Next-Generation Firewall или межсетевой экран следующего поколения (NGFW) — пятое поколение устройств безопасности. У нас они защищают ЦОД и периметр публичного облака, но вообще NGFW работают и с SDN, и в виртуализации, и в облачных хранилищах. Немного расскажем об общих для всех NGFW моментах и остановимся на решении одного из наших вендоров — Sangfor NGAF. Это NGFW+ WAF со зрелым функционалом, адекватной стоимостью и высоким уровнем детектирования вредоносного трафика.

Основной функционал NGFW

В базовый набор большинства NGFW входят стандартные функции защиты: DPI, IPS, фильтрация по URL, Application Control и «песочница», аутентификация, DLP.

DPI

DPI или глубокая проверка пакетов — это основное, чем NGFW отличается от предыдущих поколений фаерволов. Технология контролирует  и управляет сетевым трафиком на уровне приложений. Проще говоря, когда DPI проверяет пакеты трафика, она оценивает их не только по названию, но и по содержанию. Если содержимое пакета соответствует настройкам безопасности, заданным администратором, DPI пропускает пакет. Если нет — перенаправляет или блокирует его.

IDS/IPS

Системы обнаружения и предотвращения вторжений. Как только IPS/IDS

обнаруживают признаки компрометации инфраструктуры, они блокируют вредоносный трафик в реальном времени. При этом система предотвращения вторжений следует концепции «запрещено все, что не разрешено». То есть, если ей не удается идентифицировать приложение или она обнаруживает, что сервис ведет себя нетипично, приложение блокируется.

Фильтрация по URL

Чтобы предотвратить загрузку данных с подозрительных сайтов, NGFW фильтрует сайты по URL. У разных производителей эта функция реализована по-разному: где-то в виде прокси-сервера, где-то через проверку и фильтр адресов ресурсов в прозрачном режиме.   

Application Control

Контроль приложений (Application Control) мониторит метки сетевых приложений. Как только пользователь запускает неизвестное ПО, срабатывает метка, и межсетевой экран блокирует запуск. Параллельно администратор получает соответствующее уведомление. 

Когда новое ПО или непроверенное приложение все-таки нужно запустить, NGFW позволяет сделать это в «песочнице». Безопасная копия сети изолирована от основной, поэтому если что-то пойдет не так, сеть организации не пострадает.

Аутентификация

Эта функция аутентифицирует пользователей, прежде чем дать им доступ к веб-приложениям или другим сервисам инфраструктуры. При этом варианты аутентификации напрямую зависят от сложности и ответственности операций. Так, для удаленного администрирования сети система потребует аппаратный идентификатор или инициирует двухфакторную аутентификацию. Для доступа к веб-ресурсу, система проверит  SSL-сертификаты.

DLP

DLP отслеживает потоки данных, уходящие за периметр локальной сети. Если в потоке обнаруживается конфиденциальная информация, поток блокируется. Критерии конфиденциальности в каждом конкретном случае настраиваются индивидуально: сигнальные слова, типы файлов, номера банковских карт или телефонов. Функция полезная, но у разных межсетевых экранов реализована в разном масштабе.

Помимо базовых возможностей в набор некоторых NGFW включаются дополнительные механизмы. От антифишинга до автоматической оценки бизнес-рисков. Однако без единой концепции управления, корректных и регулярно актуализируемых настроек ИБ все это «богатство» малоэффективно. 

Чтобы каждая из функций работала на корпоративную безопасность, межсетевой экран должен стать частью концепции нулевого доверия (ZTNA). На текущий момент одним из NGFW, который соответствует концепции и поддерживает ее принципы, является Sangfor NGAF.

База Sangfor NGAF

Разработчик решения — компания Sangfor Technologies. Это крупный китайский вендор систем сетевой безопасности и оптимизации сети. У компании 22 года экспертизы в сфере кибербезопасности, впечатляющий портфель решений и масса наград, в том числе и от легендарного Gartner. 

Например, в 2022 году Sangfor попал в «магический квадрант» Gartner для сетевых брандмауэров. Причем компания второй год занимает в Magic Quadrant Gartner позицию визионеров.

Sangfor Technologies пришла на российский рынок в прошлом году и быстро запустила русскоязычную поддержку по своим продуктам. Что очень показательно, особенно на фоне многочисленных отказов большинства западных вендоров.

Что может Sangfor NGAF

Производитель позиционирует Sangfor NGAF как первый в мире NGFW с поддержкой потокового антивируса на базе искусственного интеллекта Engine Zero. ИИ обучали на миллионах образцов вредоносных программ, поэтому он реагирует даже на новые варианты носителей вируса. 

В 2017 году именно Engine Zero идентифицировал и классифицировал программу-вымогателя BadRabbit, не используя базу сигнатур. На данный момент антивирус Sangfor обнаруживает и устраняет более 99,76% внешних угроз на периметре сети.

Помимо базовых функций NGFW, которые мы разбирали выше, и потокового антивируса Engine Zero, в набор сервисов Sangfor NGAF включены:

• Аналитика угроз, интегрированная с облачной платформой Neural-X. Платформа собирает и классифицирует данные по индикаторам компрометации, подозрительным адресам и тактикам злоумышленников.
• Брандмауэр веб-приложений. Sangfor NGFW интегрирован с NG-WAF для защиты веб-приложений. WAF работает на базе семантического анализа и встроенной виртуальной системы выполнения (Virtual Execution System – VES). В зоне ответственности WAF защита веб-приложений от SQL-инъекций, межсайтового скриптинга и других сложных атак.
• Встроенная защита от программ-вымогателей. Система собирает данные из сети и конечных устройств, визуализируя процесс и позволяет прервать его одним кликом.  Причем процесс не только прерывается — Endpoint Secure и Cyber ​​Command, интегрированные с NGAF Sangfor, уничтожают приложение, контролирующее шифрование.

Как показали наши тесты с аппаратным Sangfor NGAF M5300, это решение закрывает большинство потребностей в защите периметра облака Nubes. Для нас это первостепенно, поскольку защищая свою инфраструктуру, мы защищаем и наших клиентов. 

