Sieć na miarę siedziby
Transkrypt
Sieć na miarę siedziby
Sieć na miarę siedziby Implementacja nowej infrastruktury sieciowej przez Poznański Bank Spółdzielczy jest najlepszym przykładem na to, że – przy racjonalnym podejściu do inwestycji – nawet niewielkie banki mogą korzystać z najnowocześniejszych rozwiązań technologicznych. P ierwszego lipca tego roku centrala Poznańskiego Banku Spółdzielczego przeprowadziła się do nowoczesnego i funkcjonalnego budynku przy ulicy Bolesława Krzywoustego 3. Kierownictwo banku rozważało różne koncepcje nowej centrali: samodzielną budowę siedziby lub rewitalizację zabytkowej kamienicy. Ostatecznie zdecydowano się na zakup w stanie surowym jednego z powstających właśnie biurowców. Wczesny etap inwestycji pozwolił na pełną adaptację budynku do potrzeb bankowych. Nowa siedziba banku wymusiła budowę najistotniejszego elementu infrastruktury centrali – nowej sieci informatycznej. Przeprowadzanie centrali banku metodą przenoszenia starego sprzętu praktycznie nie wchodzi w grę – wiąże się bowiem ze zbyt dużym ryzykiem. Bank wie, czego chce… Specjaliści IT banku sami zaprojektowali sieć logiczną i sformułowali założenia dla infrastruktury IT. Byli zainteresowani – zgodnie z obowiązującą od lat w banku zasadą – rozwiązaniami sprzętowymi najwyższej klasy na moment realizacji projektu. – Naszą koncepcję sieci przekazaliśmy Asseco, oczekując, że przedstawi nam odpowiednie rozwiązanie technologiczne. Miało ono budżetowo odpowiadać wielkości naszego banku, powinno spełniać wymogi nowej Rekomendacji D – dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach – oraz pozwalać na elastyczną konfigurację sieci – mówi Piotr Mazur, kierownik Zespołu Informatyki w Poznańskim Banku Spółdzielczym. Nad wyborem dostawcy bank się nie zastanawiał. – Z Asseco współpracujemy od lat 90., przy projektach strategicznych nie eksperymentujemy, tylko robimy je ze sprawdzonym partnerem – wyjaśnia Piotr Mazur. Specjaliści Asseco wiedzą, jak – Kiedy przedstawiciel Poznańskiego Banku Spółdzielczego zgłosił się do nas z prośbą o przedstawienie koncepcji sieci i zabezpieczeń teleinformatycznych dla nowej siedziby banku od razu wiedzieliśmy, że jest to idealna okazja, żeby zaproponować rozwiązania zrywające z dotychczasowym podejściem do budowy tego typu 20 Nowoczesny Bank S p ó ł dz i e l cz y Nowa siedziba centrali Poznańskiego Banku Spółdzielczego. infrastruktur. Nowa siedziba banku zasługiwała na coś więcej niż zastosowanie tradycyjnych zapór sieciowych bazujących na numerach portów i znanych od lat przełącznikach – wspomina Witold Smela, inżynier Asseco zaangażowany w projekt. Bank zaakceptował zaproponowaną przez Asseco zaporę nowej generacji – rozwiązanie Palo Alto Networks. Z uwagi na liczbę pracowników – 116 osób – wystarczył model niższy wydajnościowo, ale o pełnej funkcjonalności. To dobra wiadomość dla banków spółdzielczych, że w ofercie producentów takich rozwiązań pojawiły się modele przeznaczone dla mniejszych podmiotów i dysponujące zestawem funkcjonalności dostępnym wcześniej tylko u większych, a co za tym idzie droższych odpowiedników. Bezpieczny bank za zaporą Palo Alto Networks spełnia wszystkie wymogi stawiane przed systemem zabezpieczeń (patrz ramka). Dzięki zastosowanej w banku integracji z istniejącą usługą MS Active Directory możliwe jest jednoznaczne określenie tożsamości użytkownika kryjącego się za adresem IP, a polityka bezpieczeństwa określająca dostępne dla pracowników banku zasoby w internecie budowana jest na bazie grup użytkowników zdefiniowanych w usłudze katalogowej. Wytypowano ponadto aplikacje internetowe niezbędne użytkownikowi do pracy, niezależnie od tego na jakim porcie działają, czy wykorzystują Prezentacja Racjonalizm ze szczyptą… sentymentu Do budowy warstwy rdzeniowej oraz dostępowej sieci LAN bank wybrał przełączniki Juniper Networks serii EX 3300 z technologią Virtual Chassis (8 fizycznych urządzeń po 4 dla każdej z warstw). Od początku budowy sieci rozległej bank pracował na produktach tej marki, więc za takim wyborem przemawiało zarówno