«Максимальная безопасность при мини-бюджете. Оптимизируй расходы с С-Терра». Мы не только расскажем, но и покажем как: - организовать - модернизировать - сопровождать систему сетевой безопасности крупного (и не очень) банка в России так, чтобы при этом: 1) Выполнить требования Российского законодательства 2) Получить надежную и удобную систему защиты сети 3) Оптимизировать расходы на создание системы безопасности 4) Сократить эксплуатационные расходы (материальные и трудовые) И еще раскроем несколько специализированных секретов!
ЗАЩИТА vs РИСК
• Нарушители• Новые технологии• Регуляторы
Выступающий
Заметки для презентации
Вечная дилемма заказчика – поиск сбалансированного компромисса между системой защиты и рисками ИБ. При этом на него оказывают влияние следующие компоненты: -нарушители, которые могут … (допишу) -новые технологии, которые ведут к изменению бизнес модели, к новым угрозам, и новым требованиям регуляторов. -регуляторы, в том числе отраслевые. Мы находимся на тематическом форуме по безопасности, поэтому говорить о необходимости защиты смысла нет, поговорим именно об оптимальном (с технической и экономической точек зрения) построении систем ИБ.
• Репутация в отрасли
• Легитимность
• Стоимость
Выбор вендора
Выступающий
Заметки для презентации
Итак, при выборе средств защиты важны: Банк – прагматичный заказчик, использует только проверенные (причем своей отраслью) продукты и решения. Репутация в отрасли – очень важна. Её сложно заработать и легко потерять. Её не получить продукту с «плохими» технически характеристиками. Прагматичность конечно же не тотальная, есть заказчики, которые готовы пробовать новые продукты (и помогать вендорам их развивать – давать пожелания к будущим версиям). Так многие поверили в свое время в нашу компания, которая первой в России стала технологическим партнером Cisco и выпустила сертифицированный модуль для их маршрутизаторов. Дополнительные темы (по желанию): Первые сделали Ipsec c ГОСТом (да-да, застава не в счет) Первые сделали ВШ с ГОСТом (stonesoft не в счет) Первые сделали L2 Универсальные сервисные криптомаршрутизаторы – Элтекс, Зелакс, Huawei, Cisco Легитимность, т.е. соответствие требованиям законодательства, в том числе отраслевым – СТО БР (надеюсь в секции «вопрос регулятору» скажут что-нибудь про обязательность соблюдения данного стандарта). Соответствие чему-либо требует вложений, чем выше классы, тем вложения больше. Поэтому в этом пункте нужно четко определиться чему хочется соответствовать и разработать оптимальную модель угроз. Стоимость (как расходы на создание, так и на дальнейшее обслуживание). Исходя из этих трех характеристик Вы, заказчики, отдаете предпочтение тому или иному вендору средств защиты.
• Аппаратная платформа
• Нестабильная цена
• «Проприетарщина»
• Специфичные задачи
«Подводные камни» VPN
Выступающий
Заметки для презентации
Какие же подводные камни (в смысле затрат) подстерегают нас при выборе VPN? Во-первых, это АП. Во-вторых, колебания цен Третье – проприетарные протоколы Четвертое – специфичные задачи, которые могут решить лишь несколько вендоров Итак, разберемся с каждым пунктом подробнее
• Компонент решения
• Стоимость в условных единицах
• Сложность планирования расходов
• «Зоопарк»
Аппаратная платформа
Выступающий
Заметки для презентации
Итак, если мы говорим об традиционных VPN продуктах - программно-аппаратных продуктах, а таких большинство, то они в своем составе содержат аппаратную платформу. Она может быть как западных производителей, так и условно российская. Но стоимость всегда измеряется не рублем, а условной единицей. При нынешнем курсе валют такой подход усложняет и порой делает невозможным бюджетирование. Некоторые компании покупают то одни платформы, то другие, ориентируясь лишь на цену. Сиюминутная выгода в таком подходе конечно есть – в каждый момент времени можно покупать наиболее привлекательную по цене платформу. Но постепенно это приведет к огромному зоопарку платформ, у каждого производителя свои особенности сервиса.
