![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Продовжуємо розбирати шаблони рівнів архітектури ІТ-систем. Це доповнення до опису архітектури за посиланнями:
• Приклад опису архітектури системи згідно TOGAF
• Побудова віртуальної інфраструктури на базі Microsoft Azure
✅ Опис інформаційної архітектури компанії
🖼️ Згідно з наданою схемою (RDS, Files, IIS Web Front/Back, AD DC1/DC2, VPN)
🧾 Інформаційна архітектура ІТ-системи компанії
🔹 1. Методологія
- TOGAF 9.2, ADM, фаза C (Data Architecture): побудова інформаційного рівня архітектури.
- ISO/IEC/IEEE 42010:2011: опис архітектури через зацікавлені сторони, погляди (views), моделі та відповідності.
🔹 2. Архітектурний контекст
- Усі серверні ресурси компанії розміщені в тенанті Azure.
- Користувачі підключаються до корпоративної мережі через захищені канали (VPN або Azure Bastion).
- Робоче середовище реалізоване через RDS-сервер (DevSRV).
- Веб-додатки розділені на фронт- (IIS Web Front) та бекенд (IIS Web Back).
- Ідентифікація та авторизація забезпечуються двома доменними контролерами (AD DC1, DC2).
🔹 3. Архітектурні погляди (Views)
3.1 📡 Deployment View
- DevSRV – RDS сервер для користувачів.
- Files – файловий сервер зі спільними каталогами.
- IIS Web Srv Front / Back – розподілення логіки веб-додатку.
- AD DC1 / DC2 – розподілена автентифікація, DNS, GPO.
- Всі ресурси ізольовані через NSG, Firewall, розміщені у VNet з Subnet-сегментацією.
- Користувачі підключаються через захищений шлюз (VPN/Bastion).
3.2 🧩 Data Architecture View
| Сутність даних | Опис |
|---|---|
| User Profile | Профілі користувачів, зберігаються в AD та RDS |
| File Object | Файли користувача на файловому сервері |
| DNS-записи | Зони та записи, керуються AD DC1/DC2 |
| Web Session | Дані сесій на IIS Front |
| GPO Configuration | Групові політики, що застосовуються через AD |
| RDP Logs | Логи входів і дій у RDS |
3.3 🔐 Access & Security View
- RBAC на основі груп у AD.
- GPO-політики: заборона USB, блокування локального диска, перенаправлення папок.
- Шифрування: RDP over TLS, SMB over TLS.
- Аудит: централізоване логування входів, дій на RDS.
- Двофакторна автентифікація (MFA) через Azure AD / Conditional Access.
- Firewall + NSG: розмежування Frontend, Backend, Infra.
3.4 🔄 Information Flow View
| Звідки → Куди | Протокол | Захист |
|---|---|---|
| Користувач → RDS | RDP over TLS | VPN / MFA / GPO |
| RDS → Files | SMB 3.0 | ACL + GPO + TLS |
| RDS → AD | LDAP/Kerberos | Шифрування, автентифікація |
| RDS → IIS Front/Back | HTTP/HTTPS | ACL, WAF, сегментація |
| RDS → DNS | DNS | ACL-захист зони |
🔹 4. Зацікавлені сторони (Stakeholders)
| Сторона | Інтерес |
|---|---|
| Користувачі | Стабільний і безпечний доступ до робочого середовища |
| Системні адміністратори | Централізоване управління політиками та файлами |
| Відділ ІБ | Впровадження GPO, аудит, захист інформації |
| Бізнес | Доступність сервісів, віддалена робота |
🔹 5. Цільова модель та вдосконалення
| Компонент | Поточна реалізація | Рекомендоване покращення |
|---|---|---|
| RDS | DevSRV на VM | Перехід до RDS Farm + Load Balancer |
| Files | Windows FS | Azure Files + Private Endpoint |
| MFA | Часткове | Універсальне MFA через Azure AD |
| AD | DC1 + DC2 | Гібрид із Azure AD DS |
| IIS Front/Back | На VM | Azure App Service або контейнеризація |
🔹 6. Узгодженість із ISO/IEC/IEEE 42010
| Компонент | Відповідність |
|---|---|
| Stakeholders | Визначено |
| Architectural Views | Згруповано (Deployment, Security, Data) |
| Вимоги | Ураховані: доступність, безпека, контроль |
| Traceability | Показано зв’язок між цілями й рішеннями |
✅ На останок:
Інформаційна архітектура побудована згідно з TOGAF ADM (фаза C) та структурована за стандартом ISO 42010.
Враховано як функціональні, так і нефункціональні вимоги: доступність, безпека, масштабованість.
Усі основні компоненти (RDS, Files, AD, IIS) інтегровані через захищені канали й управляються централізовано.
Tags:
- active directory,
- azure,
- cloud,
- dld,
- dlp,
- dns,
- fileserver,
- iso27001,
- microsoft,
- network,
- obit,
- security,
- togaf,
- virtual,
- vpn,
- администратор,
- архітектура,
- заготовка,
- информационная безопасность,
- ипф,
- перспективы,
- проект,
- серверная,
- система,
- специалист иб,
- стратегия,
- требования,
- управление,
- утечка,
- чек-лист
