Новата архитектура за Интернет свързаност в Банка ДСК - поредна стъпка към дигиталната трансформация
С реализацията на проекта финансовата институция осигурява условия за значително по-активно използване на дигиталните канали за взаимодействие с клиенти
Надя КРЪСТЕВА
В края на април Банка ДСК приключи успешно проект за въвеждане на нова архитектура на Интернет свързаност. В рамките на тази инициатива са инсталирани нови Cisco рутери от висок клас, внедрен е Web application firewall Imperva и са въведени средства за превенция на атаки от тип отказ в обслужването (DDoS). Проектът е в унисон с визията за стратегическото развитие на банката, която отчита ключовото значение на надеждната ИТ инфраструктура за успешното развитие на бизнеса в ерата на дигитализацията.
"Банка ДСК регулярно обновява своята бизнес стратегия, провеждайки различни анализи за бизнес средата. Напоследък както във финансовия сектор, така и в много други индустрии се наблюдава явната тенденция за активизиране на контактите с клиенти през Интернет. Това е лесен и достъпен начин за комуникация с много широк кръг хора. Взаимодействието с банката по Интернет елиминира необходимостта от посещение на офис, не отнема време и е много по-достъпно, включително ако се намирате извън България. Много хора, особено по-младите, предпочитат такъв лесен подход. Анализите в края на миналата година показаха по-активно използване на мобилни устройства при комуникацията с банката, както и на Интернет банки-рането ДСК Директ, което от своя страна води до по-големи изисквания към инфраструктурата, осигуряваща Интернет свързаност", поясни мотивите за старта на проекта Цанко Бонев, директор на дирекция „Инфраструктурна сигурност и комуникации" в Банка ДСК. През годините,развитието на архитектурата за Интернет свързаност в Банка ДСК преминава през няколко етапа. Първоначално финансовата институция използва един Интернет доставчик в лицето на един от утвърдените те-лекоми в България и съответно свързаност от един дейта център към този телеком. По-късно е изградена Интернет свързаност от втория дейта център на банката към друг от утвърдените телекоми в страната, като целта е да се осигури резервираност. "Банката разполагаше с класическа инфраструктура с много добри възможности, но с оглед на перспективите, които бяха откроени от анализите, беше решено да се инвестира в решения, осигуряващи Интернет свързаност от по-високо ниво. Освен това, при тази конфигурация, инфраструктурата предполагаше работа или през основната свързаност или през резервната - т.е. резервната свързаност стоеше 6 режим на изчакване без да бъде експлоатирана през по-голямата част от бремето. Това от своя страна водеше до оперативни разходи без от този канал да има друга реална полза освен резервираност, а и начинът, по който тази архитектура позволяваше да се използва свързаността, е доста по-слабо управляем", коментира Цанко Бонев. Поставяйки си за цел да повиши капацитета и да подобри управлението на Интернет свързаността, банката инвестира в Cisco рутери от висок клас, които служат само за осигуряване на Интернет свързаност. По думите на Бонев, за да бъде оправдана една такава инвестиция, тя трябва както да покрива нуждите на бизнеса, така и да бъде пълноценно използвана. Затова е решено да се осигури свързаност и от двата доставчика в двата дейта центъра и тази свързаност да се използва едновременно. Това води до по-ниски оперативни разходи и по-голям реално използван капацитет на Интернет свързаност. От техническа гледна точка това е възможно, тъй като дейта центровете са свързани е по-моидта на тъмна оптика, така че изграденото решение (виж. СЮ 11/2015) осигурява значителен сумарен капацитет по отношение на скоростта на свързаността между основния и резервния дейта център. "Чисто физически, след като вече имаме две равностойни устройства и след като имаме свързаност от всеки от двамата доставчици в двата дейта центъра, при наличието на достатъчен ресурс да използваме едновременно тези 4 връзки, на практика ние увеличихме 4 пъти капацитета си за Интернет свързаност спрямо този, е който разполагахме преди започването на проекта. Основната ни цел бе да осигурим свобода на бизнеса в тази насока. Използвайки новата архитектура, променихме и чисто физическия аспект на Интернет свързаността към доставчиците. Най-обшо казано, вместо един физически кабел е много услуги, съвместени в него както бе преди, в момента използваме много услуги по две оптични линии към всеки от доставчиците, тер-минирани е различно посреша-шо оборудване при нас, което е свързано