Як зараз у компаніях ведеться облік? Зазвичай це встановлений на локальному комп'ютері бухгалтера пакет 1С, у якому працює штатний бухгалтер або фахівець на аутсорсі. Аутсорсер може вести одночасно кілька таких компаній-клієнтів, що іноді навіть конкурують.
При такому підході доступи до розрахункових рахунків, засобів крипто-захисту, електронного документообігу та інших важливих послуг налаштовані прямо на комп'ютері бухгалтера.
Що це означає? Що все в руках бухгалтера і якщо він вирішить підставити власника бізнесу, він зробить це на раз-два.
х/ф "RocknRolla" (2008)
У цій статті ми розповімо, як надійно замкнути всі послуги, включаючи 1С в одній хмарі, щоб у вас була можливість відрубати всі послуги однією кнопкою, навіть якщо бухгалтер відлетів на казкове Балі.
Що взагалі може статися? Два реальні кейси
Сисадмін з Уолл Стріт
Дружина нашого співзасновника — досвідчений бухгалтер і минулого місяця до неї звернулася по допомогу велика ресторанна мережа у Москві. Ресторан тримав усі бази даних на своєму сервері, якими управляв постійний сисадмін із команди ресторану.
Прямо в момент роботи бухгалтера сисадмін сходив в онлайн-казино і підчепив вірус, який знищив усю базу даних. На кого повалили всі? Правильно, на бухгалтера, що тільки-но прийшов.
Героїні дуже пощастило, що її чоловік — керуючий партнер хостингу і розуміється на таких речах. Після довгих суперечок по телефону (наш колега вже був готовий виїжджати та самостійно начистити морду адміну) докази було знайдено і винуватця покарано. Але база даних була втрачена, тобто для сісадміну хепі-енду не сталося.
Ноутбук, що застряг у чужій квартирі
Це давня історія інших наших знайомих.
Досвідчена жінка 64 років справно вела бухгалтерію інтернет-магазину китайських гаджетів через 1С. Клієнт та база зберігалися на ноутбуці, який їй видали на роботі. Це було зручно: легко друкувати з офісних принтерів, база маленька та вміщається на нетбук, можна брати із собою на дачу чи додому.
Потім сталася трагедія: у п'ятницю ввечері її забрали з інсультом на швидкій. Нетбук залишився вдома, бо бухгалтер була відповідальною та взяла роботу на вихідні.
Ноутбук, звичайно, визволили, бухгалтер погладшала, але якщо перенести цю ситуацію в поточні дні і замінити інсульт коронавірусом, то операція визволення комп'ютера із закритої квартири набуває зовсім інших масштабів.
Чи можуть дві кішки та лабрадор відчинити вам двері? Якщо навіть сусідка поливає квіти та годує кішок, чи віддасть вона вам комп'ютер?
Але перейдемо до 1С у хмарі – які є варіанти розгортання та роботи у хмарі.
Які взагалі є варіанти роботи з 1С у хмарі?
Варіант 1. Клієнт + корпоративний сервер додатків + база даних
Підійде для великих компаній, де потрібні послуги команди бухгалтерів. Це досить дорогий варіант (потрібно багато додаткових ліцензій), його ми не розглядатимемо, тому що стаття про налаштування роботи бухгалтера для маленької фірми.
Варіант 2. 1С: Фреш
1С: Фреш - це досить зручний спосіб працювати в 1С через браузер. Налаштування ніякої не потрібно: при оренді такої ліцензії компанія франчайзі все налаштують самі, вам видадуть логін і пароль.
Але є два мінуси:
✗ Висока ціна: базовий тариф на один додаток вимагає оплати відразу за 6 місяців мінімум двох робочих місць - 6808 р.
✗ Ви не можете налаштувати сам VPS-сервер, на якому працює відразу багато компаній. Вам видається ключ тільки від вашої кімнати в гуртожитку, за принципом шаред-хостингу.
