ИТ-архитектура от А до Я: Комплексное решение. Первое издание (Вадим Алджанов) - читать бесплатно онлайн полную версию книги (Высокоуровневая Архитектура Комплексного Решения) #4

Высокоуровневая Архитектура Комплексного Решения

ИТ Стратегия

На основе требований и целей бизнеса можно сформировать основы ИТ стратегии компании:

•ИТ инфраструктура компании строится по схеме on premise;

•Модель ИТ – централизованная;

•Приоритет управления сервисами – Insourcing;

•Максимальное использование платформы виртуализации;

•Стандартизация программно-аппаратного обеспечения;

•Максимальное использование продуктов Microsoft;

•Пользователи используют настольные компьютеры и ноутбуки;

•Обеспечение избыточности решений на уровне сайта;

•Приоритет выбора построения ИТ сервисов – доступность;

•Приоритет выбора ИТ решений – функциональность;

Среда вычислений

Среда вычислений представляет из себя компоненты ИТ инфраструктуры, сгруппированные в три типа по целевому назначению.

Рабочая среда

Рабочая среда (Production) – представляет из себя ИТ инфраструктуру, предназначенную для предоставления ИТ сервисов конечным пользователям и заказчикам. Содержит рабочую конфигурацию и данные. Рабочая среда проектируется с учетом 20 процентного резерва мощности. Необходимо обеспечить изолирование окружений (передача данных, доступ и т п).

Тестовая среда

Тестовая среда (Pre-production) – представляет из себя ИТ инфраструктуру, предназначенную для тестирования новых ИТ сервисов и программных продуктов. Основной упор делается на тестирование решения на взаимодействие с другими ИТ решениями. Подходит для построения концептуальной модели ИТ архитектуры «Proof of concept POC», эмулирования неисправностей рабочей среды, тестирование изменений и решений и т п. В нашем случае содержит «зеркальную» копию конфигурации рабочей среды в соотношении 1:8.

Среда разработки

Среда разработки (Development) – представляет из себя ИТ инфраструктуру, предназначенную для создания и тестирования новых ИТ сервисов и программных продуктов. Основной упор делается на функционирование самого решения, нагрузочного тестирования, отказоустойчивости и т п. Отдельно стоящая площадка вычислительные мощности выделяются по остаточному признаку. Максимальное использование ресурсов, выведенных из рабочей среды. Например, после трех-четырех лет использования в рабочей среде физический сервер выводится и продолжает свою работу как тестовый сервер. Срок службы оборудования тестовой среды или среды разработки не регламентируется. Не требуется обеспечивать отказоустойчивость и резервирование тестовой среды и среды разработки на удаленных площадках.

В зависимости от требований бизнеса, уровня зрелости компании и т п в организации может использоваться все три окружения или даже больше. Как минимум должно быть не менее двух сред – рабочая и тестовая. Требования к мощности, отказоустойчивости, контролю могут варьироваться от компании к компании.

Резервный центр

Удаленный выделенный резервный центр в данном решении не предусмотрен. Как основной подход при построении ИТ архитектуры рассматривается рабочий ЦОД и внешняя площадка хранения данных. При выборе решений должны принимается во внимания возможности развертывания в будущем резервного центра «горящего» типа. Среда разработки и тестирования в резервном центре не предусмотрена.

Компоненты ИТ Инфраструктуры

Детальная схема ИТ компонентов представленная в разрезе необходимых ИТ сервисов или сгруппированы по подразделениям:

•Инфраструктура;

•Специализированные;

•Информационная Безопасность;

•Конечные пользователи;

Так «Рабочая» среда состоит из следующих типов сервисов:

Корневые ИТ Сервисы

Корневые ИТ Сервисы (Core IT Services) – Необходимые ИТ сервисы и архитектура, без которых невозможно построение являются ИТ инфраструктуры, ИТ является владельцем и управляющим сервисов. В данную группу входят:

•C01 – Платформа виртуализации;

•C02 – Система Хранения Данных (СХД);

