В нашей предыдущей статье мы ознакомились с некоторыми сервисами и программами, которые помогут пользователям и организациям избежать некоторых рисков при использовании ПО иностранного производства. Мы продолжаем анализ рынка ИТ-услуг, и в этом обзоре уделим пристальное внимание корпоративным решениям, ориентированным на решение ИТ-задач. Включим в обзор системы обеспечения безопасности ИТ-инфраструктуры, возможности резервного копирования и виртуализации, а также базы данных, без которых работа приложений и служб зачастую невозможна.
Защита облачных и виртуальных сред: 2 решения на смену Symantec и McAfee
Часто после заключения с провайдером клиенты думают, что после заключения договора о предоставлении облачных услуг все вопросы и проблемы с информационной безопасностью (ИБ) автоматически ложатся на плечи провайдера облачных услуг. Но это большая ошибка. Например, услуги по модели IaaS предполагают ответственность провайдера только до уровня безопасности физических серверов, коммутационного оборудования и гипервизоров. Все остальное, то есть операционные системы на виртуальных машинах, базы данных и приложения остаются в зоне ответственности клиента. Это важно, потому что большая часть инцидентов, связанных с информационной безопасностью, происходят из-за ошибок клиентов. Например, открытые IP-адреса или простые пароли много раз становились причиной таких проблем.
Для уменьшения рисков в сфере ИБ помимо обеспечения коммуникации между специалистами облачного провайдера и специалистами клиента, необходимо использовать специальное программное обеспечение, которое предназначено для работы в такой среде.
Множеству организаций и компаний Российской Федерации необходимо выполнять требования регуляторов и национального законодательства в области ИБ, например, ФЗ-187 от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации» или Приказ ФСТЭК Российской Федерации «Об утверждении Требований по обеспечению безопасности значимых объектов критической инфраструктуры РФ». Этим организациям и предприятиям необходимо выбрать такое программное обеспечение, которое поможет реализовать эти требования.
В нашем обзоре мы рассмотрим два примера такого программного обеспечения.
Лаборатория Касперского
Программный продукт «Kaspersky Security для виртуальных и облачных сред» поможет защитить виртуальную или облачную среду, работающую на различных гипервизорах. Для защиты потребуется только одна лицензия, а для управления — одна консоль. Этот продукт обладает следующими свойствами:
- Высокая производительность
- Встроенная поддержка гипервизора
- Встроенная поддержка облачной среды, которая включает политики управления API и автоматическое масштабирование
- Максимальная оптимизация
- Встроенная поддержка контейнеров Docker
- Поддержка конвейеров CI/CD
- Технологии многоуровневой защиты, позволяющие эффективно бороться с кибератаками.
- Алгоритмы машинного обучения и поведенческий анализ позволяют обнаруживать новейшие угрозы, включая бесфайловые вирусы
- Откат вредоносных действий, включая шифрование файлов вирусами-вымогателями
Как решения, основанные на этом и других продуктах “Лаборатории Касперского” поможет реализовать требования ФЗ-187 можно посмотреть на странице сайта-производителя.
Код Безопасности
vGate — это платформа защиты виртуальных сред. Эта платформа позволяет защитить виртуальные среды, основанные на продуктах Microsoft Hyper-V, VmWare и Скала-Р. Работа с публичными облаками не поддерживается.
Функции защиты включают в себя:
- Единые политики безопасности и отчетности в среде из различных гипервизоров и виртуальных машинах позволяют настраивать защиту и получать отчеты о состоянии ИБ и проблемах независимо от того с какой облачной средой имеет дело администратор безопасности.
- Анализ событий в самом vGate и в среде виртуализации позволяет найти подозрительную активность и обнаружить инциденты до того как что-нибудь будет сломано или зашифровано.
- Встроенные шаблоны настроек позволят защитить ИТ-инфраструктуру в короткие сроки и на нужном уровне, поскольку содержат готовые наборы правил для соответствия требованиям нормативных документов.
- Контроль целостность «золотых» шаблонов виртуальных машин позволит исключить внедрение в образы зловредного кода.
- vGate обеспечивает независимый аудит действий администраторов виртуальной инфраструктуры, что может помочь при расследовании инцидентов в сфере ИБ.
