Поставщик ИТ-аутсорсинговых услуг из крупного холдинга исчерпал свои административные возможности и ресурсы старой on-premise инфраструктуры. Соответствовать необходимому уровню информационной безопасности в бизнес-процессах становилось все труднее. Компания остро нуждалась в новых вычислительных мощностях и реализации рекомендованной схемы ИБ. Решение проблемы должно было обеспечить также новые рабочие места и гибкое масштабирование с возможностью последующей интеграции других компаний холдинга.
С таким нетривиальным запросом на множество сервисов в едином защищенном контуре компания обратилась в DataLine. Мы предложили заказчику перевести работу сотрудников в отказоустойчивое облако и организовать виртуальную инфраструктуру компании с нуля.
Предложить экономически выгодное и эффективное решение для организации новой ИТ-инфраструктуры.
В первую очередь, компании было необходимо соблюсти строгие требования ИБ, что нельзя было сделать за счет старой инфраструктуры и имеющегося у заказчика “железа”. Во вторую, следовало оптимизировать расходы на ИТ-инфраструктуру и повысить эффективность работы сотрудников. Мы предложили развернуть IaaS по модели тарификации Allocation Pull и оплачивать сервис ежемесячно.Предоставить легко масштабируемые ресурсы под базу данных.
Объемы корпоративных данных и скорость рабочих процессов компании постоянно меняются, и требовалось гибкое решение под БД на 1С для работы бухгалтерии клиента с возможностью увеличения вычислительных мощностей в любое время. Мы предложили воспользоваться нашей услугой DBaaS, которая обеспечивает быстрое масштабирование без длительного простоя и затрат на оборудование и администрирование.Организовать защищенный контур для бизнес-критичных сервисов.
Компании было необходимо разместить свои ресурсы в облаке с соблюдением высоких стандартов безопасности. Мы предложили отказоустойчивое облако, аттестованное в соответствии с требованиями Федерального закона № 152-ФЗ.Обеспечить сотрудникам компании доступ к рабочим сервисам из любого места.
Неважно, где находится сотрудник, — у него должен быть доступ к рабочим сервисам, гарантирующий защиту корпоративных данных. Мы предложили использовать виртуальные рабочие столы для удаленной работы.Обеспечить безопасность работы с корпоративными данными в соответствии с ГОСТ.
Требовалось надежно защитить канал связи между офисом и облаком. Мы предложили взять в аренду специализированное ИБ-оборудование и настроить туннель ГОСТ VPN.Организовать работу почты.
Компании нужен был полноценный почтовый сервис с управлением контактами, задачами и календарями. Мы предложили использовать платформу CommunigatePro с ежемесячной оплатой по модели SaaS.
Изначально простая задача разрослась в масштабный проект с интеграцией множества сервисов в единую инфраструктуру. Для разработки проекта потребовалось собрать команду из десятка разных специалистов. В нее вошли архитекторы сетей, специалисты из группы информационной безопасности, специалисты по базам данных и виртуализации, продакт-оунеры сервисов DBaaS, VDI, CommunigatePro и облачного диска.
На первом этапе мы развернули приватный сервер CommunigatePro. Почтовый сервер разместили в Cloud-152 — облачной платформе, аттестованной в соответствии с требованиями Федерального закона № 152-ФЗ. Это обеспечивает безопасность персональных данных со 2-м, 3-м, 4-м уровнями защищенности при актуальных угрозах 3-го типа.
Почта как сервис на базе CommuniGate Pro поставляется со специальной лицензией антивируса Kaspersky. Для заказчика настроили защиту от вирусов и спама, а также организовали резервное копирование почтовых ящиков.
Предоставили в аренду серверные мощности. На базе кластера Cloud-152 был выделен пул ресурсов, на которых заказчик разместил собственные виртуальные машины.
