nKognito Posted April 5, 2022 Report Share Posted April 5, 2022 Доброго времени суток. У нас следующая задача: есть сервер в облаке на Ubuntu, на нем в докере крутится приложение написанно на java. Это приложение должно выгружать данные по защищенному каналу vipnet стороннему поставщику. Вопросы: Есть ли возможность установить софт в облаке? Какой именно софт нам подойдет, при условии что это не рабочее место и экспорт должен происходить автоматически (мое предположение это либо client либо coordinator, но хотелось бы быть уверенным) Quote Link to comment Share on other sites More sharing options...
KostiK2011IT Posted April 5, 2022 Report Share Posted April 5, 2022 Доброго дня! У стороннего поставщика есть сеть ViPNet? Доступ к серверу в облаке на каком уровне? Выгрузку документов хотите делать средствами вашего приложения? Quote Link to comment Share on other sites More sharing options...
nKognito Posted April 5, 2022 Author Report Share Posted April 5, 2022 8 minutes ago, KostiK2011IT said: Доброго дня! У стороннего поставщика есть сеть ViPNet? Доступ к серверу в облаке на каком уровне? Выгрузку документов хотите делать средствами вашего приложения? 1. Да, у него уже все организовано. Собственно это требование поставщика, доступ строг по защищенному каналу. 2. Полный доступ по SSH, с максимально возможными правами 3. Выгрузку будем реализовывать сами, тут проблем нет. Пытаемся понять как нам организовать этот самый защищенный канал. Quote Link to comment Share on other sites More sharing options...
KostiK2011IT Posted April 5, 2022 Report Share Posted April 5, 2022 4 минуты назад, nKognito сказал: 2. Полный доступ по SSH, с максимально возможными правами во время загрузки доступ есть? Quote Link to comment Share on other sites More sharing options...
nKognito Posted April 5, 2022 Author Report Share Posted April 5, 2022 6 minutes ago, KostiK2011IT said: во время загрузки доступ есть? Скорее всего нет. Это я так понимаю критично? Quote Link to comment Share on other sites More sharing options...
KostiK2011IT Posted April 5, 2022 Report Share Posted April 5, 2022 16 минут назад, nKognito сказал: Скорее всего нет. Это я так понимаю критично? Могут возникнуть трудности с первоначальной настройкой фаервола - можно потерять доступ ко всему серверу, и не имея доступа чарез консоль, правила фаервола никак не настроить. Про Client 4U for Linux, точно сказать не могу, на Windows клиенте такие проблемы были. По идеи, есть Client в контейнере Docker (в презентациях попадался), но как настроить в нем взаимодействие с вашим приложением из другого контейнера, не понятно - Client не для этого, тунеллировать не умеет. Я думаю, вам надо посмотреть в строну Координатора HW-VA, но потребуется еще одна виртуальная машина + виртуальный коммутатор для взаимодействия между сервером и HW, только как в облаке, это реализовать - это надо у владельцев облака уточнять. При такой схеме, даже если с координатором что-то случиться, хоть сервис свой не потеряете. Вообще, попробуйте в Инфотексе консультацию получить - только им сразу подробную схему опишите и требования, может что-то вам посоветуют. Потом тут сообщите, получилось или нет. Quote Link to comment Share on other sites More sharing options...
Alexander Murzinov Posted April 5, 2022 Report Share Posted April 5, 2022 20 минут назад, KostiK2011IT сказал: Могут возникнуть трудности с первоначальной настройкой фаервола - можно потерять доступ ко всему серверу, и не имея доступа чарез консоль, правила фаервола никак не настроить. Про Client 4U for Linux, точно сказать не могу, на Windows клиенте такие проблемы были. По идеи, есть Client в контейнере Docker (в презентациях попадался), но как настроить в нем взаимодействие с вашим приложением из другого контейнера, не понятно - Client не для этого, тунеллировать не умеет. Я думаю, вам надо посмотреть в строну Координатора HW-VA, но потребуется еще одна виртуальная машина + виртуальный коммутатор для взаимодействия между сервером и HW, только как в облаке, это реализовать - это надо у владельцев облака уточнять. При такой схеме, даже если с координатором что-то случиться, хоть сервис свой не потеряете. Вообще, попробуйте в Инфотексе консультацию получить - только им сразу подробную схему опишите и требования, может что-то вам посоветуют. Потом тут сообщите, получилось или нет. Как получить консультацию в Инфотексе? Quote Link to comment Share on other sites More sharing options...
