Данный кейс расскажет о том, как мы успешно осуществили создание безопасной ИТ-инфраструктуры российского подразделения крупной международной компании.
Этот проект представляет собой пример того, как внедрение инновационных подходов и комплексных решений позволило эффективно преодолеть сложности интеграции сервисов и обеспечить защищенную среду для работы крупной организации.
Исходные данные
В связи со сложной политической ситуацией многие иностранные компании покидают российский рынок, а их сегменты, расположенные в России, начинают работать как отдельные предприятия. Так и в случае с нашим клиентом — крупная международная организация прекратила деятельность в Российской Федерации, а для новообразованной фирмы требовалось создать свою ИТ-инфраструктуру.
В компании в удаленном режиме работает около 90 сотрудников, которые располагаются в различных городах страны. Предприятие занимается сложными инженерными системами, поэтому самым главным требованием к новой ИТ-инфраструктуре был эталонный уровень безопасности.
Задачи проекта
- 1Спроектировать и построить отказоустойчивую ИТ-инфраструктуру;
- 2Оперативно организовать переход сотрудников компании на новую IT-систему;
- 3Подготовить техническую документацию и провести инструктаж по работе в новой инфраструктуре.
Создание безопасной ИТ-системы для предприятия клиента
Уже на первой встрече с сотрудниками заказчика удалось провести предпроектную работу и согласовать уровень затрат на весь проект, а также обсудить целый ряд нюансов, включая уровень безопасности, организацию сетевой архитектуры, миграцию почты, используемые сервисы и многое другое.
Заметим, что так как сотрудники компании являются техническими специалистами, на встрече были достаточно точно озвучены все требования к будущей ИТ-инфраструктуре. Клиент четко понимал, какое программное обеспечение ему необходимо.
На основе предоставленных заказчиком исходных данных наши инженеры подготовили проект облачной инфраструктуры и приступили к его реализации.
Уровень безопасности ИТ-инфраструктуры
Защищенности и сохранности корпоративной информации в данном проекте уделена ведущая роль. Высокий уровень безопасности поддерживается благодаря следующим решениям:
- 1Работа всех сотрудников организована через безопасный VPN-канал c двухфакторной авторизацией. Пользователь подключается по своим индивидуальным логину и паролю, а для подтверждения входа требуется ввести дополнительный код из мобильного приложения (используется российский сервис «Яндекс Ключ»).
- 2Внедрен контроллер доменов Active Directory — данное решение позволяет повысить уровень безопасности, а также улучшить эффективность управления распределением прав доступа к тем или иным сегментам ИТ-инфраструктуры.
- 3Организовано регулярное двойное резервное копирование виртуальных машин — бэкапы сохраняются на сервер, расположенный в офисе компании в Санкт-Петербурге, а также в облачное хранилище.
- 4Каждому сотруднику на его рабочем компьютере установлен сервис BitLocker, чтобы предотвратить доступ к данным в случае утери ноутбука. Для запуска виртуальных машин требуются пин-коды.
- 5На рабочие места сотрудников установлено программное обеспечение, позволяющее отслеживать действия каждого отдельного специалиста. В случае инцидента это позволит определить причину и отследить нарушителя. Была настроена DLP-система и поднят централизованный сервер, который собирает всю информацию.
- 6Для проверки потока писем и гибкой настройки почтовой службы был развернут почтовый шлюз с функцией антиспама и антивируса.
- 7Также для клиента предоставлены примеры юридической документации — соглашение с сотрудниками о неразглашении конфиденциальной информации.
Расскажем подробнее о процессе построения новой ИТ-инфраструктуры
Все тестовые работы мы вели на мощностях своего облака. Первым этапом стало построение VPN-сервера для безопасного взаимодействия всех сотрудников компании, и только после этого инженеры приступили к созданию серверов и настройке сервисов.
Построение почтового сервера
Для клиента было важна не только безопасность информации, но и прозрачная лицензионная политика (взаимодействие с программными продуктами, разработчики которых не прекратили работу с Россией). Кроме того, одним из условий была интеграция выбранного почтового сервиса с Microsoft Outlook.
В качестве программного обеспечения, на основе которого мы построили сервер, выбрано бесплатное ПО Zimbra и дополнительный платный программный пакет под него — Zextras Suite Pro.
