Eesti Raudtee
Eesti Raudtee ajakohastab Cloudflare'i abil kriitilise IT-infrastruktuuri ühendamise ja turvamise viisi
1870. aastast on riigile kuuluv Eesti Raudtee vastutanud raudtee tõrgeteta ja ohutu toimimise eest. Praegu haldab ettevõte enam kui 1200 km raudteed, muu hulgas 61 raudteejaama, millest kolm on piirijaamad (kaks Venemaa ja üks Läti piiril).
Riigi raudteeinfrastruktuuri omanikuna tegutseb Eesti Raudtee partnerina ka piiriüleste küsimuste lahendamisel, transiidistandardite kehtestamisel ning Eesti reisijate- ja kaubaveo äri edendamisel.
Ülesanne: vähendada IT keerukust ning edendada turvalist juurdepääsu ja hübriidtööd
155-aastase ajalooga kriitilise infrastruktuuri pakkujana on Eesti Raudtee omandanud mitmed tehnoloogiad, millest paljude [nt vanade virtuaalsete privaatvõrkude (VPN-ide)] hooldamine on järjest tülikam. Kuid COVID-pandeemia ja algselt isoleeritud operatsioonitehnoloogia (ingl Operational Technology, OT) süsteemide internetti ühendamisega seoses tekkis vajadus oma IT-süsteeme ajakohastada ning nende keerukust vähendada.
Eesti Raudtee on täheldanud ka piirkonna geopoliitilistest konfliktidest tulenevate küberriskide suurenemist. IT-juht Tõnu Tammer ütleb: „Ohumaastik muutub mitmekesisemaks. Kriitilise infrastruktuuri pakkujana oleme mitte ainult küberkurjategijate, vaid ka omaalgatuslike ja riiklikult toetatavate häkkerite pideva rünnaku all.“
Et toetada organisatsiooni missiooni saada regiooni digitaalselt kõige arenenumaks raudteeinfrastruktuuriks – kaitstes end samas ka küberriskide eest – seadis Eesti Raudtee järgmised eesmärgid.
- Kaasajastada oma kasutajate, rakenduste ja võrkude turvalisust, minnes üle nullusalduse mudelile
- Lihtsustada IT-haldust ja säästa aega, koondades turbelahenduste tarnijaid
- Parandada oma turvalisust, suurendades pilverakenduste kasutamise nähtavust
Nende eesmärkide saavutamiseks kasutas Eesti Raudtee Cloudflare'i ühenduvuspilve, et tagada kõigi ühenduste turvalisus.
Kiirendatud üleminek nullusaldusega turvalise juurdepääsu jaoks
Kui Tammer Eesti Raudteega liitus, mõistis ta, et pärandtehnoloogiate kombinatsiooni haldamine on tema väikese meeskonna jaoks pikas perspektiivis ülejõukäiv. „Meil on palju pärand-IT-d, mis on väga tavaline OT ning järelevalve- ja andmehõive (ingl supervisory control and data acquisition, SCADA) süsteemide puhul. Näiteks üks leping on üle 50 aasta vana,“ märgib ta. Peale selle suurendab riski ka ettevõttes hübriidtöö osakaalu suurenemine (muu hulgas kaugtöötajad ning kolmandatest pooltest töövõtjad ning partnerid).
Eesti Raudtee otsustas vähendada oma liigset sõltuvust aegunud perimeetripõhisest võrguturbest ja minna rakenduste turvaliseks juurdepääsuks üle nullusaldusele.
Pärast riigihankemenetlust otsustas Eesti Raudtee liituda Cloudflare'i turvalise juurdepääsu teenuseserva (ingl Security Service Edge, SSE) platvormiga, nimelt nullusalduse võrgujuurdepääsu (ingl Zero Trust Network Access, ZTNA), turvalise veebilüüsi (ingl Secure Web Gateway, SWG), pilvejuurdepääsu turbevahendaja (ingl Cloud Access Security Broker, CASB), ja kaugbrauseri eraldamisega (ingl Remote Browser Isolation, RBI). Cloudflare tegi tarnimisel koostööd kohaliku tarkvarapartneri Mosaic OÜ-ga.
