Category: происшествия

Category was added automatically. Read all entries about "происшествия".

Бардак

Стратегия развития СХД и резервного копирования ИТАР-ТАСС

Ниже мы рассмотрим рабочий пример модернизации системы хранения данных (СХД) и резервного копирования (РК) для крупного новостного агентства ИТАР-ТАСС. Агентство давно и плотно работает с огромным массивом данных и непрестанно уделяет внимание ее надежному хранению, являясь крупным заказчиком систем СХД и РК.
В этом году ИТАР-ТАСС в очередной раз решило провести серьезную (и довольно дорогостоящую) модернизацию своих разрастающихся хранилищ данных и заказало у ЗАО «Ай-Теко» апгрейд своего вычислительного комплекса. Целями работ являются консолидация хранения данных, повышение отказоустойчивости и катастрофоустойчивости вычислительного комплекса и файловых ресурсов, а так же обеспечение комплекса дополнительным объемом дискового пространства.

Задачи, подлежащие решению
В ходе модернизации инфраструктуры виртуализированного вычислительного комплекса предлагается  решить следующие задачи:
- Консолидировать хранение данных на единой отказоустойчивой СХД уровня предприятия;
- Повысить надежность хранения данных;
- Повысить отказоустойчивость подсистемы хранения данных;
- Обеспечить инфраструктуру системой резервного копирования;
- Обеспечить катастрофоустойчивость информационных сервисов;
- Разделить модернизацию подсистемы хранения данных и резервного копирования на три этапа.

Предлагаемое решение
Планируется строить решение в три этапа на основе оборудования и технологий NetApp. В решении предлагается использовать следующие технологии NetApp:

  • Системы хранения данных NetApp FAS

  • RAID-DP

  • Технология Thin Provisioning

  • Дедупликация и компрессия

  • Мгновенные резервные копии Snapshot

  • Мгновенные клоны данных FlexClone

  • Функция управления приоритетами томов

  • Архивации мгновенных резервных копий Snapshot  на удаленную систему

  • Системы управления, в том числе командная строка (COM port, telnet, SSH,  RSH); Windows MMC;  Web интерфейс; ПО NetApp System Manager

  • Средства интеграции с приложениями

  • Средства интеграции с VMware

  • Система автоматического оповещения NetApp Autosupport

Этап 1 – Консолидация хранения данных

На первом этапе планируется решить следующие задачи:
- консолидация хранения данных;
- обеспечение надежности хранения данных;
- увеличение скорости дисковых подсистем;
- обеспечение элементарных средств по защите данных – резервное копирование данных.
В ходе реализации первого этапа предлагается внедрить высокоскоростную отказоустойчивую СХД NetApp FAS8060 на основную площадку. Данная система будет «Основной СХД» и будет хранить все оперативные данные, в том числе виртуальные машины и файловые данные с прямым доступом пользователей по протоколу CIFS.
Основная СХД подключается к существующим серверам виртуализации через конвергентную сеть 10 Gb Ethernet, которая позволяет подключать хранилище виртуальных машин Datastore по протоколу FCoE или NFS.
Для создания Datastore предлагается использовать протокол NFS, использование которого позволит получить ряд преимуществ:

  • Упрощается схема файловых систем – отсутствует промежуточная файловая система VMFS). Вся нагрузка по обслуживанию файловой системы перекладывается с серверов на СХД;

  • Упрощается (ускоряется) работа при большом количестве серверов ESXi, обращающихся к одному и тому же Datastore;

  • Все метаданные находятся на СХД. Сбой в соединении сервера и СХД не приводит к потере консистентности файловой системы;

  • Изменение размера тома осуществляется на лету одной командой как в большую так и в меньшую сторону;

  • Максимальный размер тома NFS – 100 ТБ (максимальный размер тома VMFS 2 ТБ, VMFS5 64 ТБ);

  • При удалении виртуальной машины из NFS Datastore освободившееся дисковое пространство немедленно готово для использования как внутри самого тома NFS так и глобально на всем массиве (при удалении виртуальной машины в VMFS высвобождается дисковое пространство только внутри самой VMFS, возврат освободившегося дискового пространства массиву осуществляется отдельной операцией Space Reclamation);

  • Функции дедупликации и клонирования виртуальных машин работает более эффективно при использовании NFS Datastore;

  • При использовании NFS Datastore можно легко получить доступ к файлу конкретной виртуальной машины (vmdk) внутри резервной копии Snapshot.


