Цод расшифровка: особенности хранения и использования сведений на серверах, размещенных в дата-центрах и указание их адреса 101 миллион

Надёжно как в сейфе / Блог компании SAFEDATA / Хабр

Центры обработки данных ориентированы на решение бизнес-задач путём предоставления услуг в виде информационных сервисов. Современный ЦОД, несмотря на такие относительно новые требования как высокая степень гибкости и масштабируемости, по-прежнему должен, прежде всего, обеспечивать высокую надёжность. Всё, что вы хотели знать о надёжности ЦОДов, но боялись спросить – под катом.

ЦОД: что это такое?

Что такое центр (хранения и) обработки данных (ЦОД)? Современный ЦОД – комплексное решение по управлению информационными системами предприятия. Это совокупность помещений, внешних площадок, инженерного оборудования, образующая единую систему для размещения средств передачи, хранения и обработки информации с заданной степенью доступности. ЦОД включает в себя набор взаимосвязанных программных и аппаратных компонентов, организационных процедур, мест размещения этих компонентов и персонала для безопасной централизованной обработки, хранения и предоставления данных, сервисов и приложений. С системной точки зрения ЦОД – отказоустойчивое, комплексное, централизованное решение, охватывающее информационные и инженерные системы. В обычном представлении центр обработки данных – специализированное здание, где располагается серверное, сетевое оборудование и системы хранения данных, которые размещаются в стандартных стойках.
Оборудование, используемое в ЦОДе, размещается в специальных шкафах и стойках.

Назначение ЦОДа

ЦОД – сложное инженерное сооружение для централизованного размещения и обслуживания информационных систем, компьютерного и телекоммуникационного оборудования, высокотехнологичная площадка, оснащенная системами кондиционирования, бесперебойного питания, пожаротушения, СКС, контроля доступа. Основное назначение центров обработки данных – хранение, обработка и передача критичной для заказчика информации, поэтому в инфраструктуру ЦОДа входит множество сложных и резервируемых инженерных систем высокой надёжности.
Надёжность является главной характеристикой центра обработки данных.

Она включает в себя много факторов: надёжность здания, электроснабжения, инженерных систем и коммуникаций, установленного оборудования. Высокая надёжность ЦОДа означает бесперебойное предоставление услуг заказчикам в случае коммерческого центра обработки данных и уверенную работу собственной ИТ-инфраструктуры компании, эксплуатирующей корпоративный ЦОД.

ЦОД обеспечивает доступ к информации предприятия, управление его информационными системами, организацию хранения и обработки данных. Как единая многокомпонентная система с консолидированным централизованным хранением и обработкой данных ЦОД, прежде всего, призван гарантировать бесперебойное автоматизированное функционирование бизнес-процессов.

К основным задачам ЦОДа, в первую очередь, относятся эффективное консолидированное хранение и обработка данных, предоставление пользователям прикладных сервисов, а также поддержка функционирования корпоративных приложений. Центры обработки данных создаются, в первую очередь, для повышения эффективности работы компаний, активно использующих в своей деятельности информационные технологии, повышения качества предоставляемых услуг. Они дают возможность надежно хранить важную информацию на протяжении всего ее жизненного цикла.

Состав и структура ЦОД

Любой ЦОД состоит из трех технологических блоков: информационного (отвечающего за обработку и хранение информации), телекоммуникационного (обеспечивающего взаимосвязь элементов центра и передача данных) и инженерного (сюда входят бесперебойное электроснабжение, поддержание температуры и влажности в помещении, системы пожаротушения). Таким образом, элементы ЦОДа включают в себя информационную, сетевую, инженерную инфраструктуру, а также системы мониторинга/управления и обеспечения безопасности.
Основными элементами ЦОДа являются системы обработки и хранения данных, активное сетевое оборудование, инженерные системы. В нем размещаются вычислительные платформы и СХД, система передачи данных, система электроснабжения и электроосвещения, система прецизионного кондиционирования, структурированная кабельная система, система кабельных каналов, фальшпол, подвесной потолок, интегрированная система безопасности, средства физической защита вычислительных систем и телекоммуникационного оборудования, системы раннего обнаружения пожара и газового пожаротушения.

В состав информационной инфраструктуры входят серверный комплекс, системы хранения данных и резервного копирования. Сетевая и телекоммуникационная инфраструктура обеспечивает взаимодействие между серверами, объединяет логические уровни и образует каналы связи, в том числе магистральные соединения с операторами связи и каналы, обеспечивающие доступ пользователей к ресурсам центра обработки данных. Телекоммуникационная инфраструктура позволяет осуществлять взаимосвязь элементов ЦОДа, взаимодействие между ЦОДом и пользователями.

Структура ЦОД.

Инженерная инфраструктура обеспечивает нормальное функционирование основных систем ЦОДа. Она включает в себя подсистемы контроля климата и кондиционирования, энергообеспечения, пожарной сигнализации и пожаротушения.

Сетевая инфраструктура (СКС) обеспечивает взаимодействие между серверами, а также включает в себя магистральные каналы для связи с операторами и коммуникации для связи пользователей с ЦОДом.

Автоматизированные системы мониторинга, диспетчеризации и управления информационными ресурсами – необходимый элемент повышения надёжности ЦОДа, уменьшения негативного влияния «человеческого фактора».

Система безопасности предотвращает несанкционированное вторжение в зоны конфиденциальной информации. Она включает в себя средства защиты, оповещения и контроля доступа. Часто для предотвращения несанкционированного проникновения в ЦОД (физическая безопасность) устанавливаются камеры видеонаблюдения.

Надёжность ЦОДа

Основная функция современных ЦОДов – это повышение надёжности обработки и хранения информации. Одним из главных критериев оценки качества работы любого ЦОД является время доступности информационных систем. ЦОД должен обеспечивать безопасность бизнеса и минимизировать риски простоя, отвечая следующим требованиям:

• Отказоустойчивость. Это свойство технической сис

Как расшифровывается аббревиатура ЦОД: что это такое простыми словами

Сегодня затронем матчасть. Эта статья придется кстати, если вы хоть раз задавались вопросом: «Как расшифровывается “ЦОД”?». Мы на него ответим. А заодно расскажем, что это такое и для чего оно надо.

ЦОД: расшифровка аббревиатуры

ЦОД (или дата-центр) расшифровывается как Центр

Обработки Данных. Ниже расскажем, что скрывается за этими абстрактными словами.

Что такое ЦОД?

Выражаясь простыми русскими словами, ЦОДы — это специально оборудованные помещения (здания или целые жилищные комплексы), в которых стоят тысячи стоек с серверами. Откуда они там взялись? Часть серверного оборудования принадлежит самим дата-центрам. Они сдают его в аренду (эта услуга называется Dedicated). В большинстве своём серверы за плату размещают в ЦОДах клиенты. Это могут быть как крупные хостинг-провайдеры, так и физические лица. «Но для чего им это?» — спросите вы. Мало того, что отдаешь кому-то своё имущество, так еще и деньги за это платишь.

Дело в том, что те, кто разместили свои «машины» в ЦОДах, забывают о тяготах технического обслуживания и спят спокойно. Предназначение дата-центров — гарантировать

бесперебойную работу серверов. Для надежного хранения оборудования создаются комфортные условия (мощные интернет-каналы, безотказное электропитание и климат-контроль). Под названные цели (отказоустойчивость и создание профессиональной IT-инфраструктуры) заточены все функции ЦОД.

Целевая аудитория ЦОДов — клиенты, для которых доступность ресурсов имеет принципиальное значение. Ведь крупный бизнес может потерпеть убытки даже из-за минутной недоступности сервиса.

Из чего состоит ЦОД?

В состав образцово-показательного ЦОДов входят три группы обязательных элементов:

1. Технические. Иначе их можно описать как «физическая оболочка». Всё то, с чего начинается дата-центр. К этой группе элементов относятся серверы, дисковые массивы и сети хранениях данных, телекоммуникации, системы климат-контроля, пожарной безопасности, сигнализации и т.д.
2. Программные. К этой группе относится вся программная «начинка» ЦОДов как сервисная (для обслуживания и мониторинга), так и клиентская (та часть, которая необходима для управления сервером). Например: операционные системы серверов, СУБД, программы для кластеризации трафика, резервного копирования, браузеры, почтовые клиенты, корпоративные сервисы для бизнеса, приложения общего доступа и др.
3. Организационные. Все, что организует центр обработки данных (ЦОД) как IT-услугу, то есть бизнес-составляющая. Эта группа объединяет неоднородные явления: расчет стоимости размещения, логистику предоставления услуги, управление инфраструктурой, мониторинг, стандартизацию Tier, инвентаризацию. Также не стоит забывать о персонале ЦОДов, который моментально устранит мельчайшие сбои в функционировании инфраструктуры..