директно към MPLS мрежите на двата доставчика. Това позволява без никакви допълнителни капиталови инвестиции, а само посредством конфигурация и евентуално оперативен разход да постигнем безпроблемно 4 Gb скорост на Интернет свързаност", поясняват представителите на Банка ДСК. "Бизнес нуждите засега не са толкова големи и в момента използваме значително по-малък капацитет, но ако трябва, лесно можем да преминем към посочения. C минимална инвестиция този капацитет би могъл да бъде увеличен до 40 Gb, каквито са нашите планове за в бъдеше, когато възникне такава необходимост. Това е предвидено в архитектурата, а минималните инвестиции, за които споменах, са по-скоро за свързаност към доставчиците, отколкото за доставка на ново оборудване", допълва Бонев. С въвеждането на новото оборудване u при новите скорости на свързаност вече е налице възможност за много по-добро управление на пътя на трафика между банката и нейните клиенти и контрагенти. След като провеждат съответните анализи, специалистите на Банка ДСК преценяват, че по-доброто решение е достъпът до Интернет ресурсите на организацията, както и достъпът до ресурси на контрагенти и клиенти да се управлява от принципите на BGP протокола (Border Gateway Protocol), без специфични правила за приоритизация на пътищата. "По този начин успяхме да постигнем много по-кратко време за достигане до нашия сайт и използване на услугите, които предоставяме. Подобен е и ефектът, когато ние осъществяваме достъп по Интернет до външни ресурси", отбелязва Бонев. След тези подобрения в Банка ДСК реализират още два проекта: внедряване на Web application firewall и въвеждане на средства за превенция на атаки от тип отказ в обслужването (DDoS). Внедреното решение е разработка на фирма Imperva. Банка ДСК е сред първите организации у нас, които въвеждат такава система за защита на web страницата и други ресурси на финансовата институция, достъпни от Интернет, като системата за Интернет банкиране ДСК Ди-рект и мобилните приложения. Въвеждането на това решение, в съчетание с подобрената Интернет свързаност, води доедна много устойчива инфраструктура със значително по-малко време на неработоспособност и за отстраняване на проблеми, отчитат представителите на банката. След като проектът за внедряване на Web application firewall е приключен и решението е пуснато в активен режим, след като и описаните по-горе връзки с доставчиците са налични, в Банка ДСК предприемат мерки за организиране на защита от DDoS атаки. "Това, което предприехме, включва много условности и претегляния на различните ситуации. Естествено няма абсолютна сигурност, така че с този проект по-скоро имахме за цел да предотвратим най-често възникващите в България неприятни ситуации, за които ни е известно, че са се случвали в банковата система, в държавни институции и т.н.", поясни Цанко Бонев. В направлението защита от DDoS атаки Банка ДСК работи с контрагент, който всъщност се явява 3-ти доставчик на Интернет свързаност за банката. Важен етап от реализацията на проекта в Банка ДСК е провеждането на тестове, за да се провери дали цялата конфигурация, показана на фигура 1, е достатъчно издържана освен от архитектурна и от практическа гледна точка. В тестовете се включват и външни,международни одиторски организации, които подпомагат банката в нейната работа. "Резултатите от тестовете бяха много добри. Това се потвърждава и от полученият от банката сертификат за съвместимост със стандарта PCI DSS. Една малка, но значима част от стандарта е свързана с Интернет свързаността, но бе потвърдено, че Банка ДСК отговаря на строгите критерии на PCI DSS в това отношение", отбеляза Цанко Бонев. "Изградената Интернет свързаност в Банка ДСК реализира архитектура от тип Dual-multihomed, докато преди беше от най-обикновения тип Single-homed. Същевременно връзките са резервирани на няколко нива - на ниво линии за връзка, рутери и комуникационни устройства", коментира Емил Павлов, главен експерт "Мрежи", Банка ДСК. Представителите на Банка ДСК отбелязват, че изграждайки новата архитектура за Интернет свързаност са се възползвали и от това, че финансовата институция притежава собствени адресни пространства, които може да анонсира, към който и да е Интернет доставчик и съответно може да използва тези адресни пространства през колкото желае свързаности, което и дава независимост от доставчиците на свързаност в това отношение. За по-лесно управление на самата Интернет свързаност, тя е разделена на свързаност към България и чужбина. Така на практика банката разполага с по два типа свързаност през 3 доставчика - т.