|
|
IP VPN в финансовом секторе: зарубежный опыт и российская практикаРоссийские банки и страховые компании продолжают активно пользоваться услугами виртуальных частных сетей на базе интернет-протокола. Тем временем в мире набирает популярность мобильного варианта таких сетей. Существуют два основных способа объединения территориально распределенных офисов — прокладка собственных физических линий или использование каналов провайдера. В подавляющем большинстве случаев банки и страховые компании выбирают второй путь, так как он значительно дешевле. При этом возникает задача защиты данных, которая чаще всего решается при помощи технологий виртуальных частных сетей (VPN). Есть три основных варианта использования VPN в финансовом секторе: организация взаимодействия между удаленными офисами, подключение удаленных клиентов и подключение банкоматов. VPN позволяет объединить филиалы и региональные офисы предприятия в единую защищенную частную корпоративную сеть с полным спектром телекоммуникационных услуг и гарантированно высокой степенью надежности. Эта технология широко используется на рынке как эффективный инструмент для создания единого информационного пространства с набором услуг: передача данных различных типов с гарантированными параметрами качества; корпоративная телефонная связь с филиалами с поддержкой единого плана внутренней нумерации; видеоконференцсвязь для проведения дистанционных совещаний между распределенными офисами; доступ к интернет; организация системы защищенного электронного документооборота, работы с конфиденциальной информацией и пр. Кроме того, VPN обеспечивают полноценную работу офисных программ и приложений, включая системы бухгалтерского учета, ERP, CRM, автоматизированные системы сбора данных и контроля всех бизнес-процессов компании; удаленный защищенный доступ сотрудников к корпоративной информации и пр. VPN строится исключительно на сетевой инфраструктуре операторов, а пользователю виртуальной сети может принадлежать только инфраструктура «последней мили». В финансовом секторе для организации VPN не рекомендуется использовать интернет в качестве среды передачи — ввиду негарантированного качества обслуживания. Технологией де-факто для серьезных заказчиков стала многопротокольная коммутация по меткам (MultiProtocol Label Switching, MPLS), которая позволяет реализовать соединения сетевого уровня за счет коммутации пакетов данных в «ядре» магистральной сети. Другая технология — VLAN — гораздо менее популярна. Она имеет существенное ограничение по масштабируемости и может быть оправдана в случае подключения 3-10 офисов в пределах одного города. Если подразделений больше, и они находятся в разных городах, то затраты будут существенно выше, чем в случае IP-VPN (MPLS). Магистральные операторы предлагают В России услуги IP VPN предоставляют практически все крупные операторы фиксированной связи, которые владеют современными магистральными сетями, построенными на базе технологии MPLS — «ТрансТелеКом» (ТТК), «РТКомм», «Голден Телеком», «Комстар-ОТС», «Комкор», Orange Business Services (бывшая «Эквант») и др. В последнее время к ним добавились традиционные операторы, включая «Ростелеком», который с июня 2006 года реализует проект по расширению корпоративной сети «Альфа-Банка». В 2006 г. на базе MPLS-сети «Ростелекома» было подключено 12 офисов банка в различных городах России по каналам 2 Мбит/с. Другие МРК «Связьинвеста» также активно осваивают этот рынок. Так, по состоянию на 1 октября 2006 года владимирский филиал «ЦентрТелекома» создал 18 сетей VPN для коммерческих и государственных структур области. В 2006 году защищенные корпоративные сети были построены, в частности, для Управления федерального казначейства по Владимирской области, Владимирского областного фонда обязательного медицинского страхования, Владбизнесбанка, филиала «Росгосстрах-Центра», Владимирского филиала АКБ «Московский индустриальный банк» и др. Лидирует на российском рынке IP VPN магистральный оператор «ТрансТелеКом», занимая, по собственным оценкам, 41% (35% — в 2005 г.) рынка. Годовой объем трафика по услуге IP VPN вырос у компании в 2006 году более чем в два раза, до 244 844 Гб. Одно из последних новшеств — подключение банкоматов по беспроводным сетям. Так, в настоящее время «Кавказ-ТрансТелеКом» предлагает клиентам новый способ подключения банкоматов по технологии VPN GPRS, что позволяет существенно повысить оперативность обслуживания. «РТКомм» предлагает строить виртуальные частные сети на основе технологии MPLS (VPN 3-го уровня). Услуга IP VPN (Layer 3 VPN) состоит в предоставлении защищенной общей магистрали (backbone) для организации взаимодействия между узлами клиента по протоколу TCP/IP с соблюдением параметров качества и правил, определенных соглашением об уровне обслуживания. Скорости портов — от 2 Мбит/с до 155 Мбит/с. «Комкор» предлагает организацию корпоративной сети (VPN) на база технологий DWDM, 10 GbE, IP/MPLS, PON. Средства управления параметрами качества и классами обслуживания (QoS, CoS) обеспечивают интегрированную передачу данных, голоса и видео на скоростях до 1000 Мбит/с. Выходит на рынок IP VPN оператор «Старт Телеком». К июню 2006 года он завершил первый этап строительства своей IP/MPLS-сети. Пытаются продвигать услугу IP VPN и операторы беспроводной связи ArtCommunications, Synterra, «Энфорта» и др. Правда, доля пользователей такого рода сервиса пока невелика. Так, у Synterra по итогам 6 месяцев с начала эксплуатации WiMAX-сети услугой IP VPN воспользовалось всего 5% абонентов. Основные проекты по внедрению IP VPN в финансовом секторе, 2006-2007
