OVHcloud удваивает емкость австралийских серверов с помощью NextDC

Облачный провайдер OVHcloud удвоил свою серверную мощность в Австралии после заключения нового партнерства с оператором центра обработки данных NextDC.

Этот шаг является частью планов расширения OVHcloud в Азиатско-Тихоокеанском регионе (APAC), поскольку он извлекает выгоду из местного роста внедрения облачных технологий, открывая второй центр обработки данных в Сиднее и удваивая возможности своего центра обработки данных в Сингапуре. Это следует из недавнего партнерства, объявленного с Megaport в прошлом месяце.

Согласно OVHcloud, это стратегическое партнерство с NextDC «представляет собой постоянную приверженность сильной локально ориентированной экосистеме, которая соответствует основным ценностям OVHcloud в области безопасности, конфиденциальности и инноваций».

В рамках этого OVHcloud также присоединится к партнерской программе NextDC.

Эта сделка увеличит нашу емкость на рынке вдвое, а центр обработки данных NextDC предоставит нашим клиентам еще один канал, позволяющий извлечь выгоду из нашего многолокационного подхода
сказал генеральный менеджер OVHcloud APAC Лайонел Легрос.

Компания рассчитывает на сотрудничество со своими клиентами и дальнейшее содействие им в ускорении их программы цифровой трансформации. Наши клиенты по-прежнему больше, чем когда-либо, полагаются на свою ИТ-инфраструктуру и сети. Обеспечение их безопасного и надежного подключения к облакам и ИТ-сервисам, которые лежат в основе их гибридных / мультиоблачных стратегий, является критически важной ролью, которую играет NextDC
Мы особенно рады выполнить обязательства, взятые на себя перед нашими клиентами, с партнером, который разделяет наши ценности — ставить клиентов на первое место, доверие, превосходное качество продукции и качество обслуживания
сказал главный клиент и коммерческий директор NextDC Дэвид Дзенсиол

OVHcloud представляет свою партнерскую программу в Австралии
В ноябре NextDC расширила доступ австралийских предприятий к облачной инфраструктуре и центрам обработки данных благодаря сотрудничеству с консолью PCCW Global Console Connect.

Техническое обслуживание - Замена электрического кабеля

OVHcloud держит клиентов в центре своих интересов и всегда поддерживает прозрачную коммуникацию.

Мы хотели бы сообщить вам, что мы обнаружили нарушение изоляции на некоторых силовых кабелях C13 / C14. Они были подготовлены в период с июня по сентябрь 2020 года, а затем установлены в нашей инфраструктуре.

Эту неисправность сложно обнаружить, и она не была обнаружена во время наших первоначальных исследований, но она не влияет на непрерывность предоставления ваших услуг. Тем не менее, это представляет угрозу безопасности при работе с нашими сотрудниками.

Чтобы исправить эту ситуацию и защитить своих сотрудников, OVHcloud запустила проект по замене всех силовых кабелей на инфраструктурах, запущенных в производство в этот период. Всего это коснется 16 000 серверов.

Проект разделен на два этапа.
1. Как ответственный работодатель, безопасность сотрудников всегда является приоритетом для OVHcloud. В результате мы изначально определили все соответствующие инфраструктуры физически и внедрили правильные средства защиты для наших сотрудников. Теперь этот шаг завершен.

2. Сейчас мы приступаем ко второму этапу, то есть замене соответствующих кабелей. Эти операции, которые продлятся до июня 2021 года, могут привести к отключению электроэнергии в затронутых стойках и серверах. Однако мы делаем все возможное, чтобы минимизировать влияние на доступность ваших услуг. Это будет соответствовать нашим обычным процессам управления изменениями, а именно:
  • предварительный анализ рисков и последствий каждой операции
  • миграция решений в незатронутую инфраструктуру, где это возможно (частное облако, общедоступное облако), в зависимости от конкретных условий обслуживания
  • общение перед каждой операцией

Подробная информация о плановом техническом обслуживании будет доступна на travaux.ovh.net Они также будут отправлены вам по электронной почте, если какие-либо из ваших услуг будут затронуты.

