BDAR ir tinklo įrenginiai

Tinklo įrangos: jungčių tarp įrenginių LAN tinkle, duomenų šifravimo būdų ir prieigos prie jų klausimai yra tikrai sudėtingi. Tokios sąvokos, kaip: VPN, firewall, RAID arba switch žmogui, kurie nėra susijęs su IT sritimi labai dažnai yra tikras tamsus miškas.

Varle.lt tinklo įrangos specialistai parengė patarimų gidą, kuris padės suprasti klausimus, susijusius su tinklo įrengiais, kurie padėtų padidinti duomenų apsaugą organizacijose pagal BDAR reikalavimus.

Ugniasienė (angl. firewall) – kiekvienos organizacijos „must-have“?

Ateini į darbą, įsijungi kompiuterį, o po akimirkos atidarai interneto naršyklę ir atlikdamas savo darbą naudojiesi interneto ištekliais. Sudėtinga šiandien įsivaizduoti organizacijos veiklą be interneto.

Kiekvienas prisijungimas prie tinklo yra susijęs su programišių atakos rizika. Be atitinkamos apsaugos praktiškai kiekvienas interneto naudotojas gali tapti tokios atakos auka, o ypač tai gresia organizacijoms. Kodėl? Nes kiekvienos organizacijos duomenų bazėje yra asmens duomenys, o tokia informacija hakeriams yra tiesiog didžiulės vertės, todėl kyla klausimas: kaip apsaugoti asmens duomenis nuo hakerių atakos?

Pirmasis ir būtinas elementas ypač didelėse ir vidutinėse organizacijose yra ugniasienės įrenginys. Tai niekuo ypatingu neišsiskirianti dėžutė, savo išvaizda primenanti šakotuvus (angl. switch), tačiau skirtingai nei pastarieji atliekanti visai kitą funkciją. Šakotuvas tiesiog paskirsto prieigą prie vidinio tinklo tarp prijungtų įrenginių. Kalbant apie šakotuvus, Varle.lt tinklo įrangos specialistai siūlo įsigyti VLAN modelį, kuris pasižymi galimybe apriboti prieigą prie konkrečių įrenginių, prijungtų prie vieno jungiklio. Tuo pačiu galimybė nuskaityti duomenis tampa apribota pasirinktų naudotojų skaičiumi. Tuo tarpu ugniasienė yra vartai į internetą ir siena, kuri apsaugo nuo tinkle tykančių grėsmių. Žemiau pateiktas infografikas puikiausiai iliustruoja ugniasienės funkciją.

Per ugniasienę organizacijos kompiuteriai ir serveriai keičiasi duomenimis su išoriniais serveriais. Tai pirmasis sąlyčio su globaliu tinklu taškas ir pateikimo į organizaciją punktas. Taigi, ugniasienė apsaugo organizaciją nuo grėsmių:

* Virusų ir kenksmingos programinė įrangos;

* Įsiveržimų į duomenų bazes;

* Nesaugaus turinio internete.

Pasak Varle.lt tinklo įrangos specialistų, ties šiais punktais ugniasienės vaidmuo nesibaigia. Šis įrenginys taip pat saugo organizacijos pašto dėžutės nuo nepageidaujamų „Spam“ laiškų ir laiškų su įtartinomis nuorodomis ir prisegtukais.

Konkretaus ugniasienės modelio pasirinkimas priklauso nuo konkrečios organizacijos dydžio ir poreikių. Norint iškart skleisti bevielį signalą, reikėtų atkreipti dėmesį į modelius su integruotu Wi-Fi. Atkreipkite dėmesį, kad yra modelių, kurie kompletuojami su antivirusine programine įranga konkrečiam laikotarpiui. Tačiau, ar ugniasienė yra tas įrenginys, kuris kategoriškai turėtų atsirasti kiekvienos organizacijos biure? Ne visai taip, nes dalis mažų organizacijų kaip alternatyvą renkasi maršrutizatorių.

