diff --git a/src/.vitepress/config.mts b/src/.vitepress/config.mts index 3993063..4279b60 100644 --- a/src/.vitepress/config.mts +++ b/src/.vitepress/config.mts @@ -268,6 +268,26 @@ export default defineConfig({ { text: 'Структура платежей', link: '/security/Cloud-NGFW-Pro/payment-structure.md' }, ] }, + { + text: 'Шифрование каналов связи (ГОСТ VPN)', link: 'security/Cloud-VPN/VPN-index.md', + collapsed: true, + items: [ + { + text: 'Состав сервиса', link: '/security/Cloud-VPN/compond-index.md', + collapsed: true, + items: [ + { text: 'Доступность сервиса', link: '/security/Cloud-VPN/compond/availability.md' }, + { text: 'Зоны ответственности', link: '/security/Cloud-VPN/compond/areas-responsibility.md' }, + { text: 'Изоляция ресурсов', link: '/security/Cloud-VPN/compond/insulation.md' }, + { text: 'Варианты предоставления сервиса', link: '/security/Cloud-VPN/compond/provision.md' }, + { text: 'Дополнительные работы ', link: '/security/Cloud-VPN/compond/work.md' }, + ] + }, + { text: 'Обзор сервиса', link: '/security/Cloud-VPN/about.md' }, + { text: 'Тарификация сервиса', link: '/security/Cloud-VPN/tariffs.md' }, + { text: 'Сроки и условия предоставления сервиса', link: '/security/Cloud-VPN/provision.md' }, + ] + }, ], '/start/': [ { diff --git a/src/PaaS/Deckhouse/about.md b/src/PaaS/Deckhouse/about.md new file mode 100644 index 0000000..0bcb2f0 --- /dev/null +++ b/src/PaaS/Deckhouse/about.md @@ -0,0 +1,107 @@ +# Cloud Deckhouse Kubernetes + +## Назначение сервиса + +**Cloud Deckhouse Kubernetes** — это управляемый облачный сервис на базе платформы оркестрации контейнеров Kubernetes. + +Сервис автоматизирует настройку: +- серверов; +- сети; +- балансировщиков нагрузки; +- механизмов отказоустойчивости. + +Пользователю не нужно самостоятельно управлять инфраструктурой — кластер работает «из коробки». + +> **Kubernetes** - это платформа для оркестрации контейнеров, которая автоматизирует развертывание, масштабирование и управление приложениями. + +## Автоматизация сервис + +**Cloud Deckhouse Kubernetes** самостоятельно выполняет следующие операции: + +| Операция | Описание | +|------------------------------|-------------------------------------------------------| +| Управление ролями узлов | Назначает узлам роли master, frontend, system, worker | +| Мониторинг компонентов | Отслеживает состояние всех частей платформы | +| Восстановление после отказов | Автоматически перезапускает отказавшие узлы и поды | + +## Архитектура и компоненты + +Для стабильной работы сервиса используются три ключевых компонента: + +- **Deckhouse** — платформа управления. Устанавливает, обновляет и настраивает кластер. +- **etcd** — распределенное хранилище. Сохраняет состояние кластера и данные конфигурации. +- **Балансировщики нагрузки** — единая точка входа. Направляют трафик к работающим приложениям. + +## Доступ к приложениям + +Подключение к приложениям внутри кластера выполняется через единую точку доступа. Подключаться к отдельным узлам не требуется. + +## Управление и мониторинг + +| Задача | Инструмент | +|-------------------------------------------------|-----------------------| +| Управление кластером и развертывание приложений | Веб-интерфейс Console | +| Мониторинг состояния системы | Grafana | + +## Отказоустойчивость + +Кластер поставляется в отказоустойчивой архитектуре, которая обеспечивает: + +- высокую доступность плоскости управления (control plane); +- автоматическое восстановление узлов при отказах. + +### Типы узлов кластера + +Кластер состоит из следующих типов виртуальных серверов: + +| Тип виртуального сервера | Количество узлов | Назначение | +| ------------------------------- | ---------------- | -------------------- | +| **Master-узлы (control plane)** | 3 | Обязательные узлы. На них работают управляющие компоненты кластера: API server, etcd, controller manager, scheduler. | +| **System-узлы** | 2 | Служебные узлы. На них размещаются внутренние компоненты платформы Deckhouse, системы мониторинга (Prometheus, Grafana), логирования и другие вспомогательные сервисы, обеспечивающие работу кластера. | +| **Frontend-узлы** | 2 | Узлы, предназначенные для обработки входящего трафика. На них работают Ingress-контроллеры и балансировщики нагрузки, которые принимают запросы из внешней сети и распределяют их между приложениями, запущенными на worker-узлах. | +| **Worker-узлы** | от 1 и более | Узлы, на которых непосредственно выполняются пользовательские приложения в контейнерах. Именно здесь размещаются поды с сервисами и прикладными компонентами. | + +::: info