Хаотичный уровень характеризуется множественными службами поддержки, неразвитой службой эксплуатации.
В профиле commodity предприятие рассматривает ИТ-сервисы как свои основные инвестиции для автоматизации фундаментальных административных функций с минимальными расходами. При оптимизации ИТ-инфраструктуры в организациях с таким профилем основное внимание уделяется сокращению расходов.
Для профиля utility компании, изначально сфокусированные на расходах, но признающие важность построения отношений с клиентами. Для этих предприятий оптимизация ИТ-инфраструктуры служит средством исполнения соглашений об уровне сервиса, сокращения времени реагирования, готовности и других параметров, связанных с обслуживанием клиентов.
Профиль partner предполагает рассмотрение ИТ-инфраструктуры предприятия с точки зрения влияния на бизнес. Хотя сокращение расходов всегда актуально, основное внимание уделяется получению экономического эффекта от инвестиций в информационные технологии . В этих ситуациях бизнес- подразделения вместе с ИТ-службой работают над улучшением общего качества ИТ-сервиса и достижением конечных целей деятельности предприятия.
В компаниях данного профиля enabler ИТ- инфраструктура служит важным элементом стратегии развития бизнеса. ИТ-инициативы в них выступают основной движущей силой развития бизнеса и рассматриваются как необходимое условие конкурентоспособности.
В методологии компании Microsoft по оптимизации ИТ-инфраструктуры выделяют уровни зрелости ИТ-инфраструктуры предприятий. Модель зрелости ИТ-инфраструктуры, разработанная Microsoft, включает четыре уровня [ 6.4 ] :
Базовый уровень зрелости ИТ-инфраструктуры характеризуется наличием большого количества процессов, выполняемых вручную, минимальной централизацией управления, отсутствием стандартов и политик безопасности, резервного копирования, управления образами систем. Руководство предприятия и ИС-службы слабо ориентируется в возможностях существующей ИТ-инфраструктуры и её потенциальных возможностях по повышению эффективности бизнеса. При этом расходы на управление ИТ-инфраструктурой высоки, так же высоки риски обеспечения качества предоставления ИТ-сервисов.
Предприятия с базовым уровнем зрелости ИТ-инфраструктуры могут повысить эффективность бизнеса при переходе на стандартизированный уровень, за счет уменьшения расходов путем реализации следующих направлений:
Стандартизированный уровень зрелости ИТ-инфраструктуры предполагает введение точек управления на базе стандартов и политик администрирования настольных компьютеров и серверов, определение правил подключения машин к сети, зрелости ИТ-инфраструктуры предприятия затраты на управление настольными компьютерами, серверами и коммутационным оборудованием сетей сводятся к минимуму, а процессы поддержки и предоставления ИТ-сервисов начинают играть важную роль в поддержке и расширении бизнеса. При обеспечении информационной безопасности основное внимание уделяется профилактическим мерам, и на любые угрозы безопасности предприятие реагирует быстро и предсказуемо.
На предприятии применяется полностью автоматизированное развертывание , с минимальным участием операторов. Количество образов программных систем (images) минимально, и процесс управления настольными компьютерами минимизирован. ИС-служба поддерживает базу данных позиций конфигурации в исчерпывающей информацией.
Динамический уровень зрелости ИТ-инфраструктуры предприятия предполагает понимание стратегической ценности для эффективного ведения бизнеса и получения конкурентных преимуществ. Данный уровень предполагает, что все расходы ИС-службы прозрачны и находятся под полным контролем, пользователям доступны необходимые в их работе данные, организована эффективная совместная работа на уровне как сотрудников, так и отделов, а мобильные пользователи получают практически тот же уровень обслуживания, что и в офисах.
Процессы поддержки и предоставления ИТ-сервисов автоматизированы. Это реализуется с помощью специализированных и встроенных в систему программных средств, что позволяет управлять информационными системами в соответствии с изменяющимися требованиями бизнеса. Инвестиции в информационные технологии дают быструю и заранее просчитываемую отдачу для бизнеса.
