Аудит IT инфраструктуры

Что такое ИТ-инфраструктура?

Аудит IT-инфраструктуры или IT-аудит представляет собой комплекс мер, направленный на инвентаризацию и оценку всех элементов вычислительной инфраструктуры и проводимый периодически.

Задача

• выяснить, насколько информационная система (ИС) соответствует бизнес-задачам, требованиям компании и рекомендациям производителей оборудования и ПО;
• рационально ли используются технологии, нет ли устаревших элементов, нужна ли модернизация;
• достаточно ли надежна и безопасна система.

По результатам аудита составляют рекомендации по обновлению и в целом улучшению ИТ-инфраструктуры. ИТ-инфраструктура оптимальна, когда она справляется со всеми требуемыми нагрузками, а также экономична, высокодоступна и масштабируема.

Что такое аудит ИТ-инфраструктуры?

Регулярные инфраструктурные аудиты являются проверенной стратегией оптимизации ИТ-инфраструктуры. Они позволяют определить, что необходимо оптимизировать, помогают расставить приоритеты в том, что следует улучшить в первую очередь, и, таким образом, предотвращают простои приложений.

Для проведения аудита инфраструктуры необходимо иметь базовое представление об оптимальной загрузке сервера, а также навыки аналитики, позволяющие прогнозировать будущий рост использования ресурсов и затрат. Аудит инфраструктуры может быть выполнен

• операционная команда
• инженеры центра сетевых операций (NOC)
• любой, кто занимается настройкой или мониторингом инфраструктуры.

Продолжительность процедуры аудита обычно занимает 1 - 3 часа и сильно зависит от сложности инфраструктуры.

Проведение еженедельных инфраструктурных аудитов позволяет уделять внимание деталям, например:

• После запуска новой службы проследите за ее поведением, проверьте объем ресурсов, которые ей требуются, и наличие каких-либо ошибок и т.д.
• Проверьте производительность процессора, оперативной памяти и диска на каждом сервере
• Проверьте пиковые значения нагрузки на сервер
• Анализируйте поступающий еженедельный объем трафика, пытаясь выявить любые аномалии и т.д.
• Проверьте журналы приложений на наличие ошибок и, если в них хранятся какие-либо ненужные данные; обратите внимание на количество журналов
• Анализируйте ежедневные расходы на инфраструктуру в течение недели, отмечайте любые увеличения и их причины, настраивайте ежедневные и ежемесячные оповещения о бюджете
• Обратите внимание на безопасность
• Проверьте количество пользователей, добавленных в AWS, и их права доступа (мы используем принцип наименьших привилегий, который означает, что пользователи имеют только необходимые разрешения на доступ)
• Проверьте, включили ли пользователи многофакторную аутентификацию (MFA)
• Проверьте количество открытых портов на серверах. Также необходимо убедиться, что порт SSH доступен только для нескольких IP-адресов и т.д.

Дополнительный ежемесячный аудит обеспечивает лучшее понимание и обобщенную картину того, как инфраструктура меняется с течением времени, и позволяет обратить внимание на ее состояние в целом, например

• Проанализируйте среднюю нагрузку на сервер, чтобы понять, нужно ли увеличивать количество серверов или ресурсов кластера на данный момент достаточно
• Составьте обобщенную оценку стоимости ИТ-инфраструктуры, чтобы выработать предложения о том, как сократить расходы. Обычно этого можно достичь, зарезервировав серверы Amazon на 1-3 года вперед (цена резервирования на 3 года самая низкая).
• Определите средние и пиковые значения ежемесячного трафика и т.д.

