Бесплатная DDOS защита для всех сетей



Пока все готовятся к праздникам, мы, наконец то, защитили все наши сети в московском датацентре от DDOS атак на мощностях DDOS-GUARD

Бесплатная L4 защита предоставляется на тестовой основе, без гарантий. Защита от L7 атак бесплатна на шаред-хостинге, или на выделенных ip c защитой от DDOS.
ruweb.net

16 лет нашему парку оборудования: от Core 2 Duo до Scalable, от SAS 150 до NVMe 4000

16 лет — такой возраст, когда уже скопилась куча зажигательных историй. И ты такой молодой, но уже столько всего повидал.

Мы уже рассказывали, как развивалась поддержка и как строили бизнес. А сегодня делимся самой личной нашей историей — железной.

Как мы выбирали и меняли оборудование с 2002 по 2018 гг., и как развивались в это время технологии — в нашей статье.

Эпоха HDD и Core
~2002 — 2013
Во времена, когда все диски были жёсткими, 3.5’’ и не отличались быстротой, единственным вариантом увеличить скорость было собрать аппаратный Raid. И для предоставления услуг VDS мы использовали Raid 10 из 4 SAS-дисков. Сначала это были SAS 150, потом 300 и 600 Гб.

150 SAS мы ставили в Core 2 Duo 2х (серии уже никто не помнит). Потом 300 SAS — в Intel Core 2 Quad 2хQ6600 и Xeon 2xE56XX (20, 40...). 600 SAS — уже только в Xeon 2х5645, тогда он был нашим основным процессором для VDS. А где-то с 2012-го им стал E2630.

Для этих машин использовали 1U (юнит) серверной платформы Intel. Сеть была 100 Мбит/с.

Смена процов объясняется просто: выходили железки нового поколения, мы подбирали их по соотношению цена-мощность. Смотрели на характеристики, делали тесты, прищуривали глаз и выбирали. Конечно, прикидывали, как они нам с точки зрения окупаемости — всегда важно было сохранить бюджетные цены. Потом наблюдали, как на них живётся клиентам. Тогда и дальше, когда выходили новинки — мы ориентировались на свои прошлые удачные решения. И никогда не брали оборудование б/у.

Время SSD и Flashcache
Времена шли, диски становились больше и быстрее. Появились SSD.

2014
Мы продолжали собирать Raid 10 SAS, в кластере было около 1 Тб. Но мир изменился — и людям нужно было больше места. Расширяться за счёт SAS было дорого (+8 000 руб. за 600 Гб) — пришлось бы поднимать цены на VDS. Изучили альтернативы и перешли на гибридную схему 2SATA HDD + SSD под flashcache. Увеличили место под VDS в 4 раза, снизили затраты тоже в 4 раза. Стали предоставлять людям больший объём диска без потерь по скорости. Подробнее об этом решении.

Одновременно стали оптимизировать место в стойках и использовать платформу повышенной плотности от Intel. В 2U (юнитах) 4 двухпроцессорных E5, на каждый из них можно ставить до 3 дисков. Думали, что сэкономим место в стойке, но упёрлись в ограничение по току. В одной розетке 6 кВт, и охлаждение рассчитано только на них — промышленный стандарт.

Тогда же обновили сетевую инфраструктуру, и каждый сервер получил 2 порта по 1Гбит. Мир поменялся — скорости увеличились, и 100 Мбит стало недостаточно. А одним скачком перейти на 10 Гбит дорого и больно.

2015
Flashcache оказался более дешёвым и быстрым, чем Raid 10 SAS, но потенциально менее надёжным — подробности. Поэтому мы ввели тарифы с SSD в качестве основного носителя — для клиентов, которым принципиально важна надёжность и нужно ещё больше скорости. Для чистых SSD используем аналогичную платформу (2U, 4 2хE5, 2 SSD).

