Про ЦОДы

Строить сегодня ЦОД — модный тренд. Кто только этим не занимается! Стартапы начинают свою деятельность с услуг по проектированию ЦОДов, ЦОДы вырастают «от Москвы до самых до окраин», и все они или незагружены, или «вот-вот будут» загружены. Одни крупные компании объявляют о запуске «облаков» на программно-технических средствах вендоров, у которых этих средств никогда не было, другие доплачивают заказчику, что бы поучаствовать в этой «деятельности». Крупные системы, обрабатывающие в том числе государственные информационные ресурсы, грозятся запустить с набором «средств защиты», которые хотя и затрудняют эксплуатацию, но не защищают данные. На любом ЦОДе знают, как разместить данные в «облаке», но никто не знает, как их оттуда удалить (хотя клиента ЦОДа собственное прайваси интересует, зачастую, в первую очередь).

А регуляторы начинают разрабатывать нормативную базу.

Все это хорошо. Количество потраченных денег (именно потраченных, вряд ли потраченные средства можно называть «вложенными»), рано или поздно перейдет в новое качество — появятся услуги ЦОДов. Плохо только одно — до сих пор непонятно, кто же именно должен пользоваться услугами ЦОДов? Конечно, можно «в духе времени» изобразить востребованность, заставив использовать ЦОДы тех, кого можно заставить. А можно создать условия, при которых ЦОД действительно будет нужен, и не чиновникам, а людям нашей страны. Важно, чтобы эти услуги появились на рынке, а не только в регламентах.

Самое время вспомнить о клиентах.

Клиенты хотят недорогих услуг, позволяющих им получать доступ:

• к аудио и видео контенту с современным уровнем качества (потоковое видео и видеофайлы с качеством FullHD, Skype, YouTube, сервисы интернет-кинотеатров и т.д.)
• к играм (в том числе он-лайн, и тоже с высоким качеством видео)
• к интернет-торговле с обеспечением должного уровня информационной безопасности
• к возможностям безопасного управления банковским счетом (дистанционное банковское обслуживание, ДБО)
• к видео конференциям в различных вариантах (в частности, интервью с представителями органов государственной власти, телемедицинские консультации, дистанционное образование)
• к обработке персональных данных
• к информационным системам, обрабатывающим защищаемые данные
• к госуслугам в электронном виде

При этом нельзя забывать о довольно высоком уровне «цифрового неравенства», как в возможности доступа к Интернет, так и с клиентскими компьютерами — далеко не каждый может купить себе современный игровой компьютер с мощным видеоускорителем.

Для того, чтобы ожидания клиента не были бы обмануты, нужно обеспечить:

• высокое качество услуг связи;
• недорогие, но полнофункциональные клиентские компьютеры;
• достаточный уровень защищенности информации.

Клиентский компьютер

Цена традиционного х86-компьютера, который обеспечит выполнение всех тех пожеланий, которые мы описали выше — не менее 1000$. Дополним теперь его необходимыми средствами защиты — как минимум, это:

• аппаратный модуль доверенной загрузки (например, «Аккорд-АМДЗ»);
• средства разграничения доступа (например, «Аккорд-Win32»);
• средства электронной подписи;
• средства потоковой криптографической защиты.

В сумме это еще около 500$. Вместе с ценой компьютера это будет уже около 1500$. Весьма немало. Трудно придумать мотивацию потратить такие деньги для семьи с небольшими доходами.

Но есть и другой вариант.

Это новый защищенный микрокомпьютер МАРШ!-МКT.

Микрокомпьютер разработан на базе 4-х ядерного Cortex-A9 процессора, причем в его состав включен мощный видеоускоритель, позволяющий воспроизводить файлы Full HD. Ниже приведены его технические характеристики.

CPU: на базе 1,6 ГГц Cortex A9

GPU: Mali400, 2D/ 3D OpenGL ES2.0/ OpenVG1.1.

Декодирование видео: Поддержка 1920×1080p@60fps

Кодирование видео: Поддержка записи в формат H.264. 1080p@60fps, 720@100fps

Операционная система: ядро Android 4.1.1, модернизирована для обеспечения функций безопасности

ОЗУ: 2GB DRR3

Встроенная память: 8GB, доступ «только чтение» (ReadOnly, RO)

Поддержка микро карт памяти до 32 ГБ

WiFi 802.11b/g/n

Bluetooth 2.1

Интерфейс HDMI: Поддержка 1920×1080P @60 Гц, HD-Видео

Порты:

1 x Micro USB 2.0 DC

1 x Micro USB OTG 1 x USB 2.0

1 x Слот для Карт TF

1 x HDMI порт

Программное обеспечение:

Мульти медиа форматы:

Аудио: MP3/WAV/AMR/AAC;

Видео:3GP,MPEG4,AVI,RMVB,MKV,FLV и т.д.

Поддержка Flash 11.x / HTML5 видео он-лайн

Игры: Встроенный 3D-Ускоритель. Поддержка 3D игр

Электронная почта: Gmail, POP3/SMTP/IMAP4

Размеры: 110×32×10 мм

Вес — 33 г

Защищенным его делает решение, описанное в [1], и, конечно, переработанные и проверенные операционная система и функциональное программное обеспечение.

Микрокомпьютер, как и другие версии средства доверенной загрузки «МАРШ!», имеет габариты большой флешки, в данном случае подключается по интерфейсу HDMI или DVI к телевизору или монитору, и обеспечивает своему владельцу доступ к Интернет, электронную почту, Skype, YouTube и все другие «блага цивилизации», включая высококачественное «проигрывание» видеофайлов.

