Сегодня на рынке хостинга 1С существует множество предложений. Но все ли они на практике обеспечивают необходимые меры защиты? С увеличением числа кибератак становится очевидно: ситуация требует более серьёзного подхода. Однако многие компании до сих пор не уделяют достаточного внимания актуальным угрозам.
На вебинаре мы рассказали о различных аспектах защиты данных компаний в системах 1С — от киберугроз до архитектуры сети. А сегодня поговорим о том, как мы создали 1С-хостинг, который обеспечивает высокую производительность и бесперебойную работу, минимизируя риск потерь данных на уровне архитектуры. Наши клиенты получили готовое решение без дополнительных расходов на штат специалистов для управления серверами, администрирования и защиты систем 1С.
При этом наш сервис не является частным облаком и остаётся доступным по цене.
Статью подготовили Бердников Иван, ведущий системный архитектор, и Чубенко Станислав, владелец продукта «1С-хостинг», MWS.
Уровень производительности систем значительно возрос, что делает хакерские нападения более эффективными. Сегодня даже сложные пароли быстро подбираются брутфорсом благодаря применению радужных таблиц. Поэтому для сервисов необходим второй фактор аутентификации и другие методы, о которых расскажем далее.
Безопасность на уровне ЦОДа
Внедрение микросегментации
Общая архитектура имеет несколько недостатков:
в случае компрометации одного пользователя значительно возрастают угрозы безопасности для всех;
множество клиентов в одной сети усложняют оператору администрирование и обслуживание системы;
в такой среде трудно реализовать механизмы дополнительной защиты.
Чтобы противодействовать подобным угрозам, мы изолировали сервисы и данные в зависимости от их критичности. Каждый из изолированных блоков представляет собой отдельную подсеть, что позволяет точно настраивать доступ между сегментами.
Если злоумышленник сможет проникнуть в одну подсеть, другие сегменты будут в безопасности. Таким образом, безопасность всей системы значительно повышается — локальные инциденты остаются ограниченными в пределах одного кластера.
Для каждого клиента создана выделенная виртуальная инфраструктура, в которой размещено всё необходимое для работы с 1С: серверы приложений, веб-сервер, терминальный сервер.
SOC (Security Operations Center)
Мы подключили Центр управления информационной безопасностью. Это отдельное подразделение, которое оперативно собирает события информационной безопасности с инфраструктуры и может сигнализировать о подозрительной активности.
Оперцентр обеспечивает проактивную защиту клиентских сервисов от атак и позволяет предотвратить их на ранних стадиях, минимизируя ущерб.
Специалисты SOC реагируют в зависимости от уровня угрозы и могут, например, изолировать определённый сегмент сети, локализуя проблему. Ещё одним способом предотвращения угроз является полное отключение внешнего доступа.
Zabbix
Благодаря этому популярному инструменту администраторы оперативно получают уведомления о «здоровье» системы: надёжности, готовности перенести изменение нагрузки и т. д. Система отслеживает различные параметры серверов, включая нагрузку на компоненты, объём дискового пространства, доступность.
Например, если в результате мониторинга обнаруживается, что на терминальном сервере клиента заканчивается место, наши администраторы могут быть привлечены для устранения проблемы.
Антивирус
Решение для виртуальных машин защищает от внешних и внутренних угроз, включая угрозы, которые могут скрываться в непрозрачном трафике. Действия, определяемые антивирусом как вредоносные, можно откатить.
Защита от DDoS
Активная защита 24/7. Трафик проходит постоянный поведенческий анализ на предмет возникновения в нём несвойственных для данного ресурса запросов. Выявив отклонения от прописанного в шаблоне поведения, сервис блокирует нелегитимный трафик.
Системы резервного копирования
Наша схема резервного копирования позволяет клиенту гибко управлять политикой резервного копирования: делать полные и частичные копии накопленных данных, виртуальных машин, управлять графиком выполнения резервирования и прочее.
Мы обеспечили надёжную защиту данных благодаря многоуровневому подходу. Даже если злоумышленник получит доступ к серверу баз данных клиента и зашифрует все данные, включая резервные копии, останется ещё одна дополнительная резервная копия:
Система резервного копирования работает непосредственно на сервере баз данных. Ежедневно выполняются полные и инкрементные резервные копии всех баз данных согласно заранее установленному расписанию. Этот процесс полностью автоматизирован и не требует вмешательства администраторов.
Изолированный сервер резервных копий находится вне доступа остальных компонентов инфраструктуры. Он расположен в отдельной подсети, что обеспечивает дополнительный уровень безопасности.
Дополнительно реализована система облачного резервирования, которая использует внешний сервис для создания резервных копий на уровне виртуальных машин. С её помощью можно восстановить состояние любого сервера за любой выбранный день.
Процесс резервирования автоматизирован и осуществляется по расписанию с помощью скриптов.
Опционально клиенты могут арендовать объектное хранилище MWS и получить возможность управлять своими резервными копиями: выбирать отдельные файлы или целые виртуальные машины для восстановления, настраивать различные планы хранения и определять ресурсы для сохранения данных.
Безопасность со стороны клиента
ГОСТ VPN
Мы внедрили криптографический шлюз на базе ГОСТ VPN, который обеспечивает защиту данных в каналах связи с применением сертифицированных средств.
