Sieć na miarę siedziby

Sieć na miarę siedziby
Implementacja nowej infrastruktury sieciowej przez Poznański Bank Spółdzielczy jest
najlepszym przykładem na to, że – przy racjonalnym podejściu do inwestycji – nawet
niewielkie banki mogą korzystać z najnowocześniejszych rozwiązań technologicznych.
P
ierwszego lipca tego roku centrala Poznańskiego
Banku Spółdzielczego przeprowadziła się do nowoczesnego i funkcjonalnego budynku przy ulicy Bolesława Krzywoustego 3. Kierownictwo banku rozważało różne
koncepcje nowej centrali: samodzielną budowę siedziby lub
rewitalizację zabytkowej kamienicy. Ostatecznie zdecydowano się na zakup w stanie surowym jednego z powstających
właśnie biurowców. Wczesny etap inwestycji pozwolił na pełną adaptację budynku do potrzeb bankowych.
Nowa siedziba banku wymusiła budowę najistotniejszego
elementu infrastruktury centrali – nowej sieci informatycznej. Przeprowadzanie centrali banku metodą przenoszenia
starego sprzętu praktycznie nie wchodzi w grę – wiąże się
bowiem ze zbyt dużym ryzykiem.
Bank wie, czego chce…
Specjaliści IT banku sami zaprojektowali sieć logiczną
i sformułowali założenia dla infrastruktury IT. Byli zainteresowani – zgodnie z obowiązującą od lat w banku zasadą
– rozwiązaniami sprzętowymi najwyższej klasy na moment
realizacji projektu. – Naszą koncepcję sieci przekazaliśmy Asseco, oczekując, że przedstawi nam odpowiednie rozwiązanie technologiczne. Miało ono budżetowo odpowiadać wielkości naszego
banku, powinno spełniać wymogi nowej Rekomendacji D – dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach – oraz
pozwalać na elastyczną konfigurację sieci – mówi Piotr Mazur,
kierownik Zespołu Informatyki w Poznańskim Banku Spółdzielczym.
Nad wyborem dostawcy bank się nie zastanawiał. – Z Asseco współpracujemy od lat 90., przy projektach strategicznych nie
eksperymentujemy, tylko robimy je ze sprawdzonym partnerem
– wyjaśnia Piotr Mazur.
Specjaliści Asseco wiedzą, jak
– Kiedy przedstawiciel Poznańskiego Banku Spółdzielczego zgłosił się do nas z prośbą o przedstawienie koncepcji sieci i zabezpieczeń teleinformatycznych dla nowej siedziby banku od razu wiedzieliśmy, że jest to idealna okazja, żeby zaproponować rozwiązania zrywające z dotychczasowym podejściem do budowy tego typu
20
Nowoczesny Bank S p ó ł dz i e l cz y
Nowa siedziba centrali Poznańskiego Banku Spółdzielczego.
infrastruktur. Nowa siedziba banku zasługiwała na coś więcej niż
zastosowanie tradycyjnych zapór sieciowych bazujących na numerach portów i znanych od lat przełącznikach – wspomina Witold
Smela, inżynier Asseco zaangażowany w projekt.
Bank zaakceptował zaproponowaną przez Asseco zaporę
nowej generacji – rozwiązanie Palo Alto Networks. Z uwagi
na liczbę pracowników – 116 osób – wystarczył model niższy
wydajnościowo, ale o pełnej funkcjonalności. To dobra wiadomość dla banków spółdzielczych, że w ofercie producentów takich rozwiązań pojawiły się modele przeznaczone dla
mniejszych podmiotów i dysponujące zestawem funkcjonalności dostępnym wcześniej tylko u większych, a co za tym
idzie droższych odpowiedników.
Bezpieczny bank za zaporą
Palo Alto Networks spełnia wszystkie wymogi stawiane
przed systemem zabezpieczeń (patrz ramka). Dzięki zastosowanej w banku integracji z istniejącą usługą MS Active
Directory możliwe jest jednoznaczne określenie tożsamości
użytkownika kryjącego się za adresem IP, a polityka bezpieczeństwa określająca dostępne dla pracowników banku zasoby w internecie budowana jest na bazie grup użytkowników
zdefiniowanych w usłudze katalogowej. Wytypowano ponadto aplikacje internetowe niezbędne użytkownikowi do pracy,
niezależnie od tego na jakim porcie działają, czy wykorzystują
Prezentacja
Racjonalizm ze szczyptą… sentymentu
Do budowy warstwy rdzeniowej oraz dostępowej sieci
LAN bank wybrał przełączniki Juniper Networks serii EX
3300 z technologią Virtual Chassis (8 fizycznych urządzeń
po 4 dla każdej z warstw). Od początku budowy sieci rozległej bank pracował na produktach tej marki, więc za takim
wyborem przemawiało zarówno nabyte doświadczenie, jak
i odrobina sentymentu. Wszystkie oddziały banku są wyposażone w urządzenia Juniper Networks, chodziło więc
również o łatwość integracji i możliwość podłączenia się do
Centrum Usług Internetowych Asseco.
