Кейс ICL Services: импортозамещение Zscaler для международной логистической компании

О заказчике

Заказчик проекта – международная логистическая компания, эксперт в области логистики, автоперевозок и транспортно-логистических услуг. Также компания предлагает комплексные решения для складирования.

Об исполнителе

ICL Services – продуктово-сервисная компания, работающая на российском и международном рынках с 2006 года. Компания состоит в реестре аккредитованных ИТ-компаний Минцифры России. Компания предлагает широкий спектр продуктов и услуг: от аудита, бизнес-консалтинга и проектирования до полной интеграции с информационными системами заказчиков, поставки оборудования, выполнения проектов внедрения и дальнейшего сопровождения в режиме 24/7.

Предпосылки проекта

Заказчик использовал решение от Zscaler для удаленного доступа и защиты удаленных и локальных корпоративных пользователей. Однако при его эксплуатации компания отмечала нестабильную и замедленную работу сервиса на территории РФ.

Бизнес-процессы компании сильно зависели от работы зарубежного продукта, а полная остановка сервиса могла парализовать работу всего российского подразделения. Так компания приняла решение найти надежное отечественное решение, на которое можно было бы мигрировать ИБ-инфраструктуру для исключения всех вышеупомянутых рисков.

Для реализации этой задачи заказчик обратился к экспертизе компании ICL Services, которая ранее уже успешно проводила замещение инфраструктурного решения SD-WAN по сервисной модели и имеет многолетний опыт работы с решениями для кибербезопасности на зарубежном рынке.

Этапы проекта

1. Изучение инфраструктуры и анализ доступных решений. На этом этапе были предложены несколько вариантов принципиально разных проверенных решений, но оставлены только те, которые отвечают реальным потребностям заказчика. По итогу анализа было выбрано решение Kaspersky SD-WAN.
    
2. Разработка архитектурного решения и плана миграции. До начала промышленной эксплуатации заказчик захотел увидеть, как работает решение в «продуктивной» инфраструктуре, а не на изолированном примере. Такой подход потребовал глубокой проработки интеграционной составляющей еще на стадии пилота.
    
3. Пилотирование. Здесь было реализовано проведение пилота выбранного решения на инфраструктуре и АРМ пользователей с учетом особенностей бизнес-процессов компании. Во время тестового внедрения были показаны преимущества решения от ICL Services. Часть требований было скорректировано заказчиком после ознакомления с решением. Пилотное внедрение было фактически «продуктивным» внедрением, так как требовало реальной интеграции с корпоративными сервисами.
    
4. Разработка и тестирование сценариев автоматизации для миграции. Отдельной непростой задачей была миграция конечных пользователей на новое решение. Требовалось подготовить сценарии автоматизации удаления старого решения и конфигурирования нового. Подготавливались инструкции для пользователей и линий поддержки.
    
5. Интеграция с Active Directory. Полноценная интеграция с «глобальным» доменом компании стала возможна только после выхода проекта из пилотной стадии и появлении первых пользователей.
    
6. Масштабирование инфраструктуры. Решение является аналогом Zscaler и позволяет проводить горизонтальное и вертикальное масштабирование. В ходе реализации этапа были проведены необходимые тесты отказоустойчивости и автоматизации переключений кластера. Заказчику понравилось решение и в ходе реализации масштаб работ был увеличен более чем в 3 раза (с 1000 до 2500 пользователей).
    
7. Массовая миграция пользователей. По мере миграции возникал стек задач и конфигураций уникальных для данного пользователя. Были выделены дополнительные ресурсы, чтобы пользователи не ощущали задержки в реакции из-за повышенной нагрузки на службу поддержки.

Также в ходе проекта произведена интеграция инфраструктуры заказчика с сервисами, а именно:

— шлюзом удаленного доступа в отказоустойчивом исполнении для 1500 пользователей, работающих удаленно. Для усиления защиты была внедрена мультифакторная аутентификация;

— системой защиты веб-трафика для 2500 хостов в отказоустойчивом и масштабируемом кластере. Для защиты была внедрена прозрачная аутентификация на основе Active Directory Kerberos.

Итоги проекта

Так компания не просто отказалась от использования зарубежного облачного сервиса, снизив риски санкционных ограничений, но получила новую архитектуру безопасного доступа, полностью контролируемую внутри своей инфраструктуры и не зависящую от зарубежного провайдера. При этом ключевые принципы — сегментация, проверка пользователей и устройств, централизованное управление политиками — были сохранены и адаптированы под текущие требования бизнеса.

Дополнительным эффектом проекта стала большая прозрачность процессов информационной безопасности: заказчик получил расширенные возможности мониторинга и контроля.

Перспективы проекта

Ситуация с заменой решений по типу Zscaler сегодня характерна для многих крупных компаний. Организации переходят от зависимости от зарубежных облачных провайдеров к построению управляемых архитектур безопасности с опорой на локальные решения и собственную экспертизу.

Опыт проекта ICL Services показывает: грамотная архитектура и поэтапная миграция позволяют заменить критически важные сервисы без ущерба для бизнеса.