Что приходит вам на ум, когда вы слышите “железная дорога”? Наверняка, паровозы, рельсы, стук колес и чай в стакане с подстаканником. Теперь в этом списке будет и IT-инфраструктура”, одна из самых сложных и защищенных в стране. Валерий Езерский, заместитель начальника службы информационных технологий БелЖД рассказал, как любой компании выбрать провайдера защищенного хостинга, чем это выгодно, и как железной дороге удается отбивать атаки даже самых опасных вирусов десятилетия.
Согласно приказу ОАЦ №60, с этой весны все государственные органы и организации обязаны пользоваться интернет-услугами с повышенным уровнем безопасности, получая их только от уполномоченных провайдеров. Белорусская железная дорога начала использовать защищенный хостинг еще в 2012 году. ЖД-перевозчик делится своим опытом и рассказывает про свою IT-инфраструктуру.
В 2012 году мы начали разрабатывать внешние сервисы. Онлайн-расписание и корпоративный сайт ЖД стали нашими первыми ресурсами, к которым получили доступ пользователи интернета. Мы вынесли эти площадки на хостинг внешнего провайдера, тем самым защитив корпоративную сеть от несанкционированных пользователей. Так что защищенный хостинг для нас в первую очередь это защита наших собственных данных и всей корпоративной инфраструктуры от пользователей извне.
Нам есть что защищать: на серверах БелЖД хранится информация коммерческого характера, а также информация с разными статусами ограниченного распространения. Исходя из того, какие последствия вызовет потеря или утечка данных, мы принимаем решение о необходимом уровне защиты. Их три.
Первый: закрытая корпоративная сеть. Точек входа во внешние сети у нее немного, и все они хорошо защищены. Это базовый уровень нашей безопасности.
Второй: внутренние замкнутые сети. Ряд ресурсов и приложений генерирует только внутренний трафик. Например, международная система продажи билетов на нумерованные места (“Экспресс”).
Третий: приложения и пользователи, которые выходят в смежные сети по “белому списку”.
Дальше идут общепринятые уровни защиты вроде связки “логин/пароль”. Кстати, сейчас мы тестируем решения по идентификации и управлению доступом для многофакторной аутентификации сотрудников. Мы за полноценную цифровую трансформацию, которая подразумевает отказ от бумажных носителей и оцифровку процессов. Ответственность и риски возрастают — нужно гарантировать, что пользователи прошли соответствующую идентификацию. Это может быть и биометрия, электронная цифровая подпись, и др.
В ней три вертикали:
Это сложная многоуровневая структура, обслуживание которой мы не можем — по крайней мере пока — доверить сторонним подрядчикам. Справляемся сами. За вычислительную инфраструктуру и сервисы Центрального вычислительного комплекса отвечает РУП “Главный расчетный информационный центр”. Региональные вычислительные комплексы и удаленные серверные площадки обслуживают, соответственно, региональные вычислительные центры. Заметную роль в нашей IT-экосистеме занимают Центр управления единой сетью передачи данных и Центр защиты информации.
Пул технических решений большой и разнообразный. Часть наших систем начала выстраиваться еще в поздние советские годы на технической платформе «Мейнфрейм» IBM Z-series. И поскольку технологии росли на этой архитектуре, мы уже третий десяток лет используем оборудование IBM. Естественно, постоянно модернизируем его. Наши партнеры — администрации железных дорог, в частности Российских, тоже используют подобные платформы.
Региональные вычислительные комплексы выстраивались постепенно, на разном оборудовании. В регионах у нас есть пулы на оборудовании HP, Huawei, IBM и других вендоров.
Принципиальной разницы между “железом” от разных производителей уже практически нет. Выбирая вендора и оборудование, мы смотрим в первую очередь на схему поддержки и эксплуатации. Сервер нужно установить, настроить и обслуживать. Оборудование должно быть взаимозаменяемо и ремонтопригодно. Поэтому со стороны производителя хотим видеть поддержку enterprise-класса.
За годы работы с внешними провайдерами мы выработали критерии, по которым определяем, что можем вынести на сторону.
1. Система не должна быть критической для наших бизнес-процессов. Она может пережить единовременный простой от 4 до 8 часов без непоправимого ущерба. Конечно, в идеале простоев быть не должно, но такой уровень допустим, и мы не переплачиваем за него баснословные деньги.
