Инком завершила проект реализации BYOD для ПАО «Оболонь»

10 Июня, 2014 11:29
В условиях стремительного роста рынка мобильных устройств и технологий сотрудники ПАО "Оболонь" начали всё чаще использовать не только традиционные ПК и ноутбуки, но и работать с помощью личных планшетов и смартфонов. В этой ситуации ИТ-отдел компании столкнулся с типичной проблемой, когда, с одной стороны, необходимо обеспечить мобильность сотрудников и доступ к необходимой (в том числе и конфиденциальной) информации, а с другой стороны – контролировать периметр безопасности, который, в этом случае, оказывается, по сути, размытым и находится за пределами компании.

ПАО "Оболонь" – крупнейшая в Украине корпорация по выпуску пива, слабоалкогольных и безалкогольных напитков, минеральной воды. Ещё до получения Украиной независимости корпорация "Оболонь" первой начала экспортные поставки хмельного напитка в страны Европы и США. Пиво под торговой маркой "Оболонь" во всём мире стали воспринимать как традиционно украинское пиво.

Основные задачи проекта

  • контроль доступа пользователей (в том числе гостевого);
  • возможность саморегистрации пользователей;
  • автоматизация добавления новых устройств в сеть;
  • управление доступом на основе политик безопасности;
  • проверка соответствия персональных мобильных устройств и корпоративных рабочих станций (ПК) выбранным критериям безопасности;
  • обеспечение мобильности персонала в пределах предприятия;
  • возможность использовать как корпоративные устройства, так и личные в рабочих целях;
  • безопасный доступ к корпоративным ресурсам с помощью персональных мобильных устройств;
  • возможность разграничения доступа сотрудников к корпоративным ресурсам;
  • повышение уровня безопасности инфраструктуры предприятия;
  • оптимизация операций по обслуживанию сети.

Предпосылки проекта

Активное развитие бизнеса предприятия требует повышения эффективности работы сотрудников и возможностей для коммуникаций без нанесения ущерба безопасности.

В условиях стремительного роста рынка мобильных устройств и технологий сотрудники ПАО "Оболонь" начали всё чаще использовать не только традиционные ПК и ноутбуки, но и работать с помощью личных планшетов и смартфонов. В этой ситуации ИТ-отдел компании столкнулся с типичной проблемой, когда, с одной стороны, необходимо обеспечить мобильность сотрудников и доступ к необходимой (в том числе и конфиденциальной) информации, а с другой стороны –  контролировать периметр безопасности, который, в этом случае, оказывается, по сути, размытым и находится за пределами компании.

Таким образом, основной задачей проекта стало обеспечение безопасного защищённого доступа к корпоративной сети, используя беспроводное подключение и собственные мобильные устройства сотрудниками.

Для решения этой непростой задачи специалисты компании Инком совместно с инженерами заказчика реализовали концепцию BYOD, а именно – внедрили четыре из пяти её составляющие технологии:

  • беспроводные сети для подключения устройств в офисе;
  • добавление и обновление коммутаторов локальной сети для проводных соединений и поддержки беспроводных точек доступа;
  • сервисы автоматического добавления новых устройств и внедрения политик;
  • средства управления проводными и беспроводными сетями, а также идентификации с помощью единой панели администрирования.

На данном этапе заказчику не требовалась реализация VPN-соединения для подключения устройств за пределами офиса, но в требованиях указывалась возможность такой последующей реализации.

Ещё одной задачей проекта была проверка и оценка состояния оконечного узла (функционал posture): оценивается соответствие устройства требованиям политик безопасности, таким как наличие последних исправлений для операционных систем и пакета антивирусного программного обеспечения с самыми последними и актуальными антивирусными базами. Ориентировочное количество пользователей в корпоративной сети – до 600 человек и до 100 мобильных пользователей.

Техническое решение

В ходе реализации концепции BYOD для ПАО "Оболонь" использовано различное оборудование:

  • точки доступа серии 3602;
  • контроллеры точек доступа серии 5508;
  • платформа приложений Cisco Mobility Services Engine (MSE) для реализации функционала Wireless IPS;
  • платформа политик безопасности Cisco Identity Services Engine (ISE);
  • система управления сетевым оборудованием Cisco Prime Infrastructure (PI);
  • коммутаторы для подключения точек беспроводного доступа.

В качестве беспроводных клиентов используются смартфоны и планшеты на базе операционных систем Android, iOS.

