it outsoursing control logo

ИТ-Аутсорсер под колпаком

Меры безопасности при внедрении ИТ-аутсорсинга в компании.

Задача – не бояться, а контролировать

Переход на  ИТ-аутсорсинг в обслуживании инфраструктуры компании  — логичный шаг для развивающегося бизнеса, позволяющий, при правильном подборе подрядчиков,  оптимизировать затраты на эту услугу и улучшить качество обслуживания. ИТ-aутсорсинг  так же позволяет гибко контролировать объем предоставляемых  услуг: при быстром росте потребностей компании организации подрядчики оперативно наращивают объем услуг, а при снижении,  — сокращают.

it outsoursing control

Переход на аутсорсинг ИТ потребует от компании пересмотра  организации рабочего процесса с целью установления взаимодействия с  ИТ-службами. Кроме того компании следует учитывать риски, связанные с передачей контроля своих структур (администрировании серверов, сетей, всех ключевых учетных данных и т.д) сторонней ИТ-службе и ее сотрудникам. Другими словами, компания предоставляет существенные рычаги управления своим бизнесом посторонней компании, в надежности которой нет 100% гарантии.

Как минимизировать возникающие риски? Этот вопрос изучен глубже, чем может показаться на первый взгляд. Для минимизации возникающих рисков есть несколько мер контроля: организационные и технические.
К организационным мерам относятся создание в организации подразделения “IT Government” – своеобразного «правительства», и определение его полномочий, как то: координация действий подрядчиков, надзор за ними и при необходимости влияние на их действия, вплоть до отмены и блокировки.

В качестве технических мер рынок предлагает использование программных и программно-аппратных продуктов, которые обеспечивают тщательный контроль действий сотрудников ИТ-аутсорсинга посредством аудита и записи всех действий удаленного администратора.

Мы приводим таблицу самых известных профильных продуктов, в которой содержатся ссылки, чтобы Вы самостоятельно могли могли ознакомится с возможностями этих решений:

Компания Сайт Продукты
TSFactory (США) https://www.tsfactory.com/ RecordTS – аудит и запись терминальных сессий (Terminal Services, Citrix, vWorkSpace)
ObserveIT (США-Израиль) http://www.observeit.com/ Visual session recording – аудит, алертинг и запись пользовательских сессий на Windows- и Unix-серверах
СensorNET (Великобритания-США) https://www.censornet.com/ Desktop Monitoring – онлайн-мониторинг, аудит и запись действий пользователей.
BalaBit (США-Венгрия) https://www.balabit.com/ Shell Control Box – аппаратно-программный комплекс контроля, аудита и записи удаленных сессий

Предлагаем детальнее рассмотреть  самое интересное, на наш взгляд, решение  —  BalaBit Shell Control Box.

Из представленного выше списка Shell Control Box выделяется тем, что является не просто набором агентов для клиентских и серверных машин, а самостоятельным устройством, которое осуществляет контроль, мониторинг и аудит удаленного административного доступа к серверам, обеспечивающее полную прозрачность и независимость от клиентов и серверов.

SCB—инструмент наблюдения за администраторами серверов и процессами администрирования серверов посредством управления зашифрованными подключениями, используемыми в администрировании серверов.

SCB полностью контролирует подключения SSH, RDP, Telnet, TN3270, Citrix ICA и VNC, создавая четкий набор функций и контролируемый уровень доступа для администраторов.

BalaBit Shell Control Box – возможное решение

Из представленного выше списка Shell Control Box выделяется тем, что не является просто набором агентов для клиентских и серверных машин. Shell Control Box (SCB)—это самостоятельное устройство, осуществляющее контроль, мониторинг и аудит удаленного административного доступа к серверам, которое полностью прозрачно и независимо от клиентов и серверов.

SCB—инструмент для осуществления наблюдения за администраторами серверов и процессами администрирования серверов посредством управления зашифрованными подключениями, используемыми в администрировании серверов. SCB полностью контролирует подключения SSH, RDP, Telnet, TN3270, Citrix ICA и VNC, создавая для работы администраторов соответствующую среду с четкими границами. В число наиболее значимых характеристик SCB входит следующее:

  • Возможность отключения нежелательных каналов и функций (например, переадресация
    портов TCP, передача файлов, VPN и т. д.);
  • Контроль за использованием выбранных методов аутентификации;
  • Требование внешней аутентификации на шлюзе SCB;
  • Внедрение авторизации с возможностью мониторинга и аудита в режиме реального времени;
  • Аудит выбранных каналов в зашифрованных, снабженных метками времени и цифровой
    подписью аудит-трейлов;
  • Получение информации о принадлежности пользователей к той или иной группе через базу
    данных LDAP;
  • Проверка ключей и сертификатов хоста серверов, к которым получен доступ SCB, настраивается и управляется при помощи любого современного веб-браузера.

Посмотрим на возможную схему включения SCB в ИТ-инфраструктуру компании:

Схема включения SCB

(В данной схеме компания использует в качестве мониторинга один сервер(Сервер1) с помощью продукта SCB с целью уменьшения количества хостов в оплачиваемой лицензии. К остальным серверам(Сервер 2-4) ИТ-администратор подключается через Сервер 1).

Наш SCB сервер настроен в качестве шлюза удаленных рабочих столов. При попытке получить доступ к серверу, администратор проходит аутентификацию на сервере SCB и, в случае успеха, дополнительную проверку на сервере. Далее, администратор с подконтрольного сервера выполняет различные подключения к другим серверам, которые также фиксируются сервером SCB.

Весь административный и контрольный функционал Shell Control Box доступен через веб-интерфейс:

Shell Control Box

Shell Control Box

После того, как сервер SCB сконфигурирован, весь трафик, проходящий через него, автоматически записывается. SCB имеет единый интерфейс для просмотра и изменения конфигурации, отчетов, аудит-трейлов.

