Безопасная ИТ-инфраструктура для крупной инжиниринговой компании

Данный кейс расскажет о том, как мы успешно осуществили создание безопасной ИТ-инфраструктуры российского подразделения крупной международной компании.

Этот проект представляет собой пример того, как внедрение инновационных подходов и комплексных решений позволило эффективно преодолеть сложности интеграции сервисов и обеспечить защищенную среду для работы крупной организации.

Исходные данные

В связи со сложной политической ситуацией многие иностранные компании покидают российский рынок, а их сегменты, расположенные в России, начинают работать как отдельные предприятия. Так и в случае с нашим клиентом — крупная международная организация прекратила деятельность в Российской Федерации, а для новообразованной фирмы требовалось создать свою ИТ-инфраструктуру.

В компании в удаленном режиме работает около 90 сотрудников, которые располагаются в различных городах страны. Предприятие занимается сложными инженерными системами, поэтому самым главным требованием к новой ИТ-инфраструктуре был эталонный уровень безопасности.

Задачи проекта

• 1Спроектировать и построить отказоустойчивую ИТ-инфраструктуру;
• 2Оперативно организовать переход сотрудников компании на новую IT-систему;
• 3Подготовить техническую документацию и провести инструктаж по работе в новой инфраструктуре.

Реализация

Уже на первой встрече с сотрудниками заказчика удалось провести предпроектную работу и согласовать уровень затрат на весь проект, а также обсудить целый ряд нюансов, включая уровень безопасности, организацию сетевой архитектуры, миграцию почты, используемые сервисы и многое другое.

На основе предоставленных заказчиком исходных данных наши инженеры подготовили проект облачной инфраструктуры и приступили к его реализации.

Уровень безопасности ИТ-инфраструктуры

Защищенности и сохранности корпоративной информации в данном проекте уделена ведущая роль. Высокий уровень безопасности поддерживается благодаря следующим решениям:

• 1Работа всех сотрудников организована через безопасный VPN-канал c двухфакторной авторизацией. Пользователь подключается по своим индивидуальным логину и паролю, а для подтверждения входа требуется ввести дополнительный код из мобильного приложения (используется российский сервис «Яндекс Ключ»).
• 2Внедрен контроллер доменов Active Directory — данное решение позволяет повысить уровень безопасности, а также улучшить эффективность управления распределением прав доступа к тем или иным сегментам ИТ-инфраструктуры.
• 3Организовано регулярное двойное резервное копирование виртуальных машин — бэкапы сохраняются на сервер, расположенный в офисе компании в Санкт-Петербурге, а также в облачное хранилище.
• 4Каждому сотруднику на его рабочем компьютере установлен сервис BitLocker, чтобы предотвратить доступ к данным в случае утери ноутбука. Для запуска виртуальных машин требуются пин-коды.
• 5На рабочие места сотрудников установлено программное обеспечение, позволяющее отслеживать действия каждого отдельного специалиста. В случае инцидента это позволит определить причину и отследить нарушителя. Была настроена DLP-система и поднят централизованный сервер, который собирает всю информацию.
• 6Для проверки потока писем и гибкой настройки почтовой службы был развернут почтовый шлюз с функцией антиспама и антивируса.
• 7Также для клиента предоставлены примеры юридической документации — соглашение с сотрудниками о неразглашении конфиденциальной информации.

Расскажем подробнее о процессе построения новой ИТ-инфраструктуры

Все тестовые работы мы вели на мощностях своего облака. Первым этапом стало построение VPN-сервера для безопасного взаимодействия всех сотрудников компании, и только после этого инженеры приступили к созданию серверов и настройке сервисов.

Построение почтового сервера

Для клиента было важна не только безопасность информации, но и прозрачная лицензионная политика (взаимодействие с программными продуктами, разработчики которых не прекратили работу с Россией). Кроме того, одним из условий была интеграция выбранного почтового сервиса с Microsoft Outlook.

