PRÍSTUP K PROJEKTU

 Vzor pre manažérsky výstup I-03

podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Schvaľovanie dokumentu

1.    História dokumentu

2.    Účel dokumentu

Dokument je určený na rozpracovanie informácií k projektu „ Zvýšenie bezpečnosti pre IS RVO a CES“ k službám

prevádzkovaným v DataCentre, ktorý zahŕňa nákup hardvéru, bezpečnostnej infraštruktúry firewallov, softvéru a subskripcií, sieťových prvkov potrebných na obmenu a doplnenie existujúcej bezpečnostnej Checkpoint infraštruktúry v lokalite ZVS poskytujúcej kľúčové bezpečnostné služby pre informačné systémy IS CES a IS RVO.

2.1      Použité skratky a pojmy

3.    Popis navrhovaného riešenia

Navrhované riešenie predstavuje obmenu hardvéru bezpečnostnej infraštruktúry poskytujúcej kľúčové bezpečnostné služby pre informačné systémy. Riešenie zároveň umožní požadovaný rozvoj aplikačného programového vybavenia a dokáže obslúžiť pripravované projekty.

Riešenie pozostáva z nasledovných celkov:

1. Obmena hardvérového vybavenia bezpečnostnej infraštruktúry, doplnenie platformy jednotného manažmentu pre bezpečnostné zariadenia a zabezpečenie zariadení sieťovej konektivity pre nové zariadenia
2. Optimalizácia bezpečnostnej politiky na modernizovaných zariadeniach, migrácia existujúcich služieb a konfigurácií na nové zaraidenia, zabezpečenie vysokej dostupnosti novoinštalovanej architektúry pre existujúce požiadavky spomínaných informačných systémov
3. Príprava bezpečnostnej infraštruktúry na ďalší rozvoj a integráciu novo pripravovaných projektov s najvyššími bezpečnostnými nárokmi v súlade s aktuálnymi architektonickými koncepciami

Hlavnými prínosmi modernizácie sú:

1. Zabezpečenie technologického lifecycle bezpečnostných technológií Checkpoint v ZVS
2. Zabezpečenie splnenie nových požiadaviek na výkonnosť, robustnosť a redundanciu bezpečnostných technológií Checkpoint
3. Umožniť ďalší rozvoj a posilnenie bezpečnosti IS systémov DataCentra vďaka novej funkcionalite dostupnej vďaka technologickému lifecycle prvkov Checkpoint a zabezpečeniu efektívneho manažmentu skrz existujúce lokality organizácie DataCentrum
4. Doplnenie zariadení zabezpečujúcich potrebnú sieťovú konektivitu pre nové bezpečnostné zariadenia
5. Zosúladenie s aktuálnymi požiadavkami na úroveň bezpečnosti a manažmentu bezpečnostných udalostí a politík v rámci prostredia DataCentra

Navrhované riešenie počíta s umiestnením hardvéru do lokality ZVS a umiestnením Log servera do locality DC Cintorínska pre zabezpečenie vysokej dostupnosti.

Zachovanie existujúcej architektúry zabezpečí dostatočnú flexibilitu pri nasadzovaní nových riešení v infraštruktúre zákazníka pri zachovaní existujúcich architektonických pravidiel

Implementácia riešenia pozostáva z nasadenia nového HW v rámci locality ZVS. Pričom potrebné konfigurácie budú prenesené na ďalšie lokality podľa potreby.

4.    Architektúra riešenia projektu

4.1      Biznis vrstva

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie bezpečnosti pre informačné systémy prevádzkované v DataCentre. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

4.2      Aplikačná vrstva

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie bezpečnosti pre informačné systémy prevádzkované v DataCentre. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

4.3      Dátová vrstva

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie bezpečnosti pre informačné systémy prevádzkované v DataCentre. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

4.4      Technologická vrstva

4.4.1    Aktuálny technologický stav

Opis súčasnej konfigurácie brán Check Point v lokalite ZVS

V lokalite Záložné Výpočtové Stredisko (ďalej len ZVS) sa aktuálne od výrobcu Check Point nachádzajú nasledujúce zariadenia:

