Физический сервер

Процессор: 4 CPUs x Intel(R) Xeon(R) CPU E3-1275 v6 @ 3.80GHz

Память: 64 GB

Жесткие диски: 3 независимых SSD носителя Data Center класса.

Два сетевых адаптера для внешних подключений и внутренней сети.

Виртуализация

VMWare ESXi поддерживает семь виртуальных машин: роутер, служба резервного копирования Veeam, сервер приложений, терминальный сервер, сервер баз данных, контроллер домена, репозиторий (хранилище конфигурации).

Самые нагруженные ВМ (сервер приложений и СУБД) расположены на отдельных физических носителях.

В том же дата-центре отдельное физическое хранилище для резервного копирования.

Общая организационная схема

Для обеспечения надлежащего уровня обслуживания и безопасности данных, кластер включает различные функциональные компоненты:

Файрвол (межсетевой экран, брэндмауэр) — программно-аппаратный комплекс, осуществляющий контроль и фильтрацию проходящего через него трафика с целью ограничения доступа и повышения безопасности сети. Без этого компонента злоумышленнику проще найти возможные уязвимости и получить доступ к внутренней сети и данным.

Функции фильтрации входящего трафика и маршрутизацию осуществляет роутер MicroTik.

Терминальный сервер — сервер, на котором размещены виртуальные рабочие места пользователей. Обеспечивает взаимодействие пользователей с сервером приложений 1С. Является «точкой входа» для авторизированных пользователей, которые через него работают в виртуальной внутренней сети и имеют доступ к её ресурсам.

Работает под управлением ОС Windows 2016 Server. Каждый пользователь имеет отдельную учетную запись в домене. В рамках общей политики каждому выделяется определённая дисковая квоту для размещения личной информации.

Контроллер домена — программно-аппаратный комплекс, управляющий виртуальной локальной сетью и осуществляющий контроль над выполнением политик учетных записей пользователей (авторизация, уровни доступа к данным, дисковые квоты и т. д.). Управляет терминальным сервером, устанавливая правила работы на нём для индивидуальных пользователей и групп.

Работает под управлением ОС Windows 2016 Server.

Сервер приложений — сервер платформы 1С. Здесь выполняются рабочие процессы службы 1С. Обслуживает подключения пользователей с терминального сервера и через интернет.

Для обеспечения доступа к платформе через веб-интерфейс и мобильное приложение, там же размещен веб-сервер Apache.

Сервер работает под управлением ОС Ubuntu 16.04. Версия платформы 8.3.12.1855 x64. Фильтрация траффика средствами iptables. Политика «что не разрешено, то запрещено».

Сервер СУБД — сервер баз данных; хранилище информации. Здесь размещены базы данных, с которыми работает сервер 1С. Не имеет доступа извне. Возможны только строго ограниченные подключения для сервера приложений и внешнего резервного хранилища.

Работает под управлением ОС Ubuntu 16.04. СУБД Postgres 9.6 (специальная редакция для 1С). Фильтрация траффика средствами iptables. Политика «что не разрешено, то запрещено».

Резервное копирование осуществляется несколькими способами: создание отдельных локальных копий всех пользовательских БД (несколько раз в сутки); периодическое (два раза в сутки) резервное копирование пользовательских БД в хранилище; непрерывная WAL-архивация всего кластера СУБД в хранилище; ежесуточное резервное копирование всего кластера СУБД в хранилище.

Резервное копирование компонентов кластера

Для повышения надежности и скорости восстановления в случае отказа выполняется ежесуточное резервное копирование в хранилище образов виртуальных машин.

Дополнительные сервисы для арендаторов

Административное сопровождение кластера в целом и баз данных в частности выполняется силами компании, предоставляющей сервис.

При этом специалистами компании постоянно выполняется контроль:

• загрузки процессора (CPU Load, CPU Utilization)

• загрузки системы ввода-вывода (Disk Usage, Disk Queue)

• расхода памяти (Memory Usage)

• времени реакции сервера (Host Call Time)

• времени отклика сервера (ICMP Response, ICMP Lost)

и других показателей.

А так же осуществляют

• регламентное обслуживание баз, рекомендованное 1С, и контроль его качества;

• регулярное резервное копирование отдельных баз данных и всего кластера.

За счет этого мы поддерживаем производительность на достаточном уровне, а именно:

средние скорости выполнения задач для типовых конфигураций, секунд

• запись документа — от 0.85 до 2.00;

• проведение документа — от 0.85 до 2.00;

• открытия списка документов или справочников — от 1.00 до 3.00;

• формирование отчета за период, равный месяцу — от 3.00 до 20.00.