С внедрением flashcache, мы отказались от Raid 10 на SAS. Но по-прежнему используем на всех машинах Raid1 — полное зеркало из двух дисков. Он уменьшает для нас место в кластере в 2 раза, но даёт надёжность хранения данных. При выходе из строя одного из дисков, данные сохраняются на втором. Ещё один плюс — высокая скорость чтения, скорость записи — как на обычном жёстком диске.

Эра NVMe и Scalable
2017—2018
В июле прошлого года наступила новая эра Scalable. В августе новые процессоры дошли до России, и мы начали закупки.

Причины
С точки зрения технологий, Xeon Scalable — это новое поколение. В 1,5 раза быстрее процов предыдущего: вычисления быстрее, скорость работы с оперативной памятью увеличена. Плюс полноценная поддержка скоростных NVMe-дисков, про которые чуть позже.

С экономической точки зрения, покупать новинки всегда дешевле: когда выходят новые процессоры, производитель перестаёт продавать старые. Но спрос не уменьшается — консерваторов полно. Таким поставщики продают старые процы втридорога. Но мы не такие.

Наш выбор — использовать новинки. Предпочитаем делать хорошо за имеющиеся деньги. С дешёвым и старым оборудованием мы сильно не сэкономим, а услуги будут хуже. Поэтому как только новое железо приходит в Россию — берём на тесты. Примерно через месяц уже готовы взлетать. Приятно быть первыми, кто даёт людям «потрогать» новые технологии.

Серии
Ставим процессоры Gold 5115 и Silver 4114. Выбрали их опять же по цене-мощности, как крепких середнячков. Здесь также 2U (юнита), в них 4 ноды. Каждой ноде полагается по 2SSD или по 2NVME в 2.5’. Сеть стала уже 2 порта по 10Гбит. А примерно через год, осенью 2018 начали продавать дедики (FirstDEDIC) на Xeon Scalable.

Обновление парка
За эти полтора года собрали 182 ноды на Xeon Scalable. Сначала мы ставили новые процы в SSD-кластеры с более дорогими услугами: собрали на них новый кластер Атланта, обновили треть нод в кластере с KVM-SSD серверами и поставили несколько на Битриксы.

Таким образом высвободили серверы с процессорами предыдущего поколения (E5645 и E2630), они перешли в кластеры с услугами подешевле. А потом, в феврале 2018 у Intel вышли новые NVMe-диски…

NVMe — не такая уж новая технология, существует с середины 2000-х. С момента промышленного запуска прошло около 4 лет. Мы следили за NVMe и ждали, когда появятся серверы со встроенным аппаратным контроллером для NVMe и за разумные деньги. Время пришло.

Сейчас NVMe — это новый интерфейс подключения вместо SATA, свой протокол вместо AHCI, и скорость в 2-3 раза выше, чем на привычных SSD. Конечно, мы взялись их внедрять. Сначала тестировать, а потом и внедрять: в феврале запустили на проекте FirstDEDIC, в марте добавили на гибкий Форсаж 2.0, в апреле на готовые KVM-ные конфигурации, а в мае на Битрикс.

Scalable+NVMe
Xeon Scalable полноценно поддерживают SSD, а для работы с NVMe — просто созданы, поэтому мы ставим их в связке:
  • Сначала запустили на Форсажах 2.0 и отказались там от flashcache — оставили самые быстрые и надёжные решения.
  • Потом запилили более бюджетный вариант в линейке готовых серверов, только для KVM. OVZ тарифы дешевле — предположили, что там NVMe не будет пользоваться спросом.
  • Конечно, добавили NVMe на Битрикс-тарифы.
  • А на Атланте есть Xeon Scalable, но нет NVMe — к моменту, когда решили, что готовы эксплуатировать NVMe, кластер уже был собран.

Лимит
При запуске NVMe у нас был лимит 500 Гб. Пользователи просили больше, и когда диски большего размера подешевели — увеличили лимит до 1 Тб с возможностью взять ещё больше, по запросу. На дедиках стали продавать NVMe по 1, 2 и 4Тб.

