Кейс о защите персональных данных от сетевых угроз
-
Сфера деятельности:
Специализируется в узком и специфическом сегменте туризма. -
Клиент:
Крупнейшая российская туристическая компания федерального масштаба со штаб-квартирой в Москве.
Подробности
- В чём проблема:На одном сервере была основная платформа и база данных. Сервер был напрямую подключен в интернет. Платформа была уязвима к SQL-инъекциям. Плюс содержала Legacy-код который имел сложности с безопасностью. Хакеры украли NNN тыс. записей клиентов.Как решили:
- Организовали две облачные площадки (основная и резервная). На границе площадок установили пограничные маршрутизаторы с межсетевым экраном, фильтрующим трафик по ACL.
- Подключили услугу WAF(Web Application Firewall, файрвол веб-приложений) для анализа входящего и исходящего HTTP/HTTPS-трафика, блокируя подозрительные запросы ещё до того, как они доберутся до приложения.
- Подключили услугу для нейтрализации DDoS атак без снижения производительности.
- На каждой площадке организовали несколько демилитаризованных зон (DMZ, зона безопасности) межсетевого экранирования и сегментации сети. Каждая зона безопасности — это набор сегментов сети, содержащих серверы одного назначения, например, зона содержащие только базы данных. Трафик между зонами проходит только через межсетевой экран.
- Организовали репликацию данных с основной площадки на резервную.
- Передача данных между площадками организовали по шифрованному каналу (IPSEC Site2Site).
- Результат:
- Защитили персональные данные сотрудников и клиентов.
- Успешно прошли вместе с клиентом аудит по информационной безопасности и проверку Роскомнадзора.
- Внедрили элементы отказоустойчивости.
Ключевые показатели:- Срок реализации: 6 месяцев
- Использованные технологии: MikroTik, Linux, Nginx, Apache, MySQL, ZFS, Ansible, Docker, VPN IPSEC