Примечание +По умолчанию кластер работает в высокодоступном режиме. Выход из строя одного или двух master-узлов не приводит к потере управления кластером. +::: + +::: warning Важно +Для тестовых сред возможна **одноузловая конфигурация control plane**. В этом случае отказ master-узла сделает кластер неуправляемым. +::: + +## Доступ к кластеру + +Прямой доступ к серверам кластера (по SSH) не предоставляется. + +Управление приложениями и ресурсами кластера возможно через: + +- **kubectl** — командная строка; +- **веб-интерфейс Console**; +- **API Kubernetes**. + +## Возможности сервиса + +**Cloud Deckhouse Kubernetes** предоставляет возможности, позволяющие использовать Kubernetes без самостоятельного администрирования инфраструктуры. + +Сервис обеспечивает: + +- автоматическое управление кластером (установка, обновление, настройка); +- высокую доступность control plane; +- единую точку входа в приложения; +- автоматическое восстановление при отказах; +- веб-доступ к управлению кластером и мониторингу; +- совместимость со стандартными инструментами (**kubectl**); +- автоматическое масштабирование приложений; +- блочные и сетевые хранилища для данных приложений (Persistent Volume). + +## Сценарии использования + +Сервис подходит для систем, где требуется надежная оркестрация контейнеров и упрощенное управление инфраструктурой. + +Примеры использования: + +- размещение production-приложений в контейнерах с высокими требованиями к доступности; +- микросервисная архитектура с единой точкой управления кластером; +- работа stateful-приложений (базы данных, очереди) с сохранением состояния; +- быстрое развертывание Kubernetes-кластера без ручной настройки сети, хранилищ и мониторинга; +- администрирование через веб-интерфейс без прямого доступа к серверам. \ No newline at end of file diff --git a/src/PaaS/Deckhouse/connection.md b/src/PaaS/Deckhouse/connection.md new file mode 100644 index 0000000..3d5f018 --- /dev/null +++ b/src/PaaS/Deckhouse/connection.md @@ -0,0 +1,238 @@ +# Подключение к сервису Deckhouse + +В данном разделе описаны способы подключения к кластеру **Cloud Deckhouse Kubernetes**. Рассматривается работа с кластером через веб-интерфейс **Console**, а также управление через командную строку с использованием утилиты **kubectl** после генерации **kubeconfig**. + +## Предварительные требования + +После предоставления доступа к **сервису Cloud Deckhouse Kubernetes** пользователь получает возможность управлять кластером через веб-интерфейс **Console**. + +**Console** - это встроенный веб-интерфейс платформы Deckhouse, предназначенный для упрощения взаимодействия с Kubernetes-кластером. + +Он позволяет выполнять большинство операций, доступных в командной строке через **kubectl**, в визуальном режиме: +- мониторинг состояния кластера; +- управление узлами и модулями; +- настройку безопасности и сети. + +## Вход в Console + +1. Откройте веб-браузер и перейдите по адресу, предоставленному для доступа к Console. + +::: info Примечание +URL-адрес направляется пользователю на электронную почту при предоставлении доступа. +::: + +2. На странице ввода учетных данных выполняется аутентификация при помощи логина и пароля; + +![Авторизация](images/authorization.png) + +3. После успешной аутентификации откроется главная страница веб-интерфейса Console. + +![Главная страница](images/home-page.png) + +## Основные разделы Console + +В левой боковой панели веб-интерфейса Console расположены основные разделы для управления кластером: + +| Раздел | Назначение | +| ------------------ | -------------------------------------------------------------------------------------- | +| **Deckhouse** | Управление платформой Deckhouse: обзор, обновления, модули, глобальные настройки | +| **Проекты** | Управление проектами, шаблонами проектов и namespace (пространствами имен) | +| **Узлы** | Управление узлами кластера: группы узлов, конфигурации, классы машин, статические узлы | +| **Конфигурация** | Настройка Deschedulers и Priority Classes | +| **Доступ** | Управление аутентификацией, сессиями пользователей, правами доступа (RBAC) | +| **Сеть** | Настройка Egress-шлюзов, балансировки и управление сертификатами | +| **Хранилище** | Управление Persistent Volume, классами хранилищ и снимками томов | +| **Безопасность** | Настройка политик безопасности и операционных политик | +| **Мониторинг** | Просмотр данных, дашбордов, активных алертов, настройка уведомлений и экспорт метрик | +| **Журналирование** | Управление отправкой и сбором логов | + +## Генерация kubeconfig через Console + +Помимо управления через веб-интерфейс, Console позволяет сгенерировать файл **kubeconfig** для доступа к кластеру через **kubectl**. + +1. На главной странице Console находится раздел «Инструменты» (Tools); +2. Необходимо выбрать пункт «Генератор kubeconfig» (Generate kubeconfig); +3. Нажимается кнопка генерации - система сгенерирует необходимые команды; +4. Далее, нужно скопировать и выполнить в терминале команды, которые сгенерированы для пользовательской учетной записи. + +::: info Примечание +Сгенерированный **kubeconfig** уже содержит все необходимые параметры для подключения к API Kubernetes. +::: + +## Примеры простейших команд kubectl + +После настройки **kubeconfig** управление кластером осуществляется через командную строку с помощью утилиты **kubectl**. Ниже приведены основные команды для начала работы. + +### Проверка подключения к кластеру + +``` +kubectl cluster-info +``` + +**Пример вывода:** + +``` +Kubernetes control plane is running at https://127.0.0.1:6445 + +To further debug and diagnose cluster problems, use 'kubectl cluster-info dump'. +``` + +### Просмотр узлов кластера + +``` +kubectl get nodes +``` + +**Пример вывода:** + +``` +NAME STATUS ROLES AGE VERSION +cloud-frontend-0 Ready frontend 12d v1.32.10 +cloud-frontend-1 Ready frontend 12d v1.32.10 +cloud-master-0 Ready control-plane,master 12d v1.32.10 +cloud-master-1 Ready control-plane,master 12d v1.32.10 +cloud-master-2 Ready control-plane,master 12d v1.32.10 +cloud-system-0 Ready system 12d v1.32.10 +cloud-system-1 Ready system 12d v1.32.10 +cloud-worker-a374349e-zznfp-nkqr2 Ready worker 12d v1.32.10 +cloud-worker-a374349e-zznfp-rdpdz Ready worker 12d v1.32.10 +``` + +### Просмотр пространств имен + +``` +kubectl get namespaces +``` + +**Пример вывода:** + +``` +NAME STATUS AGE +d8-admission-policy-engine Active 12d +d8-cert-manager Active 12d +d8-chrony Active 12d +d8-cloud-instance-manager Active 12d +d8-cloud-provider-vcd Active 12d +d8-cni-cilium Active 12d +d8-console Active 12d +d8-dashboard Active 12d +d8-descheduler Active 12d +d8-ingress-nginx Active 12d +d8-local-path-provisioner Active 12d +d8-log-shipper Active 12d +d8-metallb Active 12d +d8-monitoring Active 12d +d8-multitenancy-manager Active 12d +d8-observability Active 12d +d8-operator-prometheus Active 12d +d8-pod-reloader Active 12d +d8-service-accounts Active 12d +d8-snapshot-controller Active 12d +d8-system Active 12d +d8-upmeter Active 12d +d8-user-authn Active 12d +default Active 12d +kube-node-lease Active 12d +kube-public Active 12d +kube-system Active 12d +``` + +### Просмотр подов в конкретном namespace + +``` +kubectl get pods -n d8-console +``` + +**Пример вывода:** + +``` +NAME READY STATUS RESTARTS AGE +backend-546c7496f8-2nzx2 1/1 Running 0 3d7h +backend-546c7496f8-nxqf4 1/1 Running 0 3d7h +console-dex-authenticator-6b7d456445-7cg9p 2/2 Running 0 12d +console-dex-authenticator-6b7d456445-ljjr8 2/2 Running 0 12d +frontend-79cb59c94d-cf457 1/1 Running 0 3d7h +frontend-79cb59c94d-rvlzk 1/1 Running 0 3d7h +observability-gw-59c4fb6548-2lcqr 1/1 Running 0 3d7h +observability-gw-59c4fb6548-9n6nb 1/1 Running 0 3d7h +``` + +### Просмотр логов пода + +``` +kubectl logs frontend-79cb59c94d-cf457 -n d8-console +``` + +### Просмотр сервисов + +``` +kubectl get services -n d8-console +``` + +**Пример вывода:** + +``` +NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE +backend ClusterIP 10.222.4.60 8999/TCP 12d +console-dex-authenticator ClusterIP 10.222.224.82 443/TCP 12d +frontend ClusterIP 10.222.226.106 80/TCP 12d +observability-gw ClusterIP None 3000/TCP,8443/TCP 12d +``` + +### Быстрое получение информации о ресурсах + +``` +kubectl get all -n d8-console +``` + +**Пример вывода:** + +``` +NAME READY STATUS RESTARTS AGE +pod/backend-546c7496f8-2nzx2 1/1 Running 0 3d7h +pod/backend-546c7496f8-nxqf4 1/1 Running 0 3d7h +pod/console-dex-authenticator-6b7d456445-7cg9p 2/2 Running 0 12d +pod/console-dex-authenticator-6b7d456445-ljjr8 2/2 Running 0 12d +pod/frontend-79cb59c94d-cf457 1/1 Running 0 3d7h +pod/frontend-79cb59c94d-rvlzk 1/1 Running 0 3d7h +pod/observability-gw-59c4fb6548-2lcqr 1/1 Running 0 3d7h +pod/observability-gw-59c4fb6548-9n6nb 1/1 Running 0 3d7h + +NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE +service/backend ClusterIP 10.222.4.60 8999/TCP 12d +service/console-dex-authenticator ClusterIP 10.222.224.82 443/TCP 12d +service/frontend ClusterIP 10.222.226.106 80/TCP 12d +service/observability-gw ClusterIP None 3000/TCP,8443/TCP 12d + +NAME READY UP-TO-DATE AVAILABLE AGE +deployment.apps/backend 2/2 2 2 12d +deployment.apps/console-dex-authenticator 2/2 2 2 12d +deployment.apps/frontend 2/2 2 2 12d +deployment.apps/observability-gw 2/2 2 2 12d + +NAME DESIRED CURRENT READY AGE +replicaset.apps/backend-546c7496f8 2 2 2 3d7h +replicaset.apps/backend-69d8c6bd68 0 0 0 12d +replicaset.apps/console-dex-authenticator-6b7d456445 2 2 2 12d +replicaset.apps/console-dex-authenticator-74c97bf4d6 0 0 0 12d +replicaset.apps/frontend-6b7ffb7bbd 0 0 0 9d +replicaset.apps/frontend-79cb59c94d 2 2 2 3d7h +replicaset.apps/frontend-79ccdfc56b 0 0 0 12d +replicaset.apps/observability-gw-574cdfdd87 0 0 0 12d +replicaset.apps/observability-gw-59c4fb6548 2 2 2 3d7h + + +``` +### Получение справки + +Для получение справки по любой команде используется флаг **--help**: + +``` +kubectl get pods --help +kubectl describe pod --help +``` +### Просмотр подробной информации о конкретном ресурсе + +``` +kubectl describe pod <имя-пода> -n +``` \ No newline at end of file diff --git a/src/PaaS/Deckhouse/user-permissions.md b/src/PaaS/Deckhouse/user-permissions.md new file mode 100644 index 0000000..9337924 --- /dev/null +++ b/src/PaaS/Deckhouse/user-permissions.md @@ -0,0 +1,83 @@ +# Права и возможности пользователей + +При развертывании сервиса Cloud Deckhouse Kubernetes создается учетная запись с уровнем доступа **SuperAdmin**. Этот уровень предоставляет расширенные права на управление кластером Kubernetes. + +**SuperAdmin** получает полный контроль над своими приложениями и ресурсами в пределах выделенного кластера или пространства имен (namespace). + +## Ограничения доступа SuperAdmin + +SuperAdmin **не имеет доступа** к следующим компонентам: + +- инфраструктурный уровень (гипервизоры, физические серверы, сетевое оборудование); +- управление компонентами платформы Deckhouse на уровне всего кластера; +- master-узлы, system-узлы и frontend-узлы; +- изменение конфигурации платформы Deckhouse и ее глобальных модулей. + +## Доступные действия + +### Управление пространствами имен (Namespaces) + +SuperAdmin может управлять пространствами имен: + +- создавать новые namespace; +- удалять namespace (все ресурсы внутри удаляются); +- просматривать список всех namespace; +- устанавливать метки (labels) и аннотации для namespace. + +### Управление рабочими нагрузками + +SuperAdmin имеет полный контроль над подами, развертываниями и другими ресурсами приложений: + +- создавать, обновлять и удалять Deployment, StatefulSet, DaemonSet; +- создавать, обновлять и удалять Pod; +- просматривать логи подов (`kubectl logs`); +- подключаться к выполняющемуся контейнеру (`kubectl exec`); +- масштабировать развертывания (увеличивать или уменьшать количество реплик); +- обновлять версии образов контейнеров; +- удалять поды (в том числе принудительно); +- просматривать события (events) в namespace. + +### Управление сетевым доступом (Services & Ingress) + +SuperAdmin может настраивать способы доступа к приложениям как внутри кластера, так и из внешней сети: + +SuperAdmin может настраивать способы доступа к приложениям внутри кластера и из внешней сети: + +- создавать, изменять и удалять Service (типы: ClusterIP, NodePort, LoadBalancer); +- создавать, изменять и удалять Ingress-правила для маршрутизации входящего трафика; +- настраивать порты и селекторы для сервисов; +- просматривать список сервисов и их конечных точек (endpoints). + +### Управление хранилищем (Storage) + +SuperAdmin может создавать и использовать тома для хранения данных приложений: + +- создавать Persistent Volume Claim (PVC); +- удалять PVC (освобождать дисковое пространство); +- просматривать список PVC и их статусов; +- использовать PVC в подах (монтировать тома). + +### Управление конфигурацией (ConfigMaps & Secrets) + +SuperAdmin может создавать и изменять конфигурационные данные и секреты для приложений: + +- создавать, изменять и удалять ConfigMap; +- создавать, изменять и удалять Secrets (например, для хранения токенов, паролей или ключей); +- монтировать ConfigMap и Secrets в поды в виде переменных окружения или файлов. + +### Мониторинг и наблюдаемость + +SuperAdmin имеет доступ к метрикам и логам своих приложений: + +- просматривать метрики приложений в Grafana; +- просматривать логи через `kubectl logs` или интерфейс сбора логов (Loki); +- просматривать дашборды с информацией о потреблении ресурсов (CPU, RAM, Storage) своими приложениями; +- просматривать события Kubernetes (events) для диагностики проблем. + +### Управление доступом (RBAC) + +SuperAdmin может управлять правами других пользователей