Постепенно «входят во вкус» региональные заказчики из финансового сектора. Если раньше глобальная Сеть воспринималась такими клиентами исключительно как способ получения электронной почты и поиска нужной информации, то сейчас каналы передачи данных все больше используются для работы с удаленными офисами, в том числе расположенными в других городах, для голосового и видеообщения, а также для передачи технологической информации. Другая тенденция — рост требований к скорости передачи данных. Этот тренд будет усиливаться за счет объединения баз данных предприятий, участвующих в общей технологической цепочке (банк — страховая компания — автосалон — страховая компания — налоговая инспекция и пр.). Кроме того, к расширению и модернизации своих корпоративных сетей финансовые институты будут стимулировать резкое увеличение спектра предлагаемых продуктов и услуг, рост числа обслуживаемых клиентов, а также количества филиалов и дополнительных офисов в регионах, что приводит к существенному росту информационных потоков. Так, карточные зарплатные проекты банка «Кольцо Урала» потребовали организовать сеть банкоматов, наладить самостоятельный выпуск пластиковых карт, создать собственный процессинговый центр. Поэтому параллельно c внедрением бизнес-приложений и созданием вычислительных ресурсов в течение 2005-2006 годов в банке реализовывался проект построения сети передачи данных, адекватной новым задачам и рассчитанной на рост в перспективе. Сеть передачи данных спроектирована по стандартному модульному принципу на базе оборудования Cisco Systems и разделена на два сегмента: локальный и внешний. Локальный, в свою очередь разделенный на три зоны, позволяет осуществлять маршрутизацию трафика между виртуальными частными сетями и регулировать его движение с помощью списков доступа, подключать пользователей и серверы организации, а также управлять сетевой безопасностью. Кроме того, каждый коммутатор зон пользовательского доступа и серверов по гигабитному каналу подключается к зоне ядра, что повышает надежность и увеличивает пропускную способность. Внешний сегмент включает в себя зоны виртуальных частных сетей (VPN), доступа в интернет, электронной коммерции (процессинговый центр) и демилитаризованную зону, в которой расположены публичные сервисы банка. Это позволяет обеспечить адаптивную безопасность, подключать локальные сети филиалов к инфраструктуре банка, проводить шифрование и фильтрацию трафика, осуществлять доступ пользователей филиалов в интернет через центральный офис, поддерживать доступ к публичным сервисам банка. Система обеспечения адаптивной безопасности организована на базе Cisco ASA серии 5500 в режиме резервирования. Это многофункциональное устройство включает систему предотвращения вторжений, высокопроизводительный межсетевой экран и VPN-шлюз и является основным элементом защиты сети передачи данных. Банк также использует телефонное решение Avaya (Media Server 8500S с шлюзом G650), имеет более двухсот IP-телефонов. В филиалах установлены шлюзы G250, G350 и IP Office; для всех подразделений банка организован единый нумерационный план; связь между филиалами ведётся по внутренней IP-сети, что позволяет значительно экономить на междугородных разговорах. Часть населенных пунктов, где размещены банкоматы банка, не имеют наземных каналов связи, поэтому приходится использовать беспроводные, в том числе спутниковые каналы (они также используются как резервные и в других целях). Для защиты сетей широко используются решения западных поставщиков. Например, в апреле 2007 года «Бинбанк» объявил о реализации проекта по защите собственной филиальной структуры с помощью продуктов Check Point. В частности, в центральном офисе банка установлен кластер из Check Point VPN-1 Power, через который филиалы и подключаются в корпоративную сеть банка. В региональных филиалах банка устанавливаются устройства VPN-1 UTM, а в московских дополнительных офисах — VPN-1 UTM Edge. Для соединения между различными отделениями банка используется MPLS-сеть от двух различных провайдеров, с которыми заключены SLA-соглашения. Банк имеет резервные каналы связи по спутнику или через интернет. Сколько стоит VPN По разным оценкам, в 2006 году российский рынок услуги IP VPN составил $70-$90 млн против $60-$65 