“ози сайт използва бисквитки (cookies). јко желаете можете да научите повече тук. –азбрах

Ќовини јктуални проекти
бр. 6, 2016

Ќовата архитектура за »нтеренет свързаност в Ѕанка ƒ—  Ц поредна стъпка към дигиталната трансформаци€

— реализаци€та на проекта финансовата институци€ осигур€ва услови€ за значително по-активно използване на дигиталните канали за взаимодействие с клиенти

от , 24 юни 2016 0 2854 прочитани€,

Ќад€  ръстева

¬ кра€ на април, Ѕанка ƒ—  приключи успешно проект за въвеждане на нова архитектура на »нтернет свързаност. ¬ рамките на тази инициатива са инсталирани нови Cisco рутери от висок клас, внедрен е Web application firewall Imperva и са въведени средства за превенци€ на атаки от тип отказ в обслужването (DDoS). ѕроектът е в унисон с визи€та за стратегическото развитие на Ѕанката, ко€то отчита ключовото значение на надеждната »“ инфраструктура за успешното развитие на бизнеса в ерата на дигитализаци€та.

Ќовите бизнес потребности

“Ѕанка ƒ—  регул€рно обнов€ва сво€та бизнес стратеги€, провеждайки различни анализи за бизнес средата. Ќапоследък, както във финансови€ сектор, така и в много други индустрии се наблюдава €вната тенденци€ за активизиране на контактите с клиенти през »нтернет. “ова е лесен и достъпен начин за комуникаци€ с много широк кръг хора. ¬заимодействието с банката по »нтренет елиминира необходимостта от посещение на офис, не отнема време и е много по-достъпно, включително ако се намирате извън рамките на Ѕългари€. ћного хора, особено по-младите, предпочитат такъв лесен подход. јнализите в кра€ на миналата година показаха по-активно използване на мобилни устройства при комуникаци€та с банката, както и на »нтернет банкирането ƒ—  ƒирект, което от сво€ страна води до по-големи изисквани€ към инфраструктурата, осигур€ваща »нтернет свързаност”, по€сни мотивите за старта на проекта ÷анко Ѕонев, директор на дирекци€ „»нфраструктурна сигурност и комуникации“ в Ѕанка ƒ— .

”величаване на капацитета

ѕрез годините, развитието на архитектурата за »нтернет свързаност в Ѕанка ƒ—  преминава през н€колко етапа. ѕървоначално финансовата институци€ използва един »нтернет доставчик в лицето на един от утвърдените телекоми в Ѕългари€ и съответно свързаност от един дейта център към този телеком. ѕо-късно е изградена »нтернет свързаност от втори€ дейта център на Ѕанката към друг от утвърдените телекоми в страната, като целта е да се осигури резервираност.

“Ѕанката разполагаше с класическа инфраструктура с много добри възможности, но с оглед на перспективите, които б€ха откроени от анализите беше решено да се се инвестира в решени€ осигур€ващи »нтернет свързаност от по-високо ниво. ќсвен това, при тази конфигураци€, инфраструктурата предполагаше работа или през основната свързаност или през резервната – т.е. резервната свързаност стоеше в режим на изчакване без да бъде експлоатирана през по-гол€мата част от времето. “ова от сво€ страна водеше до оперативни разходи без от този канал да има друга реална полза освен резервираност, а и начинът по който тази архитектура позвол€ваше да се използва свързаността е доста по-слабо управл€ем”, коментира ÷анко Ѕонев.

ѕостав€йки си за цел да повиши капацитета и да подобри управлението на »нтернет свързаността, банката инвестира в Cisco рутери от висок клас, които служат само за осигур€ване на »нтернет свързаност.

