Импортозамещение NGFW в крупном банке: подробный разбор и результаты

В рамках этой статьи Егор Ляпустин, технический директор Trust Technologies, расскажет о реализации проекта по импортозамещению межсетевых экранов в высоконагруженной распределённой инфраструктуре крупного банка. Мы детально разберём путь от выявления рисков в унаследованной системе до бесшовного внедрения отечественного решения PT NGFW. Особое внимание уделим тому, как нам удалось не просто сменить вендора, а создать централизованную систему безопасности, которая комплексно закрывает строгие требования регуляторов (ФСТЭК России, ЦБ, PCI DSS) и обеспечивает глубокую защиту от современных киберугроз.

Вызовы современного банковского периметра

Финансово-кредитная организация является объектом КИИ, а потому безопасность для неё — не опция, а обязательное условие работы. Ужесточение регулирования со стороны ФСТЭК России и ЦБ, необходимость соответствия стандарту PCI DSS и растущая изощрённость кибератак поставили перед нашим заказчиком сложную задачу: кардинально модернизировать периметр безопасности.

Поводом для запуска проекта стала аудиторская проверка, которая показала, что парк импортных МСЭ исчерпал свой ресурс и не может обеспечить необходимую глубину контроля. Функционал устаревшего решения ограничивался фильтрацией на уровне портов и протоколов, что создавало неприемлемые риски и ставило под угрозу прохождение обязательных аудитов.

Мы сформулировали ключевые цели проекта таким образом:

1. Полное импортозамещение с соблюдением всех требований ФСТЭК России и PCI DSS.
2. Переход от L3/L4 к L7: внедрение глубокого анализа трафика (IPS), контроля приложений и потоковой антивирусной проверкой.
3. Повышение операционной эффективности за счёт централизованного управления и снижения рисков человеческой ошибки.
4. Гарантия бесперебойности и непрерывности бизнес-процессов во время внедрения в высокодоступную среду.

Реализация таких задач требовала от интегратора не только технической экспертизы, но и глубокого понимания отраслевой специфики.

Диагностика: от сложной архитектуры к уязвимой безопасности

На этапе обследования мы погрузились в инфраструктуру заказчика, чтобы понять не только «что установлено», но и «как работает».

Масштаб и сложность инфраструктуры поражали: три географически распределённых ЦОД, объединённых в отказоустойчивый кластер. В основе каждого ЦОД — современная spine-leaf-топология, обеспечивающая высокую производительность и минимальные задержки.

Критически важным было обеспечить строгое разделение на два изолированных контура:

• Высоконагруженный контур "PCI-DSS«для данных платёжных карт.
• Корпоративный контур для остальных бизнес-систем.

Внутри каждого из них была реализована сегментация на VLAN, включая DMZ и внутренние сегменты с использованием L3-коммутаторов. Такая архитектура предъявляла исключительные требования к производительности и надёжности новых МСЭ.

Существующее решение на базе OPNsense стало слабым звеном этой мощной инфраструктуры. Наш анализ выявил системные проблемы:

Слепота к угрозам: отсутствие работающей IPS и контроля на уровне приложений (L7) оставляло сеть уязвимой для современных атак.

Несоответствие требованиям регуляторов: отсутствие сертификатов ФСТЭК России создавало прямые юридические риски.

Сложность управления: поддержка и актуализация разрозненных правил ложились на плечи внутренней IT-команды, отвлекая ресурсы и увеличивая риск ошибок.

Стало очевидно, что необходимо не просто обновление «железа», а фундаментальная переработка самого подхода к безопасности.

Генеральный план: как совместить безопасность, унификацию и производительность

Выбор нового поколения межсетевых экранов (NGFW) стал для нас стратегическим решением, определяющим не только безопасность, но и операционную эффективность банка на годы вперёд. После тщательного анализа рынка и тестовых испытаний мы остановились на решении PT NGFW от компании Positive Technologies. Ключевыми критериями, помимо соответствия требованиям регуляторов и производительности, стали две фундаментальные возможности, каждую из которых мы рассмотрим подробнее ниже.

1. Виртуальные контексты: логическая изоляция вместо физического раздувания

Распределённая инфраструктура банка требовала изоляции критичных контуров, как это описано в стандарте PCI DSS. Классический подход предполагал развёртывание отдельных физических устройств для каждого контура, что вело к усложнению архитектуры и росту затрат на hardware и его обслуживание.

Возможности PT NGFW позволили реализовать адекватное и экономичное решение — виртуальные контексты. В рамках одного мощного аппаратного кластера мы создали несколько полностью изолированных логических межсетевых экранов:

• Контекст для «PCI-DSS» — полностью автономный виртуальный экран, обрабатывающий трафик только среды данных держателей карт (CDE). Его политики, правила, объекты и логи никак не пересекаются с другими контекстами.
• Контекст для корпоративной сети, управляющий всем остальным трафиком.

Что это дало заказчику?