• Гибкий выбор АП
• Возможность предоставления собственной АП
• Виртуальный Шлюз
Аппаратная платформаРешение С-Терра
Выступающий
Заметки для презентации
Как эти проблемы решаются в решениях нашей компании и как на этом можно экономить? Во-первых, наша линейка VPN шлюзах построена на нескольких АП, как российских – DEPO и KW, так и зарубежных производителей – Cisco, Huawei, HP и Lanner. Преимущество такого подхода – выбор удобного заказчика вендора АП в зависимости от: -существующего контракта на поставку между заказчиком и вендором АП (дистрибьютором) -условий сервиса – единый сервисный договор, сеть СЦ -личных предпочтений Мы можем использовать даже платформы других VPN вендоров, которых Вы устали использовать и хотите заменить. Кроме того, первый маленький секрет – Вы, заказчики (или партнеры) можете предоставлять собственные АП. При больших объемах закупок у вас может быть бОльшая чем у нас скидка – покупайте АП сами. От С-Терры только заливка ПО и право пользования ПО. Предвижу вопрос – как так любая АП? Молодцы, не любая. Если платформа нами уже использовалась, то просто заливка. Перечень таких платформ есть у нас на сайте. Если АП еще не использовалась, то мы проведем предварительное тестирование. И потом все как в предыдущем пункте Следующий способ экономить – не использовать дополнительную платформу вообще. Разверните Виртуальный Шлюз в существующей виртуальной инфраструктуре, он сертифицирован ФСБ и ФСТЭК. В доп.офисе небольшое количестве рабочих мест – установите клиентское ПО на каждое рабочее место – дополнительный криптошлюз не обязателен.
• Повышение стоимости
Программное обеспечение
Выступающий
Заметки для презентации
Стоимость ПО может меняться Повышает риски Усложняет реализацию долгосрочных проектов У западных повсемество в у.е, есть даже у отечественных https://www.amicon.ru/price.php
• Цена в рублях
• Фиксация цены в проекте
Программное обеспечениеРешение С-Терра
Выступающий
Заметки для презентации
Мы предлагаем фиксированную стоимость в рублях на ПО Доступно на нашем сайте
• Зависимость от производителя
• Логика работы
• Протоколы
• Интерфейс
Стандартизация
Выступающий
Заметки для презентации
Зависимость от производителя Малая тестирующая база Собственной логикой работы. Нестандартизированные протоколы, несовместимость, множество нюансов, отложенные проблемы, такие как: топологические ограничения Проприетарный интефейс управления, требующий изучения инженерами. Специфическая терминология.
• Стандартные протоколы
• Интерфейс Cisco IOS
СтандартизацияРешение С-Терра
Выступающий
Заметки для презентации
Признанный в России международный стандарт IPSEC -открытая документация -совмесимость Мониторинг – совместимы с SIEM системами PKI – совместимый с российским де факто стандартом – Крипто ПРО Стандартный интерфейс управления, с которым знакомы множество инженеров как в России, так и по всему миру. Интуитивно понятный поиск и устранение ошибок, явное разделение сфер ответственности при поиске ошибок. В некоторых небанковских структурах администраторы, обучившись С-Терре, уходят управлять cisco
• Интеграция в экосистему
• Взаимодействие с другими компонентами
Интеграция
Выступающий
Заметки для презентации
Я думаю, что Вы неоднократно слышали в презентациях Лукацкого о необходимости компонентов системы защиты «общаться» между собой. Объединение различных продуктов в единой системе защиты - задача сложная. У многих здесь начинаются проблемы
• Взаимодействие с другими компонентами защиты
• Мониторинг
ИнтеграцияРешение С-Терра
Выступающий
Заметки для презентации
Все уже построено и намылено, надо внедряться. протокол RADIUS, в том числе взаимодействие с Cisco ISE (что умеет ISE?) Как уже говорили любой SIEM динамическая маршрутизация RIP и OSPF (в том числе для сценария балансировки нагрузки RRI) туннелирование Различные варианты управления Получаете не конструктор Лего, а единую систему.