Для данного уровня зрелости ИТ-инфраструктуры предприятия характерно эффективное управление процессами поддержки и предоставления ИТ-сервисов и постоянная оптимизация уровней поддержки сервисов.
Предприятия с динамическим уровнем зрелости ИТ-инфраструктуры имеют возможность внедрять новые ИТ-технологии, необходимые для поступательного развития бизнеса, выигрыш от которых значительно перевешивает дополнительные расходы .
Основные понятия
Инфраструктуура (лат.infra - ниже, под и лат.
structura - строение, расположение) -
комплекс взаимосвязанных обслуживающих
структур или объектов, составляющих и/или
обеспечивающих основу, обеспечивающую
функционирование системы.
Информационные технологии (ИТ, от англ.
information technology, IT) - широкий класс
дисциплин и областей деятельности,
относящихся к технологиям управления и
обработки данных, в том числе, с
применением вычислительной техники.
ИТ = КТ
Мы привыкли пользоваться многими современными технологиями и разработками, однако зачастую до конца так и не понимаем их сути, а названия и вовсе употребляем, как говорится на автомате. Чтобы вникнуть и понять содержание данного термина следует для начала разобрать его по частям. Если говорить о происхождении слова инфраструктура, то оно пришло к нам из латинского языка и в дословном переводе звучит, как строение чего-либо, расположение. Современное и адаптированное понимание несколько иное. Инфраструктурой принято обозначать комплексы или объекты, совокупные либо взаимосвязанные между собой и обеспечивающие исправную работу всей системы. ИТ - это многокомпонентная система дисциплин, сфер деятельности, которые принадлежат к методикам по управлению и обработке данных. Однако под данным термином в последнее время чаще всего понимают по большей части компьютерные технологии, хотя они являются лишь частью сферы деятельности ИТ.
Объединив два термина, получаем следующее полное значение. ИТ инфраструктура - это объединение техническо-организационного характера обособленных программных, вычислительных и телекоммуникационных средств, а также связей между ними и обслуживающего персонала, который делает предоставление данного ресурса и услуг доступным. Здесь же стоит вспомнить про внедрение системы мониторинга: о нем можно прочитать в соответствующей статье. Его основная задача в сборе и предоставлении определенных данных для их последующей обработки и анализа с позиции рабочих процессов бизнеса и для дальнейшего поддержания работоспособности.
На данный момент организация ИТ инфраструктуры http://www.alp.ru/itsm/security имеет важное значение для компании любого типа и размера. Иначе говоря, вы обладаете своим персональным компьютером, на котором установлено какое-либо программное обеспечение и имеется выход в сеть Интернет. Весь этот комплекс используется вами для работы, следовательно, вы обладаете хоть и небольшой, но личной ИТ инфраструктурой. Что это дает? Главным образом то, что теперь без особого труда можно понять и оценить какое место в вашем бизнесе она занимает, насколько полно построена и эффективность ее использования.
Один из вопросов - совокупная стоимость компонентов данной инфраструктуры. Структура составляющих компонентов в расчете на небольшую компанию будет включать следующие группы расходов:
Таким образом, создание подобной инфраструктуры дело не простое и длительное, требующее специальных знаний и материальных вложений. Совокупная стоимость владения ею на практике гораздо выше, чем думают руководители организаций. Однако внедрение в работу компании ИТ инфраструктуры предоставляет значительные выгоды и повышает эффективность. Поэтому важно найти идеальную точку равновесия между этими тремя факторами.
Далеко не каждый успешный руководитель может дать точное определение IT-инфраструктуры . Упрощенно говоря, речь идет о комплексе программных, аппаратных и телекоммуникационных ресурсов, которые необходимы для обеспечения функционирования компании и выполнения персоналом поставленных задач с помощью различных приложений.
Можно сказать, что наиболее простая ИТ-инфраструктура - это хотя бы один ПК с установленным ПО и выходом в Интернет, если он необходим для эффективной работы офиса или компании. А теперь представьте, насколько сложно организовать бесперебойное функционирование большой и разветвленной компании с представительствами не только по городу Москва, но и в других городах.