Операционная система поддерживается компанией «Малогабаритные защищенные компьютерные системы» (МЗКС), и выполнена на основе ОС «Андроид».

Доступны приложения из Google Play Store. Офисные, медиа, интернет приложения и многие другие. Можно использовать для чтения документов, почты, отправки писем и документов, составления документов, общения с коллегами и друзьями. и многое другое.

Поддерживает Full HD форматы. Обеспечивается он-лайн потоковое видео из YouTube, Rutube и др., он-лайн фильмы, программы, сериалы и др. с сервисов бесплатных и платных кинотеатров iviRU, MegogoNET и др.

Подключается к ТВ или проектору через порт HDMI, к монитору — через DVI, питание от USB порта телевизора или монитора, либо внешнего блока питания (5V-2A). Подключение к интернет осуществляется по беспроводному WiFi.

Поддерживает управление проводными (USB) и беспроводными (2.4 Ghz, bluetooth) мышками, клавиатурами и пультами.

Поддерживается работа с защищенными ключевыми носителями по протоколу CCID.

Такого микрокомпьютера в защищенном исполнении вполне достаточно для всего, что нужно в обычной жизни, включая безопасное управление банковским счетом, получение государственных услуг в электронном виде, проверку успеваемости детей на портале школы и всего, о чем раньше все только говорили, но не могли «дать пощупать». С учетом того, что цена такого компьютера 10-15 раз ниже традиционного компьютера на базе x86, то понятно, что это и есть современное решение для потенциальных клиентов ЦОД.

Защита

Клиентский компьютер уже выпускается в защищенном исполнении. Интерес представляет защита ЦОДа. А они, как очевидно, могут быть с виртуализацией на базе VMware или на базе Hyper-V.

ПАК «Аккорд-В.»

Программно-аппаратный комплекс «Аккорд-В.» предназначен для защиты инфраструктуры виртуализации VMware.

«Аккорд-В.» обеспечивает защиту всех компонентов среды виртуализации: ESX-серверов и самих виртуальных машин, серверов управления vCenter и дополнительных серверов со службами VMware (например, VMware Consolidated Backup).

Система защиты «Аккорд-В.» полностью интегрируется в инфраструктуру виртуализации, поэтому для ее функционирования не требуются дополнительные серверы. При этом «Аккорд-В.» не ограничивает в целях безопасности возможностей виртуальной инфраструктуры, оставляя доступными все ее преимущества.

В «Аккорд-В.» реализованы следующие механизмы защиты:

• Доверенная загрузка всех элементов инфраструктуры виртуализации
• Пошаговый контроль целостности гипервизора, виртуальных машин, файлов внутри виртуальных машин и серверов управления инфраструктурой
• Разграничение доступа администраторов виртуальной инфраструктуры и администраторов безопасности
• Разграничение доступа пользователей внутри виртуальных машин
• Аппаратная идентификация всех пользователей и администраторов инфраструктуры виртуализации

«Аккорд-В.» обеспечивает защищенность всех компонентов среды виртуализации: ESX-серверов и самих виртуальных машин, серверов управления vCenter, дополнительных серверов со службами VMware (например, VMware Consolidated Backup).

Управление системой защиты осуществляется централизованно с сервера управления виртуальной инфраструктурой. Доступ к инструментам управления системой защиты предоставляется только администраторам безопасности, от администраторов виртуальной инфраструктуры эти инструменты скрыты.

ПАК «ГиперАккорд»

Программно-аппаратный комплекс «ГиперАккорд» предназначен для инфраструктур виртуализации на базе системы Microsoft Hyper-V.

Интерфейс управления аналогичен ПАК «Аккорд-Win32» и «Аккорд-Win64», поэтому необходимость переучивания управляющего персонала минимальная.

В «ГиперАккорд» реализованы следующие механизмы защиты:

• Идентификация/аутентификация пользователей до загрузки ОС;
• Проверка целостность критичных для работы службы Hyper-V программ, данных и ветвей реестра до загрузки ОС;
• Аутентификация администраторов виртуальной инфраструктуры и администраторов информационной безопасности;
• Разграничение доступа пользователей к серверу Windows 2008;
• Разграничение доступа к файлам и данным службы Hyper-V;
• Разграничение доступа к виртуальным или физическим дискам виртуальных машин;
• Защита средств управления виртуальной инфраструктурой от НСД;
• Контроль запуска виртуальных машин;
• Контроль целостности конфигурации виртуальных машин;
• Контроль целостности файлов и данных виртуальных машин (виртуальных дисков);
• Доверенная загрузка виртуальных машин.

Для обеспечения полноценной защиты виртуальных машин от НСД, рекомендуется на виртуальных машинах использовать ПАК «Аккорд-Win32», «Аккорд-Win64» или «Аккорд-Х».

Комплекс работает на всех версиях Hyper-V (версии 2 и 3 — для Windows 2008 R2 и 2012 соответственно).

Таким образом обеспечивается громадный рынок защищенных коммуникаций. Для поддержки этих решений в клиентский компьютер встраивается агент СЗИ НСД «Аккорд», и ПО, поддерживающее необходимые протоколы доступа, включая работу в терминальном режиме и режиме WEB-доступа.

Автор: Конявский В. А.

Дата публикации: 01.01.2013

Библиографическая ссылка: Конявский В. А. Про ЦОДы // Национальный Банковский Журнал. М., 2013. № 7. С. 82–83.

---