cs:security_measures

Technické zabezpečení virtualizační platformy

Sdružení Cesnet plní požadavky normy ČSN EN ISO/IEC 27001:2014 a je vlastníkem příslušného certifikátu. Všechny pracovní a bezpečnostní postupy jsou v souladu s touto normou. Všichni správci virtualizační infrastruktury mají pracovně právní vztah se sdružením Cesnet a jsou poučeni ve smyslu směrnice GDPR.

Využití virtualizační platformy podléhá vlastním pravidlům, se kterými musí vlastník jednotlivých virtuálních serverů souhlasit při zřizování služby a je povinen je dále dodržovat.

Síťová bezpečnost

Hypervizory a veškerá interní infrastruktura je adresována v oddělené síti, která není dostupná mimo datové centrum. Je-li to možné, jsou použity privátní adresní rozsahy. Přístupy pro správce infrastruktury jsou řízeny přes ACL na síťových prvcích. Virtuální servery jsou rozděleny do několika L2 sítí. Stroje externích organizací jsou z bezpečnostních důvodů umísťovány do oddělené sítě. Komunikace virtuálních serverů mezi sebou není nijak omezována. Kritickým virtuálním serverům je předřazen síťový bezpečnostní IDS/IPS prvek, který chrání kritické služby před hrozbami z internetu.

Vzdálená správa

Management pro správce virtuálních serverů (VMware vCenter Server) je dostupný pouze pomocí IPv6 konektivity a je dále omezen na vyjmenované IP rozsahy správců + centrální VPN službu organizace. Autentizace je navázána na centrální LDAP, ve kterém jsou všichni zaměstnanci organizace. Tím je automaticky řešen i životní cyklus uživatele a ke správcovské konzoli se přihlásí pouze uživatel s platným pracovně právním vztahem. Vlastní infrastruktura pak neuchovává žádné citlivé údaje o uživatelích. V odůvodněných případech je správa virtuálních serverů umožněna externistům, jejichž konto musí být garantováno zaměstnancem organizace.

Fyzické zabezpečení

Zařízení jsou fyzicky umístěna na serverových sálech s omezeným přístupem chráněným dvoufaktorovým ověřením. Vstup je chráněn elektronickou kartou na jméno a čtečkou biometrických údajů.

Logování

Aktivity uživatelů i správců jsou logovány v rámci služby a kopie se dále odesílá na centrální syslog server. Nestandardní aktivity (např. pokusy o uhodnutí hesla) jsou okamžitě notifikovány správcům. Standardní aktivity je možné prohlédnout v automatickém týdenním reportu. Logy na centrálním syslog serveru se uchovávají po dobu 6 měsíců a následně jsou automaticky mazány. Statistická data o využití zdrojů jsou uchovávány rok a po jejich zpracování se odmazávají. Viz ISMS směrnice (odkaz vede na interní web).

Monitoring

Celá infrastruktura je detailně monitorována a to jak vnitřními nástroji, tak externím dohledem z centrálního Nagios serveru. Monitorována je nejen infrastruktura jako taková, ale i všechny produkční virtuální servery zde běžící. Tím je zajištěno, že o problému se správce dozví i v případě fatálního síťového výpadku uvnitř datacentra. Globální dohled nad celou infrastrukturou zajištuje centrální HelpDesk dostupný 24/7. V případě potřeby pracovníci HelpDesku informují o aktuálním stavu a zajišťují případné nápravy nestandardních situací.

Zálohování

Datatové centrum virtualizační infrastruktury je distribuováno do dvou fyzických lokalit, které se dokáží vzájemně zálohovat. Obě lokality jsou v České Republice (Praha a Brno) a veškerý HW máme plně pod svou kontrolou. V případě údržby je možné virtuální stroje mezi lokalitami migrovat. Všechny virtuální servery jsou denně zálohovány nástrojem Veeam Backup & Replication. Zálohy jsou primárně ukládány v rámci datacentra a následně jsou kopírovány na oddělenou infrastrukturu DÚ CESNET. Zde jsou dostupné následující 4 měsíce. Zálohy opouštějící prostředí datacentra jsou šifrované. Každý měsíc se automaticky provádí kontrola konzistence záloh. Nástroj Veeam Backup & Replication umožňuje v případě potřeby spustit obnovovaný virtuální server přímo ze vzdálené zálohy a vlastní obnovu pustit na pozadí. Tím se dá výrazně snížit čas obnovy u kritických systémů (RTO).

Testování a ověřování postupů

Při pravidelných cyklech aktualizací využíváme výhod dvou propojených datacenter a nové verze jsou vždy otestovány v jedné lokalitě a po ověření bezproblémového průběhu je změna aplikována i do druhého datacentra. V případě větších zásahů využíváme i možnosti předem odmigrovat kritické virtuální servery do druhé lokality. Provedené změny jsou zaznamenávány do provozního deníku a je-li to vyžadováno, promítnou se i do pracovních postupů.

Osobní údaje

Každý virtuální server musí mít svého správce/vlastníka, který je u daného stroje evidován. Uchovává se jméno, email a případně telefon pro možnost rychlého kontaktování v případě problémů. Email je dále využíván i pro automatizovaný reporting nestandardních stavů. K údajům mají přístup pouze správci infrastruktury a s osobními údaji zachází plně v souladu s globální GDPR směrnicí Cesnetu.

V souladu s nařízením GDPR (General Data Protection Regulation, obecné nařízení o ochraně osobních údajů) Vás chceme seznámit se zásadami zpracování a ochrany osobních údajů, které evidujeme v souvislosti se zajišťováním služeb e-infrastruktury CESNET.
Poslední úprava:: 13.09.2021 08:32