Архитектура и хранение данных

В этом обзоре мы рассказали про всё, что касается безопасности нашей архитектуры и настройках на уровне серверов и баз данных.

Технические описания
Поделиться:
12 сентября 2024
2 минуты
  • На платформе реализован механизм возможности входа пользователя под одной учётной записью только с одного устройства, то есть если пользователь заходит в систему со второго устройства, то на первом его сессия прерывается. Это сделано для исключения возможности жульничества при прохождении обучения и обеспечения безопасности аккаунта при необходимости заходить в систему с разных устройств.
  • В Эквио реализован механизм журналирования — регистрация разного рода событий и действий. Журналирование реализовано для событий инфраструктуры (баз данных, служебных сервисов и т.д.), и здесь используется стек технологий ELK (ElasticSearch, LogStash, Kibana) — это механизм сбора централизованных журналов (все журналы собираются в одном месте и хранятся централизованно), и механизм просмотра этих журналов для инженеров DevOps и QA, чтобы понимать, что происходит с системой, если она ведёт себя нештатно. Вторая часть журналирования — это журналирование действий администраторов, существует возможность просмотра действий, которые приводят к созданию/изменению/удалению данных.
Архитектура и хранение данных
  • Мониторинг — это технология, позволяющая в режиме реального времени собирать набор телеметрии от разных компонентов инфраструктуры и самой системы для понимания, что происходит с системой. Так проблемы выявляются проактивно, до того, когда они начнут влиять на работоспособность системы или, по крайней мере, до того, как о сбоях в работе начнут сообщать пользователи. Для этих целей мы используем технологии Prometheus и Grafana.
  • Отказоустойчивость и масштабируемость системы. Отказоустойчивость означает, что в случае выхода из строя какого-то компонента системы у нас имеется возможность запуска новых копий, что обеспечивает высокий уровень доступности системы для пользователей. Для обеспечения отказоустойчивости используется система оркестрации Kubernetes. Масштабируемость — это способность системы при росте нагрузки на неё выдерживать эту нагрузку (обеспечивать комфортную работу пользователей) путём добавления дополнительных ресурсов в систему, не прерывая её работу, за это также отвечает система оркестрации Kubernetes.
  • Мы регулярно проходим аудит системы требованиям OWASP (стандарт безопасности web-приложений). Как это выглядит: специальные программные инструменты сканируют нашу систему для того, чтобы выявить разного рода уязвимости, при выявлении уязвимостей мы их устраняем. По результатам работы проводится повторная проверка, которая подтверждает, что все уязвимости закрыты. Если клиент хочет провести инструментальный аудит нашей системы, чтобы убедиться в качестве нашей системы с точки зрения соответствия этим требованиям, то мы предоставляем все данные для этого, так как абсолютно уверены в нашем продукте.
  • Следующий набор технологий, который мы используем для обеспечения стабильности работы системы — это резервное копирование и восстановление системы. В зависимости от того, каким образом развёрнут наш клиент, мы умеем по-разному проводить резервное копирование. В случае, если мы говорим о коммунальном облаке либо о выделенном облаке в Яндексе, мы реализуем резервное копирование в облако Mail.ru, то есть в облако другого провайдера облачных услуг. Это делается для того, чтобы в случае возникновения проблем у Яндекса мы смогли в короткие сроки восстановиться с бэкапов и развернуться у другого провайдера. В случае, когда мы разворачиваемся во внутренних контурах нашего заказчика, то, как правило, мы настраиваем резервное копирование в систему резервного копирования, которая предоставляется самим заказчиком.
  • Безопасная виртуальная инфраструктура. Для развёртывания коммунального облака или выделенных облаков мы используем технологию ЯндексCloud, которая соответствует высоким стандартам безопасности, а именно:
    — соответствие требованиям 152 ФЗ «О персональных данных»,
    — соответствие стандарту ISO 27001 (международный стандарт на соответствие требованиям безопасности). В наш договор с Яндексом включены пункты, гарантирующие со стороны Яндекса исполнение поставщиком облачных услуг требований 152 ФЗ.
    Кроме этого, облака от нашего провайдера расположены на территории РФ, что гарантирует их работу при самых жёстких санкциях и политических изменениях.
  • Инфраструктурные компоненты нашей системы запускаются в docker-контейнерах. Эти контейнеры запускаются, в свою очередь, из образов, что исключает попадание в компоненты нашей системы постороннего и/или вредоносного ПО. То есть при каждом новом запуске контейнера, мы берём чистый образ этого контейнера, что позволяет нам обеспечить чистоту нашей инфраструктуры.
  • Для запуска наших инфраструктурных сервисов не используются root-права, что означает, что даже если злоумышленникам удастся скомпрометировать какую-то часть нашей инфраструктуры, они не смогут захватить инфраструктуру в целом.
  • С точки зрения надёжности технологий, которые мы используем (а абсолютно надёжных технологий не бывает), мы в нашей инфраструктуре используем только компоненты с открытым исходным кодом, которые являются production ready.