Для полноценной работы сервисов и бизнес-системы компании мы предоставили заказчику выделенный сервис “Облачный диск” — безопасное облачное корпоративное хранилище данных на базе NextCloud. Облачный диск соответствует требованиям Федерального закона № 152-ФЗ для третьего уровня защиты персональных данных (УЗ-3).
В сервисе реализована возможность совместной работы пользователей с разными правами над одним файлом. В любой момент доступна вся история изменений и просмотров файлов. При этом можно установить права на просмотр, редактирование, скачивание, ограничить доступ к документу по времени и локации.
Предусмотрена административная панель с возможностью кастомизации работы с диском: можно настраивать резервное копирование и перемещение файлов в архив. Можно обмениваться документами, включающими персональные данные.
Чтобы обеспечить производительность 1С-инфраструктуры при растущей нагрузке и возможность полного восстановления базы данных мы предложили использовать оптимизированную редакцию сервиса PostgreSQL для работы 1С в облаке, аттестованном по ФЗ-152. Развернули сервер с БД, настроили регулярное резервное копирование, предоставили ресурсы под сервер приложений и пробросили сеть, чтобы специалисты заказчика установили клиент-серверную систему 1С на развернутые инстансы инфраструктуры DBaaS.
Мы взяли на себя полное администрирование СУБД и ОС Линукс (тип Standalone), чтобы сотрудники компании могли сосредоточиться на бизнес-задачах.
Для организации удаленного подключения сотрудников к системам заказчика мы использовали сервис удаленных рабочих столов. Это позволило быстро развернуть необходимое количество рабочих мест с возможностью оперативного масштабирования. Так как в текущих условиях правила режима работы могут меняться от полной удаленки до регулярного офиса, такое решение помогает бизнесу адаптироваться к ситуации без остановки ключевых процессов. Сервис защищен и обеспечивает сохранность корпоративных данных.
Для построения защищенного канала связи мы взяли на себя закупку и установку оборудования АПКШ “Континент”. Подготовили инфраструктуру под континенты. Настроили сетевую связность офиса и ЦОДа, прописали сетевые правила на NSX Edge и правила фильтрации сетевых объектов непосредственно для континентов.
Подключили сервер доступа на площадке DataLine к континенту в офисе заказчика: настроили ПО “Континент АП” на рабочих ноутбуках, физические параметры сети, доступы, маршрутизацию и адресации.
Чтобы пользоваться VDI, 1С и другими сервисами, расположенными в ЦОДе, заказчик подключается из офиса, используя ГОСТ VPN. При работе вне офиса сотрудники подключаются с рабочих ноутбуков с использованием ПО “Континент АП”.
Взяли на себя полное администрирование ИБ, в том числе физического оборудования и канала ГОСТ VPN.
Настройка канала между клиентским офисом и площадкой DataLine проводилась группой ИБ. Для обеспечения доступа к информационной системе необходимым заказчику образом группа ИБ и специалисты группы виртуализации провели тонкую настройку ACL (правил доступа).
После настройки всего оборудования провели тестирование рабочей схемы для проверки доступности предоставляемых сервисов.
Рабочая схема была разделена на участки:
- в клиентском офисе тестировалось оборудование заказчика и оборудование DataLine;
- на площадке DataLine тестировались континент ЦУС и оборудование на стороне группы виртуализации.
В итоге заказчик получил шифрованный канал связи от своей локальной сети до площадки DataLine. Эта схема обеспечила защищенность прохождения трафика в сети Интернет.
Отказоустойчивую ИТ-инфраструктуру в облаке, аттестованном в соответствии с требованиями Федерального закона № 152-ФЗ.
Наши специалисты из группы ИБ взяли на себя полное администрирование физического оборудования и защищенного канала связи.
- Почтовый сервис CommunigatePro
- Облачный диск
- DBaaS
- Виртуальные рабочие столы
- Канал связи ГОСТ VPN
Защищенный канал связи между облаком и офисом и для удаленной работы сотрудников.
Вместо капитальных вложений – аренда оборудования и ежемесячные платежи.
