Используем чек-лист ENISA для проверки безопасности облачного провайдера и чтения SLA
Когда некрупные компании выбирают облачные ИТ-сервисы, они сразу смотрят на экономию времени и денег. Но вот оценить безопасность сервиса “на глаз” без опыта обычно не получается. Даже если компании внимательно читают соглашение с облачным провайдером, они не всегда знают, на что обращать внимание.
Европейское агентство по сетевой и информационной безопасности (ENISA) решило помочь небольшим компаниям и создало Cloud Security Guide for SMEs. Этот гайд описывает риски ИБ для среднего и малого бизнеса, помогает сформулировать правильные вопросы к облачному провайдеру и проверить соглашение об уровне обслуживания (SLA). Не все из этого списка можно проверить наверняка, но какие-то пункты вполне подтверждаются сертификатами и лицензиями.
Сегодня смотрим внимательнее на список вопросов к провайдеру. Оценим его свежим взглядом, дополним примерами из российской практики и выясним, какие доказательства от провайдера действительно могут гарантировать защиту данных в облаке.
Что может Citrix Session Recording – решение для записи сессий на виртуальных рабочих столах
Меня зовут Николай, и в DataLine я занимаюсь эксплуатацией стенда виртуальных рабочих столов (ВРС) на базе Citrix Vitrual Apps and Desktop. Недавно мы добавили к инфраструктуре ВРС сервис записи пользовательских сессий для двух сценариев:
- служба ИБ по записям расследует инциденты безопасности;
- служба технической поддержки подключается к пользователю по запросу и записывает его работу на ВРС, чтобы найти причины проблем с работоспособностью ПО.
Сегодня расскажу, как Citrix Session Recording решает эти задачи на нашем стенде, и проведу обзор его возможностей.
И целого WAF’а мало: как мы проапгрейдили сервис защиты веб-сайтов
Мы несколько раз дорабатывали решение: лучше изучали векторы атак и поведение атакующих, добавляли и настраивали новые средства защиты, улучшали регламенты взаимодействия с клиентом. Расскажу, как развивался наш сервис на базе FortiWeb и о чем нужно позаботиться, чтобы защитить свое веб-приложение.
Как мы защищаем виртуальные рабочие столы клиентов от вирусов, шпионов и атак
В этой статье я расскажу, как устроен наш сервис виртуальных рабочих столов на базе Citrix VDI с точки зрения информационной безопасности. Покажу, что мы делаем, чтобы защитить клиентские рабочие столы от внешних угроз типа шифровальщиков или направленных атак.
Как построить ракетный ускоритель для скриптов PowerCLI
Допустим, вы освоили PowerShell чуть дальше запуска ISE и использования стандартных командлетов из модулей, которые работают за счет «какой-то магии». Когда вы начнете считать виртуальные машины сотнями, то обнаружите, что скрипты, которые выручали на малых масштабах, работают заметно медленнее на больших.
В этой ситуации выручат 2 инструмента:
- PowerShell Runspaces – подход, который позволяет распараллелить выполнение процессов в отдельных потоках;
- Get-View – базовая функция PowerCLI, аналог Get-WMIObject в Windows. Этот командлет не тянет за собой сопутствующие сущности объекты, а получает информацию в виде простого объекта с простыми типами данных. Во многих случаях выходит быстрее.
Дальше кратко расскажу про каждый инструмент и покажу примеры использования. Разберем конкретные скрипты и посмотрим, когда лучше работает один, когда второй. Поехали!
АВР и все, все, все: автоматический ввод резерва в дата-центре
- в главных распределительных щитах (ГРЩ) АВР переключает нагрузку между вводом от города и резервным питанием от дизель-генераторных установок (ДГУ);
- в источниках бесперебойного питания (ИБП) АВР переключает нагрузку с основного ввода на байпас (об этом чуть ниже);
- в стойках АВР переключает нагрузку с одного ввода на другой в случае возникновения проблем с одним из вводов.
АВР в стандартной схеме энергоснабжения дата-центров DataLine.
О том, какие АВР и где используются, и поговорим сегодня.
С днем системного администратора
Желаем стабильного коннекта и ночей без алармов!
Без вас никуда, и сейчас покажем, почему ;)
p.s. Дарим спецприз тому, кто первым найдет в ролике кадр с бубном. Пишите в комментариях, на какой секунде он появился, и мы свяжемся с вами.
Как устроено S3 хранилище DataLine
Привет, Хабр!
Не секрет, что в работе современных приложений задействованы огромные объемы данных, и их поток постоянно растет. Эти данные нужно хранить и обрабатывать, зачастую с большого числа машин, и это непростая задача. Для ее решения существуют облачные объектные хранилища. Обычно они представляют из себя реализацию технологии Software Defined Storage.
