Аудит серверной инфраструктуры
Аудит серверной инфраструктуры — работы по независимому экспертному обследованию программно-аппаратного комплекса, оценка его защищенности, эффективности работы всего программно-аппаратного комплекса и соответствия его конфигурации решаемым задачам.
Когда (в каких случаях) эта услуга востребована?
Аудит целесообразно проводить в следующих случаях:
- Перед началом проекта по модернизации ИТ-инфраструктуры
- Перед началом проекта по внедрению нового программного обеспечения
- По завершении проекта для оценки правильности работы созданной ИТ-системы
- Если ИТ-инфраструктура работает неэффективно на данный момент. Качество работы ИТ-инфраструктуры неудовлетворительно, регулярно происходят сбои.
- При смене персонала службы эксплуатации ИТ или при передаче эксплуатации ИТ-инфраструктуры сторонней организации (аутсорсинг).
Какие задачи решает?
Основные задачи, решаемые проведением аудита:
- Инвентаризация и документирование серверной инфраструктуры.
- Оценка соответствия конфигурации сервера решаемым и перспективным задачам.
- Оценка защищенности, сохранности и доступности информации.
- Оценка отказоустойчивости отдельных серверов и всей инфраструктуры в целом. Выявление "единых точек отказа" или узлов, ограничивающих производительность.
- Проверка характеристик эксплуатации серверного помещения и параметров электропитания оборудования на соответствие стандартам, рекомендованным производителями оборудования.
- Выработка рекомендаций по внесению изменений в конфигурацию аппаратно-программного обеспечения.
Какие преимущества эта услуга дает заказчику?
Проведение аудита позволяет заказчику адекватно оценить уровень технической и программной оснащённости компании, принять своевременное решение о замене и совершенствовании компьютерного оборудования, программного обеспечения, сервисов и подключений. Главные преимущества аудита серверной инфраструктуры:
- Получение актуальных данных о состоянии ИТ-инфраструктуры и отдельных компонентов, создание эксплуатационной документации для грамотного управления и планирования развития.
- Возможность повышения надежности работы серверов за счет получения квалифицированных рекомендаций по устранению как фактических, так и потенциальных рисков ненадежной эксплуатации.
Аудит можно проводить как силами штатного персонала (внутренний аудит), так и привлекая независимых специалистов (внешний аудит). Ценность внешнего аудита для потенциальных клиентов заключается в следующем:
- У стороннего подрядчика нет прямой заинтересованности в результатах аудита, поэтому объективность его выводов выше.
- Специалисты подрядчика не обладают никакими предварительными знаниями о сети заказчика и вынуждены получать информацию о ней, интервьюируя персонал, анализируя предоставленные заказчиком документы, изучая конфигурацию устройств. Таким образом, они получают актуальное представление о состоянии сети.
- Специалисты заказчика, эксплуатирующие сеть, могут иметь неадекватное представление о ней, не догадываясь об этом, и, соответственно, не проверить какую-то информацию, считая ее очевидной.
- Подрядчик непрерывно взаимодействует с различными заказчиками, поэтому у него больше опыта и наработана более высокая квалификация.
- У подрядчика имеется проработанная технология, а также большой опыт выполнения аналогичных проектов, поэтому аудит будет проведен быстрее, качественнее, а затраты могут оказаться даже ниже.
- Привлечение собственных специалистов отвлекает их от основной деятельности. Это сказывается и на качестве их работы, и на качестве результатов аудита.
Описание услуги
Аудит может проводиться как в отношении отдельного сервера или группы серверов, так и комплексно, по всей серверной инфраструктуре компании.
Вне зависимости от объекта обследования проведение аудита включает три основных этапа:
- Постановка задачи и уточнение границ работ
- Сбор данных
- Анализ данных и оформление результатов
Постановка задачи и уточнение границ работ
На данном этапе проводятся организационные мероприятия по подготовке проведения аудита:
- Уточняются цели и задачи аудита
- Подготавливается и согласовывается техническое задание (ТЗ) на проведение аудита
Иногда для проведения аудита необходим доступ к информации, которую заказчик считает конфиденциальной. В этом случае параллельно с ТЗ разрабатывается соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.
Сбор данных
На этом этапе обычно проводят интервьюирование персонала заказчика, осмотр и инвентаризацию оборудования, сбор конфигурационной и операционной информации, измерения различных параметров производительности.
Сбор данных включает следующие типовые работы:
- Инвентаризация и документирование серверной инфраструктуры
- Сбор конфигурационной информации системного и сервисного ПО
- Аудит безопасности системного и сервисного ПО
- Оценка производительности серверов
- Мониторинг работы
- Профилирование приложений
- Проведение нагрузочных тестов
- Моделирование нагрузки
- Проверка работы резервного копирования и восстановления информации
- Проверка параметров электропитания оборудования
- Проверка характеристик эксплуатации серверного помещения на соответствие стандартам, рекомендованным производителями оборудования
Детальный перечень выполняемых работ обычно определяется в ТЗ на аудит.
Анализ данных и оформление результатов аудита
Эти работы также определяются ТЗ. При их выполнении проводится проверка собранных данных на полноту и корректность, анализ полученной информации, формирование выводов и рекомендаций, оформление и презентация результатов. В ходе анализа может быть принято решение о сборе дополнительных данных.
Этап анализа данных и оформления результатов обычно включает следующие типовые работы:
- проверка собранных данных
- анализ серверной инфраструктуры
- анализ конфигураций отдельных серверов
- анализ условий эксплуатации серверной инфраструктуры
- подготовка эксплуатационной документации
- подготовка аналитического отчета
Этап завершается передачей заказчику разработанных документов.
Результат
Результатом аудита является создание пакета документов, содержащего детализированные данные о серверной инфраструктуре, а так же набора рекомендаций по улучшению качества работы и повышения надежности, производительности, защищенности и эффективности функционирования сети. Содержание эксплуатационной документации в значительной степени зависит от ИТ-инфраструктуры заказчика, а также организационной структуры его компании.
Аналитический отчет является основным отчетным документом об аудите. Его структура, как правило, согласуется еще на этапе разработки ТЗ. Он включает описание текущего состояния серверной инфраструктуры, выводы о соответствии инфраструктуры решаемым задачам, рекомендации по модернизации и развитию.
Содержание отчета в значительной степени зависит от предполагаемого применения. Например, рекомендации могут стать основой концепции модернизации сервера. Или же аргументы, изложенные в отчете, можно использовать в качестве обоснования проекта полной перестройки серверной инфраструктуры.