Спасибо за понимание и за выбор OVHcloud.
Команда OVHcloud

Вторник, 15 декабря - веб-семинар по обучению искусственному интеллекту OVHcloud



  • Вы в настоящее время управляете проектами AI, которые требуют большой мощности графического процессора?
  • Вы устали самостоятельно управлять сложностью своей инфраструктуры, экземпляров GPU и Kubeflow?
  • Нужна гибкость для вашей платформы искусственного интеллекта или решения SaaS?
OVHcloud внедряет инновации в области ИИ, предлагая простые и готовые решения для обучения ваших моделей на графических процессорах и запуска их в производство.
register.gotowebinar.com/register/5733927161918414350

Black Friday Deals Are Here!




Серверы Bare Metal
Если вы ищете решение для хранения данных, больших данных, масштабируемости или лучшего соотношения цена / производительность, тогда наши лучшие в линейке серверы Bare Metal идеально подходят и со скидкой до 50%!


Виртуальные частные серверы
Получите идеальный баланс производительности, гибкости и соотношения цены и качества для размещения веб-сайтов, запуска «песочницы» или игр. Ознакомьтесь с нашими передовыми решениями VPS всего от 9 долларов в месяц.

Размещенное частное облако
Нужно больше мощности? Наши стартовые пакеты Enterprise Hosted Private Cloud Premier состоят из двух хостов, оснащенных процессорами Intel Xeon, и двух хранилищ данных для хранения. Теперь скидка до 25%!

us.ovhcloud.com/deals
www.ovh.ie/black-friday/

Открытое надежное облако



С изменениями в нашей онлайн-жизни компании стали свидетелями стремительного роста угроз кибербезопасности. Многие изо всех сил пытаются реагировать на новые угрозы по мере того, как они адаптируются к развивающемуся контексту. В OVHcloud безопасность данных является нашим главным приоритетом, поэтому мы соответствующим образом улучшили нашу игру в области безопасности. Вот некоторые из способов, которыми мы усовершенствовали наши меры безопасности и помогли нашим клиентам на рынке.

Откройте для себя наши последние партнерские отношения



С новостными лентами, которые действительно работают на пределе возможностей, трудно оставаться в курсе событий в области облачных решений и инфраструктуры. Хорошая новость заключается в том, что OVHcloud продолжает развиваться, чтобы удовлетворить потребности в Интернете сейчас и в будущем.

Мы ежедневно сотрудничаем с техническими партнерами для решения таких проблем, как удаленная работа, усиление угроз безопасности и быстрая доставка приложений и инфраструктуры.

Узнайте о некоторых из наших последних партнерских отношений ниже.
Расширение партнерских отношений для получения эффективных решений


В духе свободы, OVHcloud Connect (разработано вместе с Equinix и MEGAPORT) обеспечивает личную и прямую связь между службами OVHcloud и вашим постоянной или другими провайдерами облачным.
www.ovhcloud.com/en-ie/network-security/ovhcloud-connect/


OVHcloud объявила о партнерстве с Nutanix, чтобы представить инновационные варианты гиперконвергентной инфраструктуры (HCI) для снижения затрат и повышения производительности / производительности.
www.nutanix.com/hyperconverged-infrastructure
www.ovh.ie/lp/nutanix/


Работая с NetApp и с приобретением OpenIO и EXTEN, мы расширили наш портфель решений для хранения данных, чтобы разработать очень гибкие и производительные технологии.
www.ovh.com/world/news/press/cpl1582.acquisition-openio-ovhclouds-ambition-create-best-object-storage-offer-market

Надежное облако: OVHCloud получит «до конца года» свою визу безопасности от Anssi

Французский чемпион по ИТ-хостингу OVHCloud должен получить « до конца года » квалификацию SecNumCloud, которая удостоверяет поставщиков услуг, которые считаются надежными для хранения конфиденциальных данных французских компаний и администраций, заявил в среду президент агентства. безопасность информационных систем (Anssi).

До конца года у нас должен быть большой хост на севере Франции, это выглядит очень хорошо
сказал Гийом Пупар во время вступительной речи в Assises de la cybersecurity в Монако, не цитируя название компании Roubaix.

На сегодняшний день французскую сертификацию SecNumcloud имеют две облачные компании: Oodrive и Outscale, дочерняя компания Dassault Systèmes. И OVHCloud входит в пятерку, которую проверяет Anssi.
Это позволит нам предоставить элементы решения особо сложных правовых и геополитических проблем
добавил г-н Пупар.

Европейские правила защиты данных и недавняя отмена соглашения между Европой и США (в которое входят лидеры облачных технологий Amazon, Google и Microsoft) побуждают европейские правительства стремиться к большему цифровому суверенитету. и инвестировать в создание условий для хранения личных и конфиденциальных данных с участниками на континенте.