Для заказчиков, которые пользуются нашими сервисами SaaS и Managed Security Service (MSS), мы предлагаем Next Generation Firewall Sangfor NGAF для защиты сетевого корпоративного периметра. Решение доступно для тестирования или пилотного проекта, по результатам которого у вас будут объективные результаты эффективности сервиса.

В нашем ЦОД Nubes Alto мы развернули защищенное облако и назвали его Next Generation Cloud (NG Cloud). Это принципиально новый продукт с комплексным механизмом защиты IT-инфраструктуры.

Техническая база публичного облака NG Cloud

NG Cloud работает на аппаратной базе Lenovo и Huawei. Мы предполагали, что клиентам будут интересны кастомизированные облачные решения, поэтому сформировали вычислительные кластеры под разную нагрузку. Подобрали для них процессоры Intel Xeon Gold 6226R 2.9GHz и Intel Gold Хeon 6254 3,1 ГГц, а в качестве серверов взяли двухсокетные серверы Lenovo и четырехсокетные Huawei. Под СХД задействовали проверенные на других виртуальных инфраструктурах Lenovo, Huawei, InfiniDat. Быстрый доступ к данным обеспечили традиционной сетью на 25 Гбит. Ресурсы каждого клиента изолировали на сетевом уровне. 

Все элементы инфраструктуры зарезервировали по схеме N+1 или 2N. Для интернет-канала проложили собственную ВОЛС. Она протянута до М9 по двум маршрутам, которые не пересекаются друг с другом. 

Соглашение об уровне обслуживания (SLA) сервиса  NG Cloud гарантирует доступность клиентских виртуальных машин 99,99%. По времени это не более 4 минут простоя в месяц. Остальные параметры SLA обеспечивают среднее время доступа к SSD-диску ≤ 3мс, скорость процессора MIPS/1 vCPU ≥ 3000 и производительность 1 ТБ SSD ≥  4000 IOPS. Более чем достаточно для построения отказоустойчивых кластеров, размещения баз данных и серверов приложений, поддержки высоконагруженных онлайн-проектов, и платежных систем. 

Принципиальные отличия NG Cloud от классического публичного облака

Классические публичные облака обычно защищают сторонние ИБ-решения, а для размещения персональных данных нужная отдельная IT-инфраструктура, соответствующая 152-ФЗ. Next Generation Cloud уже аттестовано по 152-ФЗ и включает четыре встроенных инструмента облачной информационной безопасности:

1. Система защиты от DDoS-атак уровня L3-L4. Когда сервис фиксирует DDoS-атаку, он переключает клиента на отдельный канал с фильтром HTTP(S) флуда. Так, несмотря на DDoS-атаку, облако и размещенные в нем системы продолжают работать.

2. Сканер уязвимости IP. Система реализована по модели Black Box: сканер ищет уязвимости по IP клиентов, формирует базу подозрительных адресов и консолидирует данные в отчет.

3. Система мониторинга событий ИБ с помощью SIEM-системы Wazuh. Инструмент собирает, сохраняет и отслеживает логи виртуальной инфраструктуры. Можно настроить регулярную передачу ИБ событий в SIEM клиента по FTP или получать их по запросу.  

4. Форензика для быстрого и четкого расследования киберинциндентов. Этим занимаются наши партнеры, и для детализации процесса мы сразу определяемся с ответственными сторонами, порядком передачи данных и регламентом оплаты.

Возможности сервисов ИБ расширяют опциональные инструменты защиты облака в виде NGFW, WAF, защиты от DDoS-атак уровня L7, взломов и других киберинциндентов. Мы подключаем их по запросу. Специально не стали вносить эти сервисы в основной набор инструментов, так как они во-первых, не всем нужны и ощутимо удорожают аренду ресурсов, во-вторых, требуют тонкой индивидуальной настройки под каждого клиента, т.е. попросту не могут быть предоставлены “из коробки”. Кроме того, если вы планируете серьезно усилить защиту облака в конкретном направлении, из дополнительных сервисов можно выбрать набор инструментов с учетом специфики угроз.  

Новое облако Next Generation Cloud стало закономерным развитием нашего подхода к усилению кибербезопасности и повышению качества технических решений. Однако, мы по-прежнему предлагаем:

• бесплатный двухнедельный период для тестирования или запуска пилотного проекта в облаке,
• дружелюбный сервис и быструю техническую поддержку без лишней бюрократии,
• нестандартные конфигурации и адаптивность решений под индивидуальные задачи бизнеса.

Заполните заявку на тестирование и оцените облако с учетом ваших нагрузок и требований к отказоустойчивости. Или обсудите план миграции со специалистами Nubes по тел.: +7 (495) 789-4135, e-mail: info@nubes.ru.

Когда компания мигрирует в облако, первое, о чем ей приходится задуматься — защита данных в облаке. В этой статье мы расскажем об «узких местах» облачной информационной безопасности и основных способах защиты данных в виртуальных средах. 

Чтобы говорить о безопасности облачных систем и приложений, для начала нужно унифицировать требования к ИБ. Клиент под безопасностью может понимать безусловную невзламываемость облачного решения, а провайдер — набор из базовых инструментов межсетевого экранирования периметра, анализа логов и защиты от DDoS. Прийти к единому знаменателю помогает разграничение зон ответственности: за какой уровень безопасности отвечает провайдер, а за какой — компания.

Под контролем провайдера обычно находится облачная инфраструктура до уровня гипервизора:

• физическая безопасность серверов и программных средств виртуализации, включая служебные системы для поддержки облака,
• управление логами, которые создают компоненты облака,
• доступы и рабочие места персонала провайдера.

Операционные системы, поднятые в облаке виртуальные машины, развернутые бизнес-приложения, сети и настройки контролирует клиент. В классической реализации модели IaaS у провайдера нет доступа к IT-системам заказчика, так что настройки IP-адресов, доступ к панели управления облаком, обновление операционной системы находятся исключительно в зоне ответственности заказчика.

Чтобы свести к минимуму риски безопасности облака, провайдер и клиент закрывают вопросы безопасности:

а) каждый в своей зоне ответственности, 

б) целиком и полностью,

в) решениями, которые соответствуют уровню сложности задачи. 

