В первой части статьи про KNGFW мы разобрали, как собрать контур управления, связать компоненты и получить рабочую основу. Но на этом этапе NGFW всё ещё остаётся «правильно собранным железом». Оно готово к работе, но само по себе ещё ничего не защищает.

В этой статье начинается самое интересное: момент, когда устройство начинает «оживать». Появляются реальные правила, через него идёт трафик уже не в тестовом, а в рабочем режиме, а сама система из набора компонентов превращается в полноценный элемент инфраструктуры.

Дальше материал будет максимально прикладным. Сначала собирем базовую конфигурацию: сеть, доступы, NAT, логирование, интеграции. Всё, на чём держится повседневная работа. А затем переходим к модулям безопасности и той задаче, ради которой NGFW в принципе и внедряется.

Привет! Меня зовут Кирилл, я инженер команды киберзащиты облачного провайдера Nubes. В зоне моей ответственности решения сетевой защиты. В рамках запуска облака КИИ «ТУЧА» мне досталась задача развернуть и настроить NGFW для защищённого контура. В этой статье хочу поделиться практическим опытом первого внедрения Kaspersky NGFW без лишнего маркетинга, а с акцентом на те моменты, которые действительно важны при первом знакомстве с продуктом.

В крупных компаниях (да и в небольших, если уже совсем откровенно) остановка работы 1С — это не просто технический сбой. Это замороженные процессы, потерянные операции и упущенная выгода. Риск остановки 1С сильно повышается, если вся инфраструктура размещается исключительно на локальных серверах, которые в любой момент могут выйти из строя или потребовать планового обслуживания. Именно с такой ситуацией столкнулся один из наших клиентов, и в этой статье мы расскажем, как создали для него полноценное резервное облако, обеспечив непрерывность работы и защиту данных.

Хабр, привет! На связи команда облачного провайдера Nubes.

Когда мы решили запустить собственный Kubernetes as a Service, на поверхности все выглядело просто: развернуть кластеры, завернуть в удобный интерфейс и добавить автоматику. На практике же оказалось, что «ванильный» Kubernetes, Kubespray и вендорские платформы порой приносят хаос вместо готового сервиса.

В этой статье рассказываем про наш путь, ставший чередой компромиссов, от которых мы устали. Как вместо трех лет разработки мы уложились в два месяца и от попыток собрать решение своими силами дошли до полноценного KaaS, построенного на базе платформы «Штурвал».

В мире 1С нет более известной фамилии, чем Гилев. Его тест — это своего рода «народный» стандарт, первое, что запускают администраторы для проверки производительности. Это простой и быстрый способ получить заветную цифру, которая говорит о скорости системы.

Мы и сами решили использовать этот тест, запуская новый высокопроизводительный сервис 1С. Нам нужно было понять, как себя проявят наши новые серверы с процессорами 4.0 ГГц.

Но вот в чём загвоздка: тест Гилева — это важный, но далеко не единственный и не всегда адекватный инструмент. Он как спидометр в машине: показывает скорость, но не говорит ничего о том, как авто поведет себя на повороте, при обгоне или с полным багажником. 

Мы на практике убедились, что его результаты в отрыве от настоящих задач могут несколько отличаться от реальности, особенно в современной облачной среде. Давайте разберемся, почему красивая цифра из теста — это еще не гарантия того, что 1С будет работать быстрее.

Привет, хабровчане!

На связи Антон Турсунов. Я главный по эксплуатации центров обработки данных облачного провайдера Nubes, то есть директор по этой самой эксплуатации. И с удовольствием делюсь экспертным мнением по любым вопросам, касающимся дата-центров.

Сегодня расскажу об изменениях в законе «О связи», которые вступят в силу 1 марта 2026 года, и о том, действительно ли создание четких правил игры позволит отрасли развиваться более динамично, привлекать инвестиции и обеспечивать надежную инфраструктуру для хранения и обработки данных в масштабах страны.

Погнали!

Привет, хабровчане!