Хостинг французской платформы данных о здоровье для исследований, первоначально переданный Microsoft, должен быть, в частности, в ближайшее время репатриирован французским или европейским игроком, недавно заявило французское правительство, которое заявило, что работает над этим вопросом с Германией. Во вторник две страны также объявили о начале нового сотрудничества в области облачной инфраструктуры.

В среду OVH приветствовал эту общую позицию, попросив «об образцовой поддержке со стороны лиц, принимающих решения. Подлинная финансовая поддержка этого сектора позволит укрепить и поддержать развитие предложений доверия, запустить важные проекты НИОКР для удовлетворения ожиданий рынка, но также подчеркнет динамизм европейской экономической структуры, поощряя местная занятость
говорится в заявлении компании.

OVHCloud появился в сентябре в рейтинге IDC среди игроков глобальной облачной инфраструктуры за 2020 год. Он единственный европеец, занимающий 8-е место после американских и китайских гигантов.

К демократизации премиального Bare Metal Cloud

Инновации на всех уровнях — ключевая часть идентичности OVHcloud. Наша сила заключается в том, чтобы постоянно ставить перед собой задачу лучше отвечать на вызовы наших клиентов. Новые функции, которые ждут их в Premium Bare Metal Cloud, являются результатом нашего стремления к изменениям и внимательного отношения к потребностям наших клиентов. Но чтобы бросить вызов этому рынку, нам нужно было разработать прочную стратегию, включающую радикальные внутренние преобразования.



Начало революции
OVHcloud предлагает широкий портфель облачных продуктов и решений для четырех вселенных (веб-облако, Bare Metal Cloud, публичное облако и размещенное частное облако). Облако, которое мы предоставляем, всегда проектируется и разрабатывается с учетом потребностей наших клиентов, и мы всегда стараемся понять их бизнес, чтобы иметь лучшее представление об их проблемах.



Мы начали наши обсуждения рынка Premium Bare Metal Cloud еще в 2016 году. В то время мы получили отзывы от нескольких клиентов относительно нашего ценового позиционирования на этот конкретный диапазон мощных серверов, которые соответствуют очень высоким требованиям к хранению. Наши изделия из чистого металла были слишком дорогими по сравнению с тем, за что они были готовы платить. Затем мы работали, в частности, с двумя клиентами. Поскольку они были готовы разделить с нами свои расходы, мы смогли спроецировать их экономическую модель на нашу бизнес-модель. Эти два клиента размещали свои собственные услуги через колокацию, без круглосуточной поддержки местной команды, и у них была небольшая интернет-сеть. Они инвестировали в свои собственные серверы, рассчитав свои цены за 5-летний период. Проведя этот анализ, мы поняли, что можем предложить им эти мощные серверы по более низкой, гораздо более конкурентоспособной цене. Но для решения этой задачи нам потребуется проделать серьезную работу, которая, вероятно, займет несколько лет.

Новая бизнес-модель
Наш первый проект включал полную реструктуризацию математической основы нашей бизнес-модели, которую мы использовали для расчета наших цен. Мы начали это в 2017 году, и это заняло три года.


В первый год мы реорганизовали компанию и создали Подразделения. Каждое из Подразделений — это своего рода малый бизнес в OVHcloud. Он способствует нашему коллективному успеху, управляя обязанностями, соответствующими его опыту, и вносит свой вклад в наш стратегический план. Его возглавляет руководитель подразделения, и у него есть план действий.

На второй год мы создали отчеты о прибылях и убытках для каждого подразделения, чтобы они могли моделировать проекты в своей дорожной карте с помощью реальных затрат по сравнению с ожидаемыми выгодами. Чтобы предоставить им эту аналитическую основу, нам пришлось реструктурировать наши финансы. Это включало разделение общих прибылей и убытков компании на несколько микро прибылей и убытков. Это означало, что мы могли распределить затраты по нужным единицам и создать внутренний рабочий процесс выставления счетов. Затем мы смогли рассчитать доход каждой единицы, сверяя доход, полученный от выставления счетов клиентам, с доходом, полученным от внутреннего возвратного платежа для других единиц, при интеграции связанных затрат (команды, лицензии и т. Д.). После этого каждое подразделение выпустило маржу.

