Dapre lwa Ris, nenpòt konpayi ki travay ak done pèsonèl itilizatè li yo nan Larisi vin yon operatè done pèsonèl, si li vle li oswa ou pa. Sa a enpoze sou li yon kantite obligasyon fòmèl ak pwosedi ke se pa tout biznis ka oswa vle pote poukont li.
Kòm pratik montre, li se byen ke li pa vle, paske zòn sa a nan konesans se toujou tèlman nouvo epi yo pa teste nan pratik ke difikilte ak kesyon leve menm pou pwofesyonèl. Jodi a nou pral pale sou ki jan nou aplike yon pwojè pou estoke done pèsonèl pou kliyan nou yo ak ki difikilte aklè nou rankontre.
Ki jan nou te ede pwoteje done anba 152-FZ
Nan kòmansman 2019, Smart-Service LLC te kontakte nou, yon pwomotè yon platfòm pou jesyon sèvis. ak aplikasyon pou pataje kontak .
Solisyon an premye pèmèt ou otomatize pwosesis antretyen ekipman nan yon varyete zòn - soti nan mete machin kafe ak èkondisyone nan lokal biwo a repare turbin gaz. Dezyèm lan se yon designer sou entènèt pou kreye kat biznis elektwonik ki baze sou kòd QR.
Kat biznis sou entènèt myQRcards.
Tou de sistèm yo estoke ak trete done itilizatè ki tonbe anba klasifikasyon "pèsonèl" an akò ak 152-FZ. Nan ka sa a, lwa a dikte yon kantite restriksyon sou sistèm depo pou done pèsonèl sa yo nan lòd yo asire nivo ki nesesè nan sekirite ak elimine risk pou yo aksè san otorizasyon nan bi pou yo vòlè oswa move itilizasyon.
Yo dwe obsève lwa a, men Smart Service pa t planifye pou devlope nan tèt li konpetans pou pwoteje done pèsonèl yo. Se poutèt sa, sèvis yo ak done yo pataje pa itilizatè yo "deplase" nan Linxdatacenter. "Smart-Service" transfere kapasite sèvè anviwònman k ap travay la nan yon zòn rezo separe pwoteje nan sant done nou an, sètifye an akò ak kondisyon ki endike nan 152-FZ - sa yo rele "Secure Cloud".
KIJAN YON NWAJ SEKIRITE KONSEYE?
Nenpòt sistèm enfòmasyon ki trete done pèsonèl dwe ranpli twa kondisyon debaz:
- aksè nan depo done ak sèvè pwosesis yo dwe fèt atravè yon chanèl VPN ak chifreman an akò ak GOST;
- depo done ak pwosesis serveurs dwe toujou ap kontwole pa pwoteksyon anti-viris pou frajilite;
- Sistèm depo a dwe lokalize nan rezo izole.
Nou mete kapasite sèvè kliyan an nan zòn separe ki satisfè kondisyon 152-FZ epi ede jwenn yon konklizyon sou konfòmite.
Achitekti enfrastrikti vityèl ki an sekirite pou Smart Service LLC.
Pwogrè
Premye apwobasyon travay la te fèt nan mwa jen 2019, ki ka konsidere kòm dat kòmansman pwojè a. Tout travay dwe fèt nan yon anviwònman "viv" ak dè milye de demann pa jou. Natirèlman, li te nesesè pou konplete pwojè a san yo pa entèwonp operasyon nòmal tou de sistèm yo.
Se poutèt sa, yon plan aksyon klè te trase ak dakò sou, divize an 4 etap:
- preparasyon,
- migrasyon,
- tès ak tès nan kondisyon reyèl,
- pèmèt sistèm siveyans ak restriksyon aksè.
Pou nou an sekirite, nou mete yon Pwosedi Rekiperasyon Dezas (DRP). Dapre plan inisyal la, travay la pa t pran anpil tan ak resous e li te dwe fini an Jiyè 2019. Chak etap enkli nan fen yon tès konplè sou disponiblite rezo a ak fonksyonalite sistèm yo.