Типовой узел
Vendor GPL, руб Discount (300+), руб
С-Терра 70 000 (42+28) 35 400
Другойвендор
96 000 48 000
Экономия при текущем курсе порядка 35%
Выступающий
Заметки для презентации
На доске сделать схемку GPL C-Терра 350$ за АП, т.е. 28к рублей + 42к рублей за лицензию Cisco стоит 1200$, т.е. 96к рублей В крупном проекте Cisco дает скидку 50%, т.е. 48к рублей При использовании C-Терра можно найти платформу за 180$ за АП, т.е. 14,4к рублей + 21к рублей за лицензию (с учетом скидки 50%). Итого С-Терра на 35% дешевле.
• Скидки при закупке напрямую
• VPN-as-a-Service
Экономические показатели
Выступающий
Заметки для презентации
Trade in
• Экспортный шлюз
• Защита банкоматов
• Виртуальный шлюз
• Защита канального уровня
Специфические задачиРешение С-Терра
Выступающий
Заметки для презентации
Клиент, пост по ситуации
Поздравляем, С-Терра!
Выступающий
Заметки для презентации
Надеюсь, что здесь есть и те, кто использует наши продукты Это коллеги из группы компаний ВТБ, в частности ВТБ Страхование и ВТБ24, Центробанк, Газпромбанк. Кстати, вручение премии Оскар состоится 28.02. В рамках импортозамещения якутские ювелиры готовят для ДиКаприо российский «народный оскар» из серебра. Вернемся к экономии.
Москва, г. Зеленоград, Георгиевский проспект, дом 5
Бывает так, что для защиты каналов связи выбирают не С-Терру. Есть в зале представители банков, которые используют другие VPN-продукты? Какие? Западные? Отечественные? Почему? Привычно? Не хватает функционала? Дешевле?
КриптомаршрутизаторZelax-ST
(с) 2003-2016 "С-Терра СиЭсПи" 19
• Российское производство совместно с «Зелакс» (Зеленоград, Москва)
• ГОСТ криптобиблиотека• Высокая производительность• Полная функциональность маршрутизатора• Централизованное управление• Экономия энергоресурсов и места в стойке• Широкая сеть сервис-центров
Я бы поместил этот слайд посде хуавея. Логичнее когда сначала модули, а потом эта поделка.
Универсальный сервисныйкриптомаршрутизатор ESR-ST
(с) 2003-2016 "С-Терра СиЭсПи" 20
• Российское производство совместно с Предприятием «Элтекс» (Новосибирск)
• ГОСТ криптобиблиотека• Полная функциональность
сервисного маршрутизатора• Архитектура MIPS с аппаратным ускорением• Экономия энергоресурсов и места в стойке• Совместимость с сетевым оборудованием других вендоров• Низкая стоимость эксплуатации
Специализированный шлюз для защиты каналов 10 Гбит/с
С-Терра Шлюз 10G
(с) 2003-2016 "С-Терра СиЭсПи" 21
• Производительность - 10 Гбит/с на одной паре шлюзов • Инновационные технологии обработки сетевых пакетов• Формфактор – 1U• Задержка прохождения пакета менее 4 мс• Энергопотребление – до 1КВт• Выполнение требований регуляторов
защита высокопроизводительных каналов связи
ВЕРСИЯ 4.2
Выступающий
Заметки для презентации
У СОА указана планируемая сертификация, а тут нет
С-Терра Шлюз 50
(с) 2003-2016 "С-Терра СиЭсПи" 22
• ГОСТ-шифрование по протоколам IPsec• Габариты – 70х45х22 мм• Упрощенное обновление ПО• Производительность – до 10 Мбит/с
защита корпоративной сети
Компактный шлюз для защиты низкоскоростных каналов связи
ВЕРСИЯ 4.2
50
Выступающий
Заметки для презентации
Удалить Питание USB 5V Поддержка Wi-Fi У СОА указана планируемая сертификация, а тут нет