Наши статусы

Public cloud since 2008

VMware Hybrid Cloud Powered

VMware Enterprise Service Provider

Скачайте книгу!

Наша электронная книга IaaS для бизнеса по кирпичикам для генеральных и коммерческих директоров

Iaas для бизнеса по кирпичикам

Центр компетенции

Приходите в наш центр компетенции, если вы хотите посмотреть корпоративное облако или выбрать систему хранения данных.

Центр компетенции

DRS в облаке

Организация площадки DRS в публичном облаке

Шифрование данных в публичном облаке — контроль и спокойный сон заказчика

01.01

Шифрование данных в публичном облаке — контроль и спокойный сон заказчика


В современном мире все больше компаний рассматривают процесс перехода в облако, и многих останавливает от выбора такого пути единственный вопрос – вопрос защищенности данных. Причем источником такого рода опасений являются как представители бизнеса, так и отделы безопасности, традиционно подозрительно относящиеся ко всему новому, особенно если это связано со снижением контроля либо увеличением списка допущенных к данным лиц. 

При этом конкретные задачи, которые ставятся перед сервис провайдером – это обеспечение защиты данных заказчика от доступа любых не авторизованных лиц, будь то сотрудники самого сервис-провайдера, либо любые третьи стороны, доступ которых к данным заказчик считает нежелательным.

В качестве решения этой задачи очевидным образом видится шифрование всех данных, расположенных в облаке, однако, как реализовать такое шифрование, когда традиционные решения являются или не поддерживаемыми в виртуальной среде (например, bitlocker для загрузочных дисков) или вообще не поддерживаемыми (например, бесплатный truecrypt), а самое главное – создают огромный management overhead для обеспечения их работоспособности.

Однако, немногие знают, что существуют корпоративные решения данной задачи, которые сочетают высокую степень защиты с удобством управления и использования.

В качестве решения для обеспечения шифрования данных в облаке мы предлагаем использование продукта SecureCloud компании Trend Micro, компании с мировым именем, основным профилем деятельности которой является корпоративная безопасность.

Данное решение обеспечивает управляемое шифрование данных заказчиков, расположенных в публичных облаках, и оно совместимо с большинством предлагаемых типов публичных облаков, в том числе облаками VMware vCloud, которые мы используем. Также, данное решение совместимо с большинством операционных систем, которые могут использоваться в виртуальных машинах.

Решение предоставляется непосредственно компанией TrendMicro по модели SaaS, что позволяет сохранить удобство для заказчика с моделью биллинга «по подписке». Также плюсами такого предоставления решения являются отсутствие потребности к созданию и поддержке собственных серверов, обеспечение высокой доступности приложения и  управление ключами шифрования и доступом к данным вне контроля сервис-провайдера.

Модель использования решения предполагает, что диски виртуальных машин зашифровываются с использованием ключей шифрования, которые хранятся в системе SecureCloud. Через систему SecureCloud инициируются процессы начального шифрования либо расшифровывания защищаемых дисков. При попытке доступа к данным происходит обращение к системе SecureCloud, в результате которого, в зависимости от определенных системой политик, происходит либо автоматическая разовая выдача ключа шифрования для расшифровки данных (например, для загрузки ОС), либо выдача ключа только после одобрения администратора.

Для использования в облачной среде важно, что возможность применения политик автоматической выдачи ключа позволяют, с одной стороны, повысить доступность сервисов исключив время реакции администратора клиента из процессов перезагрузки машины, например, в случае сбоев оборудования и срабатывания автоматической перезагрузки машин на других серверах, в случаях проведения согласованных плановых работ, связанных с перезагрузкой машин в окна обслуживания, при этом сохраняя невозможность получения ключа каким-либо ПО, кроме непосредственно защищаемой ОС, либо вне заданных условий функционирования, невозможность доступа к offline копиям данных и возможность в любой момент прекратить автоматическую выдачу ключей.

В данной статье мы не будем углубляться в исследование используемых механизмов шифрования, их криптостойкости и т.п. и поднимать hollywar-ы такой тематики. Фактически, все современные решения по шифрованию данных удовлетворяют потребностям типичных клиентов облачных провайдеров, а основной задачей самой системы защиты является ограничение не целевого использования данных, а не противостояние попыткам расшифровки государственных тайн иностранными спецслужбами. Более подробную информацию по деталям используемых технологий можно изучить в Internet. Основные моменты, которым мы уделим внимание – это механизмы управления и интеграции в существующие системы и процессы.