Shell Control Box

SCB предоставляет возможность просмотреть аудит прошлых подключений, а также мы можем экстренно завершить текущие подключения к серверам или наблюдать за действиями удаленных администраторов в режиме on-line

Shell Control Box audit

Для удобного просмотра Аудит-трейлов на любом компьютере существует Audit Player, который позволяет просматривать сохраненные ранее видеозаписи подключений. Скриншот ниже демонстрирует просмотр видео на Audit Player, когда удаленный администратор выполнил RDP сессию с сервера, который находится под мониторингом, на другой сервер в сети:

Audit Player

Рассмотрим пример. В процессе рабочего дня произошла незапланированная остановка бизнес-критического сервиса. Нам известно время, когда это произошло, и сервер, который отвечает за этот сервис.

Заходим на веб-интерфейс в раздел поиска. Выставляем нужную нам дату, время, тип протокола:

Shell Control Box test

Находим нужную нам сессию.

Shell Control Box test

Мы можем выполнить быстрый просмотр после рендеринга и, при необходимости, скачать видеозапись rdp-подключения.

Shell Control Box test

Видеозапись RDP подключения к серверу демонстрирует работу удаленного администратора, который выполнил несогласованный перезапуск службы. Данный аудит станет наглядным доказательством в решении возникших вопросов к компании, выполняющей ИТ-аутсорсинг.

Сделаем выводы

На примере функциональности BalaBit Shell Control Box мы постарались продемонстрировать, как создать дополнительное звено безопасности, обеспечивающее полноценный контроль и аудит ИT-компаний, выполняющих работы по обслуживанию серверов, с возможностью наглядной демонстрации выполняемых действий на серверах.

Может показаться, что такой строгий аудит в отношении ИТ-подрядчика разрушает доверительные отношения при предоставлении услуг, но на самом деле ситуация ровно обратная – любое доверие, как известно из старой русской пословицы, должно быть подкреплено прозрачностью и возможностью проверки, и качественные ИТ-аутсорсеры должны всячески приветствовать такие меры контроля со стороны клиента, поскольку они, в случае добросовестности подрядчика, позволяют еще лучше продемонстрировать эту добросовестность и закрепить доверительные партнерские отношения заказчика и аутсорсера. Мы как компания-аутсорсер кровно заинтересованы в том, чтобы наш клиент чувствовал себя в безопасности при работе с нами. Более того, мы готовы бесплатно разворачивать продукты подобного рода (разумеется, официально приобретенные) у заказчиков.

В качестве итога можно констатировать, что времена бесконтрольного доступа ИТ-аутсорсеров к инфраструктуре заказчиков и связанных с этим страхов уходят в прошлое. Действия аутсорсера вполне могут быть проконтролированы, нерадивость – доказана, а неправомерные действия – отслежены и предотвращены. Единственный фактор — затраты, который будет компенсирован пользой и выгодой в конечном счете.
Если у Вас возникают вопросы организационно-технического плана, свяжитесь с нами, мы окажем консультационную поддержку.

Другие статьи на тему ИТ-аутсорс

Outsourced Technical Support

Виды аутсорсинга

Полный аутсорсинг всей ИТ инфраструктуры или замена системного администратора.

Также известный как «приходящий системный администратор».

В данном случае подрядчик берет на себя все работы связанные с функционированием ИТ инфраструктуры, поддержку пользователей, серверов активного и пассивного оборудования, контакты с поставщиками телефонии и интернета, заказ картриджей тонеров и профилактическое обслуживание оргтехники.

Плюсы

  • В большинстве случаев гораздо дешевле чем штатный системный администратор;
  • Фиксированная стоимость;
  • Оперативно;
  • Качественно;
  • Услуга предоставляется круглосуточно без отпусков и выходных;
  • Руководство компании избавлено от непрофильных забот.

Минусы

  • При большом количестве сотрудников может быть дороже чем Аутсорсинг второго и третьего уровня поддержки
  • Нет эффекта присутствия — 90% задач решаются удаленно, а некоторые руководители любят видеть сотрудника
  • В зависимости от расположения заказчика могут быть задержки с прибытием специалиста в офис
  • Чаще всего подобный вид сотрудничества выбирают небольшие компании до 30 сотрудников.

Аутсорсинг второго и третьего уровня поддержки.

При этом варианте взаимодействия заказчик берет в штат одного ответственного сотрудника невысокой квалификации и, соответственно, невысоко затратного для поддержки пользователей на месте, а все сложные запросы передает на аутсорсинг. Так же вместо штатного сотрудника функции первого уровня поддержки может выполнять секретарь или другой сотрудник.

Плюсы

  • Значительно дешевле чем содержать штат системных администраторов
  • При количестве пользователей более 30-40 дешевле чем полный аутсорсинг
  • Качественно
  • Клиент не кладет все яйца в одну корзину и может спокойно поменять штатного сотрудника или компанию аутсорсера

Минусы

  • нет

Аутсорсинг отдельных компонентов или систем.

Обычно применяется когда в штате нет специалиста для поддержки или внедрения какой то одной системы, например телефонной станции или 1С. Использование публичных, облачных решений для почты или телефонии тоже можно рассматривать как один из вариантов этого типа аутсорсинга.

Минусы и плюсы зависят о конкретного решения. Из общих минусов всех решений это, конечно, наличие дополнительного контракта даже при небольших объемах услуг и часто более высокая стоимость услуги чем при других типах. Главным плюсом  является  зачастую единственная возможность получения качественного сервиса.

Другие статьи на тему ИТ-аутсорс