Статті

Новый уровень безопасности в банке

17 апреля, 2014. 02:04 Олег Пилипенко
Вопрос информационной безопасности для финансовых организаций, очевидно, играет первоочередную роль. Василий Дунец, начальник отдела серверных систем в департаменте информационных технологий одного из крупных украинских банков, рассказывает об особенностях выбора сетевого оборудования и межсетевых экранов в процессе перехода банка на новую инфраструктуру.

dunets-main_01

ChannelForIT: Что собой представляет инфраструктура вашего банка в настоящее время?

ВАСИЛИЙ ДУНЕЦ: Основной и единственный на сегодняшний день датацентр развернут в главном офисе банка в Киеве. Но помимо этого офиса у нас есть еще свыше сотни площадок, небольших региональных подразделений. И все информационные ресурсы централизированы в рамках этого единого датацентра.

Для консолидации ресурсов мы применяем серверную виртуализацию на базе VMware, есть также решение от IBM на их тяжелом «железе». Там используется своя фирменная виртуализация IBM PowerVM.

C4IT: Используется ли в отделениях технология тонких клиентов?

В.Д.: Да, в частности терминальный доступ и веб-сервисы. Архитектуру VDI мы не применяем.

C4IT: Можете ли рассказать о нем более подробно о проекте по апгрейду сетевого оборудования в банке?

В.Д.: Проект состоял из двух больших этапов по модернизации сетевого оборудования. Первый начался еще в 2005 году, когда мы строили свою корпоративную сеть, подключая все наши отделения к главному банку. На тот момент в ядре были установлены Juniper NetScreen 208, а в регионах — NetScreen младших моделей 5GT и HSC, а также SSG5. В целом данный этап проходил с 2005 по 2010 год, когда мы подключали все наши отделения в общую сеть. Второй этап стартовал после 2010 года, когда у Juniper появилась линейка SRX. Вначале мы тестировали это оборудование в региональной сети, а потом реализовали обновление ядра в корпоративной сети в банке. Мы закупили пару шлюзов SRX650 производства Juniper Networks, на построенный из них кластер впоследствии произвели миграцию ядра корпоративной сети.

C4IT: Каких результатов вам удалось достичь после реализации проекта?

В.Д.: Нам удалось добиться гораздо более высокой масштабируемости. Были решены все вопросы, связанные с производительностью, потому что те устройства, которые мы покупали в 2006 году, не поддерживали высокое быстродействие. Таким образом, за счет дополнительных подписок по безопасности, мы усилили уровень защиты, внедрив IDP-системы, сетевой антивирус, веб-фильтрацию и антиспам. Это самые главные условия для бесперебойности бизнеса, поскольку инфраструктура должна работать.

C4IT: Почему было выбрано именно решение Juniper?

В.Д.: Изначально продукты Juniper были выбраны по итогам тендера, где были представлены также два других вендора. Предпочтение продуктам Juniper мы отдали в силу целого ряда причин. Во-первых, удобная и функциональная система управления, во-вторых, наличие универсальных на тот момент UTM-решений. В-третьих, полнофункциональный файрвол и маршрутизатор в одной коробке. К тому же, перед этим был опыт подключения к сети для работы с банковской системой платежей SWIFT на базе специализированной серии межсетевых шлюзов от Juniper.

В 2011-2012 гг. был реализован второй этап проекта по расширению корпоративной сети. На этот раз мы внедрили в сети шлюзы серии SRX, в которых были объединены возможности обеспечения безопасности, маршрутизации, коммутации и подключения к глобальной сети. Эти устройства содержат целый набор функций унифицированной защиты от угроз (UTM): антивирусные средства, защита приложений, система предупреждения вторжений (IPS), спам-фильтры и усовершенствованная веб-фильтрация.

C4IT: Кто занимался внедрением проекта?

В.Д.: Первый этап внедрения мы проводили совместно с интегратором Ланит Iv-com, а в 2012 году проект был реализован силами нового системного интегратора Space IT.

C4IT: С вашей точки зрения, каков «моральный срок жизни» инсталлированных решений?

