Naš jedinstveni pristup Bezbednosti

Kako bi smanjili sve bezbednosne rizike na minimum, naš jedinstveni pristup je neophodan. Svi naši procesi su filtirani kroz centralizovan pristup uz odgovarajuće pristupne nivoe.

Bezbednosni ciljevi

Privatnost - Sve informacije unutar naše mrežne infrastrukture dostupne su samo autorizovanom osoblju i korisnicima.

Integritet - Svi podaci i informacije unutar naše mreže nemogu biti preuzete od strane neovlašćene osobe ili korisnika.

Zaštita podataka - Svi podaci u našem sistemu nemogu biti pomereni, obrisani ili uništeni

Identifikacija i Autentikacija - Vodimo računa da se kroz ličnu identifikaciju i kroz čipovane procese vrši prijava na sistem, tako da smanjujemo mogućnost lažnih prijava.

Zaštita mrežnih servisa - Uvek vodimo računa da naša mrežna oprema je zaštićena od neovlašćenih upada, hakerskih napada ili napada drugih vrsta koje mogu da ugroze naš uptime

Naš jedinstveni bezbednosni model

Naša bezbednosna platforma zasniva se na niz dnevnih procesa koje moramo ispuniti - svakodnevna procena opreme, alata i sistema1 kombinovane bezbednosne procedure koje se baziraju na task metodologiji2 snimanje i ponavljanje procesa3, Platforma se sastoji iz 7 nivoa zaštite koje ćemo sada navesti

Level-1 Oslanjanje na bezbednost Data Centra

Naši data centar partneri poseduju veliko znanje u zaštiti sistema, kako hardversko tako i softversko. Svi data centri su opremljeni sa sistemom nadgledanja, audio-video kamerama, biometričkim vratima, čip karticama za pristup, fizičko-tehničkim obezbedjenjem i svim standardima koje pripadaju jednom ozbiljnom data centru.

Ono što razdvaja nas, međutim, činjenica da je naša infrastruktura takođe uključuje meru pro-aktivnosti prema svima Data centrima, a to znači visok stepen saradnje sa obe strane. Gledajući sa strane prakse, kupac može biti siguran u našim rukama za ono što je platio.

Level-2 Mrežna Bezbednost

Naša globalna infrastruktura sastoji se od moćnih Anti DDOS sistema, Sistema prov intruzivne zaštite, kao i softverskih-hardverskih firewall rešenja u Rack nivou. Naš sistem je toliko dobar da ponekad 3-4 puta dnevno DDOS napade izdržimo bez ikakve degradacije sistema.

Firewall Zaštita - Utvrđivanje identiteta znači da od korisnika zahtevate da dokaže svoj identitet. Kada sistem zna ko šalje zahtev, može da odluči da li će tom korisniku dozvoliti pristup. Identitet korisnika može da se proveri na više načina, a na standardnim web lokacijama uobičajena su dva metoda: lozinke i digitalni potpisi. Podaci mogu biti otkriveni i dok putuju mrežom. Iako protokol TCP/IP ima puno dobrih osobina zbog kojih je postao defacto standard za povezivanje različitih mreža na internetu, bezbednost nije među njima. TCP/IP podatke prvo rastavlja na pakete koje zatim prosleđuje s jednog računara na drugi sve do konačnog odredišta. To znači da na svom putu podaci prolaze kroz više računara, što za posledicu ima i mogućnost zloupotrebe ukoliko se ne preduzmu kvalitetni sistemi zaštite.

Mrežna žaštita - Uvodne napomene o značaju kvalitetne, pouzdane i pravovremene zaštite podataka obavezuju hosting provajdera da u granicama tehnički raspoloživih resursa preduzme sve mere u cilju zaštite integriteta podataka na svim hosting nalozima. S tim u vezi bezbednost svih servera u okviru naše mreže osigurana je proverenim antivirusnim sistemima, naprednim firewall rešenjima koja su delimično modifikovana u cilju dodatnih detekcija, kao i kontinuiranim monitoringom servera.