Для этого достаточно наладить адекватную коммуникацию. Как минимум, обговорить ответственность за ИБ-вопросы и согласовать методы защиты информационных систем в «узких местах». 

Проблемные зоны информационной безопасности в облаках и методы их защиты

Доступ к облачной инфраструктуре

Сегмент подключения площадки клиента к облаку — потенциально опасная зона. В каждой точке контакта, от панели управления до виртуальных серверов, есть риск несанкционированного доступа. Хорошей практикой на этом участке является использование VPN с криптостойкими алгоритмами шифрования. Если добавить к VPN двухфакторную аутентификацию и «проброшенные» для внешнего доступа порты, можно с уверенностью говорить о безопасном удаленном доступе к ИТ-инфраструктуре компании. 

Шифрование данных

Шифровать можно и информацию, передаваемую по каналам связи, и данные на серверах. При этом выбор инструмента зависит не только от типа кодирования — сценарии шифрования определяются внутренней политикой ИБ компании, а также государственными стандартами и нормативами. Так, у регуляторов есть определенные требования к передаче персональных данных согласно 152-ФЗ и работе критической информационной инфраструктуры 187-ФЗ. Под такие задачи настраивается специальное ГОСТ-шифрование.

Концепция нулевого доверия

Модель нулевого доверия или Zero Trust базируется на принципе потенциальной опасности любых точек контакта информационных систем с внешними сетями и ресурсами. Концепция требует:

• устанавливать минимальные привилегии пользователя,
• аутентифицировать и авторизовать его при каждом доступе к системе,
• сегментировать IT-инфраструктуру на микроучастки с разным уровнем доступа,
• мониторить все без исключения объекты IT-инфраструктуры, чтобы обнаруживать уязвимости или атаки на раннем этапе.

Для оптимизации облачной инфраструктуры по модели нулевого доверия, компания разрабатывает политики безопасности, и уже в соответствии с ними подбирает и настраивает технологии защиты под компоненты Zero Trust. 

Резервирование данных

Несмотря на обязательность резервирования данных, то и дело появляются истории, когда виртуальные машины «нечаянно стерли», а файлы в хранилище «по ошибке удалили». Защитить приложения в облаке от программных сбоев, технических неисправностей и человеческого фактора помогают управляемые сервисы резервного копирования — аварийное восстановление, репликация и резервирование в удаленное облако. Они обеспечивают непрерывность работы бизнес-критичных приложений и помогают без потерь восстановить инфраструктуру после аварии или сбоя. 

В практике информационной безопасности облачных систем актуальны два подхода к реализации мер защиты. В первом облако поставляется с единым набором встроенных сервисов, таких как NG Cloud, с предустановленной защитой от DDoS L3/L4, сканером уязвимостей IP-адресов, сбором событий ИБ и форензикой. Во втором заказчик передает поставщику облачных услуг определенный участок жизненного цикла приложений, а провайдер подбирает для него комплекс управляемых ИБ-сервисов. Мы в Nubes работаем с обоими сценариями — предлагаем функционально безопасное облако «под ключ» для сложных, высоконагруженных проектов или подбираем платформенные сервисы для точечного решения ИБ-задач.

Представляем вам новое облако Nubes — облако следующего поколения Next Generation Cloud. Это отказоустойчивая облачная инфраструктура со встроенными средствами киберзащиты и архитектурой безопасности в соответствии с ФЗ-152. Комплексное решение для высоконагруженных проектов, команд разработки, размещения серверов приложений и баз данных, хранения и обработки ПДн. 

Next Generation Cloud (NG Cloud) работает на базе ЦОД Nubes Alto. Поднято на процессорах Intel Xeon Gold 6226R 2.9GHz и Intel Gold Хeon 6254 3,1 ГГц, 4-сокетных серверах Huawei и 2- сокетных серверах Lenovo. В качестве СХД взяли Lenovo, Huawei, InfiniDat. 

Основное отличие NG Cloud от классического облака — единый набор встроенных сервисов безопасности и аттестованная IaaS-платформа. Набор встроенных сервисов безопасности закрывает основные вопросы киберзащиты IT-инфраструктур наших клиентов. Аттестация платформы по 152-ФЗ позволяет хранить и размещать в облаке персональные данные в соответствии с требованиями регуляторов — Роскомнадзора и ФСТЭК. 

В NG Cloud работают следующие инструменты информационной безопасности:

1. Защита от DDoS-атак уровня L3-L4.

2. Сканер уязвимостей IP на основе IS-Systems Continuous Scanning Data Center Edition.

3. Сбор событий ИБ с помощью SIEM-системы Wazuh.

4. Форензика или расследование киберпреступлений. 

Дополнительно подключается отправка логов в SIEM клиента, расширенные отчеты по уязвимостям и пентест, система антибот, WAF и защита от DDoS-атак уровня L7. 

Обращаем внимание на SLA. Для NG Cloud гарантированная доступность сервиса повышена до 99,99%, то есть максимальное время недоступности виртуальных машин клиента составляет не более 4 минут в месяц. Кроме того, SLA стал более гибким и предусматривает адаптацию к требованиям заказчика. Кластеры разной производительности для наибольшей персонализации под ваши задачи делают сервис доступным для любых проектов.

Next Generation Cloud открывает новую страницу в развитии компании и новые возможности для наших клиентов. 

Под Colocation традиционно понимают размещение серверного оборудования клиента в машинном зале ЦОД. Причем это и аренда места под стойку, и поюнитное размещение, и аренда серверного зала. Попробуем разложить колокейшн по полочкам и показать, кому и в каких случаях подходит каждый из вариантов.

Поюнитный колокейшн

При поюнитном колокейшн клиент арендует один или несколько  юнитов для сервера/маршрутизатора/фаервола и т.п. Под эту услугу выделяется отдельный серверный шкаф, где одновременно размещается несколько клиентов. Поюнитное размещение в Nubes Alto доступно для клиентов облака и телеком провайдеров. Причем в рамках услуги вы можете разместить не только серверное и сетевое оборудование, но и программно-аппаратные СКЗИ. 