Закрепим: ЦОДы — это технически оборудованные помещения, в которых размещается серверное оборудование. ЦОДы настолько мощные, что могут выдерживать постоянный поток входящего трафика, хранить петабайты информации и гарантировать стабильную бесперебойную работу каждого отдельно взятого устройства.

О том, где находится ЦОД, который использует Renter и его организации, мы уже писали, там все по высшему разряду.

Территориально-распределенные ЦОД | XNET

Распределение ЦОД по нескольким площадкам требует реализации ряда технологических и организационных задач. К технологическим задачам относятся организация отказоустойчивых каналов связи между площадками, репликация данных между хранилищами, обеспечение «прозрачного» доступа пользователей к информационным системам. К организационным – налаживание поддержки систем и пользователей, планирование мероприятий по резервном копированию и восстановлению систем.

Итак, для построения распределенного ЦОД, в первую очередь, необходимо:

1. Организовать отказоустойчивые каналы связи между узлами распределенного ЦОД для обеспечения устойчивой работы пользователей с любым из компонентов системы. На сегодняшний день почти в каждом регионе присутствуют, как минимум, два оператора магистральной передачи данных, услуги которых можно использовать.
2. Создать механизм синхронизации данных между площадками для обеспечения актуальности данных в случае отказа одного из узлов и для поддержки работы тех информационных систем, которым требуется такая синхронизация данных. Как правило, оптимальным решением является использование аппаратной платформы, которую предоставляют основные производители систем хранения данных, например HP, EMC или IBM.

Проработав эти два важнейших вопроса, можно говорить о создании единой корпоративной сети. При этом необходимо обратить внимание на требования, предъявляемые продуктивными системами к пропускной способности каналов, а также понять, как будет изменяться нагрузка в ближайшие 2-3 года. Критическим параметром, помимо пропускной способности, является задержка передачи данных.

Программная часть играет не менее важную роль при проектировании ЦОД. Подготовив общее решение, необходимо связать его с эксплуатирующимися информационными системами, которые могут иметь особенности работы в такой конфигурации. Возможны две основных стратегии использования распределенных ЦОД:

1) инфраструктурные сервисы и бизнес-приложения равномерно распределены между площадками и пользователи работают с ближайшим ЦОД;

2) бизнес-приложения централизованы и пользователи работают с центральным узлом. В случае отказа системы, нагрузка автоматически переключается на резервные ЦОД.

Возможность применения той или иной стратегии на 100% зависит от архитектуры бизнес-приложения, и это надо учитывать при проектировании.

центр — что это такое

Невозможно представить человека, который не использовал глобальную сеть или же не слышал об интернете. Информация, к которой мы обращаемся и взаимодействуем в этой сети, находится на удаленных устройствах, что называются серверами. Они исчисляются сотнями миллионов, а для удобного подключения и обслуживания обычно располагаются в специализированных зданиях, которые называются центрами обработки данных (ЦОД) или дата-центрами.

Содержание:

1. Определение и назначение
2. Сетевое оборудование ЦОД
3. Насколько ЦОД защищены от бесперебойной работы?
4. Основные услуги
5. Заключение

Определение и назначение

Дата-центр — это специализированное помещение (а чаще всего целое здание) для развертывания серверного и сетевого оборудования, подключения клиентов к каналам глобальной сети.

Основные функции ЦОД:

1. Хранение информации.
2. Обработка.
3. Распространение.

Ориентированы ЦОД в основном на бизнес-сегмент и корпоративных клиентов, но не исключают аренду мощностей для физлиц. С помощью дата-центров:

• клиент экономит на покупке и обслуживании сетевого оборудования;
• владелец продает услуги ЦОД множеству клиентов и делает на этом бизнес.

Сетевое оборудование ЦОД

Для экономии пространства, удобного размещения и обслуживания в дата-центрах используются сетевые стойки, в которых устанавливаются современные сервера. Новатором подобных сетевых решений является компания-производитель Dell. Продукция Dell для дата-центров производится на фабрике EMFP в Польше. В конце 2007 года там был выпущен первый компьютер, а сегодня производятся такие сервера, как Dell R740xd, используемые в дата-центрах по всему миру.

Обычно, ЦОД не ограничивается единственной стойкой для серверов, поэтому в большом здании могут находится десятки и сотни подобных стоек.

Насколько ЦОД защищены от бесперебойной работы?

Насчет надежности дата-центров, то TIA совместно с ANSI создали стандарт ANSI/TIA-942, предусматривающий 4 уровня защиты ЦОД:

1. Уровень 1. Базовый — допускаются нарушения нормального хода работы на срок 28,8 часов для одного года, как от плановых так и от внеплановых событий. Используется единственный канал распределения питания.
2. Уровень 2. С резервированием (с дополнительными компонентами) — допускаются нарушения нормального хода работы при годовом времени простоя в 22 часа. Используется один канал электропитания, но с резервируемыми компонентами.
3. Уровень 3. С возможностью параллельного ведения профилактических и ремонтных работ. Во время плановых событий не нарушается работа ЦОД,но при внеплановых возможно нарушение работы. Годовое время простоя 1,6 часа. Есть несколько каналов электропитания с одним активным плюс есть в наличии резервные компоненты. 
4. Уровень 4. Отказоустойчивый. Плановые действия не вызывают нарушения в работе. ЦОД также должен справится с одним критическим внеплановым событием без последствий для критически важной нагрузки. Время простоя за год 0,4 часа. Есть несколько активных каналов подачи электропитания плюс несколько резервных компонентов для каждого канала. 

Вне зависимости от системы обеспечения бесперебойной работы, все дата-центры могут оказывать для клиентов услуги подобного типа.

Основные услуги

К ним относятся:

1. Виртуальный хостинг — множество сайтов располагаются на одном сервере.
2. Виртуальный сервер (VPS или VDS) — предоставление под аренду только часть сервера, ограниченного по мощности. При этом разделение на независимые серверы происходит программно.
3. Выделенный сервер — полноценный сервер, который дата-центр предоставляет в аренду.
4. Колокейшн — услуга по размещению и обслуживанию клиентского сервера в ЦОД за плату.
5. Сдача серверных стоек в аренду — услуга сдачи одной или нескольких стоек ЦОД под сервера клиента.
6. Сдача выделенной зоны (помещения) в аренду. Крупные дата-центры позволяют крупным-фирмам клиентов арендовать целые серверные комнаты (выделенные зоны) с собственными протоколами безопасности. А клиенты оборудуют собственный дата-центр в таких зонах.

Заключение

Интернет стал таким, какой есть сейчас, благодаря масштабному мировому развертыванию дата-центров. Хотя многие ЦОД обслуживают конкретные компании или корпоративных клиентов, есть хостинг провайдеры, которые используют свои центры для оказания услуг всем желающим.

Статьи — ЦОД в коробке

Автор: Дон Маквитти.

 

 

При нехватке свободного пространства в вашем центре обработки данных (ЦОД) и росте потребности пользователей в его услугах обратите внимание на альтернативные решения от нескольких производителей.

Если необходимо расширить ваш ЦОД или построить дополнительный для определенного подразделения вашего предприятия, подумайте о покупке автономных монтажных шкафов, которые можно устанавливать в любом месте. Обеспечивая максимально эффективное использование занимаемого пространства, они помогут вам решить проблемы с реализацией ЦОДа.

На рынке представлено множество моделей шкафов — от обычных до специализированных, но две из них выделим особо — это InfraStruXure компании APC и Foundation MCR фирмы Liebert. На основе решения InfraStruXure ЦОД можно организовать в любом помещении, к которому подведены электричество и во-да, — например, в переговорной комнате. Шкаф же Foundation MCR хорошо подходит для использования в сложных условиях окружающей среды, свойственных, например, заводским цехам. Обе модели можно назвать “ЦОДом в коробке” (data center in a box).

Пространство и охлаждение

В первую очередь определите, какая высота внутреннего пространства шкафа нужна для размещения вашего оборудования. Типичное оборудование (предназначенное для установки в шкаф) имеет следующую высоту: сервер — 1U или 2U, коммутатор —1U, модульная серверная система (блейд-сервер) или дисковый массив — 4U. Если общая высота оборудования не превышает 43U, то все оно поместится в одном шкафу, в противном случае шкафов потребуется больше. Учтите, что после установки в шкаф источника бесперебойного питания (ИБП) свободного пространства в нем станет меньше.