Серия
Сначала мы брали 4Тб NVMe серии P4501, а потом перешли на P4510. Они почти на 200$ дороже, но и быстрее по скорости чтения/записи, iops’ам. Бюджет позволял — почему бы не взять лучше? Есть серии ещё быстрее, но сильно дороже, а мы не хотим поднимать цены.

Планы
Сейчас мы продолжаем изучать NVMe, на предмет, как выжать из них больше скорости. А ещё тестируем одну интересную процессорную новинку. Смотрим, в каком кластере она будет эффективнее. Но пока не будем раскрывать секрет.

Декабрь — история нашего железа, дедики на Core i9 и баш поддержки

С наступающим!

Хотели, чтобы последний дайджест в этом году был для вас настоящим подарком, и совместили в нём…

полезное: новости про уязвимости, статьи про SSL и проверенный номер;
интересное: история нашего оборудования, инфографика, баш поддержки. И это ещё не всё…


Парк оборудования. Обновление
В 2018-м мы собрали 182 родительских сервера на Xeon Scalable. Запустили 3 услуги на NVMe-дисках, сначала с лимитом 500 Гб, а потом и 1000 Гб.

Какие процы и диски мы ставили в 2002-м? Почему отказались от Raid 10 SAS? Зачем заменили 4Тб NVMe P4501 на P4510? Как и почему мы меняли оборудование эти 16 лет — читайте в нашей статье.

Выделенные серверы на Core i7-9700 и i9-9900
На проекте FirstDEDIC дедики с новыми процессорами. Отлично подходят для 1С-Битрикс, хостинга сайтов и сложных математических вычислений.

Всё потому, что у Core i7 и i9 много ядер и высокая тактовая частота, а технология Turbo Boost позволяет разгонять её ещё больше. Так i9-9900k способны выдать 5 ГГц вместо базовых 3,6 и существенно увеличить производительность сервера.

Новые процы такие производительные и по очень хорошим ценам. Пока единственное предложение на российском рынке. Партия ограничена — успевайте.
1dedic.ru/ready_servers

Как работала наша поддержка в 2к18
Да как всегда — прекрасно работала. За второе полугодие мы сократили время ответа на 2 минуты и увеличили число лайков в 2 раза. Чатов-тикетов, как обычно, много — на несколько тысяч больше, чем в прошлом и позапрошлом году.

Да как всегда — прекрасно работала. За второе полугодие мы сократили время ответа на 2 минуты и увеличили число лайков в 2 раза. Чатов-тикетов, как обычно, много — на несколько тысяч больше, чем в прошлом и позапрошлом году.

Если довольны нашей поддержкой — не забывайте ставить лайки в чатах и тикетах. А прямо сейчас можно сказать «спасибо» и поздравить ребят с наступающим — пишите нам в соцсетях, обязательно передадим.

Баш поддержки
Весь декабрь мы работали-работали, но и веселиться не забывали. Читайте забавные истории из переписки саппорта с клиентами. Ну вроде таких:

Цитата #646
Я пишу правельный пороль а сайт пишет что пороль неверный!!!

Цитата #681
Беда… Старая не работает, потому что старая. А новая — потому что новая…

Цитата #698
На centos 7 ставить можно уже? Я в ад за это не попаду?

Уязвимости декабря
  • Ботнет из 20 000 сайтов на WordPress атакует другие сайты на WordPress — подробности на xakep.ru.
  • 21 семейство вредоносного ПО для Linux — подробности на xakep.ru
  • В WordPress 5.0.1 устранена уязвимость, приводящая к индексации паролей поисковыми движками — подробности на opennet.ru.

Полезные статьи
Проверенный номер телефона
Даже если доступ к аккаунту получит посторонний, он не сможет рулить вашими услугами. Всё это благодаря проверенному номеру. Когда конкретно он вам пригодится и как его «проверить» — в статье.
firstvds.ru/technology/proverennyy-nomer-telefona

Зачем нужен SSL-сертификат и как его выбрать
Если ещё не знаете, срочно прочтите. Мы никому не расскажем.
firstvds.ru/technology/zachem-nuzhen-ssl-sertifikat

Ребрендинг Revisium
Компания Revisium — разработчик инструментов для диагностики сайтов — присоединилась к команде CloudLinux.
Теперь у антивируса Revisium Antivirus новое название — ImunifyAV. Это по-прежнему модуль ISPmanager, и по новым правилам он доступен сразу после установки панели (или её обновления до последней версии 5.182). Стоимость не изменилась, также расширены возможности бесплатной версии. Подробности в новости на сайте.