- Надежное удаление виртуальных машин не позволит злоумышленникам проанализировать оставшиеся данные и вытащить оттуда полезную информацию.
vGate сертифицирован по требованиям ФСТЭК (4 и 5 классы защищенности).
Системные требования к платформе можно посмотреть на странице производителя.
Виртуализация: 4 решения на смену VMware VSphere и Microsoft Hyper-V
Как известно, для виртуализации используется специальное программное обеспечение — гипервизоры различного типа. Эти гипервизоры в основном разработаны за рубежом, и теперь их использование сопровождается санкционными рисками. В Российской Федерации используются следующие гипервизоры:
- VMWare — это один из самых популярных гипервизоров. С 5 марта 2022 года эта компания отключила техническую поддержку клиентов из России и Белоруссии. Однако облачные облачные провайдеры, использующие этот продукт, продолжают оказывать услуги, отключит управление платформой через Интернет.
- Hyper-V, еще один популярный гипервизор компании Microsoft. В настоящее время продажи продуктов этого производителя запрещены в России, можно только продлить долгосрочные контракты. Поэтому могут возникнуть проблемы при запуске новых мощностей.
- KVM — этот гипервизор работает в среде Linux, санкционных рисков уже меньше, поскольку это Open Source-решение. Но они все рано остаются, и мы писали об этих рисков в нашей предыдущей статье.
- Xen — Open-Source продукт, который работает на множестве систем. Риски такие же, как и при использовании KVM.
Для того, чтобы чтобы избавиться от существующих рисков, предлагаем ознакомиться с решениями отечественных компаний.
Альт Сервер Виртуализации
“Альт Сервер виртуализации” основан на гипервизоре KVM, и позволяет реализовать различные сценарии виртуализации, начиная с базового, включающего в себя небольшое количество виртуальных машин, которыми можно управлять при помощи инструментов командной строки virsh или графическое приложение virt-manager, и заканчивая сложными проектами, такими как облачная виртуализация с использованием среды OpenNebula и контейнеризация при помощи оркестратора Kubernetes.
У этой платформы нет единого интерфейса управления виртуализацией, настраивать контейнеры, виртуальные машины и виртуальную среду можно при помощи веб-интерфейса OpenNebula, веб-интерфейса Private Virtual Environment (PVE), или утилит управления libvirt.
«Альт Сервер Виртуализации» не имеет сертификата ФСТЭК. Если нужно сертифицированное решение, то необходимо приобрести лицензию «Альт 8 СП с правом использования гипервизора», которая включает в себя компоненты виртуализации.
Сервер виртуализации можно запустить на следующих аппаратных платформах:
- x86_64 (64-разрядные процессоры Intel, AMD);
- AArch64 (64-разрядные процессоры ARMv8 и совместимые с ними, в т. ч. Huawei Kunpeng, ThunderX и др.);
- ppc64le (Power 8, Power 9, OpenPower).
С системными требованиями можно ознакомиться на странице сайта производителя.
Если нужно запустить виртуализацию на отечественных аппаратных платформах, таких как «Байкал-М» или «Эльбрус», нужно приобрести лицензию «Альт СП Сервер».
Перед приобретением продукта можно скачать и попробовать платформу, так как производитель предоставляет возможность произвести тестирование всех возможностей сервера, но для дальнейшей работы с системой потребуется купить лицензию.
ROSA Virtualization
Rosa Virtualization — это платформа виртуализации производителя НТЦ ИТ «Роса», о которой мы писали в нашей предыдущей статье. Эта платформа также основана на гипервизоре KVM.
Особенность этой платформы виртуализации — это возможность создать виртуализированный ЦОД, включающий тысячи серверов, «из коробки», пользуясь единым удобным графическим интерфейсом. Также платформа имеет развитую дискреционную и ролевую модели доступа, доступные также «из коробки».
Система «Rosa Virtualization» сертифицирована на соответствие требованиям приказа ФСТЭК №17 от 11.02.2013, содержит в себе встроенные СЗИ.
Эта платформа также содержит инструменты для конвертирования виртуальных машин из Hyper-V и VMware vCenter.
