Как разграничить доступ конфиденциальной и открытой информации в одной СХД?

Question

[Buton]

Хабровчани) прошу помощи и совета.


Кто сталкивался с разграничением доступа, использованием средств защиты информации в СХД?

Как решился вопрос того, чтобы не допустить смешение данных в одном СХД(конфиденциальных и открытых) поступающих от разных приложений.

Применяли ли шифрование?


Конечная цель соответствовать АС класса 1Г.

Comments

[apilichev]

Структура СХД уже определена или в стадии разработки? Можно ее описать?
Сколько массивов входит в систему?
Какой транспорт используется (FC, iSCSI, SAS)?
Система территориально в одном здании или распределена по нескольким?
Какой гриф данных предполагается?
Какие массивы планируете использовать, и есть ли сертифицированные?

Вообще согласен с остальными написавшими — грифованные данные в отдельный физический сегмент, использовать только сертифицрованные средства.

Answer 1

[Николай Турнавиотов]

Разные raid массивы в одном схд, ограничен доступ, разные виртуалки…
Вариантов много. без знания текущей конфигурации можно только дать советов.

Comments

[Buton]

тут самое важное соответствовать 1Г это требует сертифицированных ФСТЭК средств защиты, я понимаю, что абсурд, но надо подтвердить документально что в СХД эти данные даже будучи на разных раид массивах никогда нигде не встретятся.

[Николай Турнавиотов]

один рейд массив внутри одного схд никаким образом не узнает про другой рейд массив в этом же схд.
но вот уровнем выше — пожалуйста, если у вас это одна виртуалка, которая лезет на оба рейда.

[Buton]

Хорошо, в архитектуру СХД я только вникаю, возможно сделать так чтобы данные на один раид массив приходили на один порт СХД, а данные предназначенные другому раид массиву на другой порт СХД? Просто как я понимаю после того как данные поступают на коммутатор они потом по одному проводу идут в СХД, где она уже решает в какой раид массив поместить.

Answer 2

[amc]

Могу вас лишь направить сюда www.fstec.ru/_docs/doc_3_3_004.htm
А вообще — если хочется простоты (лицензирования) — то всё, связанное с СЗИ\НСД лучше отделять напрочь.

Answer 3

[SergeyKiselev]

Есть такое понятие Secure Multi-Tenancy — изоляция приложений друг от друга посредством виртуализации СХД, например есть решение от NetApp —
Но нужно понимать, что такого рода решения не прошли сертификацию ФСТЭК, хотя и используются в отрасле.

Answer 4

[SergeyKiselev]

Сорри, не получилось вставить ссылку: www.netapp.com/us/technology/secure-multi-tenancy.html