Przejdź do menu nawigacji Przejdź do treści aktualnej strony
udogodnienia dla niedowidzących Rozmiar tekstu: Kontrast:  
Artboard 32 Artboard 5 Artboard 19

Bezpieczeństwo w DATERA cz. 1

W dzisiejszych czasach kluczową rolę odgrywa odpowiednie zabezpieczenie systemów, również wirtualnej centrali. Ochrona naszych rozwiązań działa wielopoziomowo, obejmuje zarówno bezpieczeństwo sprzętowe (hardware), operacyjne (procesy i procedury dostępu), systemowe (oprogramowanie) jak i mechanizmy po włamaniu. Temat jest to na tyle skomplikowany, iż wymaga omówienia wymaga szczegółowego omówienia.

Bezpieczeństwo hardware

Bezpieczeństwo hardware jest bardzo ważnym aspektem działania naszych systemów, łączy w sobie zalety infrastruktury chmurowej z fizycznym zabezpieczeniem zasobów w lokalnych centrach danych. To znaczy, że dane naszych klientów są przechowywane na serwerach zlokalizowanych w Polsce, co ma istotne znaczenie dla ochrony informacji i zgodności z przepisami.

Bezpieczeństwo hardware w pigułce:

Serwery lokalizowane są w Polsce

  1. Zgodność z lokalnymi przepisami w tym RODO:
    • Przechowywanie danych na serwerach w Polsce zapewnia zgodność z krajowymi regulacjami prawnymi, takimi jak RODO, które mogą wymagać, aby dane osobowe były przechowywane w granicach Unii Europejskiej lub w konkretnym kraju. Lokalne przechowywanie danych ułatwia także współpracę z organami regulacyjnymi.
  2. Lokalizacja danych:
    • Wiedza o dokładnej lokalizacji serwerów daje firmom większą kontrolę nad ich danymi. Przechowywanie danych w Polsce oznacza, że są one chronione przez krajowe prawo, a także, że firma ma pewność co do bezpieczeństwa fizycznego tych danych.
  3. Transparentność:
    • Klienci często preferują rozwiązania, które oferują pełną transparentność w zakresie lokalizacji danych. Przechowywanie danych na serwerach w Polsce może zwiększyć zaufanie klientów, szczególnie w przypadku firm obsługujących wrażliwe dane, takie jak sektor finansowy, administracyjny czy medyczny.
  4. Lokalne wsparcie techniczne:
    • Dostęp do lokalnego wsparcia technicznego może być kluczowe w sytuacjach awaryjnych. Zespół techniczny znajdujący się w Polsce może szybciej reagować na problemy z infrastrukturą, co przyspiesza rozwiązywanie problemów i minimalizuje przestoje.

Hostowanie w dużym data center z wszystkimi niezbędnymi zabezpieczeniami

Serwery, aplikacje i dane są przechowywane oraz obsługiwane w zewnętrznym, profesjonalnie zarządzanym centrum danych, które oferuje zaawansowane środki ochrony.

Ochrona danych w dużym data center to:

  1. Fizyczne zabezpieczenia

Bezpieczeństwo fizyczne ma kluczowe znaczenie dla ochrony sprzętu przed dostępem nieautoryzowanych osób oraz zagrożeniami fizycznymi. W dużym centrum danych stosowane są następujące środki:

  • Kontrola dostępu: Do budynku oraz do poszczególnych pomieszczeń z serwerami mają dostęp wyłącznie upoważnione osoby. Stosuje się różne technologie, takie jak karty dostępu, identyfikacja biometryczna (skanowanie odcisków palców, tęczówki oka), a także monitorowanie logów wejścia i wyjścia.
  • Monitoring wizyjny: Kamery monitorujące cały obszar centrum danych, w tym korytarze, wejścia, parkingi oraz pomieszczenia serwerowe. Nagrania są często archiwizowane na potrzeby późniejszych analiz.
  • Ochrona: na miejscu znajduje się fizyczna ochrona, która monitoruje budynek przez całą dobę.
  • Zabezpieczenia środowiskowe: Systemy przeciwpożarowe (z użyciem gazu neutralnego dla sprzętu), klimatyzacja i chłodzenie, zabezpieczenia przed zalaniem oraz systemy zapobiegające wibracjom mogącym uszkodzić sprzęt.
  1. Redundancja i dostępność

Redundancja to kluczowa cecha dużych centrów danych, która zapewnia nieprzerwane działanie usług nawet w przypadku awarii sprzętu lub infrastruktury.