В современных реалиях успешность и доходность бизнеса, эффективность работы компании, ее конкурентные преимущества во многом определяется именно уровнем развития, стабильностью и безопасностью ИТ-инфраструктуры. По сути, это один из важнейших активов компании. Приоритетный аспект – соответствие IT-структуры потребностям и особенностям конкретного бизнеса.
Компьютерная сеть – это инструмент, помогающий компании зарабатывать деньги. Он должен быть правильно подобран, всегда исправен и своевременно обновляться.
Так, для крупного ритейлера в Москве важно умение оперативно интегрировать в систему новые склады и торговые точки. Банковский сектор больше тяготеет к безопасности, защите персональных данных и информации о движении финансовых потоков.
Независимо от специфики деятельности конкретной компании, ключевая задача при работе с множеством клиентов (заказчиков):
Среди основных сценариев создания IT-инфраструктуры стоит выделить следующие варианты:
Создание полноценной и эффективной инфраструктуры - это очень сложный процесс. Он сопряжен с весомыми материальными затратами и требует привлечения высококвалифицированных и опытных специалистов.
Именно поэтому разработку проекта, его внедрение (физическую реализацию), выбор компьютерного оборудования и программного обеспечения, создание исполнительной документации поручают специализированной компании. В идеале, эта же компания может заниматься и .
Чтобы в дальнейшем не возникло проблем, важно максимально подробно собрать информацию об организационной структуре предприятия и ее потребностях, происходящих бизнес-процессах, перспективах развития. Это позволит заложить запас ресурсов, правильно их распределить и контролировать.
Одна из наиболее распространенных ошибок - желание сэкономить на затратах и создание максимально простой ИТ-инфраструктуры, нарушение последовательности внедрения процессов. Так, довольно часто руководитель начинает внедрение в компании ERP системы, и лишь после этого выясняет, что ИТ-инфраструктура компании категорически к этому не готова.
Еще одно плохое решение - попытка работать с серверными бизнес-приложениями на уровне всей компании (1С Предприятие и прочее), пренебрегая созданием отказоустойчивой серверной ИТ-инфраструктуры и/или правильной системы резервного копирования.
При "правильном" сценарии развития бизнес-процессы протекают без сбоев. Проблема выхода из строя оборудования решается либо дублированием, либо объединением устройств в кластер.
Чтобы нивелировать программные сбои и повреждения данных, создаются системы резервного копирования и восстановления. Еще на этапе проектирования предусматривают возможность внедрения в систему новых пользователей и реализация изменений бизнес-процессов в самые короткие сроки. (Например, быстрый выпуск банковских продуктов, мониторинг цен у конкурентов и оперативная смена ценников).
Вместе с преимуществами и новыми возможностями ИТ инфраструктура для бизнеса - это и определенные риски. Под определением рисков принято считать все негативные последствия, вызванные различными угрозами. Прежде всего к ним относятся вирусные и хакерские атаки, всевозможные способы кражи и/или преднамеренной порчи оборудования или данных.
Следует отметить, что чем более совершенна ИТ-инфраструктура (исключены ошибки на этапе проектирования, внедрения и обслуживания), тем меньше риски для бизнеса. Качественное проектирование, внедрение и обслуживание позволяет свести риски бизнеса практически до «0».
НПО «Ассоциация К» имеет следующую территориально-распределенную структуру (рисунок 17).
Рисунок 17. Территориальная структура предприятия
Весь информационный обмен между территориальными структурами холдинга производится через глобальные сети посредством защищенных VPN-туннелей, обеспечивающих инкапсуляцию, проверку подлинности и шифрование данных . Помимо этого в каждом подразделение развернута аналоговая телефония (количество линий зависит от размера филиала), обеспечивающая резервную телефонную связь между ними в случае возникновения проблем с Интернетом.
Корпоративная сеть центрального офиса.
