Як зараз у кампаніях вядзецца ўлік? Звычайна гэта ўсталяваны на лакальным кампе бухгалтара пакет 1С, у якім працуе штатны бухгалтар ці адмысловец на аўтсорсе. Аўтсорсер можа весці адначасова некалькі такіх кампаній-кліентаў, часам нават канкуруючых.
Пры такім падыходзе доступы да разліковых рахункаў, сродкаў крыпта-абароны, электроннага дакументазвароту і іншых важных сэрвісаў настроены прама на кампутары бухгалтара.
Што гэта значыць? Што ўсё ў руках бухгалтара і калі ён вырашыць падставіць уладальніка бізнэсу, то ён зробіць гэта на раз-два.
х/ф "RocknRolla" (2008)
У гэтым артыкуле мы раскажам, як надзейна замкнуць усе сэрвісы, уключаючы 1С у адным воблаку, каб у вас была магчымасць адсекчы ўсе сэрвісы адной кнопкай, нават калі бухгалтар паляцеў на казачнае Балі.
Што ўвогуле можа адбыцца? Два рэальныя кейсы
Сісадмін з Уол Стрыт
Жонка нашага сузаснавальніка - вопытны бухгалтар і ў мінулым месяцы да яе звярнулася за дапамогай буйная рэстаранная сетка ў Маскве. Рэстаран трымаў усе базы дадзеных на сваім серверы, якімі загадваў пастаянны сісадмін з каманды рэстарана.
Прама ў момант працы бухгалтара, сісадмін схадзіў у анлайн-казіно і падчапіў вірус, які знішчыў усю базу дадзеных. На каго звалілі ўсё? Правільна, на які прыйшоў толькі што бухгалтара.
Гераіні вельмі пашанцавала, што яе муж - кіруючы партнёр хостынгу і разбіраецца ў такіх рэчах. Пасля доўгіх пярэчанняў па тэлефоне (наш калега ўжо быў гатовы выязджаць і самастойна начысціць морду адміну) доказы былі знойдзеныя і вінаваты пакараны. Але база дадзеных была згублена, гэта значыць для сісадміна хэпі-энду не здарылася.
Наўтбук, які захрас у чужой кватэры
Гэта старая гісторыя іншых нашых знаёмых.
Вопытная жанчына 64 гадоў спраўна вяла бухгалтэрыю інтэрнэт-крамы кітайскіх гаджэтаў праз 1С. Кліент і база захоўваліся на ноўтбуку, які ёй выдалі на працы. Гэта было зручна: лёгка друкаваць з офісных друкарак, база маленькая і змяшчаецца на нетбук, можна браць з сабой на дачу ці дадому.
Потым здарылася трагедыя: у пятніцу ўвечар яе павезлі з інсультам на хуткай. Нетбук застаўся дома, таму што бухгалтар была адказнай і ўзяла працу на выходныя.
Наўтбук, вядома, вызвалілі, бухгалтар паправілася, але калі перанесці гэтую сітуацыю ў бягучыя дні і замяніць інсульт каранавірусам, то аперацыя вызваленне кампутара з закрытай кватэры прымае зусім іншыя маштабы.
Ці могуць дзве коткі і лабрадор адчыніць вам дзверы? Калі нават суседка палівае кветкі і корміць котак, ці аддасць яна вам кампутар?
Але пяройдзем да 1С у воблаку - якія ёсць варыянты разгортвання і працы ў воблаку.
Якія ўвогуле ёсць варыянты працы з 1С у воблаку?
Варыянт 1. Кліент + карпаратыўны сервер дадаткаў + база дадзеных
Падыдзе для вялікіх кампаній, дзе патрэбны паслугі цэлай каманды бухгалтараў. Гэта даволі дарагі варыянт (патрабуецца шмат дадатковых ліцэнзій), яго мы разглядаць не будзем, таму што артыкул пра настройку працы бухгалтара для маленькай фірмы.