  • Zasilanie: Centra danych są wyposażone w redundantne źródła zasilania, takie jak generatory awaryjne i systemy UPS (Uninterruptible Power Supply). Gwarantuje to, że serwery działają nawet w przypadku przerw w dostawie prądu.
  • Redundantne połączenia sieciowe: Centra danych mają wiele łączy internetowych od różnych dostawców, co minimalizuje ryzyko przestoju sieci w wyniku awarii.
  • RAID i kopie zapasowe: Serwery w centrach danych często korzystają z macierzy RAID oraz systemów do automatycznego tworzenia kopii zapasowych danych w różnych lokalizacjach.
  • Failover: Systemy monitorujące działanie infrastruktury są zaprogramowane do natychmiastowego przełączania na backupowy sprzęt lub serwer w razie awarii.
  1. Zabezpieczenia logiczne i sieciowe

Bezpieczeństwo logiczne zapewnia ochronę danych i aplikacji na poziomie oprogramowania i sieci.

  • Zapory sieciowe (firewalls): Sprzętowe i programowe zapory sieciowe kontrolują ruch sieciowy, filtrują pakiety i chronią serwery przed atakami, takimi jak DDoS czy próby nieautoryzowanego dostępu.
  • Systemy IDS/IPS: Systemy wykrywania i zapobiegania intruzjom (Intrusion Detection System / Intrusion Prevention System) analizują ruch sieciowy i natychmiast reagują na podejrzane działania.
  • Segmentacja sieci: Tworzenie odizolowanych segmentów sieciowych dla różnych usług i danych, aby ograniczyć zakres potencjalnych ataków. Każdy segment może być chroniony osobnymi regułami dostępu.
  • Szyfrowanie: Dane przechowywane w centrum danych są zazwyczaj szyfrowane zarówno podczas transferu (szyfrowanie TLS/SSL), jak i w stanie spoczynku (szyfrowanie dysków). To zapobiega ich odczytaniu przez nieautoryzowane osoby w przypadku fizycznego dostępu do dysków lub włamania.
  1. Zarządzanie tożsamością i dostępem (IAM)
  • Autoryzacja i uwierzytelnianie: Systemy zarządzania tożsamością pozwalają na dokładną kontrolę nad tym, kto ma dostęp do konkretnych zasobów w centrum danych. Stosowane są zaawansowane metody uwierzytelniania, takie jak dwuetapowa weryfikacja (2FA), a także systemy SSO (Single Sign-On), które ułatwiają bezpieczne logowanie.
  • Polityki dostępu oparte na rolach (RBAC): Ograniczenie dostępu do zasobów tylko dla uprawnionych użytkowników, na podstawie ich roli w organizacji. Ogranicza to ryzyko nieautoryzowanego dostępu lub przypadkowego usunięcia krytycznych danych.
  • Logowanie aktywności: Monitorowanie i zapisywanie działań użytkowników, aby móc wykrywać nietypowe lub podejrzane działania. Systemy SIEM (Security Information and Event Management) analizują logi, wyszukując anomalii i potencjalnych zagrożeń.
  1. Certyfikacje i zgodność z normami bezpieczeństwa

Duże centra danych muszą spełniać ścisłe standardy bezpieczeństwa i regulacje prawne, aby mogły przechowywać i przetwarzać dane wrażliwe.

  • Certyfikacje bezpieczeństwa: Wiele centrów danych jest certyfikowanych zgodnie z międzynarodowymi normami, takimi jak ISO/IEC 27001 (system zarządzania bezpieczeństwem informacji), PCI DSS (standard bezpieczeństwa dla kart płatniczych), czy SOC 2 (System and Organization Controls) dla zgodności z zasadami bezpieczeństwa i prywatności.
  • Regulacje RODO (GDPR): Centra danych obsługujące klientów z Unii Europejskiej muszą spełniać wymagania RODO w zakresie ochrony danych osobowych.
  • Certyfikat Tier: Klasyfikacja centrów danych według standardu Uptime Institute, od Tier I (podstawowa infrastruktura) do Tier IV (maksymalna dostępność i niezawodność). Nasze serwery znajdują się w kolokacji z zapewnionym poziomem bezpieczeństwa Tier III.