Доступ к файлам и папка осуществляется на основе разграничения прав доступа. Системы хранения NetApp серии FAS полностью совместимы с Windows Active Directory.
Поддерживаются все стандартные функции файлового доступа, включая квоты, автоматическое создание home directories, ограничение на возможность сохранения того или иного контента (видеофайлов, музыки,…)  и т. д.
Защиту данных на Этапе 1 предлагается осуществлять процессом резервного копирования. При этом необходимо разделять два типа задач резервного копирования:
1) Защита данных от логических повреждений
2) Защита данных от физического повреждения (разрушение RAID группы и т. п.)
Для защиты данных от логических повреждений в первую очередь необходимо использовать технологию мгновенных резервных копий Snapshot на СХД NetApp FAS8060. На Этапе 1 предлагается управлять мгновенными резервными копиями и восстановлением данных из Snapshot-а в ручном режиме.
Для защиты данных от физического повреждения предлагается выполнять резервное копирование виртуальных машин с помощью ПО Veeam Backup и существующего дискового массива EMC VNXe. ПО Veeam Backup может быть установлено на физический или виртуальный сервер.
Дисковый массив EMC VNXe предлагается расположить на резервной площадке, тем самым обеспечивая сохранность данных резервных копий в случае катастрофы на основной площадке.
Решение на Этапе 1 имеет следующие параметры отказоустойчивости и катастрофоустойчивости:
Стоимость поставки оборудования NetApp и ПО NetApp и Veeam на Этапе 1 составляет 615 600 долларов США, с НДС 18%.

Этап 2 – Повышение отказоустойчивости информационных сервисов

На втором этапе предлагается решить следующие задачи:
- дальнейшее повышение отказоустойчивости информационных систем;
- усовершенствование системы резервного копирования;
- обеспечение элементарных средств катастрофоустойчивости - запуска наиболее критичных информационных сервисов на резервной площадке в случае аварии на основной площадке.
Для решения данных задач предлагается внедрить на резервной площадке систему хранения данных NetApp FAS2554 с дисками NL-SAS 7,2k, предназначенную для хранения резервных копий. Она же будет частично выполнять функции резервной системы хранения, позволяющей запускать наиболее критичные сервисы в случае аварии на основной площадке.
Так же на втором этапе предлагается расширить функциональные возможности основной СХД FAS8060 на основной площадке следующими функциями:

  • Мгновенные клоны

  • Интеграция с VMware, MS Hyper-V, MS SQL, MS Exchange, MS SharePoint, Oracle, SAP

  • Архивирование мгновенных резервных копий Snapshot на удаленную площадку.

Phase 2
СХД NetApp FAS2554 подключается в 10 Гб конвергентную сеть или сеть 1Gb Ethenet. При необходимости к СХД могут быть подключены дополнительные серверы по FC.
На втором этапе резервное копирование snapshot-ами осуществляется в автоматическом или полуавтоматическом режиме с применением ПО SnapManager. Данное ПО предоставляет удобный интерфейс для управления операциями резервного копирования, автоматизирует процессы и обеспечивает консистентность данных в резервных копиях.
Репликация проходит по любому имеющемуся IP каналу – 10 Гб или 1 Гб.
Решение на Этапе 2 имеет следующие параметры отказоустойчивости и катастрофоустойчивости:

Стоимость поставки оборудования и ПО NetApp на Этапе 2 составляет 338 000 долларов США, с НДС 18%.

