03.07.2020

«Сим-сим, откройся!»: доступ в ЦОД без бумажных журналов

Рассказываем, как мы внедрили в дата-центре систему электронной регистрации посещений с биометрическими технологиями: зачем она понадобилась, почему мы снова разрабатывали собственное решение и какие преимущества получили

Рассказываем, как мы внедрили в дата-центре систему электронной регистрации посещений с биометрическими технологиями: зачем она понадобилась, почему мы снова разрабатывали собственное решение и какие преимущества получили.

Вход и выход

Доступ посетителей в коммерческий ЦОД – важный момент организации работы объекта. Политика безопасности дата-центра требует точного учета посещений и отслеживания динамики.

Несколько лет назад мы в Linxdatacenter решили перевести полностью в цифровой вид всю статистику посещений нашего ЦОДа в Санкт-Петербурге. Мы отказались от традиционной регистрации доступа – а именно от заполнения журнала посещений, ведения бумажного архива и предъявления документов при каждом визите.

Наши технические специалисты за 4 месяца разработали систему электронной регистрации посещений в сочетании с биометрическими технологиями контроля доступа. Основной задачей было создать современный инструмент, отвечающий нашим требованиям безопасности и в то же время удобный для посетителей.

Система обеспечила полную прозрачность картины визитов в ЦОД. Кто, когда и куда получал доступ в дата-центр, включая серверные стойки, – вся эта информация стала доступна мгновенно по запросу. Статистика посещения выгружается из системы в несколько кликов – отчеты для клиентов и аудиторов сертифицирующих организаций стало готовить куда проще.

Отправная точка

На первом этапе было разработано решение, которое позволило вносить все необходимые данные на планшете при входе в ЦОД.

Авторизация происходила путем ввода персональных данных посетителя. Далее планшет обменивался данными с компьютером на посту охраны по выделенному защищенному каналу связи. После чего выписывался пропуск.

Система учитывала два основных типа запроса: заявка на временный доступ (однократное посещение) и заявка на постоянный доступ. Организационные процедуры для этих типов заявок в ЦОД существенно отличаются:

  • В заявке на временный доступ указывается имя и компания посетителя, а также контактное лицо, которое должно сопровождать его на протяжении всего визита в ЦОД.
  • Постоянный доступ позволяет посетителю самостоятельно перемещаться внутри ЦОДа (например, это важно для специалистов заказчиков, которые регулярно приезжают для работы с оборудованием в дата-центре). Такой уровень доступа требует от человека прохождения вводного инструктажа по охране труда и подписания с Linxdatacenter соглашения о передаче персональных и биометрических данных (скан отпечатка пальца, фотография), а также подразумевает получение всего необходимого пакета документов о правилах работы в ЦОДе на электронную почту.

При оформлении постоянного доступа необходимость в дальнейшем каждый раз заполнять заявку и подтверждать личность документами полностью отпадает, достаточно приложить палец для авторизации на входе.

Перемен!

Платформа, на которой мы развернули первую версию системы, – это конструктор Jotform. Решение используется для создания опросов, мы самостоятельно дорабатывали его под систему регистрации.

Однако со временем в процессе эксплуатации выявились некоторые «узкие места» и точки для дальнейшего развития решения.

Первая сложность – Jotform не был «допилен» под формат планшета, и формы для заполнения после перезагрузки страницы часто «плыли» по размерам, выходя за пределы экрана, или наоборот, сворачивлись. Это создавало массу неудобств при регистрации.

Не было и мобильного приложения, приходилось разворачивать интерфейс системы на планшете в формате «киоска». Однако это ограничение сыграло на руку – в режиме «киоска» приложение нельзя свернуть или закрыть на планшете без допуска уровня «Администратор», что и позволило нам использовать обычный пользовательский планшет как терминал регистрации для доступа в ЦОД.

В процессе тестирования начали всплывать множественные баги. Многочисленные апдейты платформы приводили к зависаниям и сбоям решения. Особенно часто это происходило в моменты, когда апдейты охватывали те модули, на которых была развернута функциональность нашего механизма регистрации. Например, заполненные посетителями анкеты не отправлялись на пункт охраны, терялись и т.д.

Бесперебойная работа системы регистрации крайне важна, поскольку сервисом ежедневно пользуются и сотрудники, и клиенты. А на периоды «зависания» весь процесс приходилось возвращать в 100% бумажный формат, что было недопустимым архаизмом, приводило к ошибкам и в целом выглядело как огромный шаг назад.

В какой-то момент Jotform выпустил мобильную версию, но этот апгрейд не решал всех наших задач. Так, нам приходилось «скрещивать» одни формы с другими между собой, например, для задач обучения и вводного инструктажа по принципу теста.

