Функции комплексной безопасности ExaGrid:

Пристальный взгляд:

• Контрольный список безопасности для быстрого и простого внедрения лучших практик.
• Восстановление вымогателей: ExaGrid предлагает единственный подход к двухуровневому хранилищу резервных копий с уровнем, не связанным с сетью (многоуровневый воздушный зазор), отложенным удалением и неизменяемыми объектами для восстановления после атак программ-вымогателей.
• Шифрование: ExaGrid предлагает проверенное аппаратное дисковое шифрование FIPS 140-2 на всех моделях SEC. Жесткие диски с самошифрованием, управлением ключами и контролем доступа на базе RAID-контроллера защищают ваши данные во время процесса хранения.
• Защита данных в глобальной сети: Репликация дедуплицированных данных резервного копирования может быть зашифрована при передаче между сайтами ExaGrid с использованием 256-битного AES, что соответствует функции безопасности, одобренной FIPS PUB 140-2. Это устраняет необходимость в VPN для выполнения шифрования в глобальной сети.
• Ролевое управление доступом использование локальных учетных данных или учетных данных Active Directory, а роли администратора и сотрудника службы безопасности полностью разделены:
  • Резервный оператор роль для повседневных операций имеет ограничения, такие как отсутствие удаления акций
  • Сотрудник по вопросам безопасности роль защищает управление конфиденциальными данными и требуется для утверждения любых изменений в политике блокировки времени хранения, а также для утверждения просмотра или изменения корневого доступа.
  • Роль администратора похож на суперпользователя Linux — ему разрешено выполнять любую административную операцию (эта роль предоставляется ограниченному числу пользователей).
  • Добавление этих ролей пользователям может быть выполнено только пользователем, у которого уже есть роль, поэтому мошеннический администратор не может обойти одобрение офицером безопасности действий по управлению конфиденциальными данными.
  • Ключевые операции требуют одобрения сотрудника службы безопасности для защиты от внутренних угроз, таких как удаление общих ресурсов и дерепликация (когда мошеннический администратор отключает репликацию на удаленный сайт).
• Двухфакторная аутентификация (2FA) может потребоваться любому пользователю (локальному или Active Directory), использующему любое стандартное приложение OAUTH-TOTP. Двухфакторная аутентификация включена по умолчанию для ролей администратора и сотрудника службы безопасности, и любой вход в систему без двухфакторной аутентификации создаст предупреждение и сигнал тревоги для большей безопасности.
• Сертификаты TLS/защищенный HTTPS: Программное обеспечение ExaGrid управляется через веб-интерфейс и по умолчанию принимает соединения из веб-браузера на обоих портах: 80 (HTTP) и 443 (HTTPS). Программное обеспечение ExaGrid поддерживает отключение HTTP для сред, которым требуется только HTTPS (безопасный). При использовании HTTPS сертификат ExaGrid можно добавить в веб-браузеры или сертификаты пользователя можно установить на серверы ExaGrid через веб-интерфейс или предоставить сервер SCEP.
• Безопасные протоколы/белые списки IP-адресов:
  • Общая файловая система Интернета (CIFS) — SMBv2, SMBv3
  • Сетевая файловая система (NFS) — версии 3 и 4
  • Veeam Data Mover — SSH для управления и контроля, а также специальный протокол Veeam для перемещения данных по TCP.
  • Протокол Veritas OpenStorage Technology (OST) — специальный протокол ExaGrid через TCP
  • Каналы Oracle RMAN с использованием CIFS или NFS

Для CIFS и Veeam Data Mover интеграция с AD позволяет использовать учетные данные домена для общего доступа и управления доступом к графическому интерфейсу (аутентификация и авторизация). Для CIFS дополнительный контроль доступа обеспечивается через белый список IP-адресов. Для протоколов NFS и OST контроль доступа к данным резервного копирования контролируется белым списком IP-адресов. Для каждого общего ресурса предоставляется как минимум одна пара IP-адрес/маска, причем для расширения доступа используется либо несколько пар, либо маска подсети. Рекомендуется помещать в белый список IP-адресов только серверы резервного копирования, которые регулярно обращаются к общему ресурсу.

Для общих ресурсов Veeam, использующих Veeam Data Mover, управление доступом обеспечивается учетными данными имени пользователя и пароля, которые вводятся как в конфигурации Veeam, так и в конфигурации ExaGrid. Это могут быть учетные данные AD или локальные пользователи, настроенные на сайте ExaGrid. Veeam Data Mover автоматически устанавливается с сервера Veeam на сервер ExaGrid через SSH. Veeam Data Mover работает в изолированной среде на сервере ExaGrid, что ограничивает доступ к системе, не имеет привилегий суперпользователя и запускается только при активации операциями Veeam.

• Поддержка ключей SSH: Хотя доступ через SSH не требуется для пользовательских функций, некоторые вспомогательные операции могут выполняться только через SSH. ExaGrid защищает SSH, разрешая его отключение, разрешая доступ через случайно сгенерированные пароли, пароли, предоставленные клиентом, или только пары ключей SSH.
• Комплексный мониторинг: серверы ExaGrid доставляют данные в службу поддержки ExaGrid (по телефону домой), используя как отчеты о работоспособности, так и оповещения. Отчеты о работоспособности включают статистические данные для ежедневного отслеживания тенденций и автоматического анализа. Данные хранятся на защищенных серверах ExaGrid с базами данных тенденций, которые используются для определения общего состояния работоспособности с течением времени. Отчеты о работоспособности отправляются в ExaGrid по FTP по умолчанию, но могут быть отправлены по электронной почте с некоторым уменьшением глубины анализа. Оповещения — это мгновенные уведомления, которые могут указывать на требующие действий события, включая сбои оборудования, проблемы со связью, возможную неправильную конфигурацию и т. д. Служба поддержки ExaGrid незамедлительно получает эти оповещения по электронной почте с серверов поддержки ExaGrid.