На третий год мы связали все эти показатели с финансовой отчетностью и сделали их KPI доступными для подразделений в режиме реального времени. Целью развертывания этих финансовых панелей мониторинга было лучшее управление эффективностью компании, но, что более важно, расширение возможностей команд. Согласовав инструменты финансового мониторинга с новой организацией, подразделения смогли составить более надежные прогнозы, лучше прогнозировать риски и лучше прогнозировать свои инвестиции и расходы на заработную плату. Для компании это был также способ обеспечить, чтобы каждый проект создавал ценность для OVHcloud, а также продолжал обеспечивать, чтобы наше развитие оставалось прибыльным, сбалансированным и устойчивым для нашей конкурентоспособности и независимости. С точки зрения потребителя, такая культура сознательного отношения к ценам в основном приведет к еще большему снижению цен.

В цифровом мире экономика также полагается на два сдвига: сокращение постоянных затрат (за счет увеличения объема продаж) и сокращение переменных затрат (за счет автоматизации задач с помощью программного обеспечения, роботизированных систем и искусственного интеллекта). Массовые вложения в автоматизацию — серьезная проблема для такого поставщика облачных услуг, как мы. Благодаря огромным инвестициям мы повысили качество (меньше ошибок, упростили процедуры, ускорили предоставление услуг) и смогли выполнять больше операций в день без увеличения размера Подразделений. Это означало, что Подразделениям больше не приходилось выполнять повторяющиеся задачи, и вместо этого они могли сосредоточиться на добавленной стоимости, которую они должны были принести нашим клиентам. Мы делаем это, следуя принципам BFLNT, которые я описал в предыдущем сообщении блога.

Наконец, это сочетание операционной и финансовой эффективности, а также уровня автоматизации в подразделениях помогает нам разрабатывать все более рентабельные решения и обеспечивать нашим клиентам еще большее соотношение цены и качества.

CAPEX — это ценность
Чтобы поддержать свои амбиции, компании, которые несут высокие капитальные затраты, тратя большие суммы на инвестиции в недвижимость или оборудование, никогда не получают высокой оценки на финансовом рынке. Чтобы обезопасить эти крупные инвестиции, они часто используют сложные — даже непрозрачные — финансовые схемы, которые воспринимаются как слишком большой риск.

Для OVHcloud эти большие суммы являются основой нашей действенной модели — инвестирования в строительство и улучшение наших центров обработки данных, обновление производственного оборудования и приобретение новых производственных помещений. Наша бизнес-модель полностью демистифицирует эти масштабные инвестиции, поскольку она изначально обеспечивает возврат инвестиций. Наша способность инвестировать за счет повышения прибыльности позволила нам привлечь капитал в 2016 году (279 миллионов долларов от KKR и TowerBrook) и даже привлечь долг в конце 2019 года (976 миллионов долларов). CAPEX — это наш основной вектор создания стоимости. Мы должны постоянно инвестировать в будущие инновации и инфраструктуру, чтобы обеспечить нашу устойчивость и конкурентоспособность.

Благодаря всей работе, проделанной за последние три года, мы также смогли внести огромные изменения в нашу бизнес-модель. С помощью сложного анализа, который мы получили, теперь мы можем рассчитать цену сервера на основе нескольких переменных, таких как время выполнения обязательств, объем заказа, тип сервера и инвестиционные затраты на инфраструктуру и сам бизнес. Эта новая финансовая модель внутри компании называется «Джекпот», так как любое сокращение наших капитальных или операционных расходов (операционных расходов), безусловно, снизит цену для наших клиентов. И в случае, если мы не предоставляем ожидаемую цену — а это означает, что наши решения CAPEX или OPEX недостаточно оптимизированы — мы всегда ищем, где мы можем внедрять инновации и на каком уровне нам нужно изменить. Потому что, если мы уменьшим наши затраты, мы снизим наши цены, а не увеличим маржу. Эта постоянная самоанализа через инновации позволяет нам предлагать клиентам более выгодные цены, как мы скоро сделаем это с Premium Bare Metal Cloud.

T3-96-6KW-W
96 серверов на стойку мощностью 6 кВт
при 4 уровнях стоек у нас 384 сервера типа ADV-1/2/3
Все серверы имеют водяное охлаждение.
PUE = 1,07
Это означает лишь 7% потерь энергии!


