alex/fox
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Compare commits

base: alex/fox:e1b0c5d6
Branches Tags
alex/fox:main alex/fox:feature/MFA-merge alex/fox:fix/links-and-script alex/fox:fix/paas-structure alex/fox:feature/tariff-types alex/fox:Apache-Kafka alex/fox:patch/finance-gr alex/fox:test alex/fox:feature/VPN alex/fox:feature/PaaS-Deckhouse alex/fox:feature/MFA alex/fox:fix/finance-patch alex/fox:fix/legal-sidebar alex/fox:fix/tab-name alex/fox:feature/finance alex/fox:fix/icon-legal alex/fox:feature/billing alex/fox:feature/ngfw-f alex/fox:feature/ngfw-pro alex/fox:feature/PaaS-1C-Interconnection alex/fox:feature/ngfw alex/fox:fix/security-naming alex/fox:fix/gener-link-index#VEGA-6128 alex/fox:feature/gold-image alex/fox:feature/monitoring-2 alex/fox:feature/cyberproject alex/fox:PaaS/PostgreSQL alex/fox:fix/vm-getting-started-update alex/fox:feature/interconnect alex/fox:feature/ai alex/fox:feature/VEGA-4499-main-page alex/fox:feature/yellowbe alex/fox:feather/BEECL-3636/df-docs-v2
alex/fox:e1b0c5d6
..
compare: alex/fox:feature/MFA
Branches Tags
alex/fox:feature/MFA-merge alex/fox:main alex/fox:fix/links-and-script alex/fox:fix/paas-structure alex/fox:feature/tariff-types alex/fox:Apache-Kafka alex/fox:patch/finance-gr alex/fox:test alex/fox:feature/VPN alex/fox:feature/PaaS-Deckhouse alex/fox:feature/MFA alex/fox:fix/finance-patch alex/fox:fix/legal-sidebar alex/fox:fix/tab-name alex/fox:feature/finance alex/fox:fix/icon-legal alex/fox:feature/billing alex/fox:feature/ngfw-f alex/fox:feature/ngfw-pro alex/fox:feature/PaaS-1C-Interconnection alex/fox:feature/ngfw alex/fox:fix/security-naming alex/fox:fix/gener-link-index#VEGA-6128 alex/fox:feature/gold-image alex/fox:feature/monitoring-2 alex/fox:feature/cyberproject alex/fox:PaaS/PostgreSQL alex/fox:fix/vm-getting-started-update alex/fox:feature/interconnect alex/fox:feature/ai alex/fox:feature/VEGA-4499-main-page alex/fox:feature/yellowbe alex/fox:feather/BEECL-3636/df-docs-v2
alex/fox:e1b0c5d6

13 Commits
e1b0c5d6 .. feature/MFA

Author SHA1 Message Date
Левченко Людмила Алексеевна 0aa9b5f64f правки в index файле 2026-05-05 18:25:06 +03:00
Левченко Людмила Алексеевна f7ead0f767 описание сервиса MFA 2026-05-05 18:05:27 +03:00
Левченко Людмила Алексеевна 10e8edff2e сервис MFA 2026-05-04 17:59:22 +03:00
Анисин Александр Александрович d921225b30 Merge branch 'feature/security-part-prod' into 'main' 
Feature/security part prod

See merge request common/lk-beecloud/beecloud-docs!11
 2026-04-08 06:57:04 +00:00
Aleksandr Anisin 26e65e2a72 Заглушка 2026-04-08 09:55:04 +03:00
Aleksandr Anisin b01b38ed5a Правки в разделах по безопасности 2026-04-08 09:49:45 +03:00
Aleksandr Anisin dbaf23e144 Разделы по безопасности 2026-04-08 09:36:45 +03:00
Aleksandr Anisin 6511368389 Разделы по безопасности 2026-04-08 09:35:08 +03:00
Aleksandr Anisin 3808af1e34 Разделы по безопасности 2026-04-08 09:24:37 +03:00
Левченко Людмила Алексеевна fc7486d182 Merge branch 'feature/PaaS-PostgreSQL-to-main' into 'main' 
feature/PaaS-PostgreSQL-to-main

See merge request common/lk-beecloud/beecloud-docs!10
 2026-04-01 18:00:48 +03:00
Левченко Людмила Алексеевна ec84ec85e1 feature/PaaS-PostgreSQL-to-main 2026-04-01 18:00:48 +03:00
Левченко Людмила Алексеевна 52edef245f Merge branch 'feature/PaaS-PostgreSQL-to-main' into 'main' 
feature/PaaS-PostgreSQL-to-main

