База знаний Selectel / Серверы и инфраструктура / Серверы /

Аттестованный сегмент ЦОД

Описание услуги

Услуга Аттестованный сегмент центра обработки данных (далее А-ЦОД) предназначена для размещения коммерческих и государственных информационных систем с высокими требованиями к обеспечению безопасности информации, в том числе для выполнения требований международных стандартов, российского законодательства и проведения аттестационных испытаний.

В услугу входит:

Аттестованная инфраструктура, соответствующая требованиям для 1-го уровня защищенности персональных данных и 1-го класса защищенности информационных систем;
Физическая изоляция сети от других клиентов дата-центра и сетей Selectel с использованием выделенного аппаратного межсетевого экрана;
Административный доступ к управлению выделенным межсетевым экраном для полного контроля за сетевой безопасностью вашей информационной системы;
Техническая поддержка ²⁴⁄₇;
Коммутация оборудования по типовой или индивидуальной схеме подключения;
возможность использования сертифицированных средств защиты информации по подписке;
предоставляются схемы размещения технических средств, их состав и серийные номера, планы границ контролируемой зоны;
Доступ к IPMI через выделенное сетевое оборудование;
необходимые изменения во время эксплуатации инфраструктуры обязательно заранее согласовываются с заказчиком;
Разграничение зон ответственности:
- Selectel отвечает за выполнение требований регуляторов по размещению оборудования и контролю физического доступа;
- Заказчик отвечает за безопасность своих информационных систем и удаленного доступа.

При заказе выделенных серверов без размещения в А-ЦОД используется общее коммутационное оборудование Selectel, серверы и сетевое оборудование находятся в разных стойках, а схемы размещения являются коммерческой тайной.

Оплата и биллинг

Чтобы оплатить услугу, пополните Основной баланс.

Подключение услуги

Услуга включает в себя:

аренду Выделенного сервера произвольной конфигурации;
отдельно заказанную услугу Межсетевой экран;
отдельно заказанную услугу Размещение в Аттестованном сегменте для сервера и межсетевого экрана.

Схема подключения

До заказа услуги определите схему подключения (типовая или индивидуальная в соответствии с «Условиями использования отдельных сервисов: аттестованный сегмент ЦОД»), а также перечень планируемых дополнительных услуг и средств защиты.

Конфигурация сервера

Выберите конфигурацию выделенного сервера в конфигураторе. Для сервера действуют «Условия использования отдельных сервисов: аттестованный сегмент ЦОД».

Межсетевой экран

Для размещения сервера в А-ЦОД необходимо заказать межсетевой экран. Для этого в панели управления перейдите в раздел Сетевые сервисы на вкладку Межсетевые экраны и выберите необходимый.

В панели управления также доступны сертифицированные межсетевые экраны, в случае использования которых предоставляется «Акт установки средств защиты».

Если требуемая версия межсетевого экрана отсутствует, создайте тикет. В ответе на тикет мы предоставим необходимую информацию об услуге и о сроках поставки.

Средства защиты как сервис

При необходимости можно заказать дополнительные сертифицированные средства защиты, для которых действует Доступ к средствам защиты информации:

Secret Net LSP
Secret Net Studio
ViPNet SafeBoot
Kaspersky Endpoint Security

Размещение в Аттестованном сегменте ЦОД

Создайте тикет, в котором сообщите о необходимости размещения оборудования в Аттестованном сегменте ЦОД. Укажите выбранную схему подключения, конфигурацию сервера, номер заказанного межсетевого экрана, требуемую операционную систему и разметку диска и, если нужно, дополнительные средства защиты.

При заказе услуги важно, чтобы количество заказываемых услуг «Размещение оборудования (1U) в аттестованном сегменте ЦОД» соответствовало количеству юнитов, занимаемых сервером и межсетевым экраном.

