Your SlideShare is downloading. ×
0
Заоблачная	
  безопасность:	
  
как	
  обойти	
  чужие	
  грабли	
  
Александр	
  Демидов	
  
«1С-­‐Битрикс»	
  
Руководит...
Битрикс24	
  
•  Зарегистрировано	
  компаний:	
  188	
  000+	
  	
  	
  
•  Активных	
  компаний:	
  	
  32	
  000+	
  
•...
Поиск	
  и	
  отладка	
  
«узких»	
  мест	
  в	
  проекте	
  
	
  
конфиденциальность	
  	
  	
  	
  	
  	
  	
  	
  	
  	...
Кто	
  наши	
  «враги»?	
  
"   Пользователи	
  
"   Разработчики	
  
"   Системные	
  
администраторы	
  
"   Провайдеры	...
 
	
  Пользователи	
  
"   Обязательно	
  HTTPS	
  
"   Ограничение	
  доступа	
  по	
  IP	
  
"   OTP	
  
Разработчики	
  
"   Никакого	
  доступа	
  на	
  «бой»!	
  
"   Полная	
  изоляция	
  данных	
  пользователей	
  
"   Нет...
«Одноклассники»	
  4-­‐6	
  апреля	
  2013	
  
"   2.1	
  млрд.	
  просмотров	
  в	
  сутки	
  до	
  сбоя	
  
"   1.6	
  м...
Системные	
  администраторы	
  
"   Firewall	
  –	
  закрыто	
  все,	
  
кроме	
  необходимого	
  
"   Администрирование	
...
"  Внутренний	
  аудит	
  
"  Внешний	
  аудит	
  
Целостность	
  
"   Пользователи	
  
"   Разработчики	
  
"   Системные	
  
администраторы	
  
"   Провайдеры	
  	
  
Все	...
Общие	
  принципы	
  
"   Для	
  разных	
  сценариев	
  сбоев	
  –	
  разные	
  сценарии	
  резервирования	
  и	
  бэкапов...
Кстати,	
  правильный	
  ли	
  у	
  вас	
  бэкап?	
  
"  Изолированность	
  
"  Целостность	
  
"  Версионность	
  
"  Без...
Доступность
Не	
  бывает	
  «почти	
  круглосуточно»	
  -­‐	
  
технические	
  работы	
  должны	
  
проходить	
  незаметно...
Посчитаем	
  стоимость	
  «новой	
  ИТ-­‐системы»	
  
"   Оборот	
  за	
  2012	
  год	
  -­‐	
  $132	
  млн.	
  
(Digital	...
Резервируй	
  это!
Real	
  Time	
  мониторинг	
  –	
  как	
  узнавать	
  о	
  проблемах?	
  
Можно	
  –	
  так…	
  
Real	
  Time	
  мониторинг	
  –	
  как	
  узнавать	
  о	
  проблемах?	
  
Или	
  –	
  так…	
  
Организация	
  системы	
  мониторинга	
  
"   Лучше	
  –	
  стандартные	
  решения	
  (Nagios,	
  Zabbix	
  и	
  т.п.),	
 ...
ulmart.ru	
  –	
  18	
  февраля	
  2013	
  
"   Оборот	
  за	
  2012	
  год	
  -­‐	
  
$379	
  млн.	
  (Digital	
  Guru)	
...
Уведомления	
  
"   Опрашиваем	
  список	
  проблем	
  
"   Шлем	
  «дайджест»	
  проблем,	
  а	
  не	
  по	
  одному	
  
...
Автоматизация	
  типовых	
  реакций	
  
"   Рост	
  /	
  падение	
  LA	
  –	
  автоматическое	
  масштабирование	
  
вверх...
«Облачная»	
  безопасность	
  
Вы	
  все	
  еще	
  не	
  верите	
  в	
  
«облачную»	
  безопасность	
  и	
  не	
  
любите	...
 
Спасибо	
  за	
  внимание!	
  
Вопросы?	
  
Александр Демидов
demidov@1c-bitrix.ru
@demidov
2.demidov bitrix-risspa
2.demidov bitrix-risspa
Upcoming SlideShare
Loading in...5
×

2.demidov bitrix-risspa

554

Published on

Published in: Internet
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
554
On Slideshare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "2.demidov bitrix-risspa"