Даже при использовании платной версии требовалась дополнительная расширенная лицензия уровня Pro для всех наших задач по допуску. Итоговое соотношение «цена/качество» оказалось далеким от оптимального – мы получали дорогостоящую избыточную функциональность, которая все равно требовала значительных доработок с нашей стороны.

Версия 2.0, или «Сделай сам»

Проанализировав ситуацию, мы пришли к выводу, что самый простой и надежный выход – создать собственное решение и перенести функциональную часть системы на виртуальную машину в собственном облаке.

Мы сами написали софт для форм на React, развернули все это, используя Kubernetes, в продуктиве на своих мощностях и получили в итоге собственную, независимую от сторонних разработчиков систему регистрации доступа в ЦОД.

В новой версии мы доработали форму для удобного оформления постоянных пропусков. При заполнении формы на доступ в ЦОД клиент может перейти в другое приложение, пройти экспресс-обучение по правилам нахождения в ЦОД и тестирование, а затем вернуться обратно «в периметр» формы на планшете и завершить регистрацию. Причем сам посетитель этого перемещения между приложениями не замечает!

Проект реализовали достаточно оперативно: создание базовой формы для допуска в ЦОД и ее развертывание в продуктивной среде заняли всего месяц. С момента запуска и до сегодняшнего дня мы не зарегистрировали ни одного сбоя и тем более «падения» системы, и спаслись от мелких неприятностей вроде несовпадения интерфейса с размерами экрана.

Вжух — и готово

В течение месяца после развертывания мы перенесли на собственную платформу все нужные нам в работе формы:

  • Доступ в ЦОД,
  • Заявка на производство работ,
  • Вводный инструктаж.


Так выглядит форма для заявки на производство работ в дата-центре.

Система развернута в нашем облаке в Санкт-Петербурге. Мы полностью контролируем работу ВМ, все ИТ-ресурсы зарезервированы, и это дает нам уверенность, что система не сломается и не потеряет данные при любых сценариях.

Софт для системы развернут в Docker-контейнере в собственном репозитории дата-центра – это значительно упрощает настройку системы при добавлении новых функций, редактировании уже существующих возможностей, а также в перспективе сделает более легким обновление, масштабирование и т.д.

Система требует минимального объема ИТ-ресурсов ЦОДа, при этом полностью отвечает нашим требованиям в плане функциональности и надежности.

Что сейчас и что дальше?

В целом процедура допуска осталась прежней: заполняется электронная форма заявки, далее данные посетителей «улетают» на пост охраны (ФИО, компания, должность, цель визита, сопровождающее лицо в ЦОДе и т.д.), происходит сверка со списками и принимается решение о допуске.

Что еще может система? Любые задачи по аналитике в исторической перспективе, а также мониторинг. Некоторые клиенты запрашивают отчеты для внутренних целей контроля персонала. Мы с помощью данной системы отслеживаем периоды максимальной посещаемости, что позволяет нам более эффективно планировать работы в ЦОДе.

В планах на будущее – перевод в систему всех существующих чек-листов – например, процесса подготовки новой стойки. В дата-центре есть регламентированная последовательность шагов по подготовке стойки для клиента. Подробно расписывается, что именно и в каком порядке нужно сделать перед запуском – требования по электропитанию, сколько ПДУ и патч-панелей для коммутации подвести, какие заглушки снять, устанавливать ли СКУД, видеонаблюдение и т.д. Сейчас все это реализуется в рамках бумажного документооборота и частично на электронной платформе, но процессы компании уже созрели для полной миграции сопровождения и контроля таких задач в цифровой формат и веб-интерфейс.

В этом направлении и будет развиваться далее наше решение, охватывая новые бэк-офис процессы и задачи.

 

News and publications

You may also be interested in

How can we help you?
Request Demo Access
client:

BEST, money transfer and payments operator

business challenge

The customer faced a technical issue with a persistent BGP session flag with Linxdatacenter hardware. We examined the problem and found out that one of customer’s hosts was under a DDoS attack.

Because of the distributed nature of the attack, traffic couldn’t be filtered effectively, and disconnecting the host from the external network wasn’t an option. The attack stopped after changes in the server configuration, but resumed the day after. A 5.5 Gbps attack overloaded the junctions with internet providers, affecting other Linx Cloud users. To mitigate the effects of the attack, we employed a dedicated DDoS protection service.

Solution

To ensure the continuous availability of resources hosted in Linx Cloud, we rerouted all the customer’s traffic through StormWall Anti-DDoS system. The attack was stopped within half an hour. To prevent future cyberattacks, we organized all connections to the customer’s resources through the StormWall network.

Thank you for your inquiry, we will get back to you shortly!