Варыянт 2. 1С: Фрэш
1С: Фрэш - гэта даволі зручны спосаб працаваць у 1С праз браўзэр. Налады ніякай не патрабуецца: пры арэндзе такой ліцэнзіі, кампанія франчайзі ўсё наладзяць самі, вам выдадуць лагін і пароль.
Але ёсць два мінусы:
✗ Высокая цана: базавы тарыф на адно прыкладанне патрабуе аплаты адразу за 6 месяцаў мінімум двух працоўных месцаў - 6808 р
✗ Вы не можаце наладзіць сам VPS-сервер, на якім працуюць адразу шмат кампаній. Вам выдаецца ключ толькі ад вашага пакоя ў інтэрнаце, па прынцыпе шаред-хостынгу.
У фреш таксама ёсць канфігурацыя 1С: БізнесСтарт, падпіска на якую па акцыі каштуе 400 р. у месяц. Магчымасці канфігурацыі істотна абмежаваныя, без акцыі падпіска абыдзецца ў 1000 г., а аплачваць яе таксама трэба мінімум на паўгода.
Варыянт 3: ваша ўласная VPS, на які ўсталяваны кліент 1С і база даных
Гэты варыянт падыдзе маленькім кампаніям, дзе працуе 1/2 бухгалтара - яны цалкам камфортна могуць працаваць і без ўстаноўкі сервера прыкладанняў 1С: Прадпрыемствы і сервера SQL.
Галоўная хараство гэтага падыходу ў тым, што арандаваная VPS можа выступаць як паўнавартасны працоўным кампутар для бухгалтара з падлучэннем да RDP.
Калі ўсе базы, дакументы і доступы захоўваюцца на VPS, падкантрольнай вам, можна не баяцца ні зачыненых у кватэры наўтбукаў, ні сумеснага ўцёкаў бухгалтара з сісадмінам на выспы, прыхапіўшы ўсе дакументы і грошы з разліковага рахунку. Вы можаце адключыць доступ адной кнопкай, выдаліўшы карыстальніка.
Гэты метад добры яшчэ і вось чаму:
- Калі бухгалтар працуе ў 1С-прадуктах, 1С генеруе шмат дакументаў Word, Excel, Acrobat. Калі 1С-кліент запушчаны на кампутары бухгалтара, усе дакументы захоўваюцца на яго наўтбуку. Пры працы на VPS усё захоўваецца на віртуалцы.
- Базы 1С і дакументы наогул не трапляюць на асабісты кампутар бухгалтара (пры выкарыстанні 1С: Фрэш дакументы прыйшлося б спампоўваць).
- Магчымасць уключыць VPS у карпаратыўную сетку праз VPN і арганізаваць бухгалтару бяспечны доступ да ўнутраных рэсурсаў (пры выкарыстанні 1С: Фрэш асабісты кампутар бухгалтара для гэтага прыйшлося б пусціць у абароненую ЛВС).
- Можна наладзіць бяспечную інтэграцыю 1С: Прадпрыемствы з вонкавымі сістэмамі: ЭДА, асабістыя кабінеты банкаў, дзяржаўныя сэрвісы і г.д. У выпадку выкарыстання 1С: Фрэш доступ да шматлікіх крытычных сэрвісаў прыйшлося б наладзіць на асабістым кампутары бухгалтара.
Ну і кошт, вядома ж. Арэнда віртуальнай машыны з ліцэнзіяй 1С абыдзецца прыкладна ў 1500 р. у месяц, калі браць царскія тарыфы ў дарагіх хостынгаў. Гэта ненашмат даражэй за мінімальны базавы пакет паслуг 1С: Фрэш і істотна танней за іншыя падпіскі. Аплачваць можна памесячна.
Ліцэнзію можна купіць у любога франчайзі, і кошт залежыць ад канфіга пакета прадуктаў і паслуг, а пасля заканчэння тэрміну давядзецца даплачваць за падтрымку праз партал 1С: ІТС, каб былі абнаўлення.
