روسي قانونن جي مطابق، ڪا به ڪمپني جيڪا روس ۾ پنهنجي صارفين جي ذاتي ڊيٽا سان ڪم ڪري ٿي، هڪ ذاتي ڊيٽا آپريٽر بڻجي ويندي آهي، چاهي اهو چاهي يا نه. اهو ان تي ڪيترن ئي رسمي ۽ طريقي سان ذميواريون لاڳو ڪري ٿو جيڪو هر ڪاروبار نه ٿو ڪري سگهي يا پنهنجي پاڻ تي برداشت ڪرڻ چاهي ٿو.
جيئن ته مشق ڏيکاري ٿو، اهو بلڪل صحيح آهي ته هو نه ٿو چاهي، ڇاڪاڻ ته علم جو هي علائقو اڃا تائين ايترو نئون آهي ۽ عملي طور تي آزمائشي نه آهي ته مشڪلاتن ۽ سوالن کي پيش ڪن ٿا. اڄ اسان بابت ڳالهائينداسين ته اسان ڪيئن هڪ منصوبي تي عمل ڪيو جيڪو اسان جي گراهڪ لاء ذاتي ڊيٽا کي ذخيرو ڪرڻ لاء ۽ اسان کي ڪهڙيون مشڪلاتون پيش ڪيون ويون آهن.
ڪيئن اسان 152-FZ تحت ڊيٽا کي بچائڻ ۾ مدد ڪئي
2019 جي شروعات ۾، اسان سان رابطو ڪيو ويو Smart-Service LLC، خدمت جي انتظام لاءِ پليٽ فارم جو ڊولپر ۽ رابطو شيئرنگ ايپليڪيشنون .
پهريون حل توهان کي مختلف علائقن ۾ سامان جي سار سنڀال جي عمل کي خودڪار ڪرڻ جي اجازت ڏئي ٿو - آفيس جي احاطي ۾ ڪافي مشينن ۽ ايئر ڪنڊيشنرز قائم ڪرڻ کان وٺي گيس ٽربائن جي مرمت تائين. ٻيو هڪ آن لائن ڊزائينر آهي اليڪٽرانڪ ڪاروباري ڪارڊ ٺاهڻ لاءِ QR ڪوڊ جي بنياد تي.
آن لائين ڪاروباري ڪارڊ myQRcards.
ٻئي سسٽم صارف جي ڊيٽا کي ذخيرو ۽ پروسيس ڪري ٿو جيڪو 152-FZ جي مطابق "ذاتي" جي درجه بندي هيٺ اچي ٿو. انهي صورت ۾، قانون اهڙي ذاتي ڊيٽا لاء اسٽوريج سسٽم تي ڪجهه پابنديون ترتيب ڏئي ٿو ته جيئن سيڪيورٽي جي گهربل سطح کي يقيني بڻائي سگهجي ۽ چوري يا غلط استعمال جي مقصد لاء غير مجاز رسائي جي خطري کي ختم ڪرڻ لاء.
قانون کي لازمي طور تي مشاهدو ڪيو وڃي، پر سمارٽ سروس ذاتي ڊيٽا کي بچائڻ جي صلاحيت جي اندر اندر ترقي ڪرڻ جو منصوبو نه ڪيو. تنهن ڪري، انهن جي استعمال ڪندڙن پاران حصيداري ڪيل خدمتون ۽ ڊيٽا "منتقل" ڏانهن لنڪس ڊيٽا سينٽر ڏانهن. "سمارٽ-سروس" ڪم ڪندڙ ماحول جي سرور جي گنجائش کي اسان جي ڊيٽا سينٽر جي هڪ الڳ محفوظ نيٽ ورڪ زون ڏانهن منتقل ڪيو، 152-FZ ۾ بيان ڪيل ضرورتن جي مطابق تصديق ٿيل - جنهن کي "سيڪيور ڪلائوڊ" سڏيو ويندو آهي.
هڪ محفوظ بادل ڪيئن ٺهيل آهي؟
ڪنهن به معلوماتي سسٽم پروسيسنگ ذاتي ڊيٽا کي ٽن بنيادي گهرجن کي پورو ڪرڻ گهرجي:
- ڊيٽا اسٽوريج ۽ پروسيسنگ سرور تائين رسائي لازمي طور تي هڪ VPN چينل ذريعي ڪيو وڃي GOST جي مطابق انڪرپشن سان؛
- ڊيٽا اسٽوريج ۽ پروسيسنگ سرورز کي نقصان جي لاء اينٽي وائرس تحفظ جي مسلسل نگراني ڪرڻ گهرجي؛
- اسٽوريج سسٽم کي الڳ الڳ نيٽ ورڪ ۾ واقع هجڻ گهرجي.
