Krajský úřad Moravskoslezského kraje
Moravskoslezský kraj bedlivě střeží svá data a systémy
V Moravskoslezském kraji žije na rozloze 5 427 km2 více jak 1,2 milionu obyvatel. V kraji působí přes 58 tisíc firem. Krajský úřad Moravskoslezského kraje sám zřizuje přes 200 příspěvkových organizací. Cílem krajského úřadu je bezpečná elektronická komunikace mezi jednotlivými příspěvkovými organizacemi, zákazníky, partnery a občany. K tomu aktuálně využívá technologie Forcepoint NGFW
Klasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint… More a také Citrix ADCSlužba ADC v základu pomáhá aplikacím a webům řídit provoz uživatelů, aby nedocházelo k přetížení aplikace či webu v důsledku příliš velkého počtu naráz přistupujícího… More.
Do datových center a k informačním technologiím provozovaným na krajském úřadu dnes z internetu nepronikne ani pověstná myška, aniž by se o ní nevědělo a neměla to povolené. Příchozí i odchozí internetová komunikace je monitorována na několika úrovních a řízena moderními, profesionálními technologiemi. Patří mezi ně i dvojice Next Generation firewallů (NGFWKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint… More) Forcepoint, konfigurovaných pro režim vysoké dostupnosti, které hlídají provoz na nižších vrstvách síťové architektury. Bezpečnost webových aplikací je zajištěna aplikačními firewally (WAFFirewall, který se zaměřuje na web (http). More) Citrix ADCSlužba ADC v základu pomáhá aplikacím a webům řídit provoz uživatelů, aby nedocházelo k přetížení aplikace či webu v důsledku příliš velkého počtu naráz přistupujícího… More (dřívější označení Citrix NetScalerNetScaler je dnes již zastaralý název pro rodinu produktů vyvinutou firmou Citrix zabezpečující velkou škálu bezpečnostních a síťových funkcionalit. Umožňuje detailní nastavení a při správné… More). Ty jsou provozovány také v režimu pro vysokou dostupnost, tedy v případě výpadku jednoho přebírá jeho funkci druhý.
Projekt modernizace firewallového clusteru
Modernizaci dosavadního firewallového clusteru řešil krajský úřad veřejnou zakázkou v roce 2019. V této soutěži uspěl K-net s nabídkou výkonných technologií Forcepoint NGFWKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint… More. Dodávka a implementace byla zahájena začátkem roku 2020. O tom, že nejde o jednoduchý projekt, svědčila skutečnost, že pro práci realizačních týmů krajského úřadu a K-netu bylo v časovém harmonogramu vyhrazeno více jak 5 měsíců. Během této doby musel být zpracován podrobný implementační projekt, popisující převod stávajícího stavu na nový, včetně harmonogramu, definice akceptačních kritérií a popisu možných rizik. Následovala vlastní dodávka a implementace, zaškolení správců, provedení akceptačních testů a vše bylo završeno zkušebním provozem v délce 6 týdnů. Povedlo se a od července 2020 běží technologie v rutinním provozu.
Některé parametry projektu:
NGFWKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint… More Forcepoint je nasazen v clusteru (soustavě) o dvou nodech (zařízeních), přičemž každý nod je umístěn v samostatné technologické místnosti. V rámci řešení jsou využívány virtuální firewally, kdy každý má v síti odlišnou roli:
- ochrana Wi-Fi sítě,
- směrování komunikace mezi interními sítěmi,
- oddělení komunikace mezi interní a externí sítí,
V rámci implementace byly přeneseny tisíce objektů a pravidel z konfigurace původního firewallového řešení.
Největší komunikační politika se sestávala z více než 2 500 pravidel.
Nad rámec původního řešení převzal Forcepoint další bezpečnostní funkci, kdy slouží jako webfilter, tedy jako nástroj omezující, které webové stránky mohou uživatelé navštěvovat.
Projekt zabezpečení internetové komunikace – web aplikační firewallSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…. More
O něco dříve, v roce 2018, řešil krajský úřad svůj záměr zvýšit bezpečnost internetové komunikace pořízením systému pro ochranu aplikací a informací dostupných z internetu, tedy web aplikačního firewalluSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…. More (WAFFirewall, který se zaměřuje na web (http). More). K uskutečnění záměru využil projekt s názvem „Realizace bezpečnostních opatření podle zákona o kybernetické bezpečnosti“, realizovaný z výzvy č. 10 Integrovaného regionálního operačního programu (IROP), registrační číslo: CZ.06.3.05/0.0/0.0/15_011/0002011. Ve veřejné zakázce s názvem „Pořízení systému pro trvalou ochranu informací dostupných z vnější sítě před neoprávněnou činností, popřením provedených činností, kompromitací nebo neautorizovanou změnou“ uspěl K-net s nabídkou technologií Citrix ADCSlužba ADC v základu pomáhá aplikacím a webům řídit provoz uživatelů, aby nedocházelo k přetížení aplikace či webu v důsledku příliš velkého počtu naráz přistupujícího… More (dříve Citrix NetScalerNetScaler je dnes již zastaralý název pro rodinu produktů vyvinutou firmou Citrix zabezpečující velkou škálu bezpečnostních a síťových funkcionalit. Umožňuje detailní nastavení a při správné… More).
I v tomto případě musela být nejdříve provedena důkladná příprava projektu. Vzhledem k rozsahu implementačních prací bylo vyhrazeno období ještě delší než v případě nasazení NGFWKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint… More firewallů. Nicméně vše se podařilo zvládnout a v dubnu 2019 byl projekt předán do rutinního provozu.
V rámci projektu:
- byla implementována funkce aplikačního firewalluSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…. More na vybrané weby a webové aplikace krajského úřadu,
- byly použity další funkčnosti Citrix ADCSlužba ADC v základu pomáhá aplikacím a webům řídit provoz uživatelů, aby nedocházelo k přetížení aplikace či webu v důsledku příliš velkého počtu naráz přistupujícího… More jako load balancingZátěž je vyvažována tak, aby jedno ze zainteresovaných zařízení nebylo přetíženo. Zátěž se rozkládá mezi dvě nebo více paralelně pracujících zařízení pro dosažení např. vyššího… More, které souvisí s optimalizací rozložení provozní zátěže na jednotlivé webové servery,
- v rámci analýzy bylo testováno a bezpečnostně optimalizováno cca 150 webových stránek, aplikací nebo serverů.
V současné době krajský úřad nadále rozšiřuje počet chráněných webů a webových aplikací. V dnešní nelehké době využívá i další funkcionalitu Citrix ADCSlužba ADC v základu pomáhá aplikacím a webům řídit provoz uživatelů, aby nedocházelo k přetížení aplikace či webu v důsledku příliš velkého počtu naráz přistupujícího… More, a to SSLProtokol, který poskytuje zabezpečení komunikace šifrováním a autentizaci komunikujících stran. Vkládá se mezi vrstvu transportní (např. TCP/IP) a aplikační (např. HTTP). Nejčastěji se využívá pro… More VPN
Přístup přes virtuální privátní síť se uplatní např. pokud existují dvě lokální sítě na dvou místech (třeba Praha/Brno). Pak je možné využít tuto technologii a… More pro mobilní uživatele.
