Мне нужна сквозная безопасная система хранения с несколькими клиентами и поставщиками, я могу построить ее, используя различные элементы, но она кажется слишком сложной - я упустил один трюк?
В частности, мне нужно предложить нескольким клиентам защищенную с помощью VPN, безопасную передачу файлов в защищенную файловую систему (как при шифровании на диске / по оптоволокну), а затем их обслуживание, опять же через защищенную VPN, безопасную передачу файлов ряду других поставщиков. Никакие клиентские файлы не могут «смешиваться» в любой точке, и ВСЕ точки в цепочке должны быть безопасными. Да, и он должен быть очень устойчивым, поэтому все это должно быть кластеризовано / с балансировкой нагрузки. Ожидая около 500 ГБ на клиента / поставщика в день, общий объем хранилища вряд ли превысит 30 ТБ.
Моя текущая мысль состоит в том, чтобы использовать комбинацию виртуальных межсетевых экранов Checkpoint, 2/3 хостов VMware с большим количеством сетевых адаптеров, подключенных к FW, каждый хост, подключенный через безопасные FC HBA Brocade к защищенному ящику FC SAN, с усечением VPN-туннеля каждого клиента внутри их собственная виртуальная машина (которая будет кластеризована с использованием внешнего балансировщика нагрузки), виртуальные машины затем будут SFTP через туннель от клиента, перетащить файлы через безопасный FC в выделенную цепочку disk-group / LUN / datastore / VMDK. Затем я бы сделал то же самое с поставщиками (за исключением того, что мы применяем некоторые DRM при передаче).
Буду признателен за любые предложения, как сделать это проще, безопаснее или и то, и другое.
Спасибо.
Похоже, ты это накрыл.
Мы используем поставщика безопасной передачи файлов - Accellion - поскольку они предоставляют довольно приличное универсальное решение, которое также работает поверх VMWare (они предоставляют полный образ виртуальной машины).
Одно из требований состоит в том, чтобы все было зашифровано, поэтому для доступа к сервису вам нужно подключиться к VPN. После этого устройство vm берет на себя управление, аутентифицирует пользователей, сохраняет файлы там, где они вам нужны, в SAN, шифруя все на своем пути.
NetApp также имеет несколько вариантов безопасного хранения, даже с интеграцией в ленточное шифрование и т. Д.
Я бы долго исследовал, какое решение для виртуальной машины использовать. В VMWare есть несколько известных эксплойтов (и, вероятно, других решений), которые позволят одной скомпрометированной виртуальной машине получить доступ к пространству памяти хоста (и, следовательно, другим виртуальным машинам).
Вы также можете ознакомиться с решениями IBM ISS для защиты протоколов передачи файлов и данных с помощью устройства IPS. Это поможет поддерживать безопасность этих систем.