A magas szintű rendelkezésre állás egy állami intézmény informatikai infrastruktúrája esetében, amely például az állampolgárok adatainak feldolgozásával foglalkozik, mindig kiemelt szerepet játszik: ezek a rendszerek egy pillanatra sem mondhatnak csődöt. Veszprém Megyei Jogú Város (VMJV) Polgármesteri Hivatala ezért a NETASQ IPS tűzfalaival erősítette meg egységesített hálózatának védelmi rendszerét.
Az intézmény informatikusai a NETASQ tűzfalaival egy ingyenes teszthónap keretén belül ismerkedtek meg, és már ekkor meggyőződtek arról, hogy a rendszer meghibásodása esetén megszakítás nélkül képes átvenni a hálózatvédelmi feladatokat. A NETASQ megoldása nem csak a rendelkezésre állás szintjének növelésében, de a szabadalmaztatott SEISMO kockázatmenedzsment eszköznek köszönhetően a hálózat auditálásában és a sebezhetőségek javításában is hatékony segítséget nyújt a szakembereknek. A termékhez nyújtott magyar nyelvű támogatási szolgáltatás és a tanácsadás minősége a kapcsolatfelvétel pillanatától fogva egyedülállóan színvonalas, hiszen már a tesztidőszakban minden részfeladatra kiterjedő segítséget megkaptak a hazai és a külföldi NETASQ szakmai csapattól egyaránt.
Igények: megnövelt biztonsági és rendelkezésre állási szint
Veszprém Megyei Jogú Város Polgármesteri Hivatal informatikai csoportja a hivatal informatikai feladatainak ellátásáért felelős, többek között felügyelik azt a pénzügyi szakrendszert, amelyet 12 közintézmény VPN kapcsolaton keresztül használ. Az informatikai csoport az egységesített hivatali hálózat biztonsági és a rendelkezésre állási szintjét az elavult layer 3 tűzfal helyett új layer 7 eszköz üzembe helyezésével kívánta jelentősen növelni. A feladat ellátásához olyan hibatűrő hardveres megoldást kerestek, amely képes átvenni a tűzfal szerepkörét szükség esetén úgy, hogy egy eszköz kiesése esetén azonnal működőképes állapotba kerüljön vissza a rendszer. További kritériumként merült fel, hogy a termékhez színvonalas, de elérhető árú hazai támogatást biztosítsanak. A beszerzés során a NETASQ, a Cisco és a D-Link termékeit vizsgálták meg. A választás a NETASQ U sorozatú, teljes körű hálózati védelmet biztosító behatolásvédelmi tűzfalra esett, a termék jó ár-érték aránya és a támogatási szolgáltatás páratlan színvonala miatt. A szintén megvizsgált Cisco ASA tűzfal hasonló színvonalú terméktámogatással rendelkezik, de az ár-érték aránya nem volt a hivatal számára megfelelő, a D-Link megoldás tudása pedig nem felelt meg az elvárásoknak.
„A vállalat egy tesztkészüléket bocsátott ingyenesen a Veszprémi Polgármesteri Hivatal rendelkezésére. Az egy hónapos tesztelési folyamat végén kapott eredmények azt mutatták, hogy a NETASQ IPS tűzfalak a hazai piacon jelenleg elérhető legjobb ár-érték arányú megoldások” – mondta Maléth György, a VMJV Polgármesteri Hivatal informatikusa. „A tűzfalak duplikálásával maximálisra növeltük a hálózat rendelkezésre állását, és olyan magas szintű, EU és NATO minősített biztonságot tudunk garantálni, amit elvárnak tőlünk az állampolgárok adataik kezelése során. A tűzfal beszerzésének köszönhetően a NETASQ hazai képviseletében egy olyan partnerrel kerültünk kapcsolatba, amely kiemelkedően jó támogatást biztosít termékéhez: többek között rendszeres, a gyártó által szervezett oktatásokon is részt vehetünk” – tette hozzá Maléth.
