Wir erzählen Ihnen, wie wir im Rechenzentrum ein elektronisches Besuchsregistrierungssystem mit biometrischen Technologien implementiert haben: Warum es notwendig war, warum wir erneut eine eigene Lösung entwickelt haben und welche Vorteile wir daraus gezogen haben.
Ein- und Ausgang
Der Besucherzugang zu einem kommerziellen Rechenzentrum ist ein wichtiger Aspekt bei der Organisation des Betriebs einer Einrichtung. Die Sicherheitsrichtlinie für Rechenzentren erfordert eine genaue Aufzeichnung von Besuchen und die Verfolgung der Dynamik.
Vor einigen Jahren haben wir bei Linxdatacenter beschlossen, alle Besuchsstatistiken in unserem Rechenzentrum in St. Petersburg vollständig zu digitalisieren. Wir haben die traditionelle Zugangsregistrierung aufgegeben – nämlich das Ausfüllen eines Besuchsprotokolls, die Führung eines Papierarchivs und die Vorlage von Dokumenten bei jedem Besuch.
Innerhalb von 4 Monaten entwickelten unsere technischen Spezialisten ein elektronisches Besuchsregistrierungssystem in Kombination mit biometrischen Zugangskontrolltechnologien. Die Hauptaufgabe bestand darin, ein modernes Tool zu schaffen, das unseren Sicherheitsanforderungen entspricht und gleichzeitig für Besucher komfortabel ist.
Das System sorgte für vollständige Transparenz der Besuche im Rechenzentrum. Wer, wann und wo auf das Rechenzentrum, einschließlich der Server-Racks, zugegriffen hat – all diese Informationen waren auf Anfrage sofort verfügbar. Besuchsstatistiken können mit wenigen Klicks aus dem System heruntergeladen werden – Berichte für Kunden und Auditoren von Zertifizierungsorganisationen sind jetzt viel einfacher zu erstellen.
Der Startpunkt
Im ersten Schritt wurde eine Lösung entwickelt, die es ermöglicht, beim Betreten des Rechenzentrums alle notwendigen Daten auf einem Tablet einzugeben.
Die Autorisierung erfolgt durch Eingabe der persönlichen Daten des Besuchers. Anschließend tauschte das Tablet über einen speziellen sicheren Kommunikationskanal Daten mit dem Computer am Sicherheitsposten aus. Danach wurde ein Pass ausgestellt.
Das System berücksichtigte hauptsächlich zwei Arten von Anträgen: einen Antrag auf vorübergehenden Zugang (einmaliger Besuch) und einen Antrag auf dauerhaften Zugang. Die organisatorischen Abläufe für diese Art von Anfragen an das Rechenzentrum unterscheiden sich deutlich:
- Im Antrag auf vorübergehenden Zutritt sind Name und Firma des Besuchers sowie eine Kontaktperson angegeben, die ihn während des gesamten Besuchs im Rechenzentrum begleiten muss.
- Der ständige Zugang ermöglicht es dem Besucher, sich selbstständig im Rechenzentrum zu bewegen (dies ist beispielsweise wichtig für Kundenspezialisten, die regelmäßig zur Arbeit mit Geräten im Rechenzentrum kommen). Für diese Zugriffsebene muss sich eine Person einer Einführungsunterweisung zum Arbeitsschutz unterziehen und mit Linxdatacenter eine Vereinbarung über die Übermittlung persönlicher und biometrischer Daten (Fingerabdruckscan, Foto) unterzeichnen sowie das gesamte erforderliche Dokumentenpaket zu den Regeln erhalten Arbeiten im Rechenzentrum per E-Mail.
Bei der Anmeldung zum Dauerzugang entfällt das erneute Ausfüllen eines Antrags und die Bestätigung Ihrer Identität mit Dokumenten vollständig; Sie müssen lediglich Ihren Finger zur Autorisierung am Eingang auflegen.
Ändern Sie!
Die Plattform, auf der wir die erste Version des Systems bereitgestellt haben, ist der Jotform-Konstruktor. Die Lösung dient der Erstellung von Umfragen, wir haben sie eigenständig für ein Registrierungssystem modifiziert.
Allerdings zeigten sich im Laufe der Zeit im laufenden Betrieb einige Engpässe und Ansatzpunkte für eine Weiterentwicklung der Lösung.
Die erste Schwierigkeit besteht darin, dass JotForm für das Tablet-Format noch nicht „fertig“ war und die Formulare, die nach dem erneuten Laden der Seite auszufüllen waren, oft in der Größe „schwebten“, über den Bildschirm hinausgingen oder umgekehrt zusammengeklappt waren. Dies führte zu großen Unannehmlichkeiten bei der Registrierung.
Es gab auch keine mobile Anwendung; wir mussten die Systemschnittstelle auf einem Tablet im „Kiosk“-Format bereitstellen. Diese Einschränkung spielte uns jedoch in die Hände – im „Kiosk“-Modus kann die Anwendung auf einem Tablet ohne Zugriff auf Administratorebene nicht minimiert oder geschlossen werden, sodass wir ein normales Benutzer-Tablet als Registrierungsterminal für den Zugriff auf das Rechenzentrum verwenden konnten.
Während des Testprozesses tauchten mehrere Fehler auf. Zahlreiche Plattformaktualisierungen führten zu Einfrierungen und Abstürzen der Lösung. Dies geschah besonders häufig, wenn Updates die Module abdeckten, auf denen die Funktionalität unseres Registrierungsmechanismus bereitgestellt wurde. Beispielsweise wurden von Besuchern ausgefüllte Fragebögen nicht an die Sicherheitsstelle gesendet, gingen verloren usw.
