Bezpieczeństwo sieciowe, aplikacji i użytkownika

Bezpieczeństwo danych to ciągły proces!

Bardzo często efektywna ochrona danych ma być zapewniona przez zakup najnowszych zabezpieczeń. Jednak nawet najlepsza zapora firewall nie pomoże, jeśli aplikacja nie jest odpowiednio zabezpieczona, albo jeśli ktoś może łatwo uzyskać fizyczny dostęp do miejsca przechowywania danych!

My przyjmujemy holistyczne podejście do bezpieczeństwa danych, analizując niezależnie każdy obszar zagrożeń i definiując dla niego zasady postępowania, proces i podejście (oraz kupując odpowiednie zabezpieczenia). Bezpieczeństwo jest dla nas celem nadrzędnym.

diagram zintegrowanego podejścia evolve do bezpieczeństwa danych

Bezpieczenstwo sieci zapewniają zaawansowane sprzętowe zapory sieciowe. evolve™ korzysta z aktywnych i pasywnych systemów oraz technik detekcji naruszeń bezpieczeństwa, a dostęp przez sieć jest ograniczony dzięki kryptosystemowi PKI.

Bezpieczeństwo aplikacji jest zagwarantowane dzięki fizycznemu partycjonowaniu danych klientów (użytkownicy nie mają dostępu do jednej wspólnej bazy danych). Istnieje też możliwość wewnętrznego partycjonowania danych, więc np. rekordy mogą być zastrzeżone dla oddziału lub grupy. W systemie istnieją różne poziomy dostępu użytkowników, zapis czynności dla celów audytu i opcjonalne zatwierdzanie każdej czynności w systemie.

Bezpieczeństwo użytkownika obejmuje dwustopniowy proces logowania i identyfikacji przy pomocy elektronicznego klucza sprzętowego i certyfikatów cyfrowych. Komunikacja pomiędzy systemem klienta i hosta jest szyfrowana przy pomocy protokołu 128/1024 Secure Sockets Layer (SSL). Oprócz konwencjonalnego, dedykowanego pakietu technik filtrujących przy pomocy zapór sieciowych, używamy przeznaczonej wyłącznie dla nas infrastruktury identyfikacji za pomocą klucza publicznego (zarówno na poziomie systemu, jak i użytkownika).

Dostęp do poziomu systemu jest rozproszony i możliwy tylko i wyłącznie po identyfikacji co najmniej za pomocą SSH2/klucza prywatnego. Jenocześnie dostęp do sieci evolve z zewnątrz jest ograniczony do protokołu HTTPS (w przeglądarce lub usługi sieciowej) przy identyfikacji użytkowników za pomocą SSL-VERIFY implementowanego z wykorzystaniem dwustopniowego systemu zabezpieczeń (cyfrowe certyfikaty na sprzętowych tokenach USB zabezpieczone kodem PIN i blokadą po 5 pomyłkach).

Bezpieczeństwo fizyczne zapewnia Equinix (wcześniej IX Europe). Equinix został przez nas wybrany ze względu na wyższy, niż u tańszych dostawców, poziom bezpieczeństwa centrów danych.

Dostęp do ufortyfikowanego budynku jest trzystopniowy, samo wejście na posesję wymaga identyfikacji zarówno fizycznej, jak i biometrycznej.  Wewnątrz budynku, fizyczny dostęp do naszego sprzętu wymaga kolejnych stopni identyfikacji.

W miejscu, gdzie znajduje się nasz sprzęt, dostęp do wszystkich systemów również jest zabezpieczony fizycznie. Cały teren kompleksu jest aktywnie chroniony przez formację ochrony Equinix.

 

Funkcje/korzyści

Centra danych

  • 24/7 fizyczna ochrona danych, CCTV, podzielony dostęp.
  • 24/7 obecność zespołów ds. sieci.
  • Wieloetapowa procedura dostępu do danych z kontrolą biometryczną (skan dłoni).
  • System przeciwpożarowy VESA (skanery światła rozproszonego).
  • N+1 poziomów zróżnicowania mocy z własnymi generatorami, by zapewnić 72 godziny samodzielnego zasilania.
  • N+1 poziomów chłodzenia.

Sieć

  • Sieć oparta o wiele serwerów z wieloma drogami transferu w N+1-krotnej wiązce.
  • Najlepsze zapory ogniowe, systemy wykrywające włamania i enkrypcja danych.
  • Wykorzystanie infrastruktury klucza publicznego (Public Key Infrastructure, PKI).

Aplikacja

  • 2-stopniowa identyfikacja oparta o klucz sprzętowy.
  • Dane podzielone - nie ma 'wspólnych' czy 'partycjonowanych' danych wspólnych dla dwóch lub więcej klientów.
  • Zaawansowana i elastyczna organizacja dostępu - kontroluj, kto ma dostęp do czego.
  • Pełny audyt logowania i czynności użytkowników, np. aktualizacji/modyfikacji rekordu.
  • Ściśle przestrzegane zasady odrębności danych i ich usuwania.