Разделы

ПО Безопасность Бизнес Телеком Интернет Цифровизация ИТ в банках ИТ в госсекторе Ритейл Облака Маркет

Назван самый надежный способ организации IaaS

Сегодня у компаний есть несколько вариантов размещения своих приложений в зависимости от задач и требований регуляторов. Аттестованный сегмент ЦОД занимает выгодную позицию с точки зрения возможности масштабирования и гибкости оплаты по сравнению с on-premise инфраструктурой. При этом решение сохраняет почти такой же уровень контроля за безопасностью. Но чем отличается аттестованный сегмент от обычного? И как организована работа с серверами такого дата-центра? Рассмотрим на примере провайдера ИТ-инфраструктуры Selectel.

Информационные системы

А-ЦОД состоит из четырех информационных систем (ИС):

  • «Инфраструктура» информационно-телекоммуникационная инфраструктура дата-центра с усиленными мерами безопасности. На базе нее клиенты могут создавать собственные системы и разделять с провайдером ответственность за безопасность. Клиент получает выделенные серверы, сетевое оборудование и дополнительные средства защиты информации.
  • «Администрирование» выделенные рабочие места сотрудников провайдера для администрирования средств и систем защиты информации. Клиентам доступны как разовые работы, так и полное сопровождение систем, включая реагирование на инциденты информационной безопасности с аттестованных рабочих мест.
  • «Управляемые сервисы безопасности» сервисы для оказания услуг и централизованного управления средствами защиты информации. С помощью них клиенты могут выполнить технические меры ФСТЭК и международных стандартов.
  • «Мониторинг информационной безопасности» — система для мониторинга событий информационной безопасности, обнаружения и реагирования на инциденты внутри инфраструктуры провайдера и клиента.

Каждая система аттестована на основе выделенного набора сегментов в соответствии с п.17.3 приказа ФСТЭК России № 17. Это позволяет распространять аттестат на вновь создаваемые сегменты, если они соответствуют ранее аттестованному.

ИС «Инфраструктура» наиболее значима для клиентов: она отвечает за физическую безопасность и отказоустойчивость оборудования, на базе которого клиенты создают системы. Но какие меры для этого предприняты?

А-ЦОД снаружи

Стойки аттестованного сегмента — это телекоммуникационные шкафы, внутри которых расположены серверы и другое оборудование, но с «апгрейдами».

Рядом с дверной ручкой есть электронный замок. По умолчанию в дата-центре установлены несколько систем контроля и управления доступом (СКУД) — на входе в здание, на этаже и перед дверью в северное помещение. Эти системы работают только по электронным бейджам — с помощью них инженеры могут пройти в рабочее помещение, а клиенты — в клиентскую зону. В рамках требований в Selectel дополнительно «изолирован» аттестованный сегмент.

Антон Ведерников, руководитель отдела разработки и сопровождения сервисов ИБ в Selectel

Антон Ведерников, руководитель отдела разработки и сопровождения сервисов ИБ в Selectel: «Чтобы ограничить доступ к серверным шкафам, в дополнение к физическим замкам мы поставили на стойки со стороны «горячего» и «холодного» коридоров электронные замки СКУД. Никто из посторонних не может получить доступ к оборудованию. Он есть только у некоторых сотрудников инженерно-технического отдела, которые прошли внутреннее обучение по работе с аттестованными системами».

То есть у клиента нет прямого доступа к оборудованию. Если ему нужно, например, проверить правильность кроссировки, он может создать тикет — придет инженер и сопроводит до стойки. Там будет возможность посмотреть на оборудование через полупрозрачную дверцу серверного шкафа. Но открыть — нельзя: внутри стойки может быть оборудование других клиентов.

Над стойками А-ЦОД установлены видеокамеры. Кроме видеокамер, которые следят за всеми входами, периметром зданий и помещениями, над стойками А-ЦОД есть видеонаблюдение со стороны «холодных» и «горячих» коридоров.

Внутри стоек А-ЦОД, которые клиент арендует целиком, могут быть установлены дополнительные камеры. Запись с них ведется на управляемый клиентом выделенный регистратор (с момента открытия стойки инженером дата-центра) и доступна в онлайн-режиме.

С помощью услуги А-ЦОД можно достичь более высокого уровня физической безопасности и контроля, чем при использовании собственных серверных помещений и ИТ-оборудования.