Счастья вам в новом году! Энергии и вдохновения на все задумки
Дайджест писала Анастасия Кузнецова

Новогодний подарок от HostSuki

Раздаю 50000р на SSL сертификаты :)

  • Comodo PositiveSSL — 564р
  • RapidSSL — 975р
Оформить заказ именно этих двух SSL что перечислены, можно в одном из биллов, а потом написать тикет с ссылкой на этот топик. И я бесплатно зачислю ваш платеж.

После того как 50к будут розданы акция закрывается. И сделаю скриншот для неверующих в комменты.

Условия раздачи — не пытаться заказать 50 сертификатов через мультиаккаунты. Или например сертификаты на домены для воровства. Сначала делаете заказ, потом пишете тикет, по домену видно будет заслужил ли он SSL или нет.

Чтобы услуги не отключились в праздники, не забудьте их оплатить

Рекомендуем проверить баланс и пополнить счет заранее, чтобы сервер и другие услуги не отключились в праздники за неуплату.

Так как в праздники банки не работают, платежи банковскими переводами советуем отправлять до 27 декабря, иначе они «зависнут» до конца праздников.

График работы отделов в праздники:
Отдел финансов будет обрабатывать запросы в ограниченном режиме, поэтому время ответа увеличится.
Отдел техподдержки продолжит работать без изменений.

Администрация DeloHost
delohost.ru

Новогодние подарки для наших клиентов


БЫСТРЫЕ VPS СЕРВЕРЫ В РОССИИ ОТ 125 РУБ.
Купить виртуальный сервер от VDS4YOU под реализацию любых задач и размещения проектов
Текущая акция: «Новогодние подарки для наших клиентов»


HAPPY NEW YEAR, ДРУЗЬЯ! XO-XO-XO!
Старый 2018 год уходит и приближается новый 2019 год. А это значит что мы рады предложить вам виртуальные подарки, на будущий 2019 год!

Год 2018 для нашей компании стал хорошим, а что не мало важно научил многим новым аспектам в ходе различных форс-мажорных обстоятельств, которых кстати, было не мало.
В новом, наступающем 2019 году мы готовы воплотить не мало интересных планов, увеличить количество предоставляемых услуг, повысить конкурентность текущих услуг, а также и их качество! Каждый наш клиент, от мала до велика, это наша забота, наше обязательство и мы стараемся обеспечить максимально удобные условия для каждого из вас!

Мы искренне рады что в качестве поставщика услуг вы выбрали именно нас и остаетесь с нами в новом году. В знак благодарности мы рады предложить вам скидку на заказ а также продление услуг в размере 19 и 29%, при оплате на период 3 месяца и 6 месяцев соответственно.
От лица всей компании и Хайтек Хостинг, поздравляем Вас с наступающим 2019 годом! Желаем вам всего самого лучшего, успехов в делах и работе. Пусть наступающий год позволит исполнить все ваши самые сокровенные мечты и конечно же подарит массу новых эмоций в вашей личной жизни.

С новым 2019 годом, дорогие друзья!
Промо-код на активацию скидки 19 и 29%: HAPPYNEW2019

Если вам требуется помощь, мы всегда доступны и готовы помочь в решение вопроса. Для этого просто обратитесь в онлайн чат на нашем сайте или в центр поддержки клиентов.

vds4you.com

.OOO & .LTD: успей занять свой домен в бизнесе!