Etap ki pi difisil nan kote "yon bagay ka ale mal" se migrasyon. Okòmansman, nou te planifye pou pote soti nan migrasyon an pa transfere tout machin vityèl. Sa a te opsyon ki pi lojik, paske li pa mande pou patisipasyon resous adisyonèl pou rekonfigirasyon. Li ta sanble ke vMotion ta ka pi senp.
San atann
Sepandan, jan anjeneral k ap pase sou pwojè nan yon jaden relativman nouvo, yon bagay inatandi te rive.
Depi chak machin vityèl okipe 500 - 1 GB, kopye volim sa yo menm nan yon sant done te pran apeprè 000-3 èdtan pou chak machin. Kòm rezilta, nou pa t satisfè fennèt tan yo te bay la. Sa a te rive akòz limit fizik nan subsistèm ki gen kapasite a lè transfere done nan vCloud.
Yon ensèk nan vèsyon vCloud yo itilize pa t 'pèmèt Storage vMotion yo dwe òganize pou yon machin vityèl ak diferan kalite disk, kidonk disk yo te oblije chanje. Kòm yon rezilta, li te posib yo transfere machin yo vityèl, men li te pran plis tan pase te planifye.
Dezyèm pwen ke nou pa t bay se restriksyon sou deplase gwoup baz done a (Failover Cluster MS SQLServer). Kòm yon rezilta, li te nesesè chanje gwoup la nan travay ak yon sèl ne epi kite li deyò zòn nan pwoteje.
Remake byen: pou yon rezon ki toujou klè, kòm yon rezilta nan transfè a nan machin vityèl, gwoup aplikasyon an te tonbe apa epi yo te dwe reyini.
Kòm rezilta premye tantativ la, nou te resevwa yon eta ki pa satisfezan nan sistèm yo epi yo te fòse yo kòmanse planifye ak devlope opsyon ankò.
Eseye nimewo 2
Apre yo fin travay sou erè yo, ekip la reyalize ke li ta pi kòrèk pou kopi enfrastrikti nan yon zòn ki pwoteje epi kopye sèlman dosye done yo. Li te deside pa mande plis peman nan men kliyan an pou kapasite sèvè adisyonèl ki te dwe deplwaye pou konplete migrasyon an.
Kòm yon rezilta, lè grap yo nan zòn ki pwoteje yo te konplètman kopi, migrasyon an te ale san pwoblèm.
Apre sa, li te sèlman nesesè yo separe rezo yo nan zòn pwoteje ak san pwoteksyon. Te gen kèk dezòd minè isit la. Etap nan tès tout sistèm nan nan yon zòn ki pwoteje san okenn pwoteksyon te kapab kòmanse nan mòd nòmal. Lè nou te kolekte estatistik pozitif sou operasyon sistèm nan nan mòd sa a, nou te deplase nan dènye etap la: lanse sistèm pwoteksyon ak mete restriksyon sou aksè.
Rezilta efikas ak leson itil
Kòm yon rezilta, atravè efò ansanm ak kliyan an, li te posib fè chanjman enpòtan nan enfrastrikti sèvè ki egziste deja, ki te fè li posib ogmante fyab ak sekirite nan depo done pèsonèl, siyifikativman redwi risk ki genyen nan aksè san otorizasyon nan yo, ak jwenn yon sètifika konfòmite ak kondisyon depo - yon reyalizasyon ke se pa tout moun poko reyalize devlopè lojisyèl menm jan an.
Liy anba a se ke pake travay la pou pwojè a te sanble sa a:
- Yo te òganize yon subnet devwe;
- An total, de gwoup yo te imigre, ki gen ladan senk machin vityèl: Gwoup baz done Failover (de machin vityèl), gwoup aplikasyon Service Fabric (twa machin vityèl);
- Pwoteksyon done ak sistèm chifreman yo te configurÊ.
Tout bagay sanble klè ak lojik. Nan pratik, tout bagay vire soti yo dwe yon ti kras pi konplike. Nou te yon lòt fwa ankò konvenki ke lè w ap travay ak chak travay endividyèl nan yon plan konsa, pi wo nivo atansyon a "ti bagay yo" obligatwa, ki an reyalite yo se pa ti bagay, men faktè sa yo detèmine pou siksè nan. tout pwojè a.
Sous: www.habr.com