Новые методы использования ресурсов
Наша цель — стать мировым экспертом в Premium Bare Metal Cloud. Мы хотим встряхнуть рынок с 350 до 2500 долларов в месяц (для серверов премиум-класса высшего класса) и стать эталоном, как мы уже делаем для серверов начального и среднего уровня. Клиенты, которым нужна максимальная мощность и мощность, начнут замечать первые результаты нашей стратегии. Чтобы лучше выполнять свои задачи, к концу 2020 года наши публичные цены упадут. Но мы сохраним такую же высокую производительность. В дополнение к нашей промышленной модели, которая уникальна в плане полного контроля и позволяет нам постоянно адаптироваться, в последние месяцы именно наша новая бизнес-модель «Джекпот» помогла нам пойти еще дальше. И на основе этой новой модели мы рассмотрели все — серверы, сеть, энергоснабжение и водяное охлаждение. Сейчас, более чем когда-либо, мы являемся лидером по цене по своему замыслу.

POC HGv2 / FSv2 T5 2U 2x25G+2x50G


Новая финансовая модель, позволяющая нам более точно отслеживать жизненный цикл продуктов, также позволяет нам пересмотреть наши модели обязательств. До конца года мы предложим более конкурентоспособные цены по долгосрочным обязательствам. В дополнение к уже доступным моделям ежемесячной оплаты, то есть без обязательств или с обязательством на 6, 12 или 24 месяца, мы также предложим планы с обязательствами на 3, 4 или 5 лет. Наши цены будут еще лучше для клиентов, которые могут использовать как объем (3 или 12 стоек с 48 или 96 серверами), так и продолжительность (3, 4 или 5 лет). В будущем наши клиенты также смогут получать почасовые расценки на Bare Metal с посекундной оплатой.

Наконец, для клиентов, которым требуется много серверных стоек и которые не хотят управлять своей инфраструктурой, мы уже можем предоставить частные помещения в наших центрах обработки данных с 12, 24 или 48 стойками *, оборудованными камерами, значками и журналами. Этот вариант использования удовлетворяет потребности не только клиентов Bare Metal Cloud, но также клиентов Public Cloud и Hosted Private Cloud в режиме «частного региона». Начиная со 100 стоек, мы можем поставить настоящие частные центры обработки данных в зданиях третьих сторон (в помещениях клиентов) *, где бы они ни находились. Это значительно снижает их затраты. Для этих центров обработки данных мы применяем наш промышленный и технический опыт, в том числе нашу эксклюзивную технологию водяного охлаждения, и все наши аппаратные инновации, включая самые последние технологии на рынке. Мы также управляем всеми уровнями программного обеспечения и их жизненными циклами.

Глобальное воздействие
Цель этого сообщения в блоге — не детализировать наши будущие предложения, а объяснить долгий путь, который привел к снижению цен на Premium Bare Metal Cloud. Но если вы подписаны на мою учетную запись в Twitter (@olesovhcom), вы, возможно, видели некоторые их превью, потому что я регулярно делюсь информацией о нашей работе.

«We need GPUs. Lot of GPUs.»
New POC: AI Training, Inference, (Software in VDI)aaS.
OVHcloud will offer a large range of the products AI/DL+ML based on GPU/CPU/FPGA/Optical.




Всего OVHcloud скоро предложит около 300 моделей Bare Metal Cloud! Это очень широкий диапазон, и наши маркетинговые команды взяли на себя впечатляющую задачу, предложив упрощенный просмотр, чтобы вы могли найти именно то, что вам нужно. В конце октября 2020 года название меню изменится с «Сервер» на «Bare Metal Cloud». Это будет первым шагом в переходе, который произойдет в ближайшие месяцы, с гораздо более ориентированным на использование подходом, таким как виртуализация, хранение, глубокое обучение, базы данных и т. Д. Цель состоит в том, чтобы упростить ваше путешествие, и поможет вам легко выбрать модели, наиболее соответствующие вашим потребностям.

Как внутренние клиенты, наши три других облачных юниверса (веб-облако, общедоступное облако, размещенное частное облако), которые все полагаются на наши инфраструктуры Bare Metal Cloud, также получат выгоду от этих инноваций и новых цен. Прежде чем оказывать такое глобальное влияние, нам нужно было изучить основы облака. Ожидайте отличных анонсов в 2020-2021 годах!

working on BETA Public Cloud IAaaS Deep Learning for training and inference… deploying 2 clusters (> 5M cores each) in FR and CA… the technology PaaS will allow to reduce the cost by 50% vs hyperscalers and change the mindset: run the jobs, not VMs



Чтобы узнать больше, отправляйтесь на OVHcloud EcosystemExperience, наше новое виртуальное мероприятие, которое состоится 3, 4 и 5 ноября.