У фреші також є конфігурація 1С: БізнесСтарт, підписка на яку по акції коштує 400 грн. в місяць. Повноваження зміни значно обмежені, без акції передплата обійдеться в 1000 р., а оплачувати її потрібно мінімум на півроку.
Варіант 3: ваша власна VPS, на який встановлений клієнт 1С та база даних
Цей варіант підійде маленьким компаніям, де працює 1-2 бухгалтери - вони цілком комфортно можуть працювати і без встановлення сервера додатків 1С: Підприємства та сервера SQL.
Головна принадність цього підходу в тому, що орендована VPS може бути повноцінним робочим комп'ютером для бухгалтера з підключенням до RDP.
Коли всі бази, документи та доступи зберігаються на VPS, підконтрольній вам, можна не боятися ні замкнених у квартирі ноутбуків, ні спільної втечі бухгалтера з сисадміном на острови, прихопивши всі документи та гроші з розрахункового рахунку. Ви можете вимкнути доступ однією кнопкою, вилучивши користувача.
Цей метод хороший ще й ось чому:
- Коли бухгалтер працює у 1С-продуктах, 1С генерує багато документів Word, Excel, Acrobat. Коли 1С-клієнт запущено на комп'ютері бухгалтера, всі документи зберігаються на його ноутбуці. Під час роботи на VPS все зберігається на віртуалці.
- Бази 1С та документи взагалі не потрапляють на особистий комп'ютер бухгалтера (при використанні 1С: Фреш документи довелося б завантажувати).
- Можливість включити VPS у корпоративну мережу через VPN та організувати бухгалтеру безпечний доступ до внутрішніх ресурсів (при використанні 1С: Фреш особистий комп'ютер бухгалтера для цього довелося б пустити до захищеної ЛОМ).
- Можна налаштувати безпечну інтеграцію 1С: Підприємства із зовнішніми системами: ЕДО, особисті кабінети банків, державні послуги тощо. У разі використання 1С: Фреш доступ до багатьох критичних сервісів довелося б налаштувати на власному комп'ютері бухгалтера.
Та й ціна, звичайно ж. Оренда віртуальної машини з ліцензією 1С коштуватиме приблизно 1500 р. за місяць, якщо купувати царські тарифи у дорогих хостингів. Це не набагато дорожче мінімального базового пакету послуг 1С: Фреш і суттєво дешевше за інші підписки. Оплачувати можна щомісячно.
Ліцензію можна купити у будь-якого франчайзі, і ціна залежить від конфігу пакета продуктів та послуг, а після закінчення терміну доведеться доплачувати за підтримку через портал 1С: ІТС, щоб були оновлення.
Якщо брати у нас ми для таких цілей пропонуємо віртуалку з встановленим клієнтом 1С: Підприємства (просто пишете нам на підтримку з описом свого завдання). Оренда віртуалки коштує приблизно 800 р. за місяць, а вартість оренди ліцензії 1С на одне робоче місце становитиме ще 700 грн. Підтримку ми надаємо без додаткової оплати, при цьому 1С: Підприємство оновлюють наші спеціалісти, якщо написати на технічну підтримку.
Для бухгалтера все виглядатиме абсолютно також — знайомий робочий стіл, іконки, навіть шпалери можна повісити знайомі. А тепер до справи, як створити та налаштувати таку хмару, доступ до якої можна вимкнути однією кнопкою.
Замовляємо VPS із вбудованим 1С: Підприємством
Для бухгалтера ідеальна OS це Windows. Щодо потужності VPS - на наш досвід, для комфортної роботи одного-двох співробітників з файлсерверною версією 1С: Підприємства вистачить конфігурації з двома обчислювальними ядрами, мінімум 4-5 ГБ оперативної пам'яті і швидким SSD на 50 Гб.
Ми не автоматизуємо сервіси, поки точно не переконаємося, що потрібно клієнтам, тому поки що її підключення поки не автоматизовано і замовляти сервер із 1С потрібно через тикет-систему. Ми всі налаштуємо вам вручну.