Wysoka dostępność systemu (99,99%)

Wysoka dostępność systemu (HA – High Availability) oznacza, że infrastruktura sprzętowa i oprogramowanie są zaprojektowane w taki sposób, aby minimalizować przestoje, gwarantując ciągłe działanie usług, nawet w przypadku awarii. Osiągnięcie dostępności na poziomie 99,99% oznacza maksymalnie 52 minuty niedostępności systemu rocznie. Taka wysoka dostępność jest możliwa dzięki zastosowaniu redundancji i zaawansowanych mechanizmów bezpieczeństwa.

  • Redundancja: Kluczowym mechanizmem zapewniającym wysoką dostępność jest redundancja. Oznacza to, że każdy krytyczny komponent systemu (serwer, zasilanie, połączenia sieciowe, a nawet centra danych) ma swoje zapasowe odpowiedniki. W razie awarii dowolnego z tych komponentów, jego funkcje natychmiast przejmowane są przez kopię zapasową, co zapewnia ciągłość działania.
    • Load balancing (równoważenie obciążenia): Systemy te również wykorzystują mechanizmy równoważenia obciążenia, które rozdzielają ruch na kilka łącz. Jeśli jeden z serwerów przestanie działać, pozostałe automatycznie przejmą ruch, zapewniając, że użytkownicy nie zauważą przestoju.

Bezpieczeństwo operacyjne

Wszystkie zlecane zmiany w centrali mogą być dokonywane wyłącznie na zlecenie przesłane z  adresu zaufanego – wskazanego w umowie.

Hasła i loginy serwisowe:

Nie korzystamy z haseł i loginów klientów – mamy swoje serwisowe. Nasz Zespół Wsparcia Klienta nie ma możliwości działania z poziomu uprawnień klienta, dlatego każde działania pracownika są przypisane do niego. Dzięki temu mamy jasność jakie zmiany wystąpiły na skutek działań naszego zespołu, a jakich dokonał klient we własnym zakresie.

Hasła przekazywane są tylko osobom wskazanym w umowie lub anonimowo na maile przypisane do użytkowników. Natomiast loginy i hasła sipowe, w celu ograniczenia fraud pobierane są  przez provisioning,

Wgląd do danych:

Dostępy do produkcyjnych systemów oraz testowych systemów udostępnianych klientom przed podpisaniem umowy ma tylko nasz Zespół Wsparcia Klientów.

Zabezpieczenia domenowe:

Wszystkie komputery objęte są dedykowanymi zabezpieczeniami domenowymi.  To oznacza, że nie jest łatwo dostać się na jakikolwiek system z poziomu sprzętu (komputerów) pracowników naszego zespołu. Kolejnym zagadnieniem są tickety.  Nasz system akceptuje wyłącznie zgłoszenia (tickety) pochodzące z określonej, zaufanej domeny.

W następnej części wpisu więcej o bezpieczeństwie systemowym oraz o mechanizmach po włamaniu.

Autor: beata.wysmulska
Opublikowane: 25 listopada 2024

Przeczytaj więcej:

Odoo: poznaj możliwości integracji WSS i VoIP

Odoo to platforma oprogramowania o otwartym kodzie (open source), której wiele modułów, funkcji i rozszerzeń jest darmowych. Czyni ją to popularną wśród firm, które stanowią istotną część naszych…
Call-ex Cloud

Nowa Wersja Call-ex Cloud 3.24.6

W nowej wersji Call-eX Cloud skoncentrowaliśmy się na wdrożeniu usprawnień i narzędzi, które zwiększają intuicyjnosć procesów obsługi centrali. Ponadto rozszerzyliśmy portfolio integracji z systemami CRM, eliminując konieczność ponoszenia dodatkowych kosztów…

5 scenariuszy, w których Wirtualna Centrala z CRM to rozwiązanie idealne cz. 2

Wiadomości SMS stanowią idealne uzupełnienie usługi IVR, tworząc elastyczne i efektywne rozwiązanie komunikacyjne, które odpowiada na potrzeby zarówno klientów, jak i firm. IVR automatyzuje i upraszcza interakcje telefoniczne, umożliwiając klientom…

Zamknij [X]