Jen paranoidní prý přežívají. To si zřejmě uvědomují také česká datová centra, která svým klientům garantují bezpečnost jejich dat na několika úrovních. O tom, jak vypadá zabezpečení v různých datových centrech v praxi se s námi podělili zástupci poskytovatelů VSHosting, Greendata, Wedos, Silo a Rondel.
O2 považuje bezpečnost svých datacenter za samozřejmost
O2 považuje bezpečnost a dostupnost svých datacenter za samozřejmost, říká Jaroslav Kresta, Senior Product Manager, a používá k jejímu zajištění více technologií.
Poskytuje vaše datacentrum služby nejen hostingu třetím stranám, ale i vlastní služby?
Datová centra O2 poskytují široké spektrum služeb, od hostingu a housingu až po IaaS, PaaS a SaaS. Slouží jak našim externím zákazníkům, tak jsou využívány i pro naše interní účely.
Chráníte nějak perimetr vašeho datacentra pro bezpečný přístup třetích stran a také pro poskytování vlastních služeb, zejména firewally a ochranu proti DDoS?
Toto považujeme při zabezpečení našich datacentrových služeb za naprostou samozřejmost. Naše datacentra jsou chráněna několika bezpečnostními řešeními současně a zahrnují mimo jiné technologie, jako jsou firewally, VPN koncentrátory, a systémy IDS/IPS. Identické zabezpečení rovněž nabízíme i našim klientům, kteří si do datacenter umísťují své technologie. V poslední době roste poptávka po ochraně anti-DDoS, kterou máme již delší dobu nasazenu na perimetru naší sítě, a kterou individuálně dokážeme přizpůsobit i pro jednotlivé uživatele datacenter.
Považujete load balancing síťového provozu na perimetru za nutnost? Ve kterých případech?
Loadbalancing nabízíme jako službu pro naše zákazníky. Většinou je využíván pro možnost škálování serverového řešení zákazníka za provozu a současně zajišťuje i vyšší dostupnost zákazníkem provozované infrastruktury. Nicméně každý případ nasazení load balancingu je vždy se zákazníkem individuálně navrhován dle jeho konkrétních požadavků.
Máte k dispozici také řešení pro inspekci šifrovaného SSL provozu, nebo tuto starost necháváte na vůli vašich klientů, kteří u vás hostují svoji infrastrukturu, jak si sami chrání vlastní aplikace?
Naše zkušenosti hovoří, že si klienti ochranu vlastních aplikací zajišťují spíše sami. Přesto máme v portfoliu řešení, které umožňuje inspekci SSL. Mezi často poptávané služby však patří SSL offload, který zajišťuje terminaci šifrovaného spojení před zařízením zákazníka umístěného v datacentru. Zařízení zákazníka tak není zatěžováno operacemi spojenými s kryptováním provozu.
Služby a zabezpečení DC Rondel v Ústí nad Labem
Datacenzrum Rondel v Ústí nad Labem poskytuje kromě hostingu jak vlastní služby, tak bezpečnost dat pro zákazníky, říká Karel Uhlíř, technický ředitel.
Poskytuje vaše datacentrum služby nejen hostingu třetím stranám, ale i vlastní služby?
Ano, kromě základních služeb housingu a hostingu, což je základ každého datového centra, se snažíme nabídnout nebo připravujeme služby jako disaster recovery zálohování, enterprise storage, nebo například virtualizaci desktopů.
Chráníte nějak perimetr vašeho datacentra pro bezpečný přístup třetích stran a také pro poskytování vlastních služeb, zejména firewally a ochranu proti DDoS?
Momentálně chráníme servery pomocí paketového a aplikačního firewallu, ale jsme schopni zákazníkům nabídnout i jiné způsoby bezpečného přístupu, jako například IPSec tunel nebo VPN.
Považujete load balancing síťového provozu na perimetru za nutnost? Ve kterých případech?
Řešení pro load balancing síťového provozu máme připraveno, ale zatím ho žádný zákazník nepožadoval. Předpokládáme, že ho u našich služeb postupně nasadíme.
Máte k dispozici také řešení pro inspekci šifrovaného SSL provozu, nebo tuto starost necháváte na vůli vašich klientů, kteří u vás hostují svoji infrastrukturu, jak si sami chrání vlastní aplikace?
Inspekci šifrovaného provozu zatím neprovádíme.
Ochrana dat a aplikací v datacentru Silo
Datacentrum Silo, které provozuje společnost NWT, poskytuje nejrůznější služby a uvědomuje si, že data a aplikace zákazníků je zapotřebí chránit, říká Tomáš Verner, vedoucí datového centra.
Poskytuje vaše datacentrum služby nejen hostingu třetím stranám, ale i vlastní služby?
Ano poskytujeme i další služby. Našim zákazníkům nabízíme housing, službu zálohování, službu replikace a mnoho dalšího.
Chráníte nějak perimetr vašeho datacentra pro bezpečný přístup třetích stran a také pro poskytování vlastních služeb, zejména firewally a ochranu proti DDoS?
Poskytujeme za pomoci IPSec tunelu dle požadavku klientu a klienti dostávají doporučení jakým způsobem nastavit zabezpečení vlastního cloudového řešení.
Považujete load balancing síťového provozu na perimetru za nutnost? Ve kterých případech?
V současné době load balancing na úrovni síťového provozu máme v předprodukčním provozu, ostré nasazení předpokládáme ve třetím čtvrtletí letošního roku.
Máte k dispozici také řešení pro inspekci šifrovaného SSL provozu, nebo tuto starost necháváte na vůli vašich klientů, kteří u vás hostují svoji infrastrukturu, jak si sami chrání vlastní aplikace?