в рамках своего пространства имен: + +- создавать и удалять учетные записи (ServiceAccount); +- назначать роли (Role, RoleBinding) другим пользователям в пределах своего namespace; +- ограничивать доступ к отдельным ресурсам. \ No newline at end of file diff --git a/src/security/Cloud-VPN/VPN-index.md b/src/security/Cloud-VPN/VPN-index.md new file mode 100644 index 0000000..5a04162 --- /dev/null +++ b/src/security/Cloud-VPN/VPN-index.md @@ -0,0 +1,16 @@ +--- +section_links: + - title: Обзор сервиса + link: /security/Cloud-VPN/about.md + description: + - title: Тарификация сервиса + link: /security/Cloud-VPN/tariffs.md + description: + - title: Сроки и условия предоставления сервиса + link: /security/Cloud-VPN/provision.md + description: +--- + +# Шифрование каналов связи (ГОСТ VPN) + +Сервис используется для шифрования данных VPN-протоколам. \ No newline at end of file diff --git a/src/security/Cloud-VPN/about.md b/src/security/Cloud-VPN/about.md new file mode 100644 index 0000000..ea2b537 --- /dev/null +++ b/src/security/Cloud-VPN/about.md @@ -0,0 +1,62 @@ +# Cloud NGFW + +## Назначение сервиса + +Сервис «Шифрование каналов связи (ГОСТ VPN)» предназначен для шифрования данных VPN-протоколами. + +**VPN** (Virtual Private Network) — виртуальная частная сеть. Обобщенное название технологий, которые обеспечивают сетевые соединения поверх другой сети. + +**Шифрование** — способ преобразования данных из читаемого формата в закодированный, нечитаемый формат с помощью алгоритма. + +Сервис использует отдельный доступ в интернет. Сервис предоставляется как самостоятельное решение на базе платформы **программно-аппаратного комплекса (ПАК) ViPNet**. Решение имеет сертификаты соответствия ФСБ России и ФСТЭК России. + +::: details (ПАК) ViPNet +ViPNet — это российское средство криптографической защиты информации для организации защищенных VPN-сетей. +::: + +## Пропускная способность + +Пропускная способность VPN-канала **не зависит** от пропускной способности интернет-канала, предоставляемого в сервисе «Предоставление доступа в интернет». Эти сервисы используют разные схемы выхода в интернет по различным каналам. + +## Возможности сервиса + +Сервис «Шифрование каналов связи (ГОСТ VPN)» организует одно или несколько виртуальных соединений. Этот функционал используется для доступа: + +- к пулу ресурсов Beeline Cloud; +- к оборудованию заказчика в ЦОД Beeline Cloud. + +Доступ осуществляется по публичным интернет-каналам с использованием средств защиты. Средства сертифицированы ФСБ и ФСТЭК России. + +## Типы защищённых подключений клиентов + +Сервис предлагает следующие типы подключений к ресурсам Beeline Cloud: + +- VPN-подключение типа **Сеть-сеть**; +- Подключение типа **Удаленный доступ**. + +### Особенности работы ПАК ViPNet + +ПАК ViPNet Coordinator поддерживает только один режим работы одновременно. При типе подключения «Сеть-сеть» L2VPN используется дополнительное выделенное оборудование. Основная инфраструктура использует подключение L3VPN. + +### Протоколы и шифрование + +ПАК использует собственные протоколы туннелирования ViPNet (инкапсуляция IP-трафика приложений в UDP и IP) с шифрованием по ГОСТ 28147-89 (256 бит). + +## Условия предоставления сервиса + +Сервис предоставляется в зависимости от: + +- выбранной схемы подключения; +- желаемых показателей производительности (скорость и количество туннелируемых адресов); +- варианта использования оборудования на стороне заказчика для подключения типа «Сеть-сеть». + +### Варианты оборудования для подключения «Сеть-сеть» + +| Вариант | Описание | +|---------|----------| +| Аренда ViPNet Coordinator у Beeline Cloud | Заказчик арендует оборудование у провайдера | +| Использование собственного ViPNet Coordinator | Оборудование находится у заказчика. Заказчик самостоятельно настраивает межсетевое взаимодействие. Beeline Cloud может выполнить настройку за отдельную плату. | + +## Требования к сети + +Для работы ViPNet Coordinator заказчику необходимо использовать **уникальный внешний «белый» IP-адрес**. diff --git a/src/security/Cloud-VPN/compound/areas-responsibility.md b/src/security/Cloud-VPN/compound/areas-responsibility.md new file mode 100644 index 0000000..6a638cb --- /dev/null +++ b/src/security/Cloud-VPN/compound/areas-responsibility.md @@ -0,0 +1,9 @@ +# Зоны ответственности + +Разграничение зон ответственности за работоспособность компонентов сети ViPNet при использовании **сети ViPNet beeline cloud**: + +![Использование сети ViPNet beeline cloud](../../image/VPN/VPN-ViPNet-beeline-cloud-1.png) + +Разграничение