При нормальной вентиляции комнаты применять отдельное устройство охлаждения, вероятно, не потребуется. Но если все внутреннее пространство вашего шкафа высотой 43U забито интенсивно выделяющим тепло оборудованием — например, блейд-серверами и/или SAN-коммутаторами, то следует задействовать дополнительные присоединяемые к шкафам охлаждающие системы. К такого рода системам относятся решения Extreme Density компании Liebert, предназначенные для использования с ее шкафами корпоративного класса.

Эти системы, как правило, являются жидкостными: в одних циркулирует обычная водопроводная вода, а в других — химические вещества, для перекачки которых требуется меньшее давление. В верхней части многих шкафов предусмотрена установка охлаждающих вентиляторов. Определите состав и число монтируемых в шкаф устройств и посоветуйтесь с представителями фирм — производителей шкафов, как следует охлаждать это оборудование. Одни фирмы порекомендуют вам оставить определенное свободное пространство перед передними дверцами шкафов, другие — задействовать дополнительные вентиляторы или жидкостные системы охлаждения.

 

Если вам нужно установить много шкафов, подумайте о покупке дополнительной охлаждающей системы. Компании APC, Dell и Liebert предлагают решения, предназначенные для больших инсталляций и содержащие модули, которые охладят оборудование в многочисленных шкафах, установленных в обычных (а не в специально оборудованных для организации ЦОДа) помещениях.

Электропитание

Емкость батарей ваших ИБП должна быть такой, чтобы при сбое в подаче электропитания вам хватило бы времени добраться до помещения ЦОДа или подключиться к нему с помощью средств удаленного администрирования и корректно завершить работу всех его устройств. Рассчитывайте, что для этого вам нужно, как минимум, 15 мин на каждую стойку.

Существует множество конструкций ИБП. В одних допускается замена батарей пользователями, а в других это должны делать только инженеры службы технической поддержки. Согласовывая условия сервисного контракта, предусмотрите в нем замену вышедших из строя батарей.

Далее определите мощность, которую будет потреблять заполненный оборудованием шкаф. Помните о том, что, размещая оборудование в помещении, специально не предназначенном для ЦОДа, вы существенно ограничиваете свои возможности в организации подачи электропитания. Удостоверьтесь в том, что к выбранной вами для размещения шкафов комнате подведен нужный тип электропитания: для одних шкафов с оборудованием нужна однофазная силовая сеть напряжением 220 В, а для других — трехфазное напряжение.

Чтобы узнать мощность, потребляемую всей стойкой, сначала определите энергопотребление каждого установленного в ней устройства. Если вы никогда не выбирали шкафы посоветуйтесь со специалистами фирм-производителей и коллегами по работе, имеющими опыт проектирования систем для ЦОДов. Значительное потребление электроэнергии и интенсивное тепловыделение могут вызвать проблемы в работе блейд-серверов, поэтому эти системы должны заполнять шкафы не полностью, а только примерно на половину. Информацию об энергопотреблении ваших серверов, коммутаторов и маршрутизаторов ищите на Web-сайтах их производителей.

Если вы не хотите покупать шкаф и ИБП одного и того же производителя, обратите внимание на шкафы компании SharkRack. Она не продает ИБП, поэтому вы можете приобрести его у любого другого производителя.

Контролируйте шкаф

Удаленные мониторинг и администрирование имеют очень большое значение, если ваш шкаф не установлен в типичном ЦОДе. Почти все производители шкафов предлагают ПО удаленного мониторинга и администрирования, позволяющее, например, управлять подачей электропитания. Но, прежде чем купить это ПО, обязательно протестируйте его (или по крайней мере его демонстрационную версию), ведь оно будет использоваться вами дольше, чем большинство приложений для ЦОДа.

И еще один важный момент. Обратите внимание на условия гарантийного обслуживания покупаемого оборудования. Обычно, приобретая шкафы, мы предполагаем эксплуатировать их примерно 15 лет. За это время с ними не должно случиться ничего плохого, но все же приятно знать, что в случае их поломки всегда можно обратиться за технической поддержкой.

Все в одном

Некоторые производители предлагают автономно работающие решения для ЦОДа. Если вы планируете реализовать ЦОД, но не хотите тратить значительные суммы на переоборудование офисных помещений, то эти производители продадут вам шкафы, к которым нужно подвести воду и электропитание. Речь идет о почти самодостаточном решении, снабженном системами охлаждения оборудования в шкафах, ИБП и средствами управления электропитанием.

Для оперативного восстановления функций ЦОДа в условиях стихийных бедствий или каких-либо ката-строф компания APC предлагает ЦОД, реализованный в большом автоприцепе (трейлере), к которому (для работы оборудования) нужно подвести один или два силовых кабеля. В трейлере имеются шкафы, вмещающие оборудование общей высотой 500U, средства управления, ИБП и даже предназначенная для подключения к внешней компьютерной сети система спутниковой связи. Последняя поставляется по заказу, поскольку предполагается, что в большинстве случаев она не нужна, так как трейлер будет стоять недалеко от здания компании (или ее подразделения) и подключаться к его компьютерной сети напрямую. Данное решение хорошо подойдет тем, кто хочет иметь возможность перемещать ЦОД в безопасное место при любых масштабах катастроф или стихийных бедствий.

С каждым годом шкафы, обеспечивающие условия работы смонтированного в них оборудования, как в ЦОДе, но при этом не находящегося там, становятся все сложнее с технологической точки зрения. Если вы хотите реконструировать часть своего здания с целью расширения ЦОДа, то, прежде чем контактировать с компанией, занимающейся такой реконструкцией, обратитесь к производителям автономных шкафов…

Компания «Строй-ТК» проведет проектирование и монтаж ЦОД.

Ознакомиться с нашими услугами по проектированию, строительству, эксплуатации ЦОД Вы можете здесь.

Строительство ЦОД (центра обработки данных) и их оснащение | Эйркул

Современные серверы, маршрутизаторы, модемы надёжно управляют ответственными рабочими процессами телекоммуникационного оборудования, IT-оборудования, промышленных компьютеров в круглосуточном режиме 24/7, 365 дней в году. А где используется вычислительная мощность, есть высокая температура. Надёжная работа оборудования производителем предписана при температуре около 18-27 °C, оборудование необходимо охлаждать. Чем эффективнее это охлаждение, тем меньше электроэнергии потребляет центр обработки данных, серверное помещение, коммуникационный шкаф, стационарный телеком шелтер.

Фирма «ЭЙРКУЛ» предлагает комплексные услуги по строительству и оснащению Центров обработки данных:

• новые и модернизированные системы прецизионного кондиционирования воздуха на воде,гликоле и фреоне,
• комплексная инженерная инфраструктура ЦОД и серверных: серверные шкафы и стойки с разнообразными аксессуарами, системы прецизионного кондиционирования: внутрирядные, на крышу стоек IT шкафов, на боковые панели, кассетного, шкафного типа с напором вверх или вниз,с фрикулингом прямого или косвенного типа,  системы мониторинга и контроля доступа,
• программное обеспечение для комплексного мониторинга ЦОД,
• системы распределения питания и ИБП,
• системы пожаротушения.

Фирма «ЭЙРКУЛ» предлагает современные энергоэффективные решения по модернизации и оснащению центров обработки данных. Команда квалифицированных специалистов с многолетним опытом работы выполняет проектные работы, осуществляет подбор оборудования в соответствии с характеристиками объекта и пожеланиями клиента, прокладку фреоновых коммуникаций, сливов конденсата, монтажные работы, пуско-наладочные работы, дальнейшее сервисное обслуживание объектов.

 

В ассортименте фирмы «ЭЙРКУЛ» представлен широкий выбор прецизионных кондиционеров ведущих мировых производителей: VERTIV Liebert (ранее Emerson Network Power), Mitsubishi Electric (Climaveneta и RC).

С начала 2018 года ООО «ЭЙРКУЛ» заключило договор с ООО «Мицубиси Электрик (РУС)» в части проектирования, поставки прецизионных кондиционеров Climaveneta и RC, монтажа, пуско-наладочных работ, а также гарантийного сервисного обслуживания. 

Прецизионные кондиционеры в ассортимере фирмы «ЭЙРКУЛ» представлены широкой линейкой моделей различной мощности, габаритных размеров, моделями в специальном исполнении. Возможна поставка конденсаторов и драйкулеров во взрывозащитном исполнении, в специальном исполнении для работы на предприятиях химической, газовой, нефтеперерабатывающей промышленности.