See merge request common/lk-beecloud/beecloud-docs!7
 2026-04-01 15:10:51 +03:00
Левченко Людмила Алексеевна a47571d8af feature/PaaS-PostgreSQL-to-main 2026-04-01 15:10:51 +03:00
103 changed files with 2283 additions and 531 deletions
Expand all files Collapse all files
src/.vitepress/config.mts
+127 -1
View File
@@ -151,6 +151,113 @@ export default defineConfig({
],
},
],
'/security/': [
{
text: 'Сервисы информационной безопасности в Beeline Cloud', link: '/security/index.md',
},
{
text: 'Cloud Security Awareness (SA)', link: 'security/Cloud-SA/SA-index.md',
collapsed: true,
items: [
{
text: 'Состав сервиса SA', link: '/security/Cloud-SA/SA-index.md',
collapsed: true,
items: [
{ text: 'Обзор сервиса', link: '/security/Cloud-SA/compond-SA/about.md' },
{ text: 'Состав сервиса', link: '/security/Cloud-SA/compond-SA/compond-SA.md' },
{ text: 'Настройки сервиса по умолчанию', link: '/security/Cloud-SA/compond-SA/default-service.md' },
{ text: 'Почтовый ретранслятор (SMTP relay)', link: '/security/Cloud-SA/compond-SA/mail-relay.md' },
{ text: 'Мониторинг работоспособности платформы', link: '/security/Cloud-SA/compond-SA/monitoring.md' },
{ text: 'Модули платформы', link: '/security/Cloud-SA/compond-SA/platform-modules.md' },
{ text: 'Ограничения платформы', link: '/security/Cloud-SA/compond-SA/restrictions.md' },
{ text: 'Отказоустойчивость сервиса', link: '/security/Cloud-SA/compond-SA/stability.md' },
{ text: 'Шаблоны почтовых сообщений и веб-форм', link: '/security/Cloud-SA/compond-SA/templates.md' },
{ text: 'Дополнительные работы ', link: '/security/Cloud-SA/compond-SA/work.md' },
]
},
{ text: 'Качественные характеристики сервиса', link: '/security/Cloud-SA/characteristics.md' },
{ text: 'Инструкции для начала работы с сревисом', link: '/security/Cloud-SA/instructions.md' },
{ text: 'Порядок платежей', link: '/security/Cloud-SA/payment-procedure.md' },
{ text: 'Сроки и условия предоставления сервиса', link: '/security/Cloud-SA/provision.md' },
]
},
{
text: 'Cloud Vulnerability Scanner (VS)', link: '/security/Cloud-VS/VS-index.md',
collapsed: true,
items: [
{ text: 'Обзор сервиса VS', link: '/security/Cloud-VS/about.md'},
{ text: 'Варианты предоставления сервиса', link: '/security/Cloud-VS/provision-service.md' },
{ text: 'Мониторинг работоспособности и отказоустойчивость сервиса', link: '/security/Cloud-VS/monitoring.md' },
{ text: 'Состав работ', link: '/security/Cloud-VS/scope-work.md' },
{ text: 'Дополнительные работы', link: '/security/Cloud-VS/work.md' },
{ text: 'Зоны ответсвенности', link: '/security/Cloud-VS/areas-responsibility.md' },
{ text: 'Качественные характеристики сервиса', link: '/security/Cloud-VS/characteristics.md' },
{ text: 'Сроки предоставления сервиса', link: '/security/Cloud-VS/provision.md' },
{ text: 'Порядок платежей', link: '/security/Cloud-VS/payment-procedure.md' },
]
},
{
text: 'Cloud Mobile Device Management (MDM)', link: '/security/Cloud-MDM/MDM-index.md',
collapsed: true,
items: [
{ text: 'Обзор сервиса', link: '/security/Cloud-MDM/about.md' },
{
text: 'Описание сервиса MDM', link: '/security/Cloud-MDM/description/description-index.md',
collapsed: true,
items: [
{ text: 'Состав сервиса', link: '/security/Cloud-MDM/description/compound.md' },
{ text: 'Архитектура сервиса', link: '/security/Cloud-MDM/description/architecture.md' },
{ text: 'Зоны ответственности', link: '/security/Cloud-MDM/description/areas-responsibility.md' },
{ text: 'Мониторинг работоспособности и отказоустойчивость сервиса', link: '/security/Cloud-MDM/description/monitoring.md' },
{ text: 'Дополнительные работы', link: '/security/Cloud-MDM/description/work.md' },
]
},
{ text: 'Качественные характеристики сервиса', link: '/security/Cloud-MDM/characteristics.md' },
{ text: 'Сроки и условия предоставления сервиса', link: '/security/Cloud-MDM/provision.md' },
{ text: 'Порядок платежей', link: '/security/Cloud-MDM/payments.md' },
{
text: 'Инструкции', link: '/security/Cloud-MDM/instructions/index.md',
collapsed: true,
items: [
{ text: 'Инструкции', link: '/security/Cloud-MDM/instructions/instructions.md' },
{ text: 'Активация учетной записи', link: '/security/Cloud-MDM/instructions/activation.md' },
{ text: 'Режим Device Owner', link: '/security/Cloud-MDM/instructions/device-owner.md' },
]
},
],
},
{
text: 'Cloud Multifactor Authentication (MFA)', link: '/security/Cloud-MFA/MFA-index.md',
collapsed: true,
items: [
{ text: 'Обзор сервиса', link: '/security/Cloud-MFA/about.md' },
{
text: 'Описание сервиса MFA', link: '/security/Cloud-MFA/description/description-index.md',
collapsed: true,
items: [
{ text: 'Состав сервиса', link: '/security/Cloud-MFA/description/compound.md' },
{ text: 'Компоненты сервиса', link: '/security/Cloud-MFA/description/components.md' },
{ text: 'Схема взаимодействия компонентов сервиса', link: '/security/Cloud-MFA/description/interaction-scheme.md' },
{
text: 'Работы сервиса', link: '/security/Cloud-MFA/work/work-index.md',
collapsed: true,
items: [
{ text: 'Состав работ сервиса', link: '/security/Cloud-MFA/description/work/work.md' },
{ text: 'Дополнительные работы сервиса', link: '/security/Cloud-MFA/description/work/dop-work.md' },
]
},
{ text: 'Настройки по умолчанию (Managed Service)', link: '/security/Cloud-MFA/description/default-settings.md' },
{ text: 'Зоны ответственности', link: '/security/Cloud-MFA/description/responsibility-zone.md' },
{ text: 'Мониторинг работоспособности', link: '/security/Cloud-MFA/description/monitoring.md' },
{ text: 'Отказоустойчивость', link: '/security/Cloud-MFA/description/fault-tolerance.md' },
]
},
{ text: 'Качественные характеристики сервиса', link: '/security/Cloud-MFA/characteristics.md' },
{ text: 'Сроки и условия предоставления сервиса', link: '/security/Cloud-MFA/provision.md' },
{ text: 'Порядок платежей', link: '/security/Cloud-MFA/payment-procedure.md' },
],
},
],
'/start/': [
{
text: 'Начало работы в Beeline Cloud', link: '/start/index.md',
@@ -159,6 +266,25 @@ export default defineConfig({
{text: 'Бесплатный период', link: '/start/trial.md'},
{text: 'Платное использование', link: '/start/organization.md'},
],
'/PaaS/': [
{
text: 'Начало работы в Cloud PostgreSQL', link: '/PaaS/index.md',
},
{ text: 'Cloud PostgreSQL', link: '/PaaS/PostgreSQL/PostgreSQL-index.md',
collapsed: true,
items: [
{text: 'Обзор сервиса', link: '/PaaS/PostgreSQL/about.md'},
{text: 'Описание технических параметров', link: '/PaaS/PostgreSQL/cluster-parameter.md'},
{text: 'Общая схема подключения', link: '/PaaS/PostgreSQL/connection.md'},
{text: 'Возможности пользователя', link: '/PaaS/PostgreSQL/user-capabilities.md'},
{text: 'Веб-интерфейс pgAdmin', link: '/PaaS/PostgreSQL/pgadmin.md'},
{text: 'Веб-интерфейс Grafana', link: '/PaaS/PostgreSQL/grafana.md'},
],
},
{text: 'Параметры конфигурации IPSEC', link: '/PaaS/IPSEC.md'},
],
// '/billing/': [
// ],
@@ -299,7 +425,7 @@ export default defineConfig({
{ text: 'Управление ВМ', link: '/compute/compute-how-to/compute-servers-manage.md' },
],
},
{ text: 'Диски', link: '/compute/compute-how-to/compute-disks/compute-disk-index.md',
{ text: 'Диски', link: '/compute/compute-how-to/compute-disks/compute-disk-index.md',
collapsed: true,
items: [
{ text: 'Обзор', link: '/compute/compute-how-to/compute-disks/compute-disk-about.md' },
src/PaaS/IPSEC.md
+144
View File
@@ -0,0 +1,144 @@
# Параметры конфигурации IPsec-соединения
В данном разделе приведены параметры конфигурации IPsec-соединения, используемого для организации защищенного канала связи между инфраструктурой заказчика и кластерами. Материал описывает настройки этапов установки соединения и передачи данных, включая методы аутентификации, алгоритмы шифрования и хеширования, группы Диффи-Хеллмана, а также параметры времени жизни ключей.
Ниже приведены основные параметры, задаваемые при развертывании кластера Kafka. Часть параметров определяется клиентом на этапе заказа услуги, часть - фиксирована и не подлежит изменению.
## Данные о конфигурации IPSEC
Параметры подключения (имя туннеля, устройство, публичный IP-адрес) заполняются вручную на основании информации, предоставленной заказчиком.
#### Версия IKE (Internet Key Exchange)
Версия IKE выбирается из выпадающего списка, который содержит в себе два параметра - **v1** и **v2**.
- **IKE v1** - более ранняя версия протокола;
- **IKE v2** - более современная версия (обеспечивает более устойчивое соединение и гибкую обработку ошибок).
Рекомендуется использовать **IKE v2**, если оборудование заказчика это поддерживает.
## Метод аутентификации
Метод аутентификации выбирается вручную из выпадающего списка, который содержит два варианта:
- **PSK (Pre-Shared Key)** - метод аутентификации, при котором используется заранее согласованный общий ключ;
- **Certificate** - аутентификация с использованием цифровых сертификатов.
## Этап 1 - установка защищенного соединения
#### Hash
Определяет алгоритм хеширования **для защиты управляющего канала**.
Данный параметр заполняется вручную из выпадающего списка следующего содержания:
- **SHA 1** - Формирует хеш длиной 160 бит, имеет коллизии (уязвимости), в современных системах считается устаревшим, используется только для совместимости со старым оборудованием;
- **SHA 2 - 256** - Формирует хеш длиной 256 бит, существенно более устойчив к атакам, оптимальный баланс между безопасностью и производительностью, а также, на сегодняшний день, является стандартом по умолчанию в большинстве систем;
- **SHA 2 - 384** - Длина хеша составляет 384 бита, имеет повышенную криптостойкость, требует больше вычислительных ресурсов, чем SHA-1 и SHA 2-256. Используется в средах с повышенными требованиями к безопасности;
- **SHA 2 - 512** - Длина хеша составляет 512 бит, осуществляет самый высокий уровень стойкости из перечисленных, а также создает большую нагрузку на процессор. Обычно применяется в системах с повышенными требованиями к криптографии.
#### Шифрование
Определяет **алгоритм симметричного шифрования.**
Данный параметр заполняется вручную из выпадающего списка следующего содержания:
- **AES 128** - имеет 128-битный ключ, обеспечивает быстрое шифрование, имеет достаточный уровень безопасности для большинства задач;
- **AES 256** - имеет 256-битный ключ, обеспечивает более высокую криптостойкость, оказывает немного большую нагрузку на CPU;
- **AES GCM 12** / **AES GCM 192** / **AES GCM 256** - данные алгоритмы совмещают шифрование и контроль целостности, обладают более современным режимом работы, считаются более эффективными по производительности, а также рекомендуются в современных конфигурациях. Разница между этими тремя алгоритмами лишь в длине ключа.
#### DH Group - группа Деффи Хеллмана
Механизм Diffie-Hellman используется **для безопасной генерации общего секретного ключа** между сторонами туннеля без передачи этого ключа по сети.
Чем выше номер группы и длина ключа - тем выше криптографическая стойкость соединения.
Данный параметр так же содержит в себе выпадающий список, состоящий из следующих значений:
- **group 2**;
- **group 5**;
- **group 14**;
- **group 15**;
- **group 16**;
- **group 19**;
- **group 20**;
- **group 21**.
#### IKE Mode (только для IKEv1)
Параметр IKE Mode **определяет способ установления соединения** на этапе 1 при использовании протокола IKEv1.
Доступны два режима: **Main** и **Aggressive**. Они отличаются количеством сообщений при установке соединения и уровнем защиты идентификационных данных.
- Main Mode - является стандартным и более безопасным режимом работы IKEv1.
- Aggressive Mode - упрощённый и ускоренный режим установления соединения. (более низкий уровень защиты данных)
#### Время жизни
Определяет, как долго действуют согласованные ключи в рамках первой фазы.
- Рекомендуемое значение: 86400 секунд (24 часа);
- После истечения времени выполняется повторная генерация ключей.
## Этап 2 - передача данных
Этап 2 IPsec-соединения отвечает за шифрование и защиту пользовательского трафика после того, как защищённый канал был установлен на этапе 1. Этот этап регулирует передачу данных между сторонами через безопасный туннель, который обеспечивает конфиденциальность и целостность данных.
#### Hash
Аналогично этапу 1, параметр Hash используется **для защиты целостности передаваемых данных**. Он обеспечивает проверку, что данные не были изменены при передаче.
Содержит элементы для выбора:
- **SHA 1**;
- **SHA 2 - 256**;
- **SHA 2 - 384**;
- **SHA 2 - 512**.
#### Шифрование
Этап 2 отвечает за **шифрование пользовательского трафика**. Это важнейший параметр, который защищает данные при их передаче по сети.
Доступны следующие алгоритмы:
- **AES 128**;
- **AES 256**;
- **AES GCM 128**;
- **AES GCM 192**;
- **AES GCM 256**.
#### PFS
**Enable perfect forward secrecy (PFS)** - параметр, активирующий генерацию нового ключа на этапе 2. При включенном PFS группа DH будет такая же как и на 1-й фазе. Данный параметр представлен в виде чекбокса.
При его включении:
- На этапе 2 выполняется дополнительный обмен ключами Diffie-Hellman;
- Для каждой новой IPsec-сессии формируется новый независимый криптографический секрет;
- Ключи шифрования пользовательского трафика не зависят от ключей этапа 1.
#### DH Group - группа Деффи Хеллмана
Группа DH **определяет параметры обмена ключами** между сторонами. Чем выше номер группы, тем выше криптографическая стойкость и безопасность обмена.
Данный параметр так же содержит в себе выпадающий список, состоящий из следующих значений:
- **group 2**;
- **group 5**;
- **group 14**;
- **group 15**;
- **group 16**;
- **group 19**;
- **group 20**;
- **group 21**.
#### Время жизни (в секундах)
Определяет, как долго действуют согласованные ключи в рамках второй фазы.
- Рекомендуемое значение: 3600 секунд (1 час).
- После истечения времени выполняется повторная генерация ключей.
#### Префиксы локальной сети заказчика
Этот параметр определяет, какие сети на стороне заказчика будут маршрутизироваться через IPsec-туннель.
Префиксы задаются в формате `192.168.1.0/24`, который позволяет указать диапазон IP-адресов.
src/PaaS/PostgreSQL/PostgreSQL-index.md
+25
View File
@@ -0,0 +1,25 @@
---
section_links:
- title: Назначение сервиса
link: /PaaS/PostgreSQL/about.md
description: Конфигурации и возможности сервиса
- title: Параметры кластера PostgreSQL
link: /PaaS/PostgreSQL/cluster-parameter.md
description: Технические параметры кластера PostgreSQL
- title: Схема подключения
link: /PaaS/PostgreSQL/connection.md
description: Общая схема подключения к Cloud PostgreSQL
- title: Возможности пользователя
link: /PaaS/PostgreSQL/user-capabilities.md
description: Возможности пользователя при создании сервиса
- title: Веб-интерфейс Grafana
link: /PaaS/PostgreSQL/grafana.md
description: Инструкция по работе с Grafana
- title: Веб-интерфейс PgAdmin
link: /PaaS/PostgreSQL/pgadmin.md
description: Инструкция по работе с PgAdmin
---
# Cloud PostgreSQL
В данном разделе представлена документация по управляемому сервису **Cloud PostgreSQL** платформы Beeline Cloud.
src/PaaS/PostgreSQL/about.md
+2 -2
View File
@@ -20,11 +20,11 @@ PostgreSQL - это современная система управления
Подключение к базе данных выполняется через прокси-узлы сервиса. Пользователю не требуется подключаться к отдельным серверам кластера — все операции производятся через единую точку доступа.
Для управления базами данных и пользователями доступен web-интерфейс **pgAdmin**, позволяющий выполнять администрирование непосредственно через браузер.
Для управления базами данных и пользователями доступен [web-интерфейс **pgAdmin**](./pgadmin.md), позволяющий выполнять администрирование непосредственно через браузер.
## Конфигурации кластера
Сервис Cloud PostgreSQL поддерживает версии СУБД с 13 по 17 включительно.
Сервис **Cloud PostgreSQL** поддерживает версии СУБД с 13 по 17 включительно.
Кластер предоставляется в архитектуре Primary–Standby, которая обеспечивает:
src/PaaS/PostgreSQL/cluster-parameter.md
+81
View File
@@ -0,0 +1,81 @@
# Описание технических параметров
Данный раздел содержит технические параметры кластера PostgreSQL и порядок их первичной конфигурации.
Настройка указанных параметров выполняется администратором облачного провайдера на этапе развёртывания сервиса. Пользователь не имеет прямого доступа к их самостоятельной установке.
Перед созданием кластера клиент предоставляет перечень требуемых параметров менеджеру. Администратор облачного провайдера выполняет конфигурацию в соответствии с согласованными требованиями.
## Выбор типа и размера дискового хранилища
Производительность базы данных напрямую зависит от скорости, с которой она может читать и записывать данные на диск. При заказе кластера необходимо выбрать тип дискового хранилища, который определит максимальную скорость работы (IOPS) и время отклика.
**IOPS (Input/Output Operations Per Second)** — количество операций чтения или записи, которые диск может выполнить за секунду. Чем выше этот показатель, тем быстрее база данных обрабатывает запросы.
## Доступные типы хранилищ:
| Название | Лимит IOPS |
| -------------- | ------------------ |
| **Fast SAS** | до 2 IOPS на 1 ГБ |
| **SSD** | до 5 IOPS на 1 ГБ |
| **Fast SSD** | до 10 IOPS на 1 ГБ |
| **Ultra NVMe** | до 25 IOPS на 1 ГБ |
::: warning Примечание
После выбора типа диска необходимо указать объем дискового хранилища, который будет выделен под данные кластера PostgreSQL. Минимальный объем - 50 ГБ.
:::
## Конфигурация вычислительных ресурсов
В данном разделе определяются вычислительные мощности кластера: процессорные ресурсы, оперативная память и количество серверов (нод), из которых будет состоять кластер PostgreSQL.
#### Количество нод в кластере
Количество нод определяет отказоустойчивость кластера и возможность распределять запросы на чтение между репликами. Чем больше нод, тем выше надёжность и производительность операций чтения.
Количество нод выбирается в диапазоне **от 1 до 5**.
#### Процессор (CPU)
Процессор — это вычислительная мощность, выделяемая каждой ноде кластера. Количество vCPU определяет, насколько быстро база данных сможет:
- обрабатывать запросы;
- выполнять сложные операции (сортировки, объединения таблиц);
- обслуживать одновременные подключения.
Доступный диапазон: **от 2 до 24 vCPU** на ноду.
#### Оперативная память (RAM)
Оперативная память — один из ключевых ресурсов для производительности базы данных. Данные, помещающиеся в RAM, обрабатываются максимально быстро, без обращения к диску.
Доступный диапазон: **от 4 до 768 ГБ RAM** на ноду.
#### Доступ в интернет
При заказе сервиса можно выбрать пропускную способность канала связи, через который будет осуществляться доступ к кластеру PostgreSQL из сети интернет.
**Доступные варианты скорости:**
- 50 Мбит/с;
- 100 Мбит/с;
- 200 Мбит/с;
- 300 Мбит/с;
- 400 Мбит/с;
- 500 Мбит/с;
- 1000 Мбит/с (1 Гбит/с).
::: warning Примечание
Для выбранного канала предоставляется статический белый IP-адрес.
:::
## Сетевой доступ к кластеру
Для организации защищенного подключения к кластеру Kafka доступны стандартные механизмы, используемые во всех сервисах платформы:
- **IPsec-подключение** - организация защищенного туннеля между инфраструктурой и кластером PostgreSQL. Подробнее см. [раздел IPsec](../IPSEC.md);
- **Interconnection** - прямое сетевое соединение между сервисами внутри платформы без выхода в интернет. Подробнее см. раздел Interconnection.
Выбор конкретного способа подключения зависит от архитектуры приложений и требований к безопасности.
src/PaaS/PostgreSQL/cluster_parameter.md
-205
View File
@@ -1,205 +0,0 @@
# О разделе
Данный раздел содержит описание технических параметров кластера PostgreSQL и порядок их первичной конфигурации.
Настройка указанных параметров выполняется администратором облачного провайдера на этапе развёртывания сервиса. Пользователь не имеет прямого доступа к их самостоятельной установке.
Перед созданием кластера клиент предоставляет перечень требуемых параметров менеджеру. Администратор облачного провайдера выполняет конфигурацию в соответствии с согласованными требованиями.
## Выбор типа и размера дискового хранилища
Производительность базы данных напрямую зависит от скорости, с которой она может читать и записывать данные на диск. При заказе кластера необходимо выбрать тип дискового хранилища, который определит максимальную скорость работы (IOPS) и время отклика.
**IOPS (Input/Output Operations Per Second)** — количество операций чтения или записи, которые диск может выполнить за секунду. Чем выше этот показатель, тем быстрее база данных обрабатывает запросы.
## Доступные типы хранилищ:
| Название | Лимит IOPS | Время отклика |
| ---------------| ------------------ | ------------- |
| **Fast SAS** | до 2 IOPS на 1 ГБ | до 10 мс |
| **SSD** | до 5 IOPS на 1 ГБ | до 7 мс |
| **Fast SSD** | до 10 IOPS на 1 ГБ | до 5 мс |
| **Ultra NVMe** | до 25 IOPS на 1 ГБ | до 3 мс |
::: warning Примечание
После выбора типа диска необходимо указать объем дискового хранилища, который будет выделен под данные кластера PostgreSQL. Минимальный объем - 50 ГБ.
:::
## Конфигурация вычислительных ресурсов
В данном разделе определяются вычислительные мощности кластера: процессорные ресурсы, оперативная память и количество серверов (нод), из которых будет состоять кластер PostgreSQL.
### Количество нод в кластере
Количество нод определяет отказоустойчивость кластера и возможность распределять запросы на чтение между репликами. Чем больше нод, тем выше надёжность и производительность операций чтения.
Количество нод выбирается в диапазоне **от 1 до 5**.
### Процессор (CPU)
Процессор — это вычислительная мощность, выделяемая каждой ноде кластера. Количество vCPU определяет, насколько быстро база данных сможет:
- обрабатывать запросы;
- выполнять сложные операции (сортировки, объединения таблиц);
- обслуживать одновременные подключения.
Доступный диапазон: **от 2 до 24 vCPU** на ноду.
### Оперативная память (RAM)
Оперативная память — один из ключевых ресурсов для производительности базы данных. Данные, помещающиеся в RAM, обрабатываются максимально быстро, без обращения к диску.
Доступный диапазон: **от 4 до 768 ГБ RAM** на ноду.
### Доступ в интернет
При заказе сервиса можно выбрать пропускную способность канала связи, через который будет осуществляться доступ к кластеру PostgreSQL из сети интернет.
**Доступные варианты скорости:**
- 50 Мбит/с;
- 100 Мбит/с;
- 200 Мбит/с;
- 300 Мбит/с;
- 400 Мбит/с;
- 500 Мбит/с;
- 1000 Мбит/с (1 Гбит/с).
::: warning Примечание
Для выбранного канала предоставляется статический белый IP-адрес.
:::
## Параметры конфигурации IPSEC
Ниже приведены основные параметры, задаваемые при развёртывании кластера PostgreSQL. Часть параметров определяется клиентом на этапе заказа услуги, часть — фиксирована и не подлежит изменению.
### Данные о конфигурации IPSEC
Параметры подключения (имя туннеля, устройство, публичный IP-адрес) заполняются вручную на основании информации, предоставленной заказчиком.
### Версия IKE (Internet Key Exchange)
Версия IKE выбирается из выпадающего списка, который содержит два значения:
- **IKE v1** — более ранняя версия протокола;
- **IKE v2** — более современная версия, обеспечивающая лучшую устойчивость соединения и более гибкую обработку ошибок.
Рекомендуется использовать IKE v2, если оборудование заказчика это поддерживает.
### Метод аутентификации
Метод аутентификации выбирается из выпадающего списка, который содержит два варианта:
- **PSK** (Pre-Shared Key) — аутентификация с использованием заранее согласованного общего ключа;
- **Certificate** (сертификат) — аутентификация с использованием цифровых сертификатов.
## Этап 1 - установка защищенного соединения
На данном этапе задаются параметры шифрования и аутентификации для защищённого канала связи. Все параметры выбираются вручную из выпадающих списков.
### Алгоритм хэширования
Определяет алгоритм хэширования для защиты управляющего канала. Параметр заполняется вручную из выпадающего списка:
- **SHA1** — формирует хэш длиной 160 бит, имеет коллизии (уязвимости), в современных системах считается устаревшим, используется только для совместимости со старым оборудованием.
- **SHA2-256** — формирует хэш длиной 256 бит, существенно более устойчив к атакам, оптимальный баланс между безопасностью и производительностью.
- **SHA2-384** — длина хэша составляет 384 бита, имеет повышенную криптостойкость, требует больше вычислительных ресурсов, чем SHA-1 и SHA2-256. Используется в средах с повышенными требованиями к безопасности.
- **SHA2-512** — длина хэша составляет 512 бит, обеспечивает самый высокий уровень стойкости из перечисленных, создает наибольшую нагрузку на процессор. Обычно применяется в системах с повышенными требованиями к криптографии.
### Шифрование (Hash)
Определяет алгоритм симметричного шифрования. Параметр заполняется вручную из выпадающего списка:
AES 128 — использует 128-битный ключ, обеспечивает быстрое шифрование, имеет достаточный уровень безопасности для большинства задач.
AES 256 — использует 256-битный ключ, обеспечивает более высокую криптостойкость, оказывает немного большую нагрузку на CPU.