Когда необходимо проводить аудит ИТ-инфраструктуры

Лучше всего проводить ИТ-аудит с определенной периодичностью, например, раз в год. Но иногда бывают настолько резкие перемены (на рынке, в бизнес-курсе компании, в объемах и характере производства), что система сама «сигнализирует» о том, что она не справляется с задачами должным образом. Например, становится очевидным что-то из следующего списка:

• для нынешних процессов некоторое ПО морально устарело
• не хватает вычислительных ресурсов
• произошла утечка информации
• в сервисах постоянные сбои
• медленно работает база данных
• надо внедрять новые ИС или мигрировать в облако
• грядут кадровые перестановки в руководящем составе компании или смена ИТ-команды
• компания переходит на ИТ-аутсорсинг (удаленное обслуживание) и надо рассчитать стоимость работ
• выросли расходы на ИТ-обслуживание

Начинать аудит стоит не раньше, чем будет понятно, какие процессы необходимо наладить, чтобы подготовить сотрудников к аудиту и не раньше, чем произойдет это налаживание.

Какой тип ИТ-инфраструктуры является оптимальным?

Существует два основных типа ИТ-инфраструктуры:

• Локальная инфраструктура, настроенная на локальных серверах, к которым ее владелец может получить физический доступ. Масштабируемость ограничена возможностями оборудования. Для обслуживания инфраструктуры требуется собственная команда инженеров-программистов, которые хорошо знакомы с ИТ. В противном случае поиск служб поддержки, квалифицированных для работы с ИТ, становится сложнее, отнимает больше времени и средств.
• Облачная инфраструктура, настроенная в облачной среде, без возможности доступа владельца к серверам. Тем не менее, существует неограниченный потенциал масштабирования и отсутствие проблем с поддержкой благодаря автоматизации мониторинга ИТ-инфраструктуры и большому пулу профессионалов.

Вот почему все больше и больше людей решают перенести свою локальную инфраструктуру приложений в облако. Однако локальная инфраструктура оказывается оптимальным решением, когда облачные среды не соответствуют требованиям управления или конкретным ограничениям приложения. Например, мы можем столкнуться с такими ограничениями, когда

• руководство требует хранить все документы только в локальном хранилище
• только определенные люди могут иметь доступ к базовому оборудованию
• существуют особые требования к оборудованию, которые гарантируют, что все данные на этом конкретном оборудовании зашифрованы.

Виды ИТ-аудита

IT-аудит делят на виды в зависимости от масштаба проверки инфраструктуры. В основном выделяют три вида: экспресс-аудит, комплексный и направленный.

Отчет по итогам такого экспресс-обследования содержит:

• списки рабочих мест, серверов, ПО и активного сетевого оборудования
• минимальные рекомендации по оптимизации

Комплексный аудит проводят в три этапа:

1.   Сбор информации обо всех элементах IT-инфраструктуры

2.   Составление отчетов

3.   Разработка проекта по оптимизации или глобальной модернизации инфраструктуры

Итогом комплексного аудита будет актуальная, подробная техническая документация, описывающая нынешнее состояние информационных систем компании и проект модернизации с обоснованием.

При аудите по критерию собирают и анализируют сведения об ИТ-инфраструктуре только в рамках выбранного критерия, например, производительности или безопасности. Отчет в данном случае будет содержать оценку систем на соответствие, а также анализ причин и рекомендации по улучшению инфраструктуры в случае несоответствия выбранным критериям.

При аудите бизнес-процесса проводят проверку инфраструктуры не для всей компании, а для определенного бизнес-процесса. Это может быть аудит техники, персонала, ИТ-услуг или ИТ-процессов.

Почему оптимизация ИТ-инфраструктуры важна?

Отсутствие оптимизации ИТ-инфраструктуры можно сравнить со старым особняком без регулярного обслуживания: он быстро приходит в негодность, но по-прежнему требует уплаты высоких налогов. Без необходимой реконструкции она скоро превратится в заброшенный памятник тому, что когда-то было великолепным.