• 2x CPAP-MHO-140
• 3x CPAP-SG6500-TURBO-NGFW

Pre zariadenia CPAP-SG6500-TURBO výrobca udáva nasledujúce výkonnostné parametre:

• Threat Prevention: 3.4 Gbps
• IPS: 7.8 Gbps
• L4 Firewall: 20.6 Gbps
• Nových spojení za sekundu: 140000

Zariadenia CPAP-SG6500-TURBO boli v Decembri roku 2020 výrobcom označené ako End of Sale, pričom posledný termín ku ktorému je možné na zariadenia kúpiť technickú podporu je December 2025 (počnúc dátumom 1.1.2026 už nebude výrobca na zariadenia poskytovať softvérovú ani hardvérovú podporu).

Vzhľadom na výkonnostné a technologické požiadavky v infraštruktúre organizácie DataCentrum sa preto odporúča uvedené zariadenia vymeniť za aktuálne ponúkanú next-gen platformu výrobcu.

Opis súčasnej konfigurácie správy logov brán Check Point

V súčasnosti sa v organizácií DataCentrum pre zber a uchovávanie záznamov z brán Check Point používa hardvérová platforma Smart-1 5050 daného výrobcu. Zariadenia Smart-1 5050 boli v Septembri roku 2021 výrobcom označené ako End of Sale, pričom posledný termín ku ktorému je možné na zariadenia kúpiť technickú podporu je September 2026 (počnúc dátumom 1.10.2026 už nebude výrobca na zariadenia poskytovať softvérovú ani hardvérovú podporu).

Nakoľko sa funkcionalita centralizovaného systému pre zber logov z brán Check Point plánuje zachovať, zariadenia Smart-1 5050 sa odporúča nahradiť aktuálnou hardvérovou platformou pre zber logov.

Opis súčasnej konfigurácie manažmentu brán Check Point

V súčasnosti sa v organizácií DataCentrum pre manažment brán Check Point používa virtuálna platforma na ktorej je prevádzkovaný systém výrobcom označovaný ako Secure Management System (ďalej len SMS). V prípade výpadku systému SMS prichádza DataCentrum o možnosť upravovať nastavenie bezpečnostnej politike na všetkých bránach a reagovať tak na prípadné bezpečnostné či prevádzkové incidenty.

Pre zabezpečenie vysokej dostupnosti funkcinality správy brán výrobca odporúča využiť vstavanú funkcionalitu systému SMS označovanú ako Management High Availability.

4.4.2    Návrh riešenia technologickej architektúry

Návrh riešenia obmeny brán Check Point v lokalite ZVS

Za účelom modernizácie infraštruktúry pre ochranu pred kybernetickými hrozbami sa súčasný systém odporúča vymeniť za aktuálne ponúkanie zariadenia z katalógu výrobcu, a to konkrétne zariadenie Check Point Quantum Force, model CPAP-SG9300–PLUS. Pre toto zariadenie výrobca udáva nasledujúce výkonnostné parametre:

• Threat Prevention: 9 Gbps
• IPS: 39 Gbps
• L4 Firewall: 70 Gbps
• Nových spojení za sekundu: 300000

Z hľadiska architektúry je súčasné riešenie kompatibilné s navrhovaným riešením a súčasný dizajn je tak možné zachovať.

Hlavnými prínosmi tejto aktivitu sú najmä:

• Odstránenie hardvéru s končiacou životnosťou – ak by sa zmena nezrealizovala, na platforme by už nebolo možné vykonávať aktualizácie ani žiadať o hardvérovú či softvérovú podporu
• Zvýšenie maximálneho výkonnostného stropu bezpečnostných brán v lokalite ZVS – výrobca pre zariadenia udáva 2 až 2,5-násobne väčší výkon pri zachovaní aktuálnych priestorových požiadaviek v dátovom racku

Návrh riešenia vysokej dostupnosti správy Check Point

Pre účely modernizácie systému pre manažment brán Check Point sa odporúča súčasný systém nahradiť zariadením z aktuálnej ponuky výrobcu, a to zariadením označeným ako CPAP-NGSM6000L-BASE. Pre toto zariadenie výrobca udáva nasledujúce technické parametre:

