Не так давно в Банке Хоум Кредит был успешно завершен проект по внедрению системы управления доступом в Интернет на базе программно-аппаратных комплексов Blue Coat Proxy SG 510-10 и Blue Coat Proxy AV 1200-A. Работы, которые велись совместно с интегратором Инфосистемы Джет, продолжались в течение 3,5 месяцев. Почему решили пойти именно таким путем? Об этом мы беседовали с Дмитрием Хабаровым, начальником отдела безопасности ИТ, менеджером данного проекта со стороны банка.

Intelligent Enterprise: Какой была ситуация до внедрения Blue Coat? Что использовалось, почему от этого решения пришлось отказаться? Кто был инициатором проекта: владельцы, менеджемент, ИТ- или ИБ-служба?

Дмитрий Хабаров: Мы использовали для организации доступа в Интернет прокси-сервер Microsoft ISA 2006. Этот продукт в стандартной конфигурации предполагает только минимальную защиту и контроль над действиями пользователей и трафиком. Кроме того, все такие продукты требуют регулярной перенастройки, поскольку пользователи находят всевозможные лазейки для обхода выставленных ограничений и, таким образом, корпоративные политики перестают соблюдаться.

К тому же наш банк активно развивался. С 2010 г. количество офисов банка увеличилось почти на 1000, а численность персонала на 50%. Такой серьезный рост бизнеса и связанный с ним рост количества клиентов и сотрудников породил задачу оптимизации политики доступа в Интернет, усиления контроля и обеспечения безопасности.

Решение по внедрению средства, которое могло бы решить поставленные задачи, было принято совместно департаментами ИТ, ИБ и защиты бизнеса. Оно вызрело в результате той ситуации, которая возникла вследствие роста банка, с одной стороны, и количества угроз, связанных с использованием публичного Интернета, — с другой. Оно было поддержано руководством банка, после чего начались, если можно так сказать, изыскательские работы по выбору конкретного решения.

При выборе такого решения учитывались следующие основные критерии:

  • обеспечение гибких политик доступа в Интернет, когда различные ресурсы категорируются по матрице доступа с возможностью перенаправления с одних ресурсов на другие или их блокирования;
  • усиление безопасности работы в Интернете (защита от вредоносного ПО, мошенничества с использованием фишинга, предотвращение утечек информации и т. д.);
  • наличие средств контроля работы пользователей;
  • возможность получения отчетности по использованию Интернета.

Почему выбран именно BlueCoat? Какие были другие варианты, почему они не подошли?

BlueCoat представляет собой целостное решение. Это комплекс программ и аппаратно-программных компонентов enterprise-уровня. Развертывание программного продукта требует выделения соответствующих аппаратных средств и чревато возникновением проблем. Например, далеко не редкость различного рода конфликты с компонентами ОС, вероятность которых к тому же очень трудно предсказать. Тем более что к этой самой несовместимости может приводить установка очередного патча или комплекта обновлений. Да и настройка чисто программных решений, как правило, не отличается гибкостью и при этом весьма трудоемка. В итоге ни одно из такого рода средств нам не подошло.

Помимо Blue Coat Proxy SG 510-10 и Blue Coat Proxy AV 1200-A мы рассматривали и другие решения аналогичного класса. Однако по соотношению цены и возможностей эти решения оказались оптимальными. Также приятным дополнением стала возможность использования BlueCoat Client (BCC) — ПО, позволяющего контролировать доступ пользователей к ресурсам Интернета вне корпоративной сети банка. И это решение оказалось весьма полезным, так как некоторые региональные подразделения не подключены к нашей сети и не управляются внутрибанковским средствам контроля доступа к Интернет. Скоро корпоративные политики доступа в Интернет будут работать одинаково для всех пользователей, вне зависимости от того, входят они в корпоративную сеть или нет. Помимо этого, с помощью данной системы нам удалось обеспечить разграничения доступа и для такого популярного продукта, как Skype. Проблема контроля над Skype-трафиком для нас стояла довольно остро, поскольку внеш­не он сильно похож на обычный HTTPS-трафик. Средствами Microsoft ISA нам не удавалось выделить такой трафик из общего сетевого потока, что влекло за собой значительные риски утечки информации. Используя возможности BlueCoat Proxy SG в отношении анализа проходящего через него сетевого трафика, нам удалось обнаружить и блокировать нелегитимный Skype-трафик.

Внедрение потребовало некоей подготовительной работы. В чем она заключалась, сколько времени заняла?

В процессе реализации этого проекта большую часть времени заняли подготовительные работы. Предпроектная деятельность также заняла довольно продолжительное время: была развернута пилотная зона, на которой тестировались все возможные тонкости работы комплекса, с которыми мы могли столкнуться при миграции с ISA на BlueCoat Proxy SG. Ведь процесс миграции серьезно осложняло то обстоятельство, что у нас два ЦОД. Причем основной находится в Обнинске. В результате переход с ранее используемого решения потребовал серьезной работы по расчетам на уровне сетевой инфраструктуры.