Поставляемое оборудование изготовлено в соответствии с европейскими стандартами качества и имеет все необходимые сертификаты соответствия и разрешения.

Прецизионные кондиционеры точно поддерживают заданные параметры микроклимата (температура, при необходимости уровень влажности) в помещении с высокой точностью +/-0,3 градуса и относительной влажности воздуха +/-2% относительно заданного значения, а также обеспечивают высокий уровень очистки воздуха для обеспечения работоспособности мощного технологического оборудования ЦОД, предотвращают образование статического электричества. Поставляемые фирмой «ЭЙРКУЛ» прецизионные кондиционеры отличаются максимальной степенью надежности, высокой точностью и бесперебойной работой.

В основе подбираемых нашими специалистами решений лежат высокие показатели надежности, энергоэффективности, автоматизации, максимальной работоспособности оборудования.  Высокая точность работы оборудования на объектах ЦОД обеспечивается за счет высококлассных систем микропроцессорного управления прецизионным оборудованием. Мы уделяем большое внимание вопросам мониторинга, автоматизации управления объектов и предлагаем решения по автоматизации на базе собственных щитов управления AIRCOOL, собираемых на производственно-монтажном комплексе «ЭЙРКУЛ» в Санкт-Петербурге. Подробнее о щитах управления можно прочитать в данном разделе сайта.

По вопросам подбора оборудования для центров обработки данных, пожалуйста, обращайтесь к специалистам ООО «ЭЙРКУЛ» по телефону +7(812) 3273821 или отправляйте запрос на mail@aircool.ru. Мы всегда рады Вам помочь!

 

Как расшифровать трафик центра обработки данных

Используйте расшифровку SSL для проверки всего зашифрованного сетевого трафика и сделайте скрытые угрозы видимыми.

Вы не можете защитить свою сеть от угроз, которых не можете видеть. Расшифровка трафика для выявления вредоносных программ критично, потому что более 60 процентов обычного сетевого трафика зашифрован, и процент растет. Gartner прогнозирует, что до 2019 г. более 80% корпоративного веб-трафика будет быть зашифрованными, и в течение 2019 года более 50 процентов новых вредоносных программ кампании будут использовать различные формы шифрования и обфускации, чтобы скрыть доставку и текущую связь, включая кражу данных.

Чтобы выявить зашифрованные приложения и угрозы, расположите физические или виртуальные межсетевые экраны нового поколения, чтобы они видели весь центр обработки данных движение. Лучше всего расшифровать весь доступный трафик, категории трафика особенно высокого риска и трафик, предназначенный для критические серверы. Расшифровка трафика правильно определяет его, поэтому что межсетевой экран может применять антивирус, защиту от уязвимостей, WildFire и другие средства защиты соответственно.

Чтобы применить расшифровку к трафику, создайте профили расшифровки, которые укажите, как обрабатывать трафик SSL и SSH и трафик, который вы выбираете не расшифровать или не могу расшифровать.Профили расшифровки позволяют установить разрешенные алгоритмы, режимы и характеристики сеанса для трафика. Вы применяете профили расшифровки к правилам политики расшифровки, которые определяют трафик, к которому межсетевой экран применяет профили расшифровки.

Межсетевой экран поддерживает два типа расшифровки SSL / TLS и SSH. дешифрование:

Внутри центра обработки данных расшифруйте столько трафика с востока на запад, сколько возможно. Если соображения производительности из-за неправильного брандмауэра размер не позволяет расшифровать весь трафик, расставьте приоритеты важные серверы, категории трафика с наибольшим риском и т. д. доверенные сегменты и IP-подсети, а также расшифровать столько трафика, сколько можно, сохранив приемлемую производительность.Ключевые вопросы к спрашивают: «Что произойдет, если этот сервер будет скомпрометирован?», «Сколько риск, который представляет каждая категория трафика? »и« Насколько велик риск готов ли я принять в зависимости от уровня производительности, который я хочу достичь внутри центра обработки данных? »

Для трафика, идущего из центра обработки данных в Интернет, расшифровать все, кроме трафика, для которого нужно делать исключения. Расшифровка видимость особенно важна, потому что вам не нужны серверы в дата-центре для подключения к вредоносным сайтам, передачи вредоносных файлы или быть уязвимыми для загрузки вредоносных программ.

При планировании политики расшифровки учитывайте корпоративные правила и положения по обеспечению безопасности. Для трафика от пользователей к центру обработки данных, хотя жесткая политика дешифрования может поначалу вызвать несколько жалоб, эти жалобы могут привлечь ваше внимание на несанкционированные или нежелательные веб-сайты, заблокированные из-за они используют слабые алгоритмы или имеют проблемы с сертификатами. Используйте жалобы как инструмент для лучшего понимания трафика в вашей сети.

Расшифровка трафика потребляет ресурсы межсетевого экрана.Количество трафика для расшифровки зависит от каждого центра обработки данных. При калибровке развертывание брандмауэра для поддержания приемлемой производительности при поддерживающую расшифровку, учитываем объем трафика, который вы ожидают расшифровки (некоторые приложения должны быть расшифрованы, в то время как другие приложения не зашифрованы и не нуждаются в расшифровке), расшифровка шифр (более сильные и сложные шифры требуют большей вычислительной мощности для дешифрования), размер ключей (большие ключи требуют больше дешифрования ресурсы), тип обмена ключами (например, обмен ключами RSA потребляют больше ресурсов обработки, чем ключи PFS), а емкость межсетевых экранов.Работайте со своим отделом продаж Palo Alto Networks и представители для определения размера развертывания брандмауэра для вашей конкретной сети, чтобы вы могли расшифровать трафик и раскрыть угрозы.

Компании с такими видами деятельности, как банковское дело, требуют чрезвычайно надежная защита их закрытых ключей может использовать сторонний аппаратный модуль безопасности (HSM) для защиты и управлять закрытым ключом компании вместо того, чтобы хранить его на межсетевой экран.

Как расшифровать трафик центра обработки данных

Используйте расшифровку SSL для проверки всего зашифрованного сетевого трафика и сделайте скрытые угрозы видимыми.

Вы не можете защитить свою сеть от угроз, которых не можете видеть. Расшифровка трафика для выявления вредоносных программ критично, потому что более 60 процентов обычного сетевого трафика зашифрован, и процент растет. Gartner прогнозирует, что до 2019 г. более 80% корпоративного веб-трафика будет быть зашифрованными, и в течение 2019 года более 50 процентов новых вредоносных программ кампании будут использовать различные формы шифрования и обфускации, чтобы скрыть доставку и текущую связь, включая кражу данных.

Чтобы выявить зашифрованные приложения и угрозы, расположите физические или виртуальные межсетевые экраны нового поколения, чтобы они видели весь центр обработки данных движение. Лучше всего расшифровать весь доступный трафик, категории трафика особенно высокого риска и трафик, предназначенный для критические серверы. Расшифровка трафика правильно определяет его, поэтому что межсетевой экран может применять антивирус, защиту от уязвимостей, WildFire и другие средства защиты соответственно.

Чтобы применить расшифровку к трафику, создайте профили расшифровки, которые укажите, как обрабатывать трафик SSL и SSH и трафик, который вы выбираете не расшифровать или не могу расшифровать.Профили расшифровки позволяют установить разрешенные алгоритмы, режимы и характеристики сеанса для трафика. Вы применяете профили расшифровки к правилам политики расшифровки, которые определяют трафик, к которому межсетевой экран применяет профили расшифровки.

Межсетевой экран поддерживает два типа расшифровки SSL / TLS и SSH. дешифрование:

Внутри центра обработки данных расшифруйте столько трафика с востока на запад, сколько возможно. Если соображения производительности из-за неправильного брандмауэра размер не позволяет расшифровать весь трафик, расставьте приоритеты важные серверы, категории трафика с наибольшим риском и т. д. доверенные сегменты и IP-подсети, а также расшифровать столько трафика, сколько можно, сохранив приемлемую производительность.Ключевые вопросы к спрашивают: «Что произойдет, если этот сервер будет скомпрометирован?», «Сколько риск, который представляет каждая категория трафика? »и« Насколько велик риск готов ли я принять в зависимости от уровня производительности, который я хочу достичь внутри центра обработки данных? »

Для трафика, идущего из центра обработки данных в Интернет, расшифровать все, кроме трафика, для которого нужно делать исключения. Расшифровка видимость особенно важна, потому что вам не нужны серверы в дата-центре для подключения к вредоносным сайтам, передачи вредоносных файлы или быть уязвимыми для загрузки вредоносных программ.

