Как повысить доступность сервиса 2FA-аутентификации для 1 000 000 пользователей: МУЛЬТИФАКТОР
Рассказываем, как компания развернула ИБ-сервисы в облаке и поддерживает их доступность на уровне 99,99%.
Задачи:
- Гарантировать доступность и отказоустойчивость сервиса.
- Обеспечить высокую производительность.
- Поддерживать безопасность инфраструктуры.
- Соответствовать требованиям государственных заказчиков.
Продукты и услуги Selectel:
О компании
Компания МУЛЬТИФАКТОР разрабатывает ИБ- и ИТ-продукты для безопасной и стабильной работы бизнеса. В ее портфель входят такие решения, как:
- MULTIFACTOR — система двухфакторной аутентификации и контроля доступа для всех видов удаленного подключения;
- MULTIDIRECTORY — служба каталогов с ядром собственной разработки для бесшовного перехода с Microsoft Active Directory;
- MULTIPUSHED — готовый инструмент для отправки push-сообщений на любые устройства и ОС;
- MULTISTATUS — геораспределенный облачный сервис мониторинга веб‑ресурсов компании.
Ежемесячная аудитория сервиса 2FA-аутентификации MULTIFACTOR превышает более 1 000 000 пользователей из таких компаний, как Positive Technologies, Вкусно и Точка, РЖД, Ростелеком, DNS, HeadHunter, Сколково и другие.
Вызовы и решения
Гарантировать доступность и отказоустойчивость сервиса
Каждый день более 300 000 человек используют сервис MULTIFACTOR для 2FA-аутентификации. Чтобы успешно подключаться к учетным системам, коды должны приходить быстро и вовремя. Для этого компании важна доступность сервиса и высокая скорость отклика.
Организовали резервирование между несколькими дата-центрами
Компании важна отказоустойчивость IT-инфраструктуры, поэтому все сервисы зарезервированы в трех дата-центрах и связаны с помощью Direct Connect. Система построена по схеме Active-Active — это значит, что серверы во всех дата-центрах обрабатывают запросы одновременно. Таким образом, при выходе из строя одного из узлов трафик распределяется между остальными.
Также компания арендует волоконно-оптические линии связи, чтобы обеспечивать высокую скорость передачи данных между несколькими дата-центрами. Основные мощности находятся в Санкт-Петербурге и Москве, при этом общее время ответа сервиса MULTIFACTOR не превышает 30 миллисекунд.
Таким образом, геораспределенная архитектура и резервирование IT-инфраструктуры позволяет поддерживать доступность сервиса на уровне 99,99%.
Обеспечить высокую производительность
Основной период пользовательской активности сервиса MULTIFACTOR наблюдается с 9 до 10 утра. Именно в это время пользователи начинают массово запрашивать коды доступа к учетным системам, из-за чего сервис обрабатывает сотни одновременных аутентификаций по всей России. Чтобы гарантировать стабильную работу сервиса даже в пиковые нагрузки, нужны производительные вычислительные ресурсы.
Развернули виртуальные машины под конкретные задачи
Компания развернула сервис MULTIFACTOR на более 100 облачных серверах, каждый из которых выполняет определенную задачу. Например, IT-команда использует отдельные виртуальные машины для Kubernetes, баз данных, хранения бэкапов, работы с 1С, обработки логов и мониторинга. Такое разделение позволяет оптимизировать ресурсы и повысить производительность системы.
Промышленный контур решения развернут с использованием Kubernetes. IT-команде МУЛЬТИФАКТОР важен полный контроль и доступ ко всем уровням кластера, поэтому она администрирует Kubernetes самостоятельно. При этом кластеры распределены между несколькими дата-центрами — их разграничивают через Ansible-роли.
Основная СУБД MongoDB развернута на нескольких виртуальных машинах — не менее трех на дата-центр — по схеме Master+Master, что обеспечивает высокий уровень отказоустойчивости. Для высокой производительности баз данных к серверам подключены быстрые диски — 25 000 IOPS на чтение и 15 000 IOPS на запись.
В геораспределенном регионе ru-6 можно арендовать диски с производительностью до 75 000 IOPS. Подробнее об отказоустойчивом облаке — на странице.
Дополнительно компания арендует несколько выделенных серверов фиксированной конфигурации для хранения логов.
Поддерживать безопасность инфраструктуры
Для МУЛЬТИФАКТОР критически важно обеспечивать высокий уровень безопасности IT-инфраструктуры. Сервисы должны быть защищены от любых видов атак и несанкционированного доступа, чтобы гарантировать безопасность данных и непрерывность работы. Также важно соответствие сервиса законодательным и регуляторным требованиям.
Настроили дополнительные средства защиты
Для защиты от DDoS-атак команда компании МУЛЬТИФАКТОР использует NGENIX, который также играет роль балансировщика запросов между тремя дата-центрами.
Selectel предлагает встроенные инструменты безопасности, включая сервис управления доступом (IAM) и аудит-логи. С их помощью IT-команда разделяет IT-инфраструктуру на проекты, управляет ролями и уровнями доступа, а также отслеживает изменения в системе.
Мы регулярно проводим аудиты IT-инфраструктуры и ИБ-сервисов на соответствие требованиям безопасности. Например, сертификация по PCI DSS, пентесты, различные виды ASS-сканирований, проверку безопасности сети и офисных систем. Эти меры позволяют нам обеспечивать высокий уровень защиты данных и предотвращать появление потенциальных угроз.
Сервисы Selectel соответствуют требованиям 152-ФЗ — это значит, что компания может безопасно хранить и обрабатывать персональные данные своих клиентов. Кроме того, провайдер имеет сертификат PCI DSS, который позволяет обрабатывать финансовую информацию и соответствовать международным стандартам безопасности в сфере платежных систем.
Соответствовать требованиям государственных заказчиков
Государственные заказчики предъявляют повышенные требования к безопасности данных и информационных систем. Для того чтобы сотрудничать с ними, компании необходимо пройти сертификацию ФСТЭК. Это обязательное условие для участия в тендерах и заключения контрактов, которые связаны с обработкой чувствительной информации.
Подключили облачный сегмент, аттестованный по требованиям ФСТЭК
Сервисы компании МУЛЬТФАКТОР могут быть развернуты как в контуре заказчика, так и в формате SaaS. Во втором случае для государственных заказчиков компания предоставляет сегмент сервиса, который развернут на аттестованной облачной инфраструктуре.
Решение подходит для размещения государственных информационных систем до первого класса (К1) защищенности включительно в соответствии с 17 приказом ФСТЭК.
Для безопасного сетевого соединения ГИС-облака с инфраструктурой заказчиков используется сертифицированный межсетевой экран UserGate.
Таким образом, аттестованная облачная инфраструктура упрощает работу с государственными заказчиками, сокращая time-to-market внедрений.
Результаты
-
>1 000 000
общее количество пользователей сервисов компании
-
<30 мс
не превышает время ответа сервиса MULTIFACTOR
-
99,99%
уровень доступности сервисов
Нам важно, чтобы такие базовые вещи, как доступность, отказоустойчивость, производительность были на высоком уровне, поэтому мы выбираем Selectel. Показательно, что за последний год у Selectel не было инцидентов, которые как-либо повлияли на наш продукт. Если говорить про планы развития, мы делаем большую ставку на работу с государственными заказчиками, и тут нам помогает аттестованное облако.