Точно так же неоптимизированная ИТ-инфраструктура может привести к наихудшему сценарию, когда вы в конечном итоге:

• инфраструктура с низкой производительностью, которая не может масштабироваться и восстанавливаться после катастроф
• большое количество подготовленных серверов и получение высокого счета за облако к концу месяца

Этапы проведения аудита ИТ-инфраструктуры

Чтобы результаты аудита можно было использовать максимально эффективно, лучше проводить эту процедуру последовательно, предварительно распланировав все этапы. Классически их выделяют пять:

1. Проверка узлов или элементов IT-инфраструктуры, включая инвентаризацию оборудования и обследование ПО, антивирусов
2. Классификация и оценка найденных проблем и «бутылочных горлышек» инфраструктуры
3. Определение методов решения найденных проблем и способов оптимизации структуры
4. Агрегация выводов и составление рекомендаций на их основе
5. Сведение результатов аудита и рекомендаций по улучшению инфраструктуры в отчет

Сюда же должны войти описание предполагаемых выгод от применения рекомендаций и расчет затрат на работы по устранению проблем и оптимизации систем.

Что необходимо оптимизировать в первую очередь?

Получение сводки аудита не означает, что вы должны немедленно устранять каждую выявленную ошибку и внедрять все предложения сразу. Необходимо оценить их и определить, какие из них имеют первостепенное значение. Остальные изменения вы можете вносить постепенно. Точно так же, как срочно починить разбитое окно, но не настолько необходимо, чтобы немедленно покупать новые шторы.

Что вам действительно нужно найти и исправить как можно скорее, так это причину, вызывающую задержки или ошибки, например:

• нехватка ресурсов для правильной работы приложения
• ошибки, которые могут привести к сбою приложения и т.д.

Рекомендации по проведению аудита ИТ-инфраструктуры

Аппаратную часть инфраструктуры стоит проверять детально. Обязательно оценить применение на соответствие поставленным задачам. О сроках работы оборудования можно узнать из документации, которая должна храниться в бухгалтерии.

Схемы структурированных кабельных систем (СКС) стоит составлять самостоятельно, не опираясь на непроверенные данные — они могут быть ошибочными, устаревшими, неточным. Важно уделить отдельное внимание оценке мощностей серверов — возможно, их надо объединить, модернизировать или виртуализировать.

Перед аудитом программной части рассмотрите возможность попросить разработчика ПО предоставить копии всех контрактов и заказов на поставку — так вы будете точно знать все условия лицензий.

Какие результаты проведения ИТ аудита инфраструктуры?

По итогам аудита IT-инфраструктуры заказчик получает техническую документацию и отчет, в котором отражаются все актуальные данные по работе сети и серверного сегмента организации. Специалисты CBS дают рекомендации по устранению ошибок и улучшению работоспособности инфраструктуры. В зависимости от результатов аудита заказчик может:

• заменить текущее оборудование на новое^* (разные варианты спецификаций с учетом функциональности и стоимости)
• устранить выявленные ошибки
• повысить уровень защиты инфраструктуры
• получить актуальную документацию, включающую полную информацию по устройствам

Кроме того, по итогам аудита заказчик получает консультацию профильных специалистов по выявлению скрытых проблем, а также оперативное решение вопросов, связанных с текущим состоянием инфраструктуры.

Будущее ИТ-аудита

Рост инициатив по цифровому преобразованию практически во всех отраслях привел к значительному изменению роли ИТ-аудита в текущем ИТ-ландшафте. Аудиты играют важную роль в обеспечении того, чтобы новые технологические решения никогда не подвергали организацию неприемлемым рискам.

Грамотно и вовремя проведенный аудит ИТ-инфраструктуры способен сэкономить бизнесу деньги и время. И наоборот: если не проводить такую инвентаризацию оборудования и программного обеспечения, не сопоставлять то, как используются ИТ-инструменты с их предназначением и бизнес-курсом, можно поплатиться большими издержками, в том числе и репутационными.

Лучше доверить аудит ИТ-инфраструктуры профессионалам. Их компетентность и непредвзятость позволят рассчитывать на качественный результат процесса.