Maršrutizatoriai – nedidelio biuro apsaugai

Galbūt tavo veikla – tai tik tu ir kompiuteris. Galbūt darbo komandą sudaro tik 10 ar mažiau žmonių. Tačiau tai jau gali būti organizacija, kuriai irgi galioja BDAR nuostatos. Tokiais atvejais Varle.lt tinklo įrangos specialistai rekomenduoja investuoti į maršrutizatorių, kuris pasižymi duomenų apsaugos savybėmis. Tokiuose maršrutizatoriuose duomenų apsaugą užtikrina atitinkamai pažangių duomenų šifravimo technologijų, VLAN, bei kodavimo VPN tuneliuose taikymas (VPN leidžia nuotoliniu ir saugiu būdu prisijungti prie organizacijos tinklo).

Įrenginiai leidžia naudotis dvijuosčiu (angl. DualBand) Wi-Fi ryšiu su MU-MIMO 4x4 mechanizmu. Jis maksimaliai padidina duomenų perdavimą ir pagerina darbo patogumą. Tačiau reikėtų atkreipti dėmesį į tai, kad visiškam MU-MIMO išnaudojimui nešiojamas kompiuteris arba išmanusis telefonas turėtų būti aprūpintas šią technologiją palaikančia tinklo plokšte.

NAS serveris arba kitas duomenų apsaugos žingsnis

NAS (angl. Network Attached Storage) serveris yra talpi duomenų saugykla. Ten saugojami duomenys gali būti bendrinami vietinio, išorinio rinklo ribose ar privačiame debesyje. Šiuo tikslu naudojami tokie tinklo protokolai: CIFS/SMB, AFP, NFS, HTTP, FTP, HTTPS, NTP, SNMP, Telnet ar SSH.

Tačiau kuo skiriasi NAS serveris nuo išorinio disko? NAS serveris yra atskiras kompiuteris, kuris turi savo procesorių, atmintį bei operacinę sistemą. NAS serveriai primena seifą, mat čia duomenys yra šifruojami, neretai 256 bitų AES. Disko ar net viso serverio vagystės atveju prieiga prie konfidencialių duomenų yra praktiškai neįmanoma.

Papildomas prieigos prie NAS atmintyje saugomų duomenų reikalavimu dar galėtų būti prisijungimas per VPN. Toks sprendimas padidintų duomenų apsaugos lygį. Taip pat NAS serveris remiantis RAID sistema leidžia kurti atsargines kopijas (angl. Backup) realiuoju laiku. Norint pasinaudoti ta sistema, reikalingi bent du HDD diskai. Kaip tai veikia? Duomenys, kurie patenka į NAS serverį, yra įrašomi vienoje iš laikmenų ir tuo pačiu laiku kopijuojami į kitą. Tokią duomenų apsaugą užtikirina RAID 1 sistema. Varle.lt tinklo įrangos specialistai pataria atkreipti dėmesį į tai, kad ne kiekvienas NAS serveris turi integruotus kietuosius diskus. Tokiais atvejais juos reikia įdiegti savarankiškai. Specifikacijose gamintojai nurodo maksimalią laikmenos talpą, kokia gali būti integruota į konkretų serverį.

BDAR ir RAID sistemos

Pagrindinė duomenų realiuoju laiku kopijavimo sistema arba ką tik aptarta RAID 1 – akivaizdžiai yra nepakankama BDAR keliamiems reikalavimams patenkinti. Pasak Varle.lt tinklo įrangos specialistų, kalbant apie suderinamumą su BDAR reikalavimais, reikėtų rinktis tokį NAS serverį, kuris pasižymi RAID 5 ar aukštesnio lygio sistema.

Ką dar siūlo NAS?

NAS serverio atmintyje yra įrašoma prieigos ir duomenų keitimo istorija. Tai padeda nustatyti, kas ir kada keitė konkretų failą. BADR perspektyvoje šis aspektas yra itin reikšmingas. Be to, NAS serveriai siūlo labai tikslų prieigos apribojimą. Bendrai prieinamus failus ir aplankus galės atidaryti visi organizacijos darbuotojai. Prieigą prie apibrėžtų, kaip konfidencialių duomenų turės tik tie, kurie gaus specialius leidimus. Toks sprendimas leidžia aiškiai apibrėžti atsakomybę už patikėtus duomenis.