nabyte doświadczenie, jak i odrobina sentymentu. Wszystkie oddziały banku są wyposażone w urządzenia Juniper Networks, chodziło więc również o łatwość integracji i możliwość podłączenia się do Centrum Usług Internetowych Asseco. W Poznańskim Banku Spółdzielczym przełączniki w danej warstwie połączone są w pierścień i stanowią jedno logiczne urządzenie – taka konfiguracja znacznie upraszcza strukturę logiczną sieci, ponieważ w rezultacie mamy dwa urządze- Najistotniejsze założenia dla urządzeń brzegowych bankowej sieci IT: n dwa stopnie ochrony – zewnętrzny i wewnętrzny system zaporowy w postaci klastra niezawodnościowego n zewnętrzny system zaporowy umożliwiający inspekcję aplika- cyjną, czyli rozpoznawanie aplikacji za pomocą sygnatur i heurystyki bez względu na wykorzystywane numery portów n zewnętrzny system zaporowy umożliwiający transparentne ustalenie tożsamości użytkownika i powiązanie dozwolonych aplikacji z konkretnym użytkownikiem lub grupą użytkowników n wychodzący ruch użytkowników do internetu poddawany kontroli filtra URL oraz inspekcji antywirusowej i IPS n wewnętrzne zasoby odseparowane od reszty środowiska systemem zaporowym z aktywną ochroną IPS n zastosowanie protokołu STP ograniczone do niezbędnego minimum n maksymalne uproszczenie zarządzania infrastrukturą sieciową Zdjęcia: Asseco zwykłą przeglądarkę internetową, czy dedykowanego klienta. Zestaw aktywnych funkcjonalności związanych z systemem zabezpieczeń uzupełniony jest o filtrowanie adresów URL, ochronę przed szkodliwym kodem, monitorowanie wysyłanych i pobieranych plików. Z kolei udostępniane przez bank usługi w internecie, czyli strona www i poczta elektroniczna, zabezpieczone są przed atakami przez moduł IPS. Dobra wiadomość dla administratorów sieci: zastosowane rozwiązanie umożliwia – za pomocą narzędzi graficznych – przejrzyste i intuicyjne analizowanie i raportowanie incydentów. – Czas potrzebny na naukę obsługi całego rozwiązania przez administratora okazał się być znacznie krótszy niż pierwotnie przewidywaliśmy – podkreśla Witold Smela. Efektowna serwerownia w nowej centrali PBS ma nietypowe przeszklenie. Jej lokalizację w budynku podyktowały wymagania dla tego typu pomieszczeń. nia zamiast ośmiu. Możliwe zatem stało się połączenie obu warstw za pomocą zagregowanych łączy światłowodowych – w ten sposób uzyskano nadmiarowe i zwielokrotnione łącze oraz przy okazji uniknięto potrzeby stosowania kłopotliwego dla administratorów protokołu STP. W razie potrzeby istnieje możliwość łatwej rozbudowy infrastruktury o kolejne przełączniki w odpowiedniej warstwie lub zastosowanie połączeń 10 Gb/s. – Jestem zadowolony z wdrożenia, choć od początku działaliśmy pod presją czasu. Trudno uwierzyć, ale w październiku ubiegłego roku weszliśmy na obiekt, który dopiero miał być naszym bankiem. Część IT i elektryczną zbudowaliśmy w rekordowym tempie – praktycznie w pół roku – cieszy się Piotr Mazur. Spora w tym zasługa, oprócz sprawdzonego dostawcy, niezwykle racjonalnego podejścia banku do inwestycji w IT. Przepis na sukces – Staramy się stosować racjonalizm technologiczny i budżetowy. Budżet jest istotny, ale nie oszczędzamy na jakości istotnych elementów. Wybieramy propozycje rozsądne cenowo, wydajnościowo i jakościowo, mając na uwadze perspektywę 5-letnią, po takim czasie wymieniamy sprzęt – wyjaśnia Piotr Mazur. Stosując te zasady, bank zdecydował się na UPS EATON Powerware, jeden z najnowocześniejszych UPS-ów w układzie równoległym. Przy wyborze głównego serwera bankowego zdecydowały wieloletnie dobre doświadczenia z użytkowania serwerów Sun Microsystems, ale macierz kupiono od EMC. – Natomiast z zasady nie kupujemy rzeczy, które bankowi nie są potrzebne. Centralę telefoniczną wstawił nam operator – i on sprawuje jej serwis – a opłatę wnosimy w ramach abonamentu. Nie kupowaliśmy też drukarek – w naszych copy center umiejscowionych na każdym piętrze płacimy za stronę wydruku. Rozwiązanie jako usługa, polecam ten model korzystania z części IT innym bankom – jest naprawdę opłacalny – mówi Piotr Mazur. 9 / 20 1 3 21