зон ответственности за работоспособность компонентов сети ViPNet при использовании **межсетевого взаимодействия между сетями ViPNet заказчика и beeline cloud**: + +![Организация межсетевого взаимодействия между сетями ViPNet заказчика и beeline cloud](../../image/VPN/VPN-ViPNet-beeline-cloud-2.png) \ No newline at end of file diff --git a/src/security/Cloud-VPN/compound/availability.md b/src/security/Cloud-VPN/compound/availability.md new file mode 100644 index 0000000..ffe9322 --- /dev/null +++ b/src/security/Cloud-VPN/compound/availability.md @@ -0,0 +1,15 @@ +# Доступность сервиса + +Сервис **Шифрование каналов связи (ГОСТ VPN)** обеспечивает доступность не менее **99,95%** в зоне функционирования оборудования. Beeline Cloud гарантирует эти параметры только на своей стороне. + +## Доступность криптографического шлюза + +Активный внешний порт криптографического шлюза (ViPNet Coordinator) доступен из сетей общего пользования через порты, необходимые для работы ViPNet. + +## Отказоустойчивость + +Программно-аппаратный комплекс (ПАК) на стороне Beeline Cloud работает в режиме кластера горячего резервирования (active-passive). Кластер предназначен для горячей замены функций одного из серверов ViPNet другим сервером в случае его сбоя. + +## Мониторинг + +ПАК подключен к корпоративной системе мониторинга сетевых устройств. Система отслеживает активность внешнего интерфейса криптографического шлюза и автоматически оповещает администраторов о его недоступности. diff --git a/src/security/Cloud-VPN/compound/compound-index.md b/src/security/Cloud-VPN/compound/compound-index.md new file mode 100644 index 0000000..7d591b8 --- /dev/null +++ b/src/security/Cloud-VPN/compound/compound-index.md @@ -0,0 +1,18 @@ +--- +section_links: + - title: Доступность сервиса + link: /security/Cloud-VPN/compound/availability.md + compound: + - title: Зоны ответственности + link: /security/Cloud-VPN/compound/areas-responsibility.md + compound: + - title: Изоляция ресурсов + link: /security/Cloud-VPN/compound/insulation.md + compound: + - title: Варианты предоставления сервиса + link: /security/Cloud-VPN/compound/provision.md + compound: + - title: Дополнительные работы + link: /security/Cloud-VPN/compound/work.md + compound: +--- diff --git a/src/security/Cloud-VPN/compound/insulation.md b/src/security/Cloud-VPN/compound/insulation.md new file mode 100644 index 0000000..430f1d9 --- /dev/null +++ b/src/security/Cloud-VPN/compound/insulation.md @@ -0,0 +1,14 @@ +# Изоляция ресурсов + +В сервисе **Шифрование каналов связи (ГОСТ VPN)** внутренние ресурсы заказчика полностью изолированы от ресурсов других заказчиков. + +**Ресурсы** — это данные и системы, которые туннелируются через криптографический шлюз для защищенного внешнего доступа клиентов заказчика. + +#### Изоляция обеспечивается следующими механизмами: + +- внутреннее сетевое оборудование Beeline Cloud — ресурсы находятся в разных VLAN; +- списки правил сетевого доступа и другие средства защиты и ограничения. + +## Доступ к ресурсам + +К внутренним ресурсам конкретного заказчика подключаются только те пользователи, которые соответствуют правилам сетевого доступа. Правила создаются на межсетевом оборудовании Beeline Cloud. diff --git a/src/security/Cloud-VPN/compound/provision.md b/src/security/Cloud-VPN/compound/provision.md new file mode 100644 index 0000000..4ec9be5 --- /dev/null +++ b/src/security/Cloud-VPN/compound/provision.md @@ -0,0 +1,37 @@ +# Варианты предоставления сервиса + +## Типы подключения + +Сервис **Шифрование каналов связи (ГОСТ VPN)** предлагает два типа подключений к ресурсам Beeline Cloud: + +1. VPN-подключение типа **Сеть-сеть**; +2. Подключение типа **Удаленный доступ**. + +## 1. VPN-подключение типа Сеть-сеть + +Beeline Cloud выполняет работы: + +| Работа | Комментарий | +|--------|-------------| +| Установка на стороне заказчика совместимого сервера **ViPNet Coordinator** (HW2000\1000\100\50) | Установка выполняется либо beeline cloud, либо используется существующий сервер заказчика.
Проводимые работы:
- Монтаж серверного оборудования **ViPNet Coordinator** на территории объекта заказчика.
- Инсталляция ПО **ViPNet Coordinator**.
- Настройка **ViPNet Coordinator**.| +| Настройка межсетевого взаимодействия между **ViPNet Coordinator** заказчика (силами Beeline Cloud или силами заказчика) и Beeline Cloud. | - | +| Предоставление доступа заказчику к ресурсам Beeline Cloud | Настройка:
- Правил сетевого доступа на ViPNet Coordinator DataFort заказчика и на внутреннем сетевом оборудовании Beeline Cloud.
