В кейсе вы узнаете:
- Какие проблемы возникают в IT-инфраструктуре растущих компаний;
- Почему важно наличие регламентов и технической документации;
- Каким вопросом можно проверить компетенции ИТ-специалиста.
Статья будет полезна руководителям предприятий, IT-менеджерам и HR, которые хотят понять, как эффективно устранять хаос в IT-системах и строить инфраструктуру, готовую к развитию. Вы получите практические идеи и поймете, каким вещам стоит уделять особое внимание.
Исходные данные
Заказчик – крупная компания, оказывающая услуги и ведущая научные разработки в стоматологической отрасли. У клиента имеются офис, лаборатория и клиника.
Компания динамично развивается, у неё есть собственный IT-отдел (2 системных администратора, бизнес-аналитик, специалист службы поддержки), отдел разработки (5 опытных разработчиков создают внутреннюю ERP-систему, поддерживают сайты компании, проектируют вспомогательные сервисы, внедряют веб-решения).
ИТ-инфраструктура клиента состоит из 3 физических серверов в офисе, на которых расположены 12 виртуальных машин (контроллер домена, файловый сервер, AD, бэкапы и серверы в инфраструктуре разработки). Также предприятие арендует мощности в различных ЦОД.
Клиент обратился к нам с просьбой оценить, насколько ИТ-инфраструктура соответствует современным стандартам и запросам внутренних бизнес-процессов.
Задачи проекта:
- 1 Анализ текущего состояния инфраструктуры для выявления уязвимых мест;
- 2Разработка рекомендаций по модернизации, оптимизации и повышению отказоустойчивости;
- 3Устранение критических проблем в IT-инфраструктуре.
Оценка состояния ИТ-инфраструктуры
Мы запросили доступы и приступили к анализу ситуации. Вся работа проводилась удаленно.
На первых этапах возникли сложности с получением необходимых паролей. Это было связано с отсутствием технической документации и инвентаризации. В процессе работы несколько раз пришлось запрашивать доступ к тому или иному сервису.
Ещё до начала детального анализа стало ясно: не хватает чёткой структуры и планирования. Инфраструктура выглядела как дом с надстроенными этажами, где каждый строился без общего проекта. Выглядит внушительно, но стоит ли на него рассчитывать в долгосрочной перспективе?
Перечислим основные проблемы, найденные в IT-инфраструктуре
Знакомство с системами клиента показало, что компания движется в сторону современных технологий, но ИТ-архитектура этому никак не способствует.
Техническая документация
В компании отсутствуют регламенты и инвентаризация. Это одна из основ, на которой выстраивается отказоустойчивость, но, к сожалению, многие ИТ-специалисты не уделяют этому должного внимания.
В любой ИТ-инфраструктуре должны быть четкие регламенты, по которым составляется техническая документация, производится профилактика оборудования, реализуется создание бэкапов, а на случай сбоя осуществляются четкие шаги по восстановлению системы.
Серверы и ПО
Оборудование, несмотря на амбициозные планы предприятия, не соответствовало поставленным задачам. Диски, которые давно пора заменить, подвергают опасности корпоративные данные. Отсутствуют резервные серверы, запасные системы хранилища данных, RAID-массив собран с ошибками.
А когда мы заметили, что один сервер не перезагружался больше 273 дней, стало очевидно: подход "работает — не трогай" здесь превратился в правило. Подобный долгий аптайм, является показателем того, что ПО давно не обновлялось, накопилось множество ошибок в памяти системы, а при перезагрузке сервер может не запуститься.
Вы можете проверить своих системных администраторов, задав им вопрос — какой аптайм у вашего сервера? Если показатель больше двух месяцев, а сисадмин этим гордится, то вам срочно нужно проводить ИТ-аудит, так как перед вами некомпетентный сотрудник.
Оценка ИТ-безопасности
Одним из ключевых направлений аудита стал анализ состояния информационной безопасности. В результате проверки было выявлено, что уровень защиты системы оказался недостаточным и требовал срочного улучшения.
У некоторых учетных записей были слишком лёгкие пароли – система не настроена в соответствии международным стандартам безопасности. Также отсутствовало ограничение на попытки входа, что позволяет перебирать комбинации без каких-либо лимитов.
Помимо этого в системе отсутствовало контурное разграничение, поэтому в случае проникновения шифровальщика в инфраструктуру, он мог уничтожить сразу все виртуальные машины и корпоративные данные.
Нехватка мощностей
В целом ИТ-архитектура клиента была слабого уровня: из-за того, что оборудование подобрано неправильно и некорректно настроено ПО, имеющиеся серверы работали на пике своих возможностей. Для отдельных задач предприятию приходилось арендовать мощности. При этом было использовано множество различных поставщиков услуг — более 5 различных компаний.
Такое разветвление значительно осложняет управление ИТ-инфраструктурой и не является действительно безопасным. В случае если отключится один из сервисов, неясно, какое количество времени потребуется на восстановление информационной системы.
Для динамично развивающихся компаний ключевым фактором успеха является стратегическое планирование экосистемы. В рассматриваемом случае ИТ-инфраструктура не предусматривала масштабируемость, а также не были заложены дополнительные резервы для обеспечения отказоустойчивости, что создает риски для стабильности и дальнейшего роста бизнеса.
Выводы аудита, решения и рекомендации
Компания получила подробную инвентаризацию оборудования и регламенты по резервному копированию, восстановлению и обновлению серверов. Теперь все процессы задокументированы, а сотрудники IT-отдела понимают, как действовать в случае инцидента.
Были даны рекомендации по замене устаревших дисков, корректной сборке RAID-массивов, по подбору и настройке резервных серверов, а также сетевого оборудования.
Пароли теперь соответствуют современным стандартам безопасности, таким как NIST SP 800-63 и OWASP, что подразумевает использование минимальной длины в 12 символов, наличие комбинации букв верхнего и нижнего регистра, цифр и специальных символов. Шифровальщики больше не смогут удалить бэкапы, защита инфраструктуры значительно усилена.
Систематизация в выборе поставщика вычислительных мощностей упростит управление и сократит расходы.
Для клиента мы подробно описали текущие проблемы ИТ-системы и предложили конкретные шаги по их устранению.
Развивающаяся компания может столкнуться с серьезными экономическими рисками, если не применяет эффективные методы управления IT-инфраструктурой и не отслеживает ключевые показатели её состояния. Регулярная проверка и оценка метрик качества работы систем позволяют минимизировать угрозы и обеспечить стабильное развитие бизнеса.
Аудит ИТ-инфраструктуры мы рекомендуем проводить не реже чем раз в два года.
Мы поможем увидеть всё, что скрывается за привычным словом "работает".