.masterhost приветствует Вас!
Конкуренты наступают на пятки, опасаетесь фишинга или банальной кражи своих идей/проектов/сайтов?
Зарегистрируйте домены в зонах .OOO и .LTD – обезопасьте свой бизнес от клонов!
Вы можете приобрести сразу несколько доменных имен, связанных с Вашим бизнесом, настроить редирект и быть уверенным, что эти адреса не достанутся конкурентам, а приведут Вашу аудиторию именно к Вам.

masterhost.ru/service/domain/ooo/
masterhost.ru/service/domain/ltd/

Новый Добрый Хостинг



Друзья, в конце года мы хотим порадовать вас сразу несколькими хорошими новостями.
  • Прежде всего, у Доброго Хостинга теперь новый стиль и сайт. Сайт стал визуально легче, при этом не потерял в информативности. Надеемся, что вам понравилось и будем рады любым отзывам и пожеланиям.
  • На всех тарифах виртуального хостинга доступен антивирус VirusDie, который автоматически выполняет проверку на наличие угроз. Мы выполняем проверки автоматически, также можно самостоятельно запустить проверку, чтобы убедиться что вредоносные файлы удалены.
  • Добавлены скидки при оплате Виртуальных серверов на длительные сроки

Традиционно, мы запускаем новогодний промокод DobroYear19. Воспользовавшись кодом, вы можете заказать услуги Хостинга, Виртуального сервера или SSL сертификат со скидкой 15%, а также домены RU/РФ по супер цене 199 рублей! Скидка суммируется со скидкой при оплате на длительный срок!

На праздниках наша поддержка доступна ежедневно без выходных. Желаем вам хорошо отдохнуть, а мы позаботимся о стабильной работе сайтов! С наступающим Новым Годом и Рождеством!

www.dobryjhosting.ru

Зачем платить за G Suite, если есть бесплатный Google Account?



В январе 2018 года количество бизнес-клиентов G Suite превысило 4 миллиона. В этой статье, сравнив возможности бесплатного Google Account и платного сервиса G Suite, попытаемся понять, почему компании от мала до велика переходят на платный набор офисных приложений в облаке от Google.

Запуск корпоративной почты занимает буквально 15 минут
Директор по контролю производства GoDaddy (второй в мире регистратор доменных имен) считает, что клиенты чаще работают с компаниями, у которых почтовый адрес выглядит корпоративно. При этом 80% представителей малого бизнеса используют в адресе домены типа @gmail.com.

Чтобы подключить корпоративный email в бесплатном аккаунте, нужны сторонние почтовые сервисы. В G Suite можно создать ящик вида [отдел]@[компания].com, при этом не придется покупать и настраивать специальные почтовые серверы.



Если компания использует домены помимо основного, они подключаются в G Suite:
  • Как псевдоним. Письма приходят в основной почтовый ящик, в настройках пользователи выбирают, с какого адреса отправлять письма
  • Как дополнительный домен. За аккаунты в дополнительном домене взимается плата, а новый почтовый ящик не связан с основным


Возможности бесплатных сервисов расширены — работать вместе стало еще удобнее
Существует три тарифа G Suite: Basic, Business, Enterprise — они отличаются набором функций и стоимостью от 400 до 2,000 рублей. Во все тарифные планы входят бесплатные облачные приложения Google (такие как документы, чаты, календари, диск) и инструменты управления аккаунтами через администратора G Suite. В тарифы Business и Enterprise входят платные сервисы «Сейф» и Cloud Search.

По сравнению с бесплатным аккаунтом, в G Suite становится проще работать вместе:



Более подробно рассказано тут blog.selectel.ru/zachem-platit-za-g-suite-esli-est-besplatnyj-google-account/

//
от редакции
Верстка не очень, копировать долго, информация не особо ценная для Истории рынка

Выделенные серверы в защищенном сегменте ЦОД



Вы можете использовать IT-инфраструктуру, предоставляемую Selectel, с соблюдением требований законодательства РФ и корпоративных требований по защите информации. Подробности читайте в нашей статье.

