Krajský úřad Moravskoslezského kraje

Do datových center a k informačním technologiím provozovaným na krajském úřadu dnes z internetu nepronikne ani pověstná myška, aniž by se o ní nevědělo a neměla to povolené. Příchozí i odchozí internetová komunikace je monitorována na několika úrovních a řízena moderními, profesionálními technologiemi. Patří mezi ně i dvojice Next Generation firewallů (NGFW) Forcepoint, konfigurovaných pro režim vysoké dostupnosti, které hlídají provoz na nižších vrstvách síťové architektury. Bezpečnost webových aplikací je zajištěna aplikačními firewally (WAF) Citrix ADC (dřívější označení Citrix NetScaler). Ty jsou provozovány také v režimu pro vysokou dostupnost, tedy v případě výpadku jednoho přebírá jeho funkci druhý.

Projekt modernizace firewallového clusteru

Modernizaci dosavadního firewallového clusteru řešil krajský úřad veřejnou zakázkou v roce 2019. V této soutěži uspěl K-net s nabídkou výkonných technologií Forcepoint NGFW. Dodávka a implementace byla zahájena začátkem roku 2020. O tom, že nejde o jednoduchý projekt, svědčila skutečnost, že pro práci realizačních týmů krajského úřadu a K-netu bylo v časovém harmonogramu vyhrazeno více jak 5 měsíců. Během této doby musel být zpracován podrobný implementační projekt, popisující převod stávajícího stavu na nový, včetně harmonogramu, definice akceptačních kritérií a popisu možných rizik. Následovala vlastní dodávka a implementace, zaškolení správců, provedení akceptačních testů a vše bylo završeno zkušebním provozem v délce 6 týdnů. Povedlo se a od července 2020 běží technologie v rutinním provozu.

Některé parametry projektu:

NGFW Forcepoint je nasazen v clusteru (soustavě) o dvou nodech (zařízeních), přičemž každý nod je umístěn v samostatné technologické místnosti. V rámci řešení jsou využívány virtuální firewally, kdy každý má v síti odlišnou roli:

• ochrana Wi-Fi sítě,
• směrování komunikace mezi interními sítěmi,
• oddělení komunikace mezi interní a externí sítí,

V rámci implementace byly přeneseny tisíce objektů a pravidel z konfigurace původního firewallového řešení.

Největší komunikační politika se sestávala z více než 2 500 pravidel.

Nad rámec původního řešení převzal Forcepoint další bezpečnostní funkci, kdy slouží jako webfilter, tedy jako nástroj omezující, které webové stránky mohou uživatelé navštěvovat.

Projekt zabezpečení internetové komunikace – web aplikační firewall

O něco dříve, v roce 2018, řešil krajský úřad svůj záměr zvýšit bezpečnost internetové komunikace pořízením systému pro ochranu aplikací a informací dostupných z internetu, tedy web aplikačního firewallu (WAF). K uskutečnění záměru využil projekt s názvem „Realizace bezpečnostních opatření podle zákona o kybernetické bezpečnosti“, realizovaný z výzvy č. 10 Integrovaného regionálního operačního programu (IROP), registrační číslo: CZ.06.3.05/0.0/0.0/15_011/0002011. Ve veřejné zakázce s názvem „Pořízení systému pro trvalou ochranu informací dostupných z vnější sítě před neoprávněnou činností, popřením provedených činností, kompromitací nebo neautorizovanou změnou“ uspěl K-net s nabídkou technologií Citrix ADC (dříve Citrix NetScaler).

I v tomto případě musela být nejdříve provedena důkladná příprava projektu. Vzhledem k rozsahu implementačních prací bylo vyhrazeno období ještě delší než v případě nasazení NGFW firewallů. Nicméně vše se podařilo zvládnout a v dubnu 2019 byl projekt předán do rutinního provozu.

V rámci projektu:

• byla implementována funkce aplikačního firewallu na vybrané weby a webové aplikace krajského úřadu,
• byly použity další funkčnosti Citrix ADC jako load balancing, které souvisí s optimalizací rozložení provozní zátěže na jednotlivé webové servery,
• v rámci analýzy bylo testováno a bezpečnostně optimalizováno cca 150 webových stránek, aplikací nebo serverů.

V současné době krajský úřad nadále rozšiřuje počet chráněných webů a webových aplikací. V dnešní nelehké době využívá i další funkcionalitu Citrix ADC, a to SSL VPN pro mobilní uživatele.