Аттестованный сегмент ЦОД
Описание услуги
Услуга Аттестованный сегмент центра обработки данных (далее А-ЦОД) предназначена для размещения коммерческих и государственных информационных систем с высокими требованиями к обеспечению безопасности информации, в том числе для выполнения требований международных стандартов, российского законодательства и проведения аттестационных испытаний.
В услугу входит:
- Аттестованная инфраструктура, соответствующая требованиям для 1-го уровня защищенности персональных данных и 1-го класса защищенности информационных систем;
- Физическая изоляция сети от других клиентов дата-центра и сетей Selectel с использованием выделенного аппаратного межсетевого экрана;
- Административный доступ к управлению выделенным межсетевым экраном для полного контроля за сетевой безопасностью вашей информационной системы;
- Техническая поддержка 24 / 7;
- Коммутация оборудования по типовой или индивидуальной схеме подключения;
- возможность использования сертифицированных средств защиты информации по подписке;
- предоставляются схемы размещения технических средств, их состав и серийные номера, планы границ контролируемой зоны;
- Доступ к IPMI через выделенное сетевое оборудование;
- необходимые изменения во время эксплуатации инфраструктуры обязательно заранее согласовываются с заказчиком;
- Разграничение зон ответственности:
- Selectel отвечает за выполнение требований регуляторов по размещению оборудования и контролю физического доступа;
- Заказчик отвечает за безопасность своих информационных систем и удаленного доступа.
При заказе выделенных серверов без размещения в А-ЦОД используется общее коммутационное оборудование Selectel, серверы и сетевое оборудование находятся в разных стойках, а схемы размещения являются коммерческой тайной.
Оплата и биллинг
Чтобы оплатить услугу, пополните Основной баланс.
Подключение услуги
Услуга включает в себя:
- аренду Выделенного сервера произвольной конфигурации;
- отдельно заказанную услугу Межсетевой экран;
- отдельно заказанную услугу Размещение в Аттестованном сегменте для сервера и межсетевого экрана.
Схема подключения
До заказа услуги определите схему подключения (типовая или индивидуальная в соответствии с «Условиями использования отдельных сервисов: аттестованный сегмент ЦОД»), а также перечень планируемых дополнительных услуг и средств защиты.
Конфигурация сервера
Выберите конфигурацию выделенного сервера в конфигураторе. Для сервера действуют «Условия использования отдельных сервисов: аттестованный сегмент ЦОД».
Межсетевой экран
Для размещения сервера в А-ЦОД необходимо заказать межсетевой экран. Для этого в панели управления перейдите в раздел Сетевые сервисы на вкладку Межсетевые экраны и выберите необходимый.
В панели управления также доступны сертифицированные межсетевые экраны, в случае использования которых предоставляется «Акт установки средств защиты».
Если требуемая версия межсетевого экрана отсутствует, создайте тикет. В ответе на тикет мы предоставим необходимую информацию об услуге и о сроках поставки.
Средства защиты как сервис
При необходимости можно заказать дополнительные сертифицированные средства защиты, для которых действует Доступ к средствам защиты информации:
- Secret Net LSP
- Secret Net Studio
- ViPNet SafeBoot
- Kaspersky Endpoint Security
Размещение в Аттестованном сегменте ЦОД
Создайте тикет, в котором сообщите о необходимости размещения оборудования в Аттестованном сегменте ЦОД. Укажите выбранную схему подключения, конфигурацию сервера, номер заказанного межсетевого экрана, требуемую операционную систему и разметку диска и, если нужно, дополнительные средства защиты.
При заказе услуги важно, чтобы количество заказываемых услуг «Размещение оборудования (1U) в аттестованном сегменте ЦОД» соответствовало количеству юнитов, занимаемых сервером и межсетевым экраном.
Обработка заявки
После поступления заявки мы проверим корректность заказанных услуг, совместимость компонентов и средств защиты. Если услуги заказаны правильно, а аппаратная платформа совместима с выбранными средствами, то поступит ответ с описанием финальной конфигурации и просьбой ее подтвердить. В ином случае мы предложим альтернативную конфигурацию, совместимую с выбранными средствами защиты.