Меня зовут Николай Клягин, и я занимаюсь эксплуатацией и обслуживанием слаботочных систем в облачном провайдере Nubes. Проще говоря, я контролирую корректность работы автоматической пожарной сигнализации, системы оповещения и управления эвакуацией, автоматической системы газового пожаротушения, аспирационной системы раннего обнаружения пожара, системы контроля и управлением доступа, видеонаблюдением, охранной сигнализации, структурированных кабельных систем и, наконец, занимаюсь интеграцией этих систем в единую систему.

Все это нужно для высокого уровня безопасности в ЦОДе, а к безопасности у нас относятся очень ответственно. И именно поэтому мне поставили еще несколько интересных задач:

• ограничить доступ к серверным шкафам с нашим облачным оборудованием;

• обеспечить возможность отслеживания состояния дверей;

• настроить выгрузку событий по этим точкам доступа (дверям серверных шкафов).  

О том, как я эту задачу реализовал, рассказал в статье.

На первый взгляд может показаться, что между разработкой и кулинарией нет ничего общего, но на самом деле сегодня создание приложений похоже на приготовление салата: берутся овощи, мясо, масла и приправы, все смешивается ― и получается блюдо. Если хоть один ингредиент окажется плохим, то весь салат будет испорчен.

Разработчики не все пишут сами, при подходе DevOps из общедоступных репозиториев могут браться готовые библиотеки, их соединяют, и в результате получается приложение (тот самый салат). Если хоть одна из библиотек окажется плохой или дописанный разработчиком код для объединения библиотек будет некачественным, то есть такой салат вы вряд ли захотите.

Мы как шеф-повара рекомендуем приправить DevOps опцией Sec. Эта специя поможет минимизировать стоимость и повысить скорость исправления ошибок. О DevSecOps-разработке мы и расскажем в статье. 

Добрый день, дорогой читатель. Меня зовут Селезнев Павел, я инженер второй линии поддержки в облачном провайдере Nubes. С каждой новой статьёй я расту в должности, поэтому пишу ещё одну :)

Несколько месяцев назад нам с коллегой поставили задачу: провести сравнительные тесты, чтобы проверить, насколько сильно разогреется видеокарта под нагрузкой при использовании воздуха и диэлектрической жидкости.

Об этих тестах я и расскажу в статье, которая должна пролить свет на жизнь GPU в ЦОДе.

Добрый день, коллега или случайный читатель. Меня зовут Павел, я дежурный системный администратор в Nubes. Мне коллеги по ошибке прислали доступ к Хабру, и я, никому ничего не сказав, решил втихаря поделиться тем, как проходит моя рабочая смена. Надеюсь, меня не накажут, хе-хе. 

08:00 – с первыми лучами солнца, я, счастливый, встаю с кровати и иду разминаться. 20-минутный бег и прохладный ветерок придали сил на грядущий день.
08:30 – возвращаюсь с пробежки и начинаю завтракать. В меню сладкий чай, авокадо, форель и газета. Кажется, пора разрабатывать нефтяные скважины, нефть дорожает.
09:00 – 09:40 – спокойно еду в метро и даже успеваю сесть на свой автобус.
09:40 – 10:00 – коллеги спокойно передают мне смену.
10:00 – 19:00 – с умным видом решаю сложные задачи.
20:00 – отправляю вечерний отчет руководителю.
03:00 – заканчиваю свои рабочие дела и…

В первой части истории про квест под названием «Nubes проходит сертификацию Tier III Facility» Алексей Сидоров, старший инженер холодоснабжения, рассказал про борьбу тепловых пушек и кондиционеров внутри дата-центра. История получилась интересная, но неполная. 

Для получения сертификата ЦОДы проверяют не только на устойчивость системы охлаждения, но и на устойчивость энергетической системы. 

Как мы справились с этой частью, рассказал наш главный энергетик Олег Царев. 

Первый и, наверное, самый важный шаг при прохождении подобных проверок — разработка плана действий каждого сотрудника. А сотрудников, которых мы привлекли к подготовке, было одиннадцать. И это только те, которые трудятся в штате. 

Когда духи приходят в наш мир и магия становится не просто мифом, а чем-то реальным, случиться может все что угодно. Например, все сервера внезапно перегреются, задымятся, и у пользователей пропадет доступ к вашим сервисам. Или, что не менее ужасно, хакер зашифрует данные клиентов и будет требовать много-много денег за расшифровку. 

