Назван самый надежный способ организации IaaS

- КиТ :: Будь в СЕТИ!

Сегодня у компаний есть несколько вариантов размещения своих приложений в зависимости от задач и требований регуляторов. Аттестованный сегмент ЦОД занимает выгодную позицию с точки зрения возможности масштабирования и гибкости оплаты по сравнению с on-premise инфраструктурой. При этом решение сохраняет почти такой же уровень контроля за безопасностью. Но чем отличается аттестованный сегмент от обычного? И как организована работа с серверами такого дата-центра? Рассмотрим на примере провайдера ИТ-инфраструктуры

Информационные системы

Каждая система аттестована на основе выделенного набора сегментов в соответствии с п.17.3 приказа ФСТЭК России № 17. Это позволяет распространять аттестат на вновь создаваемые сегменты, если они соответствуют ранее аттестованному.

ИС «Инфраструктура» наиболее значима для клиентов: она отвечает за физическую безопасность и отказоустойчивость оборудования, на базе которого клиенты создают системы. Но какие меры для этого предприняты?

А-ЦОД снаружи

Рядом с дверной ручкой есть электронный замок. По умолчанию в дата-центре установлены несколько систем контроля и управления доступом (СКУД) - на входе в здание, на этаже и перед дверью в северное помещение. Эти системы работают только по электронным бейджам - с помощью них инженеры могут пройти в рабочее помещение, а клиенты - в клиентскую зону. В рамках требований в Selectel дополнительно «изолирован» аттестованный сегмент.

Антон Ведерников, руководитель отдела разработки и сопровождения сервисов ИБ в Selectel: «Чтобы ограничить доступ к серверным шкафам, в дополнение к физическим замкам мы поставили на стойки со стороны «горячего» и «холодного» коридоров электронные замки СКУД. Никто из посторонних не может получить доступ к оборудованию. Он есть только у некоторых сотрудников инженерно-технического отдела, которые прошли внутреннее обучение по работе с аттестованными системами».

То есть у клиента нет прямого доступа к оборудованию. Если ему нужно, например, проверить правильность кроссировки, он может создать тикет - придет инженер и сопроводит до стойки. Там будет возможность посмотреть на оборудование через полупрозрачную дверцу серверного шкафа. Но открыть - нельзя: внутри стойки может быть оборудование других клиентов.

Над стойками А-ЦОД установлены видеокамеры. Кроме видеокамер, которые следят за всеми входами, периметром зданий и помещениями, над стойками А-ЦОД есть видеонаблюдение со стороны «холодных» и «горячих» коридоров.

Внутри стоек А-ЦОД, которые клиент арендует целиком, могут быть установлены дополнительные камеры. Запись с них ведется на управляемый клиентом выделенный регистратор (с момента открытия стойки инженером дата-центра) и доступна в онлайн-режиме.

С помощью услуги А-ЦОД можно достичь более высокого уровня физической безопасности и контроля, чем при использовании собственных серверных помещений и ИТ-оборудования.

Что внутри стоек А-ЦОД?

Сетевые подключения через межсетевой экран. Все серверы клиентов аттестованного сегмента размещены за выделенными межсетевыми экранами - они нужны, чтобы изолировать клиентские информационные системы от технологической сети дата-центра и других заказчиков. У клиента есть полный доступ для управления межсетевым экраном: он может самостоятельно настраивать необходимые правила и политики безопасности.

Антон Ведерников: «Мы предоставляем сертифицированные средства защиты, необходимые для создания государственных ИС и других систем, подлежащих обязательной аттестации по требованиям ФСТЭК. Некоторые средства защиты могут быть только в аппаратном исполнении - например, межсетевые экраны типа «А»

Предоставляемые клиенту серверы имеют внешние подключения только через выделенный межсетевой экран. При этом они могут быть подключены к нему напрямую или через выделенные коммутаторы. Выбор зависит от требований к отказоустойчивости, количества серверов и дополнительного оборудования. А для большей надежности межсетевой экран и коммутатор можно зарезервировать - собрать кластер или Stack.

Для межсетевого экрана выделена публичная /29 подсеть. По умолчанию к серверу нельзя подключиться по белому IP-адресу или через панель управления my.selectel.ru. Через нее клиент не может установить операционную систему и получить доступ к консоли сервера. Но благодаря этому он способен полностью контролировать доступ к своей инфраструктуре и поддерживать необходимый уровень изоляции, сократив потенциально возможную поверхность атак.

Для подключения к оборудованию нужно использовать публичный адрес межсетевого экрана, через который происходит «проброс» на серый IP сервера. Или заказать дополнительную публичную подсеть - так можно настроить белый IP-адрес и подключаться по нему. Само управление серверами происходит через IPMI, интерфейс которого подключен к клиентскому межсетевому экрану или коммутатору.

А что с клиентским оборудованием?