Калі браць у нас, мы для такіх мэт прапануем віртуалку з прадусталяваным кліентам 1С: Прадпрыемствы (проста пішаце нам у падтрымку з апісаннем сваёй задачы). Арэнда віртуалкі каштуе прыблізна ў 800 р. у месяц, а кошт арэнды ліцэнзіі 1С на адно працоўнае месца складзе яшчэ 700 р. Падтрымку мы аказваем без дадатковай аплаты, пры гэтым 1С: Прадпрыемства абнаўляюць нашы спецыялісты, калі напісаць у тэхнічную падтрымку.
Для бухгалтара ўсё будзе выглядаць абсалютна таксама - знаёмы працоўны стол, абразкі, можна нават шпалеры павесіць знаёмыя. А зараз да справы, як стварыць і наладзіць такое воблака, доступ да якога можна адключыць адной кнопкай.
Заказваем VPS з убудаваным 1С: Прадпрыемствам
Для бухгалтара ідэальная OS гэта Windows. Адносна магутнасці VPS – па нашым досведзе, для камфортнай працы аднаго-двух супрацоўнікаў з файлсервернай версіяй 1С: Прадпрыемствы хопіць канфігурацыі з двума вылічальнымі ядрамі, мінімум 4-5 ГБ аператыўкі і хуткім SSD на 50 Гб.
Мы не аўтаматызуем сэрвісы, пакуль сапраўды не пераканаемся, што трэба кліентам, таму пакуль яе падлучэнне пакуль не аўтаматызавана і заказваць сервер з 1С трэба праз тикет-сістэму. Мы ўсе настроім для вас уручную.
Калі вы падключыцеся да створанай віртуалцы па RDP, можна ўбачыць прыкладна такую карціну.
Пераносім базу дадзеных 1С
Наступны этап - выгрузіць базу дадзеных з раней усталяванай на бухгалтарскім кампутары версіі 1С: Прадпрыемствы.
Затым яе трэба заліць на віртуальны сервер па FTP, праз любое хмарнае сховішча або падлучыўшы лакальны назапашвальнік да VPS з дапамогай кліента RDP.
Следам неабходна дадаць інфармацыйную базу ў кліенцкай праграме: паказваем, як гэта зрабіць, на скрыншотах.
Пасля паспяховага дадання базы 1С: Прадпрыемства гатова да працы на вашым уласным VPS. Застаецца наладзіць выдаленыя працоўныя сталы для карыстачоў і інтэграцыю з рознымі вонкавымі сістэмамі накшталт асабістых кабінетаў банкаў ці сэрвісаў электроннага дакументазвароту.
Наладжваем выдаленыя працоўныя сталы
Па змаўчанні Windows Server дазваляе не больш за дзве адначасовых сесій RDP для адміністравання сістэмы. Выкарыстоўваць іх і для працы тэхнічна нескладана (дастаткова дадаць непрывілеяванага карыстальніка ў адпаведную групу), але гэта парушэнне ўмоў ліцэнзійнай дамовы.
Каб разгарнуць паўнавартасныя службы выдаленага працоўнага стала (Remote Desktop Services ці RDS), трэба дадаць серверныя ролі і кампаненты, актываваць сервер ліцэнзавання або выкарыстоўваць вонкавы, а таксама ўсталяваць набытыя асобна кліенцкія ліцэнзіі (RDS CAL).
Тут мы таксама можам дапамагчы: у нас можна купіць RDS CAL, проста напісаўшы . Далей дзейнічаць будзем мы: усталюем іх на наш сервер ліцэнзавання і наладзім службы выдаленых працоўных сталоў.
Але, вядома, калі вы хацелі б наладзіць усё самастойна, мы не станем пазбаўляць вас задавальнення.