AES GCM 128 / AES GCM 192 / AES GCM 256 — данные алгоритмы совмещают шифрование и контроль целостности, обладают более современным режимом работы, считаются более эффективными по производительности, рекомендуются в современных конфигурациях. Разница между алгоритмами — в длине ключа.
### DH Group (группа Диффи — Хеллмана)
Механизм Diffie-Hellman используется для безопасной генерации общего секретного ключа между сторонами туннеля без передачи этого ключа по сети. Чем выше номер группы и длина ключа, тем выше криптографическая стойкость соединения.
Параметр заполняется вручную из выпадающего списка:
group 2;
group 5;
group 14;
group 15;
group 16;
group 19;
group 20;
group 21.
### IKE Mode (только для IKEv1)
Параметр **IKE Mode** определяет способ установления соединения на этапе 1 при использовании протокола IKEv1.
Доступны два режима: Main и Aggressive. Они отличаются количеством сообщений при установке соединения и уровнем защиты идентификационных данных.
- **Main Mode** — стандартный и более безопасный режим работы IKEv1;
- **Aggressive Mode** — упрощённый и ускоренный режим установления соединения с более низким уровнем защиты данных.
### Время жизни (Lifetime)
Параметр определяет, как долго действуют согласованные ключи в рамках первой фазы. После истечения времени выполняется повторная генерация ключей.
## Этап 2 - передача данных
Этап 2 IPsec-соединения отвечает за шифрование и защиту пользовательского трафика после того, как защищённый канал был установлен на этапе 1. Этот этап регулирует передачу данных между сторонами через безопасный туннель, который обеспечивает конфиденциальность и целостность данных.
### Алгоритм хэширование (Hash)
Аналогично этапу 1, параметр Hash используется для защиты целостности передаваемых данных. Он обеспечивает проверку того, что данные не были изменены при передаче. Доступны следующие алгоритмы:
- SHA1;
- SHA2-256;
- SHA2-384;
- SHA2-512.
## Шифрование
Этап 2 отвечает за шифрование пользовательского трафика. Это важнейший параметр, который защищает данные при их передаче по сети. Доступны следующие алгоритмы:
- AES 128;
- AES 256;
- AES GCM 128;
- AES GCM 192;
- AES GCM 256.
### PFS
**Enable perfect forward secrecy (PFS)** - параметр, активирующий генерацию нового ключа на этапе 2. При включенном PFS группа Diffie-Hellman (DH) будет такая же как и на 1-й фазе.
Данный параметр представлен в виде чекбокса. При его включении:
- на этапе 2 выполняется дополнительный обмен ключами DH;
- для каждой новой IPsec-сессии формируется новый независимый криптографический секрет;
- ключи шифрования пользовательского трафика не зависят от ключей этапа 1.
### DH Group (группа Диффи — Хеллмана)
Группа DH определяет параметры обмена ключами между сторонами. Чем выше номер группы, тем выше криптографическая стойкость и безопасность обмена.
Данный параметр так же содержит в себе выпадающий список, состоящий из следующих значений:
- group 2;
- group 5;
- group 14;
- group 15;
- group 16;
- group 19;
- group 20;
- group 21.
### Время жизни (Lifetime)
Определяет, как долго действуют согласованные ключи в рамках второй фазы.
- рекомендуемое значение: 3600 секунд (1 час);
- после истечения времени выполняется повторная генерация ключей.
### Префиксы локальной сети заказчика
Этот параметр определяет, какие сети на стороне заказчика будут маршрутизироваться через **IPsec-туннель**. Префиксы задаются в формате `192.168.1.0/24`, который позволяет указать диапазон IP-адресов.
src/PaaS/PostgreSQL/connection.md
+16 -14
View File
@@ -1,14 +1,16 @@
# Общая схема подключения
Доступ к кластеру PostgreSQL осуществляется через прокси. Клиентские подключения принимаются прокси, который маршрутизирует трафик к соответствующим узлам кластера (master или replica) в зависимости от выбранного порта. Прямое подключение к узлам базы данных не используется.
Подключение к кластеру **Cloud PostgreSQL** осуществляется через прокси-сервер. Клиентские подключения принимаются прокси, который маршрутизирует трафик к соответствующим узлам кластера (master или replica) в зависимости от выбранного порта.
Подключение к кластеру **Cloud PostgreSQL** осуществляется через прокси-сервер. Прокси является единой точкой входа для всех клиентских подключений и принимает входящие соединения от приложений, административных инструментов и пользователей.
Прокси является единой точкой входа для всех клиентских подключений и принимает входящие соединения от приложений, административных инструментов и пользователей.
В зависимости от выбранного порта прокси автоматически направляет трафик:
- на активный primary-узел - для операций чтения и записи
- на реплики - для операций только чтения
- **на активный primary-узел** - для операций чтения и записи
- **на реплики** - для операций только чтения
Прямое подключение к отдельным узлам базы данных не используется и не предоставляется. Взаимодействие с кластером всегда выполняется через прокси-сервер.
::: warning Примечание
Прямое подключение к отдельным узлам базы данных **не используется и не предоставляется**. Взаимодействие с кластером всегда выполняется **через прокси-сервер**.
:::
## Подключение к базе данных
@@ -29,13 +31,13 @@
|6432 |Primary через PgBouncer (чтение и запись)|
|16432 |Replica через PgBouncer (только чтение) |
### Особенности работы портов
#### Особенности работы портов
- Порты для чтения и записи (5432, 6432) всегда направляют трафик на активный primary-узел. При смене primary переключение происходит автоматически;
- Порты только для чтения (15432, 16432) направляют трафик на активные реплики. Если реплик несколько, нагрузка распределяется между ними по принципу round-robin;
- Если в кластере отсутствуют реплики, порты для чтения не используются - подключение по ним не устанавливается.
- Порты **для чтения и записи** (5432, 6432) всегда направляют трафик на активный primary-узел. При смене primary переключение происходит автоматически;
- Порты **только для чтения** (15432, 16432) направляют трафик на активные реплики. Если реплик несколько, нагрузка распределяется между ними по принципу round-robin;
- Если в кластере **отсутствуют реплики**, порты для чтения не используются - подключение по ним не устанавливается.
### Рекомендации по выбору порта
#### Рекомендации по выбору порта
- Для OLTP-нагрузки и большого количества соединений рекомендуется использовать **порты PgBouncer (6432 или 16432)**;
- Для операций записи используйте **master-порты (5432 или 6432)**;
@@ -43,7 +45,7 @@
## Доступ к pgAdmin
Для администрирования базы данных используется web-интерфейс pgAdmin.
Для администрирования базы данных используется [web-интерфейс pgAdmin](./pgadmin.md).
Доступ осуществляется по DNS-имени, которое нужно прописать локально в инфраструктуре откуда будет происходить доступ к web-интерфейсу сервиса:
`10.X.X.4 <domain>.cloud-pg.dfcloud.ru`
@@ -52,7 +54,7 @@
Авторизация выполняется с использованием учётных данных, предоставленных вместе с доступом к сервису.
::: warning Важно
::: warning Примечание
- подключение к базе данных возможно только через указанный прокси-IP;
- в интерфейсе pgAdmin уже добавлен сервер базы данных, созданный для данной инсталляции. Для подключения требуется ввести пароль от учётной записи базы данных;
@@ -68,7 +70,7 @@
Подключение через PgBouncer:
`psql -h 10.X.X.4 -p 6432 -U <username> -d <database>`
### Подключение через DBeaver / DataGrip
#### Подключение через DBeaver / DataGrip
При создании подключения укажите:
- Host: 10.X.X.4;
@@ -77,7 +79,7 @@
- User / Password: согласно выданным доступам;
- Тип подключения: PostgreSQL.
### Пример строки подключения
#### Пример строки подключения
Primary:
`postgresql://<username>:<password>@10.X.X.4:5432/<database>`
src/PaaS/PostgreSQL/grafana.md
+84 -78
View File
@@ -1,98 +1,104 @@
# Grafana
# Метрики
## Инструкция по подключению к Grafana.
Для того, чтобы получить доступ к метрикам кластера, предварительно необходимо запросить доступы. Когда доступы будут получены, появится возможность перейти в систему мониторинга.
Ссылка для входа - https://metrics.dfcloud.ru.
## Инструкция по работе с метриками
При переходе по ссылке откроется главная страница Grafana. Для того чтобы найти нужные метрики, необходимо проделать следующий путь:
1. Нажать на кнопку "Dashboards", которая располагается в левом боковом меню.
2. В открывшемся списке всех имеющихся дашбордов необходимо выбрать папку "Cloud PostgreSQL".
3. Внутри будет элемент **Cloud PostgreSQL** - это именно тот дашборд, который нам нужен.
Перейдя на дашборд Cloud PostgreSQL, открываются все метрики кластера.
Доступ к метрикам кластера предоставляется после запроса соответствующих прав. После получения доступа можно перейти в систему мониторинга по ссылке: https://metrics.dfcloud.ru. После перехода по ссылке будет представлена главная страница Grafana.
В верхней части дашборда расположены все селекторы, с помощью которых можно управлять отображаемыми данными:
- **InstallationID** - выбор одного из кластеров. Если у клиента несколько кластеров PostgreSQL, он может выбирать тот кластер, по которому хочет посмотреть информацию;
- **Cluster node name** - выбор конкретной ноды кластера. Значения графиков меняются в зависимости от того, какой хост выбран. Этот селектор влияет на все графики, кроме блока Patroni;
- **Database** - выбор базы данных, по которой можно смотреть показатели метрик;
- **Lock table** - данный селектор применим не для всех графиков. С его помощью можно выбирать, какой тип блокировки использовать для отображения информации;
Для просмотра метрик кластера PostgreSQL выполните следующие шаги:
## Блок метрик PostgreSQL
1. В левом боковом меню нажмите **Dashboard**;
2. В списке доступных дашбордов выберите **папку Cloud PostgreSQL**;
3. Внутри папки выберите **дашборд Cloud PostgreSQL** — в нём отображаются все метрики кластера.
Данный блок отображает ключевые параметры конфигурации и текущие показатели работы экземпляра PostgreSQL.
## Управление отображаемыми данными
| Наименование метрики | Описание метрики |
| ------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Version** | Показывает текущую версию PostgreSQL, установленную на кластере. |
| **Current fetch data** | Объем данных, извлеченных из базы за текущий период (операции чтения). |
| **Current insert data** | Объем данных, вставленных в базу (операции записи новых данных). |
| **Current update data** | Объем данных, обновленных в базе. |
В верхней части дашборда доступны селекторы для настройки отображения:
- **InstallationID** - выбор одного опеределенного кластера;
- **Cluster node name** - выбор конкретного нода кластера, в котором значения графиков меняются в зависимости от выбранного хоста (селектор влияет на все графики, кроме блока Patroni);
- **Database** - выбор базы данных, по которым отображаются метрики;
- **Lock table** - выбор типа блокировки для отображения (применим не для всех графиков).
## Метрики PostgreSQL
Метрики отображают ключевые параметры конфигурации и текущие показатели работы экземпляра PostgreSQL.
| Наименование метрики | Описание метрики |
| ------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------|
| **Version** | Показывает текущую версию PostgreSQL, установленную на кластере. |
| **Current fetch data** | Объем данных, извлеченных из базы за текущий период (операции чтения). |
| **Current insert data** | Объем данных, вставленных в базу (операции записи новых данных). |
| **Current update data** | Объем данных, обновленных в базе. |
| **Seq Page Cost** | Стоимость последовательного чтения страницы данных. Влияет на выбор плана запроса: чем выше значение, тем реже оптимизатор будет выбирать последовательное сканирование таблиц. |
| **Random Page Cost** | Стоимость чтения случайной страницы данных. Низкое значение говорит о том, что в системе используются быстрые диски, и оптимизатор будет чаще выбирать доступ по индексам. |
| **Max Connections** | Максимальное количество одновременных подключений к базе данных, разрешенное на сервере. |
| **Shared Buffers** | Объем оперативной памяти, выделенный под кэш данных PostgreSQL. Здесь хранятся часто используемые данные для ускорения доступа к ним. |
| **Effective Cache** | Предполагаемый размер системного кэша файлов. Используется оптимизатором для оценки вероятности нахождения данных в кэше операционной системы. |
| **Maintenance Work Mem** | Объем памяти для выполнения операций обслуживания. |
| **Work Mem** | Объем памяти, выделяемый для внутренних сортировок и хеш-таблиц при выполнении запросов (на каждую операцию). |
| **Max WAL Size** | Максимальный размер журнала предзаписи, после достижения которого запускается процесс контрольной точки (checkpoint). |
| **Max Worker Processes** | Максимальное количество фоновых процессов, которые могут быть запущены в системе. |
| **Max Parallel Workers** | Максимальное количество параллельных процессов, которые могут быть задействованы при выполнении одного запроса. |
| **Max Connections** | Максимальное количество одновременных подключений к базе данных, разрешенное на сервере. |
| **Shared Buffers** | Объем оперативной памяти, выделенный под кэш данных PostgreSQL. Здесь хранятся часто используемые данные для ускорения доступа к ним. |
| **Effective Cache** | Предполагаемый размер системного кэша файлов. Используется оптимизатором для оценки вероятности нахождения данных в кэше операционной системы. |
| **Maintenance Work Mem** | Объем памяти для выполнения операций обслуживания. |
| **Work Mem** | Объем памяти, выделяемый для внутренних сортировок и хеш-таблиц при выполнении запросов (на каждую операцию). |
| **Max WAL Size** | Максимальный размер журнала предзаписи, после достижения которого запускается процесс контрольной точки (checkpoint). |
| **Max Worker Processes** | Максимальное количество фоновых процессов, которые могут быть запущены в системе. |
| **Max Parallel Workers** | Максимальное количество параллельных процессов, которые могут быть задействованы при выполнении одного запроса. |
## Блок метрик Database Stats
## Метрики Database Stats
Данный блок метрик отражает текущую нагрузку и состояние баз данных в кластере PostgreSQL. Эти метрики позволяют оценить, насколько эффективно работает база данных, отследить скачки нагрузки и своевременно среагировать на потенциальные проблемы до того, как они повлияют на работу приложений.
Метрики отображают текущую нагрузку и состояние баз данных в кластере PostgreSQL. Данные метрики позволяют:
- оценить эффективность работы баз данных;
- отследить скачки нагрузки;
- своевременно среагировать на потенциальные проблемы до того, как они повлияют на работу приложений.
| Наименование метрики | Описание метрики |
| ------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| **Average CPU Usage** | Показывает время, затраченное на выполнение пользовательских и системных задач, а также, насколько интенсивно используются вычислительные ресурсы сервера базы данных. |
| **Average Memory Usage** | Средний объем оперативной памяти, используемой процессами PostgreSQL за 5-минутные интервалы. Показывает, сколько памяти потребляет база данных в процессе работы. |
| **Open File Descriptors** | Количество открытых файловых дескрипторов процессами PostgreSQL. Метрика показывает среднее (Mean), последнее (Last), максимальное (Max) и минимальное (Min) значение за интервал. |
| **Active sessions** | Показывает, сколько в данный момент выполняется запросов к PostgreSQL. Метрика показывает среднее (Mean), последнее (Last), максимальное (Max) значение. |
| **Transcations** | Количество транзакций в базах данных кластера. Метрика разделена на два типа операций: commits (успешно завершенные транзакции) и rollbacks (откаченные транзакции). |
| **Update data** | Объем данных, обновленных в базах данных кластера. Показывает, сколько данных было изменено в результате выполнения операций UPDATE. |
| **Fetch data (SELECT)** | Объем данных, извлеченных из базы с помощью запросов SELECT. Показывает, сколько данных было считано из базы в результате операций чтения. |
| **Insert data** | Объем данных, вставленных в базы данных кластера. Показывает, сколько данных было добавлено в результате выполнения операций INSERT. |
| Наименование | Описание |
|---------------------------| -------------------|
| **Average CPU Usage** | Показывает время, затраченное на выполнение пользовательских и системных задач, а также, насколько интенсивно используются вычислительные ресурсы сервера базы данных. |
| **Average Memory Usage** | Средний объем оперативной памяти, используемой процессами PostgreSQL за 5-минутные интервалы. Показывает, сколько памяти потребляет база данных в процессе работы. |
| **Open File Descriptors** | Количество открытых файловых дескрипторов процессами PostgreSQL. Метрика показывает среднее (Mean), последнее (Last), максимальное (Max) и минимальное (Min) значение за интервал. |
| **Active sessions** | Показывает, сколько в данный момент выполняется запросов к PostgreSQL. Метрика показывает среднее (Mean), последнее (Last), максимальное (Max) значение. |
| **Transcations** | Количество транзакций в базах данных кластера. Метрика разделена на два типа операций: commits (успешно завершенные транзакции) и rollbacks (откаченные транзакции). |
| **Update data** | Объем данных, обновленных в базах данных кластера. Показывает, сколько данных было изменено в результате выполнения операций UPDATE. |
| **Fetch data (SELECT)** | Объем данных, извлеченных из базы с помощью запросов SELECT. Показывает, сколько данных было считано из базы в результате операций чтения. |
| **Insert data** | Объем данных, вставленных в базы данных кластера. Показывает, сколько данных было добавлено в результате выполнения операций INSERT. |
| **Lock tables** | Количество блокировок таблиц в базах данных кластера. Показывает, сколько раз таблицы были заблокированы для выполнения операций.<br>AccessShareLock - это блокировка, которая возникает, когда кто-то читает данные из таблицы (делает SELECT). Данная блокировка не мешает операциям чтения, но не дает удалить в этот момент таблицу или изменить ее структуру. |
| **Return data** | Объем данных, возвращаемых клиенту в результате выполнения запросов. Показывает, сколько данных было отправлено обратно клиенту после обработки запросов в базе. |
| **Idle sessions** | Количество бездействующих сессий подключения к базе данных. Показывает, сколько открытых подключений в данный момент не выполняют никаких запросов и просто ждут. |
| **Delete data** | Объем данных, удаленных из базы данных в результате выполнения операций DELETE. Показывает, сколько данных было удалено из таблиц. |
| **Cache Hit Rate** | Показывает процент запросов к данным, которые были удовлетворены из кэша (оперативной памяти), без обращения к диску. Показывает, насколько эффективно используется кэш PostgreSQL. |
| **Buffers (bgwriter)** | Метрика, показывающая активность фонового процесса записи, который занимается синхронизацией данных из оперативной памяти на диск. |
| **Conflicts/Deadlocks** | Метрика, отслеживающая две проблемы при работе с базой данных: конфликты восстановления и взаимоблокировки. |
| **Temp File (Bytes)** | Объем данных, записанных во временные файлы при выполнении запросов в базах данных. PostgreSQL создает временные файлы на диске, когда для выполнения запроса не хватает оперативной памяти. |
| **Checkpoint Stats** | Метрика, показывающая время, затрачиваемое на выполнение checkpoints в PostgreSQL, где: <br>- write_time - время, затраченное на запись данных на диск во время checkpoint (сколько миллисекунд ушло на запись файлов).<br>- sync_time - время, затраченное на синхронизацию файлов с диском (чтобы данные гарантированно сохранились). |
| **Return data** | Объем данных, возвращаемых клиенту в результате выполнения запросов. Показывает, сколько данных было отправлено обратно клиенту после обработки запросов в базе. |
| **Idle sessions** | Количество бездействующих сессий подключения к базе данных. Показывает, сколько открытых подключений в данный момент не выполняют никаких запросов и просто ждут. |
| **Delete data** | Объем данных, удаленных из базы данных в результате выполнения операций DELETE. Показывает, сколько данных было удалено из таблиц. |
| **Cache Hit Rate** | Показывает процент запросов к данным, которые были удовлетворены из кэша (оперативной памяти), без обращения к диску. Показывает, насколько эффективно используется кэш PostgreSQL. |
| **Buffers (bgwriter)** | Метрика, показывающая активность фонового процесса записи, который занимается синхронизацией данных из оперативной памяти на диск. |
| **Conflicts/Deadlocks** | Метрика, отслеживающая две проблемы при работе с базой данных: конфликты восстановления и взаимоблокировки. |
| **Temp File (Bytes)** | Объем данных, записанных во временные файлы при выполнении запросов в базах данных. PostgreSQL создает временные файлы на диске, когда для выполнения запроса не хватает оперативной памяти. |
| **Checkpoint Stats** | Метрика, показывающая время, затрачиваемое на выполнение checkpoints в PostgreSQL, где: <br>- **write_time** - время, затраченное на запись данных на диск во время checkpoint (сколько миллисекунд ушло на запись файлов).<br>- **sync_time** - время, затраченное на синхронизацию файлов с диском (чтобы данные гарантированно сохранились). |
## Блок метрик Patroni
## Метрики Patroni
Данный блок метрик отображает состояние и конфигурацию кластера PostgreSQL под управлением Patroni. Эти метрики позволяют контролировать отказоустойчивость кластера, отслеживать переключения мастера и убеждаться, что репликация работает штатно.
Метрик отображают состояние и конфигурацию кластера PostgreSQL под управлением Patroni. Эти метрики позволяют контролировать отказоустойчивость кластера, отслеживать переключения мастера и убеждаться, что репликация работает штатно.
| Наименование метрики | Описание метрики |
| ---------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Patroni Leader** | Метрика, которая показывает, какая нода в кластере PostgreSQL в данный момент является master-сервером, принимающим запросы на запись. |
| **Patroni Replica** | Метрика, которая показывает, какие узлы кластера PostgreSQL в данный момент выполняют роль реплики. |
| **Sync Standby** | Метрика, которая показывает, какая из реплик в кластере PostgreSQL назначена синхронной. |
| **PostgreSQL WAL Replay** | Метрика, которая показывает, включена ли на узлах кластера синхронизация данных через WAL. |
| **PostgreSQL Pending Restart** | Метрика, которая показывает, требуется ли перезагрузка PostgreSQL на узлах кластера после изменения конфигурационных параметров. |
| **Patroni Primary Node** | Метрика, которая показывает, какой узел в кластере PostgreSQL в данный момент является основным и принимает запросы на запись. |
| **Patroni Secondary Nodes** | Метрика, которая показывает, какие узлы кластера PostgreSQL в определенные моменты времени выполняли роль реплик. |
| **Replicas Received WAL Location** | Метрика, показывающая объем журналов предзаписи (WAL), полученных каждой репликой кластера. |
| **Primary WAL Location** | Метрика, показывающая объем журналов предзаписи (WAL), на основном сервере кластера PostgreSQL. |
| **Replicas Replayed WAL Location** | Метрика, показывающая объем журналов предзаписи (WAL), которые были не просто получены, а уже применены на репликах кластера. |
| Наименование | Описание |
|------------------------------------|----------------------------------------------------------------------------------------------------------------------------------------|
| **Patroni Leader** | Метрика, которая показывает, какая нода в кластере PostgreSQL в данный момент является master-сервером, принимающим запросы на запись. |
| **Patroni Replica** | Метрика, которая показывает, какие узлы кластера PostgreSQL в данный момент выполняют роль реплики. |
| **Sync Standby** | Метрика, которая показывает, какая из реплик в кластере PostgreSQL назначена синхронной. |
| **PostgreSQL WAL Replay** | Метрика, которая показывает, включена ли на узлах кластера синхронизация данных через WAL. |
| **PostgreSQL Pending Restart** | Метрика, которая показывает, требуется ли перезагрузка PostgreSQL на узлах кластера после изменения конфигурационных параметров. |
| **Patroni Primary Node** | Метрика, которая показывает, какой узел в кластере PostgreSQL в данный момент является основным и принимает запросы на запись. |
| **Patroni Secondary Nodes** | Метрика, которая показывает, какие узлы кластера PostgreSQL в определенные моменты времени выполняли роль реплик. |
| **Replicas Received WAL Location** | Метрика, показывающая объем журналов предзаписи (WAL), полученных каждой репликой кластера. |
| **Primary WAL Location** | Метрика, показывающая объем журналов предзаписи (WAL), на основном сервере кластера PostgreSQL. |
| **Replicas Replayed WAL Location** | Метрика, показывающая объем журналов предзаписи (WAL), которые были не просто получены, а уже применены на репликах кластера. |
| **WAL Replay Paused** | Метрика, которая отслеживает, не приостановлен ли процесс применения WAL-журналов на узлах кластера. Если передача или применение WAL-файлов останавливается, на графике происходит скачок. |