На рисунке 18 представлена топология корпоративной сети центрального офиса НПО «Ассоциация К».
Все серверы и сетевое оборудование верхних уровней распределены по двум серверным комнатам, в целях безопасности расположенных в различных офисных зданиях, но при этом соединенных между собой волоконно-оптической линией с использованием высокопроизводительных серверных коммутаторов.
Доступ в Интернет
Как уже упоминалось выше, локальная вычислительная сеть (ЛВС) центрального офиса подключена к Интернету по двум независимым линиям связи от разных провайдеров, одна из линий -- это волоконно-оптическая линия (оптика), другая -- направленный сигнал Wi-Fi. Внутри здания сигнал от обоих провайдеров конвертируется в Ethernet, который имеет две точки входа в сеть. Первая точка входа: сервер-шлюз на операционной системе CentOS, где каждая из линий подключается к отдельной сетевой карте сервера. Вторая точка входа: маршрутизатор Mikrotik, где каждая из линий подключается на отдельный WAN-порт.
Рисунок 18. Схема корпоративной сети центрального офиса
В конкретный момент времени всегда активна линия только одного провайдера (основной канал), в случае перерыва связи (обрыв линии, техническая неисправность на стороне провайдера и т.д.) на обеих точках входа происходит программное переключение на альтернативного провайдера с перестройкой таблиц маршрутизации. Переключение является прозрачным для пользователей интернет-услуг за исключением передачи голоса и потокового видео.
IP-телефония
Подключение к Интернету через маршрутизатор Mikrotik, расположенный в серверной №2, обусловлено требованиями IP АТС (сервер IP-телефонии) к «прямому» доступу в глобальную сеть. Маршрутизатор пробрасывает SIP-пакеты (голосовой трафик) на один из сетевых адаптеров сервера без каких-либо манипуляций с ними. Вторая причина, по которой это подключение присутствует -- необходимость в наличии административного доступа в Интернет для сотрудников Департамента ИТ. Списки контроля доступа (ACL) на маршрутизаторе настроены таким образом, чтобы пропускать только SIP-трафик на IP АТС и обеспечивать доступ в Интернет только конкретным устройствам (по IP и MAC-адресам).
Сервер IP-телефонии представляет собой программное VoIP (Voice over IP) решение Asterisk, развернутое на операционной системе CentOS. Поскольку сервер имеет прямое (без использования NAT) подключение к Интернету, то для его защиты используются цепочки правил встроенного в операционную систему межсетевого экрана Netfilter (утилита Iptables). Эти правила настраиваются таким образом, чтобы пропускать только SIP-трафик и только от конкретных IP-адресов провайдеров IP-телефонии либо удаленных абонентов (IP-телефонов и смартфонов). Ранее уже упоминалось, что некоторые филиалы обеспечиваются интернет-подключением со статическим IP-адресом. Этот адрес как раз необходим для внесения в правила межсетевого экрана. Другой сетевой картой IP АТС «смотрит» в локальную сеть, где нет никаких ограничений по трафику, а доступ к тем или иным подсетям определяется таблицей маршрутизации операционной системы и правилами межсетевого экрана. В целях безопасности административный доступ к серверу со стороны глобальной сети закрыт, даже по протоколу SSH.
Помимо сервера IP-телефонии на предприятии используются цифровая телефонная станция Panasonic, позволяющая работать с классическими телефонными линиями. Эта станция имеет встроенную возможность коммутации с аналогичной телефонной станцией, находящейся в представительском офисе в г.Москва по протоколу IP. Обмен голосовым трафиком между двумя офисами производится через VPN-туннель.
Сервер-шлюз
Основной для организации точкой выхода в Интернет является подключение через сервер-шлюз, расположенный в серверной №1. Сервер-шлюз совмещает в себе функции шлюза доступа в Интернет, почтового сервера, прокси-сервера, VPN-концентратора и межсетевого экрана. Весь необходимый функционал реализуется посредством операционной системы CentOS и дополнительных установленных пакетов приложений.