При планировании политики расшифровки учитывайте корпоративные правила и положения по обеспечению безопасности. Для трафика от пользователей к центру обработки данных, хотя жесткая политика дешифрования может поначалу вызвать несколько жалоб, эти жалобы могут привлечь ваше внимание на несанкционированные или нежелательные веб-сайты, заблокированные из-за они используют слабые алгоритмы или имеют проблемы с сертификатами. Используйте жалобы как инструмент для лучшего понимания трафика в вашей сети.

Расшифровка трафика потребляет ресурсы межсетевого экрана.Количество трафика для расшифровки зависит от каждого центра обработки данных. При калибровке развертывание брандмауэра для поддержания приемлемой производительности при поддерживающую расшифровку, учитываем объем трафика, который вы ожидают расшифровки (некоторые приложения должны быть расшифрованы, в то время как другие приложения не зашифрованы и не нуждаются в расшифровке), расшифровка шифр (более сильные и сложные шифры требуют большей вычислительной мощности для дешифрования), размер ключей (большие ключи требуют больше дешифрования ресурсы), тип обмена ключами (например, обмен ключами RSA потребляют больше ресурсов обработки, чем ключи PFS), а емкость межсетевых экранов.Работайте со своим отделом продаж Palo Alto Networks и представители для определения размера развертывания брандмауэра для вашей конкретной сети, чтобы вы могли расшифровать трафик и раскрыть угрозы.

Компании с такими видами деятельности, как банковское дело, требуют чрезвычайно надежная защита их закрытых ключей может использовать сторонний аппаратный модуль безопасности (HSM) для защиты и управлять закрытым ключом компании вместо того, чтобы хранить его на межсетевой экран. Обзор шифрования

Azure | Документы Microsoft

• 20.07.2020
• Читать 12 минут

В этой статье

В этой статье представлен обзор того, как шифрование используется в Microsoft Azure.Он охватывает основные области шифрования, включая шифрование в состоянии покоя, шифрование в полете и управление ключами с помощью Azure Key Vault. Каждый раздел содержит ссылки на более подробную информацию.

Шифрование данных в состоянии покоя

Неактивные данные включают информацию, которая находится в постоянном хранилище на физических носителях, в любом цифровом формате. Носители могут включать файлы на магнитных или оптических носителях, архивные данные и резервные копии данных. Microsoft Azure предлагает множество решений для хранения данных для удовлетворения различных потребностей, включая файловые, дисковые, большие двоичные объекты и хранилища таблиц.Microsoft также предоставляет шифрование для защиты базы данных SQL Azure, Azure Cosmos DB и озера данных Azure.

Шифрование данных в состоянии покоя доступно для сервисов в рамках облачных моделей программного обеспечения как услуги (SaaS), платформы как услуги (PaaS) и инфраструктуры как услуги (IaaS). В этой статье приведены краткие сведения и ресурсы, которые помогут вам использовать параметры шифрования Azure.

Более подробное обсуждение того, как неактивные данные шифруются в Azure, см. В разделе Шифрование данных Azure в состоянии покоя.

Модели шифрования Azure

Azure поддерживает различные модели шифрования, включая шифрование на стороне сервера с использованием ключей, управляемых службами, ключей, управляемых клиентами, в Key Vault или ключей, управляемых клиентом, на оборудовании, контролируемом клиентом. Благодаря шифрованию на стороне клиента вы можете управлять ключами и хранить их локально или в другом безопасном месте.

Шифрование на стороне клиента

Шифрование на стороне клиента выполняется вне Azure. Включает:

• Данные, зашифрованные приложением, работающим в центре обработки данных клиента, или служебным приложением.
• Данные, которые уже зашифрованы на момент получения Azure.

При шифровании на стороне клиента поставщики облачных услуг не имеют доступа к ключам шифрования и не могут расшифровать эти данные. Вы полностью контролируете ключи.

Шифрование на стороне сервера

Три модели шифрования на стороне сервера предлагают различные характеристики управления ключами, которые вы можете выбрать в соответствии с вашими требованиями:

• Клавиши с сервисным управлением : Обеспечивает сочетание контроля и удобства с низкими накладными расходами.

• Ключи, управляемые заказчиком : Предоставляет вам контроль над ключами, включая поддержку использования собственных ключей (BYOK), или позволяет создавать новые.

• Ключи, управляемые службой, в аппаратном обеспечении, контролируемом заказчиком. : позволяет управлять ключами в собственном репозитории вне контроля Microsoft. Эта характеристика называется «Храните свой собственный ключ» (HYOK). Однако настройка сложна, и большинство служб Azure не поддерживают эту модель.

Шифрование диска Azure

Вы можете защитить виртуальные машины Windows и Linux с помощью шифрования дисков Azure, которое использует технологию Windows BitLocker и Linux DM-Crypt для защиты дисков операционной системы и дисков данных с помощью полного шифрования тома.

Ключи шифрования и секреты защищены в вашей подписке на Azure Key Vault. Используя службу Azure Backup, вы можете создавать резервные копии и восстанавливать зашифрованные виртуальные машины (ВМ), использующие конфигурацию ключа шифрования (KEK).

Шифрование службы хранилища Azure

Данные, хранящиеся в хранилище BLOB-объектов Azure и файловых ресурсах Azure, могут быть зашифрованы как на стороне сервера, так и на стороне клиента.

Служба шифрования службы хранилища Azure (SSE) может автоматически шифровать данные перед их сохранением и автоматически расшифровывает данные, когда вы их извлекаете. Процесс полностью прозрачен для пользователей. Шифрование службы хранилища использует 256-битное шифрование Advanced Encryption Standard (AES), которое является одним из самых надежных доступных блочных шифров.AES прозрачно обрабатывает шифрование, дешифрование и управление ключами.

Шифрование BLOB-объектов Azure на стороне клиента

Вы можете выполнять шифрование BLOB-объектов Azure на стороне клиента различными способами.

Вы можете использовать клиентскую библиотеку хранилища Azure для пакета .NET NuGet для шифрования данных в клиентских приложениях перед их загрузкой в ​​хранилище Azure.

Чтобы узнать больше и загрузить клиентскую библиотеку службы хранилища Azure для пакета NuGet .NET, см. Хранилище Windows Azure 8.3.0.

Когда вы используете шифрование на стороне клиента с Key Vault, ваши данные шифруются с помощью одноразового симметричного ключа шифрования содержимого (CEK), который создается клиентским SDK службы хранилища Azure. CEK зашифровывается с помощью ключа шифрования ключа (KEK), который может быть симметричным ключом или парой асимметричных ключей. Вы можете управлять им локально или хранить в Key Vault. Затем зашифрованные данные загружаются в хранилище Azure.

Чтобы узнать больше о шифровании на стороне клиента с помощью Key Vault и начать работу с инструкциями, см. Учебное пособие: шифрование и дешифрование больших двоичных объектов в хранилище Azure с помощью Key Vault.

Наконец, вы также можете использовать клиентскую библиотеку хранилища Azure для Java, чтобы выполнять шифрование на стороне клиента перед отправкой данных в хранилище Azure, а также для расшифровки данных при их загрузке на клиент. Эта библиотека также поддерживает интеграцию с Key Vault для управления ключами учетной записи хранения.

Шифрование неактивных данных с помощью базы данных SQL Azure

База данных SQL Azure — это служба реляционной базы данных общего назначения в Azure, которая поддерживает такие структуры, как реляционные данные, JSON, пространственные данные и XML.База данных SQL поддерживает как шифрование на стороне сервера с помощью функции прозрачного шифрования данных (TDE), так и шифрование на стороне клиента с помощью функции постоянного шифрования.

Прозрачное шифрование данных

TDE используется для шифрования файлов данных SQL Server, базы данных SQL Azure и Azure Synapse Analytics в реальном времени с помощью ключа шифрования базы данных (DEK), который хранится в загрузочной записи базы данных для обеспечения доступности во время восстановления.

TDE защищает файлы данных и журналов, используя алгоритмы шифрования AES и Triple Data Encryption Standard (3DES).Шифрование файла базы данных выполняется на уровне страницы. Страницы в зашифрованной базе данных шифруются перед записью на диск и расшифровываются при чтении в память. TDE теперь включен по умолчанию для вновь созданных баз данных Azure SQL.

