Поглощения и слияния Cisco – доступы к корпоративным ресурсам

Информационная безопасность стоит у компании на одном из ведущих мест, чтобы безболезненно довести сети поглощаемой компании до стандартов Cisco, проводится целый ряд мероприятий. Однако сначала на все рабочие места сотрудников поглощаемой компании устанавливается VPN-клиент Cisco AnyConnect для доступа к внутренним ресурсам. Все внешние сети при этом автоматически считаются ненадежными и трафик из них подлежит фильтрации.

Ко всем внешним подключениям по требованиям политики безопасности автоматически применяется режим split tunneling, который накладывает запрет на одновременное использование корпоративной сети и интернет. Несмотря на некоторое неудобство для пользователей, она на порядок увеличивает защищённость внутренних сетей.

В результате значительно замедляется работа сотрудников, которым необходимо получать данные как из корпоративной сети, так из вне ее.

Сетевой шлюз C-Bridge

Поэтому инженеры Cisco разработали сетевой шлюз C-Bridge, в котором соединены маршрутизаторы и средства защиты Cisco, что позволяет получить защищенное высокоскоростное подключение с возможностью полного мониторинга трафика. Данное решение идеально подходит для подключения удаленных неавторизированных площадок либо с отсутствующими (недостаточными) мерами безопасности.

По своей сути, C-Bridge является комплексным решением, которое обеспечивает надежную идентификацию пользователей и клиентских станций, предоставляет доступ авторизированным пользователям к корпоративным ресурсам Cisco. При необходимости возможно предоставление доступа к облачным сервисам.

В конструктивном исполнении C-Bridge представляет собой стандартную стойку высотой 20U с размещенным оборудованием высотой 16U и резервным пространством для дополнительных модулей. Большая часть установленного оборудования отвечает за безопасность передаваемой информации, идентификацию пользователей и организацию высокоскоростных и безопасных каналов передачи данных. Также в режиме реального времени проводится мониторинг всего входящего и исходящего трафика.

Фактически в стойке установлены два маршрутизатора Cisco с функцией роутера, коммутационный свич Cisco Catalist 3850 Switches либо аналогичный. В блоке безопасности расположены Cisco FirePOWER 7150, NetFlow 3340 и StealthWatch Flow. Управляет и координирует работу оборудования стоечный сервер Cisco UCS.

Принцип работы

Так как C-Bridge является шлюзом, весь поток данных проходит через него, отсекая недоверенную площадку от внутренней сети. Удаленные пользователи недоверенной сети подключаются через AnyConnect непосредственно к шлюзу, а оттуда получают доступ к своей либо корпоративной сети.

Доступ к корпоративным ресурсам Cisco реализовывается посредством туннелирования DMVPN, причем трафик к облачным сервисам, да и всему интернету предоставляется напрямую, минуя защищенные сети. Получается, что весь обмен данными проходя через C-Bridge, анализируется на наличие вредоносного кода, фильтруется в соответствии с правилами информационной безопасности и доступен для мониторинга в режиме онлайн.

Кроме программной защиты шлюза C-Bridge применяются и механические. От вмешательства в работу системы защищают два механических замка, снаружи и внутри стойки. Уникальность конструкции позволяет проводить подключение новых пользователей к сети без открывания стойки, а система вентиляции защищает все оборудование от перегрева.

В чем положительные моменты внедрения C-Bridge на начальных этапах интеграции:

• Скорость. Пользователи практически сразу могут работать одновременно с корпоративными ресурсами и своими сетями, сокращая время интеграции.
• Масштабируемость. Несколько модулей C-Bridge можно установить на одной или разных площадках.
• Информационная безопасность. Сотрудники отдела ИБ получают возможность отслеживать трафик объединенных сетей для локализации возможных угроз.

По завершению объединения сетей C-Bridge удаляется, так как единой сети уже не требуется дополнительные защитные механизмы.