Dedicated Servers are ISO 27001 certified

14 марта OVH получила сертификат ISO / IEC 27001: 2013 для Системы управления информационной безопасностью выделенных серверов.
Выделенные серверы OVH сертифицированы по ISO 27001


Эта сертификация, полученная после независимого аудита компанией LNE, дает уверенность клиентам и пользователям услуг, размещенных на этих серверах.


Что такое стандарт ISO 27001 и сертификация?
ISO / IEC 27001 — это международный стандарт, который описывает «требования к созданию, внедрению, поддержанию и постоянному совершенствованию системы управления информационной безопасностью» (СМИБ). В нем описывается организационный метод, который обеспечивает конфиденциальность, целостность, доступность и отслеживаемость информационной системы.

Ежедневная охрана
С самого начала OVH безопасность была одной из основных задач команд, которые проектируют, эксплуатируют и развивают сервисы. СУИБ направлена ​​на обеспечение систематического, сопоставимого и наглядного функционирования средств, применяемых для обеспечения безопасности.

СУИБ — это подход к созданию, поддержанию, мониторингу и обеспечению постоянного улучшения инструментов и процессов для:
  • Идентифицировать и консолидировать обязательства и обязательства OVH с точки зрения информационной безопасности.
  • Установите соответствующие, понятные и последовательные цели информационной безопасности.
  • Внедрить подход, основанный на оценке риска, для определения и определения приоритетов улучшений безопасности.
  • Установить, индустриализировать и использовать меры безопасности.
  • Общайтесь и координируйте свою деятельность со всеми вовлеченными внутренними и внешними заинтересованными сторонами.

На ежедневной основе СУИБ состоит из управления всеми рискованными действиями для службы, такими как права доступа, конфигурации системы и оборудования, обновления программного обеспечения, обновления инфраструктуры, удаление данных, распределение между средами, мониторинг и инциденты. Обеспечение абсолютной безопасности не является реалистичной целью, но СМИБ помогает быстрее и надежнее выявлять уязвимости, ошибки и неисправности. СУИБ обеспечивает быстрое выполнение корректирующих действий, и эти действия выполняются с течением времени.

Усилие команды
Команда экспертов по безопасности работает с командами, отвечающими за разработку и эксплуатацию сервиса, службы поддержки клиентов, отделов продаж и руководства OVH, чтобы определить приоритеты этих улучшений. Координируя эти различные перспективы в рамках жизненного цикла продукта, подход, основанный на оценке риска, обеспечивает быструю, прагматичную и промышленную адаптацию систем и процессов к быстро развивающейся среде угроз.

Сертифицированный аудит
Сертификационные аудиты проводятся аккредитованными компаниями, в данном случае LNE, аккредитованными COFRAC. Сам аудит следует строгому формату и основан на формальных требованиях. Аудит является сложной задачей как для команд, так и для аудитора. На основе визитов в офис и центр обработки данных, собеседования в группах, подробного анализа документации и системного наблюдения в течение нескольких недель аудитор должен сформулировать свое мнение об актуальности проведенных мероприятий, их эффективности и, конечно же, их соответствие всем требованиям стандарта ISO 27001. Аудитор также определяет возможности для улучшения, которые следует рассмотреть в конце аудита.

Каков объем?
В сферу применения Системы управления информационной безопасностью входят предоставление, подключение, эксплуатационная поддержка и вывод из эксплуатации выделенных серверов, выделенных клиентам, ресурсы, предоставляемые клиентам для настройки, использования и мониторинга выделенной инфраструктуры и управления услугами группами OVH. Таким образом, СУИБ прочно ориентирована на обслуживание, предоставляемое клиенту.

Модульная система управления информационной безопасностью (СУИБ)
В некоторой степени все продукты OVH используют информационные системы для поддержки сервиса, и они сами размещены на выделенных серверах, как и все другие продукты OVH. Определение графа зависимостей и внутренних обязанностей является чем-то вроде загадки. Это было, однако, предпосылкой для определения ясной и понятной организации безопасности, которая позволила бы СМИБ эффективно функционировать. Был применен модульный подход для сегментирования и структурирования обязанностей каждой задействованной команды. Эти отношения определяются набором внутренних соглашений об обслуживании, определенных и отслеживаемых в СМИБ.

Например, центры обработки данных имеют отдельную СУИБ для обеспечения физической безопасности узлов хостинга и безопасности операций центра обработки данных. Данная СУИБ сертифицирована независимо и обеспечивает прочную основу для соответствия требованиям.