اسان ڪسٽمر جي سرور جي صلاحيتن کي الڳ الڳ علائقن ۾ رکون ٿا جيڪي 152-FZ جي گهرجن کي پورا ڪن ٿا ۽ تعميل تي نتيجو حاصل ڪرڻ ۾ مدد ڪن ٿيون.
سمارٽ سروس LLC لاءِ محفوظ ورچوئل انفراسٽرڪچر جو آرڪيٽيڪچر.
ترقي
ڪم جي شروعاتي منظوري جون 2019 ۾ ڪئي وئي، جنهن کي منصوبي جي شروعات جي تاريخ سمجهي سگهجي ٿو. سڀ ڪم لازمي طور تي "لائيو" ماحول ۾ ٿيڻ گهرجي هر روز هزارين درخواستن سان. قدرتي طور، اهو ضروري هو ته منصوبي کي مڪمل ڪرڻ کان سواء ٻنهي سسٽم جي عام آپريشن کي روڪيو وڃي.
تنهن ڪري، هڪ واضح ايڪشن پلان تيار ڪيو ويو ۽ اتفاق ڪيو ويو، 4 مرحلن ۾ ورهايل:
- تياري،
- لڏپلاڻ،
- حقيقي حالتن ۾ جانچ ۽ جانچ،
- مانيٽرنگ سسٽم کي فعال ڪرڻ ۽ رسائي جي پابنديون.
محفوظ طرف هجڻ لاءِ، اسان هڪ ڊزاسٽر ريڪوري پروسيجر (DRP) شامل ڪيو آهي. ابتدائي منصوبي مطابق، ڪم گهڻو وقت ۽ وسيلا نه ورتو ۽ جولاءِ 2019 ۾ مڪمل ٿيڻو هو. هر اسٽيج جي آخر ۾ نيٽ ورڪ جي دستيابي ۽ سسٽم جي ڪارڪردگيءَ جو مڪمل امتحان شامل ڪيو ويو.
سڀ کان ڏکيو مرحلو جنهن ۾ "ڪجهه غلط ٿي سگهي ٿو" لڏپلاڻ هئي. شروعات ۾، اسان سڄي ورچوئل مشينن کي منتقل ڪندي لڏپلاڻ ڪرڻ جو منصوبو ٺاهيو. اهو سڀ کان وڌيڪ منطقي اختيار هو، ڇاڪاڻ ته ان کي ٻيهر ترتيب ڏيڻ لاء اضافي وسيلن جي شموليت جي ضرورت نه هئي. اهو لڳي ٿو ته vMotion آسان ٿي سگهي ٿو.
اوچتو
بهرحال، جيئن عام طور تي ٿئي ٿو منصوبن تي نسبتا نئين فيلڊ ۾، ڪجهه غير متوقع طور تي ٿيو.
جيئن ته هر ورچوئل مشين 500 - 1 GB تي قبضو ڪري ٿي، اهڙي مقدار کي نقل ڪرڻ ۾ هڪ ڊيٽا سينٽر اندر به 000-3 ڪلاڪ في مشين لڳن ٿا. نتيجي طور، اسان مختص ٿيل وقت جي ونڊو کي پورا نه ڪيو. اهو ڊسڪ سب سسٽم جي جسماني حدن جي ڪري ٿيو جڏهن ڊيٽا کي vCloud ڏانهن منتقل ڪيو وڃي.
استعمال ٿيل vCloud ورزن ۾ هڪ بگ اسٽوريج vMotion کي مختلف قسم جي ڊسڪ سان گڏ ورچوئل مشين لاءِ منظم ٿيڻ جي اجازت نه ڏني، تنهنڪري ڊسڪ کي تبديل ڪرڻو پوندو. نتيجي طور، ان کي مجازي مشينن جي منتقلي ڪرڻ ممڪن هو، پر ان جي رٿابندي کان وڌيڪ وقت ورتو.
ٻيو نقطو جيڪو اسان مهيا نه ڪيو آهي اهو آهي ڊيٽابيس ڪلستر کي منتقل ڪرڻ تي پابنديون (ناڪام ڪلستر MS SQLServer). نتيجي طور، ان کي ھڪڙي نوڊ سان ڪم ڪرڻ لاء ڪلستر کي تبديل ڪرڻ ۽ ان کي محفوظ زون کان ٻاھر ڇڏڻ ضروري آھي.
