Аудит ИТ запросил директор компании, выразив сомнения в корректности действий сотрудников ИТ-отдела.
Предоставляем отрывок из отчета по аудиту ИТ-инфраструктуры.
Серверные системы
Выявленные проблемы:
- 1Большое количество дисков, установленных в сервер без рейда. Особенно опасно в случае с SSD;
- 2Большое количество физических дисков, что приводит к увеличенному количеству вероятных инцидентов по неисправности аппаратной части;
- 3Диски SSD уже имеют износ;
- 4Недостаточно памяти на гипервизоре (отсутствует свободная). Совмещены роли гипервизора и терминального сервера;
- 5Установлен софт СКЗИ на гипервизор;
- 6Всем ВМ выдано неограниченное количество памяти — в любой момент времени любая гостевая ОС может забрать всю память повесим весь гипервизор и таким образом, оказать влияние на другие ВМ;
- 7Диски ВМ лежат на ССД диске без рейда — отказ диска — выход из строя всех ВМ. Система установлена на диск без рейда;
- 8Отсутствует автоматическая система мониторинга работоспособности серверов, сервисов, приложений, информация о недоступности сервисов поступает непосредственно от пользователей;
- 9Не описаны процедуры восстановления серверов после отказа;
- 10Вопросы печати отнимают большую часть рабочего времени службы ИТ, необходимо пересмотреть организацию службы печати, подойдя к этому вопросу глобально с инвентаризацией и приведением оборудования к стандарту организации, регламентацией решения данных вопросов;
- 11Базы данных 1С в файловом варианте оказывают существенную нагрузку на терминальный сервер, занимают много оперативной памяти, а также не могут обеспечить полной безопасности при работе с ними. Любой пользователь с любым уровнем доступа в базу имеет возможность скопировать файлы базы и передать их третьим лицам;
- 12На сервере установлен параметр срок действия пароля не ограничен;
- 13Слишком слабый сервер-2 — в случае отказа сервера-1 не справится с нагрузкой и всеми ролями сервера-1;
- 14Доступ по RDP открыт для всего интернета;
- 15Очень плохая практика хранить какие-либо резервные копии на том одном сервер с данными;
- 16Резервное копирование настроено, но не выполняется из-за ошибок;
- 17Не настроена система выключения резервного сервера в автоматическом режиме при отсутствии питания;
- 18Установлено много специализированного софта на гипервизор. Не настроена репликация ВМ на соседний сервер;
- 19На диске D сервера-2 слишком мало свободного места.Workgroup создает дополнительное неудобство в администрировании и централизованном управлении рабочими станциями;
- 20При повреждении ОС сервера-1 большое количество ИТ-сервисов организации выйдет из строя. В том числе и база логинов/паролей пользователей. При этом придется разворачивать все службы на резервном сервере с нуля;
- 21Также плохая практика хранить архивы на сервере для резервных копий. Если архивы важны должна быть возможность восстановить их из резервной копии, либо архив нужно хранить в двух экземплярах на разных устройствах;
- 22Служба терминалов совмещена с ролью гипервизора и другими, что существенно влияет на стабильность и быстродействие виртуальных машин, работающих на сервере-1.
Базовые службы ИТ-инфраструктуры
Выявленные проблемы:
- 1Также плохая практика хранить архивы на сервере для резервных копий. Если архивы важны должна быть возможность восстановить их из резервной копии, либо архив нужно хранить в двух экземплярах на разных устройствах;
- 2Вопросы печати отнимают большую часть рабочего времени службы ИТ, необходимо пересмотреть организацию службы печати, подойдя к этому вопросу глобально с инвентаризацией и приведением оборудования к стандарту организации, регламентацией решения данных вопросов;
- 3При повреждении ОС сервера-1 большое количество ИТ-сервисов организации выйдет из строя. В том числе и база логинов/паролей пользователей. При этом придется разворачивать все службы на резервном сервере с нуля;
- 4Слишком слабый сервер-2 — в случае отказа сервера-1 не справится с нагрузкой и всеми ролями сервера-1;
- 5Резервное копирование настроено, но не выполняется из-за ошибок.
