Смотреть всё оборудование
Более 10 видов оборудования под ваши задачи
«Более 10 лет помогаем развивать и модернизировать IT-инфраструктуру»
Александр Макаров, Ген директор ТКТД
Заявка на консультацию
Оставьте ваши данные и наши менеджеры свяжуться с вами в ближайшее время
Рейтинг компании
В реестре проверенных поставщиков
В реестре проверенных поставщиков
Подбор сервера базы данных с шифрованием на уровне диска
Кража накопителя из стойки ЦОД или списание сервера с остаточной информацией - прямой путь к утечке персональных данных. Для компаний, оперирующих финансовыми или медицинскими базами, такой инцидент оборачивается проверкой регулятора и крупным штрафом. Шифрование на уровне диска снимает риск физического доступа: на чужом железе накопитель без ключа остаётся бесполезным шумом. Сервер базы данных с шифрованием подбираем под СУБД, ФЗ-152 и ФСТЭК, передаём как готовый комплекс под ключ
Аппаратное шифрование
Подбираем серверные SED-накопители стандарта TCG Opal 2.0 — шифрование выполняет контроллер диска, СУБД работает на полной скорости
Защищённое хранение
Настраиваем модуль TPM 2.0 для безопасного хранения ключей и привязки накопителей к конкретному серверу
TDE-шифрование
Дополняем стек технологией TDE на уровне СУБД (MS SQL, Oracle Advanced Security, Postgres Pro Enterprise) — двойной контур защиты
Соответствие требованиям ФЗ
Закрываем требования ФЗ-152 и 187-ФЗ для значимых объектов КИИ, подбираем оборудование под сертификацию ФСТЭК и сценарий импортозамещения
Бэкап-лента, потерянная при перевозке, или диск из выведенного сервера с медкартами в чужих руках — основание для штрафа Роскомнадзора. Шифрование на уровне диска и связанные средства защиты закрывают сценарий физического доступа
Зачем серверу базы данных шифрование на уровне диска
{ серверные решения }
Технические характеристики и преимущества профессиональных решений
{ характеристики }
Накопители с поддержкой аппаратного шифрования
SED-накопители (Self-Encrypting Drives) шифруют данные на контроллере диска по стандарту TCG Opal 2.0 или FIPS 140-2. Ключ не покидает накопитель, при изъятии диск остаётся нечитаемым. Используем серверные SAS, NVMe и SATA SSD от Samsung, Kioxia и российских производителей из реестра радиоэлектронной продукции Минпромторга
Производительность СУБД при шифровании на лету
SED даёт околонулевую просадку: шифрование на специализированном чипе контроллера. Программный LUKS или BitLocker отнимает 5–15% CPU на интенсивных операциях записи — заметно для высоконагруженных OLTP-баз. TDE на уровне СУБД добавляет ещё 3–7%. На правильно подобранном железе шифрование не выходит за рамки бизнес-требований к отклику
TPM 2.0 — аппаратный модуль доверенной платформы на материнской плате: хранит мастер-ключ, привязывает диски к конкретному серверу. Для парка серверов подключаем внешний KMS (Microsoft Key Vault, HashiCorp Vault) или HSM - централизованное управление ключами, журнал доступа администраторов, escrow-копия для восстановления
Управление ключами: TPM, KMS, HSM
Готовые конфигурации сервера базы данных с шифрованием
{ конфигурации }
1U-платформа на 16 ядрах серверного класса и 64 ГБ ECC
4× SED SSD по 2 ТБ в RAID 10 со стандартом TCG Opal 2.0
TPM 2.0