Обработка заявки

После поступления заявки мы проверим корректность заказанных услуг, совместимость компонентов и средств защиты. Если услуги заказаны правильно, а аппаратная платформа совместима с выбранными средствами, то поступит ответ с описанием финальной конфигурации и просьбой ее подтвердить. В ином случае мы предложим альтернативную конфигурацию, совместимую с выбранными средствами защиты.

После согласования начнется сборка сервера.

Предоставление услуги

После подготовки инфраструктуры мы сообщим необходимые данные для доступа: адрес, логин и пароль межсетевого экрана; схему подключения; данные для доступа к серверу по IPMI; операционную систему и разметку диска.

В случае использования сертифицированных средств защиты информации, во вложении будет прикреплен «Акт установки средств защиты».

Для дальнейшей работы с предоставленной инфраструктурой следует учитывать, что сеть физически изолирована от сетей других клиентов и сетей Selectel, поэтому нет возможности управления из панели my.selectel, а производить настройку оборудования необходимо через межсетевой экран. По этой же причине нет возможности подключить Балансировщик нагрузки.

На данном этапе публичный IP-адрес прописан на межсетевом экране, а на сервере — приватный (локальный) IP-адрес, поэтому необходимо настроить правила для доступа к серверу.

Базовая настройка

Межсетевой экран

Для доступа к IPMI сервера необходимо настроить переадресацию следующих портов:

TCP 80: HTTP
TCP 443: HTTPS
TCP 5900: виртуальная клавиатура и мышь
TCP 5901: графическая консоль
TCP 5120: виртуальный CD/DVD привод
TCP 5123: виртуальный FDD привод
UDP 623: IPMI

Для работы какого-либо сервиса, размещенного на сервере за межсетевым экраном, производится аналогичная настройка. Например, для удаленного управления по протоколу RDP необходимо настроить переадресацию порта TCP 3389, а для SSH - порта TCP 22.

Установка операционной системы

Для самостоятельной установки ОС необходимо подключить к серверу ISO-образ. Сделать это можно несколькими способами:

создать тикет в панели управления с просьбой подключить внешний носитель с операционной системой к серверу;
подключить ISO-образ через консоль IPMI: Virtual Media -> Virtual Storage -> ISO File -> выбрать образ -> Plug in.

Отказ от услуги

Если услуга Размещение оборудования в аттестованном сегменте ЦОД больше не требуется, отключите ежемесячный платеж услуги Выделенные серверы:

Откройте карточку сервера и перейдите на вкладку Услуги.
Раскройте меню (⋮) и нажмите Отключить платеж.

Когда оплаченный период закончится, услуга отключится автоматически. Сервер и все данные, хранящиеся на нем, будут удалены автоматически сразу по окончании оплаченного периода. При этом все дополнительные услуги, подключенные к данному серверу («Размещение оборудования (1U) в аттестованном сегменте ЦОД», Межсетевой экран, дополнительные средства защиты) тоже отменяются.

В случае отказа от услуги до истечения оплаченного периода возвращаются средства за полные неиспользованные месяцы. Подробнее в статье Отключение сервера.

В случае неоплаты основной услуги или услуги «Размещение оборудования (1U) в аттестованном сегменте ЦОД» приходит оповещение. В случае отказа от услуги или отсутствия оплаты по прошествии 7 дней производится демонтаж оборудования.

При использовании сертифицированных средств защиты отправляется «Акт изъятия средств защиты».

Документы

Аттестация информационной системы

Для аттестации информационных систем, размещенных на выделенных серверах в аттестованном сегменте ЦОД, по запросу предоставим схему расположения арендованных серверов относительно границ контролируемой зоны, необходимую для проведения аттестационных испытаний.

Поручение на обработку персональных данных

В случае обработки персональных данных на выделенных серверах в аттестованном сегменте ЦОД, необходимо подписать поручение на обработку персональных данных. Для этого создайте тикет в панели управления, указав в нем следующую информацию:

категории персональных данных;
категории субъектов персональных данных;
уровень защищенности персональных данных.

На основании этих данных мы подготовим поручение, которое можно подписать через ЭДО.