Кому подходит: в силу невысокой стоимости поюнитный колокейшн интересен малому бизнесу, у которого есть собственные серверы, но их размещение не требует в части ИБ наличия выделенной стойки. Также телеком операторам и клиентам, размещающим основную ИТ инфраструктуру в облаке, а сетевое оборудование или СКЗИ - в поюнитной стойке. 

Аренда стойко-места + аренда серверной стойки

В рамках аренды серверного шкафа клиент арендует у дата-центра комплекс в виде подготовленного стойко-места с определенной подведенной мощностью, самой серверной стойки, а также PDU. Он может под завязку заполнить ее оборудованием или занять всего один юнит. В любом случае платит за стойку целиком. К стойке при необходимости добавляются кроссировки, ABP, каналы связи. Все, что потребуется для надежной работы оборудования. 

Кому подходит: среднему бизнесу. Обычно в ситуациях, когда компании критично контролировать доступ к своему оборудованию или для организации резервных мощностей. Также аренда стоек интересна компаниям с гибридной инфраструктурой, когда часть процессов работает в публичном облаке, а часть остается в приватной виртуальной среде, развернутой на собственном оборудовании.  

Аренда стойко-места

Здесь клиент арендует только место в серверном зале с подведенной мощностью и охлаждением. Оборудование у него свое, стойки тоже. От дата-центра аренда стойко-места требует определенной гибкости — необходимо устанавливать стойки разной ширины и разной глубины,  на 42U, 47U или 48U рационально и компактно. И безопасно. Дело в том, что оборудование с разной подведенной мощностью должно охлаждаться равномерно, а глубокие, высокие или высоконагруженые стойки требуют ювелирного расчета охлаждения. Так, под нестандартные стойки с нагрузкой от 12 кВт мы организуем дополнительную изоляцию холодных коридоров.

У Nubes Alto достаточно компетенций, чтобы принимать на размещение стандартные и нестандартные серверные шкафы и располагать их в зале так, чтобы в зале не оставалось глухих участков, а с оборудованием было удобно работать. Под аренду стойко-мест предлагаем подведенную мощность 1-18 кВт и дополнительное оснащение, от АВР и PDU до средств физической защиты доступа (СКУД, дополнительные видеокамеры, датчики и пр).  

Кому подходит: среднему и крупному бизнесу с нестандартным серверным парком, высоконагруженными системами, например, на базе SAP и собственными облаками. Услуга интересна и компаниями с перспективой расширения IT-инфраструктуры. В последнем случае стойко-место резервируют под перспективы расширения и, по мере необходимости, развивают систему так, чтобы не разносить стойки по разным частям зала.

Colocation как аренда части машинного зала

У нас такая услуга называется аренда cage. Эта все та же аренда стойко-места, но с дополнительным периметром защиты. Обычно ее заказывают под несколько стоек, которые защищают специальным ограждением со входом через СКУД. Дополнительно оснащают системами биометрических средств идентификации. Аренда cage разрабатывается по индивидуальному проекту, так что состав инструментов безопасности кастомизируется под задачи клиента. 

Кому подходит: крупным компаниям с высокими требованиями к ИБ в части физической безопасности, банкам, микрофинансовым организациям, а также для выполнения стандартов PCI DSS и ГОСТ Р 57580

У регуляторов, кстати, нет конкретных требований к выгородкам и защитным периметрам в дата-центрах. В основном, требования звучат как «оборудование помещений средствами (системами) контроля и управления доступом, контроль перечня лиц, которым предоставлено право самостоятельного физического доступа в помещения и контроль самостоятельного физического доступа в помещения для лиц, не являющихся работниками финансовой организации» (ГОСТ Р 57580.1-2017) и «исключение несанкционированного доступа к стационарным техническим средствам…и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей» (Приказ ФСТЭК от 18.02.2013 г. №21). Это оставляет определенную гибкость в выборе инженерных решений.

Аренда серверного зала

Под colocation этого формата отводится целиком машинный зал, в котором клиент устанавливает свои стойки или арендует стойки в ЦОД. Из всех форматов colocation это самая дорогая услуга:

• позволяет размещать ИТ-инфраструктуру под ресурсоемкие проекты. В нашем случае под аренду серверного зала выделяется машзал емкостью до 150 стоек. 
• рассчитана на установку стандартных и нестандартных стоек по индивидуальному проекту. Любые комбинации в рамках выделенных площадей!
• беспрецедентный уровень безопасности, включая кастомизированный набор средств защиты и вход в зал только для персонала заказчика. 

Кому подходит: крупному бизнесу на этапе развертывания резервных мощностей или развития обособленного проекта. Например, в рамках запуска нового направления, когда важно быстро управлять изменениями и на лету масштабировать бизнес-процессы. Также обособленный машзал выбирают предприятия, чью деятельность контролирует один или сразу несколько регуляторов: Центральный банк РФ, Федеральная служба по техническому и экспортному контролю, Совет по стандартам безопасности PCI и др.  

Обобщая Colocation

В целом, Colocation актуален для любого бизнеса, который использует физическое оборудование и требует максимального Uptime. Когда простой обходится дороже содержания собственной серверной.  

При этом совершенно не важно, на какие задачи это оборудование работает — частное облако или ресурсоемкий проект с ИИ. Независимо от формата, с colocation вы получаете стабильное электроснабжение, многоуровневую систему контроля и охраны, оптимальный для серверного оборудования микроклимат и техническую поддержку. 

Хотите оценить экономическую привлекательность Colocation в Nubes Alto в Москве? Позвоните или напишите нам с задачей: посчитаем достаточную и резервную мощности, определим оптимальный вариант размещения, обсудим сопутствующие услуги и оборудование.

Волну миграции с Microsoft Exchange вызвали санкционные риски. С марта 2022 года бизнес постепенно переходил на Р7-ОФИС, Tegu и даже VK WorkMail, но мы предложили клиентам Communigate PRO. И вот почему.