Сертификация ISMS выделенного сервера основана на сертификации центра обработки данных и охватывает серверы, размещенные в этих сертифицированных центрах обработки данных. На сегодняшний день речь идет о центрах обработки данных в Рубе (RBX 2,3,5,6,7), во всех центрах обработки данных в Страсбурге, Богарном, Сингапуре и Сиднее. Это касается и парижского центра обработки данных (P19), в котором размещается часть информационной системы, поддерживающей эту услугу, хотя он не размещает никаких выделенных серверов, выделенных клиентам. Хотя все серверы компании охвачены СМИБ, сертификация касается только этих центров обработки данных.

Что дальше?
ISO 27001 — это общий стандарт, который решает проблемы большинства наших клиентов и устанавливает основу и организацию для обеспечения безопасности обслуживания. Тем не менее, он не учитывает соответствие требованиям, связанным с конкретным сектором бизнеса. Стандарт ISO 27001 предусматривает возможность добавления дополнительных требований, и для этой цели разработана СУИБ «Выделенные серверы». Поэтому в СУИБ будут постепенно интегрироваться новые конкретные меры, чтобы покрыть, например, потребности в размещении личных данных о здоровье, требования банковского сектора или нормативные особенности государственного сектора в разных странах, где OVH предоставляет услуги.

Параллельно команды работают над расширением периметра сертификации, чтобы включить все центры обработки данных группы, в частности в ERI(UK), LIM(DE), WAW(PL) и GRA(FR). Цель состоит в том, чтобы предоставить всем клиентам OVH единый уровень обеспечения безопасности независимо от выбранного региона центра обработки данных.

Наконец, команды будут продолжать работать с другими командами продуктов, чтобы завершить каталог сертифицированных продуктов и постепенно расширять его до всех предложений OVH «Инфраструктура как услуга».

99,994% уровень доступности сервера (2019 января)



Каждые 5 секунд мы отправляем 1 пакет icmp на все наши IP-адреса (около 2M), сначала с 1-го DC, затем со 2-го, затем с 3-го. (ЕС, США) каждые 5 секунд, мы запускаем машинное обучение, чтобы выяснить, anti-paterns (время простоя, потеря пакетов, CRC, DDoS-воздействие, отключение ссылок) в январе 19 года SLA составил 99,994%

OVH's SmartFuse Technology

Каждый сервер защищен отдельно (Смартфусе), может быть выключен вручную, и мы mesure энергопотребление в режиме реального времени. Нет дополнительных кабелей: Ethernet над питанием (BPL/CPL) с шифрованием.

В последние две недели у нас есть

  • Upgraded AMS_IX from 6x100G to 8x100G at Amsterdam
  • Added 2x100G between our Nexus 7700 at Chicago
  • Upgraded quebecix from 4x10G to 8x10G at Montreal
  • Added 1x100G on our path between aris and Madrid with gtt_France


  • Added 2x100G on a new path between SanJose and LosAngeles with CenturyLink
  • Migrated our IP equipment in Toronto to a new private space + Upgraded them to a brand new couple of ASR9904 and Nexus 7710.

Объедините ваше частное облако с вашим Active Directory

Федерация — это бета-функция, предлагаемая всем пользователям OVH Private Cloud с vCenter 6.5. Если вы хотите принять участие в бета-тестировании, свяжитесь с нашей службой поддержки. Это позволяет использовать внешний Microsoft Active Directory в качестве источника аутентификации для доступа к серверу VMware vCenter. Реализация этой функции стала возможной благодаря команде DevOps OVH, которая разработала инновационный и уникальный API, который добавляет дополнительные функции к тем, которые предлагает VMware. Действительно, в настоящее время невозможно настроить источники удостоверений через собственный API vCenter.


Зачем?
По умолчанию права доступа к vCenter в частном облаке управляются непосредственно этим vCenter. Пользователи создаются локально (localos или домен SSO), а все механизмы управления на основе доступа (RBAC) управляются службой SSO. Включение федерации делегирует управление пользователями в Microsoft Active Directory (AD). В результате сервер vCenter будет взаимодействовать с контроллером домена, чтобы гарантировать, что пользователь, пытающийся подключиться, является тем, кем он себя считает. VCenter сохраняет управление ролями и привилегиями для объектов, которыми он управляет. После настройки федерации можно связать пользователей AD с ролями vCenter, чтобы они могли получать доступ и / или управлять определенными объектами в инфраструктуре (виртуальные машины, сети, папки и т. Д.).

Одним из основных применений этого будет облегчение доступа vCenter для администраторов за счет сокращения количества учетных записей, необходимых для поддержки различных элементов инфраструктуры. Кроме того, станет возможным расширить и унифицировать политику управления паролями между Active Directory и vCenter Private Cloud.