Пасля наладкі RDS бухгалтар можа пачаць працаваць з 1С: Прадпрыемствам на віртуальным серверы як на лакальнай машыне. Не забудзьцеся ўсталяваць на VPS-ку стандартнае бухгалтарскае ПЗ: офісны пакет, іншы браўзэр, Acrobat Reader.
Цяпер варта засталося паклапаціцца аб падключэнні кліента 1С да банкаўскіх асабістых кабінетаў.
Наладжваем інтэграцыю з банкамі
У 1С: Прадпрыемстве ёсць тэхналогія DirectBank для прамога абмену дадзенымі з банкамі, без усталёўкі дадатковага ПЗ. Яна дазваляе загружаць выпіскі і адпраўляць плацежныя дакументы без выгрузкі іх у файлы, калі банк падтрымлівае такі стандарт узаемадзеяння (у адваротным выпадку прыйдзецца па-старому абыходзіцца тэкставымі файламі ў фармаце 1С, але нічога страшнага - зараз яны захоўваюцца на віртуалцы).
Для пачатку ў бухгалтарскай праграме ствараецца разліковы рахунак (калі ён яшчэ не створаны), а потым трэба адкрыць яго форму ў картцы арганізацыі і выбраць каманду "Падлучыць 1С: ДиректБанк". Настройкі абмену могуць загружацца ў 1С: Прадпрыемства аўтаматычна або ўручную: за падрабязнымі інструкцыямі варта звярнуцца да сайта банка. У шэрагу выпадкаў інтэграцыю з прадуктамі 1С неабходна ўключаць асобна ў асабістым кабінеце.
Для наладкі можа спатрэбіцца лагін і пароль да асабістага кабінета кампаніі ў банку. Часцей за ўсё пры гэтым выкарыстоўваецца двухфактарная аўтэнтыфікацыя (2FA) праз SMS.
Іншы папулярны варыянт, абаронены апаратны токен, нам не падыходзіць з-за выкарыстанні віртуальнага сервера. Акрамя таго, абаронены носьбіт прыйшлося б вынесці з тэрыторыі кампаніі і перадаць які працуе выдалена бухгалтару, страціўшы над ім кантроль.
Варыянт з лагінам/паролем і 2FA праз SMS таксама можа быць небяспечным, хоць тэхналогія DirectBank дазваляе толькі атрымліваць выпіскі і адпраўляць плацежныя дакументы. Каб правесці плацёж, іх давядзецца запэўніць ЭЛП, якая захоўваецца на абароненым фізічным носьбіце кліента або на баку банка. У першым выпадку праблем няма: калі ў знешняга бухгалтара не будзе доступу да токена, ён зможа толькі сфарміраваць дакументы.
У выпадку хмарнага лічбавага подпісу, SMS з аднаразовым кодам для пацверджання плацяжу звычайна адпраўляецца на той жа нумар тэлефона, які выкарыстоўваецца для аўтэнтыфікацыі ў асабістым кабінеце. Некаторыя банкі самі вырашылі гэтую праблему, дазволіўшы кліентам абмен дадзеным праз DirectBank без 2FA. У гэтым выпадку бухгалтар зможа толькі спампоўваць выпіскі і адпраўляць дакументы, але доступу да грошай ці нават да асабістага кабінета ён не атрымае.
Ёсць яшчэ адзін варыянт для падзелу ўзроўняў доступу: многія банкі дазваляюць выкарыстоўваць уліковы запіс на Дзяржпаслугах праз адзіную сістэму ідэнтыфікацыі і аўтэнтыфікацыі (). Кіраўніку дастаткова зайсці ў наладкі свайго акаўнта, абраць укладку "Арганізацыі" і запрасіць супрацоўніка. Калі той прыме запрашэнне, у раздзеле "Доступы да сістэм" можна будзе знайсці свой банк (папярэдне наладзіўшы інтэграцыю з ім) і даць карыстачу доступ да асабістага кабінета. Пры гэтым няма неабходнасці перадаваць яму тэлефон або токен, які выкарыстоўваецца для падпісання плацежных дакументаў.