«Rosa Virtualization» содержит VDI-сервис, который позволит быстро перевести сотрудников на удаленную работу, предоставив им такие возможности как vGPU для программного обеспечения, требующего мощной видеокарты. Также сотрудникам будет доступен проброс в удаленное рабочее место USB и PCI-устройства с хоста гипервизора.
Р-Виртуализация
Система серверной виртуализации «Р-Виртуализация» разработана Российской компанией ООО «Р-Платформа». Эта система основана на переработанном гипервизоре KVM. Переработанный гипервизор позволяет совместить два вида виртуализации:
- виртуальные машины с повышенной производительностью
- контейнеры с высокой плотностью размещения, эта плотность позволяет разместить в два раза больше контейнеров на одном и том же решении в сравнении с обычной системой, основанной на Docker.
Также платформа виртуализации позволяет обновлять ядро системы без перезагрузки, то есть не прерывая работу пользователей и без миграции работающих машин на другой хост, что обычно замедляет работу виртуальных машин. Обновление ядра нужно для решения проблем с выявленными в ядре уязвимостями.
Работа виртуальных машин с Windows на этой платформе также существенно улучшена. Важным преимуществом является также возможность интеграции платформы с распределенным программно-определяемым хранилищем «Р-Хранилище». Интеграция позволяет построить гиперконвергентных решений, что позволяет максимально использовать как всю мощность имеющихся серверов разных типов, так и всех дисков, установленных в этих серверах, без необходимости покупки систем хранения данных (СХД).
Производительность KVM по результатам теста SPECvirt для гостевых систем Linux оказывается больше в 1,7 раза, чем KVM, запущенный в операционной системе CentOS.
Управлять виртуальной средой можно при помощи удобного единого графического интерфейса. Делать резервные копии и виртуальной среды, и виртуальных машин можно при помощи встроенных средств резервного копирования.
Результаты сравнения можно посмотреть на странице сайта производителя.
Cистема виртуализации «Брест»
Система виртуализации «Брест» нужна для создания виртуальной среды в операционной системе «Аstra Linux Special Edition», о которой мы писали в нашей предыдущей статье.
Удобные средства установки, настройки и администрирования позволяют получить настроенное частное облако в течение часа. При этом «из коробки» будут доступно мандатное, дискреционное и ролевое разграничения доступа. После разворачивания платформа позволяет централизованно выполнять обычные задачи управления виртуальной средой — создавать кластеры, в том числе кластеры высокой доступности и отказоустойчивые кластеры, выполнять миграцию работающих машин между узлами кластера и прочее.
Эта система подходит для работы в информационных системах любой степени секретности — вплоть до государственной тайны с грифом «особой важности».
Расширение Брест.VDI позволит создать инфраструктуру виртуальных рабочих мест при помощи шаблонов, а также управлять этой инфраструктурой: хранить, делать копии, изменять и предоставлять защищенный доступ при помощи различных средств и протоколов. Подключение к VDI может быть при помощи любого браузера с поддержкой HTML5 или при помощи протоколов RDP, VNC или SPIC. Поддерживается проброс USB-устройств.
В состав платформы виртуализации также входит пакет OpenNebula, который позволит создать защищенное частное или гибридное облако.
Резервное копирование: 3 продукта вместо продуктов Veeam
Защита данных, помимо антивирусного программного обеспечения, обязательно требует наличия резервных копий, из которых можно восстановить данные в случае заражения или удачной хакерской атаки. Для большинства компаний данные являются важным активом, и ценность этого актива постоянно растет. Чтобы успешно выполнять резервное копирование, компании и организации предпочитают выбирать и приобретать недорогие, гибкие и простые решения. Системы резервного копирования должны быть простыми и удобными в установке, настройке и администрировании, решения должны реализовать репликацию данных на другие серверы или носители, автоматизацию рутинных операций, дедупликацию и поддерживать работу с облачными системами.
Рассмотрим несколько продуктов и оценим насколько их реализация соответствует нашим пожеланиям.
Handy Backup
«Handy Backup» — это линейка программных продуктов для резервного копирования, выпущенных российской компанией «Новософт».
