Když náhle zemřel IT technik, který měl veškerá systémová hesla a přístupy, ocitla se společnost Alcom Alval* v krizové situaci. Ztráta přístupu ke klíčovým systémům mohla znamenat přerušení výroby. Zástupci firmy kontaktovali Geetoo Technology s žádostí o pomoc. Okamžitě jsme nasadili naše experty, kteří odvrátili hrozící kolaps, obnovili přístupy a nastavili zálohování do cloudu.
Původní infrastruktura a zmapování IT prostředí
Společnost Alcom Alval se specializuje na výrobu přesných frézovaných hliníkových desek a obchoduje s hliníkovými polotovary, jako jsou plechy, desky a tyče. Nabízí i služby jako řezání vodním paprskem a působí v České republice i na mezinárodních trzích.
Po nečekané ztrátě systémové administrátora se ukázalo, že neexistovala žádná aktuální dokumentace k infrastruktuře ani soupis přístupů. Bylo nezbytné zmapovat infrastrukturu od základů a obnovit přístup do kritických systémů. Tým Geetoo začal rozhovory se zaměstnanci Alcom Alval, kteří poskytli klíčové informace o tom, jaké aplikace používají a jaké systémy jsou pro jejich práci kritické.
Následně byl proveden sken sítě pomocí open-source nástrojů, aby se získal přehled o všech zařízeních a serverech v síti. To zahrnovalo zmapování kamerových a přístupových systémů, stejně jako hlavního informačního systému KTKw od společnosti KTK Software. Díky tomu jsme získali základní přehled o technologickém stacku firmy.
Nejdůležitější prioritou bylo zajistit, aby nedošlo ke ztrátě dat v případě selhání hardwaru. Proto jsme se zaměřili na ochranu a zálohování hlavního informačního systému.
Obnova přístupů
Získání přístupů k hlavním systémům bylo náročné, protože zesnulý admin nezanechal žádný password manager ani dokumentaci. Klíčovou roli sehrál jeho kolega, který byl schopen odvodit některá hesla na základě technikova specifického způsobu tvorby hesel. Postupně jsme získali přístup k síťovým prvkům, serverům a koncovým stanicím, což umožnilo zahájení plnohodnotného obnovovacího procesu.
Po společném zprovoznění vzdáleného VPN přístupu jsme pak společně zkoušeli odvozená hesla na jednotlivé prvky/služby v tabulce dle důležitosti a vytvářeli nové přístupy pro další práci.
Zálohování do cloudu
Jedním z prvních kroků po získání přístupů, bylo nasazení služby Veeam Agent na hlavní on-prem server, který byl klíčový pro firemní operace. Na straně Geetoo jsme vytvořili nového tenanta v rámci služby Geetoo Cloud Backup, cožumožnilo okamžité zálohování dat do offsite lokace. Výhodou bylo, že firma již používala virtualizaci na VMware platformě, byť na starší verzi. Díky tomu jsme mohli zajistit zálohy, které by umožnily obnovu systému do cloudu v případě selhání fyzického hardware.
Pro zajištění konzistentních záloh byla využita funkce Veeam Application-Aware Processing, která umožňuje konzistentní zálohy kritických databází a aplikací. Na žádost zákazníka jsme také nakonfigurovali posílání záloh na úložiště NetApp, což přidalo další úroveň zabezpečení v souladu se zlatým pravidlem zálohování.
Migrace do cloudu
Původní server běžel na EoL verzích Windows Server a MSSQL, což představovalo bezpečnostní a provozní riziko. Stejně tak konfigurace neodpovídala best practices, jelikož bylo na serveru nainstalováno velké množství aplikací a služeb, které bylo vhodnější rozdělit na více serverů (terminálové služby, SQL, atd.) Na serveru zároveň neexistovala doména, zaměstnanci se přihlašovali přes WORKGROUP a existovalo velké množství administrátorských účtů.
Vytvořili jsme tedy v rámci Geetoo Cloud Compute nové virtuální prostředí na podporovaných verzích Windows Server a MS SQL, přičemž jsme si kompatibilitu ověřovali také s vendorem aplikace KTK, kterou zákazník používal pro většinu operací ve firmě. Jediný fyzický server jsme rozdělili na více virtuálních strojů a také jsme sestavili strukturu Active Directory. Tím se zvýšilo zabezpečení a celé řešení je nyní v souladu s osvědčenými postupy.
Dalším krokem bylo sestavení IPsec tunelu mezi lokalitami zákazníka (Bruntál a Nupaky) na Mikrotik zařízení s naším virtuálním NSX routerem v rámci VMware Cloud Directoru. Díky tomu jsme pak mohli z nové infrastruktury jednoduše přistupovat do původního on-prem řešení a provádět potřebné přípravy.
Nové prostředí bylo postaveno na aktuálních verzích Windows Server a SQL Server, přičemž jsme rozdělili jednotlivé role na více virtuálních strojů. To zahrnovalo oddělení terminálových služeb, databáze a Active Directory, což přineslo vyšší bezpečnost a lepší správu přístupů. Migrace databáze probíhala pomocí nástrojů Microsoft Data Migration Assistant (DMA), který umožnil zálohu a následné aktualizování databáze na vyšší verzi.
Provoz aplikací a tiskové služby
Aplikace KTK nyní běží v cloudu na terminálovém serveru, ke kterému se zaměstnanci připojují přes Remote Desktop Protocol. Připojení probíhá primárně přes lokální síť skrze IPsec tunel, což zajišťuje bezpečnou komunikaci. Pro zahraniční cesty jsme zprovoznili OpenVPN. Zaměstnanci se tak díky šifrování mohou bezpečně připojit odkudkoliv.
Tiskárny jsou spravovány pomocí Print serveru, což umožňuje sdílení a přístup k velkému množství síťových a lokálních tiskáren, které jsou rozloženy mezi vícero sítěmi. Konfigurace tiskáren byla jednou z největších technických výzev, protože některé z nich byly připojeny k odlišným síťovým segmentům a bylo nutné vyřešit správný routing přes IPsec tunel.
Zabezpečení a monitoring
Zákazník nyní čerpá veškeré výpočetní prostředky v rámci modelu IaaS, což znamená, že správu virtuálních strojů zajišťuje nový IT technik Alcom Alval. Monitoring zajišťuje support oddělení Geetoo.
Používáme k tomu kombinaci nástrojů, včetně CheckMK, Grafana a VMware Aria Suite pro sledování dostupnosti a výkonu infrastruktury. Kromě zálohování a monitoringu disponujeme robustním disaster recovery plánem. Jsme tak schopni celé prostředí v případě havárie velmi rychle obnovit.
Výhody přechodu na cloud
Po úspěšné migraci do cloudu zaznamenala společnost Alcom Alval několik klíčových přínosů:
- Spolehlivost: Nepřetržitý monitoring a zálohování s rychlou možností obnovy v případě selhání.
- Škálovatelnost: Nové prostředí umožňuje snadné rozšiřování kapacit podle růstu firmy.
- Bezpečnost: Implementace Active Directory, IPsec tunelů a moderní zálohovací technologie poskytují vyšší úroveň zabezpečení.
- Podpora: Geetoo poskytuje podporu 24/7, včetně asistence s kritickými problémy mimo běžnou pracovní dobu.
Autor textu: Jakub Herink, obchodní ředitel společnosti Geetoo Technology
*Společný zákazník Geetoo Technology s.r.o. a Quantcom a.s.
