Как мультиформатная группа в Дубае защитила сеть с помощью сегментации и FortiGate

Мультиформатная сеть заведений общепита (Дубай) - Сетевая инфраструктура и безопасность

Challenge

Растущая группа заведений общепита, управляющая несколькими площадками по всему Дубаю, развивалась быстрее, чем за ней успевала её сеть. Инфраструктура стихийно разрослась в плоскую, практически недокументированную топологию — POS-терминалы, офисная бухгалтерия, CCTV и гостевой Wi-Fi находились в одном широковещательном домене, без какой-либо изоляции между чувствительными системами и публичным трафиком.

Руководству требовалась ясная задокументированная картина того, что на самом деле работает в сети, межсетевой экран, которому можно доверять на границе, и надлежащая сегментация, чтобы скомпрометированное гостевое устройство или POS-терминал никогда не могли добраться до финансовых или управленческих систем.

Solution

NOCKO начал с полного аудита топологии L2/L3, зафиксировав каждый интерфейс, VLAN и поток данных в единой исполнительной схеме. Мы развернули межсетевой экран FortiGate в качестве пограничного шлюза, обрабатывающего NAT и безопасный доступ по IPsec VPN для удалённых сотрудников, и настроили ядро на коммутаторе Cisco Nexus для маршрутизации между VLAN.

Плоская сеть была переработана в выделенные VLAN — корпоративный, POS, офисный, CCTV и гостевой — со списками управления доступом (ACL), ограничивающими чувствительные сегменты так, что гостевые и публичные устройства полностью изолированы от финансовых и управленческих систем. Весь проект был задокументирован и передан как поддерживаемая справочная база.

Results

Переработали плоскую сеть в сегментированные VLAN с изоляцией через ACL между чувствительным и публичным трафиком
Развернули пограничный межсетевой экран FortiGate с политиками управления и NAT
Обеспечили безопасный удалённый доступ для сотрудников через зашифрованный IPsec VPN
Полностью изолировали гостевой Wi-Fi и трафик POS от офисных и финансовых систем
Передали полную исполнительную схему топологии L2/L3 как единый источник достоверных данных о сети
«Впервые мы действительно знаем, как выглядит наша сеть. Гостевые устройства больше не могут добраться до наших POS или бухгалтерии, а удалённые сотрудники подключаются безопасно. NOCKO превратил клубок кабелей в задокументированную, защищённую систему.»