ѕо думите на Ѕонев, за да бъде оправдана една такава инвестици€, т€ тр€бва както да покрива нуждите на бизнеса, така и да бъде пълноценно използвана. «атова е решено да се осигури свързаност и от двата доставчика в двата дейта центъра и тази свързаност да се използва едновременно. “ова води до по-ниски оперативни разходи и по-гол€м реално използван капацитет на »нтернет свързаност. ќт техническа гледна точка това е възможно, тъй като дейта центровете са свързани с помощта на тъмна оптика, така че изграденото решение (виж. CIO 11/2015) осигур€ва значителен сумарен капацитет по отношение на скоростта на свързаността между основни€ и резервни€ дейта център.


÷анко Ѕонев, директор на дирекци€ „»нфраструктурна сигурност и комуникации“, Ѕанка ƒ— 

“„исто физически, след като вече имаме две равностойни устройства и след като имаме свързаност от всеки от двамата доставчици в двата дейта центъра, при наличието на достатъчен ресурс да използваме едновременно тези 4 връзки, на практика ние увеличихме 4 пъти капацитета си за »нтернет свързаност, спр€мо този с който разполагахме преди започването на проекта. ќсновната ни цел бе да осигурим свобода на бизнеса в тази насока. »зползвайки новата архитектура, променихме и чисто физически€ аспект на »нтернет свързаността към доставчиците. Ќай-общо казано, вместо един физически кабел с много услуги, съвместени в него както бе преди, в момента използваме много услуги по две оптични линии към всеки от доставчиците, терминирани с различно посрещащо оборудване при нас, което е свързано директно към MPLS мрежите на двата доставчика. “ова позвол€ва без никакви допълнителни капиталови инвестиции, а само посредством конфигураци€ и евентуално оперативен разход да постигнем безпроблемно 4 Gb скорост на »нтернет свързаност”, по€сн€ват представителите на Ѕанка ƒ— .

“Ѕизнес нуждите засега не са толкова големи и в момента използваме значително по-малък капацитет, но ако тр€бва лесно можем да преминем към посочени€. — минимална инвестици€ този капацитет би могъл да бъде увеличен до 40 Gb, каквито са нашите планове за в бъдеще, когато възникне такава необходимост. “ова е предвидено в архитектурата, а минималните инвестиции, за които споменах, са по-скоро за свързаност към доставчиците, отколкото за доставка на ново оборудване”, допълва Ѕонев.

ѕодобр€ване на управлението

— въвеждането на новото оборудуване и при новите скорости на свързаност вече е налице възможност за много по-добро управление на път€ на трафика между банката и нейните клиенти и контрагенти. —лед като провеждат съответните анализи, специалистите на Ѕанка ƒ—  прецен€ват, че по-доброто решение е достъпът до »нтернет ресурсите на организаци€та, както и достъпът до ресурси на контрагенти и клиенти да се управл€ва от принципите на BGP протокола (Border Gateway Protocol), без специфични правила за приоритизаци€ на пътищата.

“ѕо този начин усп€хме да постигнем много по-кратко време за достигане до наши€ сайт и използване на услугите, които предостав€ме. ѕодобен е и ефектът, когато ние осъществ€ваме достъп по »нтернет до външни ресурси”, отбел€зва Ѕонев.

—лед тези подобрени€, в Ѕанка ƒ—  въвеждат още 2 подобрени€: внедр€ване на Web application firewall и въвеждане на средства за превенци€ на атаки от тип отказ в обслужването (DDoS).

Web application firewall

¬недреното решение е разработка на фирма Imperva. Ѕанка ƒ—  е сред първите организации у нас, които въвеждат такава система за защита на web страницата и други ресурси на банката достъпни от »нтернет, като системата за »нтернет банкиране ƒ—  ƒирект и мобилните приложени€. ¬ъвеждането на това решение, в съчетание с подобрената »нтернет свързаност, води до една много устойчива инфраструктура със значително по-малко време на неработоспособност и за отстран€ване на проблеми, отчитат представителите на финансовата институци€.