В начале 2018 года мы запускали (и запустили!) собственное 100% S3-совместимое хранилище на основе Cloudian HyperStore. Как оказалось, в сети очень мало русскоязычных публикаций о самом Cloudian, и еще меньше — о реальном применении этого решения.
Сегодня я, основываясь на опыте DataLine, расскажу вам об архитектуре и внутреннем устройстве ПО Cloudian, в том числе, и о реализации SDS от Cloudian, базирующейся на ряде архитектурных решений Apache Cassandra. Отдельно рассмотрим самое интересное в любом SDS хранилище — логику обеспечения отказоустойчивости и распределения объектов.
Если вы строите свое S3 хранилище или заняты в его обслуживании, эта статья придется вам очень кстати.
Опыт DataLine: как мы готовим дежурных инженеров для своих дата-центров
Сегодня хотим рассказать, как мы отбираем и готовим для своих дата-центров дежурных инженеров. Эта позиция важна для нас по двум причинам:
- это наша первая линия технической поддержки. Дежурные следят за стеной мониторинга, общаются с клиентами, которые приходят в наши дата-центры, помогают устанавливать новое оборудование. Их четкая работа, доброжелательное отношение к клиентам, внимание к мелочам значат для нашего сервиса не меньше, чем работа инфраструктуры дата-центра: превысил время ответа на запрос, позволил пройти в дата-центр без бахил, просто не поздоровался – минус в нашу карму.
- это наша “кузница кадров”. Некоторые ребята потом вырастают до ведущих инженеров профильных технических групп и даже до руководителей отделов.
Но обо всем по порядку.
Работаем в облаке на базе Hyper-V, часть 1: знакомство с панелью управления
Часть 2: развертывание Exchange Server
Часть 3: хранилище Storage Spaces
Прошлым летом мы рассказывали о тестовом запуске виртуальной инфраструктуры (IaaS) на базе платформы Hyper-V. За год эксплуатации мы набили много шишек, отладили работу сервиса и запустили облако Cloud-V в большое плавание. Сегодня мы подробно разберем базовые возможности панели управления, а в следующих постах расскажем, как развернуть и настроить Active Directory, Exchange и не только.
Внутри дата-центра OST на ул. Боровая
С последней прогулки ЦОД OST немного подрос — появилось 3 новых зала Zulu, Golf и Nadazero на 164 стойки. А до конца года откроется еще 3 машинных зала на 400 стоек и давно обещанная Meet-Me-Room.
Проходим, не стесняемся:
На востоке растут облака: новосибирский дата-центр «Ростелеком-ЦОД» сегодня
Нашему ЦОДу в Новосибирске исполнилось полтора года. За это время в дата-центре выросла зона доступности облака DataLine для заказчиков из Сибири и Дальнего Востока, а также появились новые услуги. Сейчас в новосибирском облаке размещаются почтовые сервисы, облачные диски клиентов, объектные хранилища, сервисы DBaaS, Kubernetes, сервисы ИБ, DR-площадки и резервные копии.
В фоторепортаже из Новосибирска посмотрим, как работает дата-центр сегодня.
Уместить все ЦОДы и облака в карман инженера за счет мобильного «Сервисдеска»
Привет! На связи Алексей Волков, и я опять про «Сервисдеск» в DataLine. На сей раз покажу его мобильную реинкарнацию.
Три года назад мы создали десктопную систему для работы с заявками в техподдержку и дали ей говорящее название «Сервисдеск». Сейчас это решение работает во всех дата-центрах объединенной команды DataLine и «Ростелеком-ЦОД» и охватывает около 700 ежедневно активных пользователей. Мобильная версия «Сервисдеска» была лишь вопросом времени: доступность любых внутренних систем с портативных устройств сразу ускоряет цикл обработки запросов. А для клиентских заявок в техподдержку это особенно важно.
Под катом — краткая предыстория разработки мобильного клиента для «Сервисдеска» и демонстрация сценариев его работы.
Как мы наблюдаем за метриками в дата-центре и развиваем наш мониторинг
В этом году мы обновили сервис облачного мониторинга и представили клиентам более удобное и понятное решение для отслеживания статуса их ИТ-инфраструктуры. Сервис вырос из нашей системы мониторинга дата-центра, где мы отслеживаем сотни тысяч метрик в работе оборудования. Какие-то из них очевидные, а какие-то вызывают у клиентов реакцию: “А что, так можно было?!”
В статье покажу, как наш мониторинг устроен изнутри, почему выбрали для него именно эти инструменты и как планируем развивать в сторону самообслуживания.
Если не хватает NSX Edge: как клиенты нашего облака переезжают в сервис NGFW
Когда клиент размещает свой сайт, почту или другой сервис в нашем облаке на базе VMware, то в 90% случаев в качестве граничного устройства используется виртуальный маршрутизатор NSX Edge. Это решение выполняет для виртуального дата-центра функции межсетевого экрана, NAT, DHCP, VPN и так далее.