Из линейки этих продуктов мы выбрали те инструменты, которые будут интересны для компаний и организаций малого бизнеса, потому что «Новософт» выпускает решения и для домашних пользователей.
Handy Backup Professional — это система для автоматического резервного копирования данных с рабочих станций. Можно выбрать источники данных в виде каталога и отдельных файлов, определить маски для поиска определенных данных и настроить расписание резервного копирования или выбрать системные события, инициирующее процесс создания бэкапа. Система может создавать также образы системных дисков и дисков с данными в виде файла VHD. Это решение позволяет сохранить резервные копии как на локальных или сетевых дисках, так и в облаках, поддерживающие стандарт Amazon S3, Яндекс.Диск, Mail.ru, и в частных облаках, поддерживающие протокол WebDav, например, OwnCloud/NextCloud. Также можно сохранять резервные копии на подключаемых USB-дисках, устройствах NAS, серверах FTP/SFTP и FTPS.
Следующий продукт — Handy Backup Office Expert — будет интересен малому бизнесу. Эта система позволяет создавать резервные копии не только файлов и образов диска, но и множество других данных, работающих на серверах под управлением Microsoft Windows:
- баз данных (MySQL, MS SQL Server, Oracle Databese, Maria DB, PostgreSQL, других баз данных, работающих с драйвером ODBC
- баз 1С,
- почтовых баз данных (Microsoft Exhange и Lotus Notes)
Резервные копии делаются без остановки приложений или серверов. Но если используется файловый режим работы 1С сервера, то пользователей придется отключать, если базы 1С расположены на сервере SQL, то пользователей отключать не нужно.
Следующий, самый продвинутый инструмент резервного копирования — это «Handy Backup Server Network». Он позволяет выполнять централизованное создание бэкапов серверов и рабочих станций под управлением Windows и Linux. Этот инструмент работает со всеми вышеперечисленными данными и типами хранилищ. Помимо этого, решение может автоматически создавать резервные копии гипервизоров Hyper-V вместе с виртуальными машинами.
Для тестирования всех возможностей и внедрения пилотного проекта можно получить демонстрационную версию нужной системы, работающую 30 дней
Киберпротект
Далее мы рассмотрим линейку продуктов российского производителя ООО «Киберпротект». Системы «Киберпротект» предназначены для бизнеса и государственных организаций.
Линейка продуктов «Киберпротект» включает себя не только отдельные продукты, но и платформы и облачные решения, которые будут полезны сервис-провайдерам. Мы же рассмотрим систему, предназначенную для работы внутри инфраструктуры любой компании.
«Кибер Бэкап» позволяет выполнять резервное копирование систем любой сложности. Это решение получило сертификат соответствия ФСТЭК по 4 уровню.
Решение поддерживает более 25 платформ, включая ОС, которые мы рассмотрели в нашей предыдущей статье, гипервизоры и базы данных.
Система позволяет управлять резервным копированием и восстановлением при помощи единой веб-консоли с ролевой моделью администрирования.
«Кибер Бэкап» использует дедупликацию для сокращения объема копируемых данных, и содержит встроенную защиту от вирусов-вымогателей и проверку наличия уязвимостей в операционных системах и приложений, отображая найденную информацию в веб-интерфейсе в удобной и понятной форме.
Для пилотного проекта системы резервного хранения можно получить демонстрационную копию программы.
RuBackup
ГК «Астра», помимо операционных систем серии Astra Linux, выпускает решение RuBackup, предназначенное для резервного копирования серверов под управлением Windows/Linux (включая рассмотренные в предыдущей статье операционные системы, а также гипервизоры отечественных разработчиков, которые мы рассмотрели выше). Помимо операционных систем, «RuBackup» позволяет выполнять резервное копирование виртуальных машин, контейнеров, баз данных и приложений в центрах обработки данных. RuBackup — это мощное и гибкое средство автоматизации, но при этом и достаточно сложное. Оно подойдет, если в вашей компании уже есть или планируется развертывание ИТ-инфраструктуры на базе российского ПО. Еще одна важная особенность — это возможность резервного копирования сервера российского производителя CommuniGate Pro, возможности которого мы также рассматривали в нашей предыдущей статье.
