Доклады, выступления, видео и электронные публикации
Про ЦОДы
Строить сегодня ЦОД — модный тренд. Кто только этим не занимается! Стартапы начинают свою деятельность с услуг по проектированию ЦОДов, ЦОДы вырастают «от Москвы до самых до окраин», и все они или незагружены, или «вот-вот будут» загружены. Одни крупные компании объявляют о запуске «облаков» на программно-технических средствах вендоров, у которых этих средств никогда не было, другие доплачивают заказчику, что бы поучаствовать в этой «деятельности». Крупные системы, обрабатывающие в том числе государственные информационные ресурсы, грозятся запустить с набором «средств защиты», которые хотя и затрудняют эксплуатацию, но не защищают данные. На любом ЦОДе знают, как разместить данные в «облаке», но никто не знает, как их оттуда удалить (хотя клиента ЦОДа собственное прайваси интересует, зачастую, в первую очередь).
А регуляторы начинают разрабатывать нормативную базу.
Все это хорошо. Количество потраченных денег (именно потраченных, вряд ли потраченные средства можно называть «вложенными»), рано или поздно перейдет в новое качество — появятся услуги ЦОДов. Плохо только одно — до сих пор непонятно, кто же именно должен пользоваться услугами ЦОДов? Конечно, можно «в духе времени» изобразить востребованность, заставив использовать ЦОДы тех, кого можно заставить. А можно создать условия, при которых ЦОД действительно будет нужен, и не чиновникам, а людям нашей страны. Важно, чтобы эти услуги появились на рынке, а не только в регламентах.
Самое время вспомнить о клиентах.
Клиенты хотят недорогих услуг, позволяющих им получать доступ:
- к аудио и видео контенту с современным уровнем качества (потоковое видео и видеофайлы с качеством FullHD, Skype, YouTube, сервисы интернет-кинотеатров и т.д.)
- к играм (в том числе он-лайн, и тоже с высоким качеством видео)
- к интернет-торговле с обеспечением должного уровня информационной безопасности
- к возможностям безопасного управления банковским счетом (дистанционное банковское обслуживание, ДБО)
- к видео конференциям в различных вариантах (в частности, интервью с представителями органов государственной власти, телемедицинские консультации, дистанционное образование)
- к обработке персональных данных
- к информационным системам, обрабатывающим защищаемые данные
- к госуслугам в электронном виде
При этом нельзя забывать о довольно высоком уровне «цифрового неравенства», как в возможности доступа к Интернет, так и с клиентскими компьютерами — далеко не каждый может купить себе современный игровой компьютер с мощным видеоускорителем.
Для того, чтобы ожидания клиента не были бы обмануты, нужно обеспечить:
- высокое качество услуг связи;
- недорогие, но полнофункциональные клиентские компьютеры;
- достаточный уровень защищенности информации.
Клиентский компьютер
Цена традиционного х86-компьютера, который обеспечит выполнение всех тех пожеланий, которые мы описали выше — не менее 1000$. Дополним теперь его необходимыми средствами защиты — как минимум, это:
- аппаратный модуль доверенной загрузки (например, «Аккорд-АМДЗ»);
- средства разграничения доступа (например, «Аккорд-Win32»);
- средства электронной подписи;
- средства потоковой криптографической защиты.
В сумме это еще около 500$. Вместе с ценой компьютера это будет уже около 1500$. Весьма немало. Трудно придумать мотивацию потратить такие деньги для семьи с небольшими доходами.
Но есть и другой вариант.
Это новый защищенный микрокомпьютер МАРШ!-МКT.
Микрокомпьютер разработан на базе 4-х ядерного Cortex-A9 процессора, причем в его состав включен мощный видеоускоритель, позволяющий воспроизводить файлы Full HD. Ниже приведены его технические характеристики.
CPU: на базе 1,6 ГГц Cortex A9
GPU: Mali400, 2D/ 3D OpenGL ES2.0/ OpenVG1.1.
Декодирование видео: Поддержка 1920×1080p@60fps
Кодирование видео: Поддержка записи в формат H.264. 1080p@60fps, 720@100fps
Операционная система: ядро Android 4.1.1, модернизирована для обеспечения функций безопасности
ОЗУ: 2GB DRR3
Встроенная память: 8GB, доступ «только чтение» (ReadOnly, RO)
Поддержка микро карт памяти до 32 ГБ
WiFi 802.11b/g/n
Bluetooth 2.1
Интерфейс HDMI: Поддержка 1920×1080P @60 Гц, HD-Видео
Порты:
1 x Micro USB 2.0 DC
1 x Micro USB OTG 1 x USB 2.0
1 x Слот для Карт TF
1 x HDMI порт
Программное обеспечение:
Мульти медиа форматы:
Аудио: MP3/WAV/AMR/AAC;
Видео:3GP,MPEG4,AVI,RMVB,MKV,FLV и т.д.
Поддержка Flash 11.x / HTML5 видео он-лайн
Игры: Встроенный 3D-Ускоритель. Поддержка 3D игр
Электронная почта: Gmail, POP3/SMTP/IMAP4
Размеры: 110×32×10 мм
Вес — 33 г
Защищенным его делает решение, описанное в [1], и, конечно, переработанные и проверенные операционная система и функциональное программное обеспечение.
Микрокомпьютер, как и другие версии средства доверенной загрузки «МАРШ!», имеет габариты большой флешки, в данном случае подключается по интерфейсу HDMI или DVI к телевизору или монитору, и обеспечивает своему владельцу доступ к Интернет, электронную почту, Skype, YouTube и все другие «блага цивилизации», включая высококачественное «проигрывание» видеофайлов.