## Блок метрик Hosts
## Метрики Hosts
Блок Hosts управляется селектором **Cluster node name**. Данный блок метрик отображает состояние и ресурсы серверов, на которых развернут кластер PostgreSQL. Эти метрики позволяют оценить, хватает ли серверу ресурсов для текущей нагрузки, и своевременно обнаружить проблемы с производительностью или нехваткой места на дисках.
Блок Hosts управляется селектором **Cluster node name**. Метрики отображают состояние и ресурсы серверов, на которых развернут кластер PostgreSQL. Данные метрики позволяют оценить, хватает ли серверу ресурсов для текущей нагрузки, и своевременно обнаружить проблемы с производительностью или нехваткой места на дисках.
| Наименование метрики | Описание метрики |
| ------------------------------ | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **CPU Busy** | Метрика, показывающая общую загруженность всех процессорных ядер на сервере, где работает PostgreSQL. |
| **RAM Used** | Метрика, показывающая процент оперативной памяти, который занят на сервере всеми процессами. |
| **CPU Cores** | Метрика, показывающая общее количество процессорных ядер, доступных на сервере, где работает PostgreSQL. |
| **RAM Total** | Метрика, показывающая общий объем оперативной памяти, установленный на сервере. |
| **DB Disk Total** | Метрика, показывающая общий объем дискового пространства, выделенного для хранения данных базы данных PostgreSQL на сервере. |
| Наименование | Описание |
| -------------------------------|-------------------------------------------------------------------------------------------------------------------------------|
| **CPU Busy** | Метрика, показывающая общую загруженность всех процессорных ядер на сервере, где работает PostgreSQL. |
| **RAM Used** | Метрика, показывающая процент оперативной памяти, который занят на сервере всеми процессами. |
| **CPU Cores** | Метрика, показывающая общее количество процессорных ядер, доступных на сервере, где работает PostgreSQL. |
| **RAM Total** | Метрика, показывающая общий объем оперативной памяти, установленный на сервере. |
| **DB Disk Total** | Метрика, показывающая общий объем дискового пространства, выделенного для хранения данных базы данных PostgreSQL на сервере. |
| **CPU Basic** | Метрика, которая показывает детальную разбивку загрузки процессора по типам выполняемых задач. Она позволяет увидеть, на что именно тратится процессорное время на сервере. |
| **Memory Basic** | Метрика, которая показывает детальную разбивку использования оперативной памяти на сервере, а также информацию о SWAP. |
| **Disk IOps** | Метрика, показывающая количество операций чтения и записи, выполняемых на диске сервера в секунду. |
| **Disk Space Used Basic** | Метрика, показывающая процент занятого дискового пространства на всех подключенных файловых системах сервера. |
| **Disk R/W Data** | Показывает объем данных в байтах, читаемых с диска и записываемых на диск в секунду. |
| **Filesystem space available** | Метрика, показывающая объем свободного дискового пространства на файловой системе сервера. |
| **Memory Basic** | Метрика, которая показывает детальную разбивку использования оперативной памяти на сервере, а также информацию о SWAP. |
| **Disk IOps** | Метрика, показывающая количество операций чтения и записи, выполняемых на диске сервера в секунду. |
| **Disk Space Used Basic** | Метрика, показывающая процент занятого дискового пространства на всех подключенных файловых системах сервера. |
| **Disk R/W Data** | Показывает объем данных в байтах, читаемых с диска и записываемых на диск в секунду. |
| **Filesystem space available** | Метрика, показывающая объем свободного дискового пространства на файловой системе сервера. |
src/PaaS/PostgreSQL/pgadmin.md
+25 -16
View File
@@ -1,6 +1,6 @@
# PgAdmin
После предоставления доступа к сервису Cloud PostgreSQL пользователь получает возможность управлять базами данных через веб-интерфейс pgAdmin. Ниже приведена инструкция по входу в систему и выполнению основных операций.
После предоставления доступа к сервису **Cloud PostgreSQL** пользователь получает возможность управлять базами данных через веб-интерфейс **pgAdmin**. Ниже приведена инструкция по входу в систему и выполнению основных операций.
## Вход в pgAdmin
@@ -11,47 +11,56 @@
4. Выберите предварительно настроенный сервер с названием **PostgreSQL**;
5. В открывшемся окне введите пароль;
> Важно: на данном этапе необходимо указать **пароль учетной записи базы данных**, а не пароль от pgAdmin.
6. Нажмите **ОК**;
7. После успешной аутентификации станет доступен веб-интерфейс СУБД PostgreSQL.
6. Нажмите **ОК**.
## Просмотр реплик и параметров конфигурации
После успешной аутентификации станет доступен веб-интерфейс СУБД PostgreSQL.
pgAdmin позволяет осуществлять мониторинг реплик, входящих в состав кластера.
## Реплики и параметры конфигураций
Чтобы просмотреть список реплик:
- Откройте раздел **Replica nodes** в панели навигации.
pgAdmin позволяет осуществлять мониторинг реплик, входящих в состав кластера. Чтобы просмотреть список реплик необходимо открыть раздел **Replica nodes** в панели навигации.
### Просмотр состояния репликаций
Чтобы проверить состояние репликации:
1. Выберите нужную реплику в разделе **Replica nodes**;
2. Перейдите в подраздел **Replication**;
3. Откройте пункт **Replication stats**;
4. Разверните раздел **Подробности** - в нем отображаются все параметры и текущее состояние репликации;
> Вкладка **Replication** позволяет определить, выполняется ли передача данных на дополнительные узлы кластера.
4. Разверните раздел **Подробности** - в нем отображаются все параметры и текущее состояние репликации.
Так же, есть возможность посмотреть **параметры конфигурации PostgreSQL**, применённых к конкретной реплике. Для этого необходимо перейти в раздел **Конфигурация**, который расположен в блоке **Replica nodes**.
Вкладка **Replication** позволяет определить, выполняется ли передача данных на дополнительные узлы кластера.
Во вкладке отображается таблица со следующими колонками:
### Просмотр конфигураций реплики
Чтобы просмотреть **параметры конфигурации PostgreSQL**, применённые к конкретной реплике, перейдите в раздел **Конфигурация**, расположенный в блоке **Replica nodes**.
Раздел **Конфигурация** содержит следующие параметры:
- **Имя** - наименование конфигурационного параметра;
- **Категория** - логическая группа параметра;
- **Значение** - текущее установленное значение;
- **Единицы** - единицы измерения (если применимо);
- **Описание** - краткое пояснение назначения параметра.
> Вкладка **Конфигурация** предназначена для просмотра текущих настроек реплики.
## Просмотр и управление базами данных
Для просмотра существующих баз данных:
- Откройте раздел **Базы данных** в панели навигации. В этом разделе отображается перечень всех созданных баз.
## Базы данных
### Просмотр существующих баз данных:
Чтобы просмотреть существующие базы данных, откройте раздел Базы данных в левой панели навигации. В этом разделе отображается перечень всех созданных баз.
### Создание новой базы данных:
Для создания новой базы данных:
1. Щелкните правой кнопкой мыши по разделу **Базы данных**;
2. В контекстном меню выберите **Создать**, затем - **База данных**;
3. Заполните обязательные поля в открывшейся форме;
4. Нажмите **Сохранить**.
## Роли входа / группы
В разделе **Роли входа/группы** отображается список пользователей (ролей), имеющих доступ к базам данных кластера.
Для создания новой роли:
### Создание новой роли:
1. Щелкните правой кнопкой мыши по разделу **Роли входа/группы**;
2. Выберите **Создать**, затем - **Роль входа/группы**;
3. Заполните необходимые параметры в форме создания роли;
src/PaaS/PostgreSQL/user-capabilities.md
+119
View File
@@ -0,0 +1,119 @@
# Возможности пользователя
Данный раздел описывает права, которые предоставляются пользователю PostgreSQL при создании сервиса **Cloud PostgreSQL**, а также перечень административных операций, доступных ему для самостоятельного выполнения.
При развертывании сервиса автоматически создаётся пользователь базы данных с преднастроенными атрибутами и привилегиями. Эти права позволяют заказчику самостоятельно управлять своими базами данных, ролями и пользователями в рамках созданного экземпляра PostgreSQL.
## Общая информация о пользователе
При инициализации сервиса автоматически создаётся пользователь:
```nginx
client
```
Данный пользователь является основной учётной записью для административной работы в рамках предоставленного экземпляра PostgreSQL.
Он предназначен для самостоятельного управления в пределах выданных привилегий:
- базами данных;
- ролями;
- правами доступа.
## Выданные права и ограничения
Пользователю `client` назначается набор атрибутов и привилегий, позволяющих выполнять административные операции в рамках своего экземпляра базы данных.
#### Атрибуты роли
Пользователь создаётся со следующими атрибутами:
- `CREATEDB` — разрешено создание и удаление баз данных;
- `CREATEROLE` — разрешено создание ролей и пользователей, а также управление их.
Атрибут `SUPERUSER` пользователю не предоставляется. Соответственно, доступ к системным операциям уровня кластера и настройкам сервера отсутствует.
#### Права на системную базу postgres:
К стандартной базе данных `postgres` пользователю предоставлено только право подключения — `CONNECT`
**Иные привилегии (создание объектов, изменение схем и т.д.) на данную базу не выдаются.**
## Мониторинг и системные представления
Для выполнения базовых задач мониторинга пользователю дополнительно предоставлены:
- членство в роли `pg_monitor`;
- право `SELECT` на системное представление:
```sql
pg_catalog.pg_stat_replication
```
Доступ к системной информации предоставляется исключительно **в режиме чтения**. Изменение системных представлений и параметров сервера недоступно.
## Изменение пароля
После первого подключения к базе данных пользователь `client` обязан выполнить изменения пароля.
Изменить пароля можно:
- в открытом виде (с передачей нового значения пароля);
- с указанием заранее сгенерированного хэша.
На сервере используется алгоритм шифрования паролей:
```
scram-sha-256
```
При использовании **SCRAM** применяется следующий формат хэша:
```
$<iterations>:<salt>$<storedkey>:<serverkey>
```
| Операция | Описание | Команда SQL |
|----------|----------|-------------|
|Смена пароля в открытом виде | Для смены пароля в открытом виде | ```ALTER USER client WITH PASSWORD 'new_strong_password';``` |
|Смена пароля с указанием хэша | Рекомендуется использовать сложный уникальный пароль, соответствующий требованиям информационной безопасности, и хранить его в защищённом хранилище | ```ALTER USER client WITH ENCRYPTED PASSWORD '$4096:...';``` |
|Создание новой базы данных | Для создания базы данных | ```CREATE DATABASE app_db;``` |
|Создание базы данных с указанием владельца | Пользователь, указанный как владелец, будет иметь полный контроль над базой данных, включая права на её удаление и изменение. По умолчанию владельцем создаваемой базы данных является пользователь, который её создает | ```CREATE DATABASE app_db OWNER client;``` |
## Создание пользователей и ролей
Пользователь `client` имеет право создавать новые роли и пользователей для приложений, а также управлять их правами доступа.
| Операция | Описание | Команда SQL |
|----------|----------|-------------|
|Создание роли без логина | Для входа в базу данных (например, для организации прав доступа) | ```CREATE ROLE app_role; ```|
|Создание пользователя с паролем | Для создания пользователя с паролем. После выполнения этой команды новый пользователь `app_user` будет иметь возможность входа в базу данных, используя указанный пароль. | ```CREATE USER app_user WITH PASSWORD 'app_password';``` |
|Назначение роли пользователю | Для назначения роли пользователю. Данная команда позволяет управлять правами пользователя в рамках определённой роли. После выполнения этой команды пользователь `app_user` станет членом роли `app_role`, и будет наследовать все права, связанные с этой ролью. | ```GRANT app_role TO app_user; ``` |
## Управление правами доступа
После создания пользователей и ролей необходимо назначить им соответствующие права доступа.
| Операция | Описание | Команда SQL |
|----------|----------|-------------|
|Передача владельца базы данных | Для передачи прав владения базой данных другому пользователю. После выполнения этой команды база данных `app_db` будет принадлежать пользователю `app_user`, и он будет иметь полный контроль над ней.| ```ALTER DATABASE app_db OWNER TO app_user;``` |
|Выдача прав на подключение к базе данных | Для предоставления прав к подключению к базе данных. После выполнения этой команды пользователь может `app_user` подключаться к базе данных `app_db`. | ```GRANT CONNECT ON DATABASE app_db TO app_user;```|
|Предоставление прав на схему public | Для предоставления прав на использование схемы `public`. После выполнения этой команды пользователь `app_user` может использовать объекты в схеме `public`, а также создавать новые объекты внутри неё. | ```GRANT USAGE, CREATE ON SCHEMA public TO app_user;```|
|Предоставление прав на существующие таблицы | Для предоставления доступа пользователю к существующим таблицам в схеме `public`. После выполнения этой команды пользователь `app_user` может выполнять операции чтения, вставки, обновления и удаления данных в существующих таблицах схемы `public`.| ```GRANT SELECT, INSERT, UPDATE, DELETE ON ALL TABLES IN SCHEMA public TO app_user;``` |
|Предоставление прав на будущие таблицы | Если необходимо автоматически предоставить пользователю права на новые таблицы, создаваемые в схеме `public`. После выполнения этой команды все будущие таблицы, создаваемые в схеме `public`, будут автоматически иметь права для пользователя `app_user` на чтение, вставку, обновление и удаление данных. | ```ALTER DEFAULT PRIVILEGES IN SCHEMA public GRANT SELECT, INSERT, UPDATE, DELETE ON TABLES TO app_user;```|
## Мониторинг репликации
Пользователь `client` имеет доступ к системным представлениям для мониторинга состояния репликации в кластере PostgreSQL.
| Операция | Описание | Команда SQL |
|----------|----------|-------------|
|Просмотр состояния репликации | Для просмотра текущего статуса репликации. Этот запрос возвращает информацию о всех репликах, подключённых к основному (primary) серверу. |```SELECT * FROM pg_stat_replication;```|
::: warning Ограничения доступа реплкации
Пользователь `client` имеет доступ к данным в представлении `pg_stat_replication` только в режиме **read-only**. Это означает, что он может просматривать состояние репликации, но не может изменять или вмешиваться в процесс репликации.
:::
src/PaaS/PostgreSQL/user_capabilities.md
-203
View File
@@ -1,203 +0,0 @@
# Создание сервиса Cloud PostgreSQL
Данный раздел описывает права, которые предоставляются пользователю PostgreSQL при создании сервиса **Cloud PostgreSQ**L**, а также перечень административных операций, доступных ему для самостоятельного выполнения.
При развертывании сервиса автоматически создаётся пользователь базы данных с преднастроенными атрибутами и привилегиями. Эти права позволяют заказчику самостоятельно управлять своими базами данных, ролями и пользователями в рамках созданного экземпляра PostgreSQL.
## Общая информация о пользователе
При инициализации сервиса автоматически создаётся пользователь:
```nginx
client
```
Данный пользователь является основной учётной записью для административной работы в рамках предоставленного экземпляра PostgreSQL. Он предназначен для самостоятельного управления базами данных, ролями и правами доступа в пределах выданных привилегий.
## Выданные права и ограничения
Пользователю `client` назначается набор атрибутов и привилегий, позволяющих выполнять административные операции в рамках своего экземпляра базы данных.
### Атрибуты роли
Пользователь создаётся со следующими атрибутами:
- `CREATEDB` — разрешено создание и удаление баз данных;
- `CREATEROLE` — разрешено создание ролей и пользователей, а также управление их.
Атрибут `SUPERUSER` пользователю не предоставляется. Соответственно, доступ к системным операциям уровня кластера и настройкам сервера отсутствует.
### Права на системную базу postgres:
К стандартной базе данных `postgres` пользователю предоставлено только право подключения:
- `CONNECT`
Иные привилегии (создание объектов, изменение схем и т.д.) на данную базу не выдаются.
### Мониторинг и системные представления:
Для выполнения базовых задач мониторинга пользователю дополнительно предоставлены:
- членство в роли `pg_monitor`;
- право `SELECT` на системное представление:
```sql
pg_catalog.pg_stat_replication
```
Доступ к системной информации предоставляется исключительно в режиме чтения. Изменение системных представлений и параметров сервера недоступно.
## Обязательная смена пароля
После первого подключения к базе данных пользователь `client` обязан выполнить смену пароля.
Смена пароля может быть выполнена:
- в открытом виде (с передачей нового значения пароля);
- с указанием заранее сгенерированного хэша.
На сервере используется алгоритм шифрования паролей:
```
scram-sha-256
```
При использовании SCRAM применяется следующий формат хэша:
```
$<iterations>:<salt>$<storedkey>:<serverkey>
```
### Пример смены пароля в открытом виде
```sql
ALTER USER client WITH PASSWORD 'new_strong_password';
```
### Пример смены пароля с указанием хэша
```sql
ALTER USER client WITH ENCRYPTED PASSWORD '$4096:...';
```
Рекомендуется использовать сложный уникальный пароль, соответствующий требованиям информационной безопасности, и хранить его в защищённом хранилище.
## Создание новой базы данных
Пользователь `client` имеет право создавать новые базы данных в рамках своего экземпляра PostgreSQL.
### Пример создания базы данных
Для создания базы данных используется стандартная команда:
```sql
CREATE DATABASE app_db;
```
Если необходимо назначить владельца базы данных, можно указать соответствующего пользователя. По умолчанию владельцем создаваемой базы данных является пользователь, который её создает.
### Пример создания базы данных с указанием владельца
```sql
CREATE DATABASE app_db OWNER client;
```
В этом примере база данных `app_db` будет принадлежать пользователю `client`. Пользователь, указанный как владелец, будет иметь полный контроль над базой данных, включая права на её удаление и изменение.
## Создание пользователей и ролей
Пользователь `client` имеет право создавать новые роли и пользователей для приложений, а также управлять их правами доступа.
### Создание роли без логина
Если требуется создать роль, которая не будет иметь возможности входа в базу данных (например, для организации прав доступа), можно использовать команду:
```sql
CREATE ROLE app_role;
```
### Создание пользователя с паролем
Для создания пользователя с паролем используется команда:
```sql
CREATE USER app_user WITH PASSWORD 'app_password';
```
После этого новый пользователь `app_user` будет иметь возможность входа в базу данных, используя указанный пароль.
### Назначение роли пользователю
Для назначения роли пользователю используется команда `GRANT`. Это позволяет управлять правами пользователя в рамках определённой роли:
```sql
GRANT app_role TO app_user;
```
После выполнения этой команды пользователь `app_user` станет членом роли `app_role`, и будет наследовать все права, связанные с этой ролью.
### Передача владельца базы данных
Если необходимо передать право владения базой данных другому пользователю, это можно сделать с помощью следующей команды:
```sql
ALTER DATABASE app_db OWNER TO app_user;
```
Теперь база данных `app_db` будет принадлежать пользователю `app_user`, и он будет иметь полный контроль над ней.
### Управление правами доступа
После создания пользователей и ролей необходимо назначить им соответствующие права доступа.
### Выдача прав на подключение к базе данных
Для того чтобы пользователь мог подключаться к базе данных, нужно предоставить ему соответствующие права:
```sql
GRANT CONNECT ON DATABASE app_db TO app_user;
```
Эта команда разрешает пользователю `app_user` подключаться к базе данных `app_db`.
### Права на схему public
Для предоставления пользователю прав на использование схемы `public` можно выполнить следующую команду:
```sql
GRANT USAGE, CREATE ON SCHEMA public TO app_user;
```
Эти права позволяют пользователю `app_user` использовать объекты в схеме `public`, а также создавать новые объекты внутри неё.
### Права на существующие таблицы
Чтобы предоставить пользователю доступ к существующим таблицам в схеме `public`, можно использовать команду:
```sql
GRANT SELECT, INSERT, UPDATE, DELETE ON ALL TABLES IN SCHEMA public TO app_user;
```
Эта команда позволяет пользователю `app_user` выполнять операции чтения, вставки, обновления и удаления данных в существующих таблицах схемы `public`.
### Права на будущие таблицы
Если необходимо автоматически предоставить пользователю права на новые таблицы, создаваемые в схеме `public`, используйте команду:
```sql
ALTER DEFAULT PRIVILEGES IN SCHEMA public
GRANT SELECT, INSERT, UPDATE, DELETE ON TABLES TO app_user;
```
Эта команда обеспечит, что все будущие таблицы, создаваемые в схеме `public`, будут автоматически иметь права для пользователя `app_user` на чтение, вставку, обновление и удаление данных.
## Мониторинг репликации
Пользователь `client` имеет доступ к системным представлениям для мониторинга состояния репликации в кластере PostgreSQL.
### Просмотр состояния репликации
Для того чтобы просмотреть текущий статус репликации, пользователь может выполнить запрос к системному представлению:
``` SQL
SELECT * FROM pg_stat_replication;
```
Этот запрос возвращает информацию о всех репликах, подключённых к основному (primary) серверу.
### Ограничения доступа
Пользователь `client` имеет доступ к данным в представлении `pg_stat_replication` только в режиме **read-only**. Это означает, что он может просматривать состояние репликации, но не может изменять или вмешиваться в процесс репликации.
src/PaaS/index.md
+12
View File
@@ -0,0 +1,12 @@
---
section_links:
- title: Cloud PostgreSQL
link: /PaaS/PostgreSQL/PostgreSQL-index.md
description: Обзор сервиса PostgreSQL
- title: IPSEC
link: /PaaS/IPSEC.md
description: Параметры конфигурации IPSEC
---
# Начало работы в Cloud PostgreSQL
src/index.md
+26 -12
View File
@@ -91,7 +91,7 @@ services:
- title: Резервное копирование
description: Создание, хранение и восстановление копии виртуальных машин
icon: refresh
link: /backups/index
link: /backups/index
- title: Базы данных
articles:
- title: ClickHouse
@@ -100,12 +100,16 @@ services:
- title: MongoDB
description: В работе
icon: database
- title: PostgreSQL
description: Объектно-реляционная СУБД с открытым кодом, обеспечивающая высокую надёжность и масштабируемость
icon: database
link: /PaaS/index
- title: Аналитика
articles:
- title: Визуализация и анализ данных
description: В работе
icon: graph_up
- title: Безопасность
- title: Информационная безопасность
articles:
- title: Межсетевой экран (NGFW)
description: В работе
@@ -113,24 +117,34 @@ services:
- title: Защита веб-приложений (WAF)
description: В работе
icon: security
- title: Защита серверов и рабочих мест
- title: Защита серверов и рабочих станций (EPP)
description: В работе
icon: security
- title: Защита устройств пользователей
- title: Управление мобильными устройствами (MDM)
link: /security/Cloud-MDM/MDM-index.md
description: Сервис централизованного управления корпоративными и личными мобильными устройствами сотрудников
icon: security
- title: Сканер уязвимостей (VS)
link: /security/Cloud-VS/VS-index.md
description: Сервис сканирования компьютеров и приложений на уязвимости
icon: security
- title: Обучение основам киберграмотности (SA)
link: /security/Cloud-SA/SA-index.md
description: Сервис для формирования у сотрудников навыков реагирования на угрозы информационной безопасности
icon: security
- title: Многофакторная аутентификация (MFA)
description: Сервис для настройки процесса входа в систему
icon: security
- title: Защита электронной почты (SEG)
description: В работе
icon: security
- title: Сканер уязвимостей
- title: Защита от DDoS
description: В работе
icon: security
- title: Курсы кибербезопасности
description: В работе
icon: security
- title: Многофакторная аутентификация
description: В работе
icon: security
- title: Фильтрация почтового трафика
- title: ГОСТ VPN
description: В работе
icon: security
- title: Виртуальное рабочее место
articles:
- title: Виртуальные рабочие столы (VDI)
src/security/Cloud-MDM/MDM-index.md
+20
View File
@@ -0,0 +1,20 @@
---
section_links:
- title: Обзор сервиса
link: /security/Cloud-MDM/about.md
description:
- title: Порядок платежей
link: /security/Cloud-MDM/payments.md
description:
- title: Качественные характеристики сервиса
link: /security/Cloud-MDM/characteristics.md
description:
- title: Сроки и условия предоставления сервиса
link: /security/Cloud-MDM/provision.md
description:
---
# Cloud Mobile Device Management (MDM)
Сервис управляет корпоративными и личными мобильными устройствами сотрудников и интегрируется с инфраструктурой заказчика.
src/security/Cloud-MDM/about.md
+62
View File
@@ -0,0 +1,62 @@