Kasutuselevõtu esimeses etapis on Eesti Raudtee teinud juba edusamme peamiste nullusalduse juurdepääsu algatuste osas, mille hulka kuuluvad järgmised.
- Mitmefaktorilise autentimise (ingl multi-factor authentication, MFA) jõustamine kriitiliste rakenduste jaoks
- Seadme vastavuskontrolli haldamine ja jõustamine
- Turvalise juurdepääsu pakkumine asutusesisestele ja avalikele veebirakendustele
„Me ei saa anda kõigile VPN-i juurdepääsu, et nad saaksid seda igal ajal kasutada. Üks võti ei tohi avada kõiki uksi. Igal kasutajal peab olema juurdepääs ainult sellele, mida ta tingimata vajab,“ rõhutab Tammer. „Cloudflare'iga on meil parem kontroll ja nähtavus selle üle, kes, millele ja kuidas rakendustele juurde pääseb.“
Kuna Eesti Raudtee viib töö pilve, aitab võrgu segmentimine säilitada äritegevuse järjepidevust. „Oleme VPN-e kasutanud paljude erinevate kohapealsete teenuste ühendamiseks, kuid turvalisuse seisukohalt on need sama tugevad nagu papp,” ütleb Tammer. „Liikudes nullusalduse ülesehitusele, võimaldab Cloudflare meil ehitada pärandrakenduste ümber betoonseinu.”
Lisaks on nad ühendanud Cloudflare'i ning Microsoft Entra ja Intune'i võimalused, et autentida lõpp-punkti kasutaja seadmeliiklust ja jõustada ühtseid seadme asendipoliitikaid. Tammer ütleb: „Leidsime, et Cloudflare'i ja Microsofti ühendamine on lihtsaim lahendus, mis pakub kõiki nullusalduse võimalusi – ilma keerukuseta. Olen meeldivalt üllatunud, kui sujuvalt see kõik töötab.
Andmekao ja SaaS-i haavatavuste leevendamine
Cloudflare'i CASB-teenus on andnud Eesti Raudteele parema arusaama nende SaaS-i turvapositsioonist, tuvastades võimalikud andmelekked ja valekonfiguratsioonid lihtsa API-integreerimisega.
Näiteks Cloudflare'i kasutuselevõtu eelse aja kohta ütleb Tammer: „Oletame, et olid tundlikud SharePointi failid, mis oleksid pidanud olema piiratud väikese kasutajarühmaga, kuid mida tegelikult jagati asutuse sees laialt. CASB paljastab sellised juhtumid kiiresti. Saame tegutseda kiiremini, et vältida volitamata tegevust ja minimeerida andmekadu.
Cloudflare'i CASB API integratsioonid kriitiliste platvormide, nagu Microsoft, Atlassian ja ServiceNow, jälgimiseks säästavad samuti aega. „Cloudflare'i ühenduvuspilv aitab meil erinevaid pilvi kokku panna viisil, mida me ise teha ei saaks,“ kirjeldab Tammer. „Võiksime proovida integratsioone ise üles ehitada, aga minu töö ei ole põhifunktsioonide täitmiseks erinevaid asju kombineerida,“ kirjeldab Tammer. „Cloudflare võimaldab mul keskenduda rohkem põhitööle – veenduda, et kogu süsteem töötab ja loob väärtust.“
Cloudflare'i üldine kasutuslihtsus laieneb ka selle tsentraalsele haldamisele. Tammer ütleb: „Erinevalt teistest pilveteenustest, mille armatuurlaud võib liiga keeruline olla, on Cloudflare'il lihtne leida õigeid nuppe, kui ma neid vajan. See on kõikehõlmav – mitte kohmakas.“
Veebirakenduste kiirendamine ja kaitsmine
Eesti Raudtee on veelgi keerukust vähendanud, koondades peamised veebirakenduste teenused Cloudflare'i. Nagu Tammer märgib: „Ärivajadused muutuvad ja meie tööviis muutub. Kasutades jätkuvalt palju tarnijaid, on keeruline kõiki meie organisatsiooni riske minimeerida. Cloudflare on aidanud meil vähendada lahenduste hulka ja tehnilist keerukust.“
Internetiühenduse loomiseks kasutatava mitmepunktilahenduse asemel kasutab organisatsioon nüüd Cloudflare'i sisu edastamise võrku (ingl Content Delivery Network, CDN), veebirakenduse tulemüüri (ingl Web Application Firewall, WAF), DDoS-kaitset ja reaalajas nutikat marsruutimist.