е. общо 6 свързаности през единия дейта център и 6 -през другия, които работят едновременно и се управляват по най-класическия начин от Border Gateway протокола, предназначен за тази цел (фиг. 1). "По принцип BGP е класически протокол. Изтъкват се и някои негови слабости, но според нас в повечето случаи става дума за случаи, в които BGP протоколът се ползва не по предназначение. BGP е предвиден да свързва различни организации по няколко пътя. На практика, ако организацията има само един път (какъвто бе случаят и при нас преди време), който се превключва към друг доставчик при необходимост - тогава BGP може би не е най-добрата възможност. Но към момента, използвайки тази класическа схема при повече от 2 доставчика, с наличието на собствени адресни пространства, повече от eg на-клас С мрежи - и с един класически протокол, предназначен да управлява точно такава инфраструктура, ние успяваме да постигнем високо ниво на стабилност на нашата Интернет свързаност. С този начин на свързване, със своите 3500 вътрешни клиента, още 1400 клиента във дъщерни организации, разпределени в повече от 370 локации и с наличието на собствени адресни пространства, на практика сме организация с доста големи Интернет възможности", коментира Цанко Бонев. Работата по проекта започва в средата на декември 2015 г. До края на годината е завършено въвеждането на новата схема за Интернет свързаност. През юни 2016 г. започва работата по въвеждане на защита от DDoS атаки. През февруари завършва внедряването на Web application firewall. Тестовете са проведени през април. По думите на Цанко Бонев, основни участници в проекта са специалистите от дирекция "Инфраструктурна сигурност и комуникации" на Банка ДСК, като значителен принос има главният мрежови експерт Емил Павлов. В работата по проекта партньори на банката са повече от 5 компании, включително VIVACOM и MTel - във връзка е осигуряване на Интернет свързаността, Telepoint - във връзка със защитата от DDoS атаки, ACT Sofia - във връзка е внедряването на Web application firewall Imperva и Paraflow Communications - във връзка c внедряването на новите Cisco устройства и използването на BGP протокола. Според специалистите на Банка ДСК, комплексът от Интернет свързаност от тип Dual-multihomed, работещо Web application firewall решение и решение за защитата от DDoS атаки, представлява сериозно цялостно решение, което вероятно е първото по рода си за финансовия сектору нас. В допълнение те подчертават, че изброените проекти са част от реализацията на стратегията за дигитална трансформация на банката, която предполага активно използване на дигитални технологии и дигитални канали за връзка е клиентите. "Очакваме все по-интензивно използване на Интернет бан-кирането и на мобилните приложения. Това мотивира старта на проекта за въвеждане на нова схема за Интернет свързаност. Реализирахме този проект по начин, който да позволява 10-кратно развитие спрямо възможностите, е които разполагаме в момента. Като цяло сме постигнали 6 до 10 пъти увеличение на скоростта на свързаност, е възможност за увеличение е до 10 пъти спрямо показателите в момента, при намаление на общия обем оперативни разходи за тази услуга. Накратко, заложили сме сериозни възможности за Интернет свързаност, а в допълнение интегрирахме Web application firewall и защита от DDoS атаки. Проведохме тестове и се уверихме в работоспособността на изградените решения, а отделно - във връзка е проекта за PCI DSS сертификация беше доказано, че те отговарят на този строг стандарт", обобщи в заключение Цанко Бонев. Що се отнася до развитието на изграденото решение в бъдеще, на първо място, при необходимост скоростта на Интернет свързаност може без проблем да се увеличи до 40 Gb, казват специалистите от Банка ДСК. "Следващата перспективна стъпка е да осигурим т.нар. DNS резервиране - т.е. възможност системата за имена на домейни-те (DNS) да връща по няколко IP адреса при запитване за нашите сайтове. По този начин ще постигнем високо ново на достъпност при обслужване на заявки към DNS за нашите сайтове", сподели Цанко Бонев. "Реално зад всеки сайт стои IP адрес. Ние и към момента имаме 2 клас С мрежи, които са 6 нашата автономна система. Плановете ни са зад тези мрежи да стоят сървъри, които имат адреси и от двете клас С мрежи в DNS записите, така че дори единият дейта център тотално да отпадне ще има сървър, който да може да отговори на Интернет заявка през другия дейта център, без това да бъде усетено от потребителя и нужда от превключване без значение ръчно или автоматично", поясни идеята Емил Павлов.