И можем гарантировать:

• время простоя — не более 2 ч в месяц;

• интервал потери данных в случае краха сервера БД — менее 1 рабочего часа

 

Стоимость владения кластером при индивидуальном заказе

Стоимость владения кластером серверов состоит из стоимости установки аппаратной и программной инфраструктуры (разовая плата), месячной арендной платы оборудования и (если заказано) администрирования и сопровождения программной части.

Разовая плата за установку аппаратной базы серверов в зависимости от уровня составляет от 60 до 270 евро. При этом необходимо понимать необходимые на данный момент и достаточные с учетом роста потребностей технические характеристики оборудования.

Плата за установку и настройку программного обеспечения — от 350 евро. При этом необходимые лицензии на программное обеспечение приобретаются заказчиком отдельно.

Плата за аренду аппаратного обеспечения — от 60 до 270 евро в месяц.

Плата за административное сопровождение кластера — от 150 евро в месяц.

 

  1. БЕЗОПАСНОСТЬ Серверов 1С:Підприємство

    Политика паролей пользователей 1С:Підприємство (включить "проверка сложности паролей пользователей")

    Ограничение доступа к БД: Для каждой ИБ свой пользователь и пароль доступа к БД  (в настройках ИБ)

    Ограничение доступа к каталогу с БД на сервере СУБД

    Настройка ограничений для прав пользователя ОС из под которого запущена служба сервера 1С:Підприємство

    Настройка ограничений для прав пользователя ОС из под которого запущена служба сервера БД

    Ограничение доступа к настройкам кластера 1С:Підприємство

    Создать Администратора кластера 1С:Підприємствос паролем на вход

    Ограничить доступ к файловому каталогу с настройками кластера 1С:Підприємство на сервере 1С:Підприємство

    Закрыть TCP/IP порты (настроить Firewall) на серверах 1С:Підприємствои СУБД

    Ограничить/закрыть доступ к сетевым файловым каталогам на серверах 1С:Підприємство и СУБД

    Своевременно устанавливать критические обновления ОС и ПО на серверах 1С:Підприємство и СУБД

    Удалить лишнее ПО на серверах 1С:Підприємство и СУБД

    Ограничить доступ к бекапам, зеркалам и репликам базы

    Идентификация источников подключений к ИБ 1С:Підприємство

      • Толстый/тонкий клиент (подключение непосредственно к серверу 1С:Підприємство)
      • ВЕБ-клиент (подключение через расширение веб-сервера)
      • Контрооль публикаций интернет-сервисов (ВЕБ-сервисы, HTTP-сервисы, OData)
      • COM-соеднения

    Ограничение прямого доступа в базу СУБД (в обход сервера 1С:Підприємство)

    Создать и Настроить профили безопасности в кластере 1С:Підприємство

    Анализ ролей, прав доступа и RLS в ИБ 1С:Підприємство- удалить лишние

    Ограничить возможность непосредственного удаления объектов

    Ограничить использование операций "Выполнить()" в прикладном коде конфигурации

    Ограничить использование прикладного кода конфигурации в привилегированном режиме

    Ограничить использование фоновых заданий и регламентных операций над базой (управление итогами, удаление помеченных)

    Ограничить использование  полных прав на рабочую базу

    Ограничить доступ к конфигуратору рабочей базы

    Контроль за созданием тестовых баз и баз для разработки (удаление конфиденциальной информации)

    Ограничить доступ к хранилищу конфигурации

    ОБЩАЯ СЕТЕВАЯ БЕЗОПАСНОСТЬ

    1. Фаервол

    Закрыты все порты для доступа извне, за исключением портов необходимых служб.

    Если есть какие-то хранилища, сервисы для внутреннего использования — убедиться, что на соответствующих серверах доступ открыт только для внутренней подсети.

    2. Антивирус

    Установлен, регулярно обновляется.

    3. VPN

    Если на предприятии разрешена удаленная работа, то:

    - служба удаленных рабочих столов должна быть «перевешена» на нестандартный порт;

    - доступ исключительно через VPN соединение.

    4. Обновления и сервис-паки

    Должны стоять все актуальные обновления и сервис-паки ключевого ПО: ОС, сервера СУБД, офисного пакета (если MS Office).

    5. Политика доступов и паролей

    Доступы к ресурсам должны быть регламентированы. У администраторов должны быть списки кто, откуда, к чему имеет доступ. Соответственно, на контроллере домена и сервисах настроены необходимые ограничения.

    Пароли должны быть сложности, достаточной для исключения быстрого подбора; ограничено количество ошибок ввода с блокировкой у/з (на длительный период или до вмешательства администратора).

