Виртуализация в контексте развития ИТ-инфраструктуры стабильного банка

Банковский бизнес в плане применения ИТ традиционно один из самых высокотехнологичных — и в мире, и в России. СДМ-Банк входит в первую сотню российских банков по прибыльности, агентство Fitch Ratings в 2013 г. повысило его рейтинг с “B” до “B+” (стабильный). Банк располагает большой отделенческой сетью в Москве и филиальной — по стране, у него более двухсот банкоматов и более семисот терминалов самообслуживания, что позволяет предоставлять широкий набор услуг как юридическим, так и физическим лицам. Все это требует ИТ-инфраструктуры соответствующего уровня, постоянного внимания к ее развитию. В настоящее время в банке на финальной стадии находится проект построения виртуальной инфраструктуры на базе собственного резервного ЦОДа. Мы воспользовались данным проектом как поводом для разговора о том, что представляет собой ИТ-инфраструктура современного территориально-распределенного банка, предлагающего клиентам разнообразные услуги и продукты. Олег Илюхин, директор департамента информационных технологий СДМ-Банка, поделился с обозревателем PC Week/RE Алексеем Ворониным своим видением современных ИТ-подходов и решений в банковской сфере.

PC Week: Какой была ИТ-инфраструктура СДМ-Банка вчера и что она представляет собой сегодня?

Олег Илюхин: В прошлом, когда банк рос, открывал филиалы, в каждом из них была собственная инсталляция автоматизированной банковской системы (АБС), системы “клиент — банк”. Мы потратили немало усилий, чтобы всё это сосредоточить в одном месте, и на сегодня нами создана централизованная ИТ-инфраструктура. В результате мы получили снижение затрат на управление ИТ (не надо в каждом филиале держать ИТ-команду), большую степень информационной безопасности (в том числе за счет большего профессионализма ИТ-специалистов головного офиса), возможность и гарантию предоставления клиентам единого продуктового ряда в масштабах всего банка (один раз настроили тарифы — и они действуют по всей отделенческой и филиальной сети). В головном офисе банка сосредоточены АБС для юридических и физических лиц (“Диасофт” и RBS соответственно), карточный процессинг (на основе OpenWay), решения для дистанционного банковского обслуживания (“клиент — банк” от BSS для юридических лиц, интернет-банк от “Степ Ап” и мобильный клиент Intervale — для физических). В головном офисе работают две серверные площадки — основной и резервный ЦОДы (разнесенные в разные концы здания), скоро запустим третью -- удаленный ЦОД. На резервных площадках зарезервированы все бизнес-критичные системы и связь с сетью банка.

PC Week: В связи с чем возникла потребность в удаленном ЦОДе?

О. И.: В первую очередь в связи с рисками расположения основного и резервного ЦОДов в одном здании (веерные отключения электричества, катастрофы). Дополнительный вероятный риск — возможные проблемы в связи с грядущей реконструкцией Волоколамского шоссе, где находится головной офис банка.

PC Week: Удаленный ЦОД — собственность банка, или банк арендует мощности чужого?

О. И.: Собственный.

PC Week: Почему был сделан выбор в пользу строительства собственного ЦОДа?

О. И.: Это решение продиктовано политикой информационной безопасности нашего банка. К тому же около двух лет назад, когда принималось решение о строительстве собственного удаленного ЦОДа, были выполнены соответствующие расчеты и оказалось, что уже за первые два-три года аренды мы переплатили бы ИТ-подрядчикам. Так что иметь собственный ЦОД на тот момент было даже дешевле, чем арендовать чужой.

PC Week: Расскажите о новом ЦОДе — как далеко удален от головного офиса, кто строил, в какой стадии сегодня находятся работы по его запуску?

О. И.: ЦОД располагается в Москве в 20 км от головного офиса, строила его компания КРОК, наполнение оборудованием осуществляла компания Fujitsu. ЦОД уже построен, в нем установлено оборудование, которое частично уже запущено в эксплуатацию, поэтому некоторые критически важные для работы банка ИТ-системы зарезервированы. Полностью ЦОД будет запущен примерно через месяц.

PC Week: Почему выбор был остановлен на Fujitsu? Рассматривалось ли в качестве альтернативы оборудование других производителей?

О. И.: Конечно, рассматривалось. Мы получили предложения практически от всех ключевых игроков рынка. Fujitsu, во-первых, предоставила пятилетнюю гарантию на свое оборудование, что для банка важно — за сервис мы готовы платить (другие поставщики остановились на трех годах). Во-вторых, несмотря на бытующее на рынке мнение, будто оборудование Fujitsu дорогое, ценовую войну с конкурентами компания тоже выиграла. Кроме того, виртуальная ИТ-инфраструктура была спроектирована специалистами Fujitsu еще на этапе проведения тендера. Отправляясь на тендер, я уже понимал, какие сервисы и на каких серверах будут находиться, сколько под них будет отведено процессоров, памяти — по всем этим важным моментам уже сложилось представление. И, кстати говоря, сейчас, после окончания монтажа оборудования в новом ЦОДе и частичного его запуска, оказалось, что мы довольно точно попали с расчетами. Я не ожидал столь хорошего результата.

