Кейс: как мы построили виртуальную инфраструктуру с нуля в NGcloud
Для производителя и поставщика сельхозпродукции мы построили новую ИТ-инфраструктуру в NGcloud с учетом его требований к информационной безопасности.
Проблема
Клиент располагает масштабной физической инфраструктурой в собственном центре обработки данных корпоративного класса. Инженерная инфраструктура дата-центра выработала ресурс и требует капитального ремонта. Оборудование инженерных систем снято с производства, поддержание в работоспособном состоянии невозможно из-за отсутствия запчастей и ухода производителей с рынка. Информационные сервисы клиента развернуты на физическом оборудовании разных производителей. Это оборудование также выработало ресурс. Техническая поддержка невозможна, так как производители не поставляют продукцию в страну.
Кроме того, клиент пользовался NGFW производителя, который прекратил работу в России. Нужно было подобрать замену этому решению.
Задачи
Развернуть экономически обоснованную ИТ-инфраструктуру с учетом строгих требований ИБ.
Обеспечить быстрое масштабирование ресурсов под задачи, требующие увеличения объема мощностей.
Создать для сотрудников безопасный удаленный доступ к рабочим приложениям.
Обеспечить защиту корпоративных данных.
Организовать почтовый сервис для полноценной коммуникации внутри компании и с внешними контактами.
Объединить бизнес-критичные сервисы внутри защищенного контура.
Выбор решения
Мы предложили компании организовать IT-инфраструктуру в отказоустойчивом облаке NGcloud со встроенными компонентами ИБ и интегрировать в нее прикладные сервисы SaaS и пр. Работа требовала построения системы с нуля.
Также мы предложили виртуальный UserGate. Как MSSP-партнер сервиса, мы можем предоставлять лицензии помесячно. Такая модель лицензирования отлично ложится в парадигму скачков вычислительных мощностей, характерных для предприятия. Она позволяет по запросу клиента вводить дополнительные узлы UserGate и добавлять мощности к текущему решению. По мере снижения нагрузки с той же легкостью мы можем возвращать ее к стандартному уровню.
Так как клиент переезжает в облако, мы порекомендовали Kaspersky Security для виртуальных и облачных сред. Это целостное, экономически эффективное и сбалансированное решение с комбинацией гибких и эффективных средств защиты. Сервис защищает рабочие нагрузки от известных и неизвестных угроз любой сложности, не ухудшая производительность ИТ-инфраструктуры.
Как решали задачу
1. Сформировали команду из архитектора, специалистов ИБ, инженеров по инфраструктурным и прикладным системам.
2. На базе NGcloud выделили заказчику пул ресурсов для размещения виртуальных машин.
3. Доступ к инфраструктуре обеспечили на основе двухфакторной аутентификации.
4. В облаке NGcloud развернули базовую виртуальную инфраструктуру, обеспечили сетевую связность. (Облако соответствует требованиям закона № 152-ФЗ и позволяет хранить/обрабатывать персональные данные.)
— Обеспечили безопасное подключение инфраструктурных компонент к сети в Интернет.
— Быстро, безопасно и с минимальными простоями мигрировали информационные компоненты на развернутые виртуальные ресурсы.
— Оперативно реализовали резервное копирование виртуальных ресурсов на базе политик, принятых в компании.
— Развернули и настроили выделенный инстанс системы мониторинга, позволяющий контролировать доступность системных и прикладных компонент информационных сервисов.
5. В режиме SaaS обеспечили подключение пользователей к сервису электронной почты на базе CommunigatePro. Так как CommuniGate Pro в формате услуги поставляется с лицензией «Лаборатории Касперского», сразу настроили защиту от спама и вирусов. Параллельно настроили бэкапы почтовых ящиков сотрудников.
6. Для совместной работы с корпоративными данными в компании подключили сервис «Облачный диск». Он реализован на базе NextCloud, позволяет регулировать права доступа,просматривать историю изменений, редактировать, скачивать, ограничивать допуск к информации по ряду параметров. Сотрудники смогут хранить любые документы, договоры, видео- и аудиоматериалы, вести коллегиальную работу над проектами.
7. Учитывая колебания производительности бизнес-процессов, предложили оптимизированную редакцию базы данных PostgreSQL для работы с 1С. Сервис работает в облаке NGcloud. Для него сразу настроили резервное копирование и предусмотрели ресурсы под сервер приложений. Чтобы специалисты клиента самостоятельно установили клиент-серверную 1С, предварительно пробросили сеть. Администрирование СУБД и ОС Linux оставили на нашей стороне. Так сотрудники заказчика смогут работать над своими бизнес-задачами, не отвлекаясь на управление ресурсами.
8. Чтобы обеспечить безопасную работу с корпоративными данными, организовали защищенный канал связи. В удаленные офисы/филиалы клиента поставили маленькие аппаратные UserGate (предварительно настроив их). В ЦОД развернули виртуальный UserGate. Теперь при использовании сервисов 1С, удаленного рабочего стола и пр. заказчик подключается к ним через VPN. Весь объем администрирования ИБ, включая поддержку UserGate и защищенного канала, взяли на себя.
9. Установили Kaspersky Security для виртуальных сред. Решение не нагружает виртуальные машины, при этом поддерживает файловую защиту, интернет-защиту, защиту от атак. Выделили под решение клиентский сегмент с виртуальными рабочими местами пользователей и менеджмент-сегмент с серверной частью антивируса. В клиентском сегменте помогли с базовыми настройками и предоставили заказчику управление антивирусной защитой. Менеджмент-сегмент оставили под контролем наших инженеров.
10. Провели масштабное функциональное, нагрузочное тестирование и тестирование средств ИБ. В рамках тестирования подтвердили расчетные характеристики производительности и доступности развернутых вычислительных ресурсов, надежное функционирование информационных сервисов клиента и основных средств защиты.