Oracle рассчитывает выполнить требования 242-ФЗ из Амстердама

Oracle готовит ЦОД в Амстердаме для обработки ПДн россиян

ЦОД Oracle

Компания Oracle уже не видит своего будущего без облачных сервисов. "Более 80% новых приложений сейчас разрабатываются для работы в облачной инфраструктуре", - заявил Павел Захаров, вице-президент по технологическому консалтингу российского представительства Oracle, на прошедшей в Москве конференции Oracle Cloud Technology Day 2015. Понятно, что компания всеми силами стремится предложить своим потенциальным заказчикам, в том числе и в России, максимальное число своих облачных сервисов.

В частности, недавно компания представила 24 новых сервиса, среди которых есть и облачное резервное копирование, и создание архивов в облаке, и организация VPN-туннелей до своих публичных облаков, и управление идентификационной информацией. В разработке своих сервисов компания базируется на платформе сообщества OpenStack. При этом в Oracle хотят представлять клиентам сервисы на базе своей собственной инфраструктуры, однако ЦОДов на территории России компания не имеет, и строить их пока не планирует.

Это создаёт определённые проблемы с 242-ФЗ, который требует от компаний, представляющих услуги россиянам, хранить их персональные данные на территории России. Означает ли это, что российские клиенты, которым нужно обрабатывать персональные данные россиян, не смогут воспользоваться облачными сервисами Oracle? Специалисты компании уверяют, что нет. И помочь им в решении проблемы с российским законодательством должны как раз те самые облачные сервисы.

Дело в том, что облачная архитектура предполагает три уровня сервисов. Компания Oracle предлагает услуги уровня платформы - PaaS, но данные в них могут храниться на уровне инфраструктуры IaaS. В случае персональных данных россиян предполагается, что сами базы будут располагаться в российских ЦОДах партнёров: IBS DataFort, FORS и SoftLine. Эти российские компании предлагают услуги аренды базы данных (DBaaS). До них будет организован VPN-туннель, а в случае DataFort вообще планируется организация выделенной линия до ЦОД Oracle, который строится в Амстердаме. То есть персональные данные в этом случае будут храниться в России, но обрабатываться в Амстердаме. Трансграничная передача данных в 242-ФЗ не запрещена и не может быть запрещена, поскольку на это есть специальное требование международной конвенции по персональным данным.

Впрочем, компания Oracle представила также новую версию системы управления своими продуктами Enterprise Manager, которая позволяет клиентам в одном окне управлять как локальными версиями программного обеспечения, так и арендованными виртуальными ресурсами в ЦОДах компании. Для защиты каналов связи Oracle осенью планирует предложить сервис Site-to-Site VPN, позволяющий быстро создавать зашифрованный туннель, например, до корпоративного маршрутизатора, за которым также может быть расположено локальное хранилище данных. Управлять этой системой также можно из корпоративного Enterprise Manager так, будто сервисы развёрнуты локально. В этом случае также можно будет организовать информационную систему таким образом, чтобы данные хранились в России, на территории заказчика, а обрабатывались за рубежом - в ЦОДе Oracle. Таким образом, компания может предложить различные варианты соблюдения требований российских регуляторов по хранению и обработке данных россиян.

CURATOR добавил сканер уязвимостей прямо в личный кабинет платформы

Провайдер облачной сетевой инфраструктуры и решений для защиты интернет-ресурсов CURATOR представил новый инструмент CURATOR.SCANNER. Решение предназначено для регулярной проверки внешней инфраструктуры компаний на уязвимости, ошибки конфигурации и потенциальные точки входа для атак.

Продукт разработан в рамках технологического сотрудничества с ИБ-компанией Alpha Systems и встроен прямо в личный кабинет платформы CURATOR. Отдельно устанавливать дополнительное ПО не нужно.

Работает всё довольно просто: пользователь указывает объект проверки — домен, IP-адрес, диапазон адресов или веб-приложение — выбирает шаблон сканирования и запускает проверку из интерфейса платформы.

CURATOR.SCANNER умеет выявлять открытые сетевые сервисы, определять версии установленного ПО, сопоставлять их с базами известных уязвимостей, находить ошибки конфигурации и распространенные веб-риски. Среди поддерживаемых проверок — активное сканирование, обнаружение веб-компонентов, анализ веб-приложений и поиск уязвимостей вроде SQL Injection.

Также инструмент может определять наличие WAF и учитывать особенности его работы при проверке веб-приложений. Это важно, потому что сканирование защищенного ресурса без понимания работы фильтров часто дает неполную или искаженную картину.

В CURATOR отмечают, что многие успешные атаки начинаются с эксплуатации конкретной уязвимости на внешнем периметре. При этом компании либо проверяют его нерегулярно, либо используют отдельные инструменты, которые требуют внедрения, настройки и сопровождения.

С запуском CURATOR.SCANNER клиенты платформы получают возможность проверять внешний периметр в том же контуре, где уже управляют защитой доступности, DDoS-фильтрацией и безопасностью веб-ресурсов.

По сути, CURATOR пытается собрать в одном интерфейсе не только защиту от атак, но и регулярный поиск слабых мест до того, как ими заинтересуются злоумышленники.

RSS: Новости на портале Anti-Malware.ru