Подсистема защиты информации от несанкционированного доступа, обеспечивающая безопасное взаимодействие между всеми филиалами и ЦОДами РСХБ

получить Консультацию
Направления
Средства защиты информации
Год
2023 год
Срок реализации
1 год
Заказчик С-Терра СиЭсПи

Поставленные задачи

ИТ-задача

  • Использование оборудования и ПО только из реестров Минцифры и Минпромторга.
  • Единое централизованное управление всем парком устройств (более 1,5 тыс.).
  • Поддержка динамического построения крипто-туннелей.
  • Поддержка протоколов статической и динамической маршрутизации.
  • Поддержка отечественных алгоритмов шифрования и наличие сертификата соответствия ФСБ России
  • Обеспечение требуемой производительности для разных типов объектов информатизации.

Ограничения проекта

Решение должно быть построено на оборудовании российского производства. Должна быть обеспечена отказоустойчивость в рамках ЦОДа и между ЦОДами. Отсутствие дублирования устройств и транзитного трафика на уровне филиала. Один сервис провайдер должен иметь все точки подключений. Все объекты инфраструктуры должны иметь прямой доступ в ЦОДы. Все объекты должны строить динамические крипто-туннели между собой при необходимости.

Решение

Исходя из требований заказчика было выбрано решение от компании ООО «С-Терра СиЭсПи», которое базируется на технологии DMVPN (Dynamic Multipoint  Virtual Private Network  — динамическая многоточечная виртуальная частная сеть) — технология для создания виртуальных частных сетей с построением динамических туннелей между узлами взаимодействия и основывается на совместной работе протоколов разрешения шлюза NHRP (Next Hop Resolution Protocol), протокола туннелирования  mGRE (multipoint Generic Routing Encapsulation), шифрования  IPSec (сокращение от IP Security — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP) и протоколов динамической маршрутизации: OSPF, BGP и других.

Для обеспечения безопасности и выработки ключевых материалов решение строится с использованием инфраструктуры открытых ключей (ИОК, англ. PKI — public key infrastructure).

IPSec туннелирование и шифрование строится с использованием алгоритма ГОСТ Р 34.12-2015 «Кузнечик». За распространение маршрутной информации между узлами инфраструктуры отвечает протокол BGP (Border Gateway Protocol).


Применяемые решения

DMVPN

технология, предназначенная для создания виртуальных частных сетей с построением динамических туннелей между узлами взаимодействия.

Результаты проекта

  • Полностью импортозамещенное решение.
  • Соответствие инфраструктуры Банка требованиям регуляторов
  • Шифрование отечественным алгоритмом шифрования «Кузнечик»
  • Уменьшение времени приема-передачи между источником и получателем сервиса
  • Простота настройки и масштабирования
  • Сокращение точек отказа при информационном взаимодействии
Новая архитектура решения позволит получить прямые доступы к сервисам в ЦОДах банка и между узлами сети, что в свою очередь приведет к уменьшению времени задержки между источником и получателем сервиса. Она позволит уменьшить расходы на аренду каналов связи за счет оптимизации стоимости услуг интернет сервис провайдеров (меньше расходуется канал в центре); позволит сократить время ввода новых узлов в инфраструктуру, простоту масштабирования, отказоустойчивость и резервирование за счет применения динамических подходов и протоколов, что в свою очередь снизит нагрузку на эксплуатацию.

Получите консультацию по продуктам и решениям «Кросс технолоджис»

Свяжитесь с нами любым удобным способом, и наш специалист ответит на все возникшие вопросы

Напишите нам