Zaštita od Distributed Denial-of-Service (DDoS) Napada - Sistemi za zaštitu od dos napada se sastoje od dve komponente: Uređaj koji prati aktivnost na mreži i detektuje DDoS napade, Uređaj koji na sebe preusmerava saobraćaj prema zoni mreže koja se nalazi pod DDoS napadom, obrađuje ga i prosleđuje saobraćaj očišćen od DDoS napada. Uređaj koji se koristi za detekciju analizira saobraćaj na mreži. Pored predefinisanih pragova za poznate mrežne protokole i aplikacije, ovi uređaji se postavljaju u stanje učenja karakteristika saobraćaja na mreži koja se štiti od DDoS napada. Nakon što uređaj definiše karakteristike saobraćaja u periodima kada nema napada, moguće je identifikovati anomalije saobraćaja i generisati alarme. Pored toga, nakon mitigacije napada, uređaj treba da obezbedi mogućnost analize napada. Uređaj koji se koristi za mitigaciju napada inicira preusmeravanje na sebe saobraćaja koji sadrži DDoS napad. Na njemu se vrši analiza saobraćaja i procesiranje koje filtrira legitiman saobraćaj i samo njega prosleđuje ka odredištu, dok se saobraćaj koji predstavlja napad odbacuje. Kada uređaj za mitigaciju detektuje da je napad završen prestaje i preusmeravanje saobraćaja na njega.

Sistem za zaštitu od DDoS napada u mrežama servis provajdera koji preporučujemo se sastoji od: Arbor PeakFlow SP uređaja za detekciju DDoS napada Cisco Anomaly Guard modula za Cisco 7600/6500 za mitigaciju napada Arbor PeakFlow SP se bazira na IP flow analizi i deep packet inspection (DPI) tehnologijama i pored detekcije napada daje detaljne statistike saobraćaja na mrežnom i aplikativnom nivou. Ove statistike omogućavaju unapređenje mrežnih performansi i donošenje poslovnih odluka. Arbor PeakFlow SP pruža multi-protokol BGP analizu, koja omogućava mrežnim administratorima detekciju, izolaciju i rešavanje BGP problema. Uređaj omogućava i pružanje managed servisa zaštite od DDoS napada podprovajderima i korisnicima ISP mreže u kojoj je implementiran. Cisco Anomaly Guard modul pruža zaštitu od svih vrsta DDoS napada, na taj način što prepoznaje i blokirana maliciozan saobraćaj, ne utičući na legitiman saobraćaj.

Level-3 Bezbednost Hosting naloga

Softverski i hardverski bazirani detektivni sistem - Mrežno bazirani IPS sistemi prate saobraćaj na delovima mreže koji se štite i precizno identifikuju, klasifikuju i odbacuju maliciozan saobraćaj, koji obuhvata worms, spyware/adware, mrežne viruse i zloupotrebu legitimnih servisa. U cilju detekcije napada i anomalija u mrežnom saobraćaju, sistem vrši detaljnu analizu saobraćaja na nivoima od 2 do 7 ISO OSI modela. Metodi identifikacije napada obuhvataju: naprednu zaštitu od virusa kroz integraciju IPS sistema sa anti-virus sistemom, stateful pattern recognition - analiza više uzastopnih paketa saobraćaja za sve protokole, analiza mrežnih protokola - dekodovanje i validacija svih glavnih TCP/IP protokola, kao i protokola na aplikativnom nivou komunikacije, detekcija anomalija u mrežnom saobraćaju, detekcija anomalija u okviru mrežnih protokola, poređenje saobraćaja sa predefinisanim signaturama napada, koje se regularno ažuriraju sa pojavom novih napada. IPS sistem daje preciznu analizu uticaja napada na mrežu, koja omogućava preduzimanje odgovarajuće akcije za sprečavanje napada. IPS poseduje adaptivni algoritam kojim se za svaki napad procenjuje stepen rizika, na osnovu detalja o napadu i trenutnih mrežnih statistika. IPS podržava više akcija, kao odgovor na detektovane napade: direktno odbacivanje paketa, terminaciju sesija i limitiranje protoka saobraćaja na IPS uređaju ili implementaciju kontrole pristupa i limitiranje protoka saobraćaja na ruterima i firewall-ima u mreži. IPS uređaj rangira napade prema uticaju koji oni imaju na funkcionalnost mreže. Pored toga IPS beleži detaljne informacije o svakom događaju, pre, za vreme i nakon njegovog pojavljivanja. Cisco IPS rešenja poseduju gore navedene karakteristike. Ova rešenja obuhvataju IPS 4200 seriju namenskih IPS uređaja rezličitih performansi, servisne module za Catalyst 6500 switcheve, mrežne module za Cisco rutere i IPS module za ASA 5500 uređaje.

