Рынок корпоративной информационной безопасности переживает этап активного пересмотра используемых технологий и решений. Международная логистическая компания с распределенной ИТ-инфраструктурой реализовала проект по замене зарубежного облачного решения для безопасного доступа Zscaler на альтернативное решение, обеспечив при этом непрерывность бизнес-процессов и сохранение высокого уровня защиты. Читайте об этом в кейсе.
Поиск решения для оптимизации
Заказчик использовал решение от Zscaler для удаленного доступа и защиты удаленных и локальных корпоративных пользователей. Однако при его эксплуатации компания отмечала нестабильную и замедленную работу сервиса на территории РФ.
Бизнес-процессы компании сильно зависели от работы зарубежного продукта, а полная остановка сервиса могла парализовать работу всего российского подразделения. Так компания приняла решение найти надежное отечественное решение, на которое можно было бы мигрировать ИБ-инфраструктуру для исключения всех вышеупомянутых рисков.
Для реализации этой задачи заказчик обратился к экспертизе компании ICL Services, которая ранее уже успешно проводила замещение инфраструктурного решения SD-WAN по сервисной модели и имеет многолетний опыт работы с решениями для кибербезопасности на зарубежном рынке.
Этапы проекта
1. Изучение инфраструктуры и анализ доступных решений
Проект стартовал с детального анализа текущей ИТ-среды и требований бизнеса. Команда рассмотрела несколько принципиально разных решений, но в финальный список вошли только те, которые соответствовали реальным сценариям использования и требованиям по отказоустойчивости.
В качестве базовой платформы было выбрано решение Kaspersky SD-WAN, способное выполнять функции безопасного удаленного доступа и защиты трафика с возможностью масштабирования.
2. Разработка архитектурного решения и плана миграции
До начала промышленной эксплуатации заказчик захотел увидеть, как работает решение в «продуктивной» инфраструктуре, а не на изолированном примере. Такой подход потребовал глубокой проработки интеграционной составляющей еще на стадии пилота.
3. Пилотирование
Здесь было реализовано проведение пилота выбранного решения на инфраструктуре и АРМ пользователей с учетом особенностей бизнес-процессов компании. Во время тестового внедрения были показаны преимущества решения от ICL Services.
Часть требований было скорректировано заказчиком после ознакомления с решением. Пилотное внедрение было фактически «продуктивным» внедрением, так как требовало реальной интеграции с корпоративными сервисами.
4. Разработка и тестирование сценариев автоматизации для миграции
Отдельной непростой задачей была миграция конечных пользователей на новое решение. Требовалось подготовить сценарии автоматизации удаления старого решения и конфигурирования нового. Подготавливались инструкции для пользователей и линий поддержки.
5. Интеграция с Active Directory
Полноценная интеграция с «глобальным» доменом компании стала возможна только после выхода проекта из пилотной стадии и появлении первых пользователей.
6. Масштабирование инфраструктуры
Решение является аналогом Zscaler и позволяет проводить горизонтальное и вертикальное масштабирование. В ходе реализации этапа были проведены необходимые тесты отказоустойчивости и автоматизации переключений кластера. Заказчику понравилось решение и в ходе реализации масштаб работ был увеличен более чем в 3 раза (с 1000 до 2500 пользователей).
7. Массовая миграция пользователей
По мере миграции возникал стек задач и конфигураций уникальных для данного пользователя. Были выделены дополнительные ресурсы, чтобы пользователи не ощущали задержки в реакции из-за повышенной нагрузки на службу поддержки.
Также в ходе проекта произведена интеграция инфраструктуры заказчика с сервисами, а именно:
- шлюзом удаленного доступа в отказоустойчивом исполнении для 1500 пользователей, работающих удаленно. Для усиления защиты была внедрена мультифакторная аутентификация;
- системой защиты веб-трафика для 2500 хостов в отказоустойчивом и масштабируемом кластере. Для защиты была внедрена прозрачная аутентификация на основе Active Directory Kerberos.
Итоги и перспективы проекта
Так компания не просто отказалась от использования зарубежного облачного сервиса, снизив риски санкционных ограничений, но получила новую архитектуру безопасного доступа, полностью контролируемую внутри своей инфраструктуры и не зависящую от зарубежного провайдера. При этом ключевые принципы — сегментация, проверка пользователей и устройств, централизованное управление политиками — были сохранены и адаптированы под текущие требования бизнеса.
Дополнительным эффектом проекта стала большая прозрачность процессов информационной безопасности: заказчик получил расширенные возможности мониторинга и контроля.
Ситуация с заменой решений по типу Zscaler сегодня характерна для многих крупных компаний. Организации переходят от зависимости от зарубежных облачных провайдеров к построению управляемых архитектур безопасности с опорой на локальные решения и собственную экспертизу.
Опыт проекта ICL Services показывает, что грамотная архитектура и поэтапная миграция позволяют заменить критически важные сервисы без ущерба для бизнеса.