Сегодня у компаний есть несколько вариантов размещения своих приложений в зависимости от задач и требований регуляторов. Аттестованный сегмент ЦОД занимает выгодную позицию с точки зрения возможности масштабирования и гибкости оплаты по сравнению с on-premise инфраструктурой. При этом сохраняет почти такой же уровень контроля за безопасностью.
Но чем отличается аттестованный сегмент от обычного? И как организована работа с серверами А-ЦОД в Selectel? Разбираемся вместе с руководителем отдела разработки и сопровождения сервисов ИБ Антоном Ведерниковым. Подробности под катом.
Информационные системы
А-ЦОД в «общих чертах».
А-ЦОД состоит из четырех информационных систем (ИС):
- «Инфраструктура» — информационно-телекоммуникационная инфраструктура дата-центра с усиленными мерами безопасности. На базе нее клиенты могут создавать собственные системы и разделять с провайдером ответственность за безопасность. Клиент получает выделенные серверы, сетевое оборудование и дополнительные средства защиты информации.
- «Администрирование» — выделенные рабочие места сотрудников провайдера для администрирования средств и систем защиты информации. Клиентам доступны как разовые работы, так и полное сопровождение систем, включая реагирование на инциденты информационной безопасности с аттестованных рабочих мест.
- «Управляемые сервисы безопасности» — сервисы для оказания услуг и централизованного управления средствами защиты информации. С помощью ИС «Управляемые сервисы безопасности» клиенты могут выполнить технические меры ФСТЭК и международных стандартов.
- «Мониторинг информационной безопасности» — система для мониторинга событий информационной безопасности, обнаружения и реагирования на инциденты внутри инфраструктуры провайдера и клиента.
Каждая система аттестована на основе выделенного набора сегментов в соответствии с п.17.3 приказа ФСТЭК России № 17. Это позволяет распространять аттестат на вновь создаваемые сегменты, если они соответствуют ранее аттестованному.
ИС «Инфраструктура» наиболее значима для клиентов: она отвечает за физическую безопасность и отказоустойчивость оборудования, на базе которого клиенты создают системы. Но какие меры для этого предприняты? На очереди — рубрика «сравнение».
А-ЦОД снаружи
Стойки аттестованного сегмента — это телекоммуникационные шкафы, внутри которых расположены серверы и другое оборудование, но с «апгрейдами».
Рядом с дверной ручкой есть электронный замок. По умолчанию в дата-центре установлены несколько систем контроля и управления доступом (СКУД) — на входе в здание, на этаже и перед дверью в северное помещение. Эти системы работают только по электронным бейджам — с помощью них инженеры могут пройти в рабочее помещение, а клиенты — в клиентскую зону. В рамках требований мы дополнительно «изолировали» аттестованный сегмент.
Антон Ведерников, руководитель отдела разработки и сопровождения сервисов ИБ в Selectel:
Чтобы ограничить доступ к серверным шкафам, в дополнение к физическим замкам мы поставили на стойки со стороны «горячего» и «холодного» коридоров электронные замки СКУД. Никто из посторонних не может получить доступ к оборудованию. Он есть только у некоторых сотрудников инженерно-технического отдела, которые прошли внутреннее обучение по работе с аттестованными системами.
То есть у клиента нет прямого доступа к оборудованию. Если ему нужно, например, проверить правильность кроссировки, он может создать тикет — придет инженер и сопроводит до стойки. Там будет возможность посмотреть на оборудование через полупрозрачную дверцу серверного шкафа. Но открыть — нельзя: внутри стойки может быть оборудование других клиентов.
Над стойками А-ЦОД установлены видеокамеры. Кроме видеокамер, которые следят за всеми входами, периметром зданий и помещениями, над стойками А-ЦОД есть видеонаблюдение со стороны «холодных» и «горячих» коридоров.
Внутри стоек А-ЦОД, которые клиент арендует целиком, могут быть установлены дополнительные камеры. Запись с них ведется на управляемый клиентом выделенный регистратор (с момента открытия стойки инженером дата-центра) и доступна в онлайн-режиме.
С помощью услуги А-ЦОД можно достичь более высокого уровня физической безопасности и контроля, чем при использовании собственных серверных помещений и IT-оборудования.
Все остальное — как в обычном дата-центре уровня Tier III.
- В аттестованном сегменте соблюдается температурный режим. Необходимый микроклимат поддерживается через подачу холодного воздуха под фальшпол. Система кондиционирования зарезервирована по Tier-стандарту и организована по принципу «холодных» и «горячих» коридоров. Больше про охлаждение в дата-центрах можно узнать тут.
- Установлены системы пожаротушения. Кроме видеокамер по периметру, в помещениях, на входе в дата-центр, внутри зданий и над стойками А-ЦОД установлены датчики пожарной сигнализации. А в серверных помещениях — системы автоматического пожаротушения.