# Cloud Mobile Device Management (MDM)
## Назначение сервиса
Сервис **Cloud Mobile Device Management (Cloud MDM)** используется для управления корпоративными и личными мобильными устройствами сотрудников. Сервис интегрируется с инфраструктурой заказчика и предоставляется по модели **Self-Service**.
## Возможности сервиса
Сервис позволяет:
- централизованно учитывать и управлять парком мобильных устройств;
- управлять настройками и политиками безопасности мобильных устройств;
- удаленно устанавливать ПО на управляемые мобильные устройства.
## Поддерживаемые операционные системы (ОС)
Сервис управляет мобильными устройствами со следующими ОС:
- Android 4.0 и выше.
- iOS 4.0 и выше.
- Windows Phone 8 и выше.
- Windows 10 Laptops.
- macOS 10.7 и выше.
- tvOS 7.0 и выше.
- Android TV (Android 4.4 и выше).
- Chrome OS 57.0 и выше.
- iPadOS 13.0 и выше.
## Функциональность сервиса
| Функция | Назначение |
| ----------------------------------------------- | ---------------------------------------------------------------------------------------------- |
| Поддержка BYOD | Разграничение личной и корпоративной информации на управляемом устройстве. |
| Геолокация | Определение местоположения мобильного устройства на карте. |
| Контейнеризация приложений | Защита данных, хранимых внутри приложений. |
| Собственный магазин приложений | Распространение приложений из публичных магазинов и приложений, разработанных внутри компании. |
| Автоматическая настройка приложений и устройств | Распространение конфигураций e-mail, VPN, Wi-Fi и сертификатов. |
| Режим "Kiosk" | Ограничение использования приложений, интерфейса ОС и настроек на мобильном устройстве. |
| Дистанционное удаление данных | Удаление данных при утере устройства или увольнении сотрудника. |
::: warning Важно
В зависимости от производителя устройства и версии ОС часть описанной функциональности может быть недоступна.
:::
## Компоненты сервиса
| Компонент | Назначение |
| ---------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| Центр управления | Основной компонент сервиса. Заказчик подключается к центру управления через веб-браузер и получает доступ к веб-консоли администратора тенанта. В консоли администратор управляет настройками и задачами. Центр управления хранит информацию о конфигурации сервиса и отправляет команды агентам управления мобильными устройствами. |
| Агент управления мобильными устройствами | ПО, которое устанавливается на управляемые мобильные устройства. Агент выполняет задачи, инициированные из центра управления, и применяет политики и настройки на управляемое устройство. |
| Шлюз безопасности | Промежуточный сервер между агентами управления мобильными устройствами и центром управления. Все сообщения от агентов до центра управления проходят через шлюз. |
| Веб-консоль центра управления | Входит в состав центра управления. Центральная точка управления задачами MDM для администраторов заказчика. В консоли администратор создает и импортирует пользователей, настраивает политики для мобильных устройств, управляет политиками безопасности и т.д. |
| Сервер распространения | Устанавливается на компьютер в инфраструктуре заказчика. Используется для интеграции с Active Directory (AD) и получения информации обо всех компьютерах. Связывается с центром управления. |
::: warning Важно
**Сервер распространения** — дополнительный компонент. Разворачивается, если требуется интеграция AD заказчика с Cloud MDM или расширенное управление устройствами с ОС Windows.
:::
src/security/Cloud-MDM/characteristics.md
+15
View File
@@ -0,0 +1,15 @@
# Качественные характеристики сервиса
## Режим предоставления сервиса
Сервис **Cloud Mobile Device Management (Cloud MDM)** предоставляется 24/7.
## Зона ответственности Beeline Cloud
Beeline Cloud не отвечает за полное обеспечение защиты от всех возможных угроз информационной безопасности. Сервис основан на ПО стороннего разработчика. Beeline Cloud не гарантирует, что это ПО будет свободно от ошибок, будет работать непрерывно и надежно.
Если в ПО, на базе которого работает сервис, обнаруживается проблема или ошибка, Beeline Cloud заводит инцидент в технической поддержке вендора и содействует в его решении.
## Зона ответственности заказчика
Заказчик использует сервис на собственный риск. Beeline Cloud не несет ответственности за прямые, случайные, особые, косвенные или штрафные убытки, в том числе за утрату данных, прерывание бизнеса или потерю прибыли, возникшие вследствие использования сервиса или невозможности его использования.
src/security/Cloud-MDM/description/architecture.md
+3
View File
@@ -0,0 +1,3 @@
# Архитектура сервиса
![Архитектура сервиса](../../image/MDM/architecture-MDM.png)
src/security/Cloud-MDM/description/areas-responsibility.md
+26
View File
@@ -0,0 +1,26 @@
# Зоны ответственности
::: warning Примечание
**«К» — консультирующая сторона**: Beeline Cloud выполняет настройки и изменения на основании инструкций и требований заказчика.
:::
| № | Зоны ответственности | Self-Service |
| --- | ----------------------------------------------------------------------------------------- | ---------------------------- |
| 1 | Поддержка работоспособности виртуальных аплаенсов | Beeline Cloud |
| 2 | Управление системными настройками виртуальных аплаенсов | Beeline Cloud |
| 3 | Установка обновлений центра управления и шлюза безопасности | Beeline Cloud |
| 4 | Обеспечение высокой доступности виртуальных аплаенсов: резервное копирование и мониторинг | Beeline Cloud |
| 5 | Сбор диагностической информации при неисправностях виртуальных аплаенсов | Beeline Cloud «К» |
| 6 | Отправка уведомлений на электронную почту через email relay Beeline Cloud | Beeline Cloud |
| 7 | Создание учетных записей администраторов тенанта центра управления | Beeline Cloud |
| 8 | Добавление и удаление пользователей в тенанте центра управления | Заказчик |
| 9 | Добавление и удаление мобильных устройств в тенанте центра управления | Заказчик |
| 10 | Создание и настройка профилей мобильных устройств | Заказчик |
| 11 | Создание и настройка конфигураций мобильных устройств | Заказчик |
| 12 | Установка и удаление агентов управления на мобильные устройства | Заказчик |
| 13 | Внесение иных изменений в тенанте | Заказчик |
| 14 | Добавление готовых к распространению приложений в тенант центра управления | Beeline Cloud / Заказчик «К» |
| 15 | Заведение кейсов в технической поддержке вендора по функциональности сервиса | Beeline Cloud / Заказчик «К» |
src/security/Cloud-MDM/description/compound.md
+13
View File
@@ -0,0 +1,13 @@
# Состав сервиса
Сервис **Cloud Mobile Device Management (Cloud MDM)** предоставляется по модели **Self-Service**: заказчик самостоятельно управляет настройками. Beeline Cloud:
- предоставляет лицензии на ПО;
- выдает тенант в центре управления;
- создает учетные записи администраторов тенанта в центре управления;
- выдает доступ к веб-консоли тенанта центра управления согласно списку IP-адресов из опросного листа;
- обеспечивает отказоустойчивость виртуальных аплаенсов;
- проводит резервное копирование и мониторинг виртуальных аплаенсов;
- заводит инциденты у вендора, если нарушается работоспособность виртуальных аплаенсов.
Beeline Cloud тарифицирует [дополнительные работы](work.md) по фактическим трудозатратам.
src/security/Cloud-MDM/description/description-index.md
+22
View File
@@ -0,0 +1,22 @@
---
section_links:
- title: Архитектура сервиса
link: /security/Cloud-MDM/description/architecture.md
description:
- title: Зоны ответственности
link: /security/Cloud-MDM/description/areas-responsibility.md
description:
- title: Состав сервиса
link: /security/Cloud-MDM/description/compound.md
description:
- title: Мониторинг работоспособности и отказоустойчивость сервиса
link: /security/Cloud-MDM/description/monitoring.md
description:
- title: Дополнительные работы
link: /security/Cloud-MDM/description/work.md
description:
---
# Описание сервиса Cloud Mobile Device Management (MDM)
Сервис используется для управления корпоративными и личными мобильными устройствами сотрудников и интегрируется с инфраструктурой заказчика.
src/security/Cloud-MDM/description/monitoring.md
+16
View File
@@ -0,0 +1,16 @@
# Мониторинг работоспособности и отказоустойчивость сервиса
## Назначение мониторинга
Мониторинг обнаруживает отклонения и ошибки в работе виртуальных аплаенсов.
## Параметры мониторинга виртуальных аплаенсов
- нагрузка на вычислительные ресурсы виртуальных аплаенсов;
- состояние (up/down) сетевых интерфейсов виртуальных аплаенсов;
- доступность веб-интерфейса центра управления;
- доступность TCP-портов подключения агентов управления мобильными устройствами на аплаенсе **Центр управления**.
## Отказоустойчивость
Отказоустойчивость сервиса **Cloud Mobile Device Management (Cloud MDM)** обеспечивается средствами платформы виртуализации.
src/security/Cloud-MDM/description/work.md
+15
View File
@@ -0,0 +1,15 @@
# Дополнительные работы
Дополнительные работы не входят в сервис **Cloud Mobile Device Management (Cloud MDM)** и тарифицируются отдельно по фактическим трудозатратам.
| Наименование работ | Трудозатраты, ч/ч | Квалификация специалиста |
| ------------------------------------------------------------------- | ----------------- | -------------------------------- |
| Создание и настройка профилей мобильных устройств Android и/или iOS | от 4 | Специалист третьего уровня (ДИБ) |
| Настройка политик для режима "Kiosk" для мобильных устройств Android| 8 | Специалист третьего уровня (ДИБ) |
| Другие работы, не входящие в состав сервиса | от 1 | Специалист третьего уровня (ДИБ) |
::: warning Примечание
**Человеко-час (ч/ч)** — это единица учета рабочего времени, соответствующая одному часу фактической работы одного сотрудника.
:::
src/security/Cloud-MDM/instructions/activation.md
+70
View File
@@ -0,0 +1,70 @@
# Активация учетной записи
## Режимы Android Enterprise
Сервис **Cloud Mobile Device Management (Cloud MDM)** поддерживает два режима Android Enterprise:
- **BYOD**. Заказчик управляет только рабочим профилем. Личные приложения, файлы, документы и периферия устройства сотрудника находятся вне зоны управления заказчика. **Режим описывается в этой статье.**
- **Device Owner**. [Режим](./device-owner.md) предполагает полное управление корпоративным устройством.
![Режимы Android Enterprise](../../image/MDM/Android-Enterpise-MDM.png)
## Активация учетной записи администратора
Beeline Cloud подключает **Cloud MDM** и создает учетные записи (УЗ) администраторов тенанта. После создания УЗ Beeline Cloud отправляет письмо с информацией об активации УЗ в **Cloud MDM**.
Для активации учетной записи:
1. Ознакомьтесь с информацией в присланном письме.
![Письмо с данными для активации](../../image/MDM/MDM-1.png)
2. Перейдите по ссылке из письма, чтобы задать пароль учетной записи.
3. В открывшейся форме задайте пароль и нажмите **Create password**.
![Форма задания пароля](../../image/MDM/MDM-2.png)
На экране появится сообщение об успешной активации учетной записи.
![Сообщение об успешной активации](../../image/MDM/MDM-3.png)
4. На странице входа введите логин и пароль, затем нажмите **Sign In**.
![Страница входа](../../image/MDM/MDM-4.png)
5. Добавьте второй фактор аутентификации (2FA). Воспользуйтесь приложением **Яндекс Ключ** или **Google Authenticator**. Отсканируйте QR-код, который появится на странице.
![QR-код для 2FA](../../image/MDM/MDM-5.png)
6. Запустите приложение **Яндекс Ключ** и нажмите **+** в левом нижнем углу, чтобы добавить аккаунт 2FA.
![Добавление аккаунта в Яндекс Ключ](../../image/MDM/MDM-6.png)
7. На следующем экране нажмите **Сканировать QR**.
![Кнопка сканирования QR](../../image/MDM/MDM-7.png)
8. Отсканируйте QR-код из шага 5.
9. В приложении выберите добавленный аккаунт 2FA.
![Выбор аккаунта 2FA](../../image/MDM/MDM-8.png)
10. Введите шестизначный код из приложения в поле второго фактора в веб-консоли Cloud MDM (шаг 5).
![Ввод кода 2FA](../../image/MDM/MDM-9.png)
Откроется главная страница администратора Cloud MDM.
::: warning Важно
Активация учетной записи администратора Cloud MDM завершена.
:::
## Видеоинструкция
Посмотрите, как активировать учетную запись и сделать первые шаги в **Cloud MDM**.
[Cloud MDM. Активация учетной записи и первые шаги](https://youtu.be/Ogz5-EJqxBk)
src/security/Cloud-MDM/instructions/device-owner.md
+124
View File
@@ -0,0 +1,124 @@
# Режим Device Owner
## Режимы Android Enterprise
Сервис **Cloud Mobile Device Management (Cloud MDM)** поддерживает два режима Android Enterprise:
- **BYOD**. Заказчик управляет только рабочим профилем. Личные приложения, файлы, документы и периферия устройства сотрудника находятся вне зоны управления заказчика.
- **Device Owner**. Режим предполагает полное управление корпоративным устройством. Описывается в этой статье.
![Режимы Android Enterprise](../../image/MDM/Android-Enterpise-MDM.png)
::: warning Важно
Для регистрации устройства в режиме **Device Owner** из России доступен только вариант с Android Debug Bridge (ADB).
:::
## Настройка режима Device Owner
1. Сбросьте устройство Android к заводским настройкам.
![Сброс к заводским настройкам](../../image/MDM/MDM-10.png)
2. После сброса на экране появится приветствие. Нажмите **Начать**.
![Приветствие после сброса](../../image/MDM/MDM-11.png)
3. На экране настройки мобильной сети нажмите **Пропустить**.
4. На экране подключения к Wi-Fi нажмите **Настроить офлайн**, затем **Далее**.
![Настройка офлайн](../../image/MDM/MDM-12.png)
5. Завершите оставшиеся этапы настройки: установку даты и времени, задание PIN-кода и т. д. Дождитесь появления рабочего стола.
6. Откройте **Настройки**.
![Настройки](../../image/MDM/MDM-13.png)
7. Прокрутите экран вниз и выберите **О телефоне**.
![О телефоне](../../image/MDM/MDM-14.png)
8. Семь раз нажмите на **Номер сборки**. Убедитесь, что появилось сообщение об активации режима разработчика.
![Активация режима разработчика](../../image/MDM/MDM-15.png)
9. Вернитесь в **Настройки** и выберите **Система****Для разработчиков**.
![Для разработчиков](../../image/MDM/MDM-16.png)
10. Включите **Отладка по USB**.
![Отладка по USB](../../image/MDM/MDM-17.png)
11. Подключите устройство USB-кабелем к компьютеру с Windows. Убедитесь, что на экране устройства появилась информация об активной отладке по USB.
![Отладка по USB активна](../../image/MDM/MDM-18.png)
12. На компьютере откройте браузер и перейдите по ссылке. Нажмите **Windows** и скачайте архив `makedeviceowner.zip`.
13. Распакуйте архив и запустите файл `makedeviceowner.bat`.
14. На экране устройства Android появится запрос на отладку по USB. Нажмите **Разрешить**.
![Запрос на отладку по USB](../../image/MDM/MDM-19.png)
15. Снова запустите `makedeviceowner.bat`. Дождитесь появления надписи `Performing Streamed Install` и сообщения `Success` в командной строке.
![Сообщение Success](../../image/MDM/MDM-20.png)
16. На устройстве Android убедитесь, что в списке установленных приложений появилось приложение **ME MDM**.
![Приложение ME MDM установлено](../../image/MDM/MDM-21.png)
17. Отсоедините кабель USB и подключитесь к Wi-Fi с выходом в интернет.
18. В веб-консоли администратора **Cloud MDM** перейдите в **Управление мобильными устройствами****Регистрация****Android****Регистрация маркера EMM** и нажмите **Create Template**.
![Регистрация маркера EMM](../../image/MDM/MDM-22.png)
19. Задайте имя шаблона, в поле **Назначить пользователей** выберите **Вручную** и нажмите **Сохранить**.
![Создание шаблона](../../image/MDM/MDM-23.png)
20. Справа на странице **Управление мобильными устройствами****Регистрация****Android****Регистрация маркера EMM** отобразится QR-код.
21. На устройстве Android запустите **ME MDM** и отсканируйте QR-код из веб-консоли администратора **Cloud MDM**.
22. В приложении ME MDM появится сообщение об успешной регистрации устройства. Нажмите **Готово** в правом нижнем углу.
23. В веб-консоли администратора **Cloud MDM** перейдите в **Управление мобильными устройствами****Регистрация****Устройства****Промежуточные** и нажмите **Назначить пользователя**.
![Назначение пользователя](../../image/MDM/MDM-24.png)
24. Выберите пользователя для добавляемого устройства и нажмите **Назначить**.
::: warning Важно
Если пользователи еще не созданы, добавьте их в **Управление мобильными устройствами****Регистрация****Пользователи****Добавить пользователей**.
:::
1. Перейдите в **Управление мобильными устройствами****Регистрация****Устройства** и убедитесь, что устройство успешно добавлено в **Cloud MDM**.
2. Перейдите в **Управление мобильными устройствами****Инвентаризация****Устройства** и нажмите на имя устройства.
![Инвентаризация устройств](../../image/MDM/MDM-25.png)
3. Убедитесь, что в поле **Тип управления** указано **Полное управление устройством (владелец устройства)**. Устройство Android зарегистрировано в Cloud MDM в режиме Device Owner.
![Тип управления — Device Owner](../../image/MDM/MDM-26.png)
::: warning Важно
Устройство Android успешно зарегистрировано в **Cloud MDM** в режиме **Device Owner**.
:::
## Видеоинструкция
Посмотрите, как добавить устройство с Android в **Cloud MDM**.
[Cloud MDM. Как добавить устройство Android](https://youtu.be/TXh05dwTdaI)
src/security/Cloud-MDM/instructions/index.md
+15
View File
@@ -0,0 +1,15 @@
---
section_links:
- title: Инструкции для работы с сервисом
link: /security/Cloud-MDM/instructions/instructions.md
description:
- title: Активация учетной записи
link: /security/Cloud-MDM/instructions/activation.md
description:
- title: Режим Device Owner
link: /security/Cloud-MDM/instructions/device-owner.md
description:
---
# Инструкции для работы с сервисом Cloud MDM
src/security/Cloud-MDM/instructions/instructions.md
+25
View File
@@ -0,0 +1,25 @@
# Инструкции
## Видеоинструкции
- [Активация учетной записи администратора Cloud MDM и настройка 2FA](https://kinescope.io/9mw6JzWQTz9eZceG5CBvaY)
- [Регистрация устройства Windows](https://kinescope.io/aHiAf7BBwrQjWcRLV7MQ1k)
- [Регистрация устройства Android в режиме BYOD](https://kinescope.io/vCTDpdxLZdm18goaXbMUwo)
- [Настройка QR-кода для регистрации Android в режиме полного управления](https://kinescope.io/qr3tLu3h5f5E8C6AhxokJB)
- [Регистрация устройства iOS в режиме BYOD](https://kinescope.io/qt3Wki5qXUGAaZ1mUtvqXs)
- [Профили управления и распространение приложений для iOS](https://kinescope.io/w95pZ34Un3HwkpWfiMXZMx)
- [Удаление устройств iOS из консоли Cloud MDM](https://kinescope.io/31rqK1qRVwK5BkayJJsXcF)
- [Регистрация устройства macOS](https://kinescope.io/o9SUisLzuDx7CZtnmjh223)
- [Установка приложений на macOS](https://kinescope.io/wW5mfvh1HQyPxrxgmRtDtx)
- [Настройка политик ограничений для macOS](https://kinescope.io/dwKwDkFyxCB2Juc5jExjH4)
- [Удаление агента Cloud MDM с устройства macOS](https://kinescope.io/msJrAXigjhNS9aHUW2XYgq)
- [Создание отчетов](https://kinescope.io/m7CYaSUUb76SnHrKe2HTtV)
## Вебинар
- [«Облачный MDM UEM: гибкое управление мобильными и десктопными устройствами»](https://kinescope.io/jgHgtp3y9CX3MjpPK5q1uW)
## Текстовые инструкции
- [активировать учетную запись и сделать первые шаги в Cloud MDM](./activation.md)
- [добавить устройство с Android в Cloud MDM в режиме Device Owner](./device-owner.md)
src/security/Cloud-MDM/payments.md
+7
View File
@@ -0,0 +1,7 @@
# Порядок платежей
Стоимость сервиса **Cloud Mobile Device Management (Cloud MDM)** фиксируется в бланке заказа (БЗ). Ежемесячный платеж зависит от количества мобильных устройств и дополнительных администраторов согласно тарифу. Сервис тарифицируется на помесячной основе по выделенной квоте.
Расчетный период — календарный месяц. Сервис, активированный в течение расчетного периода, оплачивается по тарифу в полном объеме независимо от фактического срока использования. Перерасчет по календарным дням не производится. Доступ к сервису считается предоставленным, а сервис — оказанным в полном объеме с момента активации.
При необходимости [дополнительные работы](./description/work.md) оплачиваются отдельно. Основание для оплаты — заявки уполномоченных представителей заказчика, указанных в БЗ.
src/security/Cloud-MDM/provision.md
+27
View File
@@ -0,0 +1,27 @@
# Сроки и условия предоставления сервиса
## Порядок подключения сервиса
### Заказчик
1. Заполните и подпишите бланк заказа (БЗ) на предоставление сервиса **Cloud Mobile Device Management (Cloud MDM)** и опросный лист.
2. Отправьте отсканированную копию подписанного БЗ на e-mail presales@datafort.ru и корпоративный e-mail менеджера по продажам Beeline Cloud, указанный в заказе.
3. Предоставьте ФИО и e-mail администратора платформы.
4. Направьте оригинал БЗ в Beeline Cloud в порядке, установленном договором.
Скачайте [опросный лист](https://disk.datafort.ru/public/s/DiqBkajp7rEoXym) с помощью сервиса Cloud Workspace (WS).
### Beeline Cloud
1. Проверяет корректность заполнения бланка заказа и опросного листа и регистрирует заказ.
2. Уведомляет заказчика по e-mail о принятии заказа в работу.
3. Подключает сервис.
4. Предоставляет заказчику доступ к сервису не позднее двух рабочих дней с момента принятия заказа в работу.
## Настройка нестандартных конфигураций
Если требуется настройка нестандартных конфигураций, заказчик предоставляет необходимую информацию в Beeline Cloud.
## Прием запросов от заказчика
Beeline Cloud принимает запросы только от уполномоченных лиц заказчика, указанных в бланке заказа. Если конечный пользователь обращается в службу поддержки Beeline Cloud напрямую, он получает рекомендацию направить обращение через уполномоченных лиц.
src/security/Cloud-MFA/MFA-index.md
+19
View File
@@ -0,0 +1,19 @@
---
section_links:
- title: Обзор сервиса
link: /security/Cloud-MFA/about.md
description:
- title: Качественные характеристики сервиса
link: /security/Cloud-MFA/characteristics.md
description:
- title: Порядок платежей
link: /security/Cloud-MFA/payment-procedure.md
description:
- title: Сроки и условия предоставления сервиса
link: /security/Cloud-MFA/provision.md
description:
---
# Cloud Multifactor Authentication (MFA)
Сервис используется для настройки процесса входа в систему. Процесс состоит из нескольких шагов и требует от пользователя указать больше информации, а не только пароль.
src/security/Cloud-MFA/about.md
+41
View File
@@ -0,0 +1,41 @@
# Cloud Multifactor Authentication (MFA)
## Назначение сервиса
Сервис **Cloud Multifactor Authentication (MFA)** обеспечивает многоэтапную проверку подлинности при входе в систему. В отличие от стандартной аутентификации по паролю, MFA требует от пользователя предоставления дополнительных данных, что повышает безопасность доступа.
Сервис может предоставляться как самостоятельное решение или как опция к существующим сервисам платформы. Реализован на базе российского программного обеспечения **Multifactor**.
## Задачи сервиса
- защита информационных систем от несанкционированного доступа и компрометации учётных данных;
- усиленный контроль доступа к данным и приложениям.
**Выполнение требований стандартов в сфере информационной безопасности:**
- PCI-DSS;
- HIPAA;
- SOX;
- NERC;
- FISMA;
- ISO;
- GLBA;
- GPG13 и т.д.
## Особенности и конкурентные преимущества сервиса
- сервис функционирует в соответствии с моделью **Zero Trust**: пароли пользователей не передаются и не обрабатываются в Multifactor;
- пользователи могут самостоятельно настроить аутентификацию при первом входе без предварительной регистрации;
- функционал доступен через веб-браузер, не требует установки плагинов, драйверов или дополнительных приложений;
**Сервис поддерживает следующие факторы:**
- бот в Telegram;
- биометрия;
- U2F;
- FIDO;
- OTP;
- Google Authenticator;
- Яндекс.Ключ;
- Звонки;
- SMS.
src/security/Cloud-MFA/characteristics.md
+16
View File
@@ -0,0 +1,16 @@
# Качественные характеристики сервиса
## Уровень обслуживания (SLA)
Сервис **Cloud Multifactor Authentication (MFA)** предоставляется круглосуточно, 7 дней в неделю (24/7).
Показатели доступности компонентов сервиса:
| Компонент | Доступность |
|-----------|-------------|
| RADIUS Adapter | 99,95 % |
| LDAP Adapter | 99,95 % |
| Портал самообслуживания (SelfService Portal) | 99,95 % |
| Личный кабинет администратора | 99,95 % |
| API Multifactor | 99,95 % |
| Сайт multifactor.ru | 99,95 % |
src/security/Cloud-MFA/description/components.md
+101
View File
@@ -0,0 +1,101 @@
# Компоненты сервиса
## Виды компонентов
В зависимости от решаемой задачи и типа защищаемых систем применяется один или несколько технических компонентов сервиса **Cloud Multifactor Authentication (MFA)**:
- **Личный кабинет администратора**
- **RADIUS Adapter**
- **LDAP Adapter**
- **Портал самообслуживания (SelfService Portal)**
> Все перечисленные компоненты разрабатываются и поддерживаются компанией **Мультифактор**.
## 1. Личный кабинет администратора
**Личный кабинет администратора** — это веб-приложение, доступное из сети интернет. Предназначено для управления следующими элементами:
- пользователями;
- группами пользователей;
- интеграцией с защищаемыми информационными системами;
- списком доступных вторых факторов.
Управление осуществляется ИТ-специалистами.
## 2. Radius Adapter
**RADIUS Adapter** — RADIUS‑сервер, используемый для двухфакторной аутентификации пользователей при удалённом доступе. Компонент поставляется с исходным кодом, доступен в Linux‑версии.
::: warning Примечание
