Комплексні функції безпеки ExaGrid:

Детальніше:

• Контрольний список безпеки для швидкого та легкого впровадження найкращих практик.
• Відновлення програм-вимагачів: ExaGrid пропонує єдиний дворівневий підхід до зберігання резервних копій із не мережевим рівнем (рівневий повітряний проміжок), відкладеним видаленням і незмінними об’єктами для відновлення після атак програм-вимагачів.
• Шифрування: ExaGrid пропонує перевірене апаратне шифрування диска FIPS 140-2 на всіх моделях SEC. Жорсткі диски з самошифруванням із керуванням ключами та контролем доступу на основі RAID-контролера захищають ваші дані під час процесу зберігання.
• Захист даних у WAN: Реплікація дедуплікованих резервних даних може бути зашифрована під час передачі між сайтами ExaGrid за допомогою 256-бітного AES, який є функцією безпеки, схваленою FIPS PUB 140-2. Це усуває потребу в VPN для виконання шифрування в WAN.
• Контроль доступу на основі ролей використання локальних облікових даних або облікових даних Active Directory, а також ролі адміністратора та спеціаліста з безпеки повністю розділені:
  • Оператор резервного копіювання Роль для повсякденних операцій має обмеження, наприклад відсутність видалення спільних ресурсів
  • Співробітник з питань безпеки Роль захищає керування конфіденційними даними та вимагає схвалення будь-яких змін у політиці блокування часу зберігання, а також схвалення перегляду або змін кореневого доступу
  • Роль адміністратора схожий на суперкористувача Linux – дозволено виконувати будь-які адміністративні операції (цю роль надано обмеженій кількості користувачів) Адміністратори не можуть виконувати дії з керування конфіденційними даними (наприклад, видалення даних/загальних даних) без схвалення спеціаліста з безпеки
  • Додавати ці ролі користувачам може лише той користувач, який уже має цю роль, тому шахрайський адміністратор не зможе обійти схвалення співробітника безпеки щодо дій із керування конфіденційними даними.
  • Ключові операції вимагають схвалення спеціаліста з безпеки для захисту від внутрішніх загроз, таких як видалення спільних ресурсів і дереплікація (коли шахрайський адміністратор вимикає реплікацію на віддалений сайт)
• Двофакторна автентифікація (2FA) може знадобитися для будь-якого користувача (локального або Active Directory), який використовує будь-яку галузеву стандартну програму OAUTH-TOTP. 2FA увімкнено за замовчуванням для ролей адміністратора та спеціаліста з безпеки, і будь-який вхід без 2FA створить попередження та сигнал тривоги для підвищення безпеки.
• Сертифікати TLS/захищений HTTPS: Програмне забезпечення ExaGrid управляється через веб-інтерфейс і за замовчуванням приймає підключення з веб-браузера на обох портах 80 (HTTP) і 443 (HTTPS). Програмне забезпечення ExaGrid підтримує відключення HTTP для середовищ, які потребують лише HTTPS (захищений). При використанні HTTPS сертифікат ExaGrid можна додати до веб-браузерів або сертифікати користувача можна встановити на сервери ExaGrid через веб-інтерфейс або надати сервер SCEP.
• Захищені протоколи/білі списки IP:
  • Загальна файлова система Інтернету (CIFS) – SMBv2, SMBv3
  • Мережева файлова система (NFS) – версії 3 і 4
  • Veeam Data Mover – SSH для управління та керування та специфічний протокол Veeam для переміщення даних через TCP
  • Протокол Veritas OpenStorage Technology (OST) – специфічний протокол ExaGrid через TCP
  • Канали Oracle RMAN за допомогою CIFS або NFS

Для CIFS і Veeam Data Mover інтеграція AD дозволяє використовувати облікові дані домену для спільного використання та керування доступом GUI (автентифікація та авторизація). Для CIFS додатковий контроль доступу надається через білий список IP-адрес. Для протоколів NFS і OST контроль доступу до даних резервного копіювання контролюється білим списком IP-адрес. Для кожного спільного доступу надається принаймні одна пара IP-адреса/маска з декількома парами або маскою підмережі, які використовуються для розширення доступу. Рекомендується розміщувати в білому списку IP-адрес спільного ресурсу лише резервні сервери, які регулярно отримують доступ до спільного ресурсу.

Для спільних ресурсів Veeam, які використовують Veeam Data Mover, контроль доступу забезпечується за допомогою облікових даних імені користувача та пароля, введених у конфігурації Veeam і ExaGrid. Це можуть бути облікові дані AD або локальні користувачі, налаштовані на сайті ExaGrid. Veeam Data Mover автоматично встановлюється з сервера Veeam на сервер ExaGrid через SSH. Veeam Data Mover працює в ізольованому середовищі на сервері ExaGrid, який обмежує доступ до системи, не має привілеїв root і запускається лише після активації операцій Veeam.

• Підтримка ключів SSH: Хоча доступ через SSH не є обов’язковим для функцій користувача, деякі операції підтримки можна надавати лише через SSH. ExaGrid захищає SSH, дозволяючи його вимкнути, дозволяючи доступ через випадково згенеровані паролі, паролі, надані клієнтом, або лише пари ключів SSH.
• Комплексний моніторинг: Сервери ExaGrid доставляють дані в службу підтримки ExaGrid (домашній телефон), використовуючи як звіти про працездатність, так і сповіщення. Звіти про здоров’я включають статистичні дані для щоденного тренду та автоматизований аналіз. Дані зберігаються на захищених серверах ExaGrid із базами даних трендів, які використовуються для визначення загального здоров’я з часом. Звіти про стан за замовчуванням надсилаються в ExaGrid за допомогою FTP, але їх можна надсилати електронною поштою з деяким зменшенням глибини аналізу. Сповіщення — це миттєві сповіщення, які можуть вказувати на події, які можуть бути застосовані, зокрема збої апаратного забезпечення, проблеми зі зв’язком, можливу неправильну конфігурацію тощо. Служба підтримки ExaGrid негайно отримує ці сповіщення електронною поштою від серверів підтримки ExaGrid.