Поддержка стабильной работы

Принципы безопасной работы

В процессе эксплуатации Weblock lk_small_simbol необходимо придерживаться следующих принципов безопасной работы:

Целостность. Предотвращение повреждения, искажения или изменения информации и программного обеспечения. Это обеспечивается организационными мерами. Необходимо поддерживать в актуальном состоянии перечень пользователей «Weblock.», имеющих доступ к ее ресурсам.

Конфиденциальность. Предотвращение несанкционированного доступа к информации и программному обеспечению. Производить периодическую замену паролей, в соответствии с парольной политикой принятой в эксплуатирующей организации.

Проверка подлинности (аутентификация). Проверять субъекты (пользователей или процессы) перед предоставлением доступа к данным, а также объекты перед их использованием. В процессе эксплуатации «Weblock.» необходимо обеспечить безопасное хранение паролей пользователей.

Проверка полномочий (авторизация). Необходимо обеспечить доступ к данным только тем субъектам, которые были надлежащим образом авторизованы и имеют соответствующие права. Пользователям «Weblock.» необходимо предоставлять набор прав доступа различных пользователей к «Weblock.», который будет достаточен для выполнения ими служебных обязанностей.

Доступность. Обеспечить работоспособность и доступность данных и программ. В ходе функционирования «Weblock.» необходимо производить регулярное обновление программного обеспечения «Weblock.».

Минимальный набор привилегий. Пользователей рекомендуется наделять наименьшими правами доступа к минимальному необходимому количеству информационных ресурсов и функциональных возможностей, которые необходимы для выполнения их функциональных обязанностей.

Адекватность защитных мер. Необходимо адекватно сопоставлять защитные меры моделям угроз с учетом затрат на реализацию и возможных потерь от осуществления угроз.

Аудит. Необходимо установить связи и регистрировать события между пользователем (или объектом) и действием, совершаемым объектом. В ходе функционирования «Weblock.» необходимо осуществлять запись всех событий, происходящих в «Weblock.», в журналы аудита.

Поддержка доверенного канала

«Weblock.» обеспечивает доверенный канал (маршрут) между, защищаемым веб-приложением и «Weblock.», включая Личный кабинет «Weblock.».

Доверенный канал обеспечивает пользователю уверенность в подлинности источника и адресата информации и гарантирует защиту передаваемой информации. «Weblock.» осуществляет поддержку доверенного канала с применением криптографических методов защиты информации в соответствии с законодательством Российской Федерации.

Дополнительные меры по устранению скрытых каналов

Для ограничения или устранения скрытых каналов рекомендуем следующий перечень мер:

  • установка, конфигурирование и управление «Weblock.» в соответствии с эксплуатационной документацией;

  • защита физической целостности оборудования, на котором функционирует система;

  • доверенная загрузка системы, ограничение на установку программного обеспечения и его компонентов, не задействованных в технологическом процессе обработки информации;

  • доверенный маршрут между системой и ее пользователями;

  • меры, препятствующие несанкционированному копированию информации, содержащейся в системе, на съемные носители информации и за пределы информационной системы;

  • проверка целостности внешних модулей уровня ядра, получаемых от заявителя (разработчика, производителя), перед их установкой в операционную систему;

  • обеспечение конфиденциальности аутентификационной информации.

Отказоустойчивость

«Weblock.» использует прокси-сервер, выступающий в роли балансировщика сетевой нагрузки. Встроенными механизмами осуществляется балансировка нагрузки в решениях Kafka, PostgreSQL и Kubernetes. Также отказоустойчивость гарантируется за счет возможности горизонтального масштабирования, реализованного в «Weblock.», при котором добавляются дополнительные экземпляры сервисов и веб-серверов, в зависимости от трафика, что позволяет балансировать растущую нагрузку между разными экземплярами.

Непрерывность работы «Weblock.» достигается за счет двух разных видов масштабирования, используемых в «Weblock.». Первый, вертикальный, в котором увеличиваются ресурсы веб-сервера. И, второй, горизонтальный – когда «Weblock.» создает дополнительные экземпляры своих сервисов и веб-серверов, чтобы в один промежуток времени одну задачу выполняла группа сервисов.

Описание действий при сбоях и ошибках эксплуатации

В случае возникновения сбоев и ошибок в процессе эксплуатации «Weblock.» необходимо осуществить принудительный перезапуск «Weblock.».

Также можно перезапустить отдельные сервисы «Weblock.» нижеследующими командами. Названия сервисов соответствуют разделу «Состояние сервисов» Личного кабинета.

Сервис

Команда перезапуска сервиса

waf-controller

sudo systemctl restart waf-controller.service

waf-oidc

sudo systemctl restart waf-oidc.service

waf-audit

sudo systemctl restart waf-audit.service

waf-validator

sudo systemctl restart waf-validator.service

waf-geocoder

sudo systemctl restart waf-geocoder.service

waf-reporter

sudo systemctl restart waf-reporter.service и перезайти в Личный кабинет

waf-scanner-admin, waf-scanner-user

sudo systemctl restart waf-scanner.service

waf-health - сервис раздела «Состояние сервисов» в Личном кабинете

sudo systemctl restart waf-health.service

Перезапуск веб-сервера, включая модуль Weblock.Agent, выполняется командой:

sudo nginx -s reload

Если перезапуск не помог устранить сбой, информацию о его причине можно почерпнуть в логах.

_images/Weblock_Logos_small.png