Коли ви підключитеся до створеної віртуалки RDP, можна побачити приблизно таку картину.
Переносимо базу даних 1С
Наступний етап — вивантажити базу даних із раніше встановленої на бухгалтерському комп'ютері версії 1С: Підприємства.
Потім її потрібно залити на віртуальний сервер FTP, через будь-яке хмарне сховище або підключивши локальний накопичувач до VPS за допомогою клієнта RDP.
Далі необхідно додати інформаційну базу в клієнтській програмі: показуємо, як це зробити, на скріншотах.
Після успішного додавання бази 1С: Підприємство готове до роботи на власному VPS. Залишається налаштувати віддалені робочі столи для користувачів та інтеграцію з різними зовнішніми системами на кшталт особистих кабінетів банків чи сервісів електронного документообігу.
Налаштовуємо віддалені робочі столи
За промовчанням Windows Server дозволяє не більше двох одночасних сесій RDP для адміністрування системи. Використовувати їх для роботи технічно нескладно (достатньо додати непривілейованого користувача до відповідної групи), але це порушення умов ліцензійної угоди.
Щоб розгорнути повноцінні служби віддаленого робочого столу (Remote Desktop Services або RDS), потрібно додати серверні ролі та компоненти, активувати сервер ліцензування або використовувати зовнішній, а також встановити окремі клієнтські ліцензії (RDS CAL).
Тут ми також можемо допомогти: у нас можна купити RDS CAL, просто написавши . Далі будемо діяти ми: встановимо їх на наш сервер ліцензування і налаштуємо служби віддалених робочих столів.
Але, звичайно, якщо ви хотіли б налаштувати все самостійно, ми не позбавлятимемо вас задоволення.
Після налаштування RDS бухгалтер може почати працювати з 1С: Підприємством на віртуальному сервері, як на локальній машині. Не забудьте встановити на VPS стандартне бухгалтерське ПЗ: офісний пакет, сторонній браузер, Acrobat Reader.
Тепер варто залишилося подбати про підключення клієнта 1С до банківських особистих кабінетів.
Налаштовуємо інтеграцію із банками
У 1С: Підприємств є технологія DirectBank для прямого обміну даними з банками, без встановлення додаткового ПЗ. Вона дозволяє завантажувати виписки та відправляти платіжні документи без вивантаження їх у файли, якщо банк підтримує такий стандарт взаємодії (інакше доведеться по-старому обходитися текстовими файлами у форматі 1С, але нічого страшного — тепер вони зберігаються на віртуалці).
Для початку у бухгалтерській програмі створюється розрахунковий рахунок (якщо він ще не створений), а потім потрібно відкрити його форму в картці організації та вибрати команду «Підключити 1С: ДіректБанк». Налаштування обміну можуть завантажуватись у 1С: Підприємство автоматично або вручну: за докладними інструкціями варто звернутися до сайту банку. У ряді випадків інтеграцію з продуктами 1С необхідно включати окремо в особистому кабінеті.
Для налаштування може знадобитися логін та пароль до особистого кабінету компанії у банку. Найчастіше у своїй використовується двухфакторная аутентифікація (2FA) через SMS.
Інший популярний варіант, захищений апаратний токен, нам не підходить через використання віртуального сервера. Крім того, захищений носій довелося б винести з території компанії та передати працюючому віддалено бухгалтеру, втративши над ним контроль.
Варіант з логіном/паролем та 2FA через SMS також може бути небезпечним, хоча технологія DirectBank дозволяє лише отримувати виписки та надсилати платіжні документи. Щоб здійснити платіж, їх доведеться запевнити ЕЦП, яка зберігається на захищеному фізичному носії клієнта або на стороні банку. У першому випадку проблем немає: якщо зовнішній бухгалтер не матиме доступу до токену, він зможе тільки сформувати документи.
