Руководство для параноика: защищаем базу 1С на VDS

21 Сентября 2018

Когда думаешь о том, что данные твоей фирмы будут «лежать» где-то далеко, на третьей стороне, да еще и, возможно, у этой стороны к ним будет доступ, начинается признак паранойи. С другой стороны, понимаешь, что у этой третьей стороны созданы все условия для надежного и безопасного хранения этих данных: резервирование питание и каналов связи, системы пожаротушения, охрана, кондиционирование и т. д. Построить дата-центр уровня III может себе позволить далеко не каждая организация. К счастью, компромисс существует и сегодня мы поговорим о нем. Для обеспечения безопасности хранимых на виртуальном сервере данных нужно выполнить всего два простых шага.

Шаг 1: изменяем пароль CloudAdmin

Платформа Xelent сообщает клиенту пароль административного пользователя CloudAdmin в панели управления сервером — сделано это для удобства.

 Пароль пользователя

Рис. 1. Пароль пользователя. Любителям подключаться к чужим серверам: данный VDS удален сразу после написания этой статьи!

Но настоящий параноик не будет спокойно спать, если где-то есть в незашифрованном виде пароль от его сервера. Поэтому первым делом, что нужно сделать — это изменить пароль администратора (CloudAdmin) на виртуальном сервере. Процедура изменения пароля такая же, как и на локальной машине — через панель управления (рис. 2).

Изменить пароль

Рис. 2. Воспользуйтесь ссылкой Изменить пароль для смены пароля учетной записи

После изменения пароля закройте окно RDP, смените пароль в настройках удаленного подключения и снова подключитесь к серверу.

Шаг 2: используем прозрачное шифрование для защиты базы 1С

Для защиты личных данных можно использовать контейнеры — виртуальные зашифрованные диски. Такие контейнеры можно создать программами вроде VeraCrypt (форк популярного TrueCrypt). Но на сервере использовать контейнеры не очень удобно, поскольку виртуальный диск нужно смонтировать, прежде чем можно будет получить доступ к информации на нем.

А если виртуальный сервер с 1С выключают на ночь для экономии средств, то это означает, что админ должен утром успеть подмонтировать контейнер — до того момента, как пользователи начнут обращаться к базе.

Если облака для вас
не просто теория
Широкий спектр услуг
по выделенным северам
и мультиклауд-решениям
Конфигурация VPS и бесплатный тест уже через 2 минуты
Организация вашей IT-инфраструктуры на основе мультиклауд-решения

Выход есть — прозрачное шифрование. При этом файлы зашифровываются и расшифровываются «на лету» — в процессе работы с ними. Файлы остаются зашифрованными, а пользователи и программы работают с ними, как с обычными файлами. Например, если зашифровать папку 1c_base, то 1С даже не поймет, что база зашифрована. Зато данные на диске виртуальной машины будут зашифрованы. Войти сотрудники провайдера тоже не смогут, ведь пароль вы сменили.

В Windows традиционно для организации прозрачного шифрования используется шифрованная файловая система — EFS (Encrypting File System).

EFS предназначена, чтобы один пользователь не мог получить доступ к файлам (зашифрованным) другого пользователя. Зачем нужно было создавать EFS, если NTFS поддерживает разграничение прав доступа? Хотя NTFS и является довольно безопасной файловой системой, но со временем появились различные утилиты, игнорирующие права доступа NTFS. Появилась необходимость в дополнительной защите. Такой защитой должна была стать EFS. Мы же будем ее использовать для защиты данных от якобы нечестных сотрудников облачного провайдера.

EFS удобна тем, что входит в состав Windows и для шифрования файлов вам не нужно какое-либо дополнительное программное обеспечение — все необходимое уже есть в Windows.

Чтобы зашифровать файлы не нужно совершать какие-либо предварительные действия, поскольку при первом шифровании файла для пользователя автоматически создается сертификат шифрования и закрытый ключ.

Включить шифрование очень просто: откройте свойства папки, в которой находится база 1С, на вкладке Общие нажмите кнопку Другие и включите атрибут Шифровать содержимое для защиты данных (рис. 3).

Включение шифрования EFS

Рис. 3. Включение шифрования EFS

Конечно, у нашего решения есть недостатки. Первый — это то, что пользователи должны работать под одной учетной записью — под той, которую вы использовали для шифрования каталога с базой 1С. Второй — теоретически есть возможность расшифровки файлов программами вроде Advanced EFS Data Recovery, но на практике оказалось, что результаты работы этой программы не такие уж и хорошие — достаточно установить сложный пароль, чтобы программа не справилась со своей задачей.

Приведенное решение — не панацея, но оно позволяет существенно обезопасить хранимые на виртуальном сервере данные.

Получить консультацию специалиста
Персональный ассистент
Cloud.Xelent