Сравнение Communigate PRO и MS Exchange

Communigate PRO — полноценная замена MS Exchange. Сравнивая функционал, мы видим практически полную идентичность поддерживаемых возможностей:

• Операционные системы Windows, Linux, Mac и многопользовательская Unix. При этом российская платформа работает с отечественными Astra Linux, BaseALT, RedOS и др.
• Почтовые протоколы SMTP, POP3, IMAP, MAPI. Только у Communigate PRO AirSync вместо ActiveSync.
• Почтовые клиенты MS Outlook, Apple Mail, Mozilla Thunderbird, а у Communigate PRO еще и отечественный Samoware.
• Мобильная версия и единое файловое хранилище.
• Управление настройками доступа, календарями, бронированием переговорных.
• Число пользователей не ограничено. 

Дополнительно в Communigate PRO настраивается чат, аудиозвонки и видеоконференции, коллегиальное использование файлов внутри домена без подключения файлового сервера. Это исключает необходимость пересылать внутри компании тяжелые документы или видео по e-mail. Достаточно поделиться ссылкой.

Еще одно отличие Communigate PRO от MS Exchange — антивирусная защита. У первой это Kaspersky. У второго — Exchange Online Protection. 

Приятная изюминка Communigate — подключение функции контакт-центра. Она позволяет прямо на платформе развернуть площадку для организации call-центра, и операторы смогут звонить непосредственно из веб-интерфейса Битрикс24 или другой CRM. Достаточно настроить интеграцию.

Редакции Communigate PRO

Как облачный сервис Communigate доступен в двух редакциях. Публичная развернута на публичном сервере, ресурсы облака используют несколько компаний, а провайдер отвечает только за инфраструктуру. В нашем случае мы берем на себе еще и контроль прав пользователей.

В приватной редакции Communigate PRO сервис размещается на отдельном (частном) сервере и все IT-ресурсы принадлежат одному клиенту. От публичной редакции приватная отличается еще и уровнем ответственности провайдера: все вопросы по обслуживанию, индивидуальным настройкам, управлению правами пользователей, соответствию 152-ФЗ и интеграции с Active Directory клиента решают специалисты Nubes.

Базовый сценарий миграции с MS Exchange на Communigate PRO

Communigate PRO поддерживает миграцию по стандартным протоколам и через специальные утилиты. Вариант с утилитами мы выбираем, когда совпадают почтовые ящики mbox и Maildir или протокол позволяет подключить только один сервер. Опишем последовательность этапов миграция на Communigate через утилиту ex2cgp.exe. Верхнеуровнево она выглядит следующим образом:

1. Создаем конфигурацию Outlook и добавляем учетную запись Exchange. Для этого в Active Directory присваиваем записи статус администратора группы.

2. Отключаем режим кэширования Exchange и проверяем, чтобы в конфигурации Outlook была только одна учетная запись Exchange.

3. На облачной платформе создаем домен с именем, дублирующим домен Exchange.

4. От имени администратора запускаем утилиту ex2cgpui.exe 

5. В графическом интерфейсе утилиты настраиваются параметры экспорта из Exchange (список почтовых ящиков, пользователей, почтовые контакты, атрибуты, списки рассылки).

6. Настраиваются параметры импорта в Communigate (хосты, порты, безопасное соединение, имя и пароль учетной записи администратора), создаются имена и псевдонимы, копируются данные почтовых ящиков, календарей и папок пользователей Exchange.

7. Переносим корпоративные политики безопасности. Или меняем их под текущие задачи.

8. Настраиваем защиту от вирусов и спама, резервное копирование.

9. Почтовый трафик переключаем на CommuniGate, а сервера Exchange выводим из эксплуатации.

В зависимости от объема данных, полная миграция на Communigate PRO занимает от одного дня до двух недель. При этом, если взять за основу практику частичной миграции, можно сначала перенести почтовые ящики, чтобы сотрудники продолжали вести переписку, после чего последовательно импортировать календари, настроить управление переговорными и пр.

Обратите внимание, что вышеприведенный план миграции на Communigate PRO — базовый. Он применим к стандартной IT-инфраструктуре с числом пользователей до 1-2 тыс. Перенос почтового сервиса для 5…10 тыс. пользователей планируется и реализуется по индивидуальному сценарию.

Для сервиса Communigate PRO, как и для всех облачных услуг, доступен бесплатный тестовый период. Двух тестовых недель обычно достаточно, чтобы оценить производительность, функциональность и web интерфейс платформы.

Оставьте заявку и получите консультацию по сервису со списком данных для подключения тестового периода.

Технология удаленного рабочего стола изменила привычную модель работы среднего и крупного бизнеса. Если раньше компании покупали набор ПО для каждого сотрудника и устанавливали его на ПК, с удаленными столами все стало проще: бизнес берет в аренду виртуальный сервер с определенным комплектом программ и обеспечивает персоналу стабильный доступ к нужным приложениям. Как работает эта технология, почему ее выгодно подключать как сервис и какие преимущества она обеспечивает бизнесу — разберемся в этой статье.

Что такое «удаленный рабочий стол» и как работает виртуализация рабочего стола

Удаленный рабочий стол — виртуальное рабочее место, развернутое на виртуальном сервере. В нашем случае, в облаке Nubes. Технология виртуализации отделяет рабочую среду от терминалов пользователей, и сотрудники получают доступ к нужному набору программ и приложений.

Виртуализация рабочего стола работает на базе технологий VDI и RDS. По технологии VDI для каждого пользователя запускается отдельная виртуальная машина. Она может быть постоянной или сменной. У постоянной настраивается набор уникального ПО, машина сохраняется за пользователем. У сменных виртуальных машин рабочий стол не закрепляется за пользователем, так что на каждом новом сеансе он получает новый рабочий стол, созданный на основе мастер-образа и данных профиля.

Технология RDS работает по протоколу RDP и для доступа к удаленному рабочему столу на терминале сотрудника запускается клиентское ПО. Рабочие столы развернуты внутри одной, общей для всех виртуальной машины и не закрепляются за пользователем. В отличие от VDI, сотрудники используют единую операционную среду, общий набор программ и аппаратные мощности.

Выбор технологии зависит от числа пользователей и параллельных сессий, нагрузки, установленных программных решений. Дополнительно учитывается стоимость решения, необходимый уровень изоляции ресурсов, гибкость конфигурирования и управления правами пользователей.

