Услуга НЦЭУ Защищенный хостинг - Республиканское унитарное предприятие "Национальный центр электронных услуг"
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Республиканское унитарное предприятие
«Национальный центр электронных услуг»
Услуга НЦЭУ
Защищенный хостинг
Республика Беларусь, г. Минск ул. Раковская, 14
info@nces.by
www.nces.by
О предприятии
Наши услуги Наши статусы
98
видов
Оператор электронных
межведомственных услуг
информационных систем,
уполномоченный оператор
клиентов
IaaS
Infrastructure as a Service
12 000+
SaaS
Software as a Service
старт
2012
DaaS
Desktop as a Service
500 000+
оказанных
электронных
услуг
ежемесячно
BaaS
Backup as a Service
Интернет-услуги НЦЭУ
• НЦЭУ включено в перечень
поставщиков интернет-услуг, уполномоченных оказывать интернет-
услуги (в том числе услуги хостинга) государственным органам и
организациям, использующим в своей деятельности сведения,
составляющие государственные секреты.
Перечень, утвержден приказом Оперативно-аналитического центра
при Президенте Республики Беларусь от 17.12.2010 № 92
Интернет-услуги НЦЭУ К интернет-услугам, оказываемым НЦЭУ относятся: - услуга «Виртуальный ЦОД»; - услуги ОАИС; - услуга защищенной электронной почты для государственных органов и организаций (Паштар) - услуга защищенного хостинга ( с марта 2019 года)
Услуга защищенного
хостинга
Услуга защищенного хостинга основывается на базе инфраструктуры
услуги «Виртуальный ЦОД», размещается в среде аппаратно-
программного комплекса динамической доверенной среды (АПК ДДС)
и обеспечивает для ее пользователя:
- предоставление виртуального сервера из специально выделенного
пула вычислительных ресурсов ЦОД для размещения интернет-
активов (web-сайт(-ы), почтовый сервер и т.п.);
- постоянный (24*7) доступ из сети интернет;
- предоставление интернет-активам потребителя IP-адреса из
подсети, специально выделенной НЦЭУ для данной услуги;
- предоставление для администрирования интернет-активов VPN
соединения поверх сети интернет между виртуальным сервером
потребителя и удаленным рабочим местом (местами)
ответственных лиц потребителя.Услуга защищенного
хостинга
Услуга защищенного хостинга основывается на базе инфраструктуры
услуги «Виртуальный ЦОД», размещается в среде аппаратно-
программного комплекса динамической доверенной среды (АПК ДДС)
и обеспечивает для пользователя:
- целостность, конфиденциальность и доступность его интернет-
активов, их защиту от деструктивных воздействий со стороны сети
интернет.
- проведение первичной и периодических инструментальных
проверок интернет-активов пользователя на отсутствие либо
невозможность использования для деструктивного воздействия со
стороны сети интернет свойств программного обеспечения,
которые могут быть случайно инициированы или умышленно
использованы для нарушения информационной безопасности
интернет-активов потребителя и сведения о которых подтверждены
производителями (разработчиками) этого ПО.Общая схема организации услуги
Схема организации услуги «Защищенный хостинг»
НЦЭУ
Доступ к серверу
Рабочее место itVPN на 185.227.99.50 Port 12345
Админ истратора
Потребителя Для управления ресурсами
внутренний IP 10.10.X.N
Ports: ALL
АПК ДДС, домен В
Internal IP
Интернет Сервер itVPN
Администрирование
185.227.99.50
Vlan 1
10.10.X.1
Ports: ALL
185.227.99.1
Сайт № 1
Mail № 1 Распределенный
Fortinet Dr. Web
firewall
Fortigate Cisco ASA Gateway
FG-100D Security Suite Сайт № N
185.227.99.N
Mail № N
Deny ALL Vlan X
permit 185.227.99.XX 10.10.X.N
Ports:_____ Ports: ALL
(в соответствие с договором)
Интернет vCloud
Клиенты
ПотребителяВыполнение требований к уполномоченному оператору Требования к поставщикам интернет-услуг, оказывающим интернет-услуги государственным органам и организациям, использующим в своей деятельности сведения, составляющие государственные секреты утверждены приказом Оперативно- аналитического центра при Президенте Республики Беларусь 2 августа 2010 №60.