- Электропитание зарезервировано и не зависит от городской сети. Дата-центры используют независимые вводы электричества. Если городская сеть упала, включается кластер бесперебойного питания. А после — дизель-генераторы. Различия по электропитанию начинаются «изнутри».
Что внутри стоек А-ЦОД?
Сетевые подключения через межсетевой экран. Все серверы клиентов аттестованного сегмента размещены за выделенными межсетевыми экранами — они нужны, чтобы изолировать клиентские информационные системы от технологической сети дата-центра и других заказчиков. У клиента есть полный доступ для управления межсетевым экраном: он может самостоятельно настраивать необходимые правила и политики безопасности.
Антон Ведерников, руководитель отдела разработки и сопровождения сервисов ИБ в Selectel:
Мы предоставляем сертифицированные средства защиты, необходимые для создания государственных ИС и других систем, подлежащих обязательной аттестации по требованиям ФСТЭК. Некоторые средства защиты могут быть только в аппаратном исполнении — например, межсетевые экраны типа «А».
Предоставляемые клиенту серверы имеют внешние подключения только через выделенный межсетевой экран. При этом они могут быть подключены к нему напрямую или через выделенные коммутаторы. Выбор зависит от требований к отказоустойчивости, количества серверов и дополнительного оборудования. А для большей надежности межсетевой экран и коммутатор можно зарезервировать — собрать кластер или Stack.
Для межсетевого экрана выделена публичная /29 подсеть. По умолчанию к серверу нельзя подключиться по белому IP-адресу или через панель управления my.selectel.ru. Через нее клиент не может установить операционную систему и получить доступ к консоли сервера. Но благодаря этому он способен полностью контролировать доступ к своей инфраструктуре и поддерживать необходимый уровень изоляции, сократив потенциально возможную поверхность атак.
Для подключения к оборудованию нужно использовать публичный адрес межсетевого экрана, через который происходит «проброс» на серый IP сервера. Или заказать дополнительную публичную подсеть — так можно настроить белый IP-адрес и подключаться по нему. Само управление серверами происходит через IPMI, интерфейс которого подключен к клиентскому межсетевому экрану или коммутатору. Подробнее о базовой настройке оборудования — в базе знаний.
Отказоустойчивое электропитание. По умолчанию мы размещаем в шкафах либо устройство автоматического ввода резервов (АВР), либо блоки розеток. Но в стойке аттестованного сегмента должно быть и то, и другое.
- Если сервер с одним блоком питания, он подключается к АВР, которая соединена с двумя независимыми вводами питания. Если один из них отказывает, запускается другой.
- Если сервер с двумя БП, он подключается в разные блоки розеток — они запитаны от независимых источников электропитания.
А что с клиентским оборудованием?
Антон Ведерников, руководитель отдела разработки и сопровождения сервисов ИБ в Selectel:
В А-ЦОД клиент может разместить наши выделенные серверы любой конфигурации. И даже оборудование, которое мы не предоставляем, — например, СХД и криптошлюзы для организации шифрованного канала до площадки клиента или подключения к государственным ИС. С нашей стороны — работа по установке и подключению оборудования: межсетевого экрана, коммутатора, серверов.
Безопасность данных
Инфраструктура зарезервирована и защищена. Но в рамках аттестации должны быть проработаны все требования ФСТЭК.
Ситуация. Жесткий диск клиента вышел из строя. В ремонт его отдать нельзя: есть риск утечки конфиденциальной информации клиента, если он не шифровал данные.
Решение. Если операционная система на служебном диагностическом сервере «видит» неисправный диск, сотрудник А-ЦОД уничтожает информацию программными средствами. В противном случае — с помощью специальных устройств.
В Selectel для уничтожения информации используют «Импульс-7У» и «Импульс-7У SSD» для HDD- и SSD-дисков соответственно. Накопитель достаточно положить в устройство — и диск превратится в простую «железку».
Подробнее о том, как мы проводим диагностику и замену дисков в дата-центре, рассказали в статье.
Распределенная инфраструктура
Для обеспечения катастрофоустойчивости лучше использовать географически распределенную инфраструктуру. То есть разместить серверы в нескольких пулах, где доступна услуга «А-ЦОД», — например, в SPB-2 и MSK-2.
Услуга «А-ЦОД» доступна в SPB-2, SPB-5, MSK-1 и MSK-2.
В Selectel для организации сетевой связности используют L3 VPN-сеть, которой клиент может управлять из панели. Так, например, можно объединить в приватную сеть А-ЦОД и выделенный сервер из другого пула. То есть базу данных с конфиденциальной информацией можно разместить в аттестованном сегменте дата-центра, а сервисы приложений — на сервере.