Чем аренда выгоднее виртуализации на собственных ресурсах

Чтобы развернуть VDI или RDS на собственных мощностях, бизнес закупает оборудование, лицензию, оплачивает установку, настройку, в том числе параметров информационной безопасности (многофакторная аутентификация, разделение прав доступа и пр.).

С услугой аренды компания получает удаленный рабочий стол как готовый сервис — настроенные, защищенные рабочие места с нужным набором ПО, подключенной многофакторной аутентификацией, системой мониторинга, инструментами и хранилищем для резервных копий. Все то же самое, что и в первом случае, только минус капитальные затраты на железо и настройку, плюс прогнозируемые расходы для прозрачного бюджетирования.

Конкретные преимущества, которые аренда удаленного рабочего стола обеспечивает бизнесу

Аренда удаленного рабочего стола позволяет быстро и с минимальными расходами организовать дистанционную работу сотен и даже тысяч сотрудников. В считанные часы, с защитой от утечки данных и без потери производительности. Если конкретизировать, увидим:

1. Феноменальную скорость масштабирования. Рабочее место, удаленная команда, региональный филиал подключаются в течение часа. Аппаратных ресурсов Nubes и технологических возможностей ПО Citrix достаточно, чтобы в любой момент нарастить мощности.

2. Минимальный штат IT-специалистов. За стабильность виртуальных рабочих столов отвечает провайдер. Он же решает вопросы подключения новых пользователей, балансировки нагрузки, резервного копирования. Системному администратору остаются только внутренние задачи: управление сеансами через панель Citrix Desktop Studio, выключение/перезагрузка рабочих мест, техническая поддержка первого уровня.

3. Централизованное управление из одних рук. Установка новых программ, обновление системы выполняются из одной точки обслуживания, то есть все пользователи или сотрудники группы одновременно получают обновленное ПО.

4. Снижение издержек и прозрачная система расчетов. Из бюджета на ИТ выбывают такие статьи расходов как приобретение, обновление и ремонт сервера, покупка новых лицензий, обслуживание аппаратной базы. Тарификация предельно проста: стоимость аренды удаленных рабочих мест рассчитывается по фиксированной цене за место. Все настолько прозрачно, что расходы на аренду удаленного рабочего стола можно распланировать на месяцы вперед. Впрочем, если нагрузка уменьшится, мы можем отключить часть рабочих столов. Тогда в конце месяца вы оплатите только фактически использованные мощности.

5. Гарантию непрерывной работы. При аренде удаленных рабочих столов провайдер обеспечивает финансовую гарантию доступности сервиса. У нас это 99,95% и не более 5 мс задержки внутри сети.

Преимуществ у услуги много, но у каждого бизнеса своя структура приоритетов. Одному критична высокая скорость реакции. Другому — снижение затрат на развертывание и обслуживание. Мы рекомендуем просчитать каждый вариант применительно к вашим задачам. 

Расскажите, какую проблему хотите решить и каких результатов добиться. Мы подберем конфигурацию и предложим экономически оправданное решение.

Растущий бизнес и облака созданы друг для друга: можно расти вместе со спросом, запускать проекты без капитальных вложений и платить только за то, что используешь. Удачная стратегия для компаний в стадии роста! 

Как она работает — разберем в этом материале.

Точка отсчета

В мировой бизнес-практике много примеров, когда компания с классической On Premises-архитектурой при выходе на новый этап развития уходила в облака. Это и Netflix, чьи сервера в какой-то момент не справились с нагрузкой. И Spotify, у которой год за годом падала окупаемость дата-центров. И автолизинг Газпромбанка с его планами региональной экспансии. Примеров много, но стимулы миграции у большинства компаний схожи. Мы объединили их в четыре категории.

Сложность масштабирования распределенных ИТ-систем

Этот как раз вариант Netflix. Спусковым крючком для миграции бизнеса в облако стало повреждение базы данных. В августе 2008 года БД Netflix легли на три дня и компания, тогда еще рассылавшая DVD почтой, на три дня оказалась парализована. Облачные сервисы обещали большие вычислительные ресурсы с гарантированной безопасностью и возможность быстро масштабироваться. В Netflix решились на переход, и за семь лет перенесли в IaaS-инфраструктуру все сервисы.

Как пояснил Юрий Израилевски (Yury Izrailevsky), вице-президент по разработке облачных решений и платформ Netflix, помимо быстрого горизонтального масштабирования, компания получила еще и доступность в пределах 99,99%, экономию на запуске потоковой передачи и сокращение time-to-market в 1,5-2 раза.

Снижение окупаемости On Premises-архитектуры

У Spotify стимулом для перехода в облака стала банальная экономия. С каждым годом дата-центры Spotify в Великобритании и США окупались все хуже и хуже. Основные ресурсы шли на увеличение мощностей и обслуживание инфраструктуры, но стриминговый сервис хотел заняться инновациями.

С переходом в облака он получил свободные деньги и свободные руки для инноваций и роста. К тому же сработал эффект масштаба, и теперь вместо пиковых 800 000 потоков на классической инфраструктуре, на виртуальной Spotify передает до 3 000 000 потоков в секунду.

Недостаточно скорости и гибкости, которые нужны завтра

В 2016 году в Evernote сами себе задали вопрос: смогут ли серверы и сети, которые у компании есть сегодня, завтра обеспечить 200 млн. клиентам высокий уровень качества, производительности и безопасности? Видимо, ответ Evernote не устроил, потому что буквально за полгода сервис перенес все свои процессы в виртуальную инфраструктуру.

После миграции в облако для бизнеса, Evernote снизила накладные расходы и получила расширенный функционал для быстрого аварийного восстановления. Кроме того, у разработчиков компании появился доступ к более широкому набору технологий и инструментов.

Нехватка ресурсов для форсированного выхода на региональные рынки

По этому пути пошли в «Газпромбанк Автолизинг», когда компанию выделили в отдельное направление из ГК «Газпромбанк Лизинг». Практически сразу после реорганизации корпоративные и клиентские сервисы «Автолизинга» перенесли в виртуальную среду.

За счет миграции в облако для бизнеса компания планировала ускорить экспансию на региональные рынки. Стратегия сработала: облачные сервисы помогли в сжатые сроки запустить 24 представительства в стране, а заодно ускорить time-to-market и поддержать главное конкурентное преимущество — заключение сделок и обслуживание договоров в удаленном режиме.