Функция постоянного шифрования

С помощью функции постоянного шифрования в SQL Azure вы можете зашифровать данные в клиентских приложениях до их сохранения в базе данных SQL Azure. Вы также можете включить делегирование администрирования локальной базы данных третьим сторонам и сохранить разделение между теми, кто владеет и может просматривать данные, и теми, кто управляет ими, но не должен иметь к ним доступ.

Шифрование на уровне ячеек или столбцов

В базе данных SQL Azure вы можете применить симметричное шифрование к столбцу данных с помощью Transact-SQL. Этот подход называется шифрованием на уровне ячеек или шифрованием на уровне столбцов (CLE), потому что вы можете использовать его для шифрования определенных столбцов или даже определенных ячеек данных с разными ключами шифрования. Это дает вам возможность более детального шифрования, чем TDE, который шифрует данные на страницах.

CLE имеет встроенные функции, которые можно использовать для шифрования данных с использованием симметричных или асимметричных ключей, открытого ключа сертификата или парольной фразы с использованием 3DES.

Шифрование базы данных Cosmos DB

Azure Cosmos DB — это глобально распределенная многомодельная база данных Microsoft. Пользовательские данные, хранящиеся в Cosmos DB в энергонезависимом хранилище (твердотельные накопители), по умолчанию зашифрованы. Нет никаких элементов управления, чтобы включить или выключить его. Шифрование в состоянии покоя реализуется с помощью ряда технологий безопасности, включая системы безопасного хранения ключей, зашифрованные сети и криптографические API. Ключи шифрования управляются Microsoft и меняются в соответствии с внутренними рекомендациями Microsoft.

Шифрование в состоянии покоя в Data Lake

Azure Data Lake — это корпоративный репозиторий всех типов данных, собранных в одном месте до любого формального определения требований или схемы. Data Lake Store поддерживает «по умолчанию» прозрачное шифрование хранимых данных, которое настраивается при создании вашей учетной записи. По умолчанию Azure Data Lake Store управляет ключами за вас, но вы можете управлять ими самостоятельно.

Для шифрования и дешифрования данных используются ключи трех типов: главный ключ шифрования (MEK), ключ шифрования данных (DEK) и ключ шифрования блока (BEK).MEK используется для шифрования DEK, который хранится на постоянном носителе, а BEK выводится из DEK и блока данных. Если вы управляете своими собственными ключами, вы можете вращать MEK.

Шифрование данных при передаче

Azure предлагает множество механизмов для сохранения конфиденциальности данных при их перемещении из одного места в другое.

Шифрование уровня канала данных в Azure

Каждый раз, когда трафик Клиента Azure перемещается между центрами обработки данных — за пределы физических границ, не контролируемых Microsoft (или от имени Microsoft), — метод шифрования на уровне канала данных с использованием IEEE 802.Стандарты безопасности 1AE MAC (также известные как MACsec) применяются от точки к точке через базовое сетевое оборудование. Пакеты зашифровываются и дешифруются на устройствах перед отправкой, что предотвращает физические атаки типа «злоумышленник в середине» или слежение / прослушивание телефонных разговоров. Поскольку эта технология интегрирована в само сетевое оборудование, она обеспечивает шифрование линейной скорости на сетевом оборудовании без заметного увеличения задержки соединения. Это шифрование MACsec включено по умолчанию для всего трафика Azure, перемещающегося в пределах одного региона или между регионами, и для его включения со стороны клиентов не требуется никаких действий.

TLS-шифрование в Azure

Microsoft дает клиентам возможность использовать протокол Transport Layer Security (TLS) для защиты данных при их перемещении между облачными службами и клиентами. Центры обработки данных Microsoft согласовывают соединение TLS с клиентскими системами, которые подключаются к службам Azure. TLS обеспечивает строгую аутентификацию, конфиденциальность и целостность сообщений (что позволяет обнаруживать подделку, перехват и подделку сообщений), функциональную совместимость, гибкость алгоритмов, а также простоту развертывания и использования.

Perfect Forward Secrecy (PFS) защищает соединения между клиентскими системами клиентов и облачными службами Microsoft с помощью уникальных ключей. В соединениях также используется ключ шифрования длиной 2048 бит на основе RSA. Эта комбинация затрудняет перехват и доступ к передаваемым данным.

транзакции хранилища Azure

Когда вы взаимодействуете со службой хранилища Azure через портал Azure, все транзакции выполняются по протоколу HTTPS. Вы также можете использовать REST API хранилища через HTTPS для взаимодействия со службой хранилища Azure.Вы можете принудительно использовать HTTPS при вызове REST API для доступа к объектам в учетных записях хранения, включив безопасную передачу, необходимую для учетной записи хранения.

подписи общего доступа (SAS), которые можно использовать для делегирования доступа к объектам хранилища Azure, включают параметр, позволяющий указать, что при использовании подписей общего доступа можно использовать только протокол HTTPS. Такой подход гарантирует, что любой, кто отправляет ссылки с токенами SAS, использует правильный протокол.

SMB 3.0, который используется для доступа к общим папкам Azure Files, поддерживает шифрование и доступен в Windows Server 2012 R2, Windows 8, Windows 8.1 и Windows 10. Он обеспечивает межрегиональный доступ и даже доступ на рабочем столе.

При шифровании на стороне клиента данные шифруются перед их отправкой в ​​экземпляр службы хранилища Azure, поэтому они шифруются при передаче по сети.

Шифрование SMB в виртуальных сетях Azure

Используя SMB 3.0 на виртуальных машинах под управлением Windows Server 2012 или более поздней версии, вы можете обезопасить передачу данных за счет шифрования данных, передаваемых через виртуальные сети Azure.Шифрование данных помогает защитить вас от взлома и перехвата. Администраторы могут включить шифрование SMB для всего сервера или только для определенных общих ресурсов.

По умолчанию, после того, как шифрование SMB включено для общего ресурса или сервера, только клиентам SMB 3.0 разрешен доступ к зашифрованным общим ресурсам.

Шифрование при передаче в виртуальных машинах

Данные, передаваемые к виртуальным машинам, работающим под управлением Windows, из них и между ними, могут быть зашифрованы разными способами, в зависимости от характера соединения.

сеансов RDP

Вы можете подключиться и войти в виртуальную машину с помощью протокола удаленного рабочего стола (RDP) с клиентского компьютера Windows или с Mac с установленным клиентом RDP. Данные, передаваемые по сети в сеансах RDP, могут быть защищены с помощью TLS.

Вы также можете использовать удаленный рабочий стол для подключения к виртуальной машине Linux в Azure.

Безопасный доступ к виртуальным машинам Linux с помощью SSH

Для удаленного управления вы можете использовать Secure Shell (SSH) для подключения к виртуальным машинам Linux, работающим в Azure.SSH — это протокол зашифрованного соединения, позволяющий безопасно входить в систему через незащищенные соединения. Это протокол подключения по умолчанию для виртуальных машин Linux, размещенных в Azure. Используя ключи SSH для аутентификации, вы избавляетесь от необходимости вводить пароли для входа в систему. SSH использует пару открытого и закрытого ключей (асимметричное шифрование) для аутентификации.

Шифрование VPN для Azure

Вы можете подключиться к Azure через виртуальную частную сеть, которая создает безопасный туннель для защиты конфиденциальности данных, отправляемых по сети.

VPN-шлюзы Azure

Вы можете использовать шлюз VPN Azure для отправки зашифрованного трафика между виртуальной сетью и вашим локальным расположением через общедоступное соединение или для отправки трафика между виртуальными сетями.

VPN типа «сеть-сеть» используют IPsec для шифрования транспорта. VPN-шлюзы Azure используют набор предложений по умолчанию. Вы можете настроить VPN-шлюзы Azure для использования настраиваемой политики IPsec / IKE с конкретными криптографическими алгоритмами и сильными сторонами ключей, а не наборов политик Azure по умолчанию.

VPN типа «точка-сеть»

VPN типа «точка-сеть» позволяют отдельным клиентским компьютерам получать доступ к виртуальной сети Azure. Протокол Secure Socket Tunneling Protocol (SSTP) используется для создания VPN-туннеля. Он может проходить через брандмауэры (туннель отображается как соединение HTTPS). Вы можете использовать собственную внутреннюю инфраструктуру открытых ключей (PKI), корневой центр сертификации (CA) для соединения точка-сеть.

Вы можете настроить VPN-подключение типа «точка-сеть» к виртуальной сети с помощью портала Azure с проверкой подлинности сертификата или PowerShell.

