Очевидно, что в таких организациях, как банки, вопросы безопасности данных относятся к числу наиболее актуальных. Самый надёжный способ организации сети с точки зрения безопасности — полное отсутствие доступа в интернет для сотрудников. Однако в ОТР Bank сложилась прямо противоположная ситуация: отдел безопасности обнаружил, что в системе очень много пользователей с неограниченным доступом к Сети. Отдел инициировал построение системы, которая обеспечила бы безопасность такого доступа.
Сергей Васько, начальник проектного бюро управления информационных технологий |
Одной из предпосылок к внедрению прошлой версии интернет-терминала на базе решения Windows Server 2003 стали проблемы с обеспечением доступа в интернет из регионов. Конечно, эту проблему можно было решить, установив отдельный компьютер с доступом в Сеть от локального провайдера, но в этом случае работа в Сети не контролировалась бы ИТ-службами банка. Первая версия интернет-терминала стартовала в 2004 году. Главная его задача состояла в предоставлении доступа в интернет региональным сотрудникам. В целом решение показало себя надёжным и эффективным.
Однако у него были и существенные недостатки: в Windows Server 2003 функционировал только один сервер со службой Terminal Serviсes, не была предусмотрена возможность масштабирования, отсутствовали жёсткие настройки политик безопасности, а подключение к Сети рабочих мест пользователей представляло весьма трудоемкий процесс. Так, администратору необходимо было создать отдельную учетную запись, зарегистрировать ее в каталоге Active Directory, после чего проинсталлировать удалённое соединение к интернет-терминалу на рабочее место пользователя, ввести логин и пароль, которые пользователю в целях безопасности не сообщались. Однако основная проблема состояла в отсутствии изоляции терминальных сервисов от корпоративной сети. Весь код, который запускался в режиме терминальной сессии, мог быть разослан по всей корпоративной сети.
Поиск и построение решения
В середине 2007 года был сформулирован перечень недочётов, которые не принимались во внимание при построении первоначального решения, обеспечивавшего доступ в интернет для региональных сотрудников. К наиболее серьезным относилось несоблюдение требований ИТ-безопасности: пользователю предоставлялся доступ в интернет и корпоративную систему. Отдел информационной безопасности банка вынесен за рамки отдела управления ИТ, поэтому данный проект имел высокий приоритет, и рекомендации, направленные на уменьшение существующих рисков, стали обязательными для выполнения. Проект стартовал в конце ноября прошлого года.
Интернет-доступ в банке был реализован на базе терминального решения. Поскольку его механизм не гарантировал необходимого уровня безопасности, начались поиски нового решения. Совместно с отделом ИБ было разработано несколько вариантов систем, соответствующих поставленным задачам.
Выработка вариантов решения заняла около трёх месяцев. Обеспечить потребность пользователей в доступе можно было тремя способами: путем использования интернет-терминала; изолированных, отдельно стоящих компьютеров; или разрешить доступ с рабочих мест лишь к ограниченному списку сайтов (и только для сотрудников, не имеющих доступа к финансовым системам). В числе других решений также были рассмотрены варианты по интеграции фермы серверов в существующую инфраструктуру, что упростило бы сопровождение, однако такая методика не соответствовала требованиям безопасности. Вслед за этим стали рассматриваться более безопасные решения, такие как построение интернет-терминала с минимальным взаимодействием с корпоративной сетью. Предложенные решения различались подходом к способу интеграции интернет–терминала с существующей инфраструктурой банка.
Специалисты сошлись во мнении относительно сохранения механизма интернет-терминала, но при условии повышения уровня безопасности и сокращения поддержки, необходимой для сопровождения построенного решения (терминал, функционирующий на тот момент, требовал привлечения большого числа ИТ-специалистов как при добавлении новых пользователей, так и для сопровождения текущих).
Предлагалось также два варианта решений для аппаратной части: использовать выделенные физические серверы для каждой необходимой для функционирования интернет-терминала роли либо на этапе пилотного тестирования начать использовать технологию виртуализации серверов, повысить КПД их использования и тем самым сократить их реальное количество. Окончательное решение было принято в пользу технологии виртуализации.
В архитектуре решения использовали изолированную от корпоративной сети ферму серверов. Это позволило обеспечить масштабируемость. Отдел безопасности сформулировал чёткие требования к сетевой инфраструктуре (например, по каким портам возможны коммуникации и пр.). Была развёрнута отдельная сетевая инфраструктура — построен изолированный от корпоративной среды сегмент.
В настоящее время система работает с использованием terminal services session broker — отдельного сервера, который принимает запросы от пользователей и перенаправляет их на терминальные серверы, что даёт возможность распределять запросы на соединение от пользователя к тому или иному серверу, а также обеспечивает балансировку нагрузки. Все серверы объединены в отдельный сетевой сегмент. Запросы пользователей поступают напрямую в выделенный сегмент сети через брандмауэр (firewall). Пересылка загруженной информации на рабочие станции пользователей происходит с использованием почтовой системы, путем отправки сообщений на почтовый ящик пользователя, и классифицируется как приходящая извне, и, следовательно, попадает в систему проверки почты, где проходит все процедуры фильтрации и сканирования на вирусы.