•C03 – Сетевая Инфраструктура;

•C04 – Телефония;

Первичные ИТ Сервисы

Первичные ИТ Сервисы (Primary IT Services) – Критичные ИТ сервисы и архитектура, без которых невозможно предоставление и сопровождение ИТ сервисов, ИТ является владельцем и управляющим сервисов. В данную группу входят:

•Р01 – Служба активного каталога и DNS;

•Р02 – Центр сертификации;

•Р03 – Служба DHCP;

•Р04 – Система Управления Базами Данных (СУБД);

•Служба удаленных столов VDI;

Вторичные ИТ Сервисы

Вторичные ИТ Сервисы (Secondary IT Services) – Важные ИТ сервисы и решения, предоставляющие дополнительные возможности по управлению и сопровождению ИТ сервисов или являющиеся частью активности бизнеса. ИТ является владельцем или управляющим сервисов. В данную группу входят:

•S01 – Сервис предоставления доступа к файлам;

•S02 – Сервис централизованной печати;

•S03 – Сервис корпоративной почты;

•S04 – Сервис обмена мгновенными сообщениями;

•S05 – Корпоративный портал;

•Сервис хостинга веб приложений и облачные решения;

Вспомогательные ИТ Сервисы

Вспомогательные ИТ Сервисы (Accessory IT Services) – Вспомогательные ИТ сервисы и решения, предоставляющие дополнительные возможности по управлению и сопровождению ИТ сервисов. ИТ является владельцем или управляющим сервисов. В данную группу входят:

•А01 – Сервис Управления Платформой Виртуализации;

•А02 – Сервис Управления конфигурациями (WSUS, WDS);

•А03 – Сервис Резервного копирования;

•Сервис Архивирования данных;

•А04 – Сервис Мониторинга ИТ инфраструктуры;

•А05 – Управления ИТ сервисами;

•А06 – Система управления проектами;

•Внутренний SMTP сервис;

•Сервис доступа к офисным приложениям;

•Сервисная шина интеграции данных;

•Среда разработки и контроля приложений;

Бизнес ориентированные ИТ Сервисы

Бизнес ориентированные ИТ Сервисы (Business IT Services) – ИТ сервисы и решения, напрямую направленные на выполнение требований бизнеса. Как правило ИТ является управляющим сервисов.

Сервисы защиты информации

ИТ Сервисы защиты информации (Defense IT Services) – ИТ сервисы и решения, основное назначение которых обеспечение информационной безопасности по управлению и сопровождению ИТ инфраструктуры. ИТ является владельцем или управляющим сервисов. В данную группу входят:

•D01 – Сервис защиты периметра;

•D02 – Предоставление доступа в интернет;

•D03 – Удаленный доступ к корпоративной сети;

•D04 – Удаленный доступ мобильных и персональных устройств;

•D05 – Сервис удаленного доступа к приложениям;

•D06 – Сервис защиты почтовых сообщений;

•D07 – Системы управления Идентификацией (MIM);

•D08 – Система управления правами доступов (RMS);

Дополнительные решения в области информационной безопасности

Системы защиты веб ресурсов (WAF);

Прямой прокси сервер (FP);

Обратный прокси сервер (RAP / WAA);

Системы обнаружения и предотвращения вторжения (IDS/IPS);

Сканеры уязвимостей;

Системы сбора и обработки событий SIEM;

Система предотвращения Утечки Данных (DLP);

Выделенная система защиты от DDoS атак;

Инфраструктура RADIUS сервера;

Двух факторная аутентификация и одноразовые пароли (OTP);

Песочницы и ловушки (Sandbox and Honeypot);

Инструменты тестирования;

Системы конечных пользователей

Системы конечных пользователей (End-Users IT Services) – ИТ сервисы, решения и приложения, устанавливаемые на системы конечных пользователей. Подразделение Поддержки Пользователей обеспечивает сопровождение пользователей и является первичной точкой контакта.