- 6Workgroup создает дополнительное неудобство в администрировании и централизованном управлении рабочими станциями;
- 7Базы данных 1С в файловом варианте оказывают существенную нагрузку на терминальный сервер, занимают много оперативной памяти, а также не могут обеспечить полной безопасности при работе с ними. Любой пользователь с любым уровнем доступа в базу имеет возможность скопировать файлы базы и передать их третьим лицам;
- 8Служба терминалов совмещена с ролью гипервизора и другими, что существенно влияет на стабильность и быстродействие виртуальных машин, работающих на сервере-1;
- 9Очень плохая практика хранить какие-либо резервные копии на том одном сервер с данными;
Топология LAN/WAN
Основным шлюзом в сети является Zyxel. Арендуются три канала связи. Сеть не разбита на подсети. Wi-Fi обслуживается оборудованием Zyxel. Часть сети работает через электрическую сеть при помощи Power Link Adapter. Финансовый отдел связан с основной сетью и интернетом через Wi-Fi мост.
Выявленные проблемы:
- 1Не настроен Firewall между пользовательской и серверной сетью;
- 2Управляемое сетевое оборудование установлено, но не настроено;
- 3TP-Link Power Link Adapter чувствителен к перепадам нагрузки в сети 220В, это дает периодические обрывы связи, данная технология подходит только как временное экстренное решение;
- 4Небольшие коммутаторы D-Link имеют низкую стабильность и могут давать сбои на всю сеть, так как на основном коммутаторе не настроены разделение сетей и защита от бродкаст шторма. Необходимо заменить на управляемые либо избавиться, протянув провода от основного коммутатора в необходимом количестве.
- 5Большое количество Wi-Fi пользователей. В качестве основной локальной сети необходимо использовать проводную локальную сеть;
- 6Открыт доступ на определённые компьютеры внутри сети через переадресацию портов, это не безопасно (легко перехватить пароль) и создает угрозу проникновения сначала на компьютер, а затем и в серверную сеть. Есть возможность открыть доступ в сеть по VPN;
- 7Точки Wi-Fi имеют слабый функционал для администрирования и низкую стабильность в работе;
- 8Необходимо заменить на точки Zyxel для работы Wi-Fi в единой системе.
Документация и работа ИТ службы
Выявленные проблемы:
- 1На предприятии не до конца проработан пакет регламентирующей документации, которая описывает роль ИТ-инфраструктуры в работе предприятия и ее влияние на бизнес-процессы, а также формулирует задачи, возлагаемые на ИТ-инфраструктуру и требования, предъявляемые к ней;
- 2Отсутствие автоматической инвентаризации по серверам и рабочим местам, хотя есть возможность полуавтоматического сбора и актуализации. Нет полноценной системы электронных заявок. Все обращения регистрируются по телефону, почте или по личному обращению в кабинет ИТ-отдела. Не оценить реальную загрузку по инцидентам, отсутствует история решений. Из-за отсутствия системы автоматического мониторинга сотрудники вынуждены тратить около 30 минут в день на ручную проверку состояния сервисов;
- 3Организация взаимодействия компании с ИТ-подразделением не соответствует рекомендациям ITIL, являющейся общемировыми стандартами.
Следующим шагом стало обсуждение концепции развития в разрезе правильного распределения имеющихся ресурсов, построения системы мониторинга, проработки регламентирующей документации по внутренним проектам и оперативной работе ИТ-отдела.
Результаты
По результатам отчета ИТ-аудита предложен проект реконфигурации ИТ-инфраструктуры с разделением IT-сервисов по приоритетности обслуживания. Наиболее критичные вынесены в специально созданное частное бизнес-облако. Заключен договор на абонентское обслуживание.