На данной фазе мы собрали статистику использования интернет-ресурсов, выделен пользовательский, бизнес-трафик и трафик, используемый финансовыми службами, совместно были разработаны и внедрены политики доступа пользователей к интернет-ресурсам, выполнены необходимые настройки оборудования и проведена их интеграция с существующей ИТ-инфраструктурой и системами информационной безопасности банка. В этом нам помогли специалисты компании «Инфосистемы джет».

Кто и как проводил сайзинг решения, установленного в банке?

Эту часть работ мы провели самостоятельно. Мы подсчитали буквально «по головам» количество пользователей, проанализировали статистику использования сети, которую нам могла предоставить ISA. Данные сведения, с поправкой на дальнейший рост числа сотрудников банка, и дали нам базу для того, чтобы провести вычисления по лицензированию решения Blue Coat. При этом наиболее важный параметр — число одновременных сессий, а не объем трафика. Прогноз мы сделали на ближайший год.

Как шли работы по непосредственной установке и настройке комплекса?

Основная часть наиболее сложных работ мы провели в пилотной фазе. В итоге основная часть работ прошла без особых проблем и связанных с ними задержек. Хотя полностью безоблачным процесс внедрения не был. В ряде случаев приходилось возвращаться на шаг назад. Переключение в «боевой» среде не всегда проходило так, как мы хотели. Возникали различные нюансы, которые требовали отладки.

Важно отметить, что в ходе работ по внедрению не было никаких проблем, связанных со взаимодействием различных подразделений внутри банка. Это связано прежде всего с хорошей организацией самого процесса внедрения. Так, уже на стадии бюджетирования были выделены все необходимые ресурсы, включая не только финансовые, но и людские, причем из всех подразделений, задействованных в ходе проекта. Такой подход позволил нам реализовать проект максимально гладко.

Какого эффекта удалось достигнуть в ходе внедрения? Насколько оправдались ожидания, которые были до начала работ по проекту?

Все, чего мы хотели, мы получили по результатам данного проекта. Это касается и обеспечения гибкости политик доступа, и повышения уровня безопасности. И, что самое главное, все преимущества мы получили без всякого ущерба для удобства использования. Обычно, что скрывать, внедрение практически любого решения, связанного с повышением уровня безопасности, понижает уровень удоб­ства. Вопрос лишь в том, в какой степени.

Более того, внедрение продуктов Blue Coat привело к повышению скорости обработки запросов. Ведь эти решения являются также и WAN-оптимизаторами. Они используют технологии кеширования, причем более эффективные, чем ISA. В итоге мы отметили заметное, на уровне 30%, снижение объемов входящего интернет-трафика. Кроме того, внедрение Blue Coat способствовало снижению трудозатрат на поддержку сервиса прокси, что позволило перенаправить сотрудников на решение других насущных задач.

Сейчас говорят, что традиционные решения обеспечения безопасности, как программные, так и программно-аппаратные, не слишком хорошо адаптированы для работы в виртуализированных и облачных средах. Так ли это?

Продукты Blue Coat сами используют облачные технологии для решения целого ряда задач, в частности, связанных с категоризацией различного рода ресурсов Интернет. Запросы на доступ к тому или иному ресурсу направляются в некий облачный центр. То же самое касается и средств защиты от вредоносного ПО. Ведь любой современный антивирус является облачным. Именно через облака происходит обмен сигнатурами всевозможных зловредов, что существенно снижает время реакции на появление новых угроз. Во многом благодаря этому мы забыли, что такое масштабные эпидемии, которые еще несколько лет назад запросто могли парализовать целую страну или даже мировой регион.

Хотя это порождает вопросы, в том числе и связанные с обеспечением безопасности. Ведь доступ к информации получает некая третья сторона, которая не является доверенной. А то, какие ресурсы посещают сотрудники, — довольно чувствительная информация, которая существенно облегчает решение многих задач для потенциального злоумышленника и облегчает конкурентную разведку. В итоге мы максимально, насколько это возможно для нормальной работы систем, ограничили взаимодействие с облаком. Так, например, мы отключили функцию передачи туда отчетов.

Что же касается готовности к использованию в частных облаках, то этот вопрос не стоит. Blue Coat является, вообще говоря, прокси-сервером, осуществляющим доступ в Интернет. Тут никаких проблем нет. Скорее даже наоборот — использование такого ПО существенно упрощает решение многих задач, связанных с внедрением виртуализации и частного облака.

Каковы планы дальнейшего развития проекта?

Как я уже говорил, мы планируем распространить использование Blue Coat на те филиалы, которые пока не подключены к корпоративной сети. Для этого собираемся использовать клиентское ПО. К тому же любое решение требует постоянной оптимизации, и Blue Coat — не исключение. Хотя, надо отметить, это требует меньших трудозатрат, чем раньше. Однако политики доступа все равно периодически приходится менять, причем делать это нужно постоянно: одни угрозы сходят на нет, зато появляются новые. Не дают расслабиться и производители ПО. Например, один только протокол Skype меняется по нескольку раз в год, и любое такое изменение требует изменения политик. То же самое относится и к многим программам мгновенного обмена сообщениями. Оптимизация нужна и для того, чтобы добиться повышения удобства работы. Ведь решение внедрялось не для ограничения пользователей.