- Сетевой связанности между **ViPNet Coordinator DataFort** и ресурсами в пуле заказчика. Beeline Cloud добавляет соответствующий VLAN на CPE-устройство или виртуальных машин (ВМ).
- Правил сетевого доступа на устройстве CPE заказчика в облаке.| + +### Схема предоставления сервиса + +![Схема подключения типа Сеть-сеть](../../image/VPN/VPN-сеть-сеть.png) + +## 2. VPN-подключение типа Удаленный доступ + +Beeline Cloud выполняет работы: + +| Работа | Комментарий | +|--------|-------------| +|Создание учетных данных для первичной инициализации ПО **ViPNet Client** для подключения к защищенной сети **ViPNet** Beeline Cloud | Администратор сети ViPNet beeline cloud создает новый абонентский пункт и пользователя для нового ViPNet клиента.
Администратор сети ViPNet beeline cloud создает учетные данные для первичной инициализации ПО ViPNet заказчика.
В результате создаются следующие файлы:
1. Файл с расширением `*.dst`:
-адресные справочники из центра управления сетью;
-основную информацию (ключи пользователя, ключи узла, резервный набор персональных ключей);
- лицензионный файл.
2. Файл с расширением `*.txt`* содержит пароль пользователя ViPNet клиента.| +|Передача учетных данных заказчику администратором сети ViPNet beeline cloud | Сервис предлагает два защищенных способа передачи данных:
- съемный носитель информации;
- сетевой канал передачи данных. Данные шифруются.| +|Установка и настройка на ПК\ мобильное устройство заказчика соответствующего ПО ViPNet силами заказчика | - | +|Предоставление доступа заказчику к ресурсам beeline cloud | Настройка:
- Правил сетевого доступа на ViPNet Coordinator DataFort заказчика и на внутреннем сетевом оборудовании beeline cloud.
- Сетевой связанности между ViPNet Coordinator beeline cloud и ресурсами в пуле заказчика. Beeline cloud добавляет VLAN на CPE устройство или ВМ.
- Правил сетевого доступа на устройстве CPE заказчика в облаке.| + +### Схема предоставления сервиса + +![Схема подключения типа Удаленный доступ](../../image/VPN/VPN-удаленный-доступpng.png) \ No newline at end of file diff --git a/src/security/Cloud-VPN/compound/work.md b/src/security/Cloud-VPN/compound/work.md new file mode 100644 index 0000000..39d0c11 --- /dev/null +++ b/src/security/Cloud-VPN/compound/work.md @@ -0,0 +1,20 @@ +# Дополнительные работы + +Дополнительные работы не входят в сервис **Шифрование каналов связи (ГОСТ VPN)** и тарифицируются отдельно по фактическим трудозатратам. + +::: warning Важно +Заказчик отвечает за установку и настройку клиентского ПО для организации VPN-подключения. +::: + +| Наименование работ | Трудозатраты, ч/ч | Квалификация специалиста | +| --------------------------------------------------------------------------------------------------- | ----------------- | -------------------------------- | +| Удаленная настройка оборудования — криптошлюза или клиентского ПО — на стороне заказчика | от 1 | Специалист третьего уровня (ДИБ) | +| Настройка особых правил разграничения доступа к информационным ресурсам и фильтрации трафика | от 0,5 | Специалист третьего уровня (ДИБ) | +| Настройка дополнительного или изменение параметров существующего VPN-подключения | от 0,5 | Специалист третьего уровня (ДИБ) | +| Изменение, добавление и удаление учетной записи пользователя VPN-подключения для удаленного доступа | от 0,5 | Специалист третьего уровня (ДИБ) | + +::: info Примечание + +**Человеко-час (ч/ч)** — это единица учета рабочего времени, соответствующая одному часу фактической работы одного сотрудника. + +::: \ No newline at end of file diff --git a/src/security/Cloud-VPN/provision.md b/src/security/Cloud-VPN/provision.md new file mode 100644 index 0000000..13aaf54 --- /dev/null +++ b/src/security/Cloud-VPN/provision.md @@ -0,0 +1,54 @@ +# Сроки и условия предоставления сервиса + +## Порядок подключения сервиса + +### Заказчик + +1. Заполните и подпишите бланк заказа (БЗ) на предоставление сервиса **Шифрование каналов связи (ГОСТ VPN)** и опросный лист. +2. Отправьте отсканированную копию подписанного БЗ на e-mail `presales@datafort.ru` и корпоративный e-mail менеджера по продажам Beeline Cloud, указанный в заказе. +3. Предоставьте ФИО и e-mail администратора платформы. +4. Направьте оригинал БЗ в Beeline Cloud в порядке, установленном договором. + +Скачайте [опросный лист](https://disk.datafort.ru/public/s/DiqBkajp7rEoXym) с помощью сервиса Cloud Workspace (WS). + +### Beeline Cloud + +1. Проверяет корректность заполнения бланка