Hardverska standardizacija- Posedujemo standardizovana hardverska rešenja koja beleže visok stepen bezbednosnih standarda i kvalitetan način podrške. Većina naših mrežnih solucija bazira se na data centrovim partnerima kao što su Cisco, Juniper, HP, Dell, Intel i drugo.

Level-4 Softverska bezbednost

Sa povezivanjem korporacijskih računarskih mreža na Internet, formiranjem extranet mreža i uvođenjem e-commerce aplikacija, zaštita računarskih mreža ima ogroman značaj za pouzdano funkcionisanje mreže. Zaštita računarskih mreža obuhvata: Identifikaciju korisnika i proveru privilegija koje korisnik poseduje za pristup podacima i uređajima na mreži, identifikaciju uređaja koji komuniciraju međusobno. Očuvanje integriteta mreže, koje podrazumeva: obezbeđenje pouzdanog rada mreže, kontrolu pristupa segmentima mreže, zaštitu podataka kriptovanjem saobraćaja koji se prenosi kroz mrežu. Praćenje pokušaja ugrožavanja bezbednosti mreže. Rešenja kojima se definiše, implementira i nadgleda zaštita računarskih mreža obuhvataju: firewall sisteme realizovane kao hardver specijalne namene ili softver na ruterima, kriptovanje podataka korišćenjem standardizovanog IPSec protokola, softver za autentifikaciju, autorizaciju i praćenje pristupa mreži, uređaje za praćenje pokušaja napada na računarsku mrežu, uređaje za detekciju i prevenciju napada na mrežu u realnom vremenu i generisanje alarma i izveštaja o izvršenim akcijama, antivirus zaštitu, uređaje za zaštitu mail servera i korisnika od spam-a i virusa koji se prenose u okviru mail poruka, uređaje za detekciju i zaštitu od distributed denial of service napada.

Nadgledanje i upravljanje računarskim mrežama - Ubrzan razvoj i povećanje kompleksnosti računarskih mreža i servisa koje mreža treba da podrži, zahtevaju implementaciju efikasnih rešenja za nadzor i upravljanje mrežom i servisima. U savremenim računarskim mrežama, proces nadzora i upravljanja podrazumeva: Upravljanje mrežom, koje obuhvata planiranje i dizajn, puštanje u rad, održavanje mreže, održavanje evidencije mrežnih elemenata i upravljanje podacima koji se prenose kroz mrežu. Upravljanje servisima, gde spada planiranje i razvoj, konfigurisanje, upravljanje kvalitetom servisa, dijagnostika i rešavanje problema u eksploataciji servisa i tarifiranje. Različitim softverskim alatima ostvaruje se značajan stepen automatizacije procesa upravljanja mrežom u oblasti pet osnovnih funkcija predviđenih FCAPS ISO modelom: Napredni softverski alati vrše inteligentnu automatsku korelaciju detektovanih simptoma, analizu i detekciju izvora problema, kao i automatsko slanje notifikacije nadležnom operateru.

