16. Практическая часть

В практической части я попробую реализовать систему безопасности для облачного сервера, выполняющего обслуживание клиентов по модели PaaS в режиме общественного облака.

Допустим Провайдер обладает оборудованием, состоящим из:

• Серверная платформа: 4 процессоров (2 или 4 ядра), 6 SATA дисков в RAID1+0, 16 Гб памяти

• Серверная платформа: 1U Intel SR1690WB

• Процессор: 4 Intel® Xeon® 5500

• Оперативная память: 16 Gb DDR3 (64 Gb максимум)

• Жесткий диск: 6 SATA

• Сеть: 2 порта Gigabit Ethernet

• Блок питания: 600 Вт

• Сервер доступа среднего предприятия (файрвол, прокси-сервер): 2 процессора (2 или 4 ядра), 12 Гб памяти, 2 SATA диска в RAID1, 2 интегрированных Gigabit Ethernet

  • Серверная платформа: 1U Intel SR1600UR

  • Процессор: 2 Intel® Xeon® 5500

  • Оперативная память: 12 Gb DDR3 (96 Gb максимум)

  • Жесткий диск: 2 SATA (3 SATA максимум)

  • Сеть: 2 порта Gigabit Ethernet

  • Блок питания: 600 Вт

Серверные платформы в количестве 6 штук расположены в машинном зале и объединены в топологию «звезда». Для объединения серверов используется маршрутизатор CISCO2911/K9 (Конфигурация: Cisco 2911 w/3 GE,4 EHWIC,2 DSP,1 SM,256MB CF,512MB DRAM,IPB). Перед соединением марщрутизатора с сетью установлен сервер доступа  Intel SR1600UR (30 430 рублей). Маршрутизатор и сервер доступа дублируются.

На серверном оборудовании установлен гипервизор VMware ESX, позволяющий объединить сервера в общий пул ресурсов. Так как это гипервизор типа 1 (автономный), то он позволяет значительно повысить производительность оборудования. На каждый сервер требуется по одной лицензии. Так же для хранения информации используется сервер баз данных 1U Intel SR1690WB (Процессор: 2 Intel® Xeon® 5500, Оперативная память: 16 Gb DDR3 (64 Gb максимум), Жесткий диск: 4 SATA, Сеть: 2 порта Gigabit Ethernet, Блок питания: 650 Вт) который так же дублируется для надежности.

Рис. 14. Структура сервера.

Для обеспечения безопасности на подобном объекте необходимо обеспечить безопасность, согласно Таблице 2.

Для этого я предлагаю использовать программный продукт vGate R2. Он позволит решить такие задачи, как:

• Усиленная аутентификация администраторов виртуальной инфраструктуры и администраторов информационной безопасности.

• Защита средств управления виртуальной инфраструктурой от НСД.

• Защита ESX-серверов от НСД.

• Мандатное управление доступом.

• Контроль целостности конфигурации виртуальных машин и доверенная загрузка.

• Контроль доступа администраторов ВИ к данным виртуальных машин.

• Регистрация событий, связанных с информационной безопасностью.

• Контроль целостности и защита от НСД компонентов СЗИ.

• Централизованное управление и мониторинг.

Параметр безопасности Значение Приложение - Данные - Среда выполнения + Связующее программное обеспечение + Операционная система + Виртуализация + Сервера + Хранилища данных + Сетевое оборудование +

Таблица 2. Соответствие необходимости обеспечения безопасности для модели PaaS

Сертификат ФСТЭК России (СВТ 5, НДВ 4) позволяет применять продукт в автоматизированных системах уровня защищенности до класса 1Г включительно и в информационных системах персональных данных (ИСПДн) до класса К1 включительно. Стоимость данного решения составит 24 500 рублей за 1 физический процессор на защищаемом хосте.

Помимо этого для защиты от инсайдеров потребуется установка охранной сигнализации. Данные решения достаточно богато предоставлены на рынке защиты серверов. Цена подобного решения с ограничением доступа в контролируемую зону, системой сигнализации и видеонаблюдения колеблется от 200 000 рублей и выше

Для примера возьмём сумму 250 000 рублей.

Для защиты виртуальных машин от вирусных инфекций, на одном ядре сервера будет запущен McAfee Total Protection for Virtualization. Стоимость решения составляет от 42 200 рублей.

Для предотвращения потери данных на хранилищах будет использоваться система Symantec Netbackup. Она позволяет надёжно провести резервное копирование информации и образов систем.

Итоговая стоимость реализации подобного проекта составит:

Продукт	Количество	Стоимость
Intel SR1600UR	2	60 860 рублей
vGate R2	16	392 000 рублей
McAfee Total Protection for Virtualization	1	42 200 рублей
Symantec Netbackup	1	76 220 рублей
Система охраны серверной	1	250 000 рублей
ИТОГО		821280 рублей

Реализацию подобного проектного решения на базе Microsoft можно скачать отсюда: http://www.microsoft.com/en-us/download/confirmation.aspx?id=2494

17. Вывод

«Облачные технологии» - одна из наиболее активно развивающихся сфер IT-рынка в настоящее время. Если темпы роста технологий не уменьшатся, то к 2015 году они будут привносить в казну европейских стран более 170 млн. евро в год. В нашей стране к облачным технологиям относятся с опаской. Отчасти это вызвано закостенелостью взглядов руководства, отчасти недоверием к безопасности. Но данный вид технологий при всех их преимуществах и недостатках – это новый локомотив IT-прогресса.

Приложению "с той стороны облака" совершенно неважно, формируете ли вы свой запрос на компьютере с x86 процессором Intel, AMD, VIA или составляете его на телефоне или смартфоне на базе ARM-процессора Freescale, OMAP, Tegra. Более того, ему по большому счёту будет без разницы, работаете ли вы под управлением Linux-операционок Google Chrome, OHA Android, Intel Moblin, Windows CE, Windows Mobile Windows XP/Vista/7, или используете для этого что-то ещё более экзотическое. Лишь бы запрос был составлен грамотно и понятен, а ваша система смогла "осилить" полученный ответ.

Вопрос безопасности является одним из основных в облачных вычислениях и его решение позволит качественно повысить уровень услуг в компьютерной сфере. Однако в этом направлении еще очень много предстоит сделать.

В нашей стране стоит начать с единого словаря терминов для всей IT-области. Выработать стандарты, опираясь на международный опыт. Выдвинуть требования к системам обеспечения защиты.