قابل ذڪر: اڃا تائين غير واضح سبب لاء، مجازي مشين جي منتقلي جي نتيجي ۾، ايپليڪيشن ڪلستر ڌار ٿي ويو ۽ ٻيهر گڏ ڪيو وڃي.
پهرين ڪوشش جي نتيجي ۾، اسان کي سسٽم جي غير اطمينان واري حالت ملي ۽ اسان کي ٻيهر منصوبابندي ڪرڻ ۽ اختيارن کي ترقي ڪرڻ شروع ڪرڻ تي مجبور ڪيو ويو.
ڪوشش نمبر 2
غلطين تي ڪم ڪرڻ کان پوء، ٽيم محسوس ڪيو ته اهو وڌيڪ صحيح هوندو ته انفراسٽرڪچر کي محفوظ ٿيل علائقي ۾ نقل ڪرڻ ۽ صرف ڊيٽا فائلن کي نقل ڪرڻ. اهو فيصلو ڪيو ويو ته صارف کان اضافي ادائيگي جي ضرورت نه هوندي اضافي سرور جي گنجائش لاءِ جيڪا لڏپلاڻ کي مڪمل ڪرڻ لاءِ مقرر ڪئي وئي هئي.
نتيجي طور، جڏهن محفوظ ٿيل علائقي ۾ ڪلستر مڪمل طور تي نقل ڪيا ويا، لڏپلاڻ بغير ڪنهن مسئلن جي ٿي وئي.
اڳيون، اهو صرف ضروري هو ته محفوظ ۽ غير محفوظ علائقن جي نيٽ ورڪ کي الڳ ڪرڻ لاء. هتي ڪجهه ننڍيون رڪاوٽون هيون. مڪمل سسٽم کي جانچڻ جو مرحلو بغير ڪنهن تحفظ جي محفوظ علائقي ۾ عام موڊ ۾ شروع ڪرڻ جي قابل هو. هن موڊ ۾ سسٽم جي آپريشن تي مثبت انگ اکر گڏ ڪرڻ کان پوء، اسان آخري اسٽيج تي منتقل ڪيو: تحفظ واري نظام کي شروع ڪرڻ ۽ رسائي کي محدود ڪرڻ.
اثرائتو نتيجو ۽ مفيد سبق
نتيجي طور، گراهڪ سان گڏيل ڪوششن جي ذريعي، موجوده سرور جي بنيادي ڍانچي ۾ اهم تبديليون ڪرڻ ممڪن هو، جنهن اهو ممڪن ڪيو ته ذاتي ڊيٽا اسٽوريج جي اعتماد ۽ حفاظت کي وڌايو، خاص طور تي انهن تائين غير مجاز رسائي جي خطرن کي گهٽايو، ۽ حاصل ڪريو اسٽوريج گهرجن جي تعميل جو سرٽيفڪيٽ - هڪ ڪاميابي جيڪا هرڪو اڃا تائين ساڳئي سافٽ ويئر جي ڊولپرز کي حاصل نه ڪيو آهي.
هيٺيون لڪير اهو آهي ته منصوبي لاء ڪم پيڪيج هن طرح ڏٺو:
- هڪ وقف subnet منظم ڪيو ويو آهي؛
- مجموعي طور تي، ٻه ڪلستر لڏپلاڻ ڪيا ويا، جن ۾ پنج ورچوئل مشينون شامل آهن: فيل اوور ڊيٽابيس ڪلسٽر (ٻه ورچوئل مشينون)، سروس فيبرڪ ايپليڪيشن ڪلسٽر (ٽي ورچوئل مشينون)؛
- ڊيٽا جي حفاظت ۽ انڪرپشن سسٽم کي ترتيب ڏنو ويو آهي.
هر شي واضح ۽ منطقي لڳي ٿي. عملي طور تي، سڀڪنھن شيء کي ٻاهر ڦرندو ٿورو وڌيڪ پيچيدو آهي. اسان کي هڪ ڀيرو ٻيهر يقين ڏياريو ويو ته اهڙي منصوبي جي هر هڪ انفرادي ڪم سان ڪم ڪرڻ وقت، "ننڍن شين" ڏانهن ڌيان ڏيڻ جي اعلي سطح جي ضرورت هوندي آهي، جيڪي حقيقت ۾ نڪرندا آهن اهي ننڍيون شيون نه آهن، پر ان جي ڪاميابي لاء طئي ڪندڙ عنصر آهن. سڄو منصوبو.
جو ذريعو: www.habr.com