Функцыі комплекснай бяспекі ExaGrid:

Больш пільны погляд:

• Кантрольны спіс бяспекі для хуткага і лёгкага ўкаранення перадавой практыкі.
• Аднаўленне праграм-вымагальнікаў: ExaGrid прапануе адзіны двухузроўневы падыход да захоўвання рэзервовых копій з несеткавым узроўнем (шматузроўневы паветраны зазор), адкладзенымі выдаленнямі і нязменнымі аб'ектамі для аднаўлення пасля нападаў праграм-вымагальнікаў.
• шыфраванне: ExaGrid прапануе апаратнае шыфраванне дыска на аснове FIPS 140-2 на ўсіх мадэлях SEC. Жорсткія дыскі з самашыфраваннем з кіраваннем ключамі на аснове RAID-кантролера і кантролем доступу забяспечваюць бяспеку вашых даных падчас працэсу захоўвання.
• Бяспека дадзеных у WAN: Рэплікацыя дэдуплікаваных рэзервовых даных можа быць зашыфравана пры перадачы паміж сайтамі ExaGrid з выкарыстаннем 256-бітнага AES, які з'яўляецца функцыяй бяспекі, зацверджанай FIPS PUB 140-2. Гэта пазбаўляе ад неабходнасці выкарыстання VPN для выканання шыфравання ў WAN.
• Ролевы кантроль доступу выкарыстанне лакальных уліковых дадзеных або ўліковых дадзеных Active Directory, а таксама ролі адміністратара і супрацоўніка службы бяспекі цалкам падзеленыя:
  • Аператар рэзервовага капіравання роля для паўсядзённых аперацый мае абмежаванні, такія як адсутнасць выдалення акцый
  • Супрацоўнік па пытаннях бяспекі роля абараняе кіраванне канфідэнцыйнымі данымі і патрабуецца для зацвярджэння любых змяненняў у палітыцы блакіроўкі часу захавання, а таксама для зацвярджэння прагляду або змяненняў каранёвага доступу
  • Роля адміністратара падобны на суперкарыстальніка Linux – дазволена выконваць любыя адміністрацыйныя аперацыі (гэтая роля абмежавана для карыстальнікаў) Адміністратары не могуць выконваць дзеянні па кіраванні канфідэнцыйнымі дадзенымі (напрыклад, выдаленне даных/абагуленых файлаў) без адабрэння супрацоўніка службы бяспекі
  • Дадаваць гэтыя ролі карыстальнікам можа толькі той карыстальнік, які ўжо мае гэтую ролю, таму адміністратар-ізгой не можа абысці адабрэнне супрацоўнікам бяспекі дзеянняў па кіраванні канфідэнцыяльнымі дадзенымі
  • Ключавыя аперацыі патрабуюць адабрэння супрацоўніка службы бяспекі для абароны ад унутраных пагроз, такіх як выдаленне абагульвання і дэрэплікацыя (калі адміністратар-махляр адключае рэплікацыю на аддалены сайт)
• Двухфакторная аўтэнтыфікацыя (2FA) можа спатрэбіцца любому карыстальніку (лакальнаму або Active Directory), які выкарыстоўвае любое галіновае стандартнае прыкладанне OAUTH-TOTP. 2FA уключана па змаўчанні як для роляў адміністратара, так і для супрацоўнікаў службы бяспекі, і любы ўваход без 2FA створыць папярэджанне і сігналізацыю для большай бяспекі.
• Сертыфікаты TLS/абаронены HTTPS: Праграмнае забеспячэнне ExaGrid кіруецца праз вэб-інтэрфейс і па змаўчанні прымае злучэнні з вэб-браўзера на абодвух партах 80 (HTTP) і 443 (HTTPS). Праграмнае забеспячэнне ExaGrid падтрымлівае адключэнне HTTP для асяроддзяў, якія патрабуюць толькі HTTPS (бяспечны). Пры выкарыстанні HTTPS сертыфікат ExaGrid можа быць дададзены ў вэб-браўзеры, або сертыфікаты карыстальніка могуць быць устаноўлены на серверы ExaGrid праз вэб-інтэрфейс або прадастаўлены серверам SCEP.
• Бяспечныя пратаколы/Белыя спісы IP:
  • Агульная файлавая сістэма Інтэрнэту (CIFS) – SMBv2, SMBv3
  • Сеткавая файлавая сістэма (NFS) – версіі 3 і 4
  • Veeam Data Mover – SSH для кіравання і кантролю і спецыфічны пратакол Veeam для перамяшчэння даных па TCP
  • Пратакол Veritas OpenStorage Technology (OST) – спецыяльны пратакол ExaGrid праз TCP
  • Каналы Oracle RMAN з выкарыстаннем CIFS або NFS