заказа и опросного листа и регистрирует заказ. +2. Уведомляет заказчика по e-mail о принятии заказа в работу. +3. Подключает сервис. +4. Предоставляет заказчику доступ к сервису не позднее двух рабочих дней с момента принятия заказа в работу. + +## Настройка нестандартных конфигураций + +Если требуется настройка нестандартных конфигураций, заказчик предоставляет необходимую информацию в Beeline Cloud. + +## Прием запросов от заказчика + +Beeline Cloud принимает запросы только от уполномоченных лиц заказчика, указанных в бланке заказа. Если конечный пользователь обращается в службу поддержки Beeline Cloud напрямую, он получает рекомендацию направить обращение через уполномоченных лиц. + +## Зона ответственности + +### Заказчик: + +Заказчик принимает следующие условия использования сервиса: + +- использование сервиса осуществляется **на свой риск**; +- Beeline Cloud **не несет ответственности** за любые прямые, случайные, особые, косвенные или штрафные убытки, включая, но не ограничиваясь: + - утрату данных; + - утрату возможности использования сервиса; + - упущенную выгоду; + - прерывание бизнеса. + +Указанные последствия могут возникать в результате использования или невозможности использования сервиса. + +### Beeline Cloud + +Beeline Cloud обеспечивает работоспособность сервиса в соответствии с условиями договора. + +Beeline Cloud **не несёт ответственности** за: + +- обеспечение защиты от угроз информационной безопасности; +- ошибки, сбои или недостаточную производительность программного обеспечения, разработанного сторонним вендором; +- непрерывность и надёжность работы такого ПО. + +При выявлении ошибок в программном обеспечении, на котором развёрнут сервис, Beeline Cloud регистрирует инцидент в технической поддержке вендора и содействует его устранению. \ No newline at end of file diff --git a/src/security/Cloud-VPN/tariffs.md b/src/security/Cloud-VPN/tariffs.md new file mode 100644 index 0000000..2399656 --- /dev/null +++ b/src/security/Cloud-VPN/tariffs.md @@ -0,0 +1,28 @@ +# Тарификация сервиса + +Сервис «Шифрование каналов связи (ГОСТ VPN)» предоставляется как самостоятельное решение. Сервис оформляется в бланке заказа (БЗ). + +## Состав платежей + +Платежи включают: + +- **единовременный платеж** — за подключение услуги и конфигурацию параметров устройства на платформе; +- **ежемесячный платеж** — за предоставление сервиса. + +## Единовременный платеж + +Единовременный платеж включает: + +- подключение сервиса; +- настройку параметров устройства; +- дополнительные работы. + +## Ежемесячный платеж + +Размер фиксированного ежемесячного платежа зависит от **защищаемой полосы пропускания** (скорости VPN-канала). Точный размер указывается в бланке заказа (БЗ). + +Beeline Cloud предоставляет оборудование и/или программное обеспечение в рамках ежемесячного платежа. + +## Дополнительные работы + +[Дополнительные работы](./compound/work.md) выполняются на основании заявок от уполномоченных представителей заказчика (указанных в БЗ) и оплачиваются отдельно. diff --git a/src/security/image/VPN/VPN-ViPNet-beeline-cloud-1.png b/src/security/image/VPN/VPN-ViPNet-beeline-cloud-1.png new file mode 100644 index 0000000..2b6bb11 Binary files /dev/null and b/src/security/image/VPN/VPN-ViPNet-beeline-cloud-1.png differ diff --git a/src/security/image/VPN/VPN-ViPNet-beeline-cloud-2.png b/src/security/image/VPN/VPN-ViPNet-beeline-cloud-2.png new file mode 100644 index 0000000..b779082 Binary files /dev/null and b/src/security/image/VPN/VPN-ViPNet-beeline-cloud-2.png differ diff --git a/src/security/image/VPN/VPN-сеть-сеть.png b/src/security/image/VPN/VPN-сеть-сеть.png new file mode 100644 index 0000000..a657688 Binary files /dev/null and b/src/security/image/VPN/VPN-сеть-сеть.png differ diff --git a/src/security/image/VPN/VPN-удаленный-доступpng.png b/src/security/image/VPN/VPN-удаленный-доступpng.png new file mode 100644 index 0000000..fa73551 Binary files /dev/null and b/src/security/image/VPN/VPN-удаленный-доступpng.png differ diff --git a/src/security/index.md b/src/security/index.md index b6cce7e..0975945 100644 --- a/src/security/index.md +++ b/src/security/index.md @@ -37,8 +37,8 @@ section_links: #link: /security/Cloud-WAF-PRO description: В работе - title: Шифрование каналов связи (ГОСТ VPN) - #link: /security/Cloud-VPN - description: В работе + link: /security/Cloud-VPN + description: - title: Cloud DDoS Protection #link: /security/Cloud-DDoS description: В работе