Схема работы интернет-терминала |
Интеграция с существующим серверным каталогом Active Directory была достигнута при помощи Identity Integration Feature Pack и установки дополнительного домена в изолированном сетевом сегменте, что исключало необходимость создания дополнительных учётных записей для каждого сотрудника, который будет использовать данную услугу. Изолированная инфраструктура была развернута без учёта задачи сопровождения большого количества сотрудников. Выделенные интернет-компьютеры, изолированные от корпоративной сети, со временем выросли в мини–инфраструктуру, также требующую соблюдения определенных правил безопасности и сопровождения.
К моменту инициализации проекта специалисты банка уже не сомневались в необходимости интеграции: поддержка старого решения отнимала так много времени, что вскоре могла потребовать выделения для этих задач дополнительного сотрудника. В данный момент инициализирована работа по интеграции корпоративного домена с инфраструктурой интернет-терминала и последующей минимизацией затрат на сопровождение. Таким образом, интеграция станет разумным компромиссом между заявленными требованиями к безопасности и минимизацией работ по сопровождению решения.
Итоги и перспективы
В настоящее время проект находится на этапе сдачи в эксплуатацию. Банк планирует построить систему, интегрированную с корневой на уровне учетных записей. Для сотрудников такой подход тоже выглядит оптимальным, поскольку избавит их от необходимости запоминать дополнительно еще один логин и пароль (рядовой пользователь и так обязан помнить не менее 3—4 паролей). На данный момент функционируют одновременно два решения. Новое работает в стадии пилотного тестирования параллельно со старым и будет функционировать до конца финального внедрения и полномасштабного запуска в эксплуатацию.
Всё решение развернуто на трёх серверах. Два сервера поддерживают виртуальную среду, а третий изолирован, поскольку того требуют как положения безопасности, так и интеграция с существующим решением. Этот сервер используется для мониторинга доступа в интернет, отслеживает соблюдение правил, определяющих, какой контент разрешено загружать, какие сайты можно посещать и т.д.
Данное решение полностью централизованно. Теперь в региональных отделениях не требуется устанавливать дополнительные компьютеры, подключенные в интернет, как было ранее. Необязательно предоставлять интернет с рабочих мест, используя корпоративный прокси-сервер, и транслировать веб-трафик через всю корпоративную сеть. Весь интернет-трафик находится в полностью изолированном DMZ-сегменте. Любой контент, получаемый пользователем, предоставляется ему только в визуальном виде.
Терминальные службы обеспечивают лишь визуальное представление информации, не загружая файлы на рабочее место пользователя. Минимизирована также потребность подсоединения региональных отделений к местным интернет–провайдерам, что не только дает экономию средств, но и повышает уровень безопасности. Данное решение сокращает до минимума список сервисов, которые будут выполняться в региональных офисах. Таким образом компания добилась централизации ИТ-услуг.
В первую очередь, проект преследовал цель повысить уровень безопасности, решение должно быть единым для всех сотрудников компании независимо от их полномочий во внутренних системах банка. Однако после внедрения стали очевидны и дополнительные преимущества: появилась возможность создания единой системы отчётности (в которой фиксируются используемые ресурсы и посещаемые пользователями сайты), наложения корпоративных правил на использование интернет-ресурсов.
К моменту развёртывания нового решения финальный релиз Microsoft Server 2008 ещё не состоялся, однако ОТР-банк является корпоративным заказчиком Microsoft, поэтому продукт был предоставлен для проекта на месяц раньше его официального выхода на рынок. Таким образом, в момент внедрения подобное решение было уникальным в своем роде.
В настоящее время решение может одновременно обслуживать 500 работающих пользователей. В перспективе руководство банка собирается увеличивать этот показатель, однако статистика использования «старого» интернет-терминала показывает, что только 30% всех пользователей, имеющих возможность выходить в интернет, работают одновременно. Иными словами, решение, позволяющее работать пятистам пользователям, охватит приблизительно половину компании. Увеличивать количество обслуживаемых пользователей планируется двумя способами: установкой дополнительной оперативной памяти в существующие серверы или добавлением терминальных серверов в ферму.
Продолжительность реализации проекта была рассчитана на шесть месяцев при частичном выделении членов проектной команды. Выполнение, предложение, анализ вариантов решения, выработку конечной архитектуры решения, конфигурирование и развёртывание осуществляло проектное бюро управления ИТ. Средний процент загрузки участников проекта не превышает 15%.
После закрытия проекта с интернет-терминалом, банк собирается централизовать ИТ-услуги, задействуя новые сервисы Windows Server 2008. Вся инфраструктура работает на Windows Server 2003 и в дальнейшем будет обновлена до 2008. Виртуализация ЦОД, находящаяся сегодня на стадии инициализации, позволит сэкономить серверное пространство, ресурсы на сопровождение, обеспечит быструю реакцию на запросы.
Технические характеристики решения | |
Количество виртуальных серверов | 5 |
Количество физических серверов | 3 |
Количество созданных сетевых сегментов | 2 |
Характеристики серверов, поддерживающих технологию виртуализации | |
Процессоры | 2 x Intel Xeon |
Оперативная память | 16 ГБ |
Дисковая подсистема | RAID 5, 4 x 73 ГБ |