Этап 3 – Обеспечение катастрофоустойчивости информационных сервисов

На третьем этапе предлагается решить следующие задачи:

  - обеспечение катастрофоустойчивости для всех информационных систем – исключение простоев информационных сервисов в случае аварий и катастроф;
На третьем этапе предлагается внедрить технологию NetApp MetroCluster, а именно, преобразовать основную СХД NetApp FAS8060 в территориально распределенную катастрофоустойчивую СХД.

Phase 3
Для создания катастрофоустойчивой схемы контроллеры СХД разносятся по двум территориально удаленным площадкам. В нашем случае, один контроллер основного массива NetApp FAS8060 остается на основной площадке, а второй контроллер перемещается на резервную площадку. Система оснащается дополнительным комплектом дисковых полок в точности дублирующим существующий комплект полок, т.е. количество дисковых полок удваивается. Таким образом обеспечивается хранение двух зеркальных копий данных на двух площадках.
В технологии NetApp MetroCluster подключение дисковых полок осуществляется через Fibre Channel коммутаторы и FC to SAS Bridges. Подключение контроллеров между собой осуществляется через Fibre Channel коммутаторы и Inter Switch Link (ISL) – каналы связи между площадками.
Таким образом, благодаря такой схеме коммутации, каждый контроллер в любой момент времени имеет доступ к любому диску, как на локальной, так и на удаленной площадке. Однако же, в штатном режиме работы, у каждого контроллера имеются диски, которые являются для данного контроллера основными. Кроме своих основных дисков, контроллеры «видят» диски зеркала на удаленной площадке и «чужие» диски (диски контроллера партнера).
В момент какой-либо аварии на одной из площадок, если часть массива на этой площадке перестала работать, второй контроллер автоматически берет на себя все ресурсы вышедшего из строя контроллера и таким образом продолжает предоставлять полноценный доступ ко всем имеющимся данным.
Систему хранения резервных копий NetApp FAS2554 предлагается разместить на третьей площадке, тем самым еще больше увеличить уровень катастрофоустойчивости информационных сервисов. Мгновенные резервные копии все так же будут реплицироваться на систему хранения резервных копий с использованием технологии SnapVault.
Решение на заключительном Этапе 3 имеет следующие параметры отказоустойчивости и катастрофоустойчивости:
Table-3
Стоимость поставки оборудования и ПО NetApp на Этапе 3 составляет 726 700 долларов США, с НДС 18%.

Основные преимущества предлагаемого решения
По мнению «Ай-Теко», предложенное ими для ИТАР-ТАСС решение обладает следующими преимуществами:

  • Консолидация задач по хранению данных в одном решении. Обеспечение надежности хранения данных.

  • Обеспечение катастрофоустойчивости информационных систем - исключение времени незапланированных простоев и обеспечение сохранности данных даже в случаях локальных катастроф (пожары, потопы, обрушение, отключение электропитания и т. д.);

  • Увеличение объемов доступного дискового пространства;

  • Увеличение производительности дисковой подсистемы информационных сервисов;

  • Повышение эффективности хранения дискового пространства (эффективная дедупликация)  – сокращение расходов на хранение информации;

  • Внедрение эффективных средств резервного копирования данных на дисках. Значительное сокращение окна резервного копирования и времени восстановления данных из резервной копии;

  • Простота администрирования системы. Использование одного интерфейса управления для всех этапов и для всех компонентов решения – основной СХД, СХД для хранения резервных копий, катастрофоустойчивой СХД, блочного доступа, файлового доступа;

  • Гибкое распределение дискового пространства между файловым и блочным доступом;

  • Широкие возможности масштабируемости решения.

Бардак

Group-IB: ширма полиции или дешевые PR-щики?