Падлучаемся да сэрвісаў ЭДА
Сэрвісы для абмену электроннымі дакументамі гэта зручна, а ўсеагульная выдаленне зрабіла іх проста неабходнымі. Кліент 1С: Прадпрыемствы з імі інтэгруецца, але юрыдычна значны ЭДА патрабуе выкарыстання кваліфікаванага электроннага подпісу.
Яна можа запісвацца толькі на флешку ці захоўвацца ў мелым адпаведныя сертыфікаты айчынных рэгулятараў хмарным сэрвісе.
Загрузіць электронны подпіс на любы носьбіт або захоўваць яе на VPS нельга, таму звычайна бухгалтар працуе з электронным дакументазваротам з лакальнага кампутара, уваткнуўшы флешку. На яго ўсталёўваюць сертыфікаваны сродак крыптаграфічнай абароны інфармацыі (т.зв. крыптаправайдэр) і публічны сертыфікат электроннага подпісу. Яе закрытая частка захоўваецца на флэшцы, які неабходна фізічна далучыць да камп'ютара для падпісання дакументаў у праграмах, якія падтрымліваюць гэтую функцыю. Для працы з ЭДА праз вэб-інтэрфейс спатрэбяцца плагіны для браўзэраў.
Каб крытычную для бізнэсу сістэму не прыйшлося разгортваць на асабістым кампутары працавальнага выдалена адмыслоўца, таксама спатрэбіцца VPS, аднак, варыянт з фізічным токенам тут не мінуе.
Цяжка сказаць, як павядзе сябе крыптаправайдэр у віртуальным асяроддзі, тым больш пры спробе пракінуць порт USB на VPS праз кліент RDP. Застаецца хмарная ЭЛП без фізічнага носьбіта, але далёка не ўсе сэрвісы ЭДА прапануюць такую паслугу. Каштуе яна, дарэчы, каля тысячы рублёў у год, не лічачы абаненцкай платы за сам сэрвіс абмену дакументамі, якая залежыць ад аб'ёмаў.
Добрая навіна ў тым, што практычна ўсе папулярныя расійскія сэрвісы даўно наладзілі ўзаемны роўмінг дакументаў, таму падключацца можна да любога. Ёсць і дрэнная навіна: цалкам адысці ад паперы не атрымаецца, паколькі сярод контрагентаў абавязкова знойдуцца ЭДА, якія не выкарыстоўваюць.
Наладжваем доступ да сэрвісаў з выкарыстаннем сертыфікатаў
Многія сэрвісы дазваляюць праводзіць аўтэнтыфікацыю і аўтарызацыю без лагіна і пароля з выкарыстаннем кліенцкіх сертыфікатаў SSL, якія таксама можна ўсталяваць на VPS, а не кампутар бухгалтара.
Гэтак жа можна наладзіць аўтэнтыфікацыю на карпаратыўных вэб-рэсурсах. Як гэта зрабіць:
- Купіць давераны Certificate Authority, каб з яго дапамогай падпісваць і верыфікаваць кліенцкія SSL-сертыфікаты;
- Стварыць кліенцкія SSL-сертыфікаты, падпісаныя давераным сертыфікатам;
- Наладзіць вэб-серверы, каб яны запытвалі і верыфікавалі кліенцкія SSL-сертыфікаты;
- Усталяваць кліенцкія сертыфікаты карыстальнікам выдаленых працоўных сталоў на VPS.
Тэма разгортвання 1С: Прадпрыемствы для малога бізнэсу на віртуальных серверах шырокая, мы апісалі толькі адзін спосаб, прыдатны для забеспячэння бяспекі бухгалтэрыі.
VPS часам можа саслужыць добрую службу і пазбегнуць усталёўкі крытычных ІТ-рашэнняў і перадачы прыватных корп дадзеных на асабісты кампутар адмыслоўца на выдаленні.
Спадзяемся, што артыкул быў для вас карысным.
Крыніца: habr.com