Megoldás: NETASQ tűzfal
A legnagyobb európai vállalati tűzfalgyártó, a NETASQ magyarországi képviselete fő termékét, az Active Secure Qualification (ASQ) behatolásvédelmi technológiára épülő UTM (Unified Threat Management) tűzfalcsaládot ajánlotta a Veszprémi Polgármesteri Hivatal informatikusai számára. A NETASQ UTM tűzfal a vállalatok méretétől függetlenül garantál teljes körű hálózati felügyeletet, biztonsági szűrést, tűzfallal integrált behatolásvédelmet és valós idejű sebezhetőség-vizsgálatot. A különböző európai uniós – például az Európai Bizottság vagy az Európai Unió Tanácsának Főtitkársága - és NATO intézményekben is alkalmazott NETASQ tűzfal az egyes felhasználók és alkalmazások alapján is teljes körű hálózati felügyeletet biztosít. Az egyes tűzfalszabályok nem csak számítógépek szerint, hanem felhasználónként is létrehozhatók, így például egy felhasználói csoport számára engedélyezhetők bizonyos honlapok vagy szerverszolgáltatások, míg mások számára letiltható például a fájlcsere. Az alkalmazásokat az IPS tűzfal portszámtól függetlenül automatikusan felismeri, így nem történhet ismeretlen kommunikáció a hálózaton. A tűzfal szabályai ráadásul időszakonként ütemezhetők, így munkaidőben szigorúbb beállítások alkalmazhatók, mint munkaidő után.
Beépített sebezhetőség felderítés és hálózati audit
A Veszprémi Polgármesteri Hivatal informatikusai SEISMO modullal együtt rendelték meg a NETASQ tűzfalat, amely a kliensek sebezhetőség-felderítésében, azonosításában és a biztonsági rések megszüntetésében nyújt azonnali segítséget. A rendszer üzembe helyezéséhez és testreszabásához a gyártó saját, külföldi mérnöke utazott Veszprémbe, az informatikusok pedig részt vettek a NETASQ hazai képviselete által szervezett oktatáson.
Átlátható, szabályozott hálózati forgalom
A Veszprémi Polgármesteri Hivatal VPN kapcsolaton keresztül biztosítja az intézmények részére az alkalmazás adatbázisokhoz való hozzáférést. Az üzembe helyezett NETASQ tűzfal védi a hálózatot az illetéktelen külső hozzáférésektől, illetve az eszközzel egyes szerverszolgáltatások, például az SQL vagy weblap kiszolgálási funkciókat különítették el a felhasználók hálózatától. A rendszer segítségével az egész hálózat átláthatóvá válik, nyomon követhető például, hogy melyik felhasználó mire használja a sávszélességet és milyen hálózati alkalmazásokat futtat. Az eddig nem feltérképezhető aktivitások is felderíthetővé válnak a NETASQ tűzfal segítségével, így az informatikusok olyan pontos következtetésekkel számolhatnak a rendszer használatával kapcsolatban, amelyeket eddig csak pontatlanul és hosszú ellenőrzési folyamatok után kaphattak csak meg. A NETASQ rendszernek köszönhetően a veszélyes szerverek detektálhatók és a hiányos frissítések kimutathatók lesznek az informatikusok számára. Még az is azonnal észlelhető és automatizáltan kezelhető, ha egy gyanús számítógép csatlakozik wifin keresztül a hálózathoz.
A webforgalom és a bejövő-kimenő levelek biztonságos szűrése
A rendszer a beérkező és a kimenő leveleket is szűri, ez garantálja, hogy az esetlegesen belső hálózatra kerülő veszélyes, fertőzött számítógépek forgalma is szűrésre kerüljön, így a hivatal erőforrásait senki nem használhatja illegális célokra. Ez biztosítja a feketelistázás elkerülését, ami a hivatal számára akár több hetes fennakadásokat is okozhat a levelezésben. A kategorizálható URL-szűrővel kategóriánként – például illegális fájlcsere, fegyverkészítés, vagy éppen felnőtt tartalmak - lehet az alkalmazottak illetve a hálózatot szintén használó látogatók webhasználatát szűrni. A NETASQ IPS tűzfal olyan fejlett webalkalmazás-szűrést is biztosít, amellyel például a közösségi oldalak, mint a Facebook működése is felhasználónként átalakítható, letilthatók az alkalmazások vagy a chat.