Весь проходящий через сервер трафик инспектируется межсетевым экраном Netfilter, обрабатывающим его согласно строго определенным цепочкам правил. Прокси-сервер Squid позволяет гибко управлять контролем доступа пользователей к определенным интернет-ресурсам. Почтовый сервер имеет «самообучаемую» защиту от спама и настроен на работу по протоколу IMAP, позволяющему использовать авторизацию пользователей через службу каталогов (Active Directory) контроллера домена.
Функции VPN-концентратора выполняет программный пакет KAME IPSec-Tools, который формирует VPN-туннели с представительствами и филиалами компании, а также с конечными пользователями, которым предоставляется удаленный доступ к сети предприятия. Данное программное обеспечение позволяет реализовать возможность автоматического перезапуска VPN-туннелей в случае недоступности одного из провайдеров Интернета. Оборудование представительского офиса в г. Москва позволяет распознать смену провайдера на стороне сервера центрального офиса и инициализировать пересоздание туннеля. Аналогично работает и сервер в центральном офисе. Это позволяет постоянно поддерживать стабильный VPN-туннель между центральным и представительским офисом (время переключения не более 5 минут). Оборудование в других филиалах требует ручного пересоздания туннеля с резервным провайдером, однако на стороне сервера-шлюза в центральном офисе никаких операций производить не нужно.
Через VPN-туннели с представительствами и филиалами компании производится обмен данными, почтой, голосовым трафиком, производится репликация серверов, работа удаленных пользователей на терминальном сервере. Это позволяет обеспечить защиту передаваемых данных.
Сервер-шлюз имеет выделенный интерфейс для подключения к сети управления, настроен на подключение только по протоколу SSH с изменением портов по умолчанию и строгим перечислением администраторов, имеющих доступ. Выполнены базовые рекомендации по настройке Linux-подобных операционных систем. Антивирусное программное обеспечение не установлено. Операционная система регулярно обновляется. Хранилище электронной почты на сервере шифруется.
Файловый сервер
Все файлы и данные предприятия хранятся на файловом сервере, который развернут на платформе Samba операционной системы CentOS. Платформа позволяет работать с сетевыми хранилищами по протоколу SMB/CIFS . Контроль доступа к данным по сети осуществляется с помощью функций авторизации посредством доменных учетных записей Active Directory (AD).
Доступ к управлению сервером есть у ограниченного числа администраторов, осуществим либо через локальную консоль, либо через SSH-доступ, используется сеть управления.
В целях безопасности все данные на сервере шифруются, используется зеркалирование. Антивирусное ПО не установлено.
Сервер 1С Предприятие и SQL-сервер
В качестве базовой ERP-системы для организации НПО «Ассоциация К» используется технологическая платформа «1С Предприятие 8». Здесь содержится большая часть конфиденциальной информации предприятия. Платформа развернута на двух серверах, где один выполняет функции хранения и обработки базы данных (SQL-сервер), а другой реализует прикладной функционал (Сервер 1С). Оба сервера работают на операционной системе Microsoft Windows Server 2008 SP2, настроена регулярная установка обновлений c внутреннего сервера WSUS (Windows Server Update Services) .
Брандмауэр (встроенный в операционную систему) SQL-сервера настроен таким образом, чтобы пропускать трафик только от сервера 1С на строго определенные порты и административный трафик. Доступ к серверу обеспечивается авторизацией в AD. В целях экономии ресурсов антивирусное программное обеспечение не установлено. Все базы данных SQL-сервера шифруются для обеспечения высокого уровня конфиденциальности.
Брандмауэр сервера 1С настроен на пропуск трафика только на порты, используемые платформой 1С Предприятие и на административный трафик. Аналогично SQL-серверу контроль доступа регулируется с помощью доменных служб.
Клиенты сервера 1С Предприятия установлены на рабочих местах пользователей и позволяют войти в систему только с учетными данными пользователей, предварительно зарегистрированных в ней администратором 1С. Контроль доступа к данным внутри системы обеспечивается встроенными средствами конфигураций 1С Предприятия. Доступ к тем или иным функциональным блокам регламентирован.
