====== Technické zabezpečení virtualizační platformy ======
Sdružení Cesnet plní požadavky normy ČSN EN ISO/IEC 27001:2014 a je vlastníkem příslušného [[https://www.cesnet.cz/wp-content/uploads/2020/07/certifikat_ISMS_2020.pdf | certifikátu]]. Všechny pracovní a bezpečnostní postupy jsou v souladu s touto normou.
Všichni správci virtualizační infrastruktury mají pracovně právní vztah se sdružením Cesnet a jsou poučeni ve smyslu směrnice GDPR.
Využití virtualizační platformy podléhá vlastním [[cs:pravidla|pravidlům]], se kterými musí vlastník jednotlivých virtuálních serverů souhlasit při zřizování služby a je povinen je dále dodržovat.
===== Síťová bezpečnost =====
Hypervizory a veškerá interní infrastruktura je adresována v oddělené síti, která není dostupná mimo datové centrum. Je-li to možné, jsou použity privátní adresní rozsahy. Přístupy pro správce infrastruktury jsou řízeny přes ACL na síťových prvcích.
Virtuální servery jsou rozděleny do několika L2 sítí. Stroje externích organizací jsou z bezpečnostních důvodů umísťovány do oddělené sítě. Komunikace virtuálních serverů mezi sebou není nijak omezována.
Kritickým virtuálním serverům je předřazen síťový bezpečnostní IDS/IPS prvek, který chrání kritické služby před hrozbami z internetu.
===== Vzdálená správa =====
Management pro správce virtuálních serverů (VMware vCenter Server) je dostupný pouze pomocí IPv6 konektivity a je dále omezen na vyjmenované IP rozsahy správců + centrální VPN službu organizace. Autentizace je navázána na centrální LDAP, ve kterém jsou všichni zaměstnanci organizace. Tím je automaticky řešen i životní cyklus uživatele a ke správcovské konzoli se přihlásí pouze uživatel s platným pracovně právním vztahem. Vlastní infrastruktura pak neuchovává žádné citlivé údaje o uživatelích.
V odůvodněných případech je správa virtuálních serverů umožněna externistům, jejichž konto musí být garantováno zaměstnancem organizace.
===== Fyzické zabezpečení =====
Zařízení jsou fyzicky umístěna na serverových sálech s omezeným přístupem chráněným dvoufaktorovým ověřením. Vstup je chráněn elektronickou kartou na jméno a čtečkou biometrických údajů.
===== Logování =====
Aktivity uživatelů i správců jsou logovány v rámci služby a kopie se dále odesílá na centrální syslog server. Nestandardní aktivity (např. pokusy o uhodnutí hesla) jsou okamžitě notifikovány správcům. Standardní aktivity je možné prohlédnout v automatickém týdenním reportu.
Logy na centrálním syslog serveru se uchovávají po dobu 6 měsíců a následně jsou automaticky mazány. Statistická data o využití zdrojů jsou uchovávány rok a po jejich zpracování se odmazávají. Viz [[https://almara.cesnet.cz/share/page/site/ISMS/documentlibrary | ISMS směrnice]] (odkaz vede na interní web).
===== Monitoring =====
Celá infrastruktura je detailně monitorována a to jak vnitřními nástroji, tak externím dohledem z centrálního Nagios serveru. Monitorována je nejen infrastruktura jako taková, ale i všechny produkční virtuální servery zde běžící. Tím je zajištěno, že o problému se správce dozví i v případě fatálního síťového výpadku uvnitř datacentra.
Globální dohled nad celou infrastrukturou zajištuje centrální [[https://www.cesnet.cz/kontakty/service-desk/ | HelpDesk]] dostupný 24/7. V případě potřeby pracovníci HelpDesku informují o aktuálním stavu a zajišťují případné nápravy nestandardních situací.
===== Zálohování =====
Datatové centrum virtualizační infrastruktury je distribuováno do dvou fyzických lokalit, které se dokáží vzájemně zálohovat. Obě lokality jsou v České Republice (Praha a Brno) a veškerý HW máme plně pod svou kontrolou. V případě údržby je možné virtuální stroje mezi lokalitami migrovat.
Všechny virtuální servery jsou denně zálohovány nástrojem Veeam Backup & Replication. Zálohy jsou primárně ukládány v rámci datacentra a následně jsou kopírovány na oddělenou infrastrukturu DÚ CESNET. Zde jsou dostupné následující 4 měsíce. Zálohy opouštějící prostředí datacentra jsou šifrované. Každý měsíc se automaticky provádí kontrola konzistence záloh. Nástroj Veeam Backup & Replication umožňuje v případě potřeby spustit obnovovaný virtuální server přímo ze vzdálené zálohy a vlastní obnovu pustit na pozadí. Tím se dá výrazně snížit čas obnovy u kritických systémů (RTO).
===== Testování a ověřování postupů =====
Při pravidelných cyklech aktualizací využíváme výhod dvou propojených datacenter a nové verze jsou vždy otestovány v jedné lokalitě a po ověření bezproblémového průběhu je změna aplikována i do druhého datacentra. V případě větších zásahů využíváme i možnosti předem odmigrovat kritické virtuální servery do druhé lokality. Provedené změny jsou zaznamenávány do provozního deníku a je-li to vyžadováno, promítnou se i do pracovních postupů.
===== Osobní údaje =====
Každý virtuální server musí mít svého správce/vlastníka, který je u daného stroje evidován. Uchovává se jméno, email a případně telefon pro možnost rychlého kontaktování v případě problémů. Email je dále využíván i pro automatizovaný reporting nestandardních stavů. K údajům mají přístup pouze správci infrastruktury a s osobními údaji zachází plně v souladu s globální GDPR směrnicí Cesnetu.
V souladu s nařízením GDPR (General Data Protection Regulation,
obecné nařízení o ochraně osobních údajů) Vás chceme seznámit se
[[https://www.cesnet.cz/sdruzeni/dokumenty/oou/|zásadami zpracování
a ochrany osobních údajů]], které evidujeme
v souvislosti se zajišťováním služeb e-infrastruktury
CESNET.