Офисная техника

Офисная техника – группа офисного оборудования. Обычно предназначена для использования сотрудниками, конечными пользователями. Может обслуживаться полностью или частично ИТ департаментом, Администрацией или сторонней компанией. Офисное оборудование включает в себя устройства сканирования, копирования и печати.

Организация деятельности ИТ

Структура ИТ в организации

ИТ департамент представлен в виде структурной единицы компании. Непосредственное руководство ИТ департаментом осуществляется ИТ директором. Прямое руководство ИТ департаментом осуществляется ИТ комитетом. Директор ИТ департамента подчиняется ИТ комитету. Состав ИТ комитета сформирован из совета директоров. Департамент Безопасности является владельцем информационной безопасности и отвечает за постановки требований и контроля их исполнения. ИТ департамент является управляющим и отвечает за проектирование, внедрение и сопровождения систем ИБ.

Структура ИТ департамента

ИТ департамент представляет из себя следующую структуру:

•Отдел Инфраструктуры

•Отдел Разработки и Программирования

•Отдел ИТ Безопасности

•Отдел Поддержки Пользователей

Общий принцип организации отдела представляет из себя минимум двух сотрудников: специалист высокого уровня (L3) для планирования, внедрения и сопровождения сервиса. Он обладает глубокими знаниями и опытом в предметной области. Кроме этого его задачами является устранение проблем в процессе эксплуатации сервиса. Второй специалист уровня (L2) основная задача которого состоит в непосредственном сопровождении сервиса, выполнении как правило рутинных задач.

Состав ИТ департамента

Исходя из задач и функций ИТ департамента состав департамента может различаться. Как основной принцип формирования отдела принимаем наличие двух специалистов на отдел – экспертный и начальный уровни. В начале формирования ИТ департамента отделы могут отсутствовать и деление происходить по направлениям деятельности. Второй элемент опредиляющий количество сотрудников ИТ – количество сервисов и необходимое время на их сопровождение.

Взаимодействие ИТ департамента

ИТ департамент в своей деятельности взаимодействует с:

•Административным Департаментом – по вопросам планирования, внедрения и эксплуатации инженерных систем.

•Департаментом Безопасности – по вопросам планирования, внедрения и эксплуатации систем безопасности. Кроме этого координирует свою деятельность с департаментом Безопасности по вопросам Информационной Безопасности.

•Кадровым Департаментом – координация деятельности сотрудников

•Департаментом Внутреннего Аудита – по вопросам координации проведения ИТ аудита.

Представители ИТ департамента входят в состав следующих комитетов:

•ИТ комитет;

•Комитет по Управлению Изменениями (CAB);

•Комитет по Управлению Экстренными Изменениями (ECAB);

•Комитет по Управлению Рисками;

•Проектные и экспертные группы;

СТРАТЕГИЯ Информационной Безопасности

За информационную безопасность в организации отвечает департамент Безопасности. Организация взаимодействия ИТ и Безопасности строится по следующему принципу:

•Департамент Безопасности – является «владельцем» ИБ. Обеспечивает физическую безопасность ИТ активов, определяет требования к системам безопасности в целом и информационной безопасности, политики ИБ и т п. Выполняет контрольные функции в отношении надлежащего и своевременного исполнения ИТ департаментом требований ИБ. Непосредственно управляет такими системами безопасности, как система контроля доступа (физическая), система видеонаблюдения, системы оповещения о пожаре и проникновении. По отношению к ИТ департаменту в вопросах безопасности является «головой».

•ИТ департамент – в рамках информационной безопасности, является «управляющим» информационных систем, комплекса информационной безопасности. Сотрудники ИТ департамента выполняют непосредственное конфигурирование, внедрение и сопровождение компонентов инфраструктуры информационной безопасности. Предоставляют доступ «только для чтения» для сотрудников подразделения ИБ и передачу логов активности компонентов ИТ инфраструктуры. Оказывают техническое содействие департаменту безопасности по внедрению и сопровождению систем безопасности. В зависимости от количества и сложности решений, в составе ИТ департамента может существовать подразделение ИТ Безопасности, отвечающее за сервисы обеспечивающие информационную безопасность. По отношению к департаменту Безопасности является «руками».

