Dostupnost & zabezpečení
Jak vysoké dostupnosti, tak zabezpečení, dosahujeme kombinací fyzických a software opatření, která aplikujeme pro návrhy, provoz a administraci fyzické a virtuální výpočetní infrastruktury.
V praxi to znamená, že naše technologie umisťujeme do privátních datových sálů v datových centrech navržených tak, aby odpovídala normě TIER 3. Fyzická a virtuální výpočetní infrastruktura je postavena na enterprise grade hardware a software s podporou výrobce. Jak fyzická, tak virtuální výpočetní infrastruktura je nakonfigurována v souladu s best practices výrobců hardware a software s nejnovějšími stabilními verzemi operačních systémů.
Prvky našich datacenter
Certifikace TIER 3
Datová centra jsou již po několik desetiletí po celém světě navrhována a klasifikována podle mezinárodní normy TIER. Tato norma rozlišuje datová centra podle míry zastupitelnosti všech klíčových prvků, zabezpečení kontinuity provozu a přístupu k technologiím. Klíčovým měřítkem je tedy míra schopnosti zajistit kontinuitu provozu v případě selhání dodávek elektřiny, chlazení, výpadku různých větví datové sítě, pokusu o vniknutí atd. Pro umístění našich technologií využíváme privátní datové sály v několika datových centrech na území Evropské unie, která jsou navržena a provozována tak, aby odpovídala normě TIER 3. Na této úrovni je u všech non-IT prvků zajištěna redundance N+1. To dovoluje, aby údržba, nebo rozšiřování datového centra probíhala bez jeho odstávky. Naše datová centra jsou z bezpečnostních důvodů geograficky oddělena a vzájemně propojena vlastními datovými okruhy. Vaše data mohou být transparentně provozována z více datových center bez nutnosti zásahu. Dále striktně dbáme na to, aby produkční data a zálohy byly vždy geograficky odděleny.
Privátní datové sály
V datových centrech využíváme privátní datové sály, které nejsou součástí vnější stěny objektu. Od zbytku datového centra jsou odděleny stěnami v kategorii RC3 v klasifikaci NBÚ. V samotných sálech jsou pouze racky a chladící jednotky. Ostatní technologie datového centra, jako například stabilní hasicí zařízení, elektronický protipožární systém, přístupový systém, kamerový systém, elektronický zabezpečovací systém, monitoring, měření a regulace atd., jsou z důvodu bezpečnosti přístupné pouze personálu datového centra. Přístup do datového centra mají jen pracovníci autorizovaní podle našich interních bezpečnostních pravidel po předložení osobních dokladů ostraze. Přístup do privátních datových sálů je podmíněn ověřením ve skeneru otisku prstu a krevního řečiště. Do privátních datových sálů se tedy není možné bez předchozí autorizace nijak dostat.
Napájení
Vysoké napětí je vždy zajištěno dvěma nezávislými energetickými přípojkami s vlastní rozpínací stanicí. Pro případy výpadku dodávky energie tvoří zálohu dieselagregáty v konfiguraci N+1, vč. centrálního palivového hospodářství. Nízké napětí zajišťují energetické rozvodny. Každá z rozvoden má podle doporučení Uptime Institute konfiguraci prvků minimálně N+1. Všechny podpůrné provozní systémy datového centra, jako je chlazení, security atd., jsou zálohovány separátními non-IT UPS zdroji.
Chlazení
Dle normy TIER 3 je na straně zdroje chladu v zapojení N+1 a na straně distribuce chladu v zapojení min. N+1. Rozvody chladícího média jsou realizovány zdvojeným potrubím. Všechny komponenty chladicího systému jsou redundantní a napájené ze dvou nezávislých elektrických zdrojů.
Fyzické hosty a storage
Pro zajištění vysoké dostupnosti využíváme pouze enterprise grade hardware od výrobce Hewlett Packard Enterprise se zajištěnou nejvyšší možnou podporou a časovou garancí výměny vadného hardware. Fyzická výpočetní infrastruktura je tvořena hardwarem od Hewlett Packard Enterprise a Cisco Systems. Jako fyzické hosty využíváme osvědčené servery, konkrétně Synergy, ProLiant DL a Apollo Systems.