• Maximálny súbežný spravovaných brán: 75
• Počet jadier CPU: 16
• Veľkosť RAM: 96 GB
• Veľkosť diskového priestoru: 6x 4 TB HDD (pozn.: celkový diskový priestor je závislý od konfigurácie diskovej redundancie, tzv. režim RAID-u)

Z hľadiska architektúry je súčasné riešenie pre manažment brán kompatibilné s navrhovaným riešením a súčasný dizajn je tak možné zachovať. Zmena v architektúre spočíva v doplnení sekundárneho zariadenia do lokality ZVS, ktoré v prípade výpadku dostupnosti riešenia v primárnej lokalite na seba preberie funkcionalitu správy zariadení Check Point.

Hlavnými prínosmi tejto aktivitu sú najmä:

• Doplnenie funkcionality vysokej dostupnosti pre správu brán Check Point

Návrh riešenia správy logov brán Check Point

Pre účely modernizácie systému pre zber a vyhodnocovanie logov z brán Check Point sa odporúča súčasný systém nahradiť zariadením z aktuálnej ponuky výrobcu, a to zariadením označeným ako CPAP-NGSM6000L-BASE. Pre toto zariadenie výrobca udáva nasledujúce technické parametre:

• Maximálny súbežný počet logov za sekundu: 150000
• Maximálny objem logov za deň: 616 GB
• Počet jadier CPU: 16
• Veľkosť RAM: 96 GB
• Veľkosť diskového priestoru: 6x 4 TB HDD (pozn.: celkový diskový priestor je závislý od konfigurácie diskovej redundancie, tzv. režim RAID-u)

Z hľadiska architektúry je súčasné riešenie pre zber logov kompatibilné s navrhovaným riešením a súčasný dizajn je tak možné zachovať.

Hlavnými prínosmi tejto aktivitu sú najmä:

• Odstránenie hardvéru s končiacou životnosťou – ak by sa zmena nezrealizovala, na platforme by časom už nebolo možné vykonávať aktualizácie ani žiadať o hardvérovú či softvérovú podporu
• Zvýšenie doby retencie logov

4.4.3       Logická architektúra

Obr. 1 – Návrh modernizovanej architektúry systémov Check Point

Navrhované riešenie počíta s umiestnením hardvéru do lokality ZVS a umiestnením Log servera do lokality DC Cintorínska pre zabezpečenie vysokej dostupnosti.

Zachovanie existujúcej architektúry zabezpečí dostatočnú flexibilitu pri nasadzovaní nových riešení v infraštruktúre zákazníka pri zachovaní existujúcich architektonických pravidiel

Implementácia riešenia pozostáva z nasadenia nového HW v rámci locality ZVS. Pričom potrebné konfigurácie budú prenesené na ďalšie lokality podľa potreby.

4.4.4       Využívanie služieb z katalógu služieb vládneho cloudu

Projekt nebude využívať služby z katalógu vládneho cloudu. Implementované zariadenia budú prevádzkované v infraštruktúre DataCentra.

4.5      Bezpečnostná architektúra

V rámci projektu nedôjde k zmene bezpečnostnej architektúry. Cieľom projektu sa realizuje zvýšenie úrovne bezpečnosti pre informačné systémy prevádzkované v DataCentre. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

5.    Závislosti na ostatné ISVS / projekty

Predkladaný projekt nie je závislý na iných pripravovaných resp. prebiehajúcich projektoch

6.    Zdrojové kódy

V rámci projektu nedôjde k vývoju na aplikácií mieru, z tohto hľadiska je pre projekt táto kapitola bezpredmetná.

7.    Prevádzka a údržba

Keďže princípom projektu je technologická obmena existujúcich zariadení, po skončení projektu budú tieto automaticky zaradené v rámci existujúcich prevádzkových postupov do štandardnej prevádzkovej podpory.

8.    Požiadavky na personál

9.    Implementácia a preberanie výstupov projektu

10. Prílohy