Upravljanje konfiguracijama omogućava nadzor konfiguracionih parametera mreže i mrežnih elemenata u cilju praćenja i analize njihovog uticaja na funkcionalnost mreže i pojedinih servisa. Odgovarajući alati vrše arhiviranje informacija o trenutnoj konfiguraciji mreže i omogućavaju pregledan prikaz i analizu informacija. Sakupljanje informacija o korišćenju mrežnih resursa od strane korisnika i pojedinih servisa/aplikacija koje se mogu iskoristiti za: analizu, karakterizaciju i kontrolu mrežnog saobraćaja, tarifiranje korisnika mrežnih resursa i pojedinih servisa, monitoring SLA garancija i slično. Definisanjem kritičnog praga vrednosti pojedinih varijabli, detektovanjem njihovog prekoračenja i generisanjem odgovarajućih alarma, omogućava se reaktivno delovanje na pad performansi mreže. Takođe, prilikom planiranja izmena u mreži i uvođenja novih servisa, alati za nadzor i upravljanje mrežom se mogu iskoristiti za simulaciju, generisanje testnog saobraćaja, merenje i analizu rezultata kako bi se detektovali potencijalni problemi i proaktivno delovalo u cilju njihovog eliminisanja. Ostvarivanje kontrole pristupa mreži, mrežnim resursima i informacijama u skladu sa prethodno definisanom politikom zaštite.

Pristupne mreže - Pristupna mreža ima osnovni zadatak da obezbedi efikasan pristup i koncentraciju korisničkog saobraćaja radi što optimalnijeg prenosa kroz ostatak mreže. U tom sloju mreže potreban je najviši mogući nivo fleksibilnosti i skalabilnosti, kako bi se omogućilo praćenje uvođenja novih servisa i porasta broja i tipova korisnika. Različite pristupne tehnologije omogućavaju high-speed digitalne servise na postojećoj infrastrukturi, uključujući bakarne parice, optička vlakna i PDH pristupnu mrežu. Digitalni protoci od 64Kbps do čak 100 Mbps (kod VDSL tehnologije, na udaljenosti ispod 500m), tipično se ostvaruju različitim tipovima xDSL tehnologije: ADSL, ADSL2/2+, SDSL , SHDSL i VDSL. Veći digitalni protoci se postižu korišćenjem uređaja za prenos preko optičkih kablova ili inverznim multipleksiranjem preko postojeće E1 infrastrukture. vDodatna fleksibilnost, često neophodna u pristupnoj mreži, postiže se integracijom modemske tehnologije sa konverzijom tipova interfejsa, brzine signalizacije, multipleksiranja, pa i osnovnih funkcija LAN bridging-a i IP rutiranja. Na centralnoj strani, u pristupnoj tački, obezbeđuje se optimizacija za transport saobraćaja većeg broja korisnika. U tipičnim primenama implementiraju se modemski koncentratori velikih gustina pakovanja, multiplekseri ili DSLAM koncentratori u slučaju korišćenja xDSL tehnologije. Najnoviji trend u implementaciji pristupnih mreža velike brzine podrazumeva izmeštanje pristupnih tačaka bliže korisnicima. Time se postiže minimizacija dužine i slabljenja na bakarnoj parici koje je glavni ograničavajući faktor u pogledu brzine prenosa podataka. Kod primene VDSL tehnoligije, uobičajeno je da svaki objekat ima svoju pristupnu tačku, koja ja na optimalno maloj udaljenosti od korisnika, a sa ostatkom mreže je povezana optičkim kablom. U različitim primenama na mestu pristupa mogu se instalirati servisni gateway-i, koji omogućavaju pristup uslugama višeg nivoa, kao na primer: IP telefonija, ili IP televizija koja se polako pojavljuje kao glavna ekonomska pogonska sila razvoja pristupnih mreža.

