Поддержка стабильной работы

Принципы безопасной работы

В процессе эксплуатации «Weblock.» необходимо придерживаться следующих принципов безопасной работы:

Целостность. Предотвращение повреждения, искажения или изменения информации и программного обеспечения. Это обеспечивается организационными мерами. Необходимо поддерживать в актуальном состоянии перечень пользователей «Weblock.», имеющих доступ к ее ресурсам.

Конфиденциальность. Предотвращение несанкционированного доступа к информации и программному обеспечению. Производить периодическую замену паролей, в соответствии с парольной политикой принятой в эксплуатирующей организации.

Проверка подлинности (аутентификация). Проверять субъекты (пользователей или процессы) перед предоставлением доступа к данным, а также объекты перед их использованием. В процессе эксплуатации «Weblock.» необходимо обеспечить безопасное хранение паролей пользователей.

Проверка полномочий (авторизация). Необходимо обеспечить доступ к данным только тем субъектам, которые были надлежащим образом авторизованы и имеют соответствующие права. Пользователям «Weblock.» необходимо предоставлять набор прав доступа различных пользователей к «Weblock.», который будет достаточен для выполнения ими служебных обязанностей.

Доступность. Обеспечить работоспособность и доступность данных и программ. В ходе функционирования «Weblock.» необходимо производить регулярное обновление программного обеспечения «Weblock.».

Минимальный набор привилегий. Пользователей рекомендуется наделять наименьшими правами доступа к минимальному необходимому количеству информационных ресурсов и функциональных возможностей, которые необходимы для выполнения их функциональных обязанностей.

Адекватность защитных мер. Необходимо адекватно сопоставлять защитные меры моделям угроз с учетом затрат на реализацию и возможных потерь от осуществления угроз.

Аудит. Необходимо установить связи и регистрировать события между пользователем (или объектом) и действием, совершаемым объектом. В ходе функционирования «Weblock.» необходимо осуществлять запись всех событий, происходящих в «Weblock.», в журналы аудита.

Поддержка доверенного канала

«Weblock.» обеспечивает доверенный канал (маршрут) между, защищаемым веб-приложением и «Weblock.», включая Личный кабинет «Weblock.».

Доверенный канал обеспечивает пользователю уверенность в подлинности источника и адресата информации и гарантирует защиту передаваемой информации. «Weblock.» осуществляет поддержку доверенного канала с применением криптографических методов защиты информации в соответствии с законодательством Российской Федерации.

Дополнительные меры по устранению скрытых каналов

Для ограничения или устранения скрытых каналов рекомендуем следующий перечень мер:

  • установка, конфигурирование и управление «Weblock.» в соответствии с эксплуатационной документацией;

  • защита физической целостности оборудования, на котором функционирует система;

  • доверенная загрузка системы, ограничение на установку программного обеспечения и его компонентов, не задействованных в технологическом процессе обработки информации;

  • доверенный маршрут между системой и ее пользователями;

  • меры, препятствующие несанкционированному копированию информации, содержащейся в системе, на съемные носители информации и за пределы информационной системы;

  • проверка целостности внешних модулей уровня ядра, получаемых от заявителя (разработчика, производителя), перед их установкой в операционную систему;

  • обеспечение конфиденциальности аутентификационной информации.

Отказоустойчивость

«Weblock.» использует прокси-сервер, выступающий в роли балансировщика сетевой нагрузки. Встроенными механизмами осуществляется балансировка нагрузки в решениях Kafka, PostgreSQL и Kubernetes. Также отказоустойчивость гарантируется за счет возможности горизонтального масштабирования, реализованного в «Weblock.», при котором добавляются дополнительные экземпляры сервисов и веб-серверов, в зависимости от трафика, что позволяет балансировать растущую нагрузку между разными экземплярами.

Описание действий при сбоях и ошибках эксплуатации

В случае возникновения сбоев и ошибок в процессе эксплуатации «Weblock.» необходимо осуществить принудительный перезапуск «Weblock.».

Также можно перезапустить отдельные модули нижеследующими командами.

Модуль

Команда перезапуска модуля

Weblock. Controller

sudo systemctl restart waf-controller.service

Weblock. Agent + веб-сервер

sudo nginx -s reload

Формирование отчетов в Личном кабинете

sudo systemctl restart waf-reporter.service и перезайти в Личный кабинет

Weblock. Brutedetect

sudo systemctl restart waf-brutedetect.service

Weblock. Scanner

sudo systemctl restart waf-scanner.service

Weblock. Health

sudo systemctl restart waf-health.service

Weblock. OIDC

sudo systemctl restart waf-oidc.service

Weblock. Geocoder

sudo systemctl restart waf-geocoder.service

Если перезапуск не помог устранить сбой, информацию о его причине можно почерпнуть в логах.

_images/Weblock_Logos_small.png