Схема L3 VPN между А-ЦОД и удаленным пулом.
Но кто ответственен за защиту каналов связи? И за что вообще ответственен клиент?
Зоны ответственности
Антон Ведерников, руководитель отдела разработки и сопровождения сервисов ИБ в Selectel:
Оборудование, которое арендует клиент, размещено в ИС «Инфраструктура», где провайдер обеспечивает его функционирование и физическую безопасность. За логическую безопасность размещаемой системы отвечает клиент.
Для того, чтобы сократить затраты и ускорить запуск своего сервиса, клиент может взять по подписке необходимые средства защиты и сервисы, которые функционируют в ИС «Управляемые сервисы». А для того, чтобы полностью сфокусироваться на развитии своего бизнеса, может передать нам и администрирование этих средств защиты. Услуга оказывается с аттестованных рабочих мест ИС «Администрирование».
Зоны ответственности для каждого случая приведены в таблице.
Инфраструктура | Управляемые сервисы | Администрирование | |
Данные | Клиент | Клиент | Клиент |
Код | Клиент | Клиент | Клиент |
Мониторинг | Клиент | Клиент | Провайдер |
Прикладное ПО | Клиент | Клиент | Провайдер |
Средства защиты | Клиент | Совместно | Провайдер |
Системное ПО | Клиент | Клиент | Провайдер |
Сеть | Клиент | Клиент | Провайдер |
Работа инфраструктуры | Провайдер | Провайдер | Провайдер |
Физическая безопасность | Провайдер | Провайдер | Провайдер |
Клиент отвечает за логическую безопасность размещаемой системы — управление доступом, безопасность сетевого периметра на всех уровнях, системного и прикладного ПО, кода приложений, обрабатываемых данных. ИБ-специалисты заказчика могут управлять политиками безопасности, настраивая их под требования и стандарты.
При наличии особых требований к ПО можно использовать собственные лицензии на предоставляемой изолированной IT-инфраструктуре.
Провайдер отвечает за физическую безопасность служебной и клиентской инфраструктуры. То есть за доступ в дата-центр, к серверам и жестким дискам с информацией.
Клиент отвечает за защиту каналов связи. Например, он может использовать собственные криптошлюзы и даже организовать выделенный канал связи между площадками.
Провайдер отвечает за мониторинг информационной безопасности своей инфраструктуры. То есть за регистрацию событий ИБ и реагирование на инциденты в своей зоне ответственности. Это возможно с помощью SIEM-системы, в которую заведены источники инфраструктуры Selectel, входящей в состав услуги А-ЦОД. Это могут быть операционные системы, сетевое оборудование и средства защиты, а также результаты работы средств для анализа защищенности.
Антон Ведерников, руководитель отдела разработки и сопровождения сервисов ИБ в Selectel:
Центр мониторинга используется для выявления и реагирования на инциденты внутри инфраструктуры и служебных систем аттестованного сегмента. Для наших клиентов мы строим выделенные инсталляции и помогаем с подключением и поддержанием систем.
Провайдер отвечает за управляемые сервисы безопасности — средства контроля антивирусов, систем защиты от несанкционированного доступа и сканер анализа защищенности.
Клиент может использовать по подписке наши средства защиты и выполнить требования ФСТЭК, сократив затраты на закупку и эксплуатацию собственного ПО.
Соответствие стандартам
Ключевая ответственность со стороны провайдера — соответствие информационных систем международным стандартам и требованиям российских законов. Каждому клиенту предоставляется IT-инфраструктура, которая проверена внешними аудиторами. То есть А-ЦОД подходит компаниям, которые:
- обрабатывают персональные данные до УЗ-1 включительно (21 приказ ФСТЭК),
- создают и эксплуатируют государственные информационные системы до К1 включительно (17 приказ ФСТЭК),
- обрабатывают данные держателей карт (PCI DSS),
- имеют внутренние стандарты и высокие требования к поставщикам услуг (SOC 2),
- обрабатывают персональные данные граждан ЕС или людей, находящихся в ЕС (GDPR).
Сертификаты и аттестаты выдают независимые аудиторские компании. Они регулярно проверяют устройство инфраструктуры на соответствие стандартам и законодательству. А также анализируют бизнес-процессы — от алгоритмов действия в рамках политики ИБ до процессов управления доступом и устранения уязвимостей. Кроме того, аудит включает:
- интервью с сотрудниками А-ЦОД и инженерами дата-центра,
- проверку политик и регламентов. Например, наличие артефактов — отчетов о сканировании, задач на предоставление доступа и другое — для подтверждения соответствующих стандартов.
Для подтверждения соответствия подобные процедуры проводят ежегодно.
Большинство аттестатов, сертификатов и заключений доступны на странице услуги. Некоторые документы — например, полный отчет SOC 2 Type 1 — мы предоставляем при заключении соглашения о конфиденциальности.
