогательной вычислительной площадке финансового учреждения. Эту часть работ выполняли сотрудники банка совместно с сертифицированными специалистами по ПО Check Point. Координировал процесс официальный представитель вендора в Украине. Наконец, в промышленную эксплуатацию система пошла в декабре прошлого года.

Подбивая баланс

По словам Николая Андрушко, хотя внедрение решения полностью закончено, но еще не все сервисы перенесены в отдельные DMZ, ведь банк не может остановить обслуживание клиентов. «О глобальном эффекте говорить еще рано. — сообщил он. — Оправдались ли ожидания? — однозначно да. Банк получил хороший промышленный инструмент, с помощью которого может решать вопросы, связанные с информационной безопасностью».

Так что на данный момент в «Еврогазбанке» на первом месте задача завершения миграции сервисов «под зонтик» ПО Check Point. «Между тем, жизнь не стоит на месте и возникают новые проблемы, которые мы надеемся решать с помощью внедренного решения, например, гео-фильтрации входящего интернет-трафика и т. п.», — поделился информацией CIO «Еврогазбанка».

С точки зрения интегратора, данный проект был интересен своей инновационностью, так как на рынке Украины он был первым для Check Point в своем роде и стал для компании своеобразным поворотным моментом для Украины, после которого защита виртуальных сред перестала быть чем-то из ряда вон выходящим и данное направление стало набирать обороты.