Nemáme, v současné době pouze kontrolujeme SSL zabezpečení jednotlivých zákazníků a vydáváme pro ně doporučení. Jedenkrát za čtvrt roku vydáváme bezpečnostní bulletin, kde informujeme o aktuálních bezpečnostních hrozbách. V případě aktuální hrozby (nyní aktuální DROWN vulnerability) informujeme zákazníky na bázi osobního kontaktu.
Greendata umí ochránit před všemi útoky
Poskytovatel Greendata chrání perimetr své sítě, inspekci SSL provozu nechává v rukou svých zákazníků provozujících vlastní aplikace, ale i s tím jim umí pomoci, říká Zdeněk Maršál, jednatel Greendata.
Poskytuje vaše datacentrum služby nejen hostingu třetím stranám, ale i vlastní služby?
Naše společnost nabízí serverhostingové i serverhousingové/rackhousingové služby, a tyto hostingové služby poskytujeme nejen našim zákazníkům, ale skrze nás je zajišťován provoz i třetím stranám.
Chráníte nějak perimetr vašeho datacentra pro bezpečný přístup třetích stran a také pro poskytování vlastních služeb, zejména firewally a ochranu proti DDoS?
Blokujeme všechny hlavní druhy útoků, jako jsou zahlcení sítě a serveru, DoS útoky na aplikační vrstvě, nebo útoky typu low-and-slow. Detekce DDoS je nasazena před perimetr, čímž čistí datový provoz ještě před tím, než se útoky dostanou do hlavní brány.
Systém je integrován do našich nástrojů pro správu sítě. Volumetrická ochrana využívá blackholing BGP4 pro nadřazené upstreamy. Dále je nasazena ochrana aplikační vrstvy, a zde se to liší podle druhu provozu – DNS, web, control plane, atd.
Na nejnižší úrovni jde o transparentní firewall s heuristikou, kde jde eliminovat útoky do 2-4 Gb dle druhu.
Považujete load balancing síťového provozu na perimetru za nutnost? Ve kterých případech?
Ano, load balancing máme z definice vyřešeno tím, že perimetr máme jako geografický cluster.
Máte k dispozici také řešení pro inspekci šifrovaného SSL provozu, nebo tuto starost necháváte na vůli vašich klientů, kteří u vás hostují svoji infrastrukturu, jak si sami chrání vlastní aplikace?
End to end šifrování necháváme plně v rukou zákazníků, ale jsme jim samozřejmě schopni i s tímto zabezpečením pomoci.
VSHosting si je vědom nutnosti chránit
V hostingovém centru VSHosting si jsou vědomi nutnosti chránit data svých zákazníků a vědí jak na to, vysvětluje Damir Špoljarič, ředitel datacentra.
Poskytuje vaše datacentrum služby nejen hostingu třetím stranám, ale i vlastní služby?
Primárně poskytujeme vlastní služby. To, že využívají naši infrastrukturu i jiné hostingové společnosti, je spíše výjimkou.
Chráníte nějak perimetr vašeho datacentra pro bezpečný přístup třetích stran a také pro poskytování vlastních služeb, zejména firewally a ochranu proti DDoS?
Chystáme vlastní rozsáhlé scrubbingové centrum s globální konektivitou o propustnosti 200Gb/s a pokročilými filtračními mechanismy. Naše síť je chráněna proti všem základním typům útoků, na druhou stranu 10Gb/s porty se už stávají minulostí právě díky snadné saturaci při útoku. Porty s propustností 40 Gb/s a 100 Gb/s jsou stále u globálních providerů spíše výjimkou.
Považujete load balancing síťového provozu na perimetru za nutnost? Ve kterých případech?
Load balancing používáme u rozsáhlých projektů, kde je důraz na vysokou dostupnost či vysoký výkon.
Máte k dispozici také řešení pro inspekci šifrovaného SSL provozu, nebo tuto starost necháváte na vůli vašich klientů, kteří u vás hostují svoji infrastrukturu, jak si sami chrání vlastní aplikace?
Tuto inspekci momentálně neprovádíme.
Datacentrum Wedos má ochranu dat i fyzickou
Andrew Grove, jeden ze zakladatelů společnosti Intel ve své knize napsal, že jen paranoidní přežívají. Josef Grill, zakladatel datacentra Wedos, se zřejmě takového hesla drží a kromě ochran anti-DDoS, IPS/IDN, SSL inspekce síťového provozu a load balancingu má i důkladnou fyzickou ochranu.
Poskytuje vaše datacentrum služby nejen hostingu třetím stranám, ale i vlastní služby?
Housing neposkytujeme. V našem datacentru provozujeme pouze vlastní služby, které nabízíme zákazníkům (webhosting, virtuální servery apod.)
Chráníte nějak perimetr vašeho datacentra pro bezpečný přístup třetích stran a také pro poskytování vlastních služeb, zejména firewally a ochranu proti DDoS?
Ano, chráníme servery pomocí firewallu, máme robustní ochranu DDoS a aktuálně testujeme ochranu IPS/IDN, kterou chceme nasadit oficiálně v nejbližších dnech do provozu.
Považujete load balancing síťového provozu na perimetru za nutnost? Ve kterých případech?
U nás to využíváme zcela výjimečně.
Máte k dispozici také řešení pro inspekci šifrovaného SSL provozu, nebo tuto starost necháváte na vůli vašich klientů, kteří u vás hostují svoji infrastrukturu, jak si sami chrání vlastní aplikace?
Námi testované řešení IPS/IDN inspekci šifrovaného SSL provozu má. Nesmí se ale zapomínat ani na fyzickou bezpečnost datacentra, přičemž naše stávající datacentrum je bývalý kryt civilní obrany a nyní stavíme druhé, ještě bezpečnější datacentrum. Jakmile letos spustíme druhé datacentrum, tak budeme řešit i load balancing síťového provozu.