В начале января прессу обошла новость о том, что  в Тольятти был задержан хакер Paunch, возглавлявший группу злоумышленников, заработавших 70 млн. рублей - приличные деньги - на создании и продаже вирусов.  Из сообщений прессы складывалось впечатление, что благодаря усилиям Group-IB доблестные российские полицейские смогли поймать опасных киберпреступников, география работы которых охватывала весь мир.

На самом деле все было не совсем так, как это преподносится с подачи хорохорящихся менеджеров Group-IB.

В начале 2012 года в Управление «К» МВД начали потоком поступать заявления от банков и их вкладчиков о хищениях денег с их счетов с помощью пластиковых карт. Так обнаружилось, что в стране действует большая преступная группа, которая с помощью подсаженных на компьютеры пользователей однотипных вирусов похищала данные банковских карт, а затем и обналичивала деньги с их копий в небольших городах России. Полицейским был понятен механизм преступления, но зацепок по выявлению конкретных злоумышленников это не давало. Довольно долго шла ловля обнальщиков, как самого слабого звена преступной цепи, но те продолжали неуловимо и беспрепятственно снимать похищенные деньги в банкоматах небольших российских банков.

Тогда полицейские решили попробовать поймать преступников на популярном человеческом пороке – на жадности. В качестве ловушки был выбран город Н-ск, в котором обнальщики уже не раз отмечались, но местные банки либо не имели видеокамер в своих банкоматах, либо имели, но по прибытии неспешной муниципальной полиции у банкоматов уже никого не было.

Н-ск был выбран неслучайно: в нем имелся небольшой дружественный банк, с СБ которого у полиции были налажены тесные связи. По настоянию СБ (а такое еще возможно в небольших и полу-карманных банках) этот банк временно отменил комиссии по выдаче денежных средств с карт других эмитентов. Все банкоматы банка заблаговременно были оборудованы видеорегистраторами, и близ его городских отделений в машинах дежурили полицейские засады в гражданке.

Расчет сотрудников Управления «К» полностью оправдался — скупость подвела хакеров: те быстро узнали про «дешевые» банкоматы в Н-ске и при получении наличных денег в одном из них пара обнальщиков была арестована. Они сразу же начали давать признательные показания, из которых обнаружилось, что это действовала группа суперхакера Paunch’а, а в ней…

А в ней, к стыду полиции, уже пару лет был полноценный полицейский осведомитель, который… бездействовал! То есть, он не бездействовал, а инициативно сдавал своим кураторам всякую мелочь и шушеру, при этом основной источник своих преступных доходов агент тщательно скрывал.

Так часто бывает, что в полицейские агенты инициативно идут преступники, чтобы иметь себе прикрытие на случай проблем с правоохранительными органами. Они  маскируют свою основную деятельность потоком сторонней и малозначимой информации и под носом у своих кураторов продолжают свое черное дело. В случае опасности, они заявляют о своих былых докладах и каются за то, что «чуток не углядели».

Вот и в этот раз прижатый полицейскими к стенке их же собственный агент заявил, что он ничего особо-то и не скрывал, просто кураторы его «не спрашивали», поэтому он пару лет и не торопился докладывать о деятельности группы Paunch’а.

Такое провальное руководство своей же агентурой управление «К» афишировать не хотело и решило подать общественности все произошедшее в более выгодном для себя ключе. Для этого оно избрало своих давних помощников в лице Group IB, которые с удовольствием выпятили свое небольшое участие, раздув его до того, что всем стало представляться, будто это именно они раскрыли дело, а не оперативники из полиции.

На самом деле всю работу по ловле группы хакеров проделали сотрудники управления «К»,  а специалисты из Group IB были привлечены только на последнем этапе расследования для документирования доказательств и поиска следов через Интернет вовремя улизнувших подельников из группы Paunch’а. Ретивость Group IB в самовосхвалении даже пришлось специально охлаждать пресс-службам МВД, спешно выпустившим свои версии событий о деле с небольшим упоминанием, а то и вовсе без упоминания фирмы кибер-борцов. О промахах в своей агентурной работе, когда хвост вилял собакой, полиция скромно умолчала.