Der reibungslose Betrieb des Registrierungssystems ist äußerst wichtig, da sowohl Mitarbeiter als auch Kunden den Service täglich nutzen. Und in Zeiten des „Einfrierens“ musste der gesamte Prozess auf 100 % Papierformat zurückgeführt werden, was ein inakzeptabler Archaismus war, zu Fehlern führte und im Allgemeinen wie ein großer Rückschritt wirkte.
Irgendwann veröffentlichte Jotform eine mobile Version, aber dieses Upgrade löste nicht alle unsere Probleme. So mussten wir einige Formulare mit anderen „kreuzen“, beispielsweise für Schulungsaufgaben und Einführungsunterricht nach dem Testprinzip.
Auch bei der kostenpflichtigen Version war für alle unsere Zulassungsaufgaben zusätzlich eine erweiterte Pro-Lizenz erforderlich. Das endgültige Preis-Leistungs-Verhältnis erwies sich als alles andere als optimal – wir erhielten teure redundante Funktionen, die noch erhebliche Verbesserungen unsererseits erforderten.
Version 2.0 oder „Do it yourself“
Nach der Analyse der Situation kamen wir zu dem Schluss, dass die einfachste und zuverlässigste Lösung darin besteht, eine eigene Lösung zu erstellen und den funktionalen Teil des Systems auf eine virtuelle Maschine in unserer eigenen Cloud zu übertragen.
Wir selbst haben die Software für Formulare in React geschrieben, alles mit Kubernetes in der Produktion in unseren eigenen Einrichtungen bereitgestellt und am Ende unser eigenes System zur Registrierung des Zugriffs auf das Rechenzentrum entwickelt, unabhängig von Drittentwicklern.
In der neuen Version haben wir das Formular zur komfortablen Registrierung von Dauerausweisen verbessert. Beim Ausfüllen eines Formulars für den Zugang zum Rechenzentrum kann der Kunde zu einer anderen Anwendung wechseln, sich einer Expressschulung zu den Regeln für den Aufenthalt im Rechenzentrum und zum Testen unterziehen und dann zum „Umkreis“ des Formulars auf dem Tablet zurückkehren und vollständige Registrierung. Darüber hinaus bemerkt der Besucher selbst diese Bewegung zwischen den Anwendungen nicht!
Die Umsetzung des Projekts erfolgte recht schnell: Die Erstellung eines Grundformulars für den Zugang zum Rechenzentrum und dessen Bereitstellung in einer Produktivumgebung dauerte nur einen Monat. Vom Moment der Veröffentlichung bis heute haben wir keinen einzigen Fehler registriert, geschweige denn einen „Absturz“ des Systems, und wurden vor kleineren Problemen bewahrt, wie zum Beispiel, dass die Benutzeroberfläche nicht zur Bildschirmgröße passte.
Drücken und fertig
Innerhalb eines Monats nach der Bereitstellung haben wir alle Formulare, die wir für unsere Arbeit benötigten, auf unsere eigene Plattform übertragen:
- Zugang zum Rechenzentrum,
- Bewerbung um einen Arbeitsplatz,
- Einführungsschulung.
So sieht das Formular für eine Bewerbung für die Arbeit in einem Rechenzentrum aus.
Das System wird in unserer Cloud in St. Petersburg bereitgestellt. Wir haben die volle Kontrolle über den Betrieb der VM, alle IT-Ressourcen sind reserviert und das gibt uns die Gewissheit, dass das System in keinem Szenario ausfällt oder Daten verliert.
Die Software für das System wird in einem Docker-Container im eigenen Repository des Rechenzentrums bereitgestellt – dies vereinfacht die Einrichtung des Systems beim Hinzufügen neuer Funktionen, Bearbeiten bestehender Features erheblich und erleichtert in Zukunft auch Aktualisierungen, Skalierungen usw.
Das System benötigt ein Minimum an IT-Ressourcen vom Rechenzentrum und erfüllt gleichzeitig unsere Anforderungen an Funktionalität und Zuverlässigkeit voll und ganz.
Was jetzt und was kommt als nächstes?
Generell bleibt das Zulassungsverfahren gleich: Ein elektronisches Antragsformular wird ausgefüllt, dann „fliegen“ die Daten der Besucher zum Sicherheitsposten (vollständiger Name, Firma, Position, Zweck des Besuchs, Begleitperson im Rechenzentrum, etc.) werden die Listen geprüft und über die Zulassung entschieden
Was kann das System sonst noch? Eventuelle Analyseaufgaben aus historischer Sicht sowie Monitoring. Einige Kunden fordern Berichte zur internen Personalüberwachung an. Mit diesem System erfassen wir Zeiten mit maximaler Anwesenheit und können so die Arbeit im Rechenzentrum effektiver planen.
Zukünftig ist geplant, alle vorhandenen Checklisten in das System zu übertragen – beispielsweise den Prozess der Vorbereitung eines neuen Racks. In einem Rechenzentrum gibt es eine geregelte Abfolge von Schritten, um ein Rack für einen Kunden vorzubereiten. Es beschreibt detailliert, was genau und in welcher Reihenfolge vor dem Start erledigt werden muss – Anforderungen an die Stromversorgung, wie viele Fernbedienfelder und Patchfelder zum Schalten installiert werden müssen, welche Stecker entfernt werden müssen, ob Zutrittskontrollsysteme, Videoüberwachung usw. installiert werden sollen . All dies wird jetzt im Rahmen des Papierdokumentenflusses und teilweise auf einer elektronischen Plattform umgesetzt, aber die Prozesse des Unternehmens sind bereits reif für die vollständige Migration der Unterstützung und Steuerung solcher Aufgaben in ein digitales Format und eine Webschnittstelle.
Unsere Lösung wird sich in diese Richtung weiterentwickeln und neue Backoffice-Prozesse und -Aufgaben abdecken.
Source: habr.com