•Департамент Внутреннего Аудита – в составе комитета, формирует требования по организации взаимодействия департаментов, проводит контроль соответствия деятельности департаментов безопасности и ИТ требованиям руководящих документов. По отношению к департаментам Безопасности и ИТ по вопросам информационной безопасности является «глазами».

Преимущества данного подхода:

•Нет необходимости держать значительный штат в департаменте Безопасности, который по сути дублирует действия ИТ. При внедрении и сопровождении любого ИТ сервиса или информационной системы, вопрос по обеспечению информационной безопасности – обязательный.

•Простота разграничения прав и ответственности. «Безопасность» говорит, «ИТ» выполняет, «Безопасность» контролирует исполнение. Особенности большинства Информационных систем – ролевой доступ и наличие «Административного» доступа с максимальными привилегиями. Наличие двух администраторов в одной системе может приводить к конфликтам интересов, разбирательствам таким как кто-то что-то изменил, в логах не отражается и т п.

•Наличие цепочки контролей и взаимный мониторинг. ИТ имеет максимальные возможности к информационным системам. За обладателями таких возможностей необходим надлежащий контроль. Фактически эта роль возлагается на департамент Безопасности, по принципу «Вы следите за всеми – мы следим за вами». Все действия ИТ отслеживаются и передаются за пределы ИТ департамента. В тоже время, ИТ отслеживает действия департамента Безопасности в рамках «обычных пользователей» систем.

Департамент Безопасности отвечает за информационную безопасность организации в целом. Непосредственно отвечает за физическую безопасность, системы контроля доступа, видеонаблюдения, оповещения и пожаротушения.

Документирование деятельности ИТ

Требования руководства компании определяет уровень зрелости компании и ИТ департамента в частности наличием руководящих документов и поставленных процессов. В соответствии с этим, в ИТ департаменте должны присутствовать следующие документы:

Устав ИТ департамента;

План стратегического развития или ИТ стратегия;

Высокоуровневая ИТ Архитектура предприятия;

Стратегия Информационной Безопасности;

Различные Планы и сценарии Непрерывности Бизнеса;

Оперативный план ИТ;

Бюджет ИТ (стратегический и оперативный);

Перечень предоставляемых ИТ сервисов;

Классификация ИТ сервисов и активов и матрица доступов;

Должностные инструкции сотрудников;

План непрерывности бизнеса;

Планы резервного копирования и востановления;

Политики и процедуры управления ИТ сервисами (ITSM);

Детальная архитектура и руководство по каждому ИТ сервису;

Формы и акты по оказанию ИТ сервисов и учету ИТ активов;

Проектная документация по ИТ сервисам;

Отчет по состоянию ИТ сервисов;

Маркировка и именование ИТ активов

Схема именования ИТ активов предоставляет возможность структурировать организацию ИТ активов. Схема именования может отличаться от компании к компании. Она может отображать расположение оборудования, принадлежность к филиалу, тип оборудования, его назначение, серийный или порядковый номера и т п. Желательно иметь документацию определяющую порядок маркировки и именования элементов. Желательно чтобы полный набор не превышал 15 символов. Как пример можно рассмотреть следующую схему именования объектов:

Маркировка серверов

ABCD-KLM-XYZ12

•ABCD: определяет ИТ сервис (например, ADS, DHCP, RDP и т п). Может состоять из трех, четырех символов.

•KLM: определяет расположение или принадлежность компании (PDC, SDC и т п). Может состоять из трех, четырех символов.

•XY: определяет роль данного сервера в предоставляемом ИТ сервисе (например, DC, FDC, MS, DA и т п). Может состоять из двух, трех символов.

•12: определяет порядковый номер сервера с данной ролью. Может состоять из двух символов.