RADIUS Adapter **не передаёт** пароль пользователя в облако Multifactor. Пароль остаётся в периметре сети, в облако передаётся только логин (для идентификации пользователя и доставки второго фактора).
:::
### Возможности
- приём запросов на аутентификацию по протоколу RADIUS;
- проверка первого фактора (логин и пароль) в Active Directory (включая AD LDS) или Network Policy Server (NPS);
- проверка второго фактора на устройстве пользователя;
- настройка второго фактора в режиме диалога с пользователем;
- настройка доступа на основе принадлежности пользователя к группе AD;
- избирательное включение второго фактора принадлежности пользователя в группе AD;
- настройка атрибутов ответа RADIUS на основе принадлежности к группе AD;
- проксирование запросов и ответов Network Policy Server;
- отправка журналов в Syslog‑сервер или SIEM‑систему;
- режим **bypass** — при недоступности API можно либо пропускать пользователя без второго фактора, либо блокировать доступ.
## 3. LDAP Adapter
**LDAP Adapter** — LDAP proxy‑сервер для двухфакторной аутентификации в приложениях, использующих LDAP‑аутентификацию. Поставляется с исходным кодом, доступен в Linux‑версии.
::: warning Примечание
Компонент не вмешивается в проверку имени и пароля пользователя. Второй фактор запрашивается только после успешной проверки учётной записи в Active Directory или другом LDAP‑каталоге.
:::
### Возможности
- проксирование сетевого трафика по протоколу LDAP;
- перехват запросов на аутентификацию и подтверждение вторым фактором на телефоне пользователя;
- работа по протоколам LDAP и LDAPS (шифрованный TLS‑канал);
- перехват аутентификационных запросов с механизмами Simple, Digest, NTLM;
- пропуск запросов от сервисных учётных записей (Bind DN) без второго фактора;
- настройка доступа на основе принадлежности пользователя к группе AD;
- избирательное включение второго фактора по членству в группе AD;
- отправка журналов в Syslog‑сервер или SIEM‑систему;
- режим **bypass** — при недоступности API можно пропускать пользователя без второго фактора или блокировать доступ.
## 4. Портал самообслуживания
**SelfService Portal** — веб‑сайт для самостоятельной регистрации второго фактора аутентификации пользователями с учётными записями из Active Directory или других LDAP‑каталогов. Поставляется с исходным кодом, доступен в Linux‑ и Windows‑версиях.
### Назначение и особенности
Портал предназначен для работы внутри корпоративной сети, но может быть опубликован для доступа из интернета.
### Возможности
- проверка логина и пароля пользователя в LDAP‑каталоге или Active Directory;
- Windows‑версия поддерживает работу с несколькими доменами при наличии доверительных отношений;
- настройка второго фактора аутентификации;
- смена пароля пользователя после подтверждения второго фактора;
- смена просроченного или требующего замены пароля;
- единая точка входа (Single SignOn, SSO) для корпоративных приложений с поддержкой протоколов SAML, OpenID Connect / OAuth;
- избирательное включение второго фактора на основе членства в группе AD при SSO‑входе;
- управление ActiveSync‑устройствами для доступа к почте Exchange;
- поддержка проверки CAPTCHA на странице входа в портал.
## Соответствие тарифов и адаптеров
|Подключаемый сервис | Тип адаптера |
|--------------------|-----------------|
|NGAF ra VPN | LDAP |
|UserGate ra VPN | LDAP |
|Pfsense ra VPN | RADIUS |
|OWA | Модуль для OWA |
|ADFS | Модуль для ADFS |
|Vmware horizon VDI | RADIUS |
Дополнительно прочтите про настройку двухфакторной аутентификации в VPN на основе межсетевого экрана UserGate.
src/security/Cloud-MFA/description/compound.md
+42
View File
@@ -0,0 +1,42 @@
# Состав сервиса
## Варианты услуги
Сервис Cloud Multifactor Authentication (MFA) предлагает два варианта:
- **Managed Service**;
- **Self Service**.
Beeline cloud тарифицирует дополнительные работы по фактическим трудозатратам.
## Варианты предоставления сервиса
### 1. SelfService
Вариант **SelfService** ориентирован на заказчиков, которые самостоятельно интегрируют сервис с защищаемыми информационными системами, а также самостоятельно поддерживают его компоненты.
**Beeline Cloud предоставляет:**
- лицензии на программное обеспечение;
- доступ в личный кабинет Multifactor.
> Приглашение на доступ действует в течение **25 минут** после отправки.
### 2. Managed Service
В рамках варианта **Managed Service** сопровождение и поддержка компонентов сервиса выполняются Beeline Cloud.
**Beeline Cloud:**
- предоставляет лицензию на ПО;
- предоставляет доступ в личный кабинет Multifactor;
- разворачивает, настраивает и подготавливает компоненты сервиса к интеграции с инфраструктурой заказчика;
- осуществляет сервисную поддержку в части работоспособности компонентов;
- регистрирует инциденты у вендора при нарушениях работоспособности компонентов;
- обеспечивает высокую доступность компонентов:
- ежедневное резервное копирование;
- круглосуточный мониторинг работоспособности;
- участвует в интеграции компонентов с существующей инфраструктурой заказчика;
- вносит изменения в конфигурацию компонентов (за исключением управления пользователями в личном кабинете);
- размещает компоненты сервиса в технологическом пуле Beeline Cloud;
- настраивает сетевую связанность компонентов с инфраструктурой заказчика в облаке Beeline Cloud.
src/security/Cloud-MFA/description/default-settings.md
+18
View File
@@ -0,0 +1,18 @@
# Настройки по умолчанию (Managed Service)
Если заказчик не предоставил техническое задание, Beeline Cloud выполняет настройку сервиса со следующими параметрами:
## Базовые параметры
- **Shared secret** — общий ключ для взаимодействия между защищаемым сервисом и компонентами Multifactor.
- **Поставщик учётных записей** — указывается источник проверки первого фактора (каталог инициаций).
- **Исключения для сервисных учётных записей** — настраиваются учётные записи, для которых второй фактор не требуется.
- **Ключ и идентификатор ресурса** — вносятся данные для взаимодействия с API `api.multifactor.ru`.
## Условия применения
::: warning Примечание
По умолчанию многофакторная аутентификация включена для **всех пользователей**, добавленных в личный кабинет Multifactor.
:::
src/security/Cloud-MFA/description/description-index.md
+29
View File
@@ -0,0 +1,29 @@
---
section_links:
- title: Компоненты сервиса
link: /security/Cloud-MFA/components.md
description:
- title: Состав сервиса
link: /security/Cloud-MFA/compound.md
description:
- title: Настройки по умолчанию (Managed Service)
link: /security/Cloud-MFA/default-settings.md
description:
- title: Отказоустойчивость
link: /security/Cloud-MFA/fault-tolerance.md
description:
- title: Схема взаимодействия компонентов сервиса
link: /security/Cloud-MFA/interaction-scheme.md
description:
- title: Мониторинг работоспособности
link: /security/Cloud-MFA/monitoring.md
description:
- title: Зоны ответственности
link: /security/Cloud-MFA/responsibility-zone.md
description:
---
# Cloud Multifactor Authentication (MFA)
Сервис используется для настройки процесса входа в систему. Процесс состоит из нескольких шагов и требует от пользователя указать больше информации, а не только пароль.
src/security/Cloud-MFA/description/fault-tolerance.md
+3
View File
@@ -0,0 +1,3 @@
# Отказоустойчивость
Отказоустойчивость сервиса **Cloud Multifactor Authentication (MFA)** обеспечивается средствами платформы виртуализации. Для защиты данных выполняется ежедневное резервное копирование виртуального апплаенса с глубиной хранения **7 дней**.
src/security/Cloud-MFA/description/interaction-scheme.md
+23
View File
@@ -0,0 +1,23 @@
# Схема взаимодействия компонентов сервиса
## Порядок подключения к сервису
1. **Инициация доступа**
Пользователь инициирует подключение к защищаемому сервису.
2. **Передача учётных данных**
Защищаемый сервис направляет учётные данные пользователя в компонент Multifactor.
3. **Проверка первого фактора**
Компонент Multifactor проверяет учётные данные пользователя в Active Directory (AD) заказчика.
4. **Запрос второго фактора**
После успешной проверки учётных данных запрос направляется в API Multifactor, который инициирует отправку второго фактора аутентификации, настроенного у пользователя.
::: warning Важно
Компонент Multifactor **не передаёт** пароль пользователя в облако. Пароль остаётся в пределах периметра сети заказчика. В облако передаётся только логин — для идентификации пользователя и доставки ему второго фактора.
:::
![schema-MFA](./../../image/schema-MFA.png)
src/security/Cloud-MFA/description/monitoring.md
+6
View File
@@ -0,0 +1,6 @@
# Мониторинг работоспособности
Для обнаружения отклонений и ошибок в работе сервиса используется система мониторинга. Мониторинг осуществляется **круглосуточно** и включает контроль следующих параметров:
- нагрузка на вычислительные ресурсы виртуального апплаенса;
- состояние сетевых интерфейсов (up/down).
src/security/Cloud-MFA/description/responsibility-zone.md
+24
View File
@@ -0,0 +1,24 @@
# Зоны ответственности
Сервис Cloud Multifactor Authentication (MFA) предполагает прямое участие заказчика. Зоны ответственности зависят от варианта сервиса:
- **Self-Service**;
- **Managed Service**.
::: warning Важно
**«К» — консультирующая сторона**: Beeline Cloud выполняет настройки и изменения на основании инструкций и требований, предоставленных заказчиком.
:::
| Зоны ответственности | Self-Service | Managed Service |
|-------------------------------------------------------------------------------------------------------|------------------------------|-----------------|
|Поддержка работоспособности личного кабинета администратора | Beeline Cloud | Beeline Cloud |
|Поддержка работоспособности компонентов сервиса | Заказчик | Beeline Cloud |
|Системные настройки компонентов сервиса | Заказчик | Beeline Cloud |
|Мониторинг доступности компонентов сервиса | Заказчик | Beeline Cloud |
|Мониторинг доступности компонента личного кабинета и API | Beeline Cloud | Beeline Cloud |
|Сбор диагностической информации при неисправностях | Beeline Cloud / Заказчик "К" | Beeline Cloud |
|Заведение кейсов в техническую поддержку (ТП) вендора в случае неработоспособности компонентов сервиса | Заказчик | Beeline Cloud |
|Заведение кейсов в ТП вендора в случае неработоспособности личного кабинета и API | Beeline Cloud | Beeline Cloud |
|Управление пользователями | Заказчик | Заказчик |
src/security/Cloud-MFA/description/work/dop-work.md
+14
View File
@@ -0,0 +1,14 @@
# Дополнительные работы
Beeline Cloud отдельно тарифицирует дополнительные работы по фактическим трудозатратам.
> Работы **не входят** в состав сервиса **Cloud Multifactor Authentication (MFA)**.
| Работа | Трудозатраты, ч/ч | Квалификация специалиста |
|-------------------------------------------------------------------------------------------------------------------------|-------|----------------------------------|
| Рассылка пользователям Мультифактора ссылки для регистрации второго фактора | 6 | Специалист третьего уровня (ДИБ) |
| Рассылка ссылки для регистрации второго фактора только тем пользователям Мультифактора, у которых он не зарегистрирован | 6 | Специалист третьего уровня (ДИБ) |
| Удаление всех пользователей из личного кабинета Мультифактора | 6 | Специалист третьего уровня (ДИБ) |
| Удаление всех дубликатов пользователей в личном кабинете Мультифактора | 6 | Специалист третьего уровня (ДИБ) |
| Внесение изменений в настройки компонентов Мультфактора | 2 | Специалист третьего уровня (ДИБ) |
| Разворачивание дополнительных компонентов Мультифкатора | 4 | Специалист третьего уровня (ДИБ) |
src/security/Cloud-MFA/description/work/work-index.md
+9
View File
@@ -0,0 +1,9 @@
---
section_links:
- title: Состав работ сервиса
link: /security/Cloud-MFA/description/work/work.md
description:
- title: Дополнительные работы сервиса
link: /security/Cloud-MFA/description/work/dop-work.md
description:
---
src/security/Cloud-MFA/description/work/work.md
+26
View File
@@ -0,0 +1,26 @@
# Состав работ
Состав работ зависит от варианта сервиса **Cloud Multifactor Authentication (MFA)**:
- **Self-Service**;
- **Managed Service**.
|Работа | Self-Service | Managed Service |
|-------------------------------------------------------------------------------------------------------------|--------------------|--------------------|
|Предоставление лицензии | :heavy_check_mark: | :heavy_check_mark: |
|Выделение необходимых вычислительных ресурсов для функционирования компонентов сервиса | - | :heavy_check_mark: |
|Развертывание и настройка компонентов сервиса | - | :heavy_check_mark: |
|Резервное копирование компонентов сервиса | - | :heavy_check_mark: |
|Мониторинг работоспособности компонентов сервиса | - | :heavy_check_mark: |
|Мониторинг доступности компонента личного кабинета администратора и API | :heavy_check_mark: | :heavy_check_mark: |
|Интеграция компонентов услуги с инфраструктурой заказчика | - | :heavy_check_mark: |
|Консультация по работе компонентов сервиса | :heavy_check_mark: | :heavy_check_mark: |
|Внесение изменений в настройки компонентов сервиса | - | :heavy_check_mark: |
|Управление пользователями, группами и настройками вариантов второго фактора в личном кабинете администратора | - | - |
|Консультации по работе личного кабинета администратора | :heavy_check_mark: | :heavy_check_mark: |
::: warning Примечание
Beeline Cloud отдельно тарифицирует [дополнительные работы](./dop-work.md).
:::
src/security/Cloud-MFA/payment-procedure.md
+9
View File
@@ -0,0 +1,9 @@
# Порядок платежей
Сервис **Cloud Multifactor Authentication (MFA)** предоставляется как самостоятельный и оформляется в бланке заказа (БЗ). Ежемесячный платеж фиксирован и зависит от выбранной квоты.
Расчетный период — календарный месяц. Сервис, активированный в течение расчетного периода, оплачивается по тарифу в полном объеме независимо от фактического срока использования. Перерасчет по календарным дням не производится. Доступ к сервису считается предоставленным, а сервис — оказанным в полном объеме с момента активации.
Если квота меняется в течение расчетного периода, оплата производится по наибольшей квоте этого периода.
[Дополнительные работы](./description/work/dop-work.md) оплачиваются отдельно. Основание для оплаты — заявки уполномоченных представителей заказчика, указанных в БЗ.
src/security/Cloud-MFA/provision.md
+44
View File
@@ -0,0 +1,44 @@
# Сроки и условия предоставления сервиса
## Порядок подключения сервиса
### Заказчик
1. Заполните и подпишите бланк заказа (БЗ) на предоставление сервиса **Cloud Multifactor Authentication (MFA)**.
2. Отправьте отсканированную копию подписанного БЗ на e-mail presales@datafort.ru и корпоративный e-mail менеджера по продажам Beeline Cloud, указанный в заказе.
3. Предоставьте ФИО и e-mail администратора платформы.
4. Направьте оригинал БЗ в Beeline Cloud в порядке, установленном договором.
### Beeline Cloud
1. Проверяет корректность заполнения БЗ и регистрирует заказ.
2. Уведомляет заказчика по e-mail о принятии заказа в работу.
3. Подключает сервис.
4. Предоставляет заказчику доступ к сервису не позднее двух рабочих дней с момента принятия заказа в работу.
## Настройка нестандартных конфигураций
Если требуется настройка нестандартных конфигураций, заказчик предоставляет необходимую информацию в Beeline Cloud.
## Прием запросов от заказчика
Beeline Cloud принимает запросы только от уполномоченных лиц заказчика, указанных в БЗ. Если конечный пользователь обращается в службу поддержки Beeline Cloud напрямую, он получает рекомендацию направить обращение через уполномоченных лиц.
## Зона ответственности Beeline Cloud
#### Ограничение ответственности Beeline Cloud
Beeline Cloud **не несёт ответственности** за обеспечение защиты от угроз информационной безопасности.
Сервис предоставляется на программном обеспечении, разработанном сторонней компанией. Beeline Cloud **не гарантирует**, что данное программное обеспечение:
- свободно от ошибок разработчика;
- работает непрерывно;
- является надёжным.
#### Порядок действий при выявлении ошибок
При обнаружении проблем или ошибок в программном обеспечении, на базе которого реализован сервис, Beeline Cloud:
1. регистрирует инцидент в технической поддержке вендора;
2. содействует в ходе его решения.
src/security/Cloud-SA/SA-index.md
+22
View File
@@ -0,0 +1,22 @@
---
section_links:
- title: Обзор сервиса
link: /security/Cloud-SA/compond-SA/about.md
description:
- title: Качественные характеристики сервиса
link: /security/Cloud-SA/characteristics.md
description:
- title: Инструкции для начала работы с сервисом
link: /security/Cloud-SA/instructions.md
description:
- title: Порядок платежей
link: /security/Cloud-SA/payment-procedure.md
description:
- title: Сроки и условия предоставления сервиса
link: /security/Cloud-SA/provision.md
description:
---
# Сервис Cloud Security Awareness (SA)
Сервис формирует навыки реагирования на угрозы информационной безопасности за счет периодического тестирования различными методами.
src/security/Cloud-SA/characteristics.md
+13
View File
@@ -0,0 +1,13 @@
# Качественные характеристики сервиса
## Режим предоставления сервиса
Сервис **Cloud Security Awareness (Cloud SA)** предоставляется 24/7.
## Зона ответственности Beeline Cloud
Beeline Cloud не несет ответственности за полное обеспечение защиты от всех возможных угроз информационной безопасности. Если в ПО, на базе которого работает сервис, обнаруживается проблема или ошибка, Beeline Cloud заводит инцидент в технической поддержке вендора и содействует в его решении.
## Зона ответственности заказчика
Заказчик использует сервис на собственный риск. Beeline Cloud не несет ответственности за прямые, случайные, особые, косвенные или штрафные убытки, в том числе за утрату данных, прерывание работы бизнеса или потерю прибыли, возникшие вследствие использования сервиса или невозможности его использования.
src/security/Cloud-SA/compond-SA/about.md
+42
View File
@@ -0,0 +1,42 @@
# Cloud Security Awareness (SA)
## Назначение сервиса
Сервис **Cloud Security Awareness (Cloud SA)** формирует у сотрудников навыки реагирования на угрозы информационной безопасности. Для этого используется периодическое тестирование различными методами, в том числе учебными фишинговыми <!--добавить ссылку после описания раздела--> атаками, с дальнейшей обработкой результатов тестирования и обучения.
Beeline Cloud предоставляет заказчику сервис по модели Self-Service. [Дополнительные работы](./work.md) при необходимости согласуются и предоставляются отдельно.
Beeline Cloud предоставляет заказчику доступ к платформе тестирования и обучения сотрудников основам информационной безопасности. Платформа развернута в облаке Beeline Cloud.
## Модули платформы
Платформа состоит из нескольких базовых модулей:
- модуль управления сотрудниками (модуль «[Сотрудники](./platform-modules#сотрудники)»);
- модуль обучения (модуль «[Обучение](./platform-modules#обучение)»);
- модуль управления шаблонами (модуль «[Шаблоны](./platform-modules#шаблоны)»);
- модуль проведения учебных атак (модуль «[Атаки](./platform-modules#учебные-атаки)»);
- модуль создания правил (модуль «[Правила](./platform-modules#правила)»);
- модуль построения отчетов (модуль «[Отчеты](./platform-modules#отчеты)»).
На платформу для заказчика могут быть загружены дополнительные модули со спецкурсами.
::: details Список спецкурсов
- Курс 152-ФЗ «Защита персональных данных»
- Курс 187-ФЗ-01 КИИ «Обеспечение информационной безопасности объектов критической инфраструктуры»
- Курс 187-ФЗ-02 КИИ «Защита информационной безопасности объектов критической информационной инфраструктуры»
- Курс 187-ФЗ-03 КИИ «Защита информационной безопасности объектов критической информационной инфраструктуры для руководителей подразделений ОКИИ»
- Курс 187-ФЗ-04 КИИ «Задачи службы информационной безопасности в обеспечении безопасности объектов критической инфраструктуры для работников подразделения ИБ»
- Курс 187-ФЗ-05 КИИ «Задачи службы функционального сопровождения в обеспечении безопасности ОКИИ»
- Курс 187-ФЗ-06 КИИ «Задачи работников службы эксплуатации в обеспечении безопасности ОКИИ»
- Курс 187-ФЗ-07 КИИ «Обеспечение информационной безопасности объектов КИИ в нефтегазовой отрасли»
- Курс 187-ФЗ-08 КИИ «Обеспечение информационной безопасности объектов КИИ в сфере энергетики»
- Курс 187-ФЗ-09 КИИ «Обеспечение информационной безопасности объектов КИИ в металлургической промышленности»
- Курс 187-ФЗ-10 КИИ «Обеспечение информационной безопасности объектов КИИ в транспортной отрасли»
- Курс DevSecOps «Безопасная разработка»
- Курс 98-ФЗ «Коммерческая тайна»
:::
Дополнительные модули тарифицируются отдельно. Годовая подписка на спецкурсы приобретается разовым платежом.
src/security/Cloud-SA/compond-SA/compond-SA.md
+19
View File
@@ -0,0 +1,19 @@
# Состав сервиса
## Зона ответственности Beeline Cloud
Beeline Cloud:
- создает и первоначально настраивает личный кабинет заказчика на платформе;
- предоставляет лицензии на использование ПО платформы;
- предоставляет документацию платформы;
- обеспечивает доступность платформы за счет:
- ежедневного резервного копирования <!--добавить ссылку на РК, на нижние-то есть--> инфраструктурных компонентов,
- круглосуточного [мониторинга работоспособности](./monitoring.md);
- обеспечивает доступность [почтового ретранслятора](./mail-relay.md) платформы;
- обеспечивает сервисную поддержку работоспособности ПО платформы;
- обновляет ПО платформы.
## Типовая схема использования сервиса
![Типовая схема использования сервиса Cloud Security Awareness](../../image/Cloud-SA.png)
src/security/Cloud-SA/compond-SA/compond-index.md
+37
View File
@@ -0,0 +1,37 @@
---
section_links:
- title:
link: /security/Cloud-SA/compond-SA/about.md
description: Обзор сервиса
- title:
link: /security/Cloud-SA/compond-SA/compond-SA.md
description: Состав сервиса
- title:
link: /security/Cloud-SA/compond-SA/default-service.md
description: Настройки сервиса по умолчанию
- title:
link: /security/Cloud-SA/compond-SA/mail-relay.md
description: Почтовый ретранслятор (SMTP relay)
- title:
link: /security/Cloud-SA/compond-SA/monitoring.md
description: Мониторинг работоспособности платформы
- title:
link: /security/Cloud-SA/compond-SA/platform-modules.md
description: Модули платформы
- title:
link: /security/Cloud-SA/compond-SA/restrictions.md
description: Ограничения платформы
- title:
link: /security/Cloud-SA/compond-SA/stability.md
description: Отказоустойчивость сервиса
- title:
link: /security/Cloud-SA/compond-SA/templates.md
description: Шаблоны почтовых сообщений и веб-форм
- title:
link: /security/Cloud-SA/compond-SA/work.md
description: Дополнительные работы
---
# Сервис Cloud Security Awareness (SA)
Сервис используется для формирования навыков реагирования на угрозы информационной безопасности за счет периодического тестирования различными методами.
src/security/Cloud-SA/compond-SA/default-service.md
+15
View File
@@ -0,0 +1,15 @@
# Настройки сервиса по умолчанию
Сервис **Cloud Security Awareness (Cloud SA)** имеет следующие настройки по умолчанию:
| Настройка | Комментарий |
| ----------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------- |
| Количество администраторов организации | Один администратор. Дополнительные администраторы создаются по сервисным запросам уполномоченных лиц заказчика. |
| [SMTP Relay](./mail-relay.md) модуля [Учебные атаки](./platform-modules.md#учебные-атаки) | SMTP Relay Beeline Cloud |
| SMTP Relay модуля [Обучение](./platform-modules.md#обучение) | SMTP Relay Beeline Cloud |
| [Шаблоны почтовых сообщений](./templates.md) модуля Обучение | Системные |
| Отслеживание прочтения фишинговых <!--добавить ссылку--> писем | Включено |
| Расширенный режим [отчетов](./platform-modules.md#отчеты) | Включен |
| Максимальное время простоя пользовательской сессии | 600 секунд |
| Пользовательский домен <!--добавить ссылку--> для рассылки учебных фишинговых атак | phishman.df-sa.ru |
src/security/Cloud-SA/compond-SA/mail-relay.md
+53
View File
@@ -0,0 +1,53 @@
# Почтовый ретранслятор (SMTP relay)
## Назначение почтового ретранслятора
Платформа интегрирована с почтовым ретранслятором Beeline Cloud. **Почтовый ретранслятор (SMTP relay)** — сервер-посредник, который принимает электронную почту от отправителей и доставляет ее получателям. Ретранслятор является частью сервиса **Cloud Security Awareness (Cloud SA)** и используется для рассылки учебных фишинговых писем и почтовых уведомлений модуля **[Обучение](./platform-modules.md#обучение)**.
## Параметры рассылки почтовых сообщений
По умолчанию почтовые сообщения рассылаются со следующими параметрами:
| Параметр | Комментарий |
| ------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------- |
| Почтовый домен <!--добавить ссылку--> отправителя | \*@phishman.df-sa.ru |
| Почтовый адрес сервера | mail.phishman.df-sa.ru |
| STARTTLS <!--добавить ссылку--> | Используется, если принимающий почтовый сервер поддерживает соответствующий уровень криптографии <!--добавить ссылку--> |
| DKIM <!--добавить ссылку--> | Не используется |