Варианты миграции и их особенности

Миграция компании в облако может быть гибридной или полной. В гибридном формате одна часть данных остается на серверах дата-центра, другая переносится в публичные или частные облака. Полная миграция реализуется по стратегии cloud-only: размещение рабочих мощностей, вычислений и процессов исключительно в IaaS-среде. С переходом на cloud-only у компании меняется программная архитектура и даже принципы разработки. В зависимости от контекста бизнеса, у этого варианта есть и преимущества и недостатки.

Основное преимущество — возможность непрерывно развиваться. Свою роль играет и экономия на накладных расходах и гибкость разработки, но самый ощутимый эффект дает:

• скорость масштабирования,
• высокий уровень автоматизации в разработке, тестировании и выводе на рынок нового продукта.

В облаке развивающийся бизнес может быстро делать именно то, что помогает ему развиваться: быстро разрабатывать сервис или цифровой продукт, так же быстро тестировать его пробные версии, и еще быстрее запускать новые итерации под запрос аудитории.

Из недостатков миграции в облако заслуживают внимания две проблемы. Во-первых, чем компания старше и масштабнее, тем сложнее и длительнее переезд. Это закономерно: много данных, сложные процессы, разнородный парк оборудования с унаследованными и устаревшими системами. У Netflix, например, на переезд всех сервисов ушло чуть меньше 7 лет. Относительно молодой в те годы Spotify, у которого на момент миграции было всего 100 млн пользователей, потратил на эти же процессы 3 года. Еще более молодой автолизинг «Газпромбанка» переехал в облако в год создания. 

Во-вторых, ИТ-системы бизнеса часто не готовы к облакам. В основном потому, что существующие сервисы плохо совместимы с современными виртуальными средами. Переезд таких систем требует либо кардинальной пересборки, либо перехода на гибридную структуру.  Оба варианта предполагают глубокую отраслевую экспертизу. 

У каждого бизнеса свои спусковые крючки и свой путь освоения облачных решений. Но мы видим общие тенденции и пользуемся наработками более чем 100 миграций, поэтому можем объективно оценить перспективы перехода и обойти подводные камни без убытков и потерь.

В первом квартале 2022 года DDoS Intelligence зафиксировали 91 052 DDoS-атак на российские сайты и IT-системы. При этом более 55% кибератак были направлены на взлом и кражу конфиденциальной информации. К сожалению, предпосылок для снижения уровня угрозы нет. В таких условиях важно понимать, насколько устойчив сайт к незапланированным всплескам активности и насколько он защищен от проникновений. Ответы на все эти вопросы дает стресс-тестирование.

Стресс-тестирование — совокупность методологий оценки безопасности IT систем. В нее входит классическое стресс-тестирование на отказ в обслуживании, анализ поведения веб-сервиса на пиковых нагрузках, тестирование попытки технического взлома и проникновение методом социальной инженерии. В рамках этого материала поговорим пока только о классическом стресс-тесте и пентесте.

Задачи стресс-тестирование сайта

При стресс-тесте выясняется, насколько сайт устойчив к естественным диспропорциональным нагрузкам, как ресурс ведет себя при DDoS-атаке, выдержит ли UDP-флуд, SYN-флуд и HTTP-флуд, а также в течение какого времени система защиты от DDoS может результативно отражать атаку. Последнее — важно, поскольку согласно отчету Лаборатории Касперского «DDoS-атаки во втором квартале 2022 года», тенденция второго квартала настораживает: атаки стали длительнее и сложнее. Многие длятся сутками — рекордной стала вредоносная активность на протяжении 29 дней. Увеличилась и доля «умных атак». Почти половина всех DDoS-активностей разработана под конкретный сайт, учитывают его архитектуру и уязвимости.

Алгоритм стресс-тестирования сайта

Для стресс-тестов сайта используются специализированные программные инструменты, однако подход к оценке системы безопасности примерно одинаков:

• определяют метрики и диапазон KPI;
• разрабатывают сценарии атак (превышение пропускной способности канала,  «медленные запросы», HTTP (s) flood, ресурсоемкие запросы и пр.)
• специалисты организуют контролируемые DDoS-атаки на всех возможных уровнях,
• постепенно наращивают нагрузку, например, с шагом 15-25% RPS (количество запросов за секунду),
• фиксируют текущий уровень устойчивости сайта,
• определяют предельные нагрузки, на которых сайт «ложится»,
• идентифицируют слабые места,
• составляют рекомендации по повышению устойчивости системы защиты сайта.

Для чего нужен стресс тест

Если говорить о сайтах, то стресс-тестирование актуально, в первую очередь для ресурсов, у которых стоимость отказа исчисляется сотнями тысяч или миллионами. Здесь достаточно посчитать, какую сумму потеряет бизнес, если DDoS-атака обрушит биллинговую систему или «положит» интернет-магазин на старте распродажи.

Мы рекомендуем стресс-тестирование сайтам на старых CMS. Многие из них заточены под лимитированный объем трафика и не рассчитаны на превышение нагрузки. Стресс-тест помогает определить предел устойчивости ресурса на этой CMS и рассчитать, что выгоднее — периодически терять N трафика и транзакций или переносить ресурс на новую систему управления контентом. 

Стресс-тестирование сайта проводится для только что запущенных проектов. В основном это крупные СМИ, маркетплейсы, корпоративные ресурсы b2b сегмента. Им важно определить нормальный и критический объем трафика, чтобы сразу заложить резерв мощности и понимать, как масштабировать ресурсы на случай пиковой нагрузки.

Задачи пентеста

Главная задача пентеста сайта — определить, может ли текущий уровень защищенности выдержать кибератаку для получения несанкционированного доступа. Например, если хакер пытается через офисный сегмент сети проникнуть в рабочий периметр, чтобы получить доступ к персональным данным. Или найти доступ к файловой системе с правами редактирования данных.  

Насколько это актуально — показывает статистика Group-IB, разработчика решений для защиты интеллектуальной собственности в сети. По сведениям компании за весну и лето 2022 года у российских предприятий тем или иным образом было украдено более 200 баз данных. Основными мишенями оказались видеосервисы, медицинский бизнес и компании отрасли доставки. 