Autentifikacija krajnje tačke - Autentifikacija krajnje tačke je proces dokazivanja identiteta jedne osobe drugoj osobi. Kada izvršavaju autentifikaciju preko mreže, strane u komunikaciji ne mogu da se oslone na biometrijske informacije, kao što je vizuelna pojava ili uzorak glasa. Ovde autentifikacija mora da se uradi samo na osnovu poruka i podataka razmenjenih u okviru protokola autentifikacije. Protokol autentifikacije prvo ustanovljava identitet strana na obostrano zadovoljstvo; tek posle autentifikacije, strane mogu da pređu na posao koji ih očekuje. Postoji više vrsta autentifikacionih protokola : Autentifikacioni protokol ap1.0 Autentifikacioni protokol ap2.0 Autentifikacioni protokol ap3.0 Autentifikacioni protokol ap3.1 Autentifikacioni protokol ap4.0 Autentifikacioni protokol ap5.0

Level-5 Digitalni potpis

Digitalni potpis (engl. digital signature) predstavlja digitalnu verziju ručnog potpisa. Koristi se za dokaz autorstva i omogućava da dokument koji se prenosi preko Interneta ima istu validnost kao ručno potpisan dokument. Digitalni potpis nije isto što i elektronski potpis, već predstavlja dosta uži pojam tj. često ulazi u sastav elektronskog potpisa. U Zakonu o elektronskom potpisu Republike Srbije elektronski potpis se definiše kao: - skup podataka u elektronskom obliku koji su pridruženi ili su logički povezani sa elektronskim dokumentom i koji služe za identifikaciju potpisnika.

Kod nas ovakav vid zaštite je razbijen u više celina. Pristup poverljivim podacima o klijentima omogućen je isključivo putem ČIP kartica, sa digitalnim potpisom. Ovakvim pristupom svakom našem klijentu obezbedjujemo potpunu privatnost. Svi osetljivi podaci sačuvani su u enkriptovanom formatu. Naš razvojni sektor konstantno radi na unapredjenju sistema i nivoa pristupa.

Level-6 Fizičko Tehnička zaštita

Naši data centar partneri imaju potpisane ugovore sa najkvalitetnijim obezbedjenjem na svetu. Oni nam omogućavaju da 24 sata, 365 dana u godini, svi objekti smeštaja podataka budu obezbedjeni sa tkz Ljudskim faktorom. Pored toga posedujemo i Video nadzorni odbor koji radi na nadgledanju pristupa sistemima gde se naši serveri nalaze.

Svaki zaposleni koji ima administratorske privilegije na našim serverima prolazi kroz sveobuhvatne proverom . Kompanije koje preskaču se na to se stavlja na kocku sve osetljive i važne podatke koji pripadaju njihovim klijentima , jer bez obzira koliko je novca uloženo u vrhunskim sigurnosnim rešenjima , jedan pogrešan iznajmljivanje - Imajući pravu količinu pristupa - može da izazove veću štetu od bilo kog spoljnog napada .

Level-7 Bezbednost, procesi i revizija

U ogromnom razmeštanja globalno distribuiranih servera , procesi revizije su dužni da obezbede proces replikacije i disciplinu . Da li su svi serveri se redovno zakrpljene ? Da li se backup skripte radi sve vreme ? Da li offs backup permanentno rotirane po želji ? Su odgovarajuće referentne provere se izvodi na svim osoblja? Da li je bezbednosna oprema slanje pravovremenih upozorenja ?

Ova i mnoga takva pitanja se redovno proveravano u van opsega procesa koji uključuje istraživanja , ankete, etičke hakerske pokušaje , intervjui , itd Naša revizorska mehanizmi nas upozoravaju na Kink u našim bezbednosnih procesa pre nego što je otkriven od strane spoljnih korisnika