Finansijska institucija

Kontekst

Institucija sa više filijala i strogo regulisanim pristupom aplikacijama i bazi. Postojeći „flat“ LAN je otežavao reviziju i incident response.

Izazov

Jedan broadcast domen za radne stanice i servere
Potreba za dokumentovanim mrežnim tokovima
Zahtjev za enkriptovanim linkovima između lokacija

Arhitektura

Novi VLAN plan: korisnici, serveri, uprava, DMZ za zajedničke servise
Site-to-site VPN (IPsec) između filijala i data centra
Politike na firewall-u grupisane po ulogama (AD grupe gdje je primjenjivo)

Matrica pristupa (pojednostavljeno)

Izvor	Odredište	Protokol	Akcija
Workstations	App tier	HTTPS	Dozvoljeno
Workstations	DB tier	—	Zabranjeno direktno
Branch WAN	HQ DC	IPsec	Dozvoljeno

Konfiguracioni trag

text

crypto isakmp policy 10 encr aes authentication pre-share group 2!crypto map BRANCH-MAP 10 ipsec-isakmp set peer 203.0.113.10 set transform-set TS-FIN match address FIN-TRAFFIC

crypto isakmp policy 10 encr aes authentication pre-share group 2!crypto map BRANCH-MAP 10 ipsec-isakmp set peer 203.0.113.10 set transform-set TS-FIN match address FIN-TRAFFIC

Operativa

Logovi se šalju na centralni SIEM; redovni pentest ciklusi validiraju promjene. RTO za kritične servise je dogovoren i testiran planom oporavka.

Ishod

Manja površina napada, jasniji audit trag i predvidljivo ponašanje mreže pod opterećenjem.