Представить себе современный офис без беспроводной сети невозможно. Спрос на корпоративный Wi-Fi стабильно высок. Концепция Bring your own device (BYOD), когда работники используют для выполнения своих профессиональных обязанностей личные мобильные устройства, кажется, победила окончательно, а это означает, что любому предприятию придется особенное внимание уделять защите своей инфраструктуры.

Чем грозит «дыра» в корпоративном Wi-Fi

Особенно остро вопрос информационной безопасности (ИБ) стоит перед предприятиями, подпадающими под действие государственного регулирования, например, 152-ФЗ «О персональных данных». Если риски от потери корпоративной информации иногда удается нивелировать, то с персональными данными шутки плохи. Тут в дело вступает Роскомнадзор. Ведомство тщательно ведет реестр операторов, осуществляющих обработку ПД, и уклониться от его внимания вряд ли получится.

Отдельным вызовом для компаний стало принятие 187-ФЗ «О безопасности критической информационной инфраструктуры РФ». Напомним, что в рамках этого федерального закона повышенные требования к информационной безопасности предъявляются к автоматизированным системам управления, телекоммуникационным сетям и информационным системам, функционирующим в следующих отраслях:

— здравоохранение;

— наука;

— транспорт;

— связь;

— энергетика;

— банковская и другие сферы финансового рынка;

— топливно-энергетический комплекс;

— атомная энергия;

— оборонная и ракетно-космическая промышленность;

— горнодобывающая, металлургическая и химическая промышленность.

Здесь надзор осуществляет Федеральная служба по техническому и экспортному контролю (ФСТЭК России), на которую, помимо контроля за соблюдением требований закона, возложена функция сертификации оборудования, призванного обеспечивать соответствующий требованиям 187-ФЗ уровень информационной безопасности.

Фабрика безопасности

Как же быть, если BYOD непобедим, а сотрудники не откажутся от использования собственных девайсов даже под угрозой расстрела на месте? Получается, что взлома сети избежать невозможно? Вовсе нет, если подойти к проблеме стратегически и положиться на надежное сертифицированное оборудование и ПО.

Одним из вендоров, располагающих всеми необходимыми продуктами и компетенциями, является хорошо известная у нас в стране компания Fortinet. Она давно заслужила репутацию надежного поставщика, оказывающего хорошую поддержку и активно участвующего в интеграционных проектах. Отдельным преимуществом компании является ее высокая заинтересованность в российском рынке. Давайте посмотрим, как построить отвечающую всем современным требованиям корпоративную сеть Wi-Fi с высоким уровнем защиты.

Основными современными вызовами при проектировании подобных сетей являются растущее количество подключаемых устройств, появление все более продвинутых методов атак, рост сложности управления инфраструктурой и, как следствие, увеличение расходов на персонал.

Решить все эти вопросы помогает единая инфраструктура решений для безопасности сети Security Fabric. Она позволяет гибко менять состав оборудования и ПО, обеспечивая необходимый уровень надежности. Все продукты Fortinet в той или иной степени поддерживают и образуют открытую архитектуру Security Fabric, которая в свою очередь может быть интегрирована с решениями других вендоров. 

Security Fabric может автоматически выявлять угрозы еще на уровне доступа, минимизируя необходимость вмешательства администратора безопасности. Управление всей инфраструктурой происходит из единой консоли управления с возможностью визуализации сети и ее текущего состояния.

Два способа построения безопасного Wi-Fi

Fortinet предлагает два основных пути построения корпоративной сети Wi-Fi:

— на базе сертифицированных ФСТЭК устройств серии FortiGate в роли контроллеров беспроводных точек FortiAP (которые, кстати, могут быть выданы удаленным сотрудникам);

— на базе выделенных контроллеров FortiWLC.

Простая беспроводная сеть со сквозным управлением и единой средой безопасности может быть выстроена из контроллера FortiGate, подключенного к коммутатору FortiSwitch, который в свою очередь будет напрямую взаимодействовать с точками доступа FortiAP по протоколу FortiLink. Такая архитектура подойдет небольшим офисам и филиалам компаний, где нет выделенного персонала для администрирования.

Похожий подход используется и при построении кампусных сетей, меняется лишь набор оборудования. Добавляются межсетевой экран на периметре (в этой роли может выступать FortiGate, позволяющий настроить внутреннюю сегментацию), а также решения для резервирования, повышения устойчивости, средства мониторинга и анализа, которые могут отсутствовать в сети филиала.

Выделенный контроллер беспроводной сети FortiWLC позволяет создавать сети Wi-Fi на основе универсальных точек доступа FortiAP-U (или любых других уже имеющихся) с использованием функций, недоступных в FortiGate. Это решение рекомендуется применять, когда необходимо обеспечить бесшовный роуминг с минимальными задержками. Это может быть крупный опенспейс, складское помещение или какие-то иные специфичные инфраструктуры.

В частности, FortiWLC поддерживает Tunnel Mode, при использовании которого весь трафик точки доступа упаковывается в защищенный туннель и отправляется на контроллер. В этом случае контроллер может располагаться как локально, так и в удаленном ЦОД, то есть «за интернетом».

В режиме Local Bridge Mode на контроллер отправляется только трафик управления, а трафик пользователей коммутируется локально точкой доступа. Решение подходит для удаленных филиалов, когда нежелательно нагружать каналы связи, отправляя весь объем данных в центральный офис.

Наконец, режим Local Standalone востребован в тех случаях, когда связь с удаленным контроллером теряется. Тогда точки доступа продолжают обслуживать клиентов, подключать новых и даже выполнять аутентификацию, если имеется локальный сервер аутентификации.