2. Есть необходимость доступа к этой информации из интернета. В этом случае мы снимаем со своей сети нагрузку, которую формируют пользователи.
3. Решение должно быть автономным, без глубокой интеграции с нашими бизнес-критическими приложениями.
Эти критерии сформировались на основе нашей специфики. Если у какой-то организации нет своих IT-специалистов и внутренней сети, то, вероятно, уровень технологий у надежного внешнего провайдера будет выше, а сами они обойдутся дешевле, чем сможет сделать компания у себя.
В последнее время пользуемся услугами внешних провайдеров и для хранения “тяжелого” контента. Это мультимедиафайлы: видео, изображения, картографическая информация без грифов ограниченного использования.
На серверах hoster.by мы размещаем 5 программно-технологических комплексов:
Сейчас мы арендуем у hoster.by физические серверы, дисковое и виртуальное пространство. Используем услугу построения вычислительной инфраструктуры и администрирования. Фактически для нас внешний провайдер — это дополнительная вычислительная стойка РУП “Главный расчетный информационный центр БЖД”, только эксплуатируется она не по зарплатной ведомости, а по регламенту и договору. Это гибридная сеть — часть нашей сети вне нашей сети.
Следующий уровень, к которому мы стремимся внутри компании, и которого ждем от подрядчиков — инфраструктура как сервис. Это работает так: мы заказываем вычислительные ресурсы с определенными характеристиками памяти и процессорной мощности и получаем собранное под нас решение. При этом оно должно гибко изменяться по запросу.
Мы экономим деньги и время, прямо сейчас и в перспективе. Вот в чем это выражается.
1. Можно оперативно добавлять/сокращать вычислительные ресурсы и память. У нас быстро и не всегда прогнозируемо растет объем мультимедийной информации, а работая с внешним провайдером, можно оперативно добавлять место на диске. У подрядчика такие ресурсы есть, и по мере необходимости мы их потребляем. В противном случае нам пришлось бы формировать тендер на закупку, ждать предложений, устанавливать и настраивать “железо”. Экономия времени ощутимая.
2. Капитальные вложения заменяются операционными расходами. Мы не “замораживаем” сразу много денег в собственных сервисах, а тратим понемногу и равномерно. Столько, сколько нам нужно, без покупок “на вырост” и про запас. Среднее время амортизации наших собственных вычислительных ресурсов — порядка 7 лет. Поэтому нам выгодно пользоваться услугами внешнего провайдера, если они окупаются быстрее этого срока, и при этом как минимум соотносимы по качеству.
3. Это хороший способ стоимостной оценки затрат на обслуживание инфраструктуры и сервисов. Помогает вычислить расходы и подготовить “доказательную базу” при планировании возможных закупок. Так мы четко понимаем, сколько стоит сервис в “живых” деньгах.
4. Высокая квалификация системных администраторов. Для компаний-провайдеров это целевой бизнес, и в целом уровень специалистов там в любом случае выше, чем в IT-отделах их клиентов. А если ваши сервисы обслуживают квалифицированные специалисты, продолжительность простоя и риск его появления снижается в разы.
5. Сервисы и данные защищены гораздо лучше, чем на обычном хостинге. У защищенного хостинга повышенная отказоустойчивость, DDoS-атаки блокируются на уровне дата-центра. Он умеет фильтровать аномалии сетевого трафика, защищает от прослушивания трафика и пр.
В основе должен лежать принцип разумной достаточности. Об этом и говорит Приказ №60: нужно определить, какой урон финансовой или имиджевой составляющей может нанести сбой. На балансе степени риска, серьезности возможных последствий и дороговизны схемы защиты и нужно принимать решение. Экономить на безопасности нельзя, но и бездумно вкладывать в нее деньги тоже не выход.
Какой бы хорошей не была ваша система безопасности, нужно уметь поддерживать основные процессы без IT. Если система продажи вдруг перестанет работать, то человек все равно сможет купить билет офлайн: кассир оформит проездной документ по телефону. Конечно, производительность просядет, вырастут очереди, но полной остановки технологии мы не допустим. Железная дорога не может бездействовать и ждать, пока устранят последствия отказа.
