ИТ-архитектура от А до Я: Комплексное решение. Первое издание

© Вадим Алджанов, 2018

ISBN 978-5-4493-1842-8

Создано в интеллектуальной издательской системе Ridero

Предисловие

Вадим Алджанов

Об авторе

Вадим Алджанов (англ. Vadim Aldzhanov) [Microsoft MCP, MCSA Security, MCSE Security, MCTS, MCITP, MCITP SQL Database Administrator, Cisco CCNA, VMware VCP4, CompTIA A+, Network+, Security+, EC-Council CEH и ECSA, SNIA Certified Storage Professional SCSP, Wireless Technology CWTS, CWNA, CWSP, IT Management ITILv3, Apple Certified Associate – Integration | Management].

В руководстве собраны и обобщены знания и опыт за более чем 17+ лет работы в ИТ. В течении 14 лет проработал в банковской сфере, большую часть времени на позиции руководителя ИТ департамента. На данный момент являюсь ИТ Архитектором в одном из крупных холдингов страны. Имею степень бакалавра по специальности «Радиотехника» и степень магистра по направлению «Компьютерные Информационные Системы (CIS)». На данный момент продолжаю образование на получение докторской степени по направлению «Менеджмент Информационных Систем (MIS)». Кроме этого имеется порядка тысячи часов обучения на специализированных курсах по направлениям системное администрирование, компьютерные сети, беспроводные сети, системы хранения, системы виртуализации, информационная безопасность, управление ИТ сервисами, управление проектами, банковское дело, пластиковые карты, стратегическое планирование, проведение аудита и прочие. Профиль в LinkedIn: https://www.linkedin.com/in/vadim-aldzhanov-623a7b44/

Введение

Серия книг «ИТ Архитектура от А до Я» является попыткой автора собрать, обобщить и систематизировать накопленный опыт и знания в ИТ области.

Серия книг «ИТ Архитектура от А до Я» – Зеленая книга

Издание «ИТ Архитектура от А до Я: Теоретические основы». Первая книга серии «ИТ Архитектура от А до Я» содержит теоретические основы планирования, построения и сопровождения ИТ архитектуры, управления Проектами, ИТ сервисами и т п. В качестве источника используются как проверенные на практике материалы, так и рекомендации стандартов и практик. Является переработанным, исправленным и дополненным издания «ИТ Архитектура: практическое руководство от А до Я».

Серия книг «ИТ Архитектура от А до Я» – Синяя книга

Издание «ИТ Архитектура от А до Я: Комплексное решение». Вторая книга серии «ИТ Архитектура от А до Я» содержит детальную техническую информацию и практические примеры реализации ИТ решений на основе теории, описанной в первой книге. В качестве примеров рассмотрены решения, на базе Windows 10/2016, комплексного решения по мониторингу, управлению и конфигурированию Microsoft System Center 2016, портал Microsoft SharePoint Server 2016, решения по управлению проектами Microsoft Project 2016 Server, почтовый сервер Exchange 2016, решение Skype for Business 2015, функциональные возможности Direct Access 2016, Hyper-V, DFS и File Server, RDS и т п. Представлены детальные требования и примеры расчетов по системам обеспечения. Приведены расчёты мощности и стоимости решений. В качестве примеров используются решения, которые выбраны автором как наиболее подходящие для выполнения поставленных задач, популярные или с которыми автор знаком на практике. Является переработанным, исправленным и дополненным издания «ИТ Архитектура: практическое руководство от А до Я».

Серия книг «ИТ Архитектура от А до Я» – Серая книга

Издание «Шаблоны документов». Сборник содержит набор шаблонов и примеров документации, необходимой в повседневной деятельности ИТ. В качестве источника используются как проверенные на практике материалы, так и рекомендации стандартов и практик.

Серия книг «ИТ Архитектура от А до Я» – Желтая книга

Издание «Каталог решений». Сборник содержит описание возможностей различных ИТ решений, анализ и сравнения функциональных возможностей. На текущий момент протестированы или использованы на опыте более сотни решений.

Серия книг «ИТ Архитектура от А до Я» – Красная книга

Издание «Альтернативное решения». Книга серии «ИТ Архитектура от А до Я» содержит детальную техническую информацию и практические примеры реализации ИТ решений на основе теории, описанной в книге «ИТ Архитектура от А до Я: Теоретические основы». В качестве примеров используются решения, приоритетный критерий выбора которых является «нулевая стоимость». В качестве базового решения принимается ИТ инфраструктура и компоненты, описанные в «Синей книги».

Серия книг «ИТ Архитектура от А до Я» – Черная книга

Издание «Облачное решение». Книга серии «ИТ Архитектура от А до Я» содержит детальную техническую информацию и практические примеры реализации ИТ решений на основе теории, описанной в книге «ИТ Архитектура от А до Я: Теоретические основы». В качестве примеров используются по возможности «облачные» решения.

Цели книги

Цель книги, помочь специалистам и руководителям ИТ в построении Архитектуры Предприятия, организации процессов управления, расчете стоимости внедрения и сопровождения ИТ инфраструктуры, на примере комплексного решений.

Книга не является обязательным руководством по выбору того или иного продукта или решения, а выражает точку зрения автора. Материал изложен в логической последовательности, дополнен теоретическими сведениями и снабжен наглядными примерами реализации. Это дает возможность использования данного руководства для методичного изучения всех аспектов деятельности ИТ, наряду с использованием его в качестве справочного пособия при работе с конкретными системами.

Сферы, охваченные книгой

Книга представляет собой руководство на русском языке, в которой на основе теоретических знаний, приводится пример комплексного ИТ решения. В книге рассмотрено развертыванию ИТ сервисов на примерах таких решений как Microsoft Windows 10/2016, Exchange Server 2016, SQL Server 2016, System Center 2016, SharePoint Server 2016, Microsoft Project 2016, Skype for Business Server 2015, функции Hyper-V, Direct Access 2016, RDS и т п.

Благодарность

Выражаю благодарность друзьям, учителям, руководителям и коллегам за помощь в написании книги, а также бесценный опыт и знания полученный от общения с такими людьми как Александр Буслаев («AIG Group»), Иршад Гулиев («SINAM»), Фазиль Маммедов («ROTABANK»), Яна Хмельницкая и Karsten Stellner («LFS Financial Systems GmbH»), Thomas Engelhardt («Microfinance Bank of Azerbaijan»), Andrew Pospielovsky («ACCESSBANK») и Alan Crompton («Baku European Games Operation Committee BEGOC 2015»).

Юридическое уведомление

Информация, содержащаяся в книге, не несет в себе никакой коммерческой тайны или иной конфиденциальной информации. Материалы собраны из открытых источников, переработаны автором, используя имеющийся опыт и знания. Некоторые рассмотренные примеры приведены только для справки и являются вымышленными. Любое сходство с реально существующими людьми или организациями является случайным. Все упоминающийся в книге названия компаний и продуктов могут быть торговыми марками, принадлежащими соответствующим владельцам.

Авторские права

Информация, указанная в книге не может воспроизводиться, дублироваться, копироваться, передаваться, распространяться, храниться или использоваться иным образом для любого коммерческого и не коммерческого использования без письменного согласия автора.

Отказ от ответственности

Автор не дает никаких гарантий или заявлений о точности, пригодности или полноте информации, ссылок или других предметов, которые содержатся в настоящем документе. Книга доступна всем читателям «как есть» без каких-либо заявлений или гарантий любого рода, явных или подразумеваемых, включая гарантии в отношении товарности или пригодности для определенной цели. Документ может содержать неточности или орфографические ошибки.

Автор не несет никакой ответственности за прямые, косвенные, случайные или прочие убытки при использовании данного руководства. Читатель данного руководства проинформирован.

Посвящается моим родителям, любящей жене и двум прекрасным дочерям.

Главы книги

Книга включает в себя вопросы практического применения теоретических основ, рассмотренных в книге «ИТ Архитектура от А до Я: Теоретические основы», на примере комплексного решения возможных технических реализаций. Содержание книги отвечает на вопросы:

Глава 1: Вводная информация – содержит вводную информацию на примере вымышленной компании;

Глава 2: Высокоуровневая Архитектура Комплексного Решения;

Глава 3: Системы обеспечения;

Глава 4: Первичные ИТ сервисы;

Глава 5: Вторичные ИТ сервисы;

Глава 6: Вспомогательные ИТ сервисы;

Глава 7: Системы конечных пользователей;

Глава 8: Офисная техника;

Глава 9: Бизнес ориентированные ИТ сервисы;

Глава 10: Комплекс Систем Защиты Информации;

Глава 11: Расчет требуемых мощностей;

Глава 12: Корневые компоненты ИТ Инфраструктуры;

Глава 13: Расчет стоимости;

Глава 14: Детальная Архитектура Комплексного Решения;

Глава 15: Резервный центр;

Глава 16: Проект внедрения ИТ Архитектуры;

Глава 17: Базовые метрики;

Глава 18: Словарь и термины;

Вводная информация

В данной главе книги описываются практические решения на примере вымышленной компании «БАНАНИАН Ко».

Общая информация

Состояние окружения:

•Состав компании порядка 500 сотрудников.

•Все сотрудники располагаются в офисе головного здания.

Структура компании

Структура компании представляет из себя:

Модель деловой активности компании

Модель деловой активности организации включает в себя:

•Выращивание бананов

•Сотрудники организации распределены по группам

•График работы сотрудников с 09:00 до 18:00 пятидневка

Требования бизнеса к ИТ

•Обеспечить работу ИТ инфраструктуры.

•Обеспечить работу общих ИТ сервисов.

Высокоуровневая Архитектура Комплексного Решения

ИТ Стратегия

На основе требований и целей бизнеса можно сформировать основы ИТ стратегии компании:

•ИТ инфраструктура компании строится по схеме on premise;

•Модель ИТ – централизованная;

•Приоритет управления сервисами – Insourcing;

•Максимальное использование платформы виртуализации;

•Стандартизация программно-аппаратного обеспечения;

•Максимальное использование продуктов Microsoft;

•Пользователи используют настольные компьютеры и ноутбуки;

•Обеспечение избыточности решений на уровне сайта;

•Приоритет выбора построения ИТ сервисов – доступность;

•Приоритет выбора ИТ решений – функциональность;

Среда вычислений

Среда вычислений представляет из себя компоненты ИТ инфраструктуры, сгруппированные в три типа по целевому назначению.

Рабочая среда

Рабочая среда (Production) – представляет из себя ИТ инфраструктуру, предназначенную для предоставления ИТ сервисов конечным пользователям и заказчикам. Содержит рабочую конфигурацию и данные. Рабочая среда проектируется с учетом 20 процентного резерва мощности. Необходимо обеспечить изолирование окружений (передача данных, доступ и т п).

Тестовая среда

Тестовая среда (Pre-production) – представляет из себя ИТ инфраструктуру, предназначенную для тестирования новых ИТ сервисов и программных продуктов. Основной упор делается на тестирование решения на взаимодействие с другими ИТ решениями. Подходит для построения концептуальной модели ИТ архитектуры «Proof of concept POC», эмулирования неисправностей рабочей среды, тестирование изменений и решений и т п. В нашем случае содержит «зеркальную» копию конфигурации рабочей среды в соотношении 1:8.

Среда разработки

Среда разработки (Development) – представляет из себя ИТ инфраструктуру, предназначенную для создания и тестирования новых ИТ сервисов и программных продуктов. Основной упор делается на функционирование самого решения, нагрузочного тестирования, отказоустойчивости и т п. Отдельно стоящая площадка вычислительные мощности выделяются по остаточному признаку. Максимальное использование ресурсов, выведенных из рабочей среды. Например, после трех-четырех лет использования в рабочей среде физический сервер выводится и продолжает свою работу как тестовый сервер. Срок службы оборудования тестовой среды или среды разработки не регламентируется. Не требуется обеспечивать отказоустойчивость и резервирование тестовой среды и среды разработки на удаленных площадках.

В зависимости от требований бизнеса, уровня зрелости компании и т п в организации может использоваться все три окружения или даже больше. Как минимум должно быть не менее двух сред – рабочая и тестовая. Требования к мощности, отказоустойчивости, контролю могут варьироваться от компании к компании.

Резервный центр

Удаленный выделенный резервный центр в данном решении не предусмотрен. Как основной подход при построении ИТ архитектуры рассматривается рабочий ЦОД и внешняя площадка хранения данных. При выборе решений должны принимается во внимания возможности развертывания в будущем резервного центра «горящего» типа. Среда разработки и тестирования в резервном центре не предусмотрена.

Компоненты ИТ Инфраструктуры

Детальная схема ИТ компонентов представленная в разрезе необходимых ИТ сервисов или сгруппированы по подразделениям:

•Инфраструктура;

•Специализированные;

•Информационная Безопасность;

•Конечные пользователи;

Так «Рабочая» среда состоит из следующих типов сервисов:

Корневые ИТ Сервисы

Корневые ИТ Сервисы (Core IT Services) – Необходимые ИТ сервисы и архитектура, без которых невозможно построение являются ИТ инфраструктуры, ИТ является владельцем и управляющим сервисов. В данную группу входят:

•C01 – Платформа виртуализации;

•C02 – Система Хранения Данных (СХД);

•C03 – Сетевая Инфраструктура;

•C04 – Телефония;

Первичные ИТ Сервисы

Первичные ИТ Сервисы (Primary IT Services) – Критичные ИТ сервисы и архитектура, без которых невозможно предоставление и сопровождение ИТ сервисов, ИТ является владельцем и управляющим сервисов. В данную группу входят:

•Р01 – Служба активного каталога и DNS;

•Р02 – Центр сертификации;

•Р03 – Служба DHCP;

•Р04 – Система Управления Базами Данных (СУБД);

•Служба удаленных столов VDI;

Вторичные ИТ Сервисы

Вторичные ИТ Сервисы (Secondary IT Services) – Важные ИТ сервисы и решения, предоставляющие дополнительные возможности по управлению и сопровождению ИТ сервисов или являющиеся частью активности бизнеса. ИТ является владельцем или управляющим сервисов. В данную группу входят:

•S01 – Сервис предоставления доступа к файлам;

•S02 – Сервис централизованной печати;

•S03 – Сервис корпоративной почты;

•S04 – Сервис обмена мгновенными сообщениями;

•S05 – Корпоративный портал;

•Сервис хостинга веб приложений и облачные решения;

Вспомогательные ИТ Сервисы

Вспомогательные ИТ Сервисы (Accessory IT Services) – Вспомогательные ИТ сервисы и решения, предоставляющие дополнительные возможности по управлению и сопровождению ИТ сервисов. ИТ является владельцем или управляющим сервисов. В данную группу входят:

•А01 – Сервис Управления Платформой Виртуализации;

•А02 – Сервис Управления конфигурациями (WSUS, WDS);

•А03 – Сервис Резервного копирования;

•Сервис Архивирования данных;

•А04 – Сервис Мониторинга ИТ инфраструктуры;

•А05 – Управления ИТ сервисами;

•А06 – Система управления проектами;

•Внутренний SMTP сервис;

•Сервис доступа к офисным приложениям;

•Сервисная шина интеграции данных;

•Среда разработки и контроля приложений;

Бизнес ориентированные ИТ Сервисы

Бизнес ориентированные ИТ Сервисы (Business IT Services) – ИТ сервисы и решения, напрямую направленные на выполнение требований бизнеса. Как правило ИТ является управляющим сервисов.

Сервисы защиты информации

ИТ Сервисы защиты информации (Defense IT Services) – ИТ сервисы и решения, основное назначение которых обеспечение информационной безопасности по управлению и сопровождению ИТ инфраструктуры. ИТ является владельцем или управляющим сервисов. В данную группу входят:

•D01 – Сервис защиты периметра;

•D02 – Предоставление доступа в интернет;

•D03 – Удаленный доступ к корпоративной сети;

•D04 – Удаленный доступ мобильных и персональных устройств;

•D05 – Сервис удаленного доступа к приложениям;

•D06 – Сервис защиты почтовых сообщений;

•D07 – Системы управления Идентификацией (MIM);

•D08 – Система управления правами доступов (RMS);

Дополнительные решения в области информационной безопасности

Системы защиты веб ресурсов (WAF);

Прямой прокси сервер (FP);

Обратный прокси сервер (RAP / WAA);

Системы обнаружения и предотвращения вторжения (IDS/IPS);

Сканеры уязвимостей;

Системы сбора и обработки событий SIEM;

Система предотвращения Утечки Данных (DLP);

Выделенная система защиты от DDoS атак;

Инфраструктура RADIUS сервера;

Двух факторная аутентификация и одноразовые пароли (OTP);

Песочницы и ловушки (Sandbox and Honeypot);

Инструменты тестирования;

Системы конечных пользователей

Системы конечных пользователей (End-Users IT Services) – ИТ сервисы, решения и приложения, устанавливаемые на системы конечных пользователей. Подразделение Поддержки Пользователей обеспечивает сопровождение пользователей и является первичной точкой контакта.

Офисная техника

Офисная техника – группа офисного оборудования. Обычно предназначена для использования сотрудниками, конечными пользователями. Может обслуживаться полностью или частично ИТ департаментом, Администрацией или сторонней компанией. Офисное оборудование включает в себя устройства сканирования, копирования и печати.

Организация деятельности ИТ

Структура ИТ в организации

ИТ департамент представлен в виде структурной единицы компании. Непосредственное руководство ИТ департаментом осуществляется ИТ директором. Прямое руководство ИТ департаментом осуществляется ИТ комитетом. Директор ИТ департамента подчиняется ИТ комитету. Состав ИТ комитета сформирован из совета директоров. Департамент Безопасности является владельцем информационной безопасности и отвечает за постановки требований и контроля их исполнения. ИТ департамент является управляющим и отвечает за проектирование, внедрение и сопровождения систем ИБ.

Структура ИТ департамента

ИТ департамент представляет из себя следующую структуру:

•Отдел Инфраструктуры

•Отдел Разработки и Программирования

•Отдел ИТ Безопасности

•Отдел Поддержки Пользователей

Общий принцип организации отдела представляет из себя минимум двух сотрудников: специалист высокого уровня (L3) для планирования, внедрения и сопровождения сервиса. Он обладает глубокими знаниями и опытом в предметной области. Кроме этого его задачами является устранение проблем в процессе эксплуатации сервиса. Второй специалист уровня (L2) основная задача которого состоит в непосредственном сопровождении сервиса, выполнении как правило рутинных задач.

Состав ИТ департамента

Исходя из задач и функций ИТ департамента состав департамента может различаться. Как основной принцип формирования отдела принимаем наличие двух специалистов на отдел – экспертный и начальный уровни. В начале формирования ИТ департамента отделы могут отсутствовать и деление происходить по направлениям деятельности. Второй элемент опредиляющий количество сотрудников ИТ – количество сервисов и необходимое время на их сопровождение.

Взаимодействие ИТ департамента

ИТ департамент в своей деятельности взаимодействует с:

•Административным Департаментом – по вопросам планирования, внедрения и эксплуатации инженерных систем.

•Департаментом Безопасности – по вопросам планирования, внедрения и эксплуатации систем безопасности. Кроме этого координирует свою деятельность с департаментом Безопасности по вопросам Информационной Безопасности.

•Кадровым Департаментом – координация деятельности сотрудников

•Департаментом Внутреннего Аудита – по вопросам координации проведения ИТ аудита.

Представители ИТ департамента входят в состав следующих комитетов:

•ИТ комитет;

•Комитет по Управлению Изменениями (CAB);

•Комитет по Управлению Экстренными Изменениями (ECAB);

•Комитет по Управлению Рисками;

•Проектные и экспертные группы;

СТРАТЕГИЯ Информационной Безопасности

За информационную безопасность в организации отвечает департамент Безопасности. Организация взаимодействия ИТ и Безопасности строится по следующему принципу:

•Департамент Безопасности – является «владельцем» ИБ. Обеспечивает физическую безопасность ИТ активов, определяет требования к системам безопасности в целом и информационной безопасности, политики ИБ и т п. Выполняет контрольные функции в отношении надлежащего и своевременного исполнения ИТ департаментом требований ИБ. Непосредственно управляет такими системами безопасности, как система контроля доступа (физическая), система видеонаблюдения, системы оповещения о пожаре и проникновении. По отношению к ИТ департаменту в вопросах безопасности является «головой».

•ИТ департамент – в рамках информационной безопасности, является «управляющим» информационных систем, комплекса информационной безопасности. Сотрудники ИТ департамента выполняют непосредственное конфигурирование, внедрение и сопровождение компонентов инфраструктуры информационной безопасности. Предоставляют доступ «только для чтения» для сотрудников подразделения ИБ и передачу логов активности компонентов ИТ инфраструктуры. Оказывают техническое содействие департаменту безопасности по внедрению и сопровождению систем безопасности. В зависимости от количества и сложности решений, в составе ИТ департамента может существовать подразделение ИТ Безопасности, отвечающее за сервисы обеспечивающие информационную безопасность. По отношению к департаменту Безопасности является «руками».

•Департамент Внутреннего Аудита – в составе комитета, формирует требования по организации взаимодействия департаментов, проводит контроль соответствия деятельности департаментов безопасности и ИТ требованиям руководящих документов. По отношению к департаментам Безопасности и ИТ по вопросам информационной безопасности является «глазами».

Преимущества данного подхода:

•Нет необходимости держать значительный штат в департаменте Безопасности, который по сути дублирует действия ИТ. При внедрении и сопровождении любого ИТ сервиса или информационной системы, вопрос по обеспечению информационной безопасности – обязательный.

•Простота разграничения прав и ответственности. «Безопасность» говорит, «ИТ» выполняет, «Безопасность» контролирует исполнение. Особенности большинства Информационных систем – ролевой доступ и наличие «Административного» доступа с максимальными привилегиями. Наличие двух администраторов в одной системе может приводить к конфликтам интересов, разбирательствам таким как кто-то что-то изменил, в логах не отражается и т п.

•Наличие цепочки контролей и взаимный мониторинг. ИТ имеет максимальные возможности к информационным системам. За обладателями таких возможностей необходим надлежащий контроль. Фактически эта роль возлагается на департамент Безопасности, по принципу «Вы следите за всеми – мы следим за вами». Все действия ИТ отслеживаются и передаются за пределы ИТ департамента. В тоже время, ИТ отслеживает действия департамента Безопасности в рамках «обычных пользователей» систем.

Департамент Безопасности отвечает за информационную безопасность организации в целом. Непосредственно отвечает за физическую безопасность, системы контроля доступа, видеонаблюдения, оповещения и пожаротушения.