Безопасная ИТ-инфраструктура для крупной инжиниринговой компании

15 мая 2023
Компания:
Поставщик высокотехнологичных инженерных решений
Сфера деятельности:
Обслуживание и поддержка инженерного оборудования
Аутсорсинг
Аутсорсинг

Данный кейс расскажет о том, как мы успешно осуществили создание безопасной ИТ-инфраструктуры российского подразделения крупной международной компании.

Этот проект представляет собой пример того, как внедрение инновационных подходов и комплексных решений позволило эффективно преодолеть сложности интеграции сервисов и обеспечить защищенную среду для работы крупной организации.

Реорганизация ИТ-инфраструктуры

Исходные данные

В связи со сложной политической ситуацией многие иностранные компании покидают российский рынок, а их сегменты, расположенные в России, начинают работать как отдельные предприятия. Так и в случае с нашим клиентом — крупная международная организация прекратила деятельность в Российской Федерации, а для новообразованной фирмы требовалось создать свою ИТ-инфраструктуру.

В компании в удаленном режиме работает около 90 сотрудников, которые располагаются в различных городах страны. Предприятие занимается сложными инженерными системами, поэтому самым главным требованием к новой ИТ-инфраструктуре был эталонный уровень безопасности.

Задачи проекта

  • 1Спроектировать и построить отказоустойчивую ИТ-инфраструктуру;
  • 2Оперативно организовать переход сотрудников компании на новую IT-систему;
  • 3Подготовить техническую документацию и провести инструктаж по работе в новой инфраструктуре.

Создание безопасной ИТ-системы для предприятия клиента

Уже на первой встрече с сотрудниками заказчика удалось провести предпроектную работу и согласовать уровень затрат на весь проект, а также обсудить целый ряд нюансов, включая уровень безопасности, организацию сетевой архитектуры, миграцию почты, используемые сервисы и многое другое.

Заметим, что так как сотрудники компании являются техническими специалистами, на встрече были достаточно точно озвучены все требования к будущей ИТ-инфраструктуре. Клиент четко понимал, какое программное обеспечение ему необходимо.

На основе предоставленных заказчиком исходных данных наши инженеры подготовили проект облачной инфраструктуры и приступили к его реализации.

Уровень безопасности ИТ-инфраструктуры

Защищенности и сохранности корпоративной информации в данном проекте уделена ведущая роль. Высокий уровень безопасности поддерживается благодаря следующим решениям:

  • 1Работа всех сотрудников организована через безопасный VPN-канал c двухфакторной авторизацией. Пользователь подключается по своим индивидуальным логину и паролю, а для подтверждения входа требуется ввести дополнительный код из мобильного приложения (используется российский сервис «Яндекс Ключ»).
  • 2Внедрен контроллер доменов Active Directory — данное решение позволяет повысить уровень безопасности, а также улучшить эффективность управления распределением прав доступа к тем или иным сегментам ИТ-инфраструктуры.
  • 3Организовано регулярное двойное резервное копирование виртуальных машин — бэкапы сохраняются на сервер, расположенный в офисе компании в Санкт-Петербурге, а также в облачное хранилище.
  • 4Каждому сотруднику на его рабочем компьютере установлен сервис BitLocker, чтобы предотвратить доступ к данным в случае утери ноутбука. Для запуска виртуальных машин требуются пин-коды.
  • 5На рабочие места сотрудников установлено программное обеспечение, позволяющее отслеживать действия каждого отдельного специалиста. В случае инцидента это позволит определить причину и отследить нарушителя. Была настроена DLP-система и поднят централизованный сервер, который собирает всю информацию.
  • 6Для проверки потока писем и гибкой настройки почтовой службы был развернут почтовый шлюз с функцией антиспама и антивируса.
  • 7Также для клиента предоставлены примеры юридической документации — соглашение с сотрудниками о неразглашении конфиденциальной информации.

Безопасность ИТ-инфраструктуры

Расскажем подробнее о процессе построения новой ИТ-инфраструктуры

Все тестовые работы мы вели на мощностях своего облака. Первым этапом стало построение VPN-сервера для безопасного взаимодействия всех сотрудников компании, и только после этого инженеры приступили к созданию серверов и настройке сервисов.

Построение почтового сервера

Для клиента было важна не только безопасность информации, но и прозрачная лицензионная политика (взаимодействие с программными продуктами, разработчики которых не прекратили работу с Россией). Кроме того, одним из условий была интеграция выбранного почтового сервиса с Microsoft Outlook.

В качестве программного обеспечения, на основе которого мы построили сервер, выбрано бесплатное ПО Zimbra и дополнительный платный программный пакет под него — Zextras Suite Pro.