Если в вашей компании вместо Microsoft Active Directory используется каталожная система FreeIPA, и вам нужно делать резервное копирование кластера Ceph — то платформа RuBackup также будет отличным решением.
Для проведения тестового внедрения можно скачать демонстрационную версию, которая позволяет выполнять резервное копирование данных до 1 Тб.
Программно-определяемое хранилище данных: замещаем хранилища NetApp и IBM
В больших компаниях системы хранения данных (СХД) занимают до 25% стоимости ИТ-инфраструктуры, и эта цифра может постоянно расти из-за роста объема хранимых данных. Поэтому компании стараются найти наиболее выгодные решения, которые помогли бы сократить эти расходы, в то же время не снижая качества сервиса. Одно из таких решений — программно-определяемые системы хранения данных (Software-Defined Storage, SDS).
SDS позволяет не зависеть от наличия серверов определенного производителя, а также получить масштабируемую и простую инфраструктура для хранения данных. SDS — это программное обеспечения для серверов, которое позволяет обеспечить единый интерфейс и для управления серверами, и для операций с данными. ПО управления должно обеспечить гибкую организацию хранения, при которой задействованы все диски во всех серверах, на которых установлен SDS, а также дедупликацию, репликацию, снимки данных (snapshots), и соблюдение политик хранения.
В нашей статье предлагаем рассмотреть два решения от российских производителей.
Р-Хранилище
«Р-Хранилище» — это SDS-система от производителя платформы виртуализации «Rosa Virtualization», НТЦ ИТ «Роса».
«Р-Хранилище» обеспечивает высокую производительность системы хранения за счет собственных алгоритмов распределения данных и возможность использования SSD для кэширования операций чтения и записи. Архитектура позволяет потерять не только диск, или сервер с данными, но и целую группу серверов за счет репликации данных между серверами.
Платформа позволяет подключать виртуальные машины и контейнеры и получить выигрыш в производительности, так как «Р-Хранилище» оптимизировано для размещения виртуальной среды “Rosa Virtualization”. Как показали результаты теста, производительность “Р-Хранилища” выше на 30-40% по сравнению с гипервизором KVM, работающем под управлением CentOS.
Другие серверы можно подключить при помощи протоколов iSCSI, NFS, а также предоставить объектное S3-хранилище. Можно масштабировать хранилище до 32 Пб.
Узлы “Р-Хранилища” могут быть размещены на хостах виртуализации и использовать диски этих хостов.
СУБД: 2 базы данных на смену Microsoft MS SQL и Oracle
В связи с политикой импортозамещения у многих компаний и организаций появилась необходимость перехода с баз данных Microsoft и Oracle на разработки от отечественных компаний. Что можно выбрать мы расскажем в этой части статьи.
Ред База Данных
В основе базы данных Ред База данных лежит код одной из самых известных и распространенных в мире свободной СУБД Firebird. Ред База данных выпускается в трех редакциях («Открытая», «Стандартная» и «Промышленная»), и даже существует в виде виртуальной машины в Яндекс Облаке.
Все три редакции включают в себя поддержку стандарта SQL-2008, обеспечивают мониторинг производительности и аудит событий в реальном времени.
Открытая редакция позволяет ознакомиться с продуктом, для работы на предприятиях и организациях потребуется лицензия. Две редакции («Стандартная» и «Промышленная») имеют сертификат ФСТЭК России. Подробнее о различных редакциях СУБД можно посмотреть на странице продукта.
В состав Ред Базы данных входит сервис построения отказоустойчивого кластера Cook. Узел cook автоматически настраивает СУБД для репликации. Кластер работает в режиме master-slave и требует установки распределенной базы данных Counsul.
Для выполнения резервного копирования баз данных в состав “Ред База Данных” входит утилита gbak, но для сокращения времени создания резервных копий, особенно в тех случаях, когда база данных занимает сотни гигабайт, рекомендуется использовать утилиту plume. Штатные средства будут создавать резервную копию в течении многих часов, а как уменьшить время резервного копирования можно почитать в статье на Хабре.