Все остальное — как в обычном дата-центре уровня Tier III.

Что внутри стоек А-ЦОД?

Сетевые подключения через межсетевой экран. Все серверы клиентов аттестованного сегмента размещены за выделенными межсетевыми экранами — они нужны, чтобы изолировать клиентские информационные системы от технологической сети дата-центра и других заказчиков. У клиента есть полный доступ для управления межсетевым экраном: он может самостоятельно настраивать необходимые правила и политики безопасности.

Антон Ведерников: «Мы предоставляем сертифицированные средства защиты, необходимые для создания государственных ИС и других систем, подлежащих обязательной аттестации по требованиям ФСТЭК. Некоторые средства защиты могут быть только в аппаратном исполнении — например, межсетевые экраны типа «А».

Предоставляемые клиенту серверы имеют внешние подключения только через выделенный межсетевой экран. При этом они могут быть подключены к нему напрямую или через выделенные коммутаторы. Выбор зависит от требований к отказоустойчивости, количества серверов и дополнительного оборудования. А для большей надежности межсетевой экран и коммутатор можно зарезервировать — собрать кластер или Stack.

Для межсетевого экрана выделена публичная /29 подсеть. По умолчанию к серверу нельзя подключиться по белому IP-адресу или через панель управления my.selectel.ru. Через нее клиент не может установить операционную систему и получить доступ к консоли сервера. Но благодаря этому он способен полностью контролировать доступ к своей инфраструктуре и поддерживать необходимый уровень изоляции, сократив потенциально возможную поверхность атак.

Для подключения к оборудованию нужно использовать публичный адрес межсетевого экрана, через который происходит «проброс» на серый IP сервера. Или заказать дополнительную публичную подсеть — так можно настроить белый IP-адрес и подключаться по нему. Само управление серверами происходит через IPMI, интерфейс которого подключен к клиентскому межсетевому экрану или коммутатору.

А что с клиентским оборудованием?

Антон Ведерников: «В А-ЦОД клиент может разместить наши выделенные серверы любой конфигурации. И даже оборудование, которое мы не предоставляем, — например, СХД и криптошлюзы для организации шифрованного канала до площадки клиента или подключения к государственным ИС. С нашей стороны — работа по установке и подключению оборудования: межсетевого экрана, коммутатора, серверов».

Именно выделенными серверами воспользовался, к примеру, системный интегратор ИНКОМА. В поисках провайдера для заказчика специалисты ИНКОМА столкнулись с проблемой выбора поставщика ИТ-инфраструктуры. Компании требовалось в сжатые сроки развернуть информационно-телекоммуникационную инфраструктуру для дальнейшего развертывания на ее базе федеральной государственной информационной системы (К2).

Антон Ведерников: «За счет постоянного наличия более 5000 комплектующих для серверов на собственном складе нам удается поддерживать высокую скорость создания защищенной ИТ-инфраструктуры. При этом она кастомизируется под требования клиента и может быть развернута и в Москве, и в Санкт-Петербурге».

Кроме этого, в зону ответственности ИНКОМА входила дальнейшая аттестация объекта и поддержка системы защиты информации. А-ЦОД в итоге закрыл главный запрос ИНКОМА при построении изолированной системы — сохранить управление и контроль за безопасностью своей инфраструктуры.

ИНКОМА используют ИТ-инфраструктуру из серверов произвольной конфигурации, независимое ядро сети, а также ряд подсистем защиты информации в выделенной стойке в аттестованном сегменте А-ЦОД. Кроме этого, Selectel обеспечивает ИНКОМА доступ в интернет через нескольких провайдеров.

Распределенная инфраструктура

Важно, что аттестованный сегмент ЦОД не ограничивает в возможности построения катастрофоустойчивой инфраструктуры. Можно разместить серверы в нескольких пулах, где доступна услуга «А-ЦОД», — например, в SPB-2 и MSK-2.

В Selectel для организации сетевой связности используют L3 VPN-сеть, которой клиент может управлять из панели. Так, можно объединить в приватную сеть А-ЦОД и выделенный сервер из другого пула. Например, базу данных с конфиденциальной информацией можно разместить в аттестованном сегменте дата-центра, а сервисы приложений — на сервере вне контура А-ЦОД.

Схема L3 VPN между А-ЦОД и выделенным сервером

Но кто ответственен за защиту каналов связи? И за что вообще ответственен клиент?