Чтобы узнать больше о VPN-подключениях типа «точка-сеть» к виртуальным сетям Azure, см .:

Настроить соединение типа «точка-сеть» с виртуальной сетью с помощью проверки подлинности сертификата: портал Azure

Настроить соединение точка-сеть с виртуальной сетью с помощью проверки подлинности сертификата: PowerShell

VPN типа «сеть-сеть»

Вы можете использовать соединение VPN-шлюза типа «сеть-сеть» для подключения локальной сети к виртуальной сети Azure через VPN-туннель IPsec / IKE (IKEv1 или IKEv2).Для этого типа подключения требуется локальное VPN-устройство, которому назначен внешний общедоступный IP-адрес.

Вы можете настроить VPN-подключение типа «сеть-сеть» к виртуальной сети с помощью портала Azure, PowerShell или Azure CLI.

Для получения дополнительной информации см .:

Создайте соединение типа «сеть-сеть» на портале Azure

.

Создание соединения типа «сеть-сеть» в PowerShell

Создайте виртуальную сеть с VPN-подключением типа «сеть-сеть» с помощью интерфейса командной строки

.

Шифрование при передаче в Data Lake

Данные в пути (также известные как данные в движении) также всегда шифруются в Data Lake Store.В дополнение к шифрованию данных перед их сохранением на постоянном носителе, данные также всегда защищены при передаче с помощью HTTPS. HTTPS — единственный протокол, который поддерживается для интерфейсов REST Data Lake Store.

Дополнительные сведения о шифровании данных при передаче в Data Lake см. В разделе Шифрование данных в Data Lake Store.

Управление ключами с помощью Key Vault

Без надлежащей защиты и управления ключами шифрование становится бесполезным. Key Vault — это рекомендованное Microsoft решение для управления и контроля доступа к ключам шифрования, используемым облачными службами.Разрешения на доступ к ключам можно назначать службам или пользователям через учетные записи Azure Active Directory.

Key Vault избавляет организации от необходимости настраивать, исправлять и обслуживать аппаратные модули безопасности (HSM) и программное обеспечение для управления ключами. Когда вы используете Key Vault, вы сохраняете контроль. Microsoft никогда не видит ваши ключи, и приложения не имеют к ним прямого доступа. Вы также можете импортировать или сгенерировать ключи в HSM.

Следующие шаги

Получение и настройка сертификатов подписи и расшифровки токенов для AD FS

• 23.10.2017
• 6 минут на чтение

В этой статье

В этом разделе описываются задачи и процедуры, которые можно выполнить, чтобы обеспечить актуальность сертификатов для подписи маркеров AD FS и расшифровки маркеров.

Сертификаты для подписи токенов

— это стандартные сертификаты X509, которые используются для безопасной подписи всех токенов, выпускаемых сервером федерации. Сертификаты дешифрования токенов — это стандартные сертификаты X509, которые используются для дешифрования любых входящих токенов. Они также публикуются в метаданных федерации.

Для получения дополнительной информации см. Требования к сертификату

Определить, обновляет ли AD FS сертификаты автоматически

По умолчанию AD FS настроен на автоматическое создание сертификатов для подписи маркеров и расшифровки маркеров как во время первоначальной настройки, так и при приближении даты истечения срока действия сертификатов.

Вы можете выполнить следующую команду Windows PowerShell: Get-AdfsProperties .

Свойство AutoCertificateRollover описывает, настроен ли AD FS для автоматического обновления подписи токена и автоматического дешифрования сертификатов.

Если для AutoCertificateRollover задано значение TRUE, сертификаты AD FS будут обновляться и настраиваться в AD FS автоматически. После настройки нового сертификата во избежание сбоя необходимо убедиться, что каждый партнер федерации (представленный в вашей ферме AD FS доверием проверяющей стороны или доверием поставщика утверждений) обновлен этим новым сертификатом.

Если AD FS не настроен на автоматическое обновление подписи маркера и сертификатов расшифровки маркера (если для AutoCertificateRollover установлено значение False), AD FS не будет автоматически создавать или запускать новые сертификаты для подписи маркеров или расшифровки маркеров. Эти задачи придется выполнять вручную.

Если AD FS настроен на автоматическое обновление сертификатов подписи маркеров и расшифровки маркеров (AutoCertificateRollover имеет значение TRUE), вы можете определить, когда они будут обновлены:

CertificateGenerationThreshold описывает, за сколько дней до даты сертификата Not After будет сгенерирован новый сертификат.

CertificatePromotionThreshold определяет, через сколько дней после создания нового сертификата он будет назначен основным сертификатом (другими словами, AD FS начнет использовать его для подписи выпускаемых им токенов и дешифрования токенов от поставщиков удостоверений).

Если AD FS настроен на автоматическое обновление сертификатов подписи маркеров и расшифровки маркеров (AutoCertificateRollover имеет значение TRUE), вы можете определить, когда они будут обновлены:

• CertificateGenerationThreshold описывает, за сколько дней до даты сертификата Not After будет сгенерирован новый сертификат.
• CertificatePromotionThreshold определяет, через сколько дней после создания нового сертификата он будет повышен до уровня основного сертификата (другими словами, AD FS начнет использовать его для подписи выпускаемых им токенов и дешифрования токенов от поставщиков удостоверений).

Определить, когда истекает срок действия текущих сертификатов

Вы можете использовать следующую процедуру для идентификации сертификатов для подписи и дешифрования основного токена, а также для определения срока действия текущих сертификатов.

Можно выполнить следующую команду Windows PowerShell: Get-AdfsCertificate –CertificateType для подписи токена (или Get-AdfsCertificate –CertificateType для дешифрования токена ). Или вы можете проверить текущие сертификаты в MMC: Сервис-> Сертификаты.

Сертификат, для которого значение IsPrimary установлено равным True , является сертификатом, который в настоящее время используется AD FS.

Дата, указанная для Not After , — это дата, к которой должен быть настроен новый сертификат подписи или дешифрования первичного токена.

Для обеспечения непрерывности обслуживания все партнеры федерации (представленные в вашей ферме AD FS доверительными отношениями проверяющей стороны или доверительными отношениями поставщиков утверждений) должны использовать новые сертификаты для подписи маркеров и расшифровки маркеров до истечения этого срока. Мы рекомендуем вам начать планирование этого процесса как минимум за 60 дней.

Создание нового самозаверяющего сертификата вручную до окончания льготного периода

Вы можете использовать следующие шаги для создания нового самозаверяющего сертификата вручную до окончания льготного периода.

1. Убедитесь, что вы вошли на основной сервер AD FS.
2. Откройте Windows PowerShell и выполните следующую команду: Add-PSSnapin "microsoft.adfs.powershell"
3. При желании вы можете проверить текущие сертификаты подписи в AD FS. Для этого выполните следующую команду: Get-ADFSCertificate –CertificateType для подписи токена . Посмотрите на вывод команды, чтобы увидеть даты Not After для всех перечисленных сертификатов.
4. Чтобы создать новый сертификат, выполните следующую команду для обновления и обновления сертификатов на сервере AD FS: Update-ADFSCertificate –CertificateType для подписи токена .
5. Проверьте обновление, снова выполнив следующую команду: Get-ADFSCertificate –CertificateType для подписи токена
6. Два сертификата должны быть перечислены сейчас, один из которых имеет дату Not After , равную примерно одному году в будущем, и для которого значение IsPrimary равно False .

Важно

Чтобы избежать сбоя службы, обновите информацию о сертификате в Azure AD, выполнив действия, описанные в статье Как обновить Azure AD с помощью действительного сертификата для подписи токена.

Если вы не используете самозаверяющие сертификаты…

Если вы не используете автоматически сгенерированные, самозаверяющие сертификаты для подписи маркеров и расшифровки маркеров по умолчанию, вы должны обновить и настроить эти сертификаты вручную.

Во-первых, вы должны получить новый сертификат в центре сертификации и импортировать его в хранилище личных сертификатов локального компьютера на каждом сервере федерации. Инструкции см. В статье «Импорт сертификата».

Затем необходимо настроить этот сертификат в качестве сертификата для подписи или расшифровки дополнительного маркера AD FS.(Вы настраиваете его как вторичный сертификат, чтобы дать вашим партнерам по федерации достаточно времени для использования этого нового сертификата, прежде чем вы повысите его до первичного сертификата).