Для построения беспроводной сети передачи данных были выбраны точки доступа Cisco корпоративного класса AIR-CAP3602I-E-K9 с поддержкой технологий CleanAir, ClientLink, VideoStream и возможностью поддержки стандарта IEEE 802.11ac путём установки отдельного модуля, что позволяет защитить инвестиции этого проекта в будущем.

В решении используется архитектура построения беспроводной сети с двумя контроллерами в отказоустойчивой схеме подключения для централизованного управления точками доступа и радиосредой в реальном времени.

Для защиты беспроводной сети передачи данных применена технология Cisco Adaptive Wireless Intrusion Prevention System на платформе Mobility Services Engine, которая предоставляет следующий функционал:

  • система предотвращения вторжений в беспроводных сетях;
  • система мониторинга, оповещения, классификации угроз для комплексной профилактики защиты беспроводной сети;
  • предотвращение работы несанкционированных точек доступа;
  • Air/RF detection – нахождение несанкционированной точки доступа методом перехвата сообщений 802.11 несанкционированной точки доступа;
  • Wire detection – механизм определения места подключения несанкционированной точки доступа в проводную сеть;
  • Rogue AP isolation – механизм блокировки несанкционированной точки доступа для предотвращения подключения к ней беспроводных пользователей.

Ключевым компонентом решения стала платформа Cisco Identity Services Engine, предназначенная для контроля доступа на основе политик с поддержкой идентификации устройств и пользователей, обеспечивающая соблюдение нормативных требований, повышающая безопасность инфраструктуры и оптимизирующая операции обслуживания.

Результаты проекта

Применение предложенного компанией Инком решения обеспечило ряд важнейших преимуществ как для самих пользователей, так и для ИТ-специалистов, сопровождающих работу сетевой инфрастраструктуры компании.

Среди преимуществ, которые получил заказчик, можно выделить следующие:

  • мониторинг любого устройства, получающего доступ к сети;
  • возможность блокирования нежелательных устройств;
  • автоматизация внедрения политик для устройств в сети, в том числе добавление личного смартфона или планшета сотрудника;
  • изменение прав доступа каждого пользователя к ресурсам согласно его роли, в зависимости от типа используемого устройства и способа подключения к сети;
  • проведение оценки состояния стационарных ПК: оценивается соответствие устройства требованиям политик безопасности, таким как наличие последних исправлений для операционных систем и наличие пакета антивирусного программного обеспечения с самыми последними и актуальными антивирусными базами. Развитая система оценки состояния оконечных устройств позволяет выполнять проверку файловых переменных (версия, дата и т. д.), реестра (раздел, значение и т. д.) и приложений.

Для управления проводными и беспроводными сетями была выбрана система Cisco Prime Infrastructure, применение которой упростило управление и мониторинг сети, а также повысило эффективность эксплуатации инфраструктуры.

Благодаря внедрённому решению удалось повысить уровень безопасности инфраструктуры предприятия и оптимизировать операции по обслуживанию сети.

Алексей Чечик, директор поинформационным технологиям ПАО "Оболонь", отметил: «Желая повысить продуктивность работы, и в то же время создать более комфортные условия для персонала, при этом сохранить безопасность инфраструктуры, мы пришли к необходимости внедрения соответствующего технологического решения. Стоит отметить, что реализация проекта стала возможной благодаря слаженной работе инженеров компании Инком с нашими специалистами».

Алексей Севонькин, директор департамента телекоммуникации компании Инком, дополнил: «Отталкиваясь от бизнес-потребностей заказчика, компания Инком предложила, на наш взгляд, лучшее решение поставленной задачи, обеспечив все ключевые требования, в том числе и на стыке между мобильностью сотрудников и корпоративной безопасностью. Для такого рода решений очень важен выбор как производителя, так и интегратора, который сможет гарантировать работоспособность систем, интеграцию с существующими корпоративными сервисами, а также последующую поддержку. В результате проекта команда компании Инком успешно реализовала для ПАО «Оболонь» концепцию BYOD, обеспечив интеграцию целого ряда подсистем между собой, а также предоставив широкие возможности по последующему расширению системы как с точки зрения количественных, так и функциональных характеристик».


Комментарии:

НОВЫЕ СТАТЬИ

Представлен «Самый быстрый Firefox»
Иван Николенко 16 Ноября 10:13
В интернете появился поддельный Windows Movie Maker
По материалам ESET 10 Ноября 12:11