В.Д.: Все зависит от того, насколько меняются потребности банка. Если бизнес развивается достаточно интенсивно, то растет и количество филиалов, и объемы банковских операций. В этом случае необходимость в замене установленных решений на более производительные возникает быстрее. Но вообще моральное старение ранее закупленного оборудование было связано с тем, что Juniper отказался от операционных систем ScreenOS, что и подтолкнуло, в определенной степени, к его обновлению. Дело в том, что в главном офисе банка в связи с централизацией ресурсов нам пришлось увеличить производительность сетевой инфраструктуры. В регионах апгрейд оборудования был менее интенсивным. В целом предыдущие устройства у нас проработали семь лет, с 2005 по 2012 год.

C4IT: Устраивает ли вас на сегодня функционал устройств, закупленных в 2012 году?

В.Д.: Все полностью устраивает. Кстати, около половины региональных отделений у нас работают на устройствах ScreenOS серий. При открытии новых отделений мы их комплектуем современными устройствами из линейки SRX. На сегодня у нас такая смешанная инфраструктура и нас это полностью устраивает.

C4IT: С какими подводными камнями вы столкнулись во время реализации проекта?

В.Д.: Основные проблемы были связаны с тем, что интегратору пришлось «связать» в одном проекте устройства под управлением двух разных операционных систем. Так, мы используем систему управления Network and Security Manager от Juniper, которая с одной стороны, позволяет унифицировать управление устройствами на обоих операционных платформах, но с другой — она изначально не предназначалась для использования совместно с устройствами на базе операционной системы JunOS, которыми являются устройства из линейки SRX. Из-за этого возникли определенные сложности, однако все они решались с помощью технической поддержки Juniper достаточно оперативно.

C4IT: Сколько времени заняла реализация проекта в 2012 году?

В.Д.: Специалисты SpaceIT выполнили проект за 8 месяцев. Вообще, проект состоял из двух этапов. Вначале были перенесены все подключения региональных сетей. Затем интегратор реализовал миграцию всех сервисов и внутренних маршрутов по Главному офису банка. Подготовительный этап, в течение которого выполнялся предварительный аудит, занял около двух месяцев. Далее последовал этап установки нового оборудования, подключения сервисов по информационной безопасности, расширения лицензий.

C4IT: Какие есть планы по дальнейшему развитию проекта?

В.Д.: В этом году мы планируем дальнейшую миграцию на оборудование Juniper. Если сегодня у нас установлены только межсетевые экраны от Juniper, которые также выполняют функцию маршрутизаторов, то уже в скором времени мы планируем развернуть оборудование Juniper для коммутации, главным образом, в ЦОДе на уровне агрегации, доступа для серверов, и для доступа пользователей Главного офиса. Именно в этом направлении мы планируем дальнейшее развитие.

C4IT: Приходилось ли за годы эксплуатации встречаться со сбоями в работе сетевого оборудования Juniper?

В.Д.: Особых проблем в работе по вине самого бренда не случалось. Некоторые сложности были связаны с отключением питания в ЦОДе, что спровоцировало проблему в сетевом оборудовании в целом. В остальных случаях мы обращались в техподдержку только в связи с функциональностью по конфигурациям. То есть вопросы не были связаны с выходом оборудования или его узлов из строя. 

C4IT: Как менялся IT-бюджет банка в последние годы? И каков горизонт планирования в наши дни?

В.Д.: Все зависит от потребностей бизнеса. Если бизнес выдвигает ставит новые цели, то тогда оценивается необходимость выделения ресурсов под новые задачи. Исходя из этого формируется и бюджет. Разумеется, каждый год выделяются финансовые ресурсы и на поддержку. Сейчас горизонт планирования составляет один год, но бывает, что какие-то проекты или задачи могут переноситься наследующий год.

C4IT: Наблюдается ли сейчас рост отделений?

В.Д.: Основной фокус сейчас сделан на оптимизацию существующей сети отделений, об увеличении речь пока не идет. Возможны приостановка деятельности или перенос в места с большим спросом.

(Когда интервью готовилось к печати, департамент по информационной безопасности попросил не упоминать названия банка в интервью).  

 

 

 

Комментарии: