Сеть, управляемая политиками
За последние годы так части менялись технологические тренды и парадигмы, что в результате для эффективного ИТ-управления предприятием существенное значение приобрело не хаотичное построение корпоративной или ведомственной сети по мере поступления новых ИТ-задач, а ее формирование на основе политик, отвечающих долгосрочным задачам, стоящим перед предприятием.
Указанные тренды и парадигмы были связаны с возрастанием роли виртуализации, различных моделей облачных вычислений. Сильное влияние оказало применение корпоративных и личных мобильных устройств (BYOD), связанное с ростом популярности планшетов и смартфонов. Кроме того, произошло быстрое распространение видео в бизнес-коммуникациях — системы видео-конференц-связи, Telepresence, Jabber и т. п. Строя сеть на базе политик, а не спорадически возникающих решений, ИТ-менеджеры могут более полно удовлетворять ожидания пользователей и предоставлять ИТ-услуги в соответствии с бизнес-целями или задачами госуправления на предприятии.
Подход к построению сети на основе политик помогает ИТ-персоналу решать следующие задачи.
Предоставлять авторизованным пользователям доступ к конфиденциальной информации из любого местоположения (из дома или гостиницы) или с помощью определенных устройств (в частности, личных планшетов iPad). В то же время такой доступ должен быть ограничен из мест с повышенным уровнем риска (интернет-кафе или публичный хот-спот в аэропорту) или при использовании неразрешенных устройств. Примером такой политики, часто реализуемой на современном предприятии, может стать разрешение руководителю финансовой службы доступа к данным, хранящихся на виртуальном сервере финансового департамента, из любого места внутри корпоративной сети или за ее пределами, при условии, что используется ноутбук, принадлежащий работодателю.
Перенаправлять весь первоочередной трафик из точек продаж, расположенных в филиалах, посредством шифрования и обеспечения гарантированного качества обслуживания (QoS). При этом другие виды трафика (например, электронная почта) из филиалов могут передаваться в незашифрованном виде и иметь более низкий приоритет.
Присваивать высокий приоритет мультимедийным вызовам в системе видео-конференц-связи или Telepresence в период пиковой нагрузки на сеть, ограничиваясь более низким уровнем обслуживания или присвоением статуса «При наличии возможности» для передачи видео с веб-сайтов, не связанных с основной деятельностью компании.
Повысить производительность труда сотрудников во время переездов между городами за счет динамического предоставления виртуальных рабочих мест (VDI) в ближайшем к сотруднику центре обработки данных компании.
Провести сегментацию сети по требованиям безопасности, утвержденным нормативными документами ФСТЭК по защите персональных данных или государственных информационных систем.
«Но ведь все это можно решить и без каких-то там политик», — скажете вы. Достаточно настроить списки контроля доступа и правила приоритизации трафика. Отчасти да, и в сети, состоящей из двух десятков компьютеров, это действительно посильная задача для ИТ-персонала. В крупных же организациях, особенно в территориально распределенных сетях, осуществление бизнес-политик с помощью доступных на данный момент инструментальных средств всегда было непростой задачей для ИТ-служб. Главные трудности — это отсутствие эффективных инструментов, сложность получения согласованной информации об устройствах, необходимость координировать действия между различными группами сотрудников, а также отсутствие прозрачности в масштабе всей системы и «зоопарк» различных ИТ-решений. Чтобы работать на опережение и учесть будущие потребности в информационных технологиях, ИТ-руководители должны начинать выполнение описанных задач с внедрения в саму сеть возможностей по учету контекста и построения политик на его основе. Эта концепция получила название Policy Governed Network (сеть, управляемая политиками).
Какими преимуществами обладает такая сеть? Основным является то, что она позволяет предприятиям определять политики, исходя из бизнес-объектов, а не IP-адресов тех или иных узлов, и обеспечивать обслуживание с учетом политик на всей территории предприятия. К таким бизнес-объектам относятся «серверы/сегмент финансового департамента», «корпоративные ноутбуки», «личные смартфоны», «точки продаж», «сотрудник отдела продаж» и т. д. Управляемая политиками сеть в режиме реального времени учитывает множество различных атрибутов, — информацию о пользователях, типах устройств, местоположении, времени и направлении доступа, используемых приложениях и сервисах и т.п..
Анатомия политики
В общем виде политику можно описать как «определенный подход или набор правил, регламентирующий принятие решений как в настоящее время, так и в будущем». Текущая ситуация такова, что современные сетевые политики не только определяют условия и требования по безопасности доступа, но и управляют использованием различных ИТ- и бизнес-приложений, обеспечивают соответствие нормативным требованиям ФСТЭК, Банка России, PCI Council и других регуляторов, а также позволяют решать иные вопросы, имеющие первостепенное значение для практической работы современного российского предприятия.
С точки зрения директора по информационным технологиям, сетевая политика предприятия должна обладать тремя ключевыми особенностями.
Во-первых от правильной политики требуется быть независимой от технических решений, ее реализующих. Иными словами, политике «сотруднику HR-службы разрешен доступ к системе управления кадрами только в рабочее время и только с корпоративных устройств» должно быть все равно, как она будет реализована. Кадровик может сегодня подключаться к системе «1С:Предприятие», в которой ведется кадровый учет, со своего ноутбука с Windows, находящегося в том же здании. Завтра он может подключиться к той же системе с планшетного компьютера Samsung Galaxy, находясь в удаленном офисе и собеседуя с кандидатом на замещение вакантной должности (при этом трафик пойдет через сеть Интернет по совершенно другому маршруту, чем в предыдущем случае). А послезавтра ИТ-департамент может принять решение о том, что пора переходить на виртуализацию Microsoft Hyper-V, а вместо 1С будет использоваться решение SAP. Хорошо выстроенная сеть на базе политик не должна видеть разницы между этими тремя сценариями. Технологии их реализующие, должны брать на себя все задачи по трансляции политики, описанной в бизнес-объектах, в технологические нюансы используемого ИТ-зоопарка. Отсюда вытекает второе требование к сетевой политике.