Virtualizace
Pro virtualizaci používáme enterprise grade řešení VMware, které máme k dispozici v podobě té nejvyšší možné licence Enterprise Plus. Díky tomu máme oprávnění do našich služeb integrovat pokročilé funkcionality, jako vSphere HA, vSphere DRS / SDRS a v případě přání zákazníka i vSphere Fault Tolerance, které sníží případný výpadek na jednotky milisekund.
Konektivita
Konektivita do internetu je v našich datových centrech vždy redundantní a je přivedena od dvou nezávislých poskytovatelů. Samozřejmostí je aktivní DDoS ochrana celého prostředí, která má na starost detekovat a blokovat potenciální útoky (tzv. Anti DDoS). Přenos dat z a do internetu není nijak zpoplatněn. Podporujeme i připojení pomocí privátních linek např. MPLS, kde spolupracujeme s většinou telekomunikačních operátorů. Po dohodě je možné do našich datových center umístit box kde je privátní linka terminována.
Storage
Jako jedni z mála využíváme výhradně plně redundantní Full Flash Storage HPE 3PAR, rozdělené do rychlostních tierů. IOPS jsou jak na produktové, tak na technické úrovni, přiděleny konkrétnímu diskovému tieru, abychom zajistili stabilitu provozu a férový přístup ke službě pro všechny naše zákazníky. Komunikace fyzických hostů se storage je vedena po dedikované izolované síti využívající optický Fibre Channel, což má pozitivní dopad nejen na latence, ale zejména na vysokou dostupnost a bezpečnost provozu. Šifrování dat na úrovni storage je podporováno, jedná se však o příplatkový produkt.
Firewall
Na vnější hranici zákaznických cloudů využíváme firewallové technologie VMware NSX EDGE. V případě přání zákazníka jsme však po domluvě schopni implementovat i jiné firewallové technologie. Pro virtualizaci síťového provozu využíváme VMware NSX, čímž je zajištěno, že všechny virtuální sítě našich zákazníků jsou od sebe izolované pomocí VXLAN.
Přístup do datového centra
Přístup do datového centra mají jen pracovníci autorizovaní podle našich interních bezpečnostních pravidel po předložení osobních dokladů ostraze. Přístup do privátních datových sálů je podmíněn ověřením ve skeneru otisku prstu a krevního řečiště. Do privátních datových sálů se tedy není možné bez předchozí autorizace nijak dostat.
Šifrování
Všechny zálohy jsou defaultně šifrované pomocí nástrojů zálohovacího software Veeam. Pro připojení do prostředí cloudu podporujeme šifrovanou technologii VPN. Dále můžete využít připojení pomocí Vašeho privátního okruhu či MPLS, čímž zajistíme, že daný síťový provoz je i dále izolovaný. Zákaznické připojení ke cloudovému prostředí podporuje technologii VPN, data tak mohou být již od koncového zařízení přenášena v zašifrované podobě. Stejným způsobem se do datového centra z důvodu zvýšení bezpečnosti připojují pracovníci našeho technického oddělení.
Na základě přání zákazníka mohou být data šifrována na úrovni storage či virtualizační vrstvy VMware vSphere. Z toho důvodu se kdokoliv, vč. našich zaměstnanců, kteří by mohli mít v předem stanovených případech při řešení požadavků technické podpory k takto zašifrovaným datům částečný přístup, nemůže bez aktivní součinnosti zákazníka do uložených dat nahlížet. Navíc, bez šifrovacího klíče, je prakticky nemožné tato data dešifrovat.
Administrace
K administračnímu rozhraní technologií mají na základě multifaktorové autentizace přístup jen naši oprávnění administrátoři na základě přístupových rolí definovaných v interním identity manageru. U těchto privilegovaných uživatelů je nastavena politika centrálního logování aktivity.
Přidělené přístupy a jejich historie se vyhodnocují v rámci pravidelných bezpečnostních auditů. Naše technická podpora je založena na dvou eskalačních úrovních, které zastřešuje Support Manager. Mimo organizaci technické podpory stojí specializovaní IT operations a R&D inženýři, kteří jsou k řešení defektních či implementačních požadavků přizváni až ve chvíli, kdy komplikovanost problému vyžaduje jejich vysoce odbornou specializaci.