Bezpečnost sítě: Jak jsme zastřešili infrastrukturu Golden Gate

Golden Gate je lídrem na českém trhu s investičními kovy. Klientům nabízí kompletní servis včetně poradenství a rozvoje v oblasti finanční gramotnosti. Mimo to aktivně přispívá ke vzdělávání veřejnosti a poskytuje informace o aktuálním dění na finančních trzích.

Aby mohli být poradci svým klientům co nejblíže, vybudovala společnost rozsáhlou síť poboček po celé České republice. V otázce firemní kyberbezpečnosti se ale její rozlehlost ukázala jako výzva. Vzhledem k povaze a citlivosti transakcí, které v Golden Gate zpracovávají, kladli na bezpečnost od počátku maximální důraz.

S čím se správci IT infrastruktury v Golden Gate potýkali?

• Nehomogennost: každá pobočka využívala připojení od jiného poskytovatele. Výsledkem bylo nasazení různých typů technologií, wi-fi a síťových prvků. Firemní síť tak byla roztříštěná a bylo obtížné ji spravovat centrálně.
• Nedostatečná segmentace: všichni návštěvníci, ať už zaměstnanci nebo hosté, používali stejnou wi-fi. Přihlášení uživatelé tak mohli přistupovat k nastavení sítě a ovlivňovat její provoz.
• Nevhodná technologie: celá síť poboček byla řízena routerem, jehož technické parametry nebyly vhodné pro velikost podniků typu Golden Gate a nechránily infrastrukturu před pokročilými hrozbami.
• Obtížný monitoring: kvůli výše zmíněným bodům měli správci omezený vhled do provozu sítě a nemohli sledovat podezřelou aktivitu.

Revize řešení z pohledu kyberbezpečnosti

S narůstajícím počtem poboček si management začal uvědomovat svou zranitelnost vůči nejnovějším hrozbám a potřebu posílit zabezpečení sítě. To bylo navíc potřeba řešit i s ohledem na implementaci směrnice NIS2, která nastoluje přísnější požadavky na firemní kyberbezpečnost.

Padlo proto rozhodnutí obrátit se na odborníky ze společnosti Valvera. Ta se specializuje na zajištění podnikové kyberbezpečnosti, a to s využitím špičkových technologií Fortinet. Pro Golden Gate navrhli řešení, které aktuálně běží v datacentru MasterDC.

Customizované řešení s využitím FortiGate

„Po prozkoumání stávající infrastruktury jsme Golden Gate doporučili postavit homogenní síť s využitím Fortinet Security Fabric,“ přibližuje začátek spolupráce obchodní ředitel Valvery Filip Těhník. „Jedná se o integrovaný systém, který kombinuje různé bezpečnostní technologie a komplexně pokrývá všechny aspekty síťové bezpečnosti. Je postaven na řídicím zařízení FortiGate, tedy nejmodernějším firewallu typu Next Generation Firewall,“ pokračuje Těhník.

V původním řešení byl na centrále nasazen router se stavovým firewallem, který má omezené schopnosti detekce moderních útoků. FortiGate je naopak navržen tak, aby zachycoval pokročilé hrozby, prováděl hloubkovou analýzu provozu a zvládal zpracovávat objemné datové toky. Je proto ideální k propojení firemních poboček jako v případě Golden Gate. O srovnání jednotlivých typů firewallů si můžete přečíst v článku FortiGate, pfSense a MikroTik: jak fungují firewally a který si vybrat?

Jednotná technologie a segmentace sítě

Zavedení nového síťového řešení proběhlo ve dvou fázích. Nejprve společnost Valvera pořídila a nakonfigurovala potřebný hardware, poté následovala jeho instalace na jednotlivých pobočkách. Aby nebyl narušen provoz pracovišť, probíhaly všechny technické úkony mimo otevírací dobu a samotná instalace netrvala déle než 15 minut.

Nyní centrálu Golden Gate řídí hlavní firewall FortiGate 100F. Provádí bezpečnostní kontrolu provozu celé sítě a všech instalovaných technologií. Na pobočkách se využívají zařízení FortiGate 40F, která jsou přes tunely napojena na hlavní technologii.

Rychlá a spolehlivá konektivita je zajištěna moderními síťovými přepínači FortiSwitch a o snadné připojení koncových zařízení (kamerové systémy, stolní počítače nebo telefony) se starají varianty POE switchů. S cílem dosáhnout efektivnějšího řízení provozu je síť na každé pobočce segmentována do samostatných VLAN (Virtual Local Area Networks).

Rovněž proběhly úpravy v nastavení wi-fi. K oddělení vnitřního provozu od vnějšího došlo k rozdělení sítě na dvě části – jednu pro zaměstnance a druhou pro hosty. Pro zajištění dostatečného pokrytí signálem pak na pobočkách bylo nasazeno odpovídající množství wi-fi přístupových bodů FortiAP.

Bezpečný housing v MasterDC

Pro bezproblémové fungování sítě bylo potřeba zajistit optimální podmínky k provozu nasazených technologií. Při návrhu řešení proto vyvstala otázka: kam umístit centrální hardware FortiGate, který je využíván ke správě celé sítě?

„Volba jednoznačně padla na MasterDC. Díky dlouhodobé spolupráci víme, že se na jejich tým adminů můžeme vždy spolehnout a že jejich technické zázemí je na nejlepší úrovni. Nebyl důvod přecházet k jinému poskytovateli,“ říká Těhník.

Pro lepší představu si můžete prohlédnout infrastrukturu sítě Golden Gate v následujícím schématu.

Benefity po implementaci: lepší zabezpečení a správa bez starostí

Nové řešení bylo nasazeno na 23 pobočkách Golden Gate a dle dosavadních zkušeností jsou jeho největšími přínosy:

• Kompletní servis: Celá technologie je dodávána jako služba. To zahrnuje její správu, aktualizace, zálohování a tým techniků, který je Golden Gate vždy k dispozici. Služba je poskytována s vysokou dostupností (HA) a v případě potřeby jsou zabezpečeny náhradní technologie.
• Vyšší zabezpečení: Produkty společnosti Fortinet jsou známé svou robustností a unikátním technologickým přístupem ke kyberbezpečnosti. V nezávislých srovnávacích testech se mezi konkurencí často umisťují na prvním místě.
• Propojenost technologií: Na rozdíl od původního řešení jsou nyní všechny technologie schopny navzájem komunikovat a předávat si informace. V případě útoku nebo jiné zranitelnosti budou o problému informovány i ostatní pobočky a nemusí tak dojít k ohrožení celé sítě.
• Centralizace: Síť Golden Gate je řízena z hlavního hardware umístěného v datacentru MasterDC. Díky tomu mají správci sítě větší kontrolu nad jejím provozem a lepší možnosti monitoringu.

A co na vybudování nové síťové infrastruktury říká společnost Golden Gate? „Profesionální zabezpečení sítě nám přináší jistotu a klid v našem každodenním provozu. Nemusíme se starat o žádné technické problémy a můžeme se plně soustředit na poskytování našich služeb,“ komentuje zakladatel a obchodní ředitel Golden Gate Pavel Ryba.