ѕревенци€ от DDoS атаки

—лед като проектът за внедр€ване на Web application firewall е приключен и решението е пуснато в активен режим, след като и описаните по-горе връзки с доставчиците са налични, в Ѕанка ƒ—  предприемат мерки за организиране на защита от DDoS атаки. ““ова, което предприехме включва много условности и претегл€ни€ на различните ситуации. ≈стествено, н€ма абсолютна сигурност, така че с този проект по-скоро имахме за цел да предотвратим най-често възникващите в Ѕългари€ непри€тни ситуации, за които ни е известно, че са се случвали в банковата система, в държавни институции и т.н.”, по€сни ÷анко Ѕонев.

¬ направлението защита от DDoS атаки Ѕанка ƒ—  работи с контрагент, който всъщност се €в€ва 3-ти доставчик на »нтернет свързаност за банката.

“естове

¬ажен етап от реализаци€та на проекта в Ѕанка ƒ—  е провеждането на тестове, за да се провери дали ц€лата конфигураци€, показана на фигура 1 е достатъчно издържана освен от архитектурна и от практическа гледна точка. ¬ тестовете се включват и външни, международни одиторски организации, които подпомагат Ѕанката в нейната работа.

“–езултатите от тестовете б€ха много добри. “ова се потвърждава и от получени€т от банката сертификат за съвместимост със стандарта PCI DSS. ≈дна малка, но значима част от стандарта е свързана с »нтернет свързаността, но бе потвърдено че Ѕанка ƒ—  отговар€ на строгите критерии на PCI DSS в това отношение”, отбел€за ÷анко Ѕонев.

—пецифични моменти

“»зградената »нернет свързаност в Ѕанка ƒ—  реализира архитектура от тип Dual-multihomed докато преди беше от най-обикновени€ тип Single-homed. —ъщевременно връзките са резервирани на н€колко нива – на ниво, линии за връзка, рутери и комуникационни устройства”, коментира ≈мил ѕавлов, главен експерт “ћрежи”, Ѕанка ƒ— .

ѕредставителите на Ѕанка ƒ—  отбел€зват, че изграждайки новата архитектура за »нтернет свързаност са се възползвали и от това, че Ѕанката притежава собствени адресни пространства, които може да анонсира, към който и да е »нтернет доставчик и съответно може да използва тези адресни пространства през колкото желае свързаности, което и дава независимост от доставчиците на свързаност в това отношение.

«а по-лесно управление на самата »нтернет свързаност, т€ е разделена на свързаност към Ѕългари€ и чужбина. “ака на практика банката разполага с по два типа свързаност през 3 доставчика – т.е. общо 6 свързаности през едини€ дейта център и 6 – през други€, които работ€т едновременно и се управл€ват по най-класически€ начин от Border Gateway протокола, който е предназначен за тази цел (фиг. 1).

“ѕо принцип BGP е класически протокол. »зтъкват се и н€кои негови слабости, но според нас в повечето случаи става дума за случаи, в които BGP протокола се ползва не по предназначение. BGP е предвиден да свързва различни организации по н€колко път€. Ќа практика ако организаци€та има само един път (какъвто бе случа€ и при нас преди време), който се превключва към друг доставчик при необходимост – тогава BGP може би не е най-добрата възможност. Ќо към момента, използвайки тази класическа схема при повече от 2 доставчика, с наличието на собствени адресни пространства, повече от една – клас C мрежи - и с един класически протокол, предназначен да управл€ва точно такава инфраструктура, ние усп€ваме да постигнем високо ниво на стабилност на нашата »нтернет свързаност. — този начин на свързване, със своите 3500 вътрешни клиента, още 1400 клиента във дъщерни организации, разпределени в повече от 370 локации и с наличието на собствени адресни пространства, на практика сме организаци€ с доста големи »нтернет възможности”, коментира ÷анко Ѕонев.

–еализаци€

–аботата по проекта започва в средата на декември 2015 г. ƒо кра€ на годината е завършено въвеждането на новата схема за »нтернет свързаност. ѕрез €нуари 2016 г. започва работата по въвеждане на защита от DDoS атаки. ѕрез февруари завършва внедр€ването на Web application firewall. “естовете са проведени през април.

