Виртуальный NGFW как межсетевой экран с задействованием средств СКЗИ (ФПСУ-IP)

Паттерн виртуального NGFW в качестве межсетевого экрана для виртуальной инфраструктуры Заказчика в облаке Advanced при подключении к сторонним информационным системам с задействованием средств СКЗИ (ФПСУ-IP) имеет следующие преимущества и риски:

Преимущества паттерна

Риски

Стандартизация подключения в облако Advanced клиентских устройств безопасности

Отсутствуют

Общая схема

../../_images/schm__templates_adv_security-tools_virtual-ngfw-dc-cipf.svg

Описание паттерна

Стандартизированное подключение клиентских устройств СКЗИ в виртуальной инфраструктуре Заказчика в облаке Advanced.

Реализация

  1. Организация сетевой связанности виртуальной инфраструктуры Заказчика в облаке Advanced и сторонней информационной системы через услугу Direct Connect

  2. Выделение служебного VPC в облаке Advanced для разворачивания виртуального NGFW

  3. Настройка vpc peering с клиентскими VPC

  4. В клиентских Заказчику необходимо прописать статический маршрут по умолчанию в сторону vpc peering, где расположен пограничный фаервол

  5. В служебном VPC прописать статический маршрут по умолчанию в сторону внутреннего сетевого адаптера виртуального NGFW

  6. Настройка DC-линка, через который подключается СКЗИ устройство

  7. Настройка сетевых правил для DC-линка

  8. Записать DC-линк в таблицу маршрутизации (default routing table)

  9. Настройка статического маршрута через DC-линк до сетей защищаемых СКЗИ