Существует классификация зрелости инфраструктурных технологий и высший уровень этой классификации — это production ready, то есть технология, готовая к продуктивной эксплуатации.

Мы не используем суперсовременных, но потенциально нестабильных технологий, которые могут создать дополнительные проблемы из-за не выявленных и не ликвидированных недостатков.

  • Мы реализуем безопасный процесс разработки нашего ПО, который называется CI/CD (Continuous Integration / Continuous Delivery), в рамках которого реализуется длинный flow разработки, который предполагает как саму разработку и тестирование, так и развёртывание и обновление нашего кода. Правка разработчиками в production невозможна, то есть весь код, который ими пишется и дорабатывается, проходит проверку через QA на отсутствие в нём багов или минимизацию их количества, а развёртыванием ПО и инфраструктуры занимается отдельная команда DevOps. На каждом из этапов этого процесса все сотрудники используют персональные учётные записи, полномочия которых ограничены только тем, что необходимо сотруднику для выполнения им должностных обязанностей.
  • В нашей системе не хранятся пароли пользователей в открытом виде, то есть нет возможности зайти в базу данных и посмотреть, какой пароль у того или иного пользователя. Для этого мы используем хэширование паролей и их соление. Это технология, которая позволяет обеспечить необратимый процесс преобразования пароля при его сохранении в базе данных.
  • У нашей системы есть интеграционное API, которое соответствует стандарту OpenAPI. Оно является с одной стороны открытым (мы публикуем документацию по нашему интеграционному API для того, чтобы клиенты могли самостоятельно разрабатывать механизмы интеграции), с другой стороны — безопасным, потому что для доступа к нашему интеграционному API клиентам выдаются специальные токены, которые обеспечивают защиту доступа. Таким образом, злоумышленник использовать наше интеграционное API не сможет, потому что он не владеет соответствующим токеном. Токен передается только уполномоченным сотрудникам Заказчика.
  • Мы зарегистрированы в Роскомнадзоре как оператор персональных данных, нами разработан и реализуется ряд организационных технических мер по защите персональных данных в соответствии с требованиями подзаконных актов к 152 ФЗ, а также нами разработан необходимый комплект документов, которые требуются в соответствии с нормативными документами ФСТЭК (Федеральная служба по техническому и экспортному контролю) для организаций, которые обрабатывают персональные данные. При передаче данных между нашей инфраструктурой и клиентскими устройствами мы используем защищённые протоколы (в частности, https). Для доступа наших инженеров к инфраструктуре также используются защищённые протоколы ssh. В том случае, если наша система и кадровая система заказчика находятся в разных местах, например, наша система развёрнута в коммунальном или выделенном облаке, а система заказчика развёрнута в его внутреннем контуре, если заказчик требует, мы можем построить VPN-туннель между нашей инфраструктурой и инфраструктурой заказчика. При этом туннель при необходимости будет построен с использованием сертифицированного ФСБ продукта для построения таких туннелей, что соответствует требованиям 152 ФЗ. Также нами разработан и реализуется ряд требуемых регулятором документов, которые регламентируют наши действия по обработке персональных данных и их защите.

Мы понимаем, что IT- и ИБ-безопасность для наших клиентов — не простая формальность, а одно из самых важных требований к нам как к провайдеру облачных услуг, и мы ежедневно прикладываем много усилий для обеспечения высочайшего уровня безопасности и отказоустойчивости нашей платформы.


Полнофункциональная версия

платформы Эквио — бесплатно на 2 недели
Заказать демо
Полнофункциональная версия Полнофункциональная версия

Поделиться:
Идеальное решение для обучения персонала
Закажите бесплатную экспертную онлайн-консультацию и получите доступ на 14 дней бесплатно!
Приложение для дистанционного обучения сотрудников Попробовать бесплатно

Смотрите также:

Что такое управление человеческим капиталом

Что такое управление человеческим капиталом или HCM

Эксперты различают разные виды капитала: реальный и финансовый, постоянный и переменный. В XX веке к ним прибавилась ещё одна разновидность — человеческий капитал. Он возникает в тот момент, когда компания или сам работник начинают инвестировать в образование и развитие. Управление человеческим капиталом — это способ преодолеть дефицит ценных специалистов. В материале мы расскажем про методы и преимущества HCM, а также про современные HCM-системы, которые могут облегчить задачи HR-специалиста.