PC Week: Каков состав установленного в удаленном ЦОДе оборудования?

О. И.: Мы разместили 49 серверов головного офиса на одной стойке с восемью серверными лезвиями Fujitsu PY BX900 S2, на которых развернуто 32 виртуальные машины; там же размещён один дисковый массив ET DX440 S2.

PC Week: Как реализована связь между основным и удаленным ЦОДами?

О. И.: Мы проложили кабель с пропускной способностью 2 Гбит/с. На данный момент он не зарезервирован, этот вопрос мы будем решать в будущем.

PC Week: А как развивалась ИТ-инфраструктура в головном офисе?

О. И.: Впервые необходимость масштабной замены серверного оборудования перед банком возникла в 2005 г. На тот момент к порогу производительности подошли обе упомянутые мною АБС, к тому же в стадии внедрения находилось хранилище данных SAP BW. Именно тогда началось сотрудничество с компанией Fujitsu, у которой мы приобрели три комплекта серверов.

PC Week: За прошедшее время нагрузки на аппаратную часть наверняка серьезно выросли, справляются ли с ними серверы, приобретенные и установленные в 2007 г.?

О. И.: Серверы покупались “с запасом”, т. е. были укомплектованы процессорами, памятью, дисками не полностью, а настолько, насколько нам требовалось в тот период. Таким образом, банк оставил себе свободу маневра, чтобы по мере возрастания объемов бизнеса сотрудники ИТ-службы могли дооснащать серверы необходимыми агрегатами, и банк мог продолжать нормальную работу. В итоге в прошлом году мы полностью “добили” сервер с АБС “Диасофта”, а в нынешнем заменили его на новый (тоже Fujitsu). Что касается АБС для физических лиц и хранилища SAP BW, то эти системы также приближаются к порогу производительности, поэтому аналогичные действия по замене серверов мы планируем на следующий год.

PC Week: Как вы оцениваете эффективность использования оборудования?

О. И.: Я считаю, что в современных условиях работа сервера в течение семи-восьми лет — это достойный показатель.

PC Week: Давайте поговорим о виртуальной составляющей ИТ-инфраструктуры банка. Когда появилось понимание реальной пользы виртуализации?

О. И.: Исторически мы жили в такой парадигме: под каждую новую задачу, ИТ-решение — новый сервер или даже несколько физических серверов. Если внедряем, например, систему “банк — клиент”, значит, нужен сервер для базы данных, несколько серверов под приложения и сервер для доступа клиентов. К этому надо добавить, что затормаживающим фактором в плане использования виртуальных серверов были еще и производители ПО, многие из которых изначально не проектировали свои продукты для работы в виртуальной инфраструктуре и даже не проводили тестирования в ней. По крайней мере, до недавнего времени никто об этом не задумывался. В итоге в банке накопилось очень большое количество оборудования. ЦОД в головном офисе забит оборудованием практически под завязку, и мы всерьез задумались о виртуализации. Удаленный резервный ЦОД, который мы сейчас готовим к запуску, по сути — “проба пера”. Когда мы проводили тендер по оборудованию, рассматривались два варианта резервирования — традиционным способом, т. е. с помощью физических серверов, и на базе виртуальной инфраструктуры. Был составлен список систем, которые необходимо зарезервировать, по каждой из них определены параметры качества (через какое время система должна заработать в случае катастрофы). В итоге победил виртуальный вариант, потому что, во-первых, он оказался дешевле, а во-вторых, хотелось идти в ногу со временем. Сейчас мы эту “квартиру” обживаем.

PC Week: Какие платформы для виртуализации рассматривались и на чем в итоге остановились?

О. И.: Мы выбирали между платформами VMware и Microsoft. В итоге сделали выбор в пользу технологий VMware, которые намного больше устроили нас с точки зрения функциональности.

PC Week: Есть ли у банка планы двигаться дальше по пути виртуализации ИТ-инфраструктуры?

О. И.: Есть. Вкусив прелестей виртуализации, мы всерьез думаем о том, чтобы отказаться от второго (резервного) ЦОДа в здании головного офиса — не сразу, конечно, а в течение нескольких лет. Ведь виртуализация дает возможность легко перекидывать сервисы из одного ЦОДа в другой, причем при минимальном участии ИТ-подразделения.

PC Week: С какими специфическими проблемами столкнулся банк при виртуализации серверов?

О. И.: Проблем, в которые бы мы “уперлись” и не могли решить, не было. Пожалуй, определенной ментальной проблемой для специалистов ИТ-подразделения стало создание резервных стендов. По сложившейся в ИТ традиции основной и резервный стенды должны быть одинаковыми. Это позволяет без дополнительных настроек и переключений перейти на резервную площадку, сократив тем самым время перехода. Теперь ситуация другая: основной стенд — в традиционной ИТ-инфраструктуре, резервный — в виртуальной. В этом контексте в будущем могут возникнуть проблемы, но пока мы с ними не сталкивались.