После согласования начнется сборка сервера.
Предоставление услуги
После подготовки инфраструктуры мы сообщим необходимые данные для доступа: адрес, логин и пароль межсетевого экрана; схему подключения; данные для доступа к серверу по IPMI; операционную систему и разметку диска.
В случае использования сертифицированных средств защиты информации, во вложении будет прикреплен «Акт установки средств защиты».
Для дальнейшей работы с предоставленной инфраструктурой следует учитывать, что сеть физически изолирована от сетей других клиентов и сетей Selectel, поэтому нет возможности управления из панели my.selectel, а производить настройку оборудования необходимо через межсетевой экран. По этой же причине нет возможности подключить Балансировщик нагрузки.
На данном этапе публичный IP-адрес прописан на межсетевом экране, а на сервере — приватный (локальный) IP-адрес, поэтому необходимо настроить правила для доступа к серверу.
Базовая настройка
Межсетевой экран
Для доступа к IPMI сервера необходимо настроить переадресацию следующих портов:
- TCP 80: HTTP
- TCP 443: HTTPS
- TCP 5900: виртуальная клавиатура и мышь
- TCP 5901: графическая консоль
- TCP 5120: виртуальный CD/DVD привод
- TCP 5123: виртуальный FDD привод
- UDP 623: IPMI
Для работы какого-либо сервиса, размещенного на сервере за межсетевым экраном, производится аналогичная настройка. Например, для удаленного управления по протоколу RDP необходимо настроить переадресацию порта TCP 3389, а для SSH – порта TCP 22.
Установка операционной системы
Для самостоятельной установки ОС необходимо подключить к серверу ISO-образ. Сделать это можно несколькими способами:
- создать тикет в панели управления с просьбой подключить внешний носитель с операционной системой к серверу;
- подключить ISO-образ через консоль IPMI: Virtual Media -> Virtual Storage -> ISO File -> выбрать образ -> Plug in.
Отказ от услуги
Если услуга Размещение оборудования в аттестованном сегменте ЦОД больше не требуется, отключите ежемесячный платеж услуги Выделенные серверы:
- Откройте карточку сервера и перейдите на вкладку Услуги.
- Раскройте меню (⋮) и нажмите Отключить платеж.
Когда оплаченный период закончится, услуга отключится автоматически. Сервер и все данные, хранящиеся на нем, будут удалены автоматически сразу по окончании оплаченного периода. При этом все дополнительные услуги, подключенные к данному серверу («Размещение оборудования (1U) в аттестованном сегменте ЦОД», Межсетевой экран, дополнительные средства защиты) тоже отменяются.
В случае отказа от услуги до истечения оплаченного периода возвращаются средства за полные неиспользованные месяцы. Подробнее в статье Отключение сервера.
В случае неоплаты основной услуги или услуги «Размещение оборудования (1U) в аттестованном сегменте ЦОД» приходит оповещение. В случае отказа от услуги или отсутствия оплаты по прошествии 7 дней производится демонтаж оборудования.
При использовании сертифицированных средств защиты отправляется «Акт изъятия средств защиты».
Документы
- Пользовательское соглашение
- Правила пользования сервисами и услугами
- Предоставление выделенного сервера
- Аттестованный сегмент ЦОД
- Доступ к средствам защиты информации
Аттестация информационной системы
Для аттестации информационных систем, размещенных на выделенных серверах в аттестованном сегменте ЦОД, по запросу предоставим схему расположения арендованных серверов относительно границ контролируемой зоны, необходимую для проведения аттестационных испытаний.
Поручение на обработку персональных данных
В случае обработки персональных данных на выделенных серверах в аттестованном сегменте ЦОД, необходимо подписать поручение на обработку персональных данных. Для этого создайте тикет в панели управления, указав в нем следующую информацию:
- категории персональных данных;
- категории субъектов персональных данных;
- уровень защищенности персональных данных.
На основании этих данных мы подготовим поручение, которое можно подписать через ЭДО.