• Унификацию требований: полная логическая и функциональная изоляция контуров достигнута в рамках одного устройства;
• Снижение TCO: исключены затраты на покупку, размещение и энергоснабжение дополнительного «железа»;
• Масштабируемость: в будущем можно легко добавить новые контексты (например, для изоляции проекта или филиала) без закупки нового оборудования.

2. Единый центр управления: PT-MGMT — «мозг» новой системы безопасности

Если виртуальные контексты решили проблему изоляции, то система централизованного управления PT-MGMT стала ответом на главную операционную проблему — сложность администрирования распределённой инфраструктуры.

Ведь изначально у нас было три ЦОД, в каждом — по кластеру, в каждом кластере — по два виртуальных контекста. Ручное управление таким парком через отдельные веб-интерфейсы — это колоссальные трудозатраты и высокий риск «дрейфа конфигураций», когда настройки на разных площадках неизбежно начинают отличаться из-за человеческого фактора.<

Возможности PT-MGMT позволили изменить при реализации данного проекта парадигму управления. Вот основные изменения, которых удалось достичь команде при внедрении решения:

• Единая точка контроля: весь парк межсетевых экранов (все кластеры и все контексты) управляется из одной консоли.
• Групповое управление политиками: мы создали логические группы устройств (например, «все контексты PCI-DSS»). Для каждой из них один раз была создана единая мастер-политика безопасности, включающая все объекты (сети, сервисы) и правила. При необходимости изменения вносятся один раз в мастер-политике и автоматически, гарантированно идентично, развёртываются на все устройства в группе.
• Шаблонизация и безопасность изменений — это позволяет обеспечить 100% идентичность правил безопасности на всех площадках, что критически важно для отказоустойчивости и аудита. Время на внесение глобальных изменений сократилось с нескольких дней (ручная работа на каждом устройстве) до нескольких минут.

Итог выбора: мы не просто внедрили набор устройств, а создали единую экосистему безопасности, где мощные аппаратные комплексы обеспечивают производительность и изоляцию, а централизованная консоль управления — скорость, контроль и предсказуемость. Это решение заложило основу не только для безопасности, но и для высокой операционной зрелости SOC банка.

Внедрение: сложная хирургия на работающем сердце

На основе полученных данных мы разработали дизайн, где во главу угла поставили безопасность, отказоустойчивость и управляемость.

Логическая консолидация: в каждом ЦОД мы развернули единый высокопроизводительный кластер PT NGFW. Внутри него с помощью виртуальных контекстов мы создали два изолированных логических экземпляра — для контура «PCI-DSS» и корпоративного контура. Это позволило соблюсти требования стандартов и снизить TCO.

От слов к сегментации: мы отказались от старой модели правил на основе IP-адресов. Вместо этого мы реализовали микросегментацию на уровне зон. Теперь политики безопасности выглядели как чёткие правила «разрешить доступ из зоны DMZ в зону веб-серверов», что делало их прозрачными, легко проверяемыми и безопасными.

Испытание на прочность

• Маршрутизация: одной из самых сложных задач стал перенос динамической маршрутизации. На старых решениях работало более 60 сессий BGP. PT NGFW хорошо справился с нагрузкой, поддержав все необходимые Route-Map и протокол BFD для мгновенного обнаружения обрывов, что обеспечило бесперебойность работы during migration.
• Защищённый хаб: для связи между ЦОД мы развернули сеть высокопроизводительных IPsec-туннелей, обеспечив безопасную и отказоустойчивую репликацию данных.
• Логическая консолидация и управление: использование виртуальных контекстов позволило нам развернуть в каждом ЦОД всего по одному физическому кластеру PT NGFW, внутри которого были созданы изолированные экземпляры для PCI-DSS и корпоративного трафика. Это резко сократило сложность инфраструктуры.
• Централизованное управление через PT-MGMT стало ключом к эффективности: мы мгновенно применяли политики для всех трёх ЦОД, обеспечивая их идентичность и значительно ускоряя процесс конфигурации. Администраторы банка получили возможность управлять всей распределённой системой безопасности как единым целым, а не набором разрозненных устройств.

Итоги: от проверки на соответствие к опережению угроз

Проект завершился достижением всех заявленных целей. Кроме того, была продемонстрирована окупаемость не только в безопасности, но и в операционной эффективности.

Что заказчик получил в результате

• Регуляторный иммунитет: инфраструктура приведена в полное соответствие с требованиями ФСТЭК России и PCI DSS, что было подтверждено успешным прохождением аудитов.
• Проактивную защиту: внедрение IPS, контроля приложений и антивируса позволило перейти от пассивной фильтрации к активному предотвращению инцидентов.
• Центр управления безопасностью: система PT-MGMT стала тем самым «единым пультом», который позволяет управлять политиками для всей распределённой инфраструктуры централизованно, быстро и без ошибок. Трудозатраты на внесение изменений сократились на порядок.

Мы не просто заменили межсетевые экраны. Мы предоставили заказчику современную, предсказуемую и легко управляемую платформу безопасности, которая не только закрывает текущие требования, но и готова к новым вызовам, позволяя банку уверенно развивать свой бизнес в цифровой среде.