Выполнение требований к уполномоченному оператору 1.1. Использовать при оказании интернет-услуг оборудование, размещенное на территории Республики Беларусь ИТ-инфраструктура для оказания услуги «Защищенный хостинг» размещена в центре обработки данных НЦЭУ, расположенного по адресу г. Минск, ул. Раковская, д.14 (далее – ЦОД). ЦОД зарегистрирован в Государственном реестре информационных сетей, систем и ресурсов национального сегмента глобальной компьютерной сети Интернет, размещенных на территории Республики Беларусь и ему присвоен регистрационный номер DB941D777ID438170717
Выполнение требований к уполномоченному оператору 1.2. Применять средства защиты информации, прошедшие подтверждение соответствия требованиям технического регламента Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY) в форме сертификации или декларирования соответствия. Инфраструктура услуги «защищенный хостинг» развернута в среде АПК ДДС, в рамках которого реализована единая система защиты информации, позволяющая размещать информационные системы, отнесенные к различным классам информационных систем (согласно СТБ 34.101.30-2017), обеспечивающая необходимый уровень защиты информации при их взаимодействии с иными системами. Вычислительные ресурсы, предназначенные для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, физически сегментированы
Администраторы Администраторы АПК Администраторы Арендаторы
безопасности ДДС (персонал НЦЭУ) сервисов SaaS (Администраторы и
(персонал НЦЭУ) (персонал НЦЭУ) пользователи)
Домен В
Домен А vSphere vSphere vCloud Director
Домен А
(инфо рмация ограниченно го распростра нения)
Web Client Web Client web Console
Уровень
• могут размещаться
доступа
vCloud Director 1
информационные Аренда
vCloud
системы Арендаторов Арр
Арр
Арр
Director
Database
VDC Орг. Уровень
и НЦЭУ (Оператора Средства безопасности СЗИ АПК ДДС VDC Провайдера
управления
сервисами
услуг SaaS), отнесенные vSphere
NSX Manager 1
к классам объектов vCenter1
Ресурсы IaaS
для Управления
vCenter2
Ресурсы IaaS
для SaaS НЦЭУ
vCenter3
Аренда IaaS
NSX Logical
Ro uter
Con trol VM
NSX
Con troler
Уровень
управления
ресурсами
информатизации 3-фл,
3-юл и 3-дсп, VM
ESXi
VM
VM
VM
Пул
Ресурсов 1
VM
ESXi
VM
VM
VM
Пул
Ресурсов 2
VM
ESXi
VM
VM Пул
Ресурсов 3
VM
Lo gical
Switch
Distribu te
NSX
Edge
Уровень
виртуали-
ESXi ESXi ESXi d Lo gical зации
определенных в VM
ESXi
VM VM
ESXi
VM VM
ESXi
VM
Ro uter
Firewall
ресурсов
СТБ34.101.30-2017 Вычислительн ые Сетевые ресур сы
Уровень
ресурсы физической
IT-инфра-
структуры
Система хранения дан ных 1
Кластер 1 физических ИТ-ресурсов домена ААрендаторы
Техничесий Администраторы Администраторы АПК
(Администраторы и
персонал НЦЭУ сервисов SaaS ДДС (персонал НЦЭУ)
пользователи)
(персонал НЦЭУ)
Домен А
Домен В
Домен В vCloud Director
web Console
vSphere
Web Client
vCloud Director
web Console
(открытая инфо рмация) Уровень
доступа
• могут размещаться vCloud Director 2
Тестирование
vCloud Director 3
Аренда
информационные vCloud
Director
Арр Database
системы Арендаторов Арр
Арр
VDC Орг.
Уровень
управления
и НЦЭУ, отнесенные к VDC Провайдера сервисами
классам объектов vSphere
NSX Manager 2
vCenter5 Уровень
информатизации 5- vCenter4
Тестирование
Ресурсы IaaS
для SaaS НЦЭУ
vCenter6
Аренда IaaS
NSX Logical
Ro uter
Con trol VM
NSX
Con troler управления
ресурсами
частн и 5-гос,
определенных в VM
ESXi
VM
VM Пул
Ресур сов 4
VM
ESXi
VM
ESXi
VM
VM
VM
ESXi
Ресурсов 5
Пул VM
ESXi
VM
VM
VM
ESXi
Пул
Ресур сов 6
Lo gical
Switch
Distribu ted
Lo gical
NSX
Edge
Уровень
виртуали-
зации
VM VM VM VM
СТБ34.101.30-2017
VM VM Ro uter ресурсов
ESXi ESXi ESXi Firewall
Сетевые ресур сы
Вычислительн ые
ресурсы
Уровень
физической
IT-инфра-
структуры
Система хранения дан ных 2
Кластер 2 физических ИТ-ресур сов домена ВАттестация
системы защиты
информации
АПК ДДС
• Система защиты информации
АПК ДДС аттестована в
установленном
законодательством порядке
на соответствие требованиям
по защите информации
классов
3-фл, 3-юл, 3-дсп, 5-частн, 5-