млн в 2005 году. Средняя продолжительность проекта по строительству корпоративной сети на уровне одного или нескольких регионов — от двух недель до нескольких месяцев. По самым приблизительным подсчетам, сеть уровня региона на 16 узлов обходится в сумму порядка $150–200 тысяч, в зависимости от сложности узла. Самая дорогая часть корпоративной сети передачи данных — центральный узел. В среднем стоимость строительства одного VPN-узла на 50–100 пользователей в распределенной сети может варьироваться в пределах от $2 тыс. до $5 тыс. в зависимости от сложности подключения к сети магистрального оператора. В столице ежемесячная абонентская плата за пользование услугой IP-VPN на скорости 10 Мбит/c составляет около $1000, отдельно оплачивается организация канала (подключение). У «ТрансТелеКома» абонентская плата за порт (до 2 Мб) составляет около $200. «ВолгаТелеком» при формировании услуг VPN включает стоимость на организацию виртуального канала (от 1000 до 3000 руб.) и абонентскую плату в месяц, в зависимости от пропускной способности канала (от 900 до 40 000 руб.). За предоставление порта доступа к сети передачи данных оператора «Дальсвязь» по технологии ADSL по существующей абонентской линии с учетом цены абонентского устройства (модема) требуется заплатить 1520 руб. (здесь и далее — цены без НДС) или 470 руб. (без учета стоимости модема). По вновь организованной абонентской линии (с учетом стоимости модема), предоставления доступа к телефонной сети — 10 642 руб. Примерно в 2 раза дороже обойдется подключение по технологиям ShDSL, ReachDSL. Ежемесячная абонентская плата за точку подключения IP VPN составляет от 1250 руб (канал до 64 кбит/с) до 7400 руб (2 Мбит/c). При этом в зависимости от профиля обслуживания и тарифной зоны, действуют повышающие коэффициенты — до 1,8 в первом и до 13 — во втором случае. Входящий трафик оплачивается отдельно. Каждый мегабайт стоит от 1,65 до 1,99 руб. в зависимости от объема потребления трафика; внутренний трафик тарифицируется по ставке 0,85 руб./Мб. В мире растет спрос на мобильную VPN Услуга IP VPN в развитых странах популярна достаточно давно. Четыре года назад гонконгский финансовый холдинг Dah Sing Financial Holdings (DSFH) построил сеть Metro Ethernet, объединившую 43 филиала своего Dah Sing Bank и подразделения MEVAS Bank. Это была первая в стране высокоскоростная сеть в банковском секторе, ориентированная на эффективное внедрение систем CRM и, в том числе, услуги IP VPN. В апреле 2003 года она пришла на смену существующей сети Frame Relay. Успешная реализация проекта, который позволил в дальнейшем значительно сократить операционные расходы на поддержку сети, вызвал значительный интерес и у других банков. Equant со своим партнером Jordan Data Communications (JDC) в сентябре 2004 года подписал трехлетний контракт на сумму $7 млн на построение сети IP VPN с Amman, расположенной в Иордане банковской группой Arab Bank Group. Сеть объединила 19 международных подразделений группы, которые насчитывают более чем 400 филиалов и офисов на пяти континентам мира. В ноябре 2005 года была завершена модернизация телекоммуникационной инфраструктуры банка Raiffeisen International, который имеет 916 подразделений в Центральной и Восточной Европе. Ранее сеть банка была построена на базе комбинации проводных и спутниковых технологий и обслуживалась множеством сервис-провайдеров. Она не обеспечивала нужной производительности и требовала высоких расходов на содержание. Новая сеть IP VPN построена на базе MPLS-сети оператора Equant. Среди более поздних крупных проектов — внедрение в прошлом году международным банком Banco Santander International конвергентных решений IP VPN и IP video от Global Crossing. Они позволяют финансовому гиганту передавать голос и данные, а также организовывать сеансы видеоконференцсвязи между Майями и Нью-Йорком, между Уругваем и Испанией. Global Crossing отмечает взрывной рост интереса к конвергентным IP-услугам как в мире в целом, так и в Латинской Америке. Число заказчиков компании, выбравших такие решения, в 2005 году более чем утроилось, а трафик IP VPN вырос более чем на 300%. Интересный проект создания мобильной IP VPN реализован в американском Guaranty Bank, который имеет около 200 офисов. Персонал банка по мобильным продажам использует защищенный мобильный интернет-доступ в корпоративную сеть банка на основе решения Ecutel Viatories Mobile IP VPN. Его основной особенностью является поддержка автоматического роуминга между различными технологиями беспроводной связи, так что пользователи не беспокоятся по поводу настроек и избавлены от необходимости перезагружать свои мобильные устройства. В перспективе можно ожидать, что мобильные виртуальные частные сети будут востребованы и в российском финансовом секторе. Пока же беспроводные сети используются главным образом для подключения банкоматов или для создания резервных каналов. Виталий Солонин / CNews Analytics |