Ещё раз о безопасности данных - Академия Selectel

Ещё раз о безопасности данных

Александр Тугов Александр Тугов Директор по развитию услуг 8 октября 2014

На волне последних событий и скандалов, связанных с безопасностью и сохранностью информации, пользователи стали уделять гораздо больше внимания информационной безопасности. Вот и на встречах с нашими партнерами и потенциальными клиентами меня всё чаще спрашивают: как вы защищаете клиентcкие данные?

Изображение записи

На волне последних событий и скандалов, связанных с безопасностью и сохранностью информации, пользователи стали уделять гораздо больше внимания информационной безопасности. Вот и на встречах с нашими партнерами и потенциальными клиентами меня всё чаще спрашивают: как вы защищаете клиентcкие данные?

Мой ответ на этот вопрос многих удивит: никак. Такой ответ не просто удивляет, а даже шокирует как клиентов, так и представителей разного рода контролирующих инстанций. Мы не делаем резервных копий клиентской информации. Никаких особых мер по обеспечению ее постоянной доступноcти (за исключением того, что прописано в SLA) мы тоже не принимаем. «Как такое может быть?» — спросите вы. Ответ очень прост: мы предоставляем клиентам инфраструктуру — набор инструментов для построения информационных систем.

И как же быть с сохранностью, доступностью и защитой? Перефразирую известную цитату: «Ответственность за сохранность данных — дело рук владельца этих самых данных». Но не пугайтесь, ничего особенного не требуется — достаточно проследить за всеми четырьмя аспектами безопасности: физический доступ, контроль прав, шифрование, резервное копирование. Рассмотрим подробнее каждый аспект.

Обеспечение физической безопасности

Об этом нашим клиентам беспокоиться не нужно. Все дата-центры у нас оборудованы системами охраны, контроля доступа и видеонаблюдения. На нашем официальном сайте обо всем этом можно почитать более подробно, с фото- и видеоиллюстрациями. Особое внимание мы уделяем вопросам обеспечения отказоустойчивости (см. публикацию на эту тему здесь). Клиентам, предъявляющим повышенные требования к защите информации, мы скоро будем предлагать в аренду так называемые кейджи — полностью изолированные помещения, куда никто, кроме самого клиента, не будет иметь доступа, даже наша техподдержка.

Контроль прав доступа

Клиент, в особенности если он хранит на сервере важные и конфиденциальные данные, может и должен позаботиться об организации и разграничении доступа к ним в соответсвии с внутренними регламентами своей организации. При сдаче сервера клиенту мы обязательно устанавливаем стойкий пароль на учетную запись Администратора / root-пользователя и рекомендуем клиенту сразу же заменить его на свой собственный пароль. Управление правами доступа как на самих серверах, так и в нашей панели управления — обязанность клиента. Еще раз напомним о типичных ошибках, связанных с управлениями правами:

  • Регистрация аккаунта организации на одного из сотрудников вместо регистрации на юридическое лицо. Следствие — потеря доступа к аккаунту и данным при недоступности этого сотрудника (увольнение, отпуск, болезнь).
  • Предоставление полных прав доступа к серверу кому-то, кроме системных администраторов (программисту, пользователю и т.д.). Следствие — случайное удаление данных, повреждение рабочей конфигурации сервера и другие проблемы, которые в свою очередь могут стать причиной внепланового простоя сервисов.

Корпоративным клиентам стоит особенно внимательно отнестись к этому пункту: никто лучше их не знает административную организацию компании и не может соответствующим образом настроить права доступа.

Шифрование данных

Утечка корпоративных или клиентских данных — крайне неприятное событие, способное поставить крест на дальнейшем развитии бизнеса. Минимизировать риск утечки можно с помощью шифрования данных при передаче и при хранении. Для шифрования передачи данных используются защищенные соединения, в частности, протоколы SSL, TLS, IPsec и т.д. Если ваш проект предполагает возможность подключения к серверу с конфиденциальными данными с удаленных компьютеров или мобильных устройств, то оптимальным решением будет VPN-соединение со стойким шифрованием всего трафика. Организовать такое соединение можно с помощью аппаратного файерволла или используя специализированное ПО на одном из серверов. Внутри наших дата-центров данные клиентов надежно изолированны на уровне сети — каждому клиенту выделяется отдельный VLAN; возможна также организация изолированной локальной сети. Для виртуальных серверов используются антиспуфинговые фильтры.

Шифрование данных на дисках не играет критической роли, так как мы гарантируем ограничение физического доступа как к серверам, так и к их дискам. При этом мы никак не ограничиваем клиентов в использовании инструментов для шифрования данных на дисках. Перед сдачей другому клиенту вся информация на дисках использованного сервера уничтожается в соответствии с внутренними регламентами.

Резервное копирование

Регулярное резервное копирование — залог сохранности данных. Эту, казалось бы, азбучную истину многие забывают, и вспоминают о ней лишь тогда, когда возникают проблемы. О различных способах резервного копирования мы тоже уже писали. Для хранения резервных копий можно использовать наше облачное хранилище (подробнее об этом —раз и два). Также настоятельно рекомендуем не пренебрегать использованием отказоустойчивых RAID. Использование RAID позволит избежать простоя при выходе из строя одного или даже нескольких дисков.

Наша практика показывает, что те, кто уделяет внимание всем перечисленным аспектам, занимаются развитием своего дела, и не тратят время на аварии и переписку с поддержкой. Также напомню, что наши специалисты всегда рады предоставить вам консультацию по техническим вопросам, а также помощь в рамках услуги администрирования.