Клиент приобрел доменное имя, и мы реализовали проект создания почтового сервера, а также организовали на него миграцию существующих архивов писем.

Переключение пользователей велась частями — сперва группа из 15 сотрудников клиента тестировала работу сервиса, а после успешных правок конфигурации, мигрировали оставшиеся пользователи.

Подробнее о почтовом сервисе и решении возникших сложностей мы рассказываем в своем кейсе «Построение почтового сервера на базе Zimbra и дополнительного программного пакета — Zextras Suite Pro».

Организация рабочих мест сотрудников

Для обеспечения дополнительного уровня безопасности, а также создания гибких рычагов управления, рабочие места пользователей созданы в виде виртуальных машин, которые выдаются индивидуально каждому сотруднику. Каждая ВМ дополнительно защищена программой BitLocker — без знания пин-кода с рабочего места невозможно достать какую-либо информацию.

Подготовка рабочих мест для сотрудников

Около 30 часов было потрачено инженерами на создание, настройку и корректировку оптимизированного образа виртуальной машины, после чего она была подгружена на сервер. Каждая ВМ была заведена в домен и настроена под конкретного сотрудника. Также индивидуально каждому сотруднику отправлены коды доступа на то, чтобы запустить VPN и свою виртуальную машину.

Двухфакторная авторизация настроена как в случае подключения к VPN, так и для доступа к почтовому сервису.

Настройка сетевого оборудования в офисе

В процессе реализации проекта клиент попросил настроить сетевое оборудование в его открывшемся офисе в Санкт-Петербурге. Наши инженеры настроили L2-канал связи между офисом и частным облаком. Так как компания работает в режиме 24/7, потребовалось организовать резервный канал Интернета, чтобы обеспечить бесперебойную круглосуточную связь.

Дополнительный файловый сервер и настройка бэкапов

Заказчик попросил разместить в его офисе физический файловый сервер для баз данных, а также бэкапов виртуальных машин сотрудников. Мы реализовали построение сервера и настроили резервирование данных.

Файловый сервер настроен с распределением доступа пользователей к различным его сегментам, в соответствии с предоставленной заказчиком матрицей прав доступа. Кроме этого, наши инженеры настроили автоматическое подключение необходимых папок на рабочие места сотрудников.

Таким образом у компании было настроено двойное регулярное резервирование — на физический сервер в офисе, а также в облачное хранилище (в соответствии с регламентами нашей компании).

Переключение пользователей на новую ИТ-инфраструктуру

После завершения всех тестовых работ и запуска ИТ-инфраструктуры в продакшен, нам предстояла объемная работа по миграции пользователей в новую ИТ-систему. Основная сложность заключалась в необходимости выполнить данную работу в сжатые сроки.

Переход на новую ИТ-инфраструктуру

Реализовать задачу удалось благодаря системно подготовленным инструкциям для пользователей, а также беспрерывной работе наших инженеров. Два инженера в режиме нон-стоп занимались подключением пользователей, в порядке, согласованном с заказчиком.

Сопутствующие работы

  • Параллельно с построением новой ИТ-инфраструктуры, наш Битрикс-отдел выполнял для клиента ряд задач по внедрению CRM. Специалисты осуществляли настройки сервисов и консультации пользователей по возможностям данной системы управления.
  • После запуска ИТ-инфраструктуры в эксплуатацию наши инженеры помогали сотрудникам клиента реализовать доменную авторизацию для различных программных продуктов.

Результаты

  • 1Для клиента построена надежная ИТ-инфраструктура, чей уровень безопасности подобен непреступной крепости. Сохранность данных и отказоустойчивость систем обеспечиваются на нескольких уровнях.
  • 2Миграция пользователей в новую систему реализована в кротчайшие сроки, без остановки бизнес-процессов компании.
  • 3Часть сервисов наша компания взяла на абонентскую поддержку, а часть обслуживают штатные сотрудники компании.
  • 4Благодаря внедренным системам безопасности, клиент имеет возможность отслеживать деятельность своих сотрудников и в режиме онлайн управлять правами доступа.
  • 5Построение ИТ-инфраструктуры на базе частного облака позволяет в любой момент масштабировать систему, добавив новые мощности.
  • 6В результате реализации данного проекта предприятие обеспечило надежную и безопасную инфраструктуру для поддержки своих клиентов и сотрудников.

Предлагаем нашим читателям также ознакомиться с проектом «Внедрение DLP-системы на крупном предприятии».

Иконка для обратной связи
У Вас похожая задача?Мы всегда готовы подсказать решение!
Задайте вопросы напрямую руководителю данного проекта (9.00–23.00):
+7 965 022 73 40