У разі цифрового хмарного підпису, SMS з одноразовим кодом для підтвердження платежу зазвичай відправляється на той же номер телефону, який використовується для аутентифікації в особистому кабінеті. Деякі банки самі вирішили цю проблему, дозволивши клієнтам обмін даними через DirectBank без 2FA. У цьому випадку бухгалтер зможе лише завантажувати виписки та надсилати документи, але доступу до грошей чи навіть до особистого кабінету він не отримає.
Є ще один варіант для поділу рівнів доступу: багато банків дозволяють використовувати обліковий запис на Держпослугах через єдину систему ідентифікації та аутентифікації (). Керівнику достатньо зайти в налаштування свого облікового запису, вибрати вкладку «Організації» та запросити співробітника. Коли той прийме запрошення, у розділі «Доступи до систем» можна буде знайти свій банк (попередньо налаштувавши інтеграцію з ним) та надати користувачеві доступ до особистого кабінету. При цьому немає необхідності передавати йому телефон або токен, який використовується для підписання платіжних документів.
Підключаємось до сервісів ЕДО
Сервіси для обміну електронними документами це зручно, а загальне видалення зробило їх просто необхідними. Клієнт 1С: Підприємства з ними інтегрується, але юридично значущий ЕДО потребує використання кваліфікованого електронного підпису.
Вона може записуватися тільки на флешку або зберігатися у хмарному сервісі, що має відповідні сертифікати вітчизняних регуляторів.
Завантажити електронний підпис на будь-який носій або зберігати його на VPS не можна, тому бухгалтер працює з електронним документообігом з локального комп'ютера, ввімкнувши флешку. На нього встановлюють сертифікований засіб криптографічного захисту інформації (т.зв. криптопровайдер) та публічний сертифікат електронного підпису. Її закрита частина зберігається на флешці, який необхідно фізично приєднати до комп'ютера для підписання документів у програмах, що підтримують цю функцію. Для роботи з ЕДО через веб-інтерфейс знадобляться плагіни для браузерів.
Щоб критичну для бізнесу систему не довелося розгортати на особистому комп'ютері працюючого віддалено фахівця, також стане в нагоді VPS, проте варіант з фізичним токеном тут не пройде.
Важко сказати, як поведеться криптопровайдер у віртуальному середовищі, тим більше при спробі прокинути порт USB на VPS через клієнт RDP. Залишається хмарна ЕЦП без фізичного носія, але не всі сервіси ЕДО пропонують таку послугу. Коштує вона, до речі, близько тисячі рублів на рік, за винятком абонентської плати за сам обслуговування обміну документами, яка залежить від обсягів.
Хороша новина полягає в тому, що практично всі популярні російські сервіси давно налагодили взаємний роумінг документів, тому можна підключатися до будь-якого. Є й погана новина: повністю уникнути паперу не вийде, оскільки серед контрагентів обов'язково знайдуться ті, хто не використовує ЕДО.
Налаштовуємо доступ до сервісів із використанням сертифікатів
Багато сервісів дозволяють проводити аутентифікацію та авторизацію без логіну та пароля з використанням клієнтських сертифікатів SSL, які також можна встановити на VPS, а не комп'ютер бухгалтера.
Так само можна налаштувати аутентифікацію на корпоративних веб-ресурсах. Як це зробити:
- Купити довірений Certificate Authority, щоб за його допомогою підписувати та верифікувати клієнтські SSL-сертифікати;
- Створити клієнтські SSL сертифікати, підписані довіреним сертифікатом;
- Налаштувати веб-сервери, щоб вони запитували та верифікували клієнтські SSL-сертифікати;
- Встановити клієнтські сертифікати користувачам віддалених робочих столів на VPS.
Тема розгортання 1С: Підприємства для малого бізнесу на віртуальних серверах широка, ми описали лише один спосіб, який підходить для забезпечення безпеки бухгалтерії.
VPS іноді може послужити хорошу службу та уникнути встановлення критичних ІТ-рішень та передачі приватних корп даних на особистий комп'ютер фахівця на віддаленні.
Сподіваємося, що стаття була для вас корисною.
Джерело: habr.com