KostiK2011IT Posted April 5, 2022 Report Share Posted April 5, 2022 Пробуйте по почте или телофону горячей линии. Quote Link to comment Share on other sites More sharing options...
zero Posted April 5, 2022 Report Share Posted April 5, 2022 4 часа назад, Alexander Murzinov сказал: Как получить консультацию в Инфотексе? Написав на hotline@infotecs.ru Quote Link to comment Share on other sites More sharing options...
Alexander Murzinov Posted April 5, 2022 Report Share Posted April 5, 2022 Написал запрос на данный email, попросили адресовать в коммерческий отдел, адресовал, ответа не получил. Номер тикета - № 001-00-1630716. Может быть возможно проконсультировать нас прямо здесь? Quote Link to comment Share on other sites More sharing options...
KostiK2011IT Posted April 5, 2022 Report Share Posted April 5, 2022 31 минуту назад, Alexander Murzinov сказал: Написал запрос на данный email, попросили адресовать в коммерческий отдел, адресовал, ответа не получил. Номер тикета - № 001-00-1630716. Может быть возможно проконсультировать нас прямо здесь? У вас тоже вопрос про установку ViPNet в облако Яндекса? Тут официальных ответов вы не получите. Quote Link to comment Share on other sites More sharing options...
nKognito Posted April 5, 2022 Author Report Share Posted April 5, 2022 6 hours ago, KostiK2011IT said: Могут возникнуть трудности с первоначальной настройкой фаервола - можно потерять доступ ко всему серверу, и не имея доступа чарез консоль, правила фаервола никак не настроить. Про Client 4U for Linux, точно сказать не могу, на Windows клиенте такие проблемы были. По идеи, есть Client в контейнере Docker (в презентациях попадался), но как настроить в нем взаимодействие с вашим приложением из другого контейнера, не понятно - Client не для этого, тунеллировать не умеет. Я думаю, вам надо посмотреть в строну Координатора HW-VA, но потребуется еще одна виртуальная машина + виртуальный коммутатор для взаимодействия между сервером и HW, только как в облаке, это реализовать - это надо у владельцев облака уточнять. При такой схеме, даже если с координатором что-то случиться, хоть сервис свой не потеряете. Вообще, попробуйте в Инфотексе консультацию получить - только им сразу подробную схему опишите и требования, может что-то вам посоветуют. Потом тут сообщите, получилось или нет. Да, пока что попробуем проконсультироваться со спецами поставщика, они в свою очередь тоже сеть настраивали, может быть помогут. В любом случае отпишусь здесь о результатах, спасибо за сооветы. Quote Link to comment Share on other sites More sharing options...
Stratos Posted April 11, 2022 Report Share Posted April 11, 2022 05.04.2022 в 16:09, Alexander Murzinov сказал: Написал запрос на данный email, попросили адресовать в коммерческий отдел, адресовал, ответа не получил. Номер тикета - № 001-00-1630716. Может быть возможно проконсультировать нас прямо здесь? Ну зачем же Вы вводите пользователей в заблуждение? На указанный Вами запрос Вам ответили. Quote Link to comment Share on other sites More sharing options...
KostiK2011IT Posted April 11, 2022 Report Share Posted April 11, 2022 05.04.2022 в 16:09, Alexander Murzinov сказал: Написал запрос на данный email, попросили адресовать в коммерческий отдел, адресовал, ответа не получил. Номер тикета - № 001-00-1630716. Может быть возможно проконсультировать нас прямо здесь? Сюда, пожалуйста, выложите, что вам с поддержки ответили. Интересная тема... Quote Link to comment Share on other sites More sharing options...
Stratos Posted April 12, 2022 Report Share Posted April 12, 2022 11.04.2022 в 12:44, KostiK2011IT сказал: Сюда, пожалуйста, выложите, что вам с поддержки ответили. Интересная тема... Ответ был дан в рамках запроса Клиента. Замечу, что к первоначальной постановке вопроса данной темы заданный вопрос не относился от слова совсем. Quote Link to comment Share on other sites More sharing options...
KostiK2011IT Posted August 11, 2022 Report Share Posted August 11, 2022 Доброго дня, коллеги! Тема на счет размещения ViPNet в облако Яндекса заглохла? У кого-нибудь есть успехи?) Quote Link to comment Share on other sites More sharing options...
R.Sheyn Posted August 11, 2022 Report Share Posted August 11, 2022 50 минут назад, KostiK2011IT сказал: Доброго дня, коллеги! Тема на счет размещения ViPNet в облако Яндекса заглохла? У кого-нибудь есть успехи?) А в чем именно и с чем проблема? Quote Link to comment Share on other sites More sharing options...