VPN-клиент для заказчика генерируется индивидуально. Каждый инсталлятор содержит заранее прописанные ограничения по доступу. Таким образом, инсталлятор преднастроен на работу с определённой подсетью: при подключении через VPN пользователь оказывается в строго определённых рамках и не имеет возможности выйти за пределы своей подсети.
Такой подход значительно повышает защиту от потенциальных угроз, обеспечивая безопасность и конфиденциальность всех пользователей сети. Кроме того, в систему внедрён второй фактор аутентификации, что дополнительно усиливает защиту доступа по VPN.
Многофакторная аутентификация
Одна из ключевых проблем 1С-хостинга — отсутствие контроля над процессом аутентификации. Это приводит к тому, что некоторые администраторы могут не устанавливать пароли вовсе, создавая серьёзные риски для безопасности.
Чтобы устранить эту проблему и обеспечить надёжный доступ к серверу приложений через веб, мы внедрили многофакторную аутентификацию (MFA). Этот подход добавляет второй фактор проверки пользователя и делает систему гораздо более защищённой.
Вначале пользователю по уникальной ссылке выпускается и активируется OTP-токен в приложении. Это позволяет обеспечить индивидуальный подход к каждому пользователю и даёт возможность в будущем использовать OTP (One-Time-Password) для входа в систему.
Далее при аутентификации пользователь использует свой логин и пароль, назначенный в системе, и после успешного прохождения первой проверки вводит второй фактор, одноразовый код (OTP), сгенерированный в приложении.
После успешной аутентификации пользователь получает доступ к веб-серверу, обеспечивающему подключение к системе 1С.
Для повышения удобства мы внедрили функцию доменной авторизации. Если пользователь 1С связан с доменной учётной записью, ему не придётся проходить дополнительные шаги для входа — доступ предоставляется мгновенно.
Однако, если связи между доменным аккаунтом и учётной записью в 1С нет, потребуется пройти стандартный процесс авторизации, введя дополнительные данные после первоначальной проверки. Такой подход оставляет выбор за клиентом: использовать доменную аутентификацию или предпочесть стандартный вход.
Внедрение многофакторной аутентификации значительно повышает безопасность системы:
Ограничение несанкционированного доступа. Даже если злоумышленник узнает логин и пароль, второй фактор станет непреодолимым барьером.
Устойчивость к человеческому фактору. MFA минимизирует риски, связанные с использованием слабых или отсутствующих паролей.
Гибкость и удобство. Для пользователей, работающих в доменной среде, процесс авторизации становится проще и быстрее.
WAF (Web Application Firewall)
Вводя адрес в браузере, клиент сначала попадает на WAF, который находится вне пределов нашего 1C-хостинга. WAF выполняет функции первичной защиты, отсеивая потенциально вредоносный трафик, прежде чем запрос дойдёт до системы.
Если в процессе работы возникает активность, не соответствующая заранее созданным шаблонам поведения, фаервол может уведомить о подозрительной активности или заблокировать доступ с конкретного IP-адреса.
Если трафик проходит проверку и не содержит вирусов, он отправляется на обратный прокси-сервер, который функционирует как балансировщик нагрузки и распределяет запросы между несколькими серверами, обрабатывающими запросы к 1С. На этих серверах клиент проходит процесс аутентификации, которому придаётся особое значение, поскольку используется двухфакторная защита для повышения уровня безопасности.
Клиентский сервис сертификации
По мере обработки запроса клиента происходит взаимодействие с сервером сертификации. Этот этап гарантирует, что доступ получает именно тот пользователь, которому он предназначен. После успешной проверки запрос достигает веб-сервера.
На веб-сервере запрос направляется к серверу приложений, который, в свою очередь, обращается к базе данных на сервере СУБД. Завершив эту цепочку взаимодействий, система формирует ответ и отправляет его обратно пользователю. Несмотря на сложность всей процедуры, она выполняется достаточно быстро, обеспечивая эффективное взаимодействие с приложением и базой данных.
VPN-подключение
Доступ к терминальному серверу с внутренним IP-адресом осуществляется через VPN-подключение с двухфакторной аутентификацией. По пути к терминальному серверу клиент проходит через криптошлюз. Авторизация осуществляется с использованием RADIUS (Remote Authentication Dial-In User Service) сервера, где также применяется второй фактор. Успешно пройдя все этапы, пользователь оказывается в клиентской подсети и получает доступ лишь к терминальному серверу, что ограничивает его возможности. На этом сервере, в частности, доступен конфигуратор, работа с которым осуществляется исключительно через терминальный доступ, что невозможно сделать через веб-интерфейс.
Заключение
Несмотря на наличие дополнительных факторов защиты, работа самой программы 1С остаётся быстрой и эффективной. Хотя различия в производительности с локальной версией действительно имеют место, они незначительны и не влияют критически на использование 1С. Облачная 1С является достаточно быстрой и удобной альтернативой.
После успешного запуска текущего продукта мы движемся дальше в развитии архитектуры, фокусируясь на использовании open source решений. Автоматизация процессов станет важным элементом следующей стадии эволюции сервиса, позволяя улучшить его функциональность.
Ещё о безопасности 1С говорили на вебинаре — запись будет доступна по ссылке.