госВыполнение требований к уполномоченному оператору Использование АПК ДДС обеспечивает при предоставлении услуги «Защищенный хостинг» реализацию следующих организационных, программные и программно- технических решений, позволяющие обеспечить (пункт 1.5. требований): - доступ к настройкам средств межсетевого экранирования, активного сетевого оборудования и системы безопасности только администраторам безопасности из доверенного сетевого сегмента поставщика интернет-услуг; - ведение и анализ журнала событий безопасности; - синхронизацию системного времени на серверном и активном сетевом оборудовании от единого (общего) источника; - межсетевое экранирование по портам протоколов транспортного уровня; - хранение данных авторизации в течение одного года; - фильтрацию трафика государственных органов и организаций от вредоносного программного обеспечения;
Выполнение требований к уполномоченному
оператору
• Защита целостности, конфиденциальности и доступности интернет-активов обеспечивается
средствами защиты информации (пункт 2.7 требований)
• Функционирование системы аудита и протоколирования событий безопасности,
непрерывный мониторинг работоспособности (пункты 2.10. и 2.11. требований)
Управление событиями безопасности
Управление
идентификация и безопасностью
аутентификация Обеспечение
пользователей отказоустойчивости ВМ
управление
доступом Управление
сеансом связи
пользователя
управление Аудит безопасности
информационными
потокамиВыполнение требований к уполномоченному
оператору
фильтрация трафика государственных органов и организаций от вредоносного программного
обеспечения (пункт 1.5. требований)
Схема организации услуги «Защищенный хостинг»
НЦЭУ
Доступ к серверу
Рабочее место itVPN на 185.227.99.50 Port 12345
Админ ист ратора
Потребит еля Для управления ресурсами
внутренний IP 10.10.X.N
Ports: ALL
АПК ДДС, домен В
Internal IP
Интерн ет Сервер itVPN
Админ ист рирование
185.227.99.50
Vlan 1
10.10.X.1
Ports: ALL
185.227.99.1
Сай т № 1
Mail № 1 Распределенный
Fortinet Dr. Web
firewall
Fortigate Cisco ASA Gateway
FG-100D Security Suite Сай т № N
185.227.99.N
Mail № N
Deny ALL Vlan X
permit 185.227.99.XX 10.10.X.N
Ports:_____ Ports: ALL
(в с оответствие с договором)
Интерн ет vCloud
Клиенты
Потребит еляВыполнение требований к уполномоченному
оператору
Межсетевое экранирование
Обнаружение вторжений (пункт
(пункт 1.5. требований)
2.8. требований)
Схема организации услуги «Защищенный хостинг»
НЦЭУ
Доступ к серверу
Рабоч ее место itVPN на 185.227.99.50 Port 12345
Админ ист ратора
Потребит еля Для управления ресурсами
внутренний IP 10.10.X.N
Ports: ALL
АПК ДДС, домен В
Inter nal IP
Интерн ет Сервер itVPN
Админ ист рирование
185.227.99.50
Vlan 1
10.10.X.1
Ports: ALL
185.227.99.1
Сай т № 1
Mail № 1 Распределенный
Fortinet Dr. Web
firewall
Fortig ate Cisco ASA Gateway
FG-100D Security Suite Сай т № N
185.227.99.N
Mail № N
Deny ALL Vlan X
permit 185.227.99.XX 10.10.X.N
Ports:_____ Ports: ALL
(в с оответствие с договором)
Интерн ет vCloud
Клиенты
Потребит еляВыполнение требований к уполномоченному
оператору
Доступ к административной части интернет-сайтов и серверам электронной почты государственных органов и организаций
только по портам протоколов транспортного уровня с определенного перечня сетевых адресов (пункт 2.5. требований)
Схема организации услуги «Защищенный хостинг»
НЦЭУ
Доступ к серверу
Рабочее место itVPN на 185.227.99.50 Port 12345
Админ ист ратора
Потребит еля Для управления ресурсами
внутренний IP 10.10.X.N
Ports: ALL
АПК ДДС, домен В
Internal IP
Интерн ет Сервер itVPN
Админ ист рирование
185.227.99.50
Vlan 1
10.10.X.1
Ports: ALL
185.227.99.1
Сай т № 1
Mail № 1 Распределенный
Fortinet Dr. Web
firewall
Fortigate Cisco ASA Gateway
FG-100D Security Suite Сай т № N
185.227.99.N
Mail № N
Deny ALL Vlan X
permit 185.227.99.XX 10.10.X.N
Ports:_____ Ports: ALL
(в с оответствие с договором)
Интерн ет vCloud
Клиенты
Потребит еляПреимущества услуги «Защищенный хостинг»
Резервное копирование, пункт 2.6 требований)
Полное резервное копирование информации потребителей услуги
«Защищенный хостинг» осуществляется один раз в сутки на внешнею систему
хранения данных в соответствие с «Политикой резервного копирования и
восстановления информационных ресурсов и информационных систем
республиканского унитарного предприятия «Национальный центр
электронных услуг».Дополнительные преимущества услуги «Защищенный
хостинг» от НЦЭУ
Первичный и периодический анализ защищенности интернет-активов
пользователя услугиСпасибо за внимание! Денисов Денис Валерьевич (017) 2293000 доб. 207 Заведующий сектором по защите информации Республиканское унитарное предприятие «Национальный центр электронных услуг» г. Минск ул. Раковская, 14 info@nces.by www.nces.by
Вы также можете почитать