Это универсальный принцип: переводя свой бизнес-процесс на какую-то технологию, нужно предусматривать, “что будет, если…”. Даже самая надежная в мире система безопасности — это много девяток после нуля и запятой. Единицы не бывает даже в теории.
Да, чтобы минимизировать риск простоя, можно сделать две инфраструктуры — одну у нас, другую у хостинг-подрядчика. Между ними пустить несколько резервных каналов, в том числе интернет. Обязательно разнести все на разные площадки — вдруг в одну из них попадет метеорит?! И не прокладывать кабели в одной шахте — что, если заденет экскаватор? Пытаться обезопаситься от простоев можно бесконечно, и все равно достичь единицы не получится: это всегда будет 0,99999…, и потребует огромных вложений. Но зачем?
1. При выборе ориентируйтесь на те компании, которые подходят под требования приказа ОАЦ №60.
2. Изучите отзывы о провайдерах от других организаций из вашего сектора с сопоставимыми техническими запросами.
3. Любой проект — это в первую очередь люди, а не технологии. Определили возможных подрядчиков? Пообщайтесь с ними. Посмотрите, как они реагируют на ваши запросы, как пытаются решать нетиповые задачи. Не все можно прописать в договорах, и не всему можно задать регламенты. Стремится ли компания понять и решить именно вашу проблему? Или хочет навязать свою стандартную услугу? В этом плане особенно информативна первичная реакция на ваш запрос.
Когда мы начали работать с hoster.by, альтернатив на рынке особо не было. Они учились оказывать нам услугу, а мы — потреблять ее. Но все эти годы мы видели отклик и движение навстречу. Это ценно, ведь мы тоже нетиповой и непростой клиент.
Мы стараемся всегда учитывать интересы наших клиентов — и пассажиров, и владельцев грузов. Ведь мы не монополист в области перевозок внутри нашей страны. И тем более не монополист в области ЖД-перевозок за пределами Беларуси.
Например, когда мы разрабатываем IT-сервисы для пассажиров, нами во многом движет забота о клиентах и имиджевая составляющая. Нередко в основе внедряемых технических решений лежит удобство пользователей, а экономика отходит на второй план.
Этим мы руководствовались и когда разрабатывали новый онлайн-сервис продажи билетов и мобильное приложение. Но и экономика очень важна, раньше самой большой “кассой” по числу продаж был вокзал “Минск-Пассажирский”, но теперь это интернет-сервис. В первом квартале 2020 года порядка 30% билетов на нумерованные места было продано онлайн — это около 85,5 тыс.
Одно из новшеств сервиса — возможность купить билеты на ненумерованные места. Это важно, потому что билетов на ненумерованные места продается гораздо больше, чем на нумерованные. Имеются ввиду все электрички пригородного и междугородного сообщения с нефиксированными посадочными местами.
Еще одна новинка — табло вокзалов в приложении. Уже есть вокзалы Минска и Бреста, скоро можно будет посмотреть актуальное табло с расписанием для всех крупных вокзалов Беларуси.
Имиджевая составляющая движет нами и в еще одном важном проекте. Мы планируем разработку открытого API: любой сайт, заключивший договор с БелЖД, сможет официально продавать билеты на поезда.
Наши сети периодически атакуют. Каждый раз мы фиксируем и пресекаем эти атаки еще “на подступах”, и благодаря многоуровневой сетевой защите периметра они не достигают цели. WannaCry, Petya и другие известные вирусы нас не взломали, а наши коллеги в Украине, России, Германии, США в свое время пострадали от них.
Но даже маниакальная защита периметра не поможет во всех ситуациях. К тому же она сильно сдерживает технологическое развитие любого предприятия. Куда эффективнее в дополнение к обычной разумной защите использовать мониторинг аномалий сети. Это нетипичное поведение пользователей, неверные адреса, исполняемые скрипты там, где их быть не должно и пр. Ведь любую сеть можно взломать изнутри, не подключаясь к ней извне. Сотрудник вашей компании может открыть сомнительный файл, полученный по почте. Или вставить в рабочий компьютер флешку, чудесным образом найденную возле офиса. Компании все больше открываются внешнему миру, поэтому защитой периметра, какой бы хорошей она ни была, уже не обойтись.
По номеру 8017 239 57 60 можно получить консультацию по вопросам защищенного хостинга в hoster.by