Для CIFS і Veeam Data Mover інтэграцыя AD дазваляе выкарыстоўваць уліковыя даныя дамена для кантролю доступу да агульнага карыстання і кіравання (аўтэнтыфікацыі і аўтарызацыі). Для CIFS прадугледжаны дадатковы кантроль доступу праз белы спіс IP. Для пратаколаў NFS і OST кантроль доступу да дадзеных рэзервовага капіравання кантралюецца белым спісам IP. Для кожнага агульнага доступу прадастаўляецца як мінімум адна пара IP-адрас/маска з некалькімі парамі або маскай падсеткі, якія выкарыстоўваюцца для пашырэння доступу. Рэкамендуецца, каб толькі рэзервовыя серверы, якія рэгулярна атрымліваюць доступ да агульнага доступу, былі змешчаны ў белы спіс IP-адрасоў агульнага доступу.

Для агульных рэсурсаў Veeam, якія выкарыстоўваюць Veeam Data Mover, кантроль доступу забяспечваецца з дапамогай уліковых даных імя карыстальніка і пароля, уведзеных у канфігурацыі Veeam і ExaGrid. Гэта могуць быць уліковыя дадзеныя AD або лакальныя карыстальнікі, настроеныя на сайце ExaGrid. Veeam Data Mover аўтаматычна ўсталёўваецца з сервера Veeam на сервер ExaGrid праз SSH. Veeam Data Mover працуе ў ізаляваным асяроддзі на серверы ExaGrid, які абмяжоўвае доступ да сістэмы, не мае прывілеяў root і працуе толькі пры актывацыі аперацый Veeam.

• Падтрымка ключоў SSH: Нягледзячы на ​​тое, што доступ праз SSH не з'яўляецца абавязковым для карыстальніцкіх функцый, некаторыя аперацыі падтрымкі могуць быць прадастаўлены толькі праз SSH. ExaGrid абараняе SSH, дазваляючы яго адключаць, дазваляючы доступ праз выпадкова згенераваныя паролі, або паролі, прадастаўленыя кліентам, або толькі пары ключоў SSH.
• Комплексны маніторынг: Серверы ExaGrid дастаўляюць даныя ў службу падтрымкі ExaGrid (хатні тэлефон), выкарыстоўваючы як справаздачы аб стане здароўя, так і абвесткі. Справаздачнасць аб стане здароўя ўключае статыстычныя даныя для штодзённай тэндэнцыі і аўтаматызаваны аналіз. Даныя захоўваюцца на абароненых серверах ExaGrid з базамі даных тэндэнцый, якія выкарыстоўваюцца для вызначэння агульнага стану з цягам часу. Справаздачы пра стан па змаўчанні адпраўляюцца ў ExaGrid з дапамогай FTP, але іх можна адпраўляць па электроннай пошце з невялікім памяншэннем глыбіні аналізу. Папярэджанні - гэта імгненнае апавяшчэнне, якое можа паказваць на падзеі, на якія трэба дзейнічаць, у тым ліку збоі абсталявання, праблемы сувязі, патэнцыйную няправільную канфігурацыю і г.д. Служба падтрымкі ExaGrid неадкладна атрымлівае гэтыя папярэджанні па электроннай пошце ад сервераў падтрымкі ExaGrid.