| Изображения | Встраиваются в тело письма (embedded) |
Письма платформы содержат признаки фишинговых сообщений и могут блокироваться почтовым шлюзом. Для эффективного использования платформы Beeline Cloud рекомендует внести IP-адрес SMTP Relay или домен phishman.df-sa.ru в белый список отправителей на почтовом шлюзе.
::: warning Важно
Если заказчик не может выполнить рекомендации — например, при использовании сторонних публичных почтовых сервисов — Beeline Cloud **не гарантирует** доставку писем с учебной фишинговой атакой конечным получателям.
:::
## Использование собственного почтового сервера
Можно использовать собственный почтовый сервер в качестве SMTP Relay. Собственный почтовый сервер должен быть доступен из интернета.
![SMTP Relay](../../image/SMTP-SA.png)
Beeline Cloud сообщает IP-адрес, с которого платформа отправляет письма в сторону SMTP Relay заказчика. При необходимости заказчик настраивает:
- запись SPF;
- запись DKIM;
- криптографические алгоритмы;
- аутентификацию на почтовом сервере;
- исключения на почтовом шлюзе (белые списки отправителей).
::: warning Важно
Beeline Cloud при необходимости консультирует заказчика по интеграции SMTP Relay с платформой за [дополнительную плату](./work.md).
:::
Модуль [Учебные атаки](./platform-modules.md#учебные-атаки) рассылает учебные фишинговые письма с любых почтовых доменов, в том числе не принадлежащих заказчику. Заказчик задает свои почтовые домены.
::: warning Важно
Beeline Cloud не гарантирует доставку учебных фишинговых писем: почтовый шлюз заказчика не может проверить подлинность отправителя с помощью SPF. Для гарантированной доставки заказчик должен внести соответствующие исключения на своем почтовом шлюзе.
:::
src/security/Cloud-SA/compond-SA/monitoring.md
+9
View File
@@ -0,0 +1,9 @@
# Мониторинг работоспособности платформы
Мониторинг обнаруживает отклонения и ошибки в работе платформы.
Beeline Cloud отслеживает:
- нагрузку на вычислительные ресурсы виртуальных аплаенсов, на базе которых работает сервис **Cloud Security Awareness (Cloud SA)**;
- состояние (up/down) сетевых интерфейсов виртуальных аплаенсов, на базе которых работает сервис;
- доступность веб-интерфейса управления платформой.
src/security/Cloud-SA/compond-SA/platform-modules.md
+87
View File
@@ -0,0 +1,87 @@
# Модули платформы
## Сотрудники
Модуль создает древовидную структуру подразделений компании в соответствии со штатным расписанием. Сотрудники добавляются в систему двумя способами:
- вручную;
- массовым импортом — до 200 сотрудников за раз.
Узнайте, как [добавить сотрудника в платформу](../instructions.md#как-добавить-сотрудника).
## Обучение
Модуль позволяет:
- создавать учебные программы;
- записывать сотрудников на учебные программы;
- рассылать напоминания сотрудникам о предстоящем обучении.
<!-- Удалил «для формирования отчета» — добавление напоминаний не имеет очевидной связи с формированием отчета; фраза выглядит нелогичной. Нужно уточнить у владельца сервиса. -->
При создании программы обучения доступны следующие параметры:
- дата начала и окончания обучения;
- порядок предоставления доступа к курсам;
- количество попыток прохождения каждого курса;
- список учебных курсов.
Учебные программы назначаются:
- сотрудникам;
- структурным подразделениям;
- учебным группам.
Узнайте, как [назначить учебную программу](../instructions.md#как-назначить-обучение-для-сотрудников).
## Шаблоны
Модуль управляет категориями шаблонов и самими шаблонами. В разделе можно создавать шаблоны с нуля, загружать шаблон из файла или использовать шаблоны по умолчанию трех типов:
- шаблоны писем;
- системные сообщения;
- фишинговые формы.
Все шаблоны делятся на системные и пользовательские.
## Учебные атаки
Модуль управляет рассылкой учебных фишинговых писем сотрудникам. Платформа поддерживает несколько типов учебных атак:
- **Обычная атака**. Рассылка по одному письму по выбранным шаблонам и целям (сотрудникам).
- **Авто-атака**. Рассылка писем волнами по заданному расписанию по всем выбранным шаблонам для выбранных целей.
- **Случайная атака**. Рассылка писем волнами по расписанию: случайный процент шаблонов для случайного процента целей.
При создании учебной атаки доступны следующие параметры:
- **Домен отправителя**. Можно использовать собственный или другой почтовый домен. Прочитайте про [почтовый ретранслятор (SMTP relay)](./mail-relay.md).
- **Фишинговая форма**. Страница, на которую перенаправляются пользователи при переходе по ссылке из фишингового письма.
- **Страница после ввода данных**. Страница, на которую перенаправляются пользователи после ввода данных в фишинговой форме.
- **Шаблон письма**. Шаблон учебного фишингового письма.
- **Формат изображений**. Формат изображений в учебных фишинговых письмах.
- **Порядок доступа к курсам**. Порядок предоставления доступа к курсам.
- **Попытки прохождения**. Количество попыток прохождения каждого курса.
- **Список курсов**. Список учебных курсов.
Узнайте, как [создать учебную атаку](../instructions.md).
## Правила
Модуль создает цепочку действий на платформе в зависимости от наступления того или иного события. Например, можно записать сотрудника на учебную программу после:
- перехода из одного структурного подразделения в другое;
- перехода по учебной фишинговой ссылке.
Узнайте, как [создать правило](../instructions.md#как-создать-правило).
## Отчеты
Модуль предоставляет аналитическую информацию в виде отчетов. Доступны следующие типы отчетов:
- отчет по атакам;
- отчет по обучению;
- динамика фишинговых уязвимостей;
- отчет по динамике обучения;
- аналитический отчет;
- отчет по анализу рисков;
- отчет по работе правил.
src/security/Cloud-SA/compond-SA/restrictions.md
+10
View File
@@ -0,0 +1,10 @@
# Ограничения платформы
Работа платформы в мультитенантном режиме не позволяет использовать:
- интеграцию со службой каталогов по протоколу LDAP ;
- интеграцию с MS Forefront Identity Manager ;
- интеграцию с серверами Kaspersky Security Center;
- протоколы NTLM и Kerberos для аутентификации на платформе;
- учебные атаки с помощью USB-носителей.
src/security/Cloud-SA/compond-SA/stability.md
+3
View File
@@ -0,0 +1,3 @@
# Отказоустойчивость сервиса
Отказоустойчивость сервиса **Cloud Security Awareness (Cloud SA)** обеспечивается средствами платформы виртуализации. Виртуальный аплаенс резервируется ежедневно; глубина хранения — семь дней.
src/security/Cloud-SA/compond-SA/templates.md
+15
View File
@@ -0,0 +1,15 @@
# Шаблоны почтовых сообщений и веб-форм
Платформа содержит несколько типов предустановленных шаблонов:
- шаблоны для учебных фишинговых атак;
- системные почтовые сообщения (приглашение на обучение и т. д.);
- шаблоны учебных фишинговых форм.
Также доступно [создание собственных шаблонов](../instructions.md#как-создать-шаблон). [Подробности](https://phishman.df-sa.ru/singlepages/usermanual.pdf) — в документации платформы.
::: warning Важно
По запросу заказчика Beeline Cloud консультирует по созданию собственных шаблонов и фишинговых форм за [дополнительную плату](./work.md).
:::
src/security/Cloud-SA/compond-SA/work.md
+16
View File
@@ -0,0 +1,16 @@
# Дополнительные работы
Дополнительные работы не входят в состав сервиса **Cloud Security Awareness (Cloud SA)** и тарифицируются отдельно по фактическим трудозатратам.
| № | Наименование работ | Трудозатраты, ч/ч |
| --- | ---------------------------------------------------------------------------------------------------------------- | ------------------- |
| 1 | Консультации при интеграции с [SMTP Relay](./mail-relay.md) заказчика | от 1 |
| 2 | Создание дополнительных пользовательских шаблонов почтовых сообщений <!--добавить ссылку--> | от 2 |
| 3 | Нестандартная настройка синхронизации сотрудников с использованием AD заказчика (Dedical) | от 2 |
| 4 | Содействие в создании сложного расписания фишинговых атак | от 3 |
| 5 | Помощь в создании сложного алгоритма автоматизации с использованием правил | от 3 |
| 6 | Перенастройка VPN IPSec при изменении конфигурации на стороне заказчика (Dedical) | от 2 |
| 7 | Импорт сотрудников из файла силами Beeline Cloud | от 2 |
| 8 | Консультация по работе с системой, разработка плана фишинговых атак и плана обучения сотрудников, best practices | от 3 |
| 9 | Пересоздание личного кабинета при необходимости | от 2 |
| 10 | Добавление SSL-сертификата (HTTPS) для фишинговых форм и ссылок (только Dedical) | 3 (каждые 2 месяца) |
src/security/Cloud-SA/instructions.md
+40
View File
@@ -0,0 +1,40 @@
# Инструкции
## Cloud SA (v2.33.x — H2 2025). Начало работы
Краткий обзор сервиса.
[Видеоинструкция](https://kinescope.io/embed/9u8oSNPrijHHUYTg1vwxZN)
## Добавление сотрудника
Из инструкции вы узнаете, как:
- заполнить карточку сотрудника вручную или списком;
- выбрать отдел для сотрудника.
Платформа позволяет создавать древовидную структуру подразделений компании в соответствии со штатным расписанием.
[Видеоинструкция](https://kinescope.io/t2iQpNXp53cPSWRCzfKw6e)
## Обучение для сотрудников
Добавление сотрудников на обучающие курсы.
[Видеоинструкция](https://kinescope.io/eCTSmmdr88mP3ZN6bJVcgs)
## Создание шаблона
Из инструкции вы узнаете, как создать и отредактировать шаблоны почтовых сообщений и веб-форм.
[Видеоинструкция](https://kinescope.io/8sGnkxwwZEJtgHANmFY3iH)
## Настройка учебных фишинговых атак
[Видеоинструкция](https://kinescope.io/aioaTewymx47LPjaTCouEn)
## Создание правил
Из инструкции вы узнаете, как создать правило. Платформа позволяет создавать цепочку действий в зависимости от наступления того или иного события.
[Видеоинструкция](https://kinescope.io/3z1GtKgaA1sNyGnjKvY81M)
src/security/Cloud-SA/payment-procedure.md
+9
View File
@@ -0,0 +1,9 @@
# Порядок платежей
Сервис **Cloud Security Awareness (Cloud SA)** предоставляется как самостоятельный и оформляется в бланке заказа (БЗ). Ежемесячный платеж фиксирован и зависит от выбранной квоты.
Расчетный период — календарный месяц. Сервис, активированный в течение расчетного периода, оплачивается по тарифу в полном объеме независимо от фактического срока использования. Перерасчет по календарным дням не производится. Доступ к сервису считается предоставленным, а сервис — оказанным в полном объеме с момента активации.
Если квота меняется в течение расчетного периода, оплата производится по наибольшей квоте этого периода.
[Дополнительные работы](../Cloud-SA/compond-SA/work.md) оплачиваются отдельно. Основание для оплаты — заявки уполномоченных представителей заказчика, указанных в БЗ.
src/security/Cloud-SA/provision.md
+25
View File
@@ -0,0 +1,25 @@
# Сроки и условия предоставления сервиса
## Порядок подключения сервиса
### Заказчик
1. Заполните и подпишите бланк заказа (БЗ) на предоставление сервиса **Cloud Security Awareness (Cloud SA)**.
2. Отправьте отсканированную копию подписанного БЗ на e-mail presales@datafort.ru и корпоративный e-mail менеджера по продажам Beeline Cloud, указанный в заказе.
3. Предоставьте ФИО и e-mail администратора платформы.
4. Направьте оригинал БЗ в Beeline Cloud в порядке, установленном договором.
### Beeline Cloud
1. Проверяет корректность заполнения БЗ и регистрирует заказ.
2. Уведомляет заказчика по e-mail о принятии заказа в работу.
3. Подключает сервис.
4. Предоставляет заказчику доступ к сервису не позднее двух рабочих дней с момента принятия заказа в работу.
## Настройка нестандартных конфигураций
Если требуется настройка нестандартных конфигураций, заказчик предоставляет необходимую информацию в Beeline Cloud.
## Прием запросов от заказчика
Beeline Cloud принимает запросы только от уполномоченных лиц заказчика, указанных в БЗ. Если конечный пользователь обращается в службу поддержки Beeline Cloud напрямую, он получает рекомендацию направить обращение через уполномоченных лиц.
src/security/Cloud-VS/VS-index.md
+34
View File
@@ -0,0 +1,34 @@
---
section_links:
- title: Обзор сервиса
link: /security/Cloud-VS/about.md
description:
- title: Зоны ответсвенности
link: /security/Cloud-VS/areas-responsibility.md
description:
- title: Мониторинг работоспособности и отказоустойчивость сервиса
link: /security/Cloud-VS/monitoring.md
description:
- title: Порядок платежей за сервис
link: /security/Cloud-VS/payment-procedure.md
description:
- title: Качественные характеристики сервиса
link: /security/Cloud-VS/characteristics.md
description:
- title: Варианты предоставления сервиса
link: /security/Cloud-VS/provision-service.md
description:
- title: Сроки предоставления сервиса
link: /security/Cloud-VS/provision.md
description:
- title: Состав работ
link: /security/Cloud-VS/scope-work.md
description:
- title: Дополнительные работы
link: /security/Cloud-VS/work.md
description:
---
# Cloud Vulnerability Scanner (VS)
Сервис для оценки уязвимостей и сканирования, компьютеров и приложений на возможные проблемы в системе безопасности.
src/security/Cloud-VS/about.md
+23
View File
@@ -0,0 +1,23 @@
# Cloud Vulnerability Scanner (VS)
## Назначение сервиса
**Cloud Vulnerability Scanner (VS)** — сервис для оценки уязвимостей и сканирования, компьютеров и приложений на возможные проблемы в системе безопасности. Сервис является самостоятельным и предполагает взаимодействие с инфраструктурой заказчика.
Этапы работы сканера:
1. Проверка открытых портов и обнаружение запущенных сервисов и версий операционных систем (ОС);
2. Выявление уязвимостей;
3. Составление отчёта.
## Компоненты сервиса
- **RedCheck Scanner**. Сканер безопасности с:
- сетевыми и системными проверками на уязвимости;
- средствами контроля соответствия;
- механизмами оценки защищенности СУБД и систем виртуализации;
- средствами патч-менеджмента и контроля целостности.
- **RedCheck Agent**. Дополнительный компонент для семейства ОС Windows. Компонент используется для:
- повышения скорости сканирования;
- снижения требований к пропускной способности каналов и привилегиям доступа.
src/security/Cloud-VS/areas-responsibility.md
+26
View File
@@ -0,0 +1,26 @@
# Зоны ответственности
Работы зависят от варианта сервиса **Cloud Vulnerability Scanner (VS)**:
- [Dedicated](./provision-service.md#dedicated);
- [Managed-service](./provision-service.md#managed-service).
::: warning Важно
**«К» — консультирующая сторона**: Beeline Cloud выполняет настройки и изменения на основании инструкций и требований, предоставленных заказчиком.
:::
| Зоны ответственности | Dedicated | Managed Service |
|--------------------------------------------------------------------------|------------------------------|--------------------------------|
|Поддержка работоспособности [**RedCheck Scanner**](./about.md) | Beeline Cloud | Beeline Cloud |
|Управление системными настройками **RedCheck Scanner** | Beeline Cloud | Beeline Cloud |
|[Мониторинг доступности сервиса](./monitoring.md) | Beeline Cloud | Beeline Cloud |
|Резервное копирование | Beeline Cloud | Beeline Cloud |
|Внесение изменений в настройки виртуального аплаенса **RedCheck Scanner** | Beeline Cloud | Beeline Cloud |
|Сбор диагностической информации о неисправностях | Beeline Cloud / Заказчик "К" | Beeline Cloud |
|Заведение кейсов в техническую поддержку вендора | Beeline Cloud / Заказчик "К" | Beeline Cloud |
|Редактирование и добавление задач | Заказчик | Beeline Cloud / Заказчик "К" |
|Настройка и редактирование профилей | Заказчик | Beeline Cloud / Заказчик "К" |
|Устранение уязвимостей | Заказчик | Заказчик |
|Анализ отчетов **RedCheck Scanner** | Заказчик | Заказчик |
src/security/Cloud-VS/characteristics.md
+32
View File
@@ -0,0 +1,32 @@
# Качественные характеристики сервиса
## Режим предостсавления сервиса
Сервис предоставляется 24/7.
## Обеспечение защиты от угроз
Beeline Cloud **не несёт ответственности** за полное и безусловное обеспечение защиты от всех возможных угроз информационной безопасности. Сервис **Cloud Vulnerability Scanner (VS)** функционирует на программном обеспечении, разработанном сторонним вендором.
В связи с этим Beeline Cloud не гарантирует:
- непрерывность и стабильность работы ПО;
- отсутствие ошибок, связанных с программным кодом разработчика.
## Заведение инцидентов
При выявлении ошибок или сбоев в работе программного обеспечения, на базе которого реализован сервис, Beeline Cloud:
- регистрирует инцидент в технической поддержке вендора;
- оказывает содействие в ходе его устранения.
## Ответственность заказчика
Заказчик:
- использует сервис на собственный риск.
- принимает, что Beeline Cloud **не несёт ответственности** за любые прямые, косвенные, случайные или штрафные убытки, включая, но не ограничиваясь:
- утратой данных;
- утратой возможности использования сервиса;
- потерей прибыли;
- прерыванием бизнес-процессов.
src/security/Cloud-VS/monitoring.md
+13
View File
@@ -0,0 +1,13 @@
# Мониторинг работоспособности и отказоустойчивость сервиса
## Мониторинг работоспособности
Для обнаружения отклонений и ошибок в работе сервиса используется система мониторинга **RedCheck**. Мониторинг осуществляется **круглосуточно** и включает контроль следующих параметров:
- нагрузка на вычислительные ресурсы виртуального апплаенса;
- состояние сетевых интерфейсов (up/down);
- доступность веб-интерфейса управления.
## Отказоустойчивость
Отказоустойчивость сервиса обеспечивается средствами платформы виртуализации. Для защиты данных выполняется ежедневное резервное копирование виртуального апплаенса с глубиной хранения 7 дней.
src/security/Cloud-VS/payment-procedure.md
+20
View File
@@ -0,0 +1,20 @@
# Порядок платежей за сервис
## Порядок предоставления сервиса
Сервис **Cloud Vulnerability Scanner (VS)** предоставляется как самостоятельный продукт, который оформляется в бланке заказа (БЗ) и предусматривает **фиксированный ежемесячный платеж**. **Тарификация** — фиксированный ежемесячный платеж, который зависит от:
- выбранного типа сервиса;
- количества сканируемых IP-адресов.
## Тарификация
- расчетный период — **календарный месяц**;
- сервис, активированный в течение расчётного периода, оплачивается полностью за весь месяц, независимо от фактической даты начала использования;
- перерасчёт по календарным дням не производится;
- доступ к сервису считается предоставленным в полном объёме с момента активации.
## Дополнительные работы
Если требуются [дополнительные работы](./work.md), необходимо создать заявку через уполномоченных представителей заказчика, указанных в бланке заказа (БЗ).
Такие работы оплачиваются отдельно.
src/security/Cloud-VS/provision-service.md
+67
View File
@@ -0,0 +1,67 @@
# Варианты предоставления сервиса
## Варианты сервиса
Сервис **Cloud Vulnerability Scanner (VS)** доступен в двух вариантах:
- [Dedicated](provision-service.md#dedicated) — для заказчиков с инфраструктурой в облаке Beeline Cloud;
- [Managed-service](provision-service.md#managed-service) — для сканирования публичных ресурсов.
Beeline Cloud тарифицирует дополнительные работы по фактическим трудозатратам.
## Dedicated
### Назначение
Вариант Dedicated предназначен для заказчиков, чья виртуальная инфраструктура размещена в облаке Beeline Cloud. Управление сервисом осуществляется заказчиком самостоятельно.
Beeline cloud:
- предоставляет лицензии на ПО (от 10 IP-адресов);
- разворачивает и выполняет первичную настройку [**RedCheck Scanner**](./about.md) в технологическом пуле Beeline Cloud;
- обеспечивает сетевую связность **RedCheck Scanner** сканера с инфраструктурой заказчика в облаке Beeline Cloud;
- гарантирует доступность **RedCheck Scanner** за счёт:
- ежедневного резервного копирования;
- круглосуточного [мониторинга работоспособности](./monitoring.md);
- предоставляет доступ к интерфейсу управления **RedCheck Scanner**;
- поддерживает работоспособность сканера **RedCheck Scanner**;
- регистрирует инциденты у вендора при сбоях в работе **RedCheck Scanner**.
## Managed-service
### Назначение
Вариант Managed Service используется для сканирования уязвимостей публичных ресурсов заказчика.
Beeline cloud:
- предоставляет лицензии на ПО;
- обеспечивает доступность **RedCheck Scanner** за за счет:
- ежедневного резервного копирования;
- круглосуточного мониторинга работоспособности;
- настраивает задачи сканирования и отправку отчётов;
- изменяет конфигурацию сканера **RedCheck Scanner** по запросу;
- поддерживает работоспособность компонентов сервиса;
- регистрирует инциденты у вендора при нарушениях работоспособности.
## Схема включения сервиса
![Service-VS](../image/Service-VS.png)
## Исходные параметры настройки Managed-Service
Если техническое задание от заказчика не предоставлено, Beeline Cloud выполняет настройку сканирования со следующими параметрами по умолчанию:
- **Периодичность** — ежемесячное сканирование.
- **Режим аудита****«Пентест»** (сканер оценивает защищенность информационных систем c минимальными привилегиями и знаниями о сканируемом хосте). Включает:
- идентификацию сетевых узлов;
- сбор инвентаризационных данных;
- сопоставление полученных данных с признаками уязвимого ПО из базы знаний сканера.
- **Отчётность** — автоматическая отправка отчёта на электронную почту заказчика.
::: warning Примечание
Почта должна быть указана в [опросном листе](./provision.md#порядок-подключения-сервиса).
:::
src/security/Cloud-VS/provision.md
+33
View File
@@ -0,0 +1,33 @@
# Сроки предоставления сервиса
## Порядок подключения сервиса
### Заказчик
1. Заполните и подпишите бланк заказа (БЗ) на предоставление сервиса **Cloud Vulnerability Scanner (VS)**.
2. Отправляет отсканированные копии подписанного БЗ и опросного листа на e-mail `presales@datafort.ru` и менеджера по продажам beeline cloud. Адрес менеджера по продажам указывается в БЗ.
3. Предоставляет ФИО и email администратора сервиса.
4. Оригинал БЗ направляет beeline cloud в установленном договором порядке.
[Скачайте опросный лист и примеры заполнения](https://disk.datafort.ru/public/s/XFZ9i5w7GrTWSXt) при помощи сервиса **Cloud Workspace (WS)**.
### Beeline cloud
1. Проверяет корректность заполнения БЗ и опросного листа и регистрирует заказ.
2. Уведомляет заказчика по e-mail о принятии заказа в работу.
3. Подключает сервис.
4. Предоставляет заказчику доступ к сервису не позднее двух рабочих дней с момента принятия заказа в работу.
## Настройка нестандартных конфигураций
Если требуются настройки, выходящие за рамки стандартной конфигурации, заказчик предоставляет соответствующую информацию в произвольной форме.
## Прием запросов от заказчика
В целях обеспечения информационной безопасности Beeline Cloud принимает запросы на:
- изменение, добавление или удаление правил фильтрации;
- иные изменения конфигурации, влияющие на работоспособность сервиса;
- исключительно от уполномоченных лиц, указанных в бланке заказа (БЗ).
Если конечный пользователь обращается в службу поддержки Beeline Cloud напрямую, ему направляется рекомендация сформировать обращение через уполномоченное лицо.
src/security/Cloud-VS/scope-work.md
+19
View File
@@ -0,0 +1,19 @@
# Состав работ
Работы зависят от варианта сервиса Cloud Vulnerability Scanner (VS):
- [Dedicated](provision-service.md#dedicated) — для заказчиков с инфраструктурой в облаке Beeline Cloud;
- [Managed-service](provision-service.md#managed-service) — для сканирования публичных ресурсов.
|Детализация функционала | Dedicated | Managed Service |
|---------------------------------------------------------------------------|--------------------|--------------------|
|Предоставление лицензии | :heavy_check_mark: | :heavy_check_mark: |
|Предоставление вычислительных ресурсов в облаке beeline cloud | :heavy_check_mark: | :heavy_check_mark: |
|Предоставление канала связи необходимой ширины | :heavy_check_mark: | :heavy_check_mark: |
|Развертывание и первоначальная настройка [**RedCheck Scanner**](./about.md)| :heavy_check_mark: | Предоставление необходимого количества ресурсов для [**Multitenant RedCheck Scanner**](./about.md). |
|Обеспечение высокой доступности **RedCheck Scanner** | :heavy_check_mark: | :heavy_check_mark: |
|Организация сетевого доступа к консоли управления для заказчика | :heavy_check_mark: | Не предусмотрено. |
|Настройка профилей и задач сканирования | - | :heavy_check_mark: |
|Внесение изменений в профили и задачи сканирования | - | :heavy_check_mark: |
|Настройка периодической отправки автоматизированных отчетов | - | :heavy_check_mark: |
|Консультации по работе сервиса | :heavy_check_mark: | :heavy_check_mark: |
src/security/Cloud-VS/work.md
+10
View File
@@ -0,0 +1,10 @@
# Дополнительные работы
Дополнительные работы тарифицируются отдельно по фактическим трудозатратам.
|Наименование работ | Трудозатраты специалиста чел/час | Квалификация специалиста |
|------------------------------------------------------------------------------------------------------------------|-----------------------------------|--------------------------|
|Разработка и применение политик профилей сканирования | От четырех | Специалист ДИБ |
|Изменение параметров профилей сканирования и задач | От одного | Специалист ДИБ |
|Диагностика неисправностей компонентов на конечных устройствах | От одного | Специалист ДИБ |
|Диагностика неисправностей, вызванных некорректной [настройкой компонентов сервиса](./about.md#назначение-сервиса)| От одного | Специалист ДИБ |
src/security/image/Cloud-SA.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 46 KiB