Во-вторых политика должна предусматривать автоматизированный режим функционирования сети и исключение любых корректировок в ручном режиме. Как только вмешивается человеческий фактор, сразу появляются ошибки, исключения для отдельных людей или приложений, правила, «которые нельзя трогать» и т. п. Отсюда вытекает третья особенность.
И, наконец, политика должна допускать возможность ее контроля, оценки эффективности и внесения изменения при необходимости. Но делать это требуется централизованно, чтобы изменение, внесенное в одном месте, автоматически распределялось по всей инфраструктуре предприятия.
ИТ-директор, опираясь на бизнес-задачи, обычно определяет ИТ-политики на уровне всего предприятия и следит за их реализацией. Кроме того, он обеспечивает соответствие политик стратегическим бизнес-целям в среднесрочной перспективе. Различные группы ИТ-специалистов могут определять и выполнять политики подчиненного уровня.
Ключевым элементом такого подхода является наличие инструментария, позволяющего автоматизировать трансляцию высокоуровневых политик, показанных на рис. 1, с учетом элементов на рис. 1, в настройке конкретного и используемого на предприятии оборудования.
Рис. 1. Элементы политики
Очевидно, что политика «Разрешить доступ с корпоративных устройств» может быть реализована на практике только тогда, когда мы четко отделяем корпоративные устройства от личных. Это можно сделать с помощью сертификатов, протокола 802.1x, и других механизмов.
В свою очередь политика «Разрешить доступ к серверам с финансовой информацией только сотрудникам финансового департамента» ставит перед ИТ-службой задачу сначала сгруппировать пользователей по ролям. Затем необходимо сгруппировать все серверы (включая и виртуальные), содержащие финансовую информацию. И только потом, в момент получения какого-либо доступа к финансовой информации, сеть должна, идентифицировав пользователя, принять решение о разрешении доступа или его блокировании. А ведь между пользователем, запрашивающим доступ, и финансовым сервером могут быть расположены десятки разных устройств — маршрутизаторы, коммутаторы, точки беспроводного доступа, межсетевые экраны и т. п. Сеть должна автоматически создать правила контроля доступа и приоритизации трафика на всем протяжении прохождения запроса, а по достижении его цели также автоматически все сделанные правила отменить.
Облачные вычисления и виртуализация
По результатам опроса 172 ИТ-руководителей высшего звена и ИТ-менеджеров, проведенного компанией Savvis и опубликованного в ноябре 2010 года, оказалось, что 75% из них уже использовали технологию облачных вычислений корпоративного класса или собирались сделать это в течение ближайших пяти лет. При использовании виртуализации традиционные элементы ЦОД должны быть такими же легко мигрирующими, как мобильные сотрудники, которые их применяют. А с принятием парадигмы «программное обеспечение как услуга» важные для компании приложения должны быть доступны по защищенным каналам связи из любого места любым авторизованным пользователем и с любого устройства. И поскольку существует постоянная миграция сотрудников, во всех этих случаях все время идет процесс создания, перемещения и восстановления виртуальных машин, необходимы политики, позволяющие ИТ-персоналу эффективно реализовать и управлять доступом и мерами по обеспечению безопасности. Особенно в контексте новых нормативных документов ФСТЭК по вопросам защиты ПДн и государственных и муниципальных информационных систем.
Использование собственных устройств сотрудников и мобильность
По результатам исследований в 2010-м глобальный трафик мобильных устройств вырос в 2,6 раза, при этом третий год подряд наблюдается почти утроение объемов мобильного трафика. Прогнозируется, что к 2015 году будет 788 млн. пользователей, работающих в Интернете только с помощью мобильных устройств. Все шире применяются смартфоны, планшетные компьютеры, нетбуки, которые теперь обладают возможностями корпоративного уровня. Если в обычной жизни сотрудники уже не обходятся без подобных девайсов, то хотят применять их и для работы. Политики должны предусматривать возможность использования таких устройств.
Приложения для работы с видео
ИТ-службы постоянно запускают новые сервисы, предъявляющие повышенные требования к сетевой инфраструктуре. Самым характерным примером является видео. По данным компании Infonetics Research, в 2010 году компании потратили $2,2 млрд на организацию видеоконференций и использование технологии Telepresence. Теперь, когда в руках сотрудников находятся мобильные устройства, оснащенные видеоприложениями высокой четкости, эффективное использование пропускной способности и защита мультимедиатрафика быстро становится все более актуальной задачей для ИТ-специалистов. Менеджеры должны будут разработать соответствующие политики для приоритизации этого трафика и обеспечения качества обслуживания, необходимого для передачи видео. Помимо этого, предприятия и поставщики услуг хотят иметь количественные оценки видеоуслуг, поэтому для поддержки этой и других меняющихся бизнес-моделей потребуются специальные политики.
***
ИТ-службы должны своевременно реагировать на запросы бизнеса и не только оперативно реализовывать их, но и прогнозировать и даже предвосхищать появление новых потребностей. Одним из способов реализовать такой подход и является построение сети, управляемой политиками. А правильный инструментарий, позволяющий уйти от красивой маркетинговой картинки к реально работающей сетевой инфраструктуре, учитывающей и текущие, и будущие потребности бизнеса, только поднимает ценность данной концепции в глазах современных ИТ-служб, стремящихся заслужить доверие у бизнеса и стать его полноценным партнером, а не быть «мальчиком на побегушках», которого постоянно ругают за нерасторопность.
Опубликовано 29.04.2013