22 января
3 минуты
Как решить проблему дефицита кадров

Как решить проблему дефицита кадров

С 2022 года российские компании — от стартапов до лидеров рынка, сталкиваются с нехваткой персонала. По оценке экспертов, сегодня российскому бизнесу не хватает 2,7 млн работников. Исследователи ВШЭ отмечают, что отношение числа сотрудников, которые требуются компаниям к фактически нанятым составляет 8,3%. Это максимальное значение за последние три года. По данным ТАСС больше всего дефицит кадров в третьем квартале 2024 года наблюдается в обрабатывающей промышленности и распределительной отрасли. Также нехватка персонала ощущается в сфере торговли, ИТ-секторе и строительстве. Эксперты предупреждают, что в ближайшее время этот дефицит не исчезнет, а ситуация может только усугубиться. Поэтому руководителям уже сейчас нужно искать варианты выхода из этой ситуации.

В материале мы расскажем, в каких сферах не хватает персонала и поделимся рекомендациями, что делать HR-специалистам, чтобы решить проблему кадрового голода.

25.12.24
4 минуты
Что такое дистанционное обучение

Дистанционное обучение: когда расстояние — не помеха

Как только люди поняли, что для обучения необязательно личное присутствие преподавателя, они начали экспериментировать с дистанционным форматом. В XIX веке учащиеся получали образовательные материалы в письмах, в XX веке к этому способу прибавилось радио, телефон, а затем и CD-диски. С распространением интернета обучать людей дистанционно стало ещё удобнее. Теперь учебные материалы можно буквально «носить в кармане» — в приложении смартфона. А значит, можно учиться в любое время и в любом месте. Поэтому популярность дистанционного обучения постоянно растёт, а на рынке представлено большое количество курсов и обучающих платформ. В статье мы расскажем о плюсах и минусах дистанционного образования, каким оно бывает и как его организовать.

09.12.24
3 минуты
Обновление платформы Эквио 12.1

Обновление платформы Эквио 12.1

В декабре мы добавили функцию импорта вопросов из одного теста в другой, доработали параметры назначений для траекторий и программ обучения, а также начали разработку инструментов для работы с функциональными руководителями. Рассказываем об этих и других улучшениях, которые внедрила наша команда разработчиков.

09.12.24
4 минуты
Стажировка персонала на рабочем месте

«Учись, стажер!»: как провести стажировку персонала на рабочем месте

Что объединяет официанта, ИТ-специалиста и топ-менеджера? В начале карьерного пути все они могут начинать работу в качестве стажёров. Стажировка — это обучение, во время которого сотрудник выполняет реальные задачи под контролем опытного наставника. Работник знакомится с новыми инструментами и учится применять их на практике. А также приобретает ценный опыт, который помогает адаптироваться к безопасной самостоятельной работе на предприятии. По закону минимальная стажировка состоит из двух смен, а максимальная может длиться 14 рабочих смен, месяц или год. Рассказываем, как провести стажировку персонала, для чего она нужна и как всё организовать.

29.11.24
4 минуты
Как организовать онлайн обучение персонала в компании

Как организовать онлайн-обучение персонала

Когда-то онлайн-обучение работников было роскошью, теперь роскошь — не обучать сотрудников с помощью современных технологий. Устаревшие знания, выгоревшие работники и дефицит персонала обходятся компании дороже, чем создание или покупка онлайн-курсов. Поэтому, как показал опрос Эквио и Digital Learning, в 2024 году всего 3% компаний не используют онлайн-обучение. О том, как выглядит и какие формы принимает современное корпоративное обучение, как его организовать и какие инструменты для этого нужны — рассказываем в этой статье.

21.11.24
5 минут
Вернуться в блог

Попробовать 14 дней бесплатно

Заполните заявку, и мы предоставим вам доступ к полнофункциональной версии платформы для тестирования

    Заполняя форму, я принимаю согласие на обработку
    персональных данных

    Если вы уже текущий клиент, пожалуйста,
    напишите на support@e-queo.com
    Попробовать 14 дней бесплатно

    Пользуясь настоящим сайтом, вы даёте согласие на использование cookies.

    Принять