Kompleksowe funkcje bezpieczeństwa ExaGrid:

Bliższe spojrzenie:

• Lista kontrolna bezpieczeństwa w celu szybkiego i łatwego wdrożenia najlepszych praktyk.
• Odzyskiwanie ransomware: ExaGrid oferuje jedyne dwuwarstwowe podejście do przechowywania kopii zapasowych z warstwą niezwiązaną z siecią (poziomowa przerwa powietrzna), opóźnionym usuwaniem i niezmiennymi obiektami do odzyskania po atakach ransomware.
• Szyfrowanie: ExaGrid oferuje sprzętowe szyfrowanie dysku FIPS 140-2 we wszystkich modelach SEC. Samoszyfrujące dyski twarde z zarządzaniem kluczami i kontrolą dostępu w oparciu o kontroler RAID zabezpieczają Twoje dane podczas procesu przechowywania.
• Zabezpieczanie danych w sieci WAN: Replikacja zdeduplikowanych danych kopii zapasowych może być szyfrowana podczas przesyłania między lokalizacjami ExaGrid przy użyciu 256-bitowego algorytmu AES, który jest funkcją bezpieczeństwa zatwierdzoną przez FIPS PUB 140-2. Eliminuje to konieczność przeprowadzania szyfrowania przez VPN w całej sieci WAN.
• Kontrola dostępu oparta na rolach przy użyciu poświadczeń lokalnych lub Active Directory, a role administratora i inspektora bezpieczeństwa są w pełni podzielone:
  • Operator zapasowy rola w codziennych operacjach ma ograniczenia, takie jak brak usuwania udziałów
  • Ochroniarz rola chroni zarządzanie danymi wrażliwymi i jest wymagana do zatwierdzania wszelkich zmian w polityce blokady czasowej przechowywania oraz do zatwierdzania przeglądania lub zmian w uprawnieniach administratora
  • Rola administratora jest jak superużytkownik systemu Linux – może wykonywać dowolne operacje administracyjne (ograniczona liczba użytkowników z tą rolą) Administratorzy nie mogą wykonywać działań związanych z zarządzaniem danymi wrażliwymi (takich jak usuwanie danych/udziałów) bez zgody pracownika ds. bezpieczeństwa
  • Dodanie tych ról do użytkowników może być wykonane tylko przez użytkownika, który już ma tę rolę – więc nieuczciwy administrator nie może ominąć zatwierdzenia działań związanych z zarządzaniem danymi wrażliwymi przez inspektora bezpieczeństwa
  • Kluczowe operacje wymagają zatwierdzenia przez kierownika ds. bezpieczeństwa w celu ochrony przed zagrożeniami wewnętrznymi, takimi jak usuwanie udziałów i usuwanie replikacji (gdy nieuczciwy administrator wyłącza replikację do lokalizacji zdalnej)
• Uwierzytelnianie dwuskładnikowe (2FA) może być wymagana dla dowolnego użytkownika (lokalnego lub Active Directory) używającego dowolnej standardowej aplikacji OAUTH-TOTP. Domyślnie włączona funkcja 2FA dotyczy zarówno roli administratora, jak i specjalisty ds. bezpieczeństwa, a każde logowanie bez uwierzytelniania 2FA spowoduje wyświetlenie monitu ostrzegawczego i alarmu w celu zwiększenia bezpieczeństwa.
• Certyfikaty TLS/Zabezpieczony HTTPS: Oprogramowanie ExaGrid jest zarządzane przez interfejs sieciowy i domyślnie akceptuje połączenia z przeglądarki internetowej na obu portach 80 (HTTP) i 443 (HTTPS). Oprogramowanie ExaGrid obsługuje wyłączanie protokołu HTTP w środowiskach wymagających tylko protokołu HTTPS (bezpiecznego). Podczas korzystania z protokołu HTTPS certyfikat ExaGrid można dodać do przeglądarek internetowych lub zainstalować certyfikaty użytkownika na serwerach ExaGrid za pośrednictwem interfejsu internetowego lub dostarczonego przez serwer SCEP.
• Bezpieczne protokoły/białe listy adresów IP:
  • Wspólny internetowy system plików (CIFS) — SMBv2, SMBv3
  • Sieciowy system plików (NFS) — wersja 3 i 4
  • Veeam Data Mover — SSH do wydawania poleceń i kontroli oraz specyficzny dla firmy Veeam protokół do przesyłania danych przez TCP
  • Protokół Veritas OpenStorage Technology (OST) — protokół specyficzny dla ExaGrid przez TCP
  • Kanały Oracle RMAN przy użyciu CIFS lub NFS

W przypadku rozwiązań CIFS i rozwiązania Veeam Data Mover integracja z usługą AD umożliwia korzystanie z poświadczeń domeny na potrzeby udostępniania i kontroli dostępu do GUI zarządzania (uwierzytelnianie i autoryzacja). W przypadku CIFS dodatkowa kontrola dostępu jest zapewniana za pośrednictwem białej listy adresów IP. W przypadku protokołów NFS i OST kontrola dostępu do danych kopii zapasowej jest kontrolowana przez białą listę adresów IP. Dla każdego udziału udostępniana jest co najmniej jedna para adresów IP/masek, z wieloma parami lub maskami podsieci używanymi do poszerzania dostępu. Zaleca się, aby na białej liście adresów IP udziału umieszczać tylko te serwery zapasowe, które regularnie uzyskują dostęp do udziału.

W przypadku udziałów Veeam korzystających z narzędzia Veeam Data Mover kontrola dostępu jest zapewniana za pomocą nazwy użytkownika i hasła wprowadzanych zarówno w konfiguracji Veeam, jak i ExaGrid. Mogą to być poświadczenia AD lub lokalni użytkownicy skonfigurowani w witrynie ExaGrid. Narzędzie Veeam Data Mover jest automatycznie instalowane z serwera Veeam na serwerze ExaGrid przez SSH. Narzędzie Veeam Data Mover działa w odizolowanym środowisku na serwerze ExaGrid, co ogranicza dostęp do systemu, nie ma uprawnień administratora i działa tylko wtedy, gdy jest aktywowane przez operacje Veeam.

• Obsługa klucza SSH: Chociaż dostęp przez SSH nie jest konieczny dla funkcji użytkownika, niektóre operacje pomocnicze mogą być zapewnione tylko przez SSH. ExaGrid zabezpiecza SSH, umożliwiając jego wyłączenie, umożliwiając dostęp za pomocą losowo generowanych haseł, haseł dostarczonych przez klienta lub tylko par kluczy SSH.
• Kompleksowe monitorowanie: Serwery ExaGrid dostarczają dane do pomocy technicznej ExaGrid (telefon do domu), korzystając zarówno z raportów o stanie, jak i alertów. Raporty o stanie zdrowia obejmują dane statystyczne do codziennych trendów i zautomatyzowanej analizy. Dane są przechowywane na bezpiecznych serwerach ExaGrid z bazami danych trendów służącymi do określania ogólnego stanu w czasie. Raporty o stanie są domyślnie wysyłane do ExaGrid przy użyciu FTP, ale można je wysyłać pocztą e-mail z pewnym zmniejszeniem głębokości analizy. Alerty to chwilowe powiadomienia, które mogą wskazywać na możliwe do podjęcia działania zdarzenia, w tym awarie sprzętu, problemy z komunikacją, potencjalną błędną konfigurację itp. Pomoc techniczna ExaGrid natychmiast otrzymuje te alerty pocztą elektroniczną z serwerów pomocy technicznej ExaGrid.