Примеры: ADDS-PDC-FDC01, ADDS-PDC-DC01, DHCP-PDC-MS01, RDP-PDC-WA01, SPS-PDC-DB01

Маркировка сетевого оборудования

AB-KLM-WXYZ-12-34

•AB: определяет тип устройства (например, SW, RT, GW и т п). Может состоять из двух, трех символов.

•WXYZ: определяет роль устройства (например, CORE, DSTR, ACCS и т п). Может состоять из трех, четырех символов.

•12—34: определяет порядковый номер устройства с данной ролью или этаж. Может состоять из двух, четырех символов.

Примеры: SW-PDC-CORE-01, SW-PDC-ACCS-01, AP-PDC-ACCS-01-01

Маркировка систем хранения, резервного копирования и архивирования данных

ABCD-KLM-WXYZ12

•ABCD: определяет тип устройства (например, STRG, TAPE и т п). Может состоять из трех, четырех символов.

•WXYZ: определяет роль устройства (например, MAIN, BACKUP, ARCH и т п). Может состоять из трех, четырех символов.

•12: определяет порядковый номер устройства. Может состоять из двух символов.

Примеры: ST-PDC-MAIN01, ST-PDC-BACKUP01

Маркировка систем конечных пользователей

AB-KLM-XY123456789

•AB: определяет тип устройства (например, WS, LT и т п). Может состоять из двух, трех символов.

•XY123456789: определяет порядковый или серийный номер устройства.

Примеры: WS-PDC-AV201736454, LT-SDC-00001

Маркировка офисной техники

ABCD-KLM-XY-123456789

•ABCD: определяет тип устройства (например, PRNT, COPR и т п). Может состоять из двух, трех символов.

•XY-123456789: определяет порядковый или серийный номер устройства, этаж расположения или тип.

Примеры: PRNT-PDC-CL-201736454, COPR-SDC-BW-00001, COPR-SDC-1F-00001

Маркировка объекта активного каталога «Организационная единица»

ABCD

•ABCD: определяет ИТ сервис (например, ADS, DHCP, RDP и т п). Может состоять из трех, четырех символов.

Маркировка объекта активного каталога «Группа»

ABCD-XY-WZ

•ABCD: определяет ИТ сервис (например, ADDS, DHCP, RDP и т п). Может состоять из трех, четырех символов.

•XY-WZ: определяет роль или задачи группы (например, ADM, R, RW, DATA-ACCESS и т п).

Примеры: FSS-ADM, RDP-ADM, DHCP-READ, SPS-DATA-CCESS

Маркировка объекта активного каталога «Сервисная учетная запись»

ABCD- KLM —XY-12

•ABCD: определяет ИТ сервис (например, ADS, DHCP, RDP и т п). Может состоять из трех, четырех символов.

•KLM: определяет тип учетной записи (SVC фиксированный для gMSA или USR для пользовательской). Может состоять из трех фиксированных символов.

•XY: определяет роль или задачи учетной записи (например, ADM, READ, DATA-ACCESS и т п).

Примеры: FSS-SVC-BACKUP, RDP-USR-ADM, SPS-SVC-DATA-ACCESS

Маркировка объекта активного каталога «Пользователь»

ABCD. KLM. XY

•ABCD: определяет имя пользователя, написанное на английском с применением таблицы символов. Может состоять из трех, четырех символов.

•KLM: определяет имя пользователя, написанное на английском с применением таблицы символов.

•XY: определяет имя пользователя, написанное на английском с применением таблицы символов. Может состоять из одного или двух символов. Используется только в случае имеющегося полного совпадения.

Примеры: Vadim. Aldzhanov, Mammad.Mammadov, Mammad. Mammadov. R

Маркировка дополнительных элементов

К дополнительным элементам, требующим маркировку можно отнести следующие:

•Именование помещений;

•Маркировка рабочих точек;

•Координатная сетка ЦОД;

•Маркировка коммуникационных и коммутационных шкафов;

•Маркировка пассивных элементов СКС;

•Маркировка элементов питания;

•Порядок именования ИТ сервисов;

•Порядок нумерации ИТ документации;

< Назад Далее >