Актуальность защиты данных
Для компаний, работающих с персональными данными, важно надежно оберегать эти сведения от любых попыток кражи, подмены или незаконного разглашения. В число персональных данных входят ФИО, телефонные номера, адрес электронной почты и прочие данные, позволяющие идентифицировать личность. В число особо конфиденциальных данных, защите которых уделяется повышенное внимание, входят сведения о состоянии здоровья, биометрические данные, базы данных с ПДн, являющимися интеллектуальными активами компании и иная информация, составляющая коммерческую тайну.

Для таких типов бизнеса, как пластическая хирургия и донорство, защита персональных данных клиентов становится одним из конкурентных преимуществ.

Помимо технологической реализации системы защиты и экономической выгоды, важно следить за тем, чтобы выбранные средства защиты информации соответствовали нормативным требованиям, предъявляемым со стороны государства, и были совместимы друг с другом.

Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных». Перечень организационных и технических мер по обеспечению безопасности персональных данных детализирован регуляторами ФСТЭК, ФСБ, Роскомнадзор в соответствующих зонах ответственности:
  • Роскомнадзор следит за ведением внутренней документации и уведомлениями о подписании документации физическими лицами и контрагентами, а также за хранением базы ПДн на территории РФ
  • ФСТЭК и ФСБ контролируют реализацию технической защиты

Наша услуга Выделенные серверы в защищенном сегменте ЦОД в первую очередь будет интересна тем компаниям, которым необходимо обеспечивать защиту обрабатываемых данных в информационной системе персональных данных (далее ИСПДн) с высоким уровнем защищенности. Размещение выделенных серверов в защищенном сегменте ЦОД — это инфраструктурная услуга. В рамках услуги обеспечивается выполнение требований (организационных и технических) законодательства для ИСПДн до первого уровня защищенности (далее УЗ-1), относящиеся к защите физической инфраструктуры. Обеспечивается возможность сетевой изоляции благодаря использованию сертифицированного сетевого оборудования.

Ответственность за реализацию всех остальных организационных и технических мероприятий, предусмотренных законодательством, остается на операторе персональных данных. Конкретный перечень мероприятий определяется оператором персональных данных и зависит от актуальных угроз безопасности и уровня защищенности информационной системы, в которой обрабатываются персональные данные.

Этапы построения системы защиты информации
  • Провести обследование существующих процессов обработки и защиты ПДн для оценки соответствия ИСПДн требованиям федерального закона о персональных данных
  • Определить угрозы безопасности и сформировать «модель нарушителя» безопасности персональных данных
  • Определить требуемый уровень защищенности ПДн, обрабатываемых в информационной системе

Существует четыре уровня защищенности, которые определяются в зависимости от набора следующих параметров:
  • Категории ПДн, которые обрабатываются в информационной системе (специальные — о национальной и расовой принадлежности или, например, политических взглядах, биометрические — о физиологических особенностях личности, общедоступные — полученные из общедоступных источников с письменного согласия субъекта или иные ПДн)
  • Тип физических лиц, данные которых будут обрабатываться: сотрудники компании или другие физические лица (клиенты, подрядчики и так далее)
  • Количество физических лиц — больше 100 000 или меньше

Согласно Постановлению Правительства РФ№1119 для определения уровня защищенности ИСПДн необходимо установить тип актуальных угроз:
  • Угрозы 1 типа связаны с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе, например, программные закладки
  • Если вы используете официальные дистрибутивы, а не «скачанные с торрентов», и ПДн, которые вы обрабатываете, не являются целью для иностранных разведок, то угрозы 1 типа скорее всего для вас не актуальны
  • Угрозы 2 типа связаны с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе
  • Вам необходимо убедиться, что разработчик прикладного ПО не имеет цели хищения ПДн, например, проверить исходный код до запуска в эксплуатацию. И если вы убедились безопасности ПО, то угрозы 2 типа для вашей системы неактуальны
  • Угрозы 3 типа не связаны с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе
  • Примечание: недекларированные возможности – это функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации. Например, программные закладки, способные при определенных условиях обеспечить несанкционированное программное воздействие на информационную систему. При использовании недокументированных возможностей ПО становится вероятным источником нарушения конфиденциальности, доступности или целостности обрабатываемой информации.