Ни то ни другое в нашем облаке не случается, потому что мы защищаемся ИБ-сервисами.

Но если вы забыли договориться с потусторонними силами, то прочитайте несколько страшных сказок от наших ребят. Они вполне могут стать реальностью, если с киберзащитой не все гладко, а пароли хранятся на стикерах, приклеенных к монитору. 

Представьте себе квест, где вам нужно превратить обычный дата-центр в настоящую холодильную камеру, при этом не заморозив клиентское оборудование и не устроив тропический рай там, где должен быть технологический холод. Или, например, нагрузить ЦОД по максимуму, а потом отключать источники питания, да так, чтобы все продолжало работать. И всё это под пристальным взглядом аудиторов, готовых придраться к каждому градусу! 

В сентябре ЦОД Nubes прошел этот квест, чтобы заслужить сертификат Tier III Facility от UpTime Institute. И двое наших ребят поведали, как войти в ~5% дата-центров в мире, которые прошли проверку с находящимися в нем клиентами. 

В этой статье Алексей Сидоров, старший инженер холодоснабжения, поделился своей историей и рассказал, как выжить в условиях, когда тепловые пушки и серверные стойки играют в свою версию «кошки-мышки», а система мониторинга решила устроить День независимости. Запасайтесь попкорном (только не кладите его близко к серверам) — будет жарко! Точнее, холодно. В общем, читайте сами!

Театр начинается с вешалки, а официальные взаимоотношения компаний с подписания NDA – соглашения о неразглашении конфиденциальной информации. Вроде все просто. Подписал бумажку да пошел дальше. Но нет. На этом этапе часто начинаются разногласия между юристами и/или безопасниками двух компаний. Споры возникают из-за разных вещей. Например, из-за способа передачи конфиденциальной информации. Для одной компании будет приемлемо осуществлять обмен  посредством электронной почты, а для другой – только в бумажном виде с составлением акта приема-передачи. 

Небо голубое, вода мокрая, а Linux — самая защищенная операционная система. С этим не поспоришь. Однако утверждать, что защита здесь работает на 100%, нельзя. Как минимум никто не застрахован от проблем с обновлением системы и ошибками конфигураций.  

Какие злоумышленники и для чего используют Linux? И что можно узнать, если отслеживать такие попытки атак в NGFW? Ответы и технические подробности — в этой статье.

Если вы хотите заниматься безопасностью конфиденциальной информации и разработкой соответствующих средств защиты, то вам придется получить лицензию ФСТЭК. Многие, кто прошел этот мучительно долгий процесс, хотят забыть его как страшный сон.

А что наяву? Лицензия получена, а значит ее требованиям придется соответствовать. Что именно делать потом и чем опасно бездействие, пишут редко. Что ж, давайте это исправим.

Компания UserGate давно разрабатывает собственный VPN-клиент. Ожидается, что новинку также можно будет использовать как решение NAC и даже EDR. 

Мы настроили нерелизную версию UserGate Client, протестировали ее и решили поделиться первыми впечатлениями на Хабре. Спойлер: в целом ок, но есть нюансы. 

Мы решили выяснить, сколько стоит угон личного и корпоративного аккаунтов в соцсетях. Даже больше — попытались его заказать. Заодно изучили публично известные атаки на бизнес, которые были связаны с соцсетями. А еще подготовили рекомендации по защите компании от таких инцидентов (советы капитанские, но напомнить о них стоило).

Недавно мы выпустили новый сервис — объектное хранилище S3 на базе нашего облака. Запустили его на Ceph. Перед этим провели множество тестов. В частности, решили выяснить, как на практике Ceph справляется с мелкими объектами — проблемой любого S3. И вот что из этого вышло.

Банки, маркетплейсы, онлайн-кинотеатры, службы такси, сервисы доставки — перечислять компании, которые должны соответствовать требованиям PCI DSS, можно очень долго. Еще дольше разбираться с тем, как именно изменился международный стандарт после выхода версии 4.0. Но мы попробуем.