Artykuł z magazynu ITwizAdvertorialCyberbezpieczeństwoPolecane tematy
CD Projekt RED wdrożył firewalle Huawei
Advertorial
Advertorial
CD Projekt RED zdecydował się na wymianę starego urządzenia na rozwiązania Huawei klasy Next-Generation Firewall. Za wdrożenie odpowiadała firma S4E, dystrybutor tego producenta w Polsce i jego partner – spółka itchange. O kulisach wyboru i instalacji sprzętu rozmawiamy z Grzegorzem Królikowskim, Senior IT System Administratorem w CD Projekt RED.
Poprzez wymianę firewalla CD Projekt RED chciał zwiększyć poziom bezpieczeństwa m.in. dzięki wykorzystaniu funkcji UTM i lepszej kontroli aplikacji. „Nowe rozwiązanie znacząco zwiększyło też liczbę funkcji, z których korzystają administratorzy. Pozwoliło nam również na lepsze dostosowanie się do dynamicznie zmieniającego się zespołu twórców gier” – mówi Grzegorz Królikowski. CD Projekt RED zatrudnia ponad 400 osób z całego świata. Ich liczba zmienia się jednak w zależności od intensywności prac nad projektami. Nad „Wiedźminem 3: Dziki Gon” pracowało w sumie ponad 1500 osób.
Założone w 2002 roku studio CD Projekt RED powstało dzięki pasji i miłości do gier. Jego założyciele – Michał Kiciński i Marcin Iwiński, pionierzy dystrybucji gier wideo w Polsce – zdecydowali się wykorzystać doświadczenie wyniesione ze współpracy z największymi światowymi markami, aby tworzyć gry najwyższej jakości. Dziś CD Projekt RED to wiodący twórca gier typu RPG.
Budowa systemu bezpieczeństwa o wysokiej dostępności
„Za wyborem nowego firewalla Huawei przemawiała także jakość oraz cena w stosunku do liczby dostępnych funkcji. Bardzo spodobał nam się również interfejs konsoli dla administratorów. Dzięki nowym narzędziom wiele rzeczy mogliśmy zautomatyzować, oszczędzając sporo naszego czasu. Łatwiejsza jest też konfiguracja nowego urządzenia, co pozwala lepiej chronić nasze środowisko IT” – dodaje. Dla CD Projekt RED ważne było również zapewnienie redundancji stosowanych rozwiązań firewall. Dotychczas używane urządzenie nie było już produkowane, niemożliwy był więc zakup zapasowego firewalla.
Obecnie w firmie działa klaster urządzeń Huawei USG6380 pracujących w trybie Active-Standby, zapewniając wysoką dostępność całego środowiska. W razie awarii jednego firewalla, klaster automatycznie przełącza na drugie urządzenie, bez ingerencji administratora. Każde z urządzeń wyposażone jest w redundantne zasilacze; dysk 300 GB, który daje duże możliwości związane z logowaniem i raportowaniem, oraz licencje na funkcjonalności IPS/AV/URLF (Intrusion prevention system/Anti-Virus/URL Filtering) na 3 lata wraz z serwisem.
• filtrowanie aplikacji,
• skanowanie antywirusowe,
• inteligentne zarządzanie pasmem,
• funkcja Active-Standby – zapewniająca wysoką dostępność w klastrze dwóch firewalli Huawei,
• filtrowanie adresów URL – filtrowanie stron internetowych na podstawie pokategoryzowanych baz stron WWW, np. serwisów social mediów czy Peer-to-Peer,
• narzędzia do raportowania.
„Wdrożone firewalle zapewniają nam brak ograniczeń, jeśli chodzi o wykorzystywaną funkcjonalność. Producent wcześniej stosowanego urządzenia w znaczącym stopniu uzależniał koszty licencji, jaką posiadaliśmy, od tego, z jakich funkcji korzystaliśmy. Każda kolejna była dodatkowo płatna. Dotyczyło to np. tuneli VPN, zwłaszcza z zabezpieczeniem SSL. Ogólnie struktura licencjonowania poprzedniego urządzenia była bardzo skomplikowana” – tłumaczy Grzegorz Królikowski. Huawei w standardzie daje licencje m.in. na 100 sesji SSL VPN oraz 10 wirtualnych firewalli. Dodaje również bezpłatnie funkcjonalność tuneli IPSec.