W Poznańskim Banku Spółdzielczym przełączniki w danej
warstwie połączone są w pierścień i stanowią jedno logiczne
urządzenie – taka konfiguracja znacznie upraszcza strukturę
logiczną sieci, ponieważ w rezultacie mamy dwa urządze-
Najistotniejsze założenia dla urządzeń brzegowych
bankowej sieci IT:
n dwa
stopnie ochrony – zewnętrzny i wewnętrzny system
zaporowy w postaci klastra niezawodnościowego
n zewnętrzny system zaporowy umożliwiający inspekcję aplika-
cyjną, czyli rozpoznawanie aplikacji za pomocą sygnatur i heurystyki bez względu na wykorzystywane numery portów
n zewnętrzny system zaporowy umożliwiający transparentne
ustalenie tożsamości użytkownika i powiązanie dozwolonych aplikacji z konkretnym użytkownikiem lub grupą użytkowników
n wychodzący
ruch użytkowników do internetu poddawany
kontroli filtra URL oraz inspekcji antywirusowej i IPS
n wewnętrzne
zasoby odseparowane od reszty środowiska
systemem zaporowym z aktywną ochroną IPS
n zastosowanie
protokołu STP ograniczone do niezbędnego
minimum
n maksymalne uproszczenie zarządzania infrastrukturą sieciową
Zdjęcia: Asseco
zwykłą przeglądarkę internetową, czy dedykowanego klienta.
Zestaw aktywnych funkcjonalności związanych z systemem
zabezpieczeń uzupełniony jest o filtrowanie adresów URL,
ochronę przed szkodliwym kodem, monitorowanie wysyłanych i pobieranych plików. Z kolei udostępniane przez bank
usługi w internecie, czyli strona www i poczta elektroniczna,
zabezpieczone są przed atakami przez moduł IPS.
Dobra wiadomość dla administratorów sieci: zastosowane
rozwiązanie umożliwia – za pomocą narzędzi graficznych –
przejrzyste i intuicyjne analizowanie i raportowanie incydentów. – Czas potrzebny na naukę obsługi całego rozwiązania
przez administratora okazał się być znacznie krótszy niż pierwotnie przewidywaliśmy – podkreśla Witold Smela.
Efektowna serwerownia w nowej centrali PBS ma nietypowe
przeszklenie. Jej lokalizację w budynku podyktowały wymagania
dla tego typu pomieszczeń.
nia zamiast ośmiu. Możliwe zatem stało się połączenie obu
warstw za pomocą zagregowanych łączy światłowodowych –
w ten sposób uzyskano nadmiarowe i zwielokrotnione łącze
oraz przy okazji uniknięto potrzeby stosowania kłopotliwego dla administratorów protokołu STP. W razie potrzeby istnieje możliwość łatwej rozbudowy infrastruktury o kolejne
przełączniki w odpowiedniej warstwie lub zastosowanie połączeń 10 Gb/s.
– Jestem zadowolony z wdrożenia, choć od początku działaliśmy pod presją czasu. Trudno uwierzyć, ale w październiku ubiegłego roku weszliśmy na obiekt, który dopiero miał być naszym
bankiem. Część IT i elektryczną zbudowaliśmy w rekordowym
tempie – praktycznie w pół roku – cieszy się Piotr Mazur.
Spora w tym zasługa, oprócz sprawdzonego dostawcy, niezwykle racjonalnego podejścia banku do inwestycji w IT.
Przepis na sukces
– Staramy się stosować racjonalizm technologiczny i budżetowy. Budżet jest istotny, ale nie oszczędzamy na jakości istotnych
elementów. Wybieramy propozycje rozsądne cenowo, wydajnościowo i jakościowo, mając na uwadze perspektywę 5-letnią, po
takim czasie wymieniamy sprzęt – wyjaśnia Piotr Mazur.
Stosując te zasady, bank zdecydował się na UPS EATON Powerware, jeden z najnowocześniejszych UPS-ów w układzie
równoległym. Przy wyborze głównego serwera bankowego
zdecydowały wieloletnie dobre doświadczenia z użytkowania
serwerów Sun Microsystems, ale macierz kupiono od EMC.
– Natomiast z zasady nie kupujemy rzeczy, które bankowi nie są
potrzebne. Centralę telefoniczną wstawił nam operator – i on sprawuje jej serwis – a opłatę wnosimy w ramach abonamentu. Nie kupowaliśmy też drukarek – w naszych copy center umiejscowionych
na każdym piętrze płacimy za stronę wydruku. Rozwiązanie jako
usługa, polecam ten model korzystania z części IT innym bankom
– jest naprawdę opłacalny – mówi Piotr Mazur. 
9 / 20 1 3
21