Архитектурно решение состоит из системы управления, предоставляемой как сервис с доступом через консоль управления и агентов, установленных на защищаемых виртуальных машинах. Консоль управления SecureCloud доступна по web по адресу console.securecloud.com и выглядит типично для большинства web консолей, а агент доступен для загрузки с сайта компании trendmicro. 

Первично для использования сервиса создаются учетные записи пользователей, которые будут управлять шифрованием и допуском к зашифрованным данным (в т.ч. политиками доступа и запросами на доступ). 

Также SecureCloud можно подключить к инсталляции DeepSecurity для обеспечения проверки защищенности машины от вирусов перед принятием решения о выдаче ключа:


Для начала использования системы необходимо установить на виртуальную машину агент и подключить его к системе управления. При этом при использовании заданного в настройках системы управления ключа виртуальная машина будет автоматически добавлена в Inventory:


Также, можно инициировать начальное шифрование данных (можно сделать это в дальнейшем через консоль управления):


После конфигурации соответствующая запись становится доступной через консоль управления, прогресс шифрования также отражается в консоли:


При необходимости, ключи можно экспортировать для безопасного сохранения на резервном носителе и импортировать.

После окончания процесса данные на дисках оказываются полностью зашифрованными, с ключом, сохраненном только в системе SecureCloud и оперативной памяти ОС виртуальной машины. Для управления процессом доступа к ключам используются политики, которые позволяют определить условия, при которых происходит автоматическая или ручная выдача, или отзыв ключа шифрования. В качестве условий кроме общих, таких как например ip адреса клиента, могут использоваться параметры антивируса TrendMicro:


В качестве возможный действий по запросу – ручное или автоматическое одобрение либо отказ в выдаче ключа


Также, есть возможность включение периодической проверки соответствия машины условиям, указанным в политике, с применением заданных действий в случае изменения условий.

При загрузке зашифрованной машины, перед ОС происходит загрузка агента, который, устанавливая безопасное соединение с системой SecureCloud, производит запрос ключа для доступа к данным:


Далее, в зависимости от установленных политик, происходит либо автоматическая выдача ключа, либо в системе SecureCloud появляется запрос на ключ, требующий ручной реакции:


После одобрения ключа загрузка системы продолжается.

Для обеспечения оперативного реагирования, система SecureCloud поддерживает гибкий механизм нотификаций о событиях, требующих реакции:


Вся информация о событиях и действиях, совершенных в системе как вручную, так и автоматически, доступна для просмотра через систему логгирования либо для создания регулярных отчетов.

Простота запуска и использования и, одновременно, высокий уровень контроля и безопасности, на наш взгляд, делают данную систему предпочтительной для использования компаниями, с одной стороны заинтересованными в защите своих данных от несанкционированного доступа любого рода, и с другой стороны, заинтересованными в удобстве и бизнес-эффективности применения облачных сервисов в качестве замены или для расширения собственной ИТ инфраструктуры.

Баяндин Е.А., директор по технической поддержке и сопровождению ООО «С 7 Трэвел Ритейл»

«Для размещения наших сервисов мы рассмотрели множество поставщиков услуг, по итогу выбрали компанию ИТ-ГРАД. Для начала перенесли тестовую среду, сейчас размещаем и часть продуктива. За время сотрудничества компания ИТ-ГРАД продемонстрировала ответственный и компетентный подход к выполнению поставленных перед ними задач.»

Все отзывы

Меркуданов Н.А., зам. генерального директора ООО «Бизнес Решение»

«На этапе выбора поставщика мы подвергли „ИТ-ГРАД“ всесторонней проверке как с технической, так и с организационной точки зрения. В процессе „ИТ-ГРАД“ показал себя с наилучшей стороны и остается нашим надежным партнером уже почти два года.»

Все отзывы

Отзыв руководителя информационно-аналитического управления РПЦ В.Кипшидзе

«Выражаем искреннюю благодарность и признательность ООО „ИТ-ГРАД“ и лично генеральному директору Гачко Д.В. за поддержку, оказанную православному интернет-проекту Prihod.ru, надежному партнеру Русской Православной Церкви в области медиа- и интернет-технологий.»