PostGres Pro
СУБД Postgres Pro — это самая динамично развивающаяся систему управления базами данных в России. В ее основе лежит открытая СУБД PostgreSQL. Эта система входит в Единый реестр и имеет сертификат ФСТЭК. СУБД обладает некоторыми новейшими востребованными возможностями:
- Повышенная производительность при выполнении запросов при помощи адаптивной оптимизации запросов на базе технологий искусственного интеллекта.
- Содержит встроенную интеграцию с технологией блокчейн (Ethereum).
- СУБД Postgres Pro адаптированы для использования в облачной инфраструктуре, как российских, так и зарубежных провайдеров.
Линейка продуктов содержит следующие СУБД:
- Postgres Pro Enterprise
- Postgres Pro Enterprise Certified
- Postgres Pro Certified
- Postgres Pro Standard
- Postgresql для Windows
Расширение multimaster, которое входит в состав Prostgres Pro Enterpise, дает возможность строить кластеры серверов высокой доступности (HA). Технология HA гарантирует, что после каждой транзакции данные на всех узлах будут идентичны, при этом можно обеспечивать рост производительности прямо пропорционально росту количества узлов. Если этого расширения нет, то высокодоступный кластер можно построить при помощи потоковой репликации, но для определения отключившихся узлов и восстановления узла потребуются сторонние утилиты, например, Pacemaker, Corosync и Drbd.
Для сильно нагруженных систем понадобится 64-битный счетчик транзакций, и этот счетчик есть только в Prostgres Pro Enterpise. В обычной редакции счетчик транзакций 32-разрядный, и если такой счетчик переполнится из-за большого числа операций, то возникают проблемы с записью в базу данных.
В Postgres Pro Enterprise реализована технология постраничного сжатия, что позволяет уменьшить размер баз данных от 2 до 5 раз, без использования файловой системы с поддержкой компрессии.
Более подробно о различиях между Postgres Pro Enterprise и Postgres SQL можно прочитать в документации проекта и в статье на Хабре.
СУБД Posgres Pro Enterprise Certified и Posgre Pro Certified имеют сертификат ФСТЭК России по 4 уровню и могут применяться для защиты информации, не составляющей государственную тайну.
Также эти редакция содержит встроенные средства защиты от несанкционированного доступа, могут очищать оперативную и дисковую память после удаления данных, содержат встроенный контроль целостности исполняемых файлов, файлов конфигурации и системных таблиц.
В эти редакции добавлен модуль gpg_proaudit. Этот модуль позволяет регистрировать различные события ИБ, такие как вход и выход пользователей, попытки доступа к защищенным объектам. Модуль pgbadger позволяет выполнять сложный анализ файлов журнала, и генерировать отчеты и графики после выполнения анализа. Также в СУБД редакций Posgres Pro Enterprise Certified и Posgre Pro Certified добавлен агент системы мониторинга Zabbix, которые будут собирать метрики СУБД и операционной системы.
Редакция PostgreSQL для Windows — это Open-Source решение, которое работает только в операционной системе Windows.
Что нужно учесть при переходе на новые сервисы и платформы
Перед внедрением любой новой системы необходимо выполнить пилотный проект, который покажет насколько сложно будет выполнить внедрение этой системы для работы в рабочей среде, какие важные особенности следует учесть при планировании внедрения. Например, при резервном копировании баз данных следует убедиться, что резервные копии можно восстановить без необходимости смены кодировки или других манипуляций, которые могут увеличить время восстановления.
Перед тем как заключить договор о предоставлении IaaS у облачного провайдера можно поинтересоваться как будет тарифицироваться работа виртуальных машин в режиме “suspend”, то есть поставленных “на паузу”. Возможно, для них будут зарезервированы ресурсы, и платить за такие машины придется как за работающие.
В нашей статье мы рассмотрели различные сервисы, платформы и решения, при выборе той или иной системы можно учитывать не только стоимость, но и сложность внедрения. Рассмотренные системы имеют разные требования к квалификации персонала, одни устанавливаются несколькими кликами и все сервисы будут доступны “из коробки”, а другие требуют высокой квалификации, тщательного планирования и настройки, такие решения предлагают большую гибкость, и в своей работе будут более оптимизированными для работы в инфраструктуре компании.