Ниже показано, как используя данные о системе, определить, какой уровень защищенности ИСПДн следует выбрать:


  • Выбрать меры по обеспечению безопасности ПДн
Для этого осуществляется проектирование системы защиты ИСПДн, включающей меры, предусмотренные приказом №21 ФСТЭК к ИСПДн (пункт 8).

После проведения обследования оператором определяется итоговый перечень мер, которые необходимо реализовать. Выбираются и настраиваются средства защиты, затем проводится оценка эффективности созданной системы защиты. Если по ошибке определить более высокий уровень защищенности, то, соответственно, придется строить более сложную (и скорее всего более дорогую) систему защиты персональных данных.

  • Разработать комплект организационно-распорядительной и эксплуатационной документации, регламентирующей процессы обработки и защиты персональных данных
  • Выбрать, приобрести, установить и настроить средства защиты информации
  • Оценить эффективность системы защиты

На финальном этапе разработки ИСПДн компании-заказчику необходимо провести оценку эффективности системы защиты персональных данных. Оценка эффективности может быть произведена в различных видах, в том числе в форме аттестации системы защиты персональных данных или приемочных испытаний системы.

Аттестация информационной системы подразумевает комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации требованиям безопасности информации. Наличие действующего «Аттестата соответствия» дает право обработки информации с установленными уровнем секретности (конфиденциальности) и периодом времени. Не для всех информационных систем аттестация обязательна.

Размещение ИСПДн в Selectel
В зависимости от определенного уровня защищенности и актуальных угроз безопасности при обработке ПДн, а также с учетом применения дополнительных средств защиты информации, можно размещать ИСПДн в различных IT-инфраструктурных сервисах Selectel, например:
  • Выделенные серверы
  • Виртуальное приватное облако
  • Облако на базе VMware

При размещении ИСПДн высокого уровня защищенности в инфраструктуре облачного провайдера возникают дополнительные задачи:
  • На этапе разработки модели угроз безопасности необходимо учитывать характеристики используемой IT-инфраструктуры, а на этапе выбора средств защиты — учитывать совместимость IT-инфраструктуры со средствами защиты информации
  • Для построения полноценной системы защиты информации экспертам, ответственным за моделирование угроз безопасности и выбор мер защиты, необходимо получать дополнительную информацию об архитектуре сервиса. Учитывать разграничение зон ответственности между заказчиком и и IaaS-провайдером

Наша услуга Выделенные серверы в защищенном сегменте ЦОД служит для оптимизации работы по созданию защищенных информационных систем, работающих с персональными данными:
  • Selectel предоставляет заказчику необходимую IT-инфраструктуру, соответствующую требованиям информационной безопасности (далее ИБ), при использовании которой возможно создать защищенную систему, соответствующую как требованиям законодательства, так и корпоративным требованиям по обеспечению информационной безопасности
  • Серверы размещаются в защищенном сегменте дата-центра
  • Сеть заказчика изолирована от сетей других клиентов дата-центра
  • Физическая безопасность обеспечивается в соответствии с приказом №21 ФСТЭК

Кому подходит
В защите информации заинтересованы компании из разных сфер:
  • Ведущие веб-проекты с высокими требованиями к защите информации
  • Работающие в сфере медицины, видеоаналитики или с системами автоматизированного проектирования
  • Связанные с финансовым и промышленным секторами
  • Подключаемые к государственным информационным системам
  • Создающие защищенные системы с использованием IaaS-инфраструктуры облачного провайдера (ИБ-интеграторы)

Особенности
Обеспечение надежной физической безопасности на аппаратном уровне для каждого класса задач также поддерживается сетевой безопасностью и строгим соответствием требованиям закона РФ о защите персональных данных граждан.