Все отзывы

Отзыв заместителя начальника отдела автоматизации ООО «Мицар» Алексея Доманникова

«Мы столкнулись с проблемой очистки почты от больших объемов вирусов и спама. ИТ-ГРАД обеспечил нас виртуальным сервером и необходимым количеством лицензий Spam Titan, соответствующим текущим потребностям компании.»

Все отзывы

Венедиктова Р.Э., генеральный директор ООО «Прометей»

«На протяжении уже более двух лет данная компания предоставляет нам услуги по организации виртуальной инфраструктуры на базе технологии VMware. Наш бизнес - это телекоммуникационные услуги, биллинг которых является одной из важнейших бизнес-задач компании "Прометей". Благодаря техническим решениям "ИТ-ГРАД" биллинг наших услуг обеспечивается на высочайшем уровне.»

Все отзывы

Андрей Охрименко, ит-директор интернет-магазина «Boutique.ru»

«На данный момент мы отказались от 30 рабочих станций и перевели клиентов на виртуальные десктопы на основе решения VMware View, развернутые в публичном облаке «IT-GRAD». Инфраструктура рабочих станций приведена к стандартному виду, что облегчает её поддержку, уменьшает время реакции на инциденты и облегчает процесс ввода/вывода новых рабочих мест для сотрудников.»

Все отзывы

Генеральный директор ООО «Комплект»

«На протяжении длительного времени наша компания сотрудничает с «ИТ-ГРАД». Мы пользуемся такими услугами, как организация рабочего места, телефония OCS, аренда 1С и хостинг почтового сервера. Благодаря работе специалистов этой компании, все наши сотрудники приносят значительный вклад в развитие бизнеса».

Все отзывы

Иващенко Елена Валентиновна, заместитель генерального директора ООО «Мосрегионвент»

«На протяжении 2 лет мы успешно сотрудничаем с компанией ИТ-ГРАД. Мы арендуем конфигурации 1С: Бухгалтерия 8.2 и 1С: Управление торговлей 8.2. Данные конфигурации были доработаны техническими специалистами ИТ-ГРАД в соответствии с нашими пожеланиями, за что выражаем им отдельную благодарность.»

Все отзывы

Карпухин Вячеслав, директор по информационным технологиям ООО «АРМАКС Групп»

«На основе выделенной инфраструктуры было организовано 2 виртуальных сервера: терминальный сервер+сервер 1С и сервер БД. Данный подход к организации ИТ позволил нам обеспечить качественную инфраструктуру для бухгалтеров и избежать капитальных затрат.»

Все отзывы

Шевченко Марина Сергеевна, директор ООО «Поверенный» (Бухгалтерский аутсорсинг)

«В «облачном» сервисе от «ИТ-ГРАД» привлекает защищенность данных. Можно быть уверенными в том, что будет использовано только лицензионное программное обеспечение и защищенное пространство.»

Все отзывы

Борис Грейдингер, директор по ИТ Компании ESET

«Мы остались довольны качеством услуг, предоставленных компанией «ИТ-ГРАД». Можем отметить качество технической поддержки и готовность оперативно предоставить все необходимые консультации. Готовы рекомендовать аренду виртуальных машин «ИТ-ГРАД» как гибкое решение, позволяющее избежать значительных затрат на построение собственной инфраструктуры.»

Все отзывы

Павел Власов, директор «Информационные сервисы ЖКХ»

«За время работы с командой «ИТ-ГРАД» выделены следующие преимущества используемых услуг: доступность, цена, гибкость и мощность самой платформы VMware. Удобно делать обновления наших систем, предварительно либо делая полный backup виртуальной машины, либо snapshot с возможность очень быстрого отката...

Все отзывы

Delivery Club: как облако IaaS помогает в организации сервиса по доставке еды

Читать полностью

PickPoint – первая в России сеть постаматов: 5 лет в облаке IaaS

PickPoint: – первая в России сеть постаматов: 5 лет в облаке IaaS

Читать полностью

IaaS в ритейле: опыт сети магазинов Hamleys

IaaS в ритейле: опыт сети магазинов Hamleys

Читать полностью

FitnessBar.ru: IaaS для крупнейшей сети магазинов спортивного питания и аксессуаров

Читать полностью

Первый БИТ: использование IaaS облачным провайдером для предоставления SaaS-сервиса

Читать полностью

ЦРТ: «Речевые технологии» из облака IaaS-провайдера

Читать полностью

Prihod.ru: опыт использования облака IaaS крупнейшим православным интернет-проектом в России

Читать полностью