PC Week: Каковы результаты проекта построения удаленной виртуальной площадки в экономическом плане?

О. И.: Экономия денег на серверном оборудовании, по нашим оценкам, составила 20%, экономия места в ЦОДе — порядка 60%.

PC Week: СДМ-Банк уже предоставляет своим клиентам дистанционный доступ к свои услугам на базе мобильных приложений. Но с ростом мобильной коммерции растет и заинтересованность мошенников в этом сегменте бизнеса. Как банк обеспечивает информационную безопасность мобильных услуг — технологически, организационно?

О. И.: Если говорить об обеспечении безопасности, подключиться к мобильному клиенту можно только через интернет-банк, пройдя соответствующую процедуру верификации. Интернет-банк у нас защищен в соответствии с лучшими практиками, мы полностью выполняем требования, которые ЦБ РФ выдвигает к банкам — операторам национальной платежной системы. В организационном плане, у нас утверждены лимиты операций, совершаемых при помощи мобильного банка (причем они более жесткие, чем для интернет-банка); существуют также ограничения по сумме одной операции, по сумме операций в день и в месяц. В технологическом плане мобильный банк защищен паролем, логином — это стандартный подход. Но ввод пароля требуется и для выполнения всех операций. Также стоит сказать, что из соображений безопасности нам приходится ограничивать функционал мобильных приложений, несмотря на требования бизнес-заказчика, который хочет, чтобы функциональность систем интернет-банка и мобильного банка была одинаковой.

PC Week: Как обеспечивается безопасность транзакций в рамках традиционных систем “банк — клиент”?

О. И.: Здесь следует сказать, что в силу нормативных требований несколько разными путями пошла безопасность в сегменте ДБО для юридических и физических лиц. Для юрлиц, как известно, требуется сертифицированная криптозащита, для физических лиц такого требования нет. В системе ДБО для юридических лиц помимо создания криптоключей шифрования при помощи сертифицированной ФСБ системы “Крипто Про” мы используем генераторы одноразовых ключей, которыми клиент по желанию может дополнительно шифровать платежные поручения. В системе для удаленного обслуживания физических лиц помимо логина и пароля каждая операция подтверждается разовым паролем, отправляемым на телефон при помощи SMS, т. е. задействована классическая двухфакторная аутентификация.

PC Week: Юридические лица пользуются дополнительными ключами?

О. И.: Пользуются, но не все. Мы со своей стороны инструктируем каждого клиента, приходящего в банк, как работать безопасно, предоставляем возможность безопасной работы, но выбор в итоге делает он сам, используя для подписи либо ключ на обычном носителе, либо e-token, либо ключ с генератором одноразовых паролей.

PC Week: Банк создал широкую сеть терминалов самообслуживания “Платформа” — более семисот в разных городах. Каким образом терминалы интегрированы в ИС банка?

О. И.: Терминалы интегрированы с обеими АБС. В систему “Диасофта” выгружаются практически все операции просто потому, что именно там ведется главная книга, выполняются все расчеты, а в систему RBS выгружаются, в частности, операции пополнения банковских карт. Кстати, с прошлого года клиентам через терминалы доступна инновационная услуга — инкассация выручки для юридических лиц с зачислением денежных средств на расчетный счет почти в режиме онлайн (задержка составляет не более двух часов).

PC Week: Сколько сотрудников работает в ИТ-департаменте банка над столь широким спектром проблем и задач? Практикует ли банк аутсорсинг?

О. И.: В настоящий момент наш штат — 37 человек. Если говорить о текущей деятельности, то на аутсорсинг практически ничего не передается. Время от времени возникает идея использовать аутсорсинг для решения некоторых задач, и каждый раз мы оцениваем ее экономическую целесообразность. В подавляющем большинстве случаев оказывается, что дешевле сделать работу своими силами. Если же говорить о проектной деятельности, то в этом случае внедрение практически всех ИТ-систем выполняется с помощью партнера.

PC Week: И в заключение — ваш прогноз на ближайшие год-два: какие проблемы и направления в плане развития ИТ-инфраструктуры банковского бизнеса будут самыми актуальными, потребуют наибольшего внимания со стороны ИТ-руководителя?

О. И.: Во-первых, это виртуализация серверов. Второе направление — виртуализация рабочих станций, что повысит информационную безопасность, а также снизит трудозатраты ИТ-подразделения на поддержку. Еще одна очень важная задача — повысить качество обеспечения непрерывности бизнеса. Сейчас внутреннее SLA, заключенное в нашем банке с бизнес-подразделением, в среднем предусматривает восстановление после аварии в течение часа. Однако при нынешних объемах бизнеса от ИТ-подразделения уже требуется более быстрая реакция, что предполагает в первую очередь исключение человеческого фактора. Если говорить о развитии банковских АБС, то на этом направлении перед нами стоит задача создания фронт-офиса операционного обслуживания.

PC Week: Спасибо за беседу.