Контроллер домена
Сервер с функциями контроллера домена хранит данные службы каталогов (AD) и управляет взаимодействием пользователей в домене, включая процессы входа пользователя в систему, проверку подлинности и поиск в каталоге. Контроллер домена является важнейшим звеном в обеспечении информационной безопасности. В случае выхода из строя этого сервера из-за отсутствия корректной авторизации нарушается работоспособность практически всех ИТ-систем предприятия. Чтобы избежать такой ситуации, производится дублирование функционала контроллера домена на другом сервере (на рассматриваемом предприятии резервный контроллер домена создан на базе виртуальной машины на одном из физических серверов предприятия).
Операционная система сервера -- Microsoft Windows Server 2008 SP2. Для управления объектами каталога Active Directory используются групповые политики, позволяющие создать эффективную и легко управляемую компьютерную рабочую среду, а также являются важным элементом информационной безопасности. Политики централизованно применяются ко всем рабочим станциям корпоративной сети и позволяют единообразно настроить такие правила, как сложность пароля для пользователей, блокировка экрана, разрешение на запуск тех или иных программ и большую часть других политик безопасности, применяемых к рабочим станциям пользователей, серверам, и остальным членам домена.
Контроллер домена также позволяет обеспечивать контроль доступа пользователей к тем или иным ресурсам сети предприятия. Например, администраторы смогут иметь доступ к серверам, а пользователи только к компьютерам.
Сервер выполняет также функцию DNS-сервера предприятия, при этом разрешая запросы от внутренней сети и перенаправляя внешние запросы на сервер-шлюз. Защита сервера DNS обеспечивается ограничением IP-адресов прослушивания, отключением рекурсии для сетевых клиентов и указанием корневых ссылок на внешние DNS-серверы.
Для обеспечения безопасности контроллера домена применяются следующие процедуры:
Терминальный сервер (сервер терминалов)
Этот сервер предоставляет удаленные рабочие столы пользователям 1С Предприятие и прикладных программ сервера приложений. Сервер терминалов необходим для предоставления доступа к локальным ресурсам клиентов с низкой производительностью и удаленных пользователей, подключаемых к сети через VPN.
Безопасность сервера терминалов обеспечивается встроенными в операционную систему Microsoft Windows Server 2008 SP2 механизмами защиты, такими как Network Level Authentication (NLA), SSL-шифрование, изменение порта RDP, используемого по умолчанию и проверка совместимости с RDP клиентами.
Антивирусное программное обеспечение не установлено.
Сервер приложений
Сервер приложений представляет среду для развертывания и выполнения пользовательских серверных бизнес-приложений. Эти приложения реагируют на запросы, поступающие по сети от клиентских компьютеров или других приложений. Развернут на операционной системе Microsoft Windows Server 2008 SP2.
Безопасность сервера обеспечивается брандмауэром операционной системы, который гибко настраивается на фильтрацию трафика приложений таким образом, чтобы запросы на порты проходили только с доверенных клиентов, а также авторизацией в AD. Антивирусное программное обеспечение позволяет проводить регулярную проверку системы и обеспечивает своевременный контроль запуска любых программ сервера.
Сервер резервного копирования (Backup-сервер)
Для обеспечения доступности данных, хранимых и обрабатываемых серверами предприятия, используются процедуры регулярного резервного копирования. Своевременное выполнение этих процедур обеспечивает сервер резервного копирования, развернутый на операционной системе CentOS и использующий кроссплатформенное программное обеспечение Bacula. Bacula -- это сетевая клиент-серверная программа для резервного копирования, архивирования и восстановления . Клиенты устанавливаются на каждом из серверов предприятия и обеспечивают передачу данных на сервер согласно расписанию. Защита информации при резервном копировании обеспечивается следующими механизмами:
Сервер резервного копирования имеет выделенный интерфейс для подключения к сети управления, настроен на подключение только по протоколу SSH с изменением портов по умолчанию и строгим перечислением администраторов, имеющих доступ. Выполнены базовые рекомендации по настройке Linux-подобных операционных систем. Антивирусное программное обеспечение не установлено. Операционная система регулярно обновляется. Хранилище резервных копий на сервере шифруется.