План пентеста сайта

Для тестирования сайта на возможность хакерского вторжения, пентест дробится на этапы:

1. Определяется сценарий. В рамках «черного ящика» специалисты получают только адрес сайта. С «белым/серым ящиком» у них есть административный доступ к CMS или учетная запись пользователя.

2. Выбирается цель пентеста. Обычно это либо проникнуть как можно глубже в систему, либо найти как можно больше уязвимостей.

3. Находятся уязвимые компоненты сайта, программные закладки и ошибки в настройках хостинга, оборудования.

4. Выбираются инструменты и наборы средств для проникновения.

5. Специалист, моделируя действия хакера, ведет атаки на выявленные уязвимости.

6. Полученные результаты документируются.

7. Определяются приоритетные и не критичные уязвимости.

8. Составляется список рекомендаций по их устранению.

Пентест считается завершенным, если специалисту удается выполнить поставленную задачу или заканчивается время, выделенное на проект.

Кому и когда нужен пентест

Современные пентестеры — не просто «белые хакеры» с прокачанными навыками технического взлома. Это специалисты с огромным портфелем техник и инструментов, знанием тонкостей социальной инженерии, пониманием технической и организационной структуры систем информационной безопасности (ИБ). Это делает пентест сложной, трудоемкой и довольно дорогой услугой. Она оправдана, когда:

• на сайте есть критичные для бизнес-деятельности данные,
• тестирование на проникновение необходимо для выстраивания целостной стратегии ИБ;
• компании важно обосновать расходы на мероприятия по защите информации;
• нужно определить вектор развития ИБ.

Обратите внимание! Пентест обязателен для предприятий госсектора, банков и других компаний, которые являются одним из компонентов критической информационной государственной структуры. Для них защита информации, условия пентеста и требования к пентестерам жёстко регулируется нормативными документами ФСТЭК, ФСБ и Банка России.

В остальных случаях бизнес может заказать пентест под свои задачи. От проверки корпоративного сайта компании до тестирования его отдельных компонентов.

Главное — чётко понимать, что одним пентестом защита сайта не исчерпывается. Результаты нужно будет переложить на практику, интегрировать с итогами стресс-теста и внедрить полученные рекомендации.

Когда ИТ-рутина отнимает больше ресурсов, чем развитие бизнеса, администрирование Windows и Linux на уровне платформы выделяют в отдельный процесс. Тогда поддержкой и обслуживанием операционных систем занимаются сертифицированные специалисты, а более высокоуровневые задачи можно переложить на штатный персонал.

Pадачи, которые решает администрирование операционных систем

Администрирование операционных систем — классический аутсорсинг. Этот сервис выбирает бизнес, у которого нет соответствующих компетенций или их реализация «на стороне» более выгодна. С точки зрения практики администрирование операционных систем силами подрядчика решает пять практических задач:

1. Обеспечить стабильную работу операционной системы в соответствии с установленными метриками. Понятие «стабильный» довольно растяжимое, поэтому для администрирования ОС устанавливается SLA с четко определенными параметрами. У Nubes в SLA администрирования ОС входит глубина хранения резервных копий, время реакции на инцидент и время его решения, глубина хранения данных по мониторингу.

2. Проверять обновления и новые конфигурации ОС. Чтобы обновления не ломали ОС и не замедляли работу прикладных приложений, перед установкой обновлений Microsoft и Linux специалисты тестируют их в «песочнице». Если все в порядке, запускают в продуктивную среду.

3. Контролировать производительность ОС и решать проблемы, если они возникают. Сюда входит инсталляция и первичные настройки, оперативное реагирование на проблемы, консультации, контроль параметров доступа, оценка производительности.

4.  Много времени занимает отчетность и планирование нагрузки. Еще больше уходит на регулярный мониторинг. Это важные, но ресурсоемкие процессы. Если переложить их на подрядчика, можно освободить от рутины одного или нескольких штатных администраторов.

5. Сократить расходы на специалистов узких компетенций. На кадровом рынке не так много специалистов, работающих с отраслевыми дистрибутивами и узкопрофильными системами для корпоративного использования. Специалистов не только мало — они стоят больше рынка, поэтому с форматом сервиса администрирования ОС у бизнеса гораздо больше шансов получить качественную поддержку за вменяемые деньги.

Инструменты безопасности

Передавая операционную систему для администрирования, компания делегирует подрядчику значительную часть полномочий по управлению и поддержке бизнеса. Вполне естественно, что заказчика волнует, каким образом провайдер гарантирует надежность и безопасность услуг.

В нашем случае надежность и безопасность администрирования Windows и Linux обеспечивает специализированный набор ИТ-инструментов:

• Система контроля и отслеживания действий Wallix. Инструмент записывает действия системных администраторов в реальном времени, сохраняет их и сводит в наглядные отчеты. Это снижает риск неправомерных действий привилегированных пользователей.
• Хранение логов в облачном хранилище. Даже если логи уничтожат на сервере, мы всегда сможем достать их из хранилища.
• Чтобы минимизировать человеческий фактор при настройке ПО, используем программное решение Ansible.
• Собираем метрики работы ОС каждые 5 секунд. В случае нештатной ситуации эти данные помогут найти причину сбоя и принять взвешенное решение.
• Разумное ограничение прав. Следуем принципу наименьших привилегий и выдаем пользователям тот минимум прав, который нужен для работы. Без «про запас» и «на всякий случай».
• Виртуальный резерв оборудования. Если серверное оборудование выйдет из строя, развернем бэкап в облаке Nubes и запустим виртуальные серверы для безотказной работы бизнес-систем.

Администрирование ОС как сервис — перспективный вариант для малого бизнеса, который понимает риски самостоятельной поддержки операционных систем. И выгодный для крупных компаний, которые посчитали рентабельность перехода на подрядный формат, хотят сэкономить на налоговых издержках и взносах за сотрудников. 

Более предметно риски и экономию применительно к конкретному бизнесу можем обсудить по телефону +7 (495) 789-4135 или info@nubes.ru.