Мы рассмотрели особенности аттестованного сегмента ЦОД. Несмотря на то, что со стороны он похож на обычный дата-центр, есть много нюансов. И все они важны для аттестации системы. Подробнее о преимуществах А-ЦОД для клиентов рассказали в прошлой статье.
Возможно, эти тексты тоже вас заинтересуют:
→ Как избежать распространенных ошибок при работе с СУБД
→ Как начать работать с крупным бизнесом? Советы разработчикам SaaS
→ Построение Full-Mesh VPN-сети с использованием fastd, tinc, VpnCloud и тестирование производительности
Комментарии (6)
Andrei1038
30.11.2022 14:04ух... Сертифицированные ФСБ СКЗИ, сертифицированные ФСТЭК МЭ, СОВ, скорее всего контроль потоков еще нужен?
mrkaban
02.12.2022 11:41В Selectel для уничтожения информации используют «Импульс-7У» и «Импульс-7У SSD» для HDD- и SSD-дисков соответственно. Накопитель достаточно положить в устройство — и диск превратится в простую «железку».
Мы использовали СТЕК-НС1В для НЖМД, у Импульса сертификат соответствия на гарантированное уничтожение информации есть?
mrkaban
02.12.2022 11:58Оборудование, которое арендует клиент, размещено в ИС «Инфраструктура», где провайдер обеспечивает его функционирование и физическую безопасность. За логическую безопасность размещаемой системы отвечает клиент.
Провайдер отвечает только за свою инфраструктуру и соответственно аттестована именно она.
Для того, чтобы сократить затраты и ускорить запуск своего сервиса, клиент может взять по подписке необходимые средства защиты и сервисы, которые функционируют в ИС «Управляемые сервисы». А для того, чтобы полностью сфокусироваться на развитии своего бизнеса, может передать нам и администрирование этих средств защиты. Услуга оказывается с аттестованных рабочих мест ИС «Администрирование».
Клиент может использовать по подписке наши средства защиты и выполнить требования ФСТЭК, сократив затраты на закупку и эксплуатацию собственного ПО.
А какие СКЗИ доступны? И соответственно, если у клиента ИСПДН, то на неё ваш аттестат не действует, ему нужно проходить аттестацию на свою систему самостоятельно, как и выстраивать всю систему защиты, не говоря уже о тонне необходимых для аттестации документов. И вот к чему я, паспорт формуляр как клиент получит на СКЗИ? там как бы должна быть наклеечка и фейсы при проверке по линии перс данных будут спрашивать именно физический вариант паспорта, а не скан. Поскольку это подписка, а не покупка напрямую, то запросить у производителя формуляр не получится.
Но самое прикольное это КЗ в аттестате клиента, мол она обеспечена и аттестована согласно аттестата 3479.00001.2022, а фейсы такие покажи доки на него, а ты не могу...
У вас в аттестате указано, что запрещается вносить изменения а конфигурацию программных, программно-технических средств, СЗИ, ну и заменять их. Но добавления маршрута на межсетевой экран для клиента это тоже изменения в программно-технических средствах. Вы будете письменно спрашивать разрешение у ООО Акрибия?
Из аттестата становится ясно, что он только на вашу инфраструктуру, то есть залить сервер с ИСПДН и обрабатывать ПДН на готовое из коробки решение не получится.
Vinni37
Добрый день. А как обстоят дела средствами защиты кроме межсетевого экрана (антивирус, средства защиты от НСД, защита виртуализации, СОВ и т.д.), заказчики сами предоставляют/выбирают или есть какой то стандарт? Еще вопрос на счет VPN на текущий момент FortiGate имеет сертификаты ФСБ?
Doctor_IT Автор
Здравствуйте!
По поводу выбора: можно использовать свои или наши. Обычно клиентам, которым необходима аттестация и есть представление о необходимых для нейтрализации актуальных для их системы угроз, сертифицированные ФСБ СКЗИ (ГОСТ VPN) не предоставляем. Но вы можете разместить и подключить собственные аппаратные СКЗИ или использовать виртуальные.
Список предоставляемых межсетевых экранов с IPS (в т.ч. сертифицированных ФСТЭК): https://selectel.ru/services/additional/firewall/?section=vendorsFirewall
Cписок предоставляемых средств защиты, которые обычно есть в наличии: https://selectel.ru/services/is/dswes/?section=infrastructure (но можем предоставить и другие, включая WAF и SIEM)
Дополнительные средства защиты, необходимые для прохождения аттестации по 17 приказу ФСТЭК, предоставляются.
Vinni37
Спасибо за информацию. Насколько я вижу у Вас заявленн Континент 4, значит ФСБ СКЗИ в наличии.