„Kaitse peab olema kihiline, nagu sibul. Nii saame loota sellele, et kui üks kiht ebaõnnestub, on alati järgmine ja järgmine,“ lisab Tammer. „Cloudflare aitab kõiki neid kihte kooskõlastada, et halvad asjad meie organisatsiooni rööpast välja ei viiks.“
Tammerile on avaldanud erilist muljet Cloudflare'i võrgu mastaapsus DDoS-i ja muude veebirünnakute eest kaitsmisel, latentsusaja vähendamisel ning sisu Eesti Raudtee klientidele lähemale viimisel.
„Cloudflare'iga töödeldakse õigupoolest Eestis enamik, kui mitte kogu meie kasutajate liiklus. Meil pole vaja liiklust tagasi mõnda teise andmekeskusesse suunata, seega kulub võrguliikluse edasi-tagasi suunamisele vähem aega,“ selgitab Tammer. „Cloudflare'i võrgu reageerimisvõime on kõrgem tase.“
Mis edasi: SASE arhitektuuri arendamine
Et jätkata esmase nullusalduse edu kasutamist esmatähtsate kasutusjuhtude puhul, plaanib Eesti Raudtee lõpuks saavutada turvalise juurdepääsu teenuseserva (SASE) arhitektuuri. Võrreldes traditsioonilise võrguturbega, pakub SASE mitmeid eeliseid, nagu väiksem risk, suurem operatiivsus, tugevam andmepoliitika jõustamine ja parem hübriidtöökogemus.
SASE teekonda kirjeldades ütleb Tammer, et Eesti Raudtee loob „meie lõppkasutajatele ühtse lähenemisviisi meie teenustega ühenduse loomiseks, olenemata nende asukohast.“
Ta lisab: „Peame eraldama võrguteed, mida töötajad ja partnerid kasutavad töörakendustega ühenduse loomiseks, isiklikust internetikasutusest. Sest kui nad loovad ühenduse meie infrastruktuuriga, peab sellel olema kogu vajalik võrgu krüptimine, turvalisus ja jõudlus.“
„Pärandarhitektuuri üleviimine ei ole lihtne,“ ütleb Tammer kokkuvõtteks. „Igal äri kasutusjuhtumil on palju nüansse ja sama lähenemine ei sobi kõigile. Kuid Cloudflare pakub tööriistakasti, mida vajame oma lähenemisviisi kaasajastamiseks.
-
Asendati mitu pärandturbesüsteemi, koondades võtmeteenused ühenduvuspilve
-
Vähendati haldamise keerukust ja VPN-idest sõltuvust, välistades kasutajatele (nt töövõtjatele) täieliku võrgujuurdepääsu andmisest tulenevad riskid
-
Lühemad laadimisajad HTTP/3, CDN ja muu kasutamise kaudu, mis parandavad veebisaidi külastajate kasutuskogemust, suurendades samal ajal küberturvalisust WAF-i, DDoS-i kaitse kasutamise ning juurdepääsu abil
-
Täiustatud üldine turvalisus ja minimeeritud andmekadu, suurendades SaaS-i rakenduste nähtavust
“Üks võti ei tohi avada kõiki uksi; iga kasutaja või seade peab jõudma ainult selleni, mida ta tingimata vajab. Cloudflare'iga on meil nüüd parem kontroll ja nähtavus selle üle, kes, millele ja kuidas juurde pääseb.”
Tonu Tammer
IT-juht
“Cloudflare'i ühenduvuspilv aitab meil erinevaid pilvi kokku panna viisil, mida me ise teha ei saaks.”
Tonu Tammer
IT-juht