Сервер регистрации событий и мониторинга (Syslog-сервер)
Этот сервер реализует функции контроля за состоянием ИТ-систем предприятия. Сюда стекается вся регистрационная информация с серверного и активного сетевого оборудования, и здесь же производится наблюдение за их физическим состоянием, климатом в серверных комнатах, доступными системными ресурсами, состоянием каналов передачи данных и т.д.
Syslog-сервер развернут на операционной системе CentOS, безопасность сервера обеспечивается механизмами, аналогичными для ранее описанных серверов этого типа. Используется Zabbix -- система мониторинга и отслеживания статусов ИТ-сервисов .
Обмен регистрационными данными производится по общей сети.
Сетевое оборудование
Обмен данными между серверами и конечными хостами (компьютерами, телефонами и т.д.) обеспечивается применением высокопроизводительных серверных коммутаторов и коммутаторов уровня ядра и распределения. Это сетевое оборудование 3-го уровня имеет базовые настройки безопасности, такие как контроль административного доступа, управление через выделенные порты и т.д. Технология VLAN в настоящий момент не задействована.
Маршрутизатор беспроводного доступа обеспечивает подключение к сети клиентов через Wi-Fi. Для этого используется выделенная подсеть и списки доступа на маршрутизаторе, позволяющие фильтровать трафик мобильных пользователей. Для беспроводных подключений используются следующие элементы управления безопасностью:
Корпоративная сеть представительского офиса.
На рисунке 19 представлена схема корпоративной сети представительского офиса в г. Москва НПО «Ассоциация К».
Рисунок 19. Схема корпоративной сети представительского офиса
Аналогично сети центрального офиса, доступ в Интернет производится через два интернет-канала от разных провайдеров. Основная линия -- это проводной интернет по технологии Ethernet, резервная линия -- низкоскоростной ADSL-канал. Имеются две точки входа в сеть: первая -- сервер-шлюз аналогичной установленному в центральном офисе серверу конфигурации, вторая -- маршрутизатор Mikrotik, необходимый для административного выхода в Интернет.
Сервер-шлюз, как и маршрутизатор Mikrotik обеспечивают автоматическое переключение между основной и резервной линией связи.
АТС Panasonic аналогична установленной станции в центральном офисе, за исключением количества доступных абонентов. Она обеспечивает цифровую телефонную связь между офисами через VPN- туннель.
Сервер контроллера домена виртуализирован и реплицируется с сервером в центральном офисе и хранит аналогичную конфигурацию службы каталогов, позволяя управлять доменной средой из единого центра.
Конфигурации и методы защиты остальных серверов представительского офиса полностью соответствуют серверам в центральном офисе. Локальный сервер приложений необходим для работы с программами представительского офиса, требующими установки серверных частей в локальной сети (например, ряд программ по расчету пожарных рисков).
Все остальные сервисы, развернутые в центральном офисе доступны для пользователей представительского офиса через VPN-туннель. Межсетевые экраны на обеих сторонах туннеля пропускают только строго определенный трафик, требующийся тем или иным приложениям и сервисам.
Доступ к корпоративной сети рабочих мест пользователей, IP-телефонов, оргтехники осуществляется через коммутаторы уровня доступа, которые располагаются в открытом доступе в помещениях офиса (как правило, в одном из помещений этажа на стене). Для целей безопасности все неиспользуемые порты этих коммутаторов отключены.
Корпоративная сеть регионального офиса.
На рисунке 20 представлена схема корпоративной сети регионального офиса в г. Алексин НПО «Ассоциация К».
Все серверы и сетевое оборудование верхних уровней расположено в серверной комнате, совмещенной с кабинетом системного администратора и оборудованной системой контроля доступа.