В качестве программного обеспечения, на основе которого мы построили сервер, выбрано бесплатное ПО Zimbra и дополнительный платный программный пакет под него — Zextras Suite Pro.

Клиент приобрел доменное имя, и мы реализовали проект создания почтового сервера, а также организовали на него миграцию существующих архивов писем.

Переключение пользователей велась частями — сперва группа из 15 сотрудников клиента тестировала работу сервиса, а после успешных правок конфигурации, мигрировали оставшиеся пользователи.

Организация рабочих мест сотрудников

Для обеспечения дополнительного уровня безопасности, а также создания гибких рычагов управления, рабочие места пользователей созданы в виде виртуальных машин, которые выдаются индивидуально каждому сотруднику. Каждая ВМ дополнительно защищена программой BitLocker — без знания пин-кода с рабочего места невозможно достать какую-либо информацию.

Около 30 часов было потрачено инженерами на создание, настройку и корректировку оптимизированного образа виртуальной машины, после чего она была подгружена на сервер. Каждая ВМ была заведена в домен и настроена под конкретного сотрудника. Также индивидуально каждому сотруднику отправлены коды доступа на то, чтобы запустить VPN и свою виртуальную машину.

Настройка сетевого оборудования в офисе

В процессе реализации проекта клиент попросил настроить сетевое оборудование в его открывшемся офисе в Санкт-Петербурге. Наши инженеры настроили L2-канал связи между офисом и частным облаком. Так как компания работает в режиме 24/7, потребовалось организовать резервный канал Интернета, чтобы обеспечить бесперебойную круглосуточную связь.

Дополнительный файловый сервер и настройка бэкапов

Заказчик попросил разместить в его офисе физический файловый сервер для баз данных, а также бэкапов виртуальных машин сотрудников. Мы реализовали построение сервера и настроили резервирование данных.

Файловый сервер настроен с распределением доступа пользователей к различным его сегментам, в соответствии с предоставленной заказчиком матрицей прав доступа. Кроме этого, наши инженеры настроили автоматическое подключение необходимых папок на рабочие места сотрудников.

Переключение пользователей на новую ИТ-инфраструктуру

После завершения всех тестовых работ и запуска ИТ-инфраструктуры в продакшен, нам предстояла объемная работа по миграции пользователей в новую ИТ-систему. Основная сложность заключалась в необходимости выполнить данную работу в сжатые сроки.

Реализовать задачу удалось благодаря системно подготовленным инструкциям для пользователей, а также беспрерывной работе наших инженеров. Два инженера в режиме нон-стоп занимались подключением пользователей, в порядке, согласованном с заказчиком.

Сопутствующие работы

• Параллельно с построением новой ИТ-инфраструктуры, наш Битрикс-отдел выполнял для клиента ряд задач по внедрению CRM. Специалисты осуществляли настройки сервисов и консультации пользователей по возможностям данной системы управления.
• После запуска ИТ-инфраструктуры в эксплуатацию наши инженеры помогали сотрудникам клиента реализовать доменную авторизацию для различных программных продуктов.

Результаты

• 1Для клиента построена надежная ИТ-инфраструктура, чей уровень безопасности подобен непреступной крепости. Сохранность данных и отказоустойчивость систем обеспечиваются на нескольких уровнях.
• 2Миграция пользователей в новую систему реализована в кротчайшие сроки, без остановки бизнес-процессов компании.
• 3Часть сервисов наша компания взяла на абонентскую поддержку, а часть обслуживают штатные сотрудники компании.
• 4Благодаря внедренным системам безопасности, клиент имеет возможность отслеживать деятельность своих сотрудников и в режиме онлайн управлять правами доступа.
• 5Построение ИТ-инфраструктуры на базе частного облака позволяет в любой момент масштабировать систему, добавив новые мощности.
• 6В результате реализации данного проекта предприятие обеспечило надежную и безопасную инфраструктуру для поддержки своих клиентов и сотрудников.