Забавно, но сама Group IB, постоянно заявляющая о себе на рынке как о «ведущей международной компании по предотвращению и расследованию…»,  имеет уставной капитал всего в… 10 000 руб. Это не опечатка, ООО «Групп Айби» по размеру своих обязательств сравнима с самым крохотным юрлицом, только начинающим житье: меньше иметь нынче капитал просто невозможно. Может, это так принято на некогда бурно росшем рынке российской информационной безопасности? Возможно. Вот, к примеру, крупный борец с вирусами ЗАО «Лаборатория Касперского» имеет УК в размере 8 400 руб. (источник Росстат) — по нормативам 2002 г. такое было разрешено.

Получается, что Group-IB не сильно отличишь от простой фирмочки-однодневки. Несолидно это как для «международной», так и для «ведущей» компании: ведь при появлении претензий к Group IB она честно, смотря прямо в глаза, сможет вернуть деньги в размере… 220$ (цена подержанного iPhona). Не больше. Такой вот лидер безопасности информационной.

А в ноябре 2013г. Group-IB и вовсе попала в анекдотическую ситуацию: ее англоязычный сайт был заблокирован за то, что находился на одном IP с каким-то «наркотическим» сервером. Из жадности, а может, из экономии наши незадачливые борцы с киберпреступностью разместили свой сайт на хостинге с сотней-другой скряг, среди которых и попался заблокированный сервер.

В чем нет равных Group-IB, так это в активной подаче своих успехов как реальных, так и полу-вымышленных. Только успешность самопиара компании не очень высока и все её незадачливые попытки выдать желаемое за действительное рано или поздно раскрываются. Пока такая стратегия еще привлекает неискушенных клиентов, но скоро репутация пустозвонов может сильно повредить киберборцам с киберпреступностью.

Бардак

КРОК ответит Сбербанку за всё

Bank-vs-IT
Осенью 2013г. Кроку было окончательно отказано в каком-либо сотрудничестве со Сбербанком. В начале года Г.Греф дал указание разобраться с обоснованностью спецификаций и цен выставляемых Кроком и после внутреннего расследования в банке пришли к неутешительным выводам, о том что цены на технику и услуги этого интегратора сильно завышены и что здесь сильно попахивает недобросовестными бизнес-практиками. Читай - взятками, которые давали сотрудники интегратора ИТ-специалистам банка, чтобы те закупались только у Крока.

Началось все с назначения руководителем ИТ-направления банка В.Кулика, который ранее возглавлял департамент рисков. Именно он согласовал с Грефом и инициировал проверки ценовой политики Крока, чьи контракты занимали почти 70% ИТ-бюджета Сбербанка. На беду Крока в числе помощников Кулика оказался и бывший директора компании Астерос М.Эренбург, не питавший теплых чувств к этому интегратору. Когда результаты пристрастной проверки о завышении цен и взятках стали известны высшему руководству банка, Кроку в негласном порядке было сообщено, чтобы он перестал работать со Сбербанком.

Негласность объясняется тем, что в самом банке лихоимцы тоже имелись – именно за чрезмерно тесные связи с владельцем Крока Б.Бобровниковым был уволен бывший руководитель ИТ-департамента В.Орловский. Поэтому в Сбербанке не стремились особо афишировать ситуацию и, как это принято в банковском мире, решили закрыть вопрос по-тихому. И вот, не вынося сор из избы, весной Кроку было предложено «позабыть о прошлом» и разойтись в разные стороны миром. Навсегда. Везде. Во всех субъектах России, в Восточной Европе, да и вообще, везде, где две компании сотрудничали.