Чтобы настроить новый сертификат в качестве вторичного сертификата

1. Откройте PowerShell и запустите следующее: Set-ADFSProperties -AutoCertificateRollover $ false
2. После того, как вы импортировали сертификат. Откройте консоль AD FS Management .
3. Разверните Service , а затем выберите Certificates .
4. На панели действий щелкните Добавить сертификат для подписи токена .
5. Выберите новый сертификат из списка отображаемых сертификатов, а затем щелкните OK.
6. Откройте PowerShell и запустите следующее: Set-ADFSProperties -AutoCertificateRollover $ true

Предупреждение

Убедитесь, что новый сертификат имеет связанный с ним закрытый ключ и что учетной записи службы AD FS предоставлены разрешения на чтение закрытого ключа. Проверьте это на каждом сервере федерации.Для этого в оснастке «Сертификаты» щелкните новый сертификат правой кнопкой мыши, выберите «Все задачи», а затем — «Управление закрытыми ключами».

После того, как вы предоставили вашим партнерам федерации достаточно времени для использования вашего нового сертификата (либо они извлекут ваши метаданные федерации, либо вы отправите им открытый ключ вашего нового сертификата), вы должны повысить вторичный сертификат до первичного сертификата.

Для продвижения нового сертификата из вторичного в первичный

1. Откройте консоль AD FS Management .
2. Разверните Service , а затем выберите Certificates .
3. Щелкните вторичный сертификат подписи токена.
4. На панели Действия щелкните Установить как первичный . Нажмите Да при запросе подтверждения.

Обновление партнеров федерации

Партнеры, которые могут использовать метаданные федерации

Если вы обновили и настроили новый сертификат подписи маркера или расшифровки маркера, вы должны убедиться, что все ваши партнеры по федерации (ресурсная организация или партнеры по организации учетных записей, представленные в AD FS доверительными отношениями проверяющей стороны и доверительными отношениями поставщиков утверждений) имеют подобрал новые сертификаты.

Партнеры, которые НЕ могут использовать метаданные федерации

Если ваши партнеры по федерации не могут использовать метаданные вашей федерации, вы должны вручную отправить им открытый ключ вашего нового сертификата для подписи / дешифрования токена. Отправьте новый открытый ключ сертификата (файл .cer или .p7b, если вы хотите включить всю цепочку) всем ресурсным организациям или партнерам по организации учетных записей (представленных в AD FS доверительными отношениями проверяющей стороны и доверительными отношениями поставщиков утверждений). Попросите партнеров внести изменения на своей стороне, чтобы доверять новым сертификатам.

Сделать основным (если AutoCertificateRollover имеет значение False)

Если для AutoCertificateRollover задано значение False , AD FS не будет автоматически генерировать или запускать новые сертификаты для подписи токена или дешифрования токенов. Эти задачи придется выполнять вручную. По прошествии достаточного периода времени, чтобы все ваши партнеры по федерации использовали новый вторичный сертификат, повышайте этот вторичный сертификат до первичного (в оснастке MMC щелкните сертификат для подписи вторичного токена, а на панели действий щелкните Установить как Первичный .)

Обновление Azure AD

AD FS обеспечивает доступ с единым входом к облачным службам Microsoft, таким как Office 365, путем аутентификации пользователей с помощью их существующих учетных данных AD DS. Дополнительные сведения об использовании сертификатов см. В разделе Обновление сертификатов федерации для Office 365 и Azure AD.

Что такое шифрование данных? Определение, передовой опыт и многое другое

Шифрование данных определено в Data Protection 101, нашей серии статей по основам безопасности данных.

Определение шифрования данных

Шифрование данных переводит данные в другую форму или код, так что только люди, имеющие доступ к секретному ключу (формально называемому ключом дешифрования) или паролю, могут их прочитать. Зашифрованные данные обычно называют зашифрованным текстом, а незашифрованные данные — открытым текстом. В настоящее время шифрование — один из самых популярных и эффективных методов защиты данных, используемых организациями. Существует два основных типа шифрования данных — асимметричное шифрование, также известное как шифрование с открытым ключом, и симметричное шифрование.

Основная функция шифрования данных

Целью шифрования данных является защита конфиденциальности цифровых данных при их хранении в компьютерных системах и передаче через Интернет или другие компьютерные сети. Устаревший стандарт шифрования данных (DES) был заменен современными алгоритмами шифрования, которые играют важную роль в безопасности ИТ-систем и коммуникаций.

Эти алгоритмы обеспечивают конфиденциальность и управляют ключевыми инициативами безопасности, включая аутентификацию, целостность и предотвращение отказа от авторства.Аутентификация позволяет проверить происхождение сообщения, а целостность обеспечивает доказательство того, что содержимое сообщения не изменилось с момента его отправки. Кроме того, неотказуемость гарантирует, что отправитель сообщения не сможет отказать в отправке сообщения.

Процесс шифрования данных

Данные, или открытый текст, зашифровываются с помощью алгоритма шифрования и ключа шифрования. В результате получается зашифрованный текст, который можно увидеть в исходной форме, только если он расшифрован с помощью правильного ключа.

Шифры с симметричным ключом используют один и тот же секретный ключ для шифрования и дешифрования сообщения или файла. Хотя шифрование с симметричным ключом намного быстрее, чем асимметричное шифрование, отправитель должен обменяться ключом шифрования с получателем, прежде чем он сможет его расшифровать. Поскольку компаниям необходимо безопасно распространять и управлять огромным количеством ключей, большинство служб шифрования данных адаптировали и используют асимметричный алгоритм для обмена секретным ключом после использования симметричного алгоритма для шифрования данных.

С другой стороны, асимметричная криптография, иногда называемая криптографией с открытым ключом, использует два разных ключа, один открытый и один закрытый. Открытый ключ, как он называется, может быть доступен всем, но закрытый ключ должен быть защищен. Алгоритм Ривест-Шармир-Адлеман (RSA) — это криптосистема для шифрования с открытым ключом, которая широко используется для защиты конфиденциальных данных, особенно когда они отправляются по небезопасной сети, такой как Интернет. Популярность алгоритма RSA объясняется тем фактом, что как открытый, так и закрытый ключи могут шифровать сообщение, чтобы гарантировать конфиденциальность, целостность, подлинность и неотвратимость электронных сообщений и данных за счет использования цифровых подписей.

Проблемы современного шифрования

Самый простой метод атаки на шифрование сегодня — это грубая сила или попытка использования случайных ключей до тех пор, пока не будет найден правильный. Конечно, длина ключа определяет возможное количество ключей и влияет на правдоподобие этого типа атаки. Важно помнить, что надежность шифрования прямо пропорциональна размеру ключа, но по мере увеличения размера ключа увеличивается и количество ресурсов, необходимых для выполнения вычислений.

Альтернативные методы взлома шифра включают атаки по побочным каналам и криптоанализ. Атаки по побочным каналам идут после реализации шифра, а не самого шифра. Эти атаки имеют тенденцию к успеху, если есть ошибка в конструкции или выполнении системы. Точно так же криптоанализ означает обнаружение слабого места в шифре и его использование. Криптоанализ более вероятен, когда есть недостаток в самом шифре.

Решения для шифрования данных

Решения для защиты данных для шифрования данных могут обеспечивать шифрование устройств, электронной почты и самих данных.Во многих случаях эти функции шифрования также встречаются с возможностями управления устройствами, электронной почтой и данными. Компании и организации сталкиваются с проблемой защиты данных и предотвращения потери данных, поскольку сотрудники все чаще используют внешние устройства, съемные носители и веб-приложения в рамках своих повседневных бизнес-процедур. Конфиденциальные данные могут больше не находиться под контролем и защитой компании, поскольку сотрудники копируют данные на съемные устройства или загружают их в облако. В результате лучшие решения для предотвращения потери данных предотвращают кражу данных и внедрение вредоносных программ со съемных и внешних устройств, а также из веб-приложений и облачных приложений.Для этого они также должны гарантировать, что устройства и приложения используются должным образом и что данные защищены с помощью автоматического шифрования даже после того, как они покидают организацию.

Как мы уже упоминали, контроль и шифрование электронной почты — еще один важный компонент решения по предотвращению потери данных. Защищенная, зашифрованная электронная почта — единственный выход для соблюдения нормативных требований, удаленной рабочей силы, BYOD и аутсорсинга проектов. Превосходные решения по предотвращению потери данных позволяют вашим сотрудникам продолжать работать и сотрудничать с помощью электронной почты, в то время как программное обеспечение и инструменты заранее помечают, классифицируют и шифруют конфиденциальные данные в электронных письмах и вложениях.