Клиент приобрел доменное имя, и мы реализовали проект создания почтового сервера, а также организовали на него миграцию существующих архивов писем.
Переключение пользователей велась частями — сперва группа из 15 сотрудников клиента тестировала работу сервиса, а после успешных правок конфигурации, мигрировали оставшиеся пользователи.
Подробнее о почтовом сервисе и решении возникших сложностей мы рассказываем в своем кейсе «Построение почтового сервера на базе Zimbra и дополнительного программного пакета — Zextras Suite Pro».
Организация рабочих мест сотрудников
Для обеспечения дополнительного уровня безопасности, а также создания гибких рычагов управления, рабочие места пользователей созданы в виде виртуальных машин, которые выдаются индивидуально каждому сотруднику. Каждая ВМ дополнительно защищена программой BitLocker — без знания пин-кода с рабочего места невозможно достать какую-либо информацию.
Около 30 часов было потрачено инженерами на создание, настройку и корректировку оптимизированного образа виртуальной машины, после чего она была подгружена на сервер. Каждая ВМ была заведена в домен и настроена под конкретного сотрудника. Также индивидуально каждому сотруднику отправлены коды доступа на то, чтобы запустить VPN и свою виртуальную машину.
Двухфакторная авторизация настроена как в случае подключения к VPN, так и для доступа к почтовому сервису.
Настройка сетевого оборудования в офисе
В процессе реализации проекта клиент попросил настроить сетевое оборудование в его открывшемся офисе в Санкт-Петербурге. Наши инженеры настроили L2-канал связи между офисом и частным облаком. Так как компания работает в режиме 24/7, потребовалось организовать резервный канал Интернета, чтобы обеспечить бесперебойную круглосуточную связь.
Дополнительный файловый сервер и настройка бэкапов
Заказчик попросил разместить в его офисе физический файловый сервер для баз данных, а также бэкапов виртуальных машин сотрудников. Мы реализовали построение сервера и настроили резервирование данных.
Файловый сервер настроен с распределением доступа пользователей к различным его сегментам, в соответствии с предоставленной заказчиком матрицей прав доступа. Кроме этого, наши инженеры настроили автоматическое подключение необходимых папок на рабочие места сотрудников.
Таким образом у компании было настроено двойное регулярное резервирование — на физический сервер в офисе, а также в облачное хранилище (в соответствии с регламентами нашей компании).
Переключение пользователей на новую ИТ-инфраструктуру
После завершения всех тестовых работ и запуска ИТ-инфраструктуры в продакшен, нам предстояла объемная работа по миграции пользователей в новую ИТ-систему. Основная сложность заключалась в необходимости выполнить данную работу в сжатые сроки.
Реализовать задачу удалось благодаря системно подготовленным инструкциям для пользователей, а также беспрерывной работе наших инженеров. Два инженера в режиме нон-стоп занимались подключением пользователей, в порядке, согласованном с заказчиком.
Сопутствующие работы
- Параллельно с построением новой ИТ-инфраструктуры, наш Битрикс-отдел выполнял для клиента ряд задач по внедрению CRM. Специалисты осуществляли настройки сервисов и консультации пользователей по возможностям данной системы управления.
- После запуска ИТ-инфраструктуры в эксплуатацию наши инженеры помогали сотрудникам клиента реализовать доменную авторизацию для различных программных продуктов.
Результаты
- 1Для клиента построена надежная ИТ-инфраструктура, чей уровень безопасности подобен непреступной крепости. Сохранность данных и отказоустойчивость систем обеспечиваются на нескольких уровнях.
- 2Миграция пользователей в новую систему реализована в кротчайшие сроки, без остановки бизнес-процессов компании.
- 3Часть сервисов наша компания взяла на абонентскую поддержку, а часть обслуживают штатные сотрудники компании.
- 4Благодаря внедренным системам безопасности, клиент имеет возможность отслеживать деятельность своих сотрудников и в режиме онлайн управлять правами доступа.
- 5Построение ИТ-инфраструктуры на базе частного облака позволяет в любой момент масштабировать систему, добавив новые мощности.
- 6В результате реализации данного проекта предприятие обеспечило надежную и безопасную инфраструктуру для поддержки своих клиентов и сотрудников.
Предлагаем нашим читателям также ознакомиться с проектом «Внедрение DLP-системы на крупном предприятии».