Но если, например, клиент привык получать на межсетевом экране расширенную аналитику по трафику и более детальный мониторинг, то в облаке ему может понадобиться межсетевой экран нового поколения (Next Generation Firewall, NGFW). К тому же, такие решения предоставляют модули IPS и IDS, антивирус и другие фишки. Для клиентов c такими запросами в качестве одного из решений мы предлагаем NGFW как сервис на базе FortiGate. В статье покажу, как и для чего мы организуем переезд в этот сервис.
На пути к умной стойке: как мы тестировали метки для учета серверов в ЦОДе
Привет, Хабр! Меня зовут Сергей, и в DataLine я занимаюсь совершенствованием систем мониторинга. Мы уже много рассказывали про мониторинг инженерной и сетевой инфраструктуры. Но помимо него есть еще и задача отслеживания ИТ-оборудования.
Когда мы осуществляем мониторинг в дата-центре, важно знать, где находится каждый сервер и кому он принадлежит. Эта информация хранится в специальной системе для учета компонентов информационных систем, или Configuration management database (CMDB). Важно сразу обновлять данные по местонахождению серверов, иначе возникает проблема “серверов-призраков”, за которые никто не отвечает.
Всю эту информацию можно вбивать в систему и руками. Но, когда речь идет уже о десятках тысяч стоек, хочется автоматизировать процесс. Мы развиваем нашу систему автоматизации и постоянно ищем, как ее улучшить. В воздухе давно витает идея “умной стойки”, которая сама знает, какое оборудование в каком юните у нее установлено. В нашем ЦОДе мы решили провести эксперимент и проверить несколько новых технологий для решения этой задачи. Покажу результаты этих экспериментов и буду рад обсудить, как эту задачу решает сообщество.
Чек-лист внедрения VDI: что учесть, чтобы виртуальные рабочие столы работали как надо
Виртуальные рабочие столы на базе VDI — удачное решение, если нужно развернуть сразу много пользовательских десктопов с едиными настройками. Сотрудник подключается с любого устройства и получает привычный и удобный интерфейс с доступом ко всей офисной инфраструктуре — так выглядит идеальная картина. Но добиться ее в реальности можно, только если учесть все факторы развертывания.
За последний год клиентов с виртуальными рабочими столами стало больше, и мы собаку съели на их настройке и оптимизации. Сегодня расскажу, на что обратить внимание при планировании инфраструктуры виртуальных рабочих столов. Эти кейсы помогут улучшить пользовательский опыт и не дадут внедрению провалиться.
Надеюсь, список будет полезен как при организации самостоятельного развертывания инфраструктуры, так и при выборе поставщика услуги. Рассматривать финансовые затраты из-за разброса вариантов не стал, остановлюсь на технических и организационных моментах.
Из грязи в RPKI-князи-1. Подключаем валидацию маршрутов в ВGP
Привет! Я работаю старшим сетевым инженером в компании DataLine, занимаюсь сетями с 2009 года и успел со стороны понаблюдать, как компании подвергались атакам из-за уязвимости протокола маршрутизации BGP. Один BGP Hijacking чего стоит: пару лет назад хакеры с помощью перехвата BGP-маршрутов украли 137 тыс. долларов.
С переходом на удаленку компании организуют доступ из дома через защищенные соединения с помощью NGFW, IPS/IDS, WAF и прочих решений. Но про безопасность BGP порой забывают. Я расскажу в цикле статей, как каждый клиент сервис-провайдера может обезопасить себя с помощью RPKI – средства защиты глобальной маршрутизации в сети Интернет. В первой статье на примере объясню, как это работает и как настроить защиту на стороне клиента в пару кликов. Во второй – поделюсь опытом внедрения RPKI в BGP на примере маршрутизаторов Cisco.
Убрать ковер и еду. Чек-лист перед онлайн-собеседованием
Если раньше онлайн-интервью были допустимы только для знакомства, то теперь это наши будни, и, видимо, надолго. С марта я провела не одну сотню собеседований в режиме удаленки. Некоторые интервью запомнились артефактами сжатия видео, слишком сильным эхо, фоновыми разговорами семьи или постоянным писком. Из-за помех было трудно сосредоточиться на человеке.
С переходом в онлайн я насчитала топ-5 мелочей, о которых постоянно забывают. Делюсь чек-листом подготовки к собеседованию на удаленке, который помогает не отвлекаться от главного – опыта и профессионализма сотрудников.
Учесть все мелочи нам поможет Полина:
Знакомьтесь: Полина – одна из тех, кто прошел онлайн-собеседование на даче в самоизоляции с нестабильным интернетом. Она покажет, какие ошибки бывают чаще всего.