Антон Ведерников: «В А-ЦОД клиент может разместить наши выделенные серверы любой конфигурации. И даже оборудование, которое мы не предоставляем, - например, СХД и криптошлюзы для организации шифрованного канала до площадки клиента или подключения к государственным ИС. С нашей стороны - работа по установке и подключению оборудования: межсетевого экрана, коммутатора, серверов»

Именно выделенными серверами воспользовался, к примеру, системный интегратор ИНКОМА. В поисках провайдера для заказчика специалисты ИНКОМА столкнулись с проблемой выбора поставщика ИТ-инфраструктуры. Компании требовалось в сжатые сроки развернуть информационно-телекоммуникационную инфраструктуру для дальнейшего развертывания на ее базе федеральной государственной информационной системы (К2).

Антон Ведерников: «За счет постоянного наличия более 5000 комплектующих для серверов на собственном складе нам удается поддерживать высокую скорость создания защищенной ИТ-инфраструктуры. При этом она кастомизируется под требования клиента и может быть развернута и в Москве, и в Санкт-Петербурге»

Кроме этого, в зону ответственности ИНКОМА входила дальнейшая аттестация объекта и поддержка системы защиты информации. А-ЦОД в итоге закрыл главный запрос ИНКОМА при построении изолированной системы - сохранить управление и контроль за безопасностью своей инфраструктуры.

ИНКОМА используют ИТ-инфраструктуру из серверов произвольной конфигурации, независимое ядро сети, а также ряд подсистем защиты информации в выделенной стойке в аттестованном сегменте А-ЦОД. Кроме этого, Selectel обеспечивает ИНКОМА доступ в интернет через нескольких провайдеров.

Распределенная инфраструктура

Важно, что аттестованный сегмент ЦОД не ограничивает в возможности построения катастрофоустойчивой инфраструктуры. Можно разместить серверы в нескольких пулах, где доступна услуга «А-ЦОД», - например, в SPB-2 и MSK-2.

В Selectel для организации сетевой связности используют L3 VPN-сеть, которой клиент может управлять из панели. Так, можно объединить в приватную сеть А-ЦОД и выделенный сервер из другого пула. Например, базу данных с конфиденциальной информацией можно разместить в аттестованном сегменте дата-центра, а сервисы приложений - на сервере вне контура А-ЦОД.

Зоны ответственности

Антон Ведерников: «Оборудование, которое арендует клиент, размещено в ИС «Инфраструктура», где провайдер обеспечивает его функционирование и физическую безопасность. За логическую безопасность размещаемой системы отвечает клиент. Для того, чтобы сократить затраты и ускорить запуск своего сервиса, клиент может взять по подписке необходимые средства защиты и сервисы, которые функционируют в ИС «Управляемые сервисы». А для того, чтобы полностью сфокусироваться на развитии своего бизнеса, может передать нам и администрирование этих средств защиты. Услуга оказывается с аттестованных рабочих мест ИС «Администрирование»»

Зоны ответственности для каждого случая приведены в таблице.

Клиент отвечает за логическую безопасность размещаемой системы - управление доступом, безопасность сетевого периметра на всех уровнях, системного и прикладного ПО, кода приложений, обрабатываемых данных. ИБ-специалисты заказчика могут управлять политиками безопасности, настраивая их под требования и стандарты.

При наличии особых требований к ПО можно использовать собственные лицензии на предоставляемой ИТ-инфраструктуре.

Провайдер отвечает за физическую безопасность служебной и клиентской инфраструктуры.

Клиент отвечает за защиту каналов связи. Например, он может использовать собственные криптошлюзы и даже организовать выделенный канал связи между площадками.

Провайдер отвечает за мониторинг информационной безопасности своей инфраструктуры. То есть за регистрацию событий ИБ и реагирование на инциденты в своей зоне ответственности. Это возможно с помощью SIEM-системы, в которую заведены источники инфраструктуры Selectel, входящей в состав услуги А-ЦОД. Это могут быть операционные системы, сетевое оборудование и средства защиты, а также результаты работы средств для анализа защищенности.

«Центр мониторинга используется для выявления и реагирования на инциденты внутри инфраструктуры и служебных систем аттестованного сегмента. Для наших клиентов мы строим выделенные инсталляции и помогаем с подключением и поддержанием систем»

Соответствие стандартам

Ключевая ответственность со стороны провайдера - соответствие информационных систем международным стандартам и требованиям российских законов.

Сертификаты и аттестаты выдают независимые аудиторские компании. Они регулярно проверяют устройство инфраструктуры на соответствие стандартам и законодательству. А также анализируют бизнес-процессы - от алгоритмов действия в рамках политики ИБ до процессов управления доступом и устранения уязвимостей. Кроме того, аудит включает:

а странице услуги. Некоторые документы - например, полный отчет SOC 2 Type 1 - Selectel предоставляет при заключении соглашения о конфиденциальности.

ПодпискаБудь в СЕТИ! Новости социальных сетей - всегда актуальное
 
Группы: ВК | OK | Tg