Post on 16-Jun-2015
description
БЕЗОПАСНОСТЬ В ОБЛАКЕ
Алексей Севастьянов, заместитель генерального директора, DataLine
Григорий Атрепьев, директор проектов, DataLine
Эдуард Бавижев, руководитель отдела виртуализации DataLine
КТО МЫ
2
2009- 2011
2012- 2013
2014-2015
БЫЛОЕ И ДУМЫ
3
Дата-центр OST Залы Alpha, Bravo, Charlie, Delta
Площадь - 907 м²
371 стоек
Дата-центр NORD 1 Залы Hotel, India
Площадь - 558 м²
284 стоек
Уст. мощность - 3200 кВА
Дата-центр NORD 2 Зал Juliet
Площадь - 180 м²
91 стойка
Уст. мощность - 5000 кВА
Дата-центр OST Залы Echo, Foxtrot, X-Ray, Yankee,
Meet-Me-Room
Площадь – 1138 м²
532 стойки
Дата-центр NORD 2 Зал Kilo, Lima
Площадь - 733 м²
383 стойки
Дата-центр NORD 3
Залы Mike, November, Oscar
Площадь - 1050 м²
Уст. Мощность - 5000 кВА
450 стоек
Дата-центр NORD 4
Залы Papa, Quebec, Romeo,
Sierra, Tango, Uniform, Victor,
Whiskey
Общая площадь - 11700 м²
Машинных залы – 4276 м²
2000 стоек
Уст. Мощность - 20000 кВА
3 8 842 м² | 43,2 МВА | 4 111 стоек
CLOUDLINE: КАК МЫ ОБЕСПЕЧИВАЕМ ЗАЩИТУ ДАННЫХ
Григорий Атрепьев, директор проектов, DataLine
4
ОБЛАКО DATALINE
3 года на рынке облачных услуг
более 100 корпоративных клиентов
Blade servers, Fiber Channel
Решения VMware и Citrix
Premier-партнер VMware по программе VSPP
Pay As You Go, Allocation Pool
«Облачный» SLA
5
ДАННЫЕ В ОБЛАКЕ: РИСКИ
6
• Ошибка администраторов от уровня ОС
• Аппаратный сбой и отказ оборудования платформы
• Отказ ЦОД
ПОТЕРЯ
• Сетевое проникновение
• Администраторы платформы виртуализации
• Утилизация носителей оборудования
УТЕЧКА \ ИСКАЖЕНИЕ
СПОСОБЫ ЗАЩИТЫ
7
ПОТЕРЯ
Резервное копирование данных.
Тестовое восстановление.
Резервирование компонентов кластера и СХД
Metrocluster
УТЕЧКА \ ИСКАЖЕНИЕ
Защита периметра сети
Средства контроля администраторов (vGate,
CyberArc)
Процедура вывода оборудования из
эксплуатации, утилизация носителей
8
ЗАЩИТА ПЕРИМЕТРА СЕТИ
vShield EDGE (Firewall, NAT, site to site VPN)
Cisco ASA virtual appliance (1000V)
Cisco Virtual Security Gateway (VSG)
выделенный VLAN
разграничение прав доступа к виртуальному ЦОД
IPS + IDS
Защита от DDoS атак
PUBLIC VS. PRIVATE В КОНТЕКСТЕ БЕЗОПАСНОСТИ
Эдуард Бавижев, руководитель отдела виртуализации, DataLine
9
10
Защита данных:
PUBLIC CLOUD
11
vShield
12
ЗАЩИТА ДАННЫХ:
PRIVATE CLOUD
Выделенное оборудование (servers, storage, network, san)
Закрытый периметр (стойка, СКУД, видео)
Разграничение доступа – использование 2хфакторной авторизации на сервер управления в сети заказчика.
Ведение журнала действий администраторов (Syslog, CyberARC)
Применение ПО разграничения доступа (vGate R2)
13
vGATE R2: ЧЕМ ОН ИНТЕРЕСЕН
• Сертифицирован ФСТЭК
• Позволяет удовлетворить часть требований ФЗ-152 (контроль действий администраторов, разграничение уровней доступа к объектам, etc.)
• Позволяет разграничить права администраторов (решена проблема супер-пользователя)
• Дает возможность создавать политики безопасности на основе встроенных шаблонов
14
vGATE R2: КАК ЭТО РАБОТАЕТ
15
ЧТО ДАЕТ PRIVATE CLOUD В КОНТЕКСТЕ БЕЗОПАСНОСТИ
1. выделенное оборудование
2. физический контроль оборудования и доступ к
логам
3. контроль всего сетевого трафика
4. прямой доступ к ПО управления облачным ЦОД
(vCenter)
5. индивидуальные параметры инфраструктуры
(железа, облака, etc.)
6. доступ к API ПО
СРЕДСТВА ЗАЩИТЫ
РЕЗЕРВНЫХ КОПИЙ
Григорий Атрепьев, директор проектов, DataLine
16
ЗАЩИТА
РЕЗЕРВНЫХ КОПИЙ
17
Acronis Backup for Clouds (облачный backup)
HP Data Protector (для ленточных библиотек)
Создание зашифрованного контейнера
Вопросы?
Григорий Атрепьев
директор проектов
Эдуард Бавижев,
руководитель отдела виртуализации
СПАСИБО!