KostiK2011IT Posted August 12, 2022 Report Share Posted August 12, 2022 14 часов назад, R.Sheyn сказал: А в чем именно и с чем проблема? Проблемы нет, просто интересная тема. Думал может кто-то поделится своими результатами общения с ТП или в Яндексе кто-нибудь справки наводил. Quote Link to comment Share on other sites More sharing options...
R.Sheyn Posted August 12, 2022 Report Share Posted August 12, 2022 1 час назад, KostiK2011IT сказал: Проблемы нет, просто интересная тема. Думал может кто-то поделится своими результатами общения с ТП или в Яндексе кто-нибудь справки наводил. Ну пусть будет не проблема, а сценарий. Какой сценарий надо реализовать? Что-то в яндекс облаке развернуть? Что именно? И в чем именно сложность? Quote Link to comment Share on other sites More sharing options...
KostiK2011IT Posted August 12, 2022 Report Share Posted August 12, 2022 3 часа назад, R.Sheyn сказал: Ну пусть будет не проблема, а сценарий. Какой сценарий надо реализовать? Что-то в яндекс облаке развернуть? Что именно? И в чем именно сложность? типовой сценарий - спрятать какой-то важный сервис в облаке за кластер VA, чтобы организовать доступ по ГОСТ VPN сложность в той же передаче ключей - как легитимным методом в облако ключ передать? не возникнет ли проблем при сборе кластера? со внутренней структурой облака не будет ли проблем, в плане маршрутизации между защищаемыми сегментами? конкретных вопросов особо нет, пока не попробуешь ... Quote Link to comment Share on other sites More sharing options...
R.Sheyn Posted August 12, 2022 Report Share Posted August 12, 2022 23 минуты назад, KostiK2011IT сказал: сложность в той же передаче ключей - как легитимным методом в облако ключ передать? Зависит от МУН которая принята в ИС. В общем случае, конечно, никак, любая передача будет означать компрометацию. Quote Link to comment Share on other sites More sharing options...
KostiK2011IT Posted August 12, 2022 Report Share Posted August 12, 2022 21 минуту назад, R.Sheyn сказал: Зависит от МУН которая принята в ИС. В общем случае, конечно, никак, любая передача будет означать компрометацию. Виртуалку надо привязывать к конкретному хосту в цоде, причем и сам цод должен иметь аттестацию, отправлять фельдъегерем в цод носитель с ключами, там обученный/сертифицированный человек этот носитель должен подключить к конкретному хосту (физически к серверу)... Получается так?( + это все еще все запротоколировано должны быть, т.к это все криптосредства (опускаю момент передачи самого ПО). Может у Яндекса есть своя сеть ViPNet для таких дел, на железных ПАКах, например? Quote Link to comment Share on other sites More sharing options...
R.Sheyn Posted August 12, 2022 Report Share Posted August 12, 2022 6 часов назад, KostiK2011IT сказал: Виртуалку надо привязывать к конкретному хосту в цоде, причем и сам цод должен иметь аттестацию, отправлять фельдъегерем в цод носитель с ключами, там обученный/сертифицированный человек этот носитель должен подключить к конкретному хосту (физически к серверу)... Получается так?( + это все еще все запротоколировано должны быть, т.к это все криптосредства (опускаю момент передачи самого ПО). Может у Яндекса есть своя сеть ViPNet для таких дел, на железных ПАКах, например? Врядли кто-то выделит отдельный хост под вашу ВМ, а это означает потенциальный шаринг вашей флешки с ключами на непренадлежащие вам ВМ. Да и в принципе вставить флешку в чужую виртуализацию, считай, передать флешку с ключем первому встречному. С нормативной точки зрения установка виртуального исполнения как мне кажется легитимна только на on prem виртуаализации, хотя и тут надо учитывать нюансы, т.к. опять же админ виртуализации получает доступ к флешке с ключем. Админ виртуализации как правило не наделен полномочиями иметь доступ к ключам. Quote Link to comment Share on other sites More sharing options...
cto_hh Posted January 6, 2023 Report Share Posted January 6, 2023 ключ по идее может быть в памяти контейнера. Пока контейнер с клиентом запущен - туннель до защищённой сети есть. Ключ можно передавать пайпом по ssh, тогда файл с ключом не осядет на диске. Единственное при перезапуске ВМ или краше контейнера с клиентом придётся опять подсовывать ключ, но это решается мониторингом. Quote Link to comment Share on other sites More sharing options...
cto_hh Posted February 26, 2023 Report Share Posted February 26, 2023 в общем нормально клиент випнета в Я.облаке запускается и в кубере тоже. Quote Link to comment Share on other sites More sharing options...
Jump to content
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.