Тот факт, что Федерацией можно управлять через API OVH, позволяет автоматизировать конфигурацию, а также обеспечить ее поддержание в рабочем состоянии. Наконец, очень просто добавить проверки в любой инструмент мониторинга (Nagios, Zabbix, Sensu и т. Д.), Чтобы отслеживать состояние Федерации и права, назначенные пользователям.

Вот пример простого скрипта PowerShell, который будет периодически проверять, находится ли конфигурация федерации в желаемом состоянии:


Архитектура и предпосылки
Поскольку vCenter должен будет обмениваться данными с контроллерами домена, первым шагом будет разрешение потоков между этими элементами. Есть несколько способов достижения этой цели, например, объединение OVHCloud Connect с частным шлюзом. Изучение всех этих возможностей потребует целой статьи, поэтому мы советуем вам связаться с OVH или одним из наших партнеров, чтобы помочь вам выбрать наиболее подходящую архитектуру. Следующая диаграмма дает вам упрощенный обзор того, как это может выглядеть:


После подключения вам необходимо убедиться, что вы собрали следующую информацию перед началом процесса настройки:
  • Ваши учетные данные OVH (ник и пароль)
  • Название вашего частного облака (в форме pcc-X-X-X-X)
  • Требуемая информация об инфраструктуре Active Directory, а именно:
  • Короткое и длинное имя домена Active Directory (например, contoso и contoso.com)
  • IP-адрес контроллера домена
  • Имя пользователя и пароль учетной записи AD с достаточными правами для просмотра каталога
  • Расположение групп и пользователей в иерархии AD как «базовое DN» (пример: OU = Users, DC = contoso, DC = com). Следует отметить, что хотя информация о группе является обязательной, в настоящее время ее невозможно использовать для управления аутентификацией.
  • Список пользователей Active Directory, которых вы хотите привязать к vCenter. Необходимо будет указать имена пользователей в форме username@FQDN.domain (например, federation@contoso.com).
Обратите внимание, что в настоящее время невозможно иметь несколько пользователей с одним и тем же коротким именем, независимо от того, управляются ли они локально или с помощью Active Directory.

Активация и настройка
Как только вы соберете всю необходимую информацию, появится возможность активировать и настроить Федерацию. Операция будет проходить в три этапа:
  • Активация связи между Active Directory и частным облаком
  • Привязка одного или нескольких пользователей AD к частному облаку
  • Назначение прав пользователям
На данный момент конфигурация доступна только через API OVH, но в среднесрочной перспективе должна быть возможность сделать это через Панель управления OVH. API предлагает все необходимые опции для активации, настройки или даже удаления федерации вашего частного облака:


Включение соединения между AD и частным облаком
Перейдите на сайт обозревателя API и выполните аутентификацию, используя свои учетные данные OVH. Если у вас его еще нет, получите имя (также называемое serviceName в API) вашего частного облака, так как оно будет обязательным для всех остальных этапов настройки. Вы можете получить доступ к этой информации, выполнив GET для /edicCloud URI:


Включите федерацию, предоставив всю информацию о вашей Active Directory через POST в URI /edicCloud / {имя_службы} / federation / activeDirectory. Вся запрашиваемая информация обязательна:


Активация федерации займет некоторое время и пройдет в фоновом режиме. Вы можете следить за ходом операции через панель управления OVH:


По завершении вы можете получить идентификатор федерации, отправив запрос GET на URI-адрес /edicCloud / {имя-службы} / federation / activeDirectory:


Связывание одного или нескольких пользователей AD
Теперь, когда ваша AD объявлена в vCenter Private Cloud, мы сможем привязать к ней пользователей Active Directory. Обратите внимание, что даже если ваши пользователи связаны, у них не будет связанных ролей vCenter, поэтому они не смогут войти в систему.

Чтобы связать пользователя, вам нужно будет отправить запрос POST в URI /edicCloud / {имя_службы} / federation / activeDirectory / {activeDirectory} / grantActiveDirectoryUser, указав полное имя пользователя:


Убедитесь, что пользователь присутствует в поисковом подразделении, которое вы указали при сопоставлении вашей AD с vCenter. Еще раз, вы можете проверить, что задача импорта выполняется через API или через панель управления:


Назначение прав доступа
Последним шагом будет предоставление пользователям прав доступа к различным объектам в виртуальной инфраструктуре. Этот шаг не отличается от обычного способа управления правами пользователей Private Cloud. Это можно сделать через API или панель управления OVH.



Теперь вы сможете войти в vCenter с пользователями вашей AD и начать управлять своим частным облаком!