  1. 1. Заоблачная  безопасность:   как  обойти  чужие  грабли   Александр  Демидов   «1С-­‐Битрикс»   Руководитель  направления  арендных  решений  
  2. 2. Битрикс24   •  Зарегистрировано  компаний:  188  000+       •  Активных  компаний:    32  000+   •  3000  сотрудников  в  максимальной  компании   •  55  -­‐  среднее  число  активных  пользователей  в   компании   •  15  000  000  программных  страниц  в  день   •  99,98%  доступность  сервиса  за  2014  г.  
  3. 3. Поиск  и  отладка   «узких»  мест  в  проекте     конфиденциальность                    целостность                    доступность  
  4. 4. Кто  наши  «враги»?   "   Пользователи   "   Разработчики   "   Системные   администраторы   "   Провайдеры     Хакеры?  
  5. 5.    Пользователи   "   Обязательно  HTTPS   "   Ограничение  доступа  по  IP   "   OTP  
  6. 6. Разработчики   "   Никакого  доступа  на  «бой»!   "   Полная  изоляция  данных  пользователей   "   Нет  единого  хранилища  логинов  и   паролей   "   WAF  (in  /  out)   "   Файловая  система  (кроме  временных   директорий)  –  read  only   "   Аудит  кода   "   Тестирование  всех  обновлений  
  7. 7. «Одноклассники»  4-­‐6  апреля  2013   "   2.1  млрд.  просмотров  в  сутки  до  сбоя   "   1.6  млрд.  –  в  среднем  в  неделю  сбоя   "   1.9  млрд.  –  после  сбоя   hqp://corp.mail.ru/adv/price_odnoklassniki.htm   "Испорченный  файл  был  выложен  через   централизованную  систему  управления  серверами.   В  итоге  это  повлекло  за  собой  необходимость   перезапуска  большой  части  наших  серверов  и   переустановку  операционной  системы",  —  заявила   пресс-­‐секретарь  "Одноклассников"  Мария  Лапук  
  8. 8. Системные  администраторы   "   Firewall  –  закрыто  все,   кроме  необходимого   "   Администрирование  –   только  из  офисных  сетей   " chroot   "   Real-­‐}me  мониторинг   изменений  в  FS   "   Real-­‐}me  мониторинг   загружаемых  файлов   " noexec  на  временных   директориях   "   Мониторинг  security   updates   "   Тестирование  всех   обновлений  
  9. 9. "  Внутренний  аудит   "  Внешний  аудит  
  10. 10. Целостность   "   Пользователи   "   Разработчики   "   Системные   администраторы   "   Провайдеры     Все  те  же  «враги»…  
  11. 11. Общие  принципы   "   Для  разных  сценариев  сбоев  –  разные  сценарии  резервирования  и  бэкапов   "   Slave  у  БД  –  не  бэкап,  но  тоже  очень  помогает   "   Нужно  бэкапить  и  файлы,  и  базу  данных   "   Это  нужно  делать  постоянно,  а  не  перед  аварией  J   "   Нужно  бэкапить  конфиги  и  настройки  серверов  и  софта   "   Нужно  резервировать  даже  то,  что  уже  зарезервировано  (S3,  например)   "   Полезно  проводить  учения  по  восстановлению  системы   "   Нужно  уметь  восстанавливаться  быстро  и  уверенно   "   Восстановление  можно  частично  автоматизировать   "   Мониторинг  целостности  данных  и  успешного  создания  резервных  копий  
  12. 12. Кстати,  правильный  ли  у  вас  бэкап?   "  Изолированность   "  Целостность   "  Версионность   "  Безопасность  
  13. 13. Доступность Не  бывает  «почти  круглосуточно»  -­‐   технические  работы  должны   проходить  незаметно  для   клиентов:     "   Сервисные  работы   "   Замена  оборудования   "   Обновления  системного  ПО   "   Обновления  приложений  
  14. 14. Посчитаем  стоимость  «новой  ИТ-­‐системы»   "   Оборот  за  2012  год  -­‐  $132  млн.   (Digital  Guru)   "   7  суток  простоя  –  около  $2.5  млн.   А  что  с  поиском?  
  15. 15. Резервируй  это!
  16. 16. Real  Time  мониторинг  –  как  узнавать  о  проблемах?   Можно  –  так…  
  17. 17. Real  Time  мониторинг  –  как  узнавать  о  проблемах?   Или  –  так…  
  18. 18. Организация  системы  мониторинга   "   Лучше  –  стандартные  решения  (Nagios,  Zabbix  и  т.п.),  а  не  самописные.   "   Дежурная  смена  и/или  мгновенные  уведомления.   " Мониторить  –  всё.  В  том  числе  –  нетипичные  и  нетехнические   характеристики   "   Но  –  аккуратно.  Тысячи  уведомлений  будут  бесполезны.   "   Автоматизация  типовых  реакций.   " Мониторить  систему  мониторинга.   "   В  идеальном  мире  –  распределенная  система  мониторинга.  
  19. 19. ulmart.ru  –  18  февраля  2013   "   Оборот  за  2012  год  -­‐   $379  млн.  (Digital  Guru)   "   До  суток  простоя  –   более  $1  млн.  
  20. 20. Уведомления   "   Опрашиваем  список  проблем   "   Шлем  «дайджест»  проблем,  а  не  по  одному   сообщению  на  каждое  событие   "   Несколько  уровней  критичности  событий   "   Разные  списки  адресатов  на  разные  события   "   Повтор  (через  15  минут,  через  2  часа),  чтобы  не   «потерять»  уведомление   "   ОК  –  если  все  стало  хорошо  
  21. 21. Автоматизация  типовых  реакций   "   Рост  /  падение  LA  –  автоматическое  масштабирование   вверх  /  вниз   "   Автоматический  рестарт  «сбойных»  сервисов   "   Автоматическое  «удаление»  проблемных  машин   "   Автоматическое  восстановление  репликации   "   Автоматическое  переключение  траффика  в  случае  аварии   на  уровне  целого  ДЦ  
  22. 22. «Облачная»  безопасность   Вы  все  еще  не  верите  в   «облачную»  безопасность  и  не   любите  «облако»?  Возможно,  вы   просто  неправильно  его   «готовите».  J  
  23. 23.   Спасибо  за  внимание!   Вопросы?   Александр Демидов demidov@1c-bitrix.ru @demidov
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×