ѕо думите на ÷анко Ѕонев, основни участници в проекта са специалистите от дирекци€ “»нфраструктурна сигурност и комуникации“ на Ѕанка ƒ— , като значителен принос има главни€т мрежови експерт ≈мил ѕавлов. ¬ работата по проекта партньори на банката са повече от 5 компании, включително VIVACOM, MTel – във връзка с осигур€ване на »нтернет свързаността, Telepoint - във връзка със защитата от DDoS атаки, ACT Sofia – във връзка с внедр€ването на Web application firewall Imperva и Paraflow Communications - във връзка с внедр€ването на новите Cisco устройства и използването на BGP протокола.

–езултати

—поред специалистите на Ѕанка ƒ— , комплексът от »нтернет свързаност от тип Dual-multihomed, работещо Web application firewall решение и решение за защитата от DDoS атаки, представл€ва сериозно ц€лостно решение, което веро€тно е първото по рода си за финансови€ сектор у нас.

¬ допълнение, те подчертават, че изброените проекти са част от реализаци€та на стратеги€та за дигитална трансформаци€ на Ѕанката, ко€то предполага активно използване на дигитални технологии и дигитални канали за връзка с клиентите.

“ќчакваме все по-интензивно използване на »нтернет банкирането и на мобилните приложени€. “ова мотивира старта на проекта за въвеждане на нова схема за »нтернет свързаност. –еализирахме този проект по начин, който да позвол€ва 10-кратно развитие спр€мо възможностите, с които разполагаме в момента.  ато ц€ло сме постигнали 6 до 10 пъти увеличение на скоростта на свързаност, с възможност за увеличение с до 10 пъти спр€мо показателите в момента, при намаление на общи€ обем оперативни разходи за тази услуга. Ќакратко, заложили сме сериозни възможности за »нтернет свързаност, а в допълнение интегрирахме Web application firewall и защита от DDoS атаки. ѕроведохме тестове и се уверихме в работоспособността на изградените решени€, а отделно – във връзка с проекта за PCI DSS сертификаци€ беше доказано, че те отговар€т на този строг стандарт”, обобщи в заключение ÷анко Ѕонев.


 ≈мил ѕавлов, главен експерт “ћрежи”, Ѕанка ƒ— 

ѕерспективи

ўо се отнас€ до развитието на изграденото решение в бъдеще, на първо м€сто, при необходимост скоростта на »нтернет свързаност може без проблем да се увеличи до 40 Gb, казват специалистите от банка ƒ— .

“—ледващата перспективна стъпка е да осигурим т.нар. DNS резервиране – т.е. възможност, системата за имена на домейните (DNS) да връща по н€колко IP адреса при запитване за нашите сайтове. ѕо този начин ще постигнем високо ново на достъпност при обслужване на за€вки към DNS за нашите сайтове”, сподели ÷анко Ѕонев.

“–еално зад всеки сайт стои IP адрес. Ќие и към момента имаме 2 клас C мрежи, които са в нашата автономна система. ѕлановете ни са зад тези мрежи да сто€т сървъри, които имат адреси и от двете клас C мрежи в DNS записите, така че дори едини€ дейта център тотално да отпадне ще има сървър, който да може да отговори на »нтернет за€вка през други€ дейта център, без това да бъде усетено от потребител€ и нужда от превключване без значение ръчно или автоматично”, по€сни иде€та ≈мил ѕавлов.

 ќћ≈Ќ“ј–» ќ“  

ѕолезни страници
    «а нас | јудитори€ | –еклама |  онтакти | ќбщи услови€ | ƒеклараци€ за поверителност | ѕолитика за бисквитки |
    ƒействителни собственици на насто€щото издание са »во √еоргиев ѕрокопиев и “еодор »ванов «ахов