    6. Ограничение интернет-доступа, фильтрация почтовых сообщений

    Закрыт доступ к определённым ресурсам или в интернет вообще.

    Для электронной корреспонденции используется корпоративная почта с фильтрацией спама и антивирусной проверкой.

    7. Программное обеспечение

    Всё программное обеспечение на рабочие места устанавливается только с ведома и разрешения ответственного лица (системного администратора). Всё программное обеспечение легально, его активность известна и контролируема.

    Если эксплуатация ПО предполагает высокую сетевую активность, это ПО и рабочие места должны находится под особым контролем (пример: распространение «Пети» через «Медок»).

БЕЗОПАСНОСТЬ ДАННЫХ

1. Ограничение доступа

Только авторизованные пользователи, ограничение прав при работе непосредственно с информацией, уровни доступа к информации и их реализация.

Отсутствие общедоступных «свалок», файлообменников.

2. Резервное копирование.

Постоянное резервное копирование (сервер в состоянии репликации или полная модель восстановления) или компромиссная схема (периодические бэкапы).

Бэкапы хранятся на отдельных физических носителях. Доступ к хранилищу защищен и строго ограничен. Не лишне резервное копирование самих бэкапов на отдельные удаленные носители.

Периодическое тестирование резервных копий на целостность, пригодность для восстановления.

3. Наличие средств безвозвратного уничтожения данных на случай экстренной ситуации во избежание утечки информации

Устройство-ключ, извлечение которого влечет безвозвратное уничтожение данных. Устройства физического уничтожения носителей информации.

Средства и способы ликвидации каналов доступа к информации (если доступ осуществляется удаленно).

4. Эксплуатация технических средств

Запрет несанкционированного использование средств аудио и видео фиксации. Видеокамеры и микрофоны, встроенные в оборудование должны быть отключены физически или хотя бы надежно заклеены.

Запрет на наличие у сотрудников при себе любой электроники (в т. ч. часов) при проведении закрытых совещаний.

5. Защищенность информационных каналов

1. Запрет на использование публичных сетей для доступа к информации, использование шифрования (VPN + SSL, SSH) при подключении, обязательный контроль валидности сертификатов.

2. Если предполагается возможность прослушки:

- использовать случайные или одноразовые интернет-каналы (например, мобильная сеть) с обязательным выполнением требований предыдущего пункта;

- использовать одноразовые пароли, одноразовые почтовые ящики, заграничные серверы;

- запрет на использование для общения мобильной связи, SMS, популярных мессенджеров (Вайбер, Телеграмм, Вотсапп; в идеале – мессенджер собственной разработки).

РАБОТА С ПЕРСОНАЛОМ

1. Персонал должен быть в доступной форме под подпись информирован про правила информационной безопасности на предприятии и об ответственности за их невыполнение.

При этом предприятие обязано провести базовый инструктаж по «технике информационной безопасности». В инструкциях, в частности, должны быть обозначены и нижеследующие пункты.

Сотрудники имеют право получать консультации по данному вопросу у ответственных специалистов предприятия.

* Это на самом деле очень не простой пункт. Всё это должно быть увязано с КЗОТом, требует утвержденного классификатора информации по предприятию и вообще соблюдения очень широкого комплекса условий. Практически везде состояние вопроса таково, что подписывая подобный документ, сотрудник подписывает себе приговор.

2. Сотрудник должен знать свои полномочия и осознавать, каким уровнем информации он владеет (см. выше).

Так же должно соблюдаться обратное: должно быть понимание, какие сотрудники или группы сотрудников обладают той или иной информацией. Чем четче и подробнее составлен «классификатор», тем легче может оказаться поиск утечки.

3. Сотрудник должен четко знать, что входит в его компетенцию, а что требует согласования руководства или уполномоченного сотрудника.

4. Сотрудник должен знать и соблюдать порядок взаимодействия и обмена информацией со смежными подразделениями и, тем более, третьими лицами.

Например, предприятие пригласило стороннего специалиста по 1С для проведения определенных работ. Если необходимо прямое взаимодействие данного специалиста с сотрудниками предприятия, он должен быть надлежащим образом представлен сотрудникам руководителем или иным уполномоченным лицом; должен быть обозначен перечень работ, которые он должен выполнить и информация, которая может быть ему доверена.

Сотрудник имеет право задавать вопросы «Что вы делаете? Зачем вы это делаете?», а приглашенный специалист обязан доступно отвечать. Если действия специалиста подозрительны или непонятны, работа должна быть приостановлена и должен быть приглашен компетентный сотрудник предприятия.

Поэтому не лишне, если проведение работ будет контролироваться системным администратором предприятия, так как рядовые сотрудники не всегда способны компетентно оценить действия специалиста.