В данном кейсе мы опишем, как благодаря совместными усилиями и продуктивной коммуникации с зарубежными коллегами, мы смогли организовать безопасную и бесперебойную работу всей ИТ-инфраструктуры.
В ходе проекта мы организовали переход в частное, арендованное облако, настроили VPN-соединение и удалённый доступ для сотрудников.
Исходные данные
По рекомендации одного из клиентов к нам обратился представитель крупной международной организации.
На данный момент общая численность сотрудников составляет около 5000 человек, из них более 100 – работники производственных площадок, расположенных на территории Санкт-Петербурга и Москвы.
В головном офисе организован собственный штат ИТ-специалистов, отвечающий за соблюдение регламентов, связанных с информационной безопасностью внутри компании.
Этапы создания защищенного частного облака:
- 1Предоставление и развёртывание мощностей нашего серверного кластера для компании заказчика;
- 2Организация безопасного VPN-соединения по протоколу туннелирования IKEv2 IPsec;
- 3Настройка доступа по протоколу IKEv2 для всех подразделений организации (включая головной офис, располагающийся в Германии;
- 4Настройка удалённого соединения для локальных компьютеров руководителей подразделения из России и ИТ-инженеров головного офиса в Европе.
Реализация
1 этап: Переход в частное облако
ИТ-инженеры с нашей стороны создали частное облако, произвели все необходимые настройки, связанные с:
- Сетевым оборудованием;
- Развёртыванием необходимых операционных систем;
- Резервным копированием;
- Созданием новой базы данных.
После развёртывания и настройки частного облака клиент приступил к наполнению базы данных и подключению пользователей.
2 этап: Создание надёжного VPN-соединения
Следуя строгим регламентам информационной безопасности, мы приступили к созданию защищенного интернет-подключения для всех подразделений компании.
IKEv2 IPsec
На данный момент IKEv2 IPsec считается одним из самых безопасных протоколов VPN-соединения.
Протокол туннелирования IKEv2 является частью протокола IPSec с передачей данных через UDP-порты 500 и/или 4500 и с защитой данных надежными криптоалгоритмами 3DES/AES.
Для согласования и проведения работ по реализации VPN-соединения наш специалист общался на английском языке напрямую с ИТ-отделом головного офиса Германии.
Совместными усилиями в режиме «онлайн» все настройки для офисов, расположенных в Санкт-Петербурге, Москве и Германии были произведены, но спустя несколько дней пользователи начали замечать сбои в стабильности работы VPN-соединения, которые отрицательно сказывались на всей работе компании.
Путём совместных усилий с обеих сторон, в течение трехчасового конференц-колла – данную проблему удалось оперативно зафиксировать и устранить.
Диагностика проблемы проводилась при помощи режима «debug» на сетевом оборудовании и программы-анализатора трафика Wireshark сразу с двух сторон.
3 этап: Настройка удалённого доступа
После удачного завершения основных этапов проекта нашему ИТ-инженеру поступила дополнительная задача: настроить прямое соединение в частное облако для нескольких сотрудников с локальных устройств:
- ИТ-руководителю со стороны офиса, расположенного в Санкт-Петербурге;
- Старшему ИТ-инженеру со стороны офиса, расположенного в Москве;
- Двум ИТ-менеджерам головного офиса в Германии.
Таким образом сотрудники, отвечающие за работу ИТ-инфраструктуры могут в любой момент получить доступ к облаку из любой точки мира и взаимодействовать друг с другом напрямую без каких-либо ограничений.
Итоги проекта
- 1Заказчик успешно осуществил переход на частное облако, который позволил организовать слаженную и бесперебойную работу внутри всей компании;
- 2Организована и развёрнута ИТ-инфраструктура с учётом всех требований международной безопасности данных;
- 3Настроено прямое соединение между облаком и подразделениями организации заказчика.