Корпоративная сеть имеют единую точку выхода в Интернет через маршрутизатор (межсетевой экран) D-Link NetDefend UTM Firewall, позволяющий подключить к нему две WAN-линии от различных интернет провайдеров и имеющий возможность организации VPN-туннеля. Основная линия Интернет -- оптико-волоконная, резервная -- ADSL.
Маршрутизатор D-Link NetDefend UTM имеет всестороннюю защиту от вирусных атак, от несанкционированного доступа и нежелательного контента, обеспечивает автоматическое резервирование интернет-каналов. При этом отсутствует возможность автоматически «пересобрать» VPN-туннель в случае разрыва соединения. В случае возникновения такой ситуации системный администратор регионального офиса имеет четкую инструкцию по переконфигурированию туннеля.
Рисунок 20. Схема корпоративной сети регионального офиса
Аналогично офису в г. Москва, контроллер домена реплицируется с сервером в центральном офисе, позволяя управлять доменной средой из единого центра.
В качестве прокси-сервера используется программное решение Kerio Control, развернутое на сервере с операционной системой Microsoft Windows Server 2008 SP2. Безопасность сервера обеспечивается средствами операционной системы, а также самозащитой программного прокси-сервера.
Локальный сервер приложений необходим для работы с программами регионального офиса, требующими установки серверных частей в локальной сети (технологические производственные программы).
Доступ к беспроводной сети осуществляется по аналогии с центральным офисом.
АТС в региональном офисе -- аналоговая, она изолирована от корпоративной сети предприятия.
Доступ к сервисам центрального офиса осуществляется через VPN-туннель.
Остальные серверы имеют аналогичную серверам в центральном офисе конфигурации, их безопасность обеспечивается описанными выше средствами защиты.
Коммутаторы уровня доступа регионального офиса установлены в произвольном порядке, многие из них не имеют встроенного функционала по обеспечению безопасности.
Корпоративная сеть представительств в г. Санкт-Петербург и в г. Сочи
Локальная сеть представительств компании НПО «Ассоциация К» (рисунок 21) представляет собой небольшой сегмент, состоящий из маршрутизатора D-Link NetDefend UTM Firewall, точки доступа к беспроводной сети, пользовательских компьютеров, IP-телефонов и сетевых МФУ.
Маршрутизатор обеспечивает подключение к проводному Интернету по единственной линии связи и позволяет поддерживать VPN-туннель с центральным офисом. В случае перехода на резервную линию Интернета в центральном офисе, маршрутизатор конфигурируется удаленно на резервного провайдера.
Рисунок 21. Схема корпоративной сети представительств в г. Санкт-Петербург и г. Сочи
Пользовательское оборудование работает в сети с динамическим IP-адресом, получаемым от маршрутизатора. Это сделано для того, чтобы сотрудники офиса самостоятельно (без привлечения ИТ-специалистов) могли осуществлять подключение компьютеров и других устройств к локальной сети.
Администраторы из центрального офиса производят настройку пользовательского оборудования с помощью программ удаленного администрирования.
Пользователи локальной сети представительств не имеют доступа к маршрутизатору.
Корпоративная сеть филиала.
Как правило, филиал организации (небольшое помещение на строительных или иных объектах) обеспечивается одним (или более) компьютером и одним (или более) IP-телефоном, подключаемым к Wi-Fi маршрутизатору домашнего (или сегмента малого бизнеса) уровня, устанавливаемому на месте сотрудниками филиала (рисунок 22).
Рисунок 22. Схема корпоративной сети филиала
Ввиду отсутствия VPN-соединения с центральным офисом используется два механизма, обеспечивающих защиту передаваемых данных.
В случае отсутствия технической возможности доступа к проводному Интернету, в филиалах вместо маршрутизатора могут использоваться модемы для подключения мобильного интернета. При такой реализации отсутствует возможность размещения IP-телефона, но использование OpenVPN клиента допустимо.