При создании услуги мы ориентировались на перечень основных мер по обеспечению безопасности персональных данных, которые необходимо реализовать в информационной системе в рамках системы защиты персональных данных:
  • К стойкам защищенного сегмента ЦОД имеет доступ ограниченное число сотрудников Selectel, обслуживающих систему. Другие клиенты Selectel не имеют физический доступ к этому оборудованию
  • Сетевая изоляция серверов заказчика при помощи аппаратных межсетевых экранов, в том числе сертифицированных. Выходящий за пределы периметра трафик в защищенном сегменте ЦОД шифруется перед попаданием в сеть облачного провайдера, и далее в интернет. Таким образом обеспечивается сетевая изоляция как от сетей связи общего пользования (интернет), так и от других клиентов IaaS-провайдера, арендующих IT-инфраструктуру в том же дата-центре
  • Скорость разворачивания ИБ-решений выше по сравнению с созданием системы защиты в локальной инфраструктуре, так как основные аппаратные средства защиты уже находятся в дата-центре и не требуют длительного ожидания закупки и доставки
  • Инфраструктура для соблюдения информационной безопасности доступна по OPEX-модели с ежемесячной тарификацией

Схемы реализации защищенного сегмента ЦОД
Инфраструктура в защищенном сегменте ЦОД формируется как IaaS-сервис и передается в управление заказчику. Никто без разрешения заказчика не имеет сетевого доступа к ней. Физический доступ не имеет никто, кроме ограниченного количества сотрудников Selectel.

Есть несколько вариантов построения инфраструктуры. Например, если бизнес использует несколько выделенных серверов и нуждается в высокодоступной инфраструктуре, то мы можем предложить решение, в котором сетевая инфраструктура построена в отказоустойчивом исполнении.


Для тех, кому нужна виртуализация — может быть построено частное облако по нижеприведенной схеме. Программное обеспечение для такого решения также будет предоставляться по IaaS-модели.


Преимущества
Компаниям выгодно подбирать набор сервисов ИБ с таким соотношением «цена/качество», которое соответствовало бы ценности защищаемых корпоративных данных.

Основные преимущества предлагаемого нами решения:
  • Готовая инфраструктура в защищенном периметре от двух дней (быстрое развертывание и настройка необходимых сервисов)
  • Сертифицированные средства защиты информации, уже готовые к эксплуатации (не нужно ждать поставку оборудования и ПО)
  • Гибкое масштабирование — расширение или сокращение IT-инфраструктуры по требованию в процессе эксплуатации (с ростом бизнеса это позволяет плавно мигрировать на продукты ИБ более высокого уровня)
  • Защита периметра сети исключает накладные расходы на шифрование трафика между серверами
  • Соответствие стандарту PCI DSS — можно хранить данные платежных карт, гарантируя их сохранность
  • Возможность планирования расходов на ИБ за счет «прозрачной» модели оплаты (фиксированные тарифы и оплата строго за выбранные услуги и средства защиты информации)
  • Заключение
  • Многие компании уже оценили преимущества использования IaaS в качестве IT-инфраструктуры. Теперь для компаний, обрабатывающих особо конфиденциальные данные, также возможно создание информационных систем с использованием IT-инфраструктуры IaaS-провайдера и применение современных средств защиты информации.

Деятельность по оказанию услуг технической защиты конфиденциальной информации является лицензируемым видом деятельности (N 99-ФЗ). Selectel имеет необходимые лицензии для предоставления услуг, связанных с технической защитой конфиденциальной информации (коммерческой тайны, персональных данных), а также для предоставления услуг с использованием средств криптографической защиты.

Приведение ИСПДн в соответствие требованиями законодательства — это процесс, состоящий из нескольких этапов. Особенно сложным является процесс выбора мер защиты и средств защиты для систем с высоким уровнем защищенности. В случае необходимости, для проектирования системы защиты персональных данных вы можете обратиться к специалистам Selectel, которые помогут разобраться со всеми нюансами в рамках оказания услуг.

В качестве IT-инфраструктуры для обработки персональных данных возможно использовать выделенные серверы Selectel в «защищенном сегменте ЦОД», в котором выполняются требования до первого (максимального) уровня защищенности, относящиеся к защите физической инфраструктуры, а также предоставляется возможность сетевой изоляции серверов и возможность использования дополнительных средств защиты информации.