Однако Кроку такая ситуация пришлась сильно не по душе – ведь выручка от Сбера в  2013г. составляла почти 50% от всех его контрактов в стоимостном выражении и терять ее он совсем не хотел. Поэтому намёка там притворно не поняли и, как ни в чем не бывало, в ноябре подали свою заявку на большой тендер, проводимый банком. Хуже того, несколько подконтрольных Кроку (якобы «альтернативных») участников тендера также подали заявки на это тендер.

В ответ на такое поведение руководство банка разъярилось: Сбербанк решился жестко приструнить зарвавшихся интеграторов с помощью силовых мер. Не секрет, что часть службы безопасности банка составляют «подкрышники», т.е. сотрудники ФСБ, находящиеся «под крышей» учреждения и работающие на две организации. Они получают хорошую зарплату в коммерческой организации (в том же банке), но параллельно имею воинское звание и должность в ФСБ. Обычно большую часть времени они приятно бездельничают, отписываясь двум руководствам, что именно в этот момент они как раз сильно заняты по линии другой организации. Но в этот раз Греф на эти отписки даже не посмотрел и просто приказал своей (ну, почти своей) службе безопасности расследовать дело с поставками серверов ИБМ через наглецов из Крока.

Как результат - в середине ноября в офисах Крока ФСБ были проведены выемки документов, касающиеся поставок серверов в Сбербанк. Обошлось без автоматчиков, но деятельность ИТ-офисов была парализована на пару дней. Но от такого «гуманизма» последствия не лучше: ведь ранее подобные конфликты замалчивались.

Хотя в российском ИБМ знали про то, каким образом их оборудование поставляется в Сбербанк, ФСБ аккуратно обошло Голубого гиганта, у которого имеется своя неслабая крыша и сосредоточилось на зарвавшемся интеграторе. Вообще-то, коррупционными делами в стране занимается Следственный комитет, но Сбербанк имеет ярлык "стратегического" предприятия, поэтому на Лубянке забрали дело себе. Не без оснований поговаривают, что это сделали с подачи Астероса, который употребил все свое влияние, чтобы дело расследовалось именно там.

ИБМ на прямые контракты у нас в стране не идет, но после переговоров со Сбербанком и прямого указания на обыски в Кроке была достигнута договоренность о поставках оборудования по фиксированным ценам и в нужных объемах через согласованный двумя сторонами список поставщиков. Крока, как можно догадаться, в этом списке нет.

Пока по результатам событий и при активной поддержке Астероса в Сбербанке решили сменить политику в области ИТ на более устойчивую, в которой ни один поставщик не может обеспечивать более 30% контрактов. По возможности отказаться от всех посреднических компаний (включая пресловутый Крок) и заключать договора напрямую с производителями оборудования и программного обеспечения. Объемы поставок, закупаемые крупнейшим банком страны, вполне позволяют ему делать такие заказы напрямую — размах Сбербанка гарантирует ему звание «глобального партнера» у любой из крупнейших зарубежных корпораций.

В среде самих интеграторов пока нет единого мнения на счет того, кому выгодно отлучение Крока от Сбербанка, некоторые даже пришивают к делу Энвижн. Но это больше от незнания - ведь немногие информированы об активной деятельности Астероса в этом деле. Сбербанк отстаивает свои интересы, а Астерос активно пытается подтолкнуть падающего.

Если новая ИТ-политика банка будет работать, то любому интегратору (включая тот же Астерос) достанется не более 30% контрактов. Однако, нанесенный удар по финансам Крока так силен, что его будущее теперь под вопросом. В среде сотрудников и менеджмента компании царит неопределенность и разочарование, усиленное известиями о том, что Б.Бобровников уехал в Лондон и оттуда пытается руководить своей компанией. В этой ситуации Астерос  надеется дальнейшее укрепление своей репутации «доброго советчика» в Сбербанке и рассчитывает на «свои» 30% контрактов. А на падении Крока можно будет подзаработать и в других организациях, подряды в которых Крок уже  никогда не осилит…