Операционная система поддерживается компанией «Малогабаритные защищенные компьютерные системы» (МЗКС), и выполнена на основе ОС «Андроид».
Доступны приложения из Google Play Store. Офисные, медиа, интернет приложения и многие другие. Можно использовать для чтения документов, почты, отправки писем и документов, составления документов, общения с коллегами и друзьями. и многое другое.
Поддерживает Full HD форматы. Обеспечивается он-лайн потоковое видео из YouTube, Rutube и др., он-лайн фильмы, программы, сериалы и др. с сервисов бесплатных и платных кинотеатров iviRU, MegogoNET и др.
Подключается к ТВ или проектору через порт HDMI, к монитору — через DVI, питание от USB порта телевизора или монитора, либо внешнего блока питания (5V-2A). Подключение к интернет осуществляется по беспроводному WiFi.
Поддерживает управление проводными (USB) и беспроводными (2.4 Ghz, bluetooth) мышками, клавиатурами и пультами.
Поддерживается работа с защищенными ключевыми носителями по протоколу CCID.
Такого микрокомпьютера в защищенном исполнении вполне достаточно для всего, что нужно в обычной жизни, включая безопасное управление банковским счетом, получение государственных услуг в электронном виде, проверку успеваемости детей на портале школы и всего, о чем раньше все только говорили, но не могли «дать пощупать». С учетом того, что цена такого компьютера 10-15 раз ниже традиционного компьютера на базе x86, то понятно, что это и есть современное решение для потенциальных клиентов ЦОД.
Защита
Клиентский компьютер уже выпускается в защищенном исполнении. Интерес представляет защита ЦОДа. А они, как очевидно, могут быть с виртуализацией на базе VMware или на базе Hyper-V.
ПАК «Аккорд-В.»
Программно-аппаратный комплекс «Аккорд-В.» предназначен для защиты инфраструктуры виртуализации VMware.
«Аккорд-В.» обеспечивает защиту всех компонентов среды виртуализации: ESX-серверов и самих виртуальных машин, серверов управления vCenter и дополнительных серверов со службами VMware (например, VMware Consolidated Backup).
Система защиты «Аккорд-В.» полностью интегрируется в инфраструктуру виртуализации, поэтому для ее функционирования не требуются дополнительные серверы. При этом «Аккорд-В.» не ограничивает в целях безопасности возможностей виртуальной инфраструктуры, оставляя доступными все ее преимущества.
В «Аккорд-В.» реализованы следующие механизмы защиты:
- Доверенная загрузка всех элементов инфраструктуры виртуализации
- Пошаговый контроль целостности гипервизора, виртуальных машин, файлов внутри виртуальных машин и серверов управления инфраструктурой
- Разграничение доступа администраторов виртуальной инфраструктуры и администраторов безопасности
- Разграничение доступа пользователей внутри виртуальных машин
- Аппаратная идентификация всех пользователей и администраторов инфраструктуры виртуализации
«Аккорд-В.» обеспечивает защищенность всех компонентов среды виртуализации: ESX-серверов и самих виртуальных машин, серверов управления vCenter, дополнительных серверов со службами VMware (например, VMware Consolidated Backup).
Управление системой защиты осуществляется централизованно с сервера управления виртуальной инфраструктурой. Доступ к инструментам управления системой защиты предоставляется только администраторам безопасности, от администраторов виртуальной инфраструктуры эти инструменты скрыты.
ПАК «ГиперАккорд»
Программно-аппаратный комплекс «ГиперАккорд» предназначен для инфраструктур виртуализации на базе системы Microsoft Hyper-V.
Интерфейс управления аналогичен ПАК «Аккорд-Win32» и «Аккорд-Win64», поэтому необходимость переучивания управляющего персонала минимальная.
В «ГиперАккорд» реализованы следующие механизмы защиты:
- Идентификация/аутентификация пользователей до загрузки ОС;
- Проверка целостность критичных для работы службы Hyper-V программ, данных и ветвей реестра до загрузки ОС;
- Аутентификация администраторов виртуальной инфраструктуры и администраторов информационной безопасности;
- Разграничение доступа пользователей к серверу Windows 2008;
- Разграничение доступа к файлам и данным службы Hyper-V;
- Разграничение доступа к виртуальным или физическим дискам виртуальных машин;
- Защита средств управления виртуальной инфраструктурой от НСД;
- Контроль запуска виртуальных машин;
- Контроль целостности конфигурации виртуальных машин;
- Контроль целостности файлов и данных виртуальных машин (виртуальных дисков);
- Доверенная загрузка виртуальных машин.
Для обеспечения полноценной защиты виртуальных машин от НСД, рекомендуется на виртуальных машинах использовать ПАК «Аккорд-Win32», «Аккорд-Win64» или «Аккорд-Х».
Комплекс работает на всех версиях Hyper-V (версии 2 и 3 — для Windows 2008 R2 и 2012 соответственно).
Таким образом обеспечивается громадный рынок защищенных коммуникаций. Для поддержки этих решений в клиентский компьютер встраивается агент СЗИ НСД «Аккорд», и ПО, поддерживающее необходимые протоколы доступа, включая работу в терминальном режиме и режиме WEB-доступа.
Автор: Конявский В. А.
Дата публикации: 01.01.2013
Библиографическая ссылка: Конявский В. А. Про ЦОДы // Национальный Банковский Журнал. М., 2013. № 7. С. 82–83.
Обратная связь
Отправьте нам сообщение или закажите обратный звонок.