BUDVAR systematicky zvyšuje svou kybernetickou bezpečnost

Budějovický Budvar, národní pivovar je posledním velkým pivovarem, který zůstal plně v českých rukou. Lidé v něm už více jak 125 let, dle originální receptury a za nejlepšího svědomí vaří poctivé české pivo, které dělá radost lidem nejen doma v Českých Budějovicích, ale v dalších více jak 70 zemích světa. Jsou to především prvotřídní suroviny, křišťálová voda z 300 metrů hlubokých artéských studní, žatecký chmel a moravský slad, které stojí v základu úspěchu tradiční, léty ověřené receptury. V roce 2021 se národní pivovar těšil z 1,809 mil. hektolitrů a každá kapka byla uvařena právě v Českých Budějovicích.

Na začátku všeho byla analýza. S příchodem nového ředitele IT vznikla potřeba zmapování stavu bezpečnosti IT v organizaci. Naši specialisté po několika konzultacích přesvědčili zákazníka o kvalitách našich služeb a získali poptávku na vypracování analýzy současného stavu kybernetické bezpečnosti.

V této analýze používáme potřebné bezpečnostní metodiky, sbíráme data, realizujeme rozhovory na téma používaných aplikací a procesů a dle získaných dat hodnotíme vyspělost organizace v dané oblasti. Zohledňujeme technologický pohled, ale i pohled strategický, tedy, zda existuje analýza rizik, jestli jsou zpracované plány reakcí, hodnotíme personální zázemí. Pro podnik Budvar jsme fakticky prošli postupy, jak pracuje více jak 600 zaměstnanců, zhodnotilo se, co znamená 1 den výpadku a kolik milionů Kč to firmu stojí a jakou část nejvíce zasáhne. Výsledkem pak byla sada doporučení a časový postup kroků, pro postupné zvyšování bezpečnosti.

Na základě dohody o dlouhodobé spolupráci a rozsahu předplacených konzultačních dnů bylo možno, dobře si vysvětlit výhody a nevýhody možných navrhovaných řešení, pro některé oblasti provést Proof of Concept a přesněji tak definovat dílčí požadavky a samostatné projekty. Budvar pak tyto dílčí realizační projekty řeší formou poptávky v rámci veřejných výběrových řízení.

Jako jeden z prvních realizačních projektů bylo navrženo řešení zvyšování kybernetické bezpečnosti organizace pomocí segmentace podnikové sítě a následně i mikro-segmentace tak, aby bylo možné pro každé jedno zařízení či uživatele nastavit úroveň práv pro komunikaci v rámci podnikové sítě. Ze dvou možných navržených cest bylo zvoleno centralizované řešení s globálním policy serverem, které umožňovalo mikro-segmentaci přístupu k síti v plném smyslu slova, centrální správu politik i celého životního cyklu řešení, jak na centrále i v dalších lokalitách a integraci s firewally i MDM systémy organizace. Jde o řešení „vše v jednom“, které nabízí kontrolu zdraví přistupujících zařízení, samosprávu BYOD zařízení jejich uživateli i správu přístupu hostů. Vše s patřičnými integračními vazbami na další bezpečnostní systémy, pomocí technologie HPE Aruba ClearPass.

Navržené řešení s využitím technologií HPE Aruba stojí a padá s technologií dynamické segmentace, díky které pomocí tunelů, provoz jakéhokoliv zařízení vyvádíme na HPE Aruba Gateway. Data veškerých uživatelů jsou tak centralizovaná a lze na nich provádět bezpečnostní operace, filtraci provozu a určovat kvalitu služby díky tomu, že vidíme do kontextu aplikace a uživatele. Výhodou je, že každý uživatel má vlastní tunel, který je sestavený dle definované role a který může být individuálně kontrolován. S těmito technologiemi lze naplňovat očekávání zákazníka o zvyšování zabezpečení organizace.

Jednou z potřeb bylo zajištění přístupu zařízení síti, na základě jeho momentálního stavu/zdraví. To znamená, že zařízení splňuje všechny definované compliance podmínky a je zabezpečena aktivní ochrana před zavlečením hrozeb, což bylo pořešeno pomocí modulu HPE Aruba ClearPass OnGuard. Byly řešeny i požadavky pro přístup návštěvníků / hostů a to tak, aby bylo co nejjednodušší, ale zároveň zákazník zaregistroval svou identitu a zároveň bylo ověřeno, že je uvnitř areálu, nikoliv někde za zdí. Víceúrovňové zosobnění hostů zabezpečuje modul HPE Aruba ClearPass Guest.

Základ řešení je postaven na branách řady HPE Aruba 7200, která je vybavena i licencí pro SD-WAN. Celé řešení je jednotně spravováno systémem HPE Aruba Central, díky kterému může být celý provoz monitorován a řízen s využitím síly cloudu a strojového učení. Obrovská výhoda je, že přes tento systém je k dispozici jednotný vhled do řízení celého provozu a není nutno dalších nástrojů.

Součástí projektu byly vysoké požadavky na integraci s dalšími prvky ekosystému komunikační infrastruktury organizace, s technologií stávajících firemních firewallů, s používanými podnikovými MDM systémy pro správu zařízení, atd. Celé řešení je připraveno do budoucna na integraci s IoT světem a využitím senzoriky ve výrobě či logistice.