Lepsza kontrola aplikacji dzięki zastosowaniu funkcji UTM
Jednym z wymagań stawianych przez CD Projekt RED przed nowym urządzeniem firewall była – niedostępna wcześniej – kontrola nad aplikacjami. Dlatego zdecydowano się na rozwiązania Huawei USG z funkcjami UTM (Unified Threat Management). „Mamy stosunkowo łagodną politykę, jeśli chodzi o dostęp do internetu. Tym bardziej więc potrzebna była nam zaawansowana ochrona. Wiele zagrożeń, które się dziś pojawiają, nie są wykrywane przez klasyczne firewalle. Dlatego wybraliśmy urządzenie klasy UTM, które każdy ruch traktuje jak aplikację, a nie analizuje jedynie porty oraz docelowe i źródłowe adresy IP” – wyjaśnia Grzegorz Królikowski. „Dzięki nowemu rozwiązaniu możemy blokować dowolną aplikację” – dodaje.
Z tego samego względu ważna dla administratorów CD Projekt RED jest także – dostępna w rozwiązaniu Huawei – funkcja inteligentnego zarządzania pasmem. Umożliwia ona administratorom ograniczenie wykorzystania pasma dla konkretnych usług. W pewnych godzinach – albo po prostu, gdy zwiększy się obciążenie łącza – można łatwo zmniejszyć dostępne pasmo np. do poziomu 4 Mb/s dla każdego użytkownika. Ważne jest to w przypadku firmy, w której pracuje ponad 400 osób. Wcześniej administratorzy mogli tylko włączyć ograniczenie na konkretny typ usług, np. http.
Dostosowanie do dynamicznie zmieniającego się środowiska deweloperów
Pracę administratorów CD Projekt RED bardzo ułatwia integracja zakupionego firewalla z usługami katalogowymi Active Directory. „Dzięki temu nie trzeba wpisywać adresu IP, a jedynie login użytkownika. Wcześniej nie mieliśmy takiej możliwości. Dużo łatwiej jest nam w związku z tym dostosować się do dynamicznie zmieniającego się środowiska deweloperów gier w CD Projekt RED. Jeśli ktoś podłączył się do innej sieci wewnętrznej, niż robił to dotychczas, to dział IT nie musi aktualizować jego adresu IP, bo nadal korzysta z tego samego konta domenowego. Użytkownik dzięki temu może bez problemu korzystać z internetu i innych, specyficznych, udostępnianych mu przez nasz dział usług” – wyjaśnia Grzegorz Królikowski.
Jest to bardzo ważne dla pracowników CD Projekt RED. „Przykładowo, deweloperzy często muszą mieć dostęp do platform, takich jak GOG.com, Steam, Uplay czy Origin. Z kolei marketing potrzebuje dostępu do narzędzi do szybkiego przesyłania danych, np. Asana i Signiant. Usługi te to rozwinięcie koncepcji ftp. Pozwalają szybko pobrać dane z chmury, oczywiście wcześniej przefiltrowane dzięki – dostępnej w naszym nowym firewallu – usłudze SSH” – dodaje. Rozwiązanie Huawei pozwala także blokować tunele, jeśli ktoś w ten sposób chciałby zagrozić firmie. Pozwala to administratorom CD Projekt RED łatwo stworzyć odpowiednie reguły i zautomatyzować przesyłanie codziennych raportów na temat poziomu bezpieczeństwa.
Podłączenie nowego firewalla Huawei wymagało zaledwie zmiany dwóch komend na przełączniku w sieci CD Projekt RED. Wcześniej specjaliści firmy S4E pomogli w jego skonfigurowaniu, a także przeprowadzili szkolenie administratorów.
• Oszczędność czasu dzięki automatyzacji wielu zadań związanych z zarządzaniem firewalla.
• Bardziej rozbudowana – w porównaniu z poprzednim urządzeniem – możliwość konfiguracji.
• Lepsze dostosowanie nowego rozwiązania do dynamicznie zmieniającego się środowiska deweloperów gier w CD Projekt RED.
• Lepsza ochrona dzięki zastosowaniu rozwiązania klasy UTM, w tym związana z analizą bezpieczeństwa aplikacji.