src/security/image/MDM/Android-Enterpise-MDM.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 36 KiB

src/security/image/MDM/MDM-1.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 50 KiB

src/security/image/MDM/MDM-10.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 17 KiB

src/security/image/MDM/MDM-11.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 14 KiB

src/security/image/MDM/MDM-12.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 26 KiB

src/security/image/MDM/MDM-13.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 24 KiB

src/security/image/MDM/MDM-14.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 17 KiB

src/security/image/MDM/MDM-15.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 7.4 KiB

src/security/image/MDM/MDM-16.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 23 KiB

src/security/image/MDM/MDM-17.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 31 KiB

src/security/image/MDM/MDM-18.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 56 KiB

src/security/image/MDM/MDM-19.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 36 KiB

src/security/image/MDM/MDM-2.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 16 KiB

src/security/image/MDM/MDM-20.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 18 KiB

src/security/image/MDM/MDM-21.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 41 KiB

src/security/image/MDM/MDM-22.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 88 KiB

src/security/image/MDM/MDM-23.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 45 KiB

src/security/image/MDM/MDM-24.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 95 KiB

src/security/image/MDM/MDM-25.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 150 KiB

src/security/image/MDM/MDM-26.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 70 KiB

src/security/image/MDM/MDM-3.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 26 KiB

src/security/image/MDM/MDM-4.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 11 KiB

src/security/image/MDM/MDM-5.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 71 KiB

src/security/image/MDM/MDM-6.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 70 KiB

src/security/image/MDM/MDM-7.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 46 KiB

src/security/image/MDM/MDM-8.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 73 KiB

src/security/image/MDM/MDM-9.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 17 KiB

src/security/image/MDM/architecture-MDM.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 86 KiB

src/security/image/SMTP-SA.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 54 KiB

Some files were not shown because too many files have changed in this diff Show More