Зоны ответственности

Антон Ведерников: «Оборудование, которое арендует клиент, размещено в ИС «Инфраструктура», где провайдер обеспечивает его функционирование и физическую безопасность. За логическую безопасность размещаемой системы отвечает клиент. Для того, чтобы сократить затраты и ускорить запуск своего сервиса, клиент может взять по подписке необходимые средства защиты и сервисы, которые функционируют в ИС «Управляемые сервисы». А для того, чтобы полностью сфокусироваться на развитии своего бизнеса, может передать нам и администрирование этих средств защиты. Услуга оказывается с аттестованных рабочих мест ИС «Администрирование»».

Зоны ответственности для каждого случая приведены в таблице.

Разграничение зон ответственности

Инфраструктура Управляемые сервисы Администрирование
Данные Клиент Клиент Клиент
Код Клиент Клиент Клиент
Мониторинг Клиент Клиент Провайдер
Прикладное ПО Клиент Клиент Провайдер
Средства защиты Клиент Совместно Провайдер
Системное ПО Клиент Клиент Провайдер
Сеть Клиент Клиент Провайдер
Работа инфраструктуры Провайдер Провайдер Провайдер
Физическая безопасность Провайдер Провайдер Провайдер

Клиент отвечает за логическую безопасность размещаемой системы — управление доступом, безопасность сетевого периметра на всех уровнях, системного и прикладного ПО, кода приложений, обрабатываемых данных. ИБ-специалисты заказчика могут управлять политиками безопасности, настраивая их под требования и стандарты.

При наличии особых требований к ПО можно использовать собственные лицензии на предоставляемой ИТ-инфраструктуре.

Провайдер отвечает за физическую безопасность служебной и клиентской инфраструктуры. То есть за доступ в дата-центр, к серверам и жестким дискам с информацией.

Клиент отвечает за защиту каналов связи. Например, он может использовать собственные криптошлюзы и даже организовать выделенный канал связи между площадками.

Провайдер отвечает за мониторинг информационной безопасности своей инфраструктуры. То есть за регистрацию событий ИБ и реагирование на инциденты в своей зоне ответственности. Это возможно с помощью SIEM-системы, в которую заведены источники инфраструктуры Selectel, входящей в состав услуги А-ЦОД. Это могут быть операционные системы, сетевое оборудование и средства защиты, а также результаты работы средств для анализа защищенности.

Антон Ведерников: «Центр мониторинга используется для выявления и реагирования на инциденты внутри инфраструктуры и служебных систем аттестованного сегмента. Для наших клиентов мы строим выделенные инсталляции и помогаем с подключением и поддержанием систем».

Провайдер отвечает за управляемые сервисы безопасности — средства контроля антивирусов, систем защиты от несанкционированного доступа и сканер анализа защищенности.

Клиент в Selectel может использовать по подписке средства защиты и выполнить требования ФСТЭК, сократив затраты на закупку и эксплуатацию собственного ПО.

Соответствие стандартам

Ключевая ответственность со стороны провайдера — соответствие информационных систем международным стандартам и требованиям российских законов. Каждому клиенту предоставляется ИТ-инфраструктура, которая проверена внешними аудиторами. То есть А-ЦОД подходит компаниям, которые:

Сертификаты и аттестаты выдают независимые аудиторские компании. Они регулярно проверяют устройство инфраструктуры на соответствие стандартам и законодательству. А также анализируют бизнес-процессы — от алгоритмов действия в рамках политики ИБ до процессов управления доступом и устранения уязвимостей. Кроме того, аудит включает:

  • интервью с сотрудниками А-ЦОД и инженерами дата-центра,
  • проверку политик и регламентов. Например, наличие артефактов — отчетов о сканировании, задач на предоставление доступа и другое — для подтверждения соответствующих стандартов.

Для подтверждения соответствия подобные процедуры проводят ежегодно.

Большинство аттестатов, сертификатов и заключений доступны на странице услуги. Некоторые документы — например, полный отчет SOC 2 Type 1 — Selectel предоставляет при заключении соглашения о конфиденциальности.

erid:Pb3XmBtzt3EkbRSKxbmJkVxzz2WF9EyBseBH3YtРекламодатель: ООО «Селектел»ИНН/ОГРН: 7842393933/1089847357126Сайт: https://selectel.ru/