Мы докажем вам конкретными словами, что, нестандартно мыслящие через разрушение и создавая прочную экосистему, мы ежедневно помогаем сделать OVHcloud подлинной альтернативой в облачной индустрии.

Бастион OVHcloud SSH - Часть 2: головокружение от делегирования

Это вторая часть серии блогов, вот и первая. Ранее мы обнаружили, что бастион не является вашим обычным SSH-хостом jumphost (на самом деле, мы обнаружили, что это вообще не Jumphost), и обсудили, как делегирование было одной из основных функций, которые нам изначально нужны. Итак, давайте углубимся в эти концепции. На бастионе есть две совместимые модели доступа: персональный и групповой.


Личный доступ — кусок торта
На бастионе каждая учетная запись имеет (как минимум) один набор личных выходных ключей. Эти звери генерируются при первом создании учетной записи. Личный выходной закрытый ключ находится в домашней учетной записи бастиона. У пользователя учетной записи нет возможности увидеть его или экспортировать из бастиона, но он может использовать его с помощью логики кода бастиона. Пользователь может получить соответствующий открытый ключ в любое время и установить его — или получить его — на удаленных серверах, к которым он должен получить доступ. В зависимости от вашего варианта использования и уровня автономии, который вы хотите предоставить командам, есть два способа управления этим личным доступом.

Угощайтесь
Первый способ имитирует управление доступом, если бы вы вообще не использовали бастион SSH. Это совершенно правильный способ обработки доступа на простом уровне без слишком большого количества пользователей и ограниченного числа машин. Это позволяет каждому предоставить себе личный доступ на бастион, не прося об этом кого-то другого. Звучит как дыра в безопасности, но это не так. Если кто-то добавляет себе личный доступ к удаленному серверу, он будет работать только в том случае, если его личный выходной открытый ключ уже установлен на удаленном сервере. Другими словами, либо у него уже был доступ к удаленному серверу для этого — используя средства, отличные от бастиона, — либо кто-то, у кого был доступ к удаленному серверу, принял добавление своего ключа. В любом случае, он не может волшебным образом предоставить себе персональный доступ без разрешения администратора удаленного сервера его ключа.

Спросите ИТ-специалистов
Другой способ справиться с этим может заключаться в предоставлении ограниченному количеству людей, например службам безопасности, право добавлять личные доступы другим лицам. Таким образом, люди становятся менее автономными, но это может быть полезно, если добавление доступа должно осуществляться через нормализованные процессы. Это также дает некоторые приятные эффекты: как системный администратор, вы можете создать 3 отдельные учетные записи на удаленном компьютере и сопоставить их с каждой добавляемой учетной записью бастиона. Это хороший метод для достижения сквозного отслеживания; в том числе на удаленном сервере; где вы, возможно, захотите установить auditd или аналогичные инструменты. Это также можно сделать в режиме помощи самому себе, но это может быть сложнее обеспечить.

Чтобы быть ясным, эта модель доступа не так эффективно масштабируется, когда мы имеем дело с целыми командами или крупными инфраструктурами — здесь нам пригодится групповой доступ.

Групповой доступ — Let's Rock
Группа состоит из трех компонентов:
  • Список участников (аккаунты, представляющие отдельных людей)
  • По крайней мере, один набор групповых выходных ключей
  • Список серверов (фактически IP)


Список серверов
Список серверов на самом деле представляет собой список IP-адресов или IP-блоков. Они сопоставляются с вашими серверами, сетевыми устройствами или чем-либо еще с поддержкой SSH, имеющим IP-адрес (на котором был установлен ключ исходящей группы). Технически этот список состоит из трех элементов: удаленный пользователь, удаленный IP (или блок IP), удаленный порт. То, что относится к личному доступу, также применимо и здесь: добавление сервера в список не дает ему доступа волшебным образом, сначала необходимо установить открытый ключ исходящей группы. Конечно, управление установкой этих ключей вручную быстро становится непрактичным, но вы можете рассмотреть эту часть конфигурации серверов, поэтому ими следует управлять с помощью той централизованной системы конфигурации, которую вы уже используете (Puppet, Chef, Ansible, / bin / cp… подожди, нет, ударил последний).

Список участников
Члены — это люди, которые могут подключаться к любому серверу, указанному в списке серверов группы. Они будут использовать закрытый ключ исходящей группы, к которому у них есть доступ, как члены указанной группы. Конечно, у них нет возможности извлечь этот закрытый ключ для собственного использования за пределами бастиона, они могут использовать его только через логику кода бастиона.

У вас новый член команды? Просто добавьте их в свою группу, и они мгновенно получат доступ ко всем серверам группы. Кто-нибудь уходит из компании? Просто удалите там аккаунт на бастионе, и все доступы мгновенно пропадут. Это так, потому что все ваши серверы должны иметь входящие сеансы SSH, ограниченные вашими бастионами. Таким образом, любой мошеннический ключ SSH, который был бы добавлен, больше не будет использоваться.

И еще немного
Мы рассмотрели основы группового подхода, но, поскольку нам нужна большая гибкость и делегирование полномочий, нужно охватить еще немного. Помните, я сказал, что в группе 3 компонента? Я соврал. В группе есть больше, чем просто участники. Дополнительные групповые роли включают:
  • Гости
  • Привратники
  • Aclkeepers
  • Владельцы

Все это списки учетных записей, играющих определенную роль в группе.

Во-первых, гости. Они немного похожи на участников, но с меньшими привилегиями: они могут подключаться к удаленным машинам с помощью ключа группы, но не ко всем машинам группы, а только к подмножеству. Это полезно, когда кому-то за пределами группы нужен конкретный доступ к определенному серверу, возможно, на ограниченный период времени (поскольку для таких доступов может быть установлен срок действия).

Затем привратники. Эти ребята ведут список участников и гостей группы. Другими словами, они имеют право давать право доступа. Здесь нет ничего сложного. Затем есть помощники по хозяйству. Как вы уже догадались, они управляют списком серверов, входящих в группу. Если у вас есть автоматизация управления предоставлением серверов вашей инфраструктуры, эта роль может быть предоставлена ​​учетной записи робота, единственной целью которой будет обновление списка серверов на бастионе полностью интегрированным способом с вашей подготовкой. Вы даже можете пометить такие учетные записи, чтобы они никогда не смогли использовать SSH через бастион, даже если кто-то предоставит их по ошибке!

И последнее, но не менее важное: владельцы имеют наивысший уровень привилегий в группе, что означает, что они могут управлять привратниками, хранителями учетных записей и списком владельцев. Им разрешено давать право давать право доступа. Более того, пользователи могут накапливать эти роли, что означает, что некоторые учетные записи могут быть, например, участником и привратником одновременно.


Глобальные роли — Приходите получить
Помимо только что описанных ролей, которые относятся к группе, существуют две дополнительные роли, охватывающие весь бастион: «супервладелец» и «администратор бастиона».

Короче говоря, супервладелец — это неявный владелец всех групп, присутствующих на бастионе. Это удобно, если группа становится бесхозной, поскольку супервладельцы могут назначить нового владельца. Видишь, куда я иду? Супервладельцам разрешено давать право давать право давать право доступа.

Головокружение еще не закончилось? Теперь о самой влиятельной роли: админке бастиона. Эта роль должна быть предоставлена ​​только нескольким лицам, поскольку они могут выдавать себя за кого угодно (даже если, конечно, когда они это делают, это регистрируется и заставляет наш SIEM покраснеть), и на практике не следует отдавать никому, кто еще не получил root-права в самой операционной системе бастиона. Помимо прочего, они управляют конфигурацией бастиона, где объявлены супервладельцы. Задержи дыхание. Готов? Им разрешено давать право давать право давать право давать право доступа. Вот почему делегирование лежит в основе системы: у каждого есть свой набор обязанностей и потенциальных действий, без необходимости спрашивать администратора бастиона.

Подведение итогов
Все концепции управления доступом, о которых мы говорили, сопоставлены с реальными командами. Их можно запускать на бастионе после аутентификации пользователя (знаменитое входящее соединение). На бастионном жаргоне их называют командами ош. В этом случае нет исходящих соединений, так как эти команды взаимодействуют с самим бастионом:


Как вы могли заметить на скриншоте выше, версия программного обеспечения Bastion очень близка к 3.00.00! Может быть, приближается интересная веха?

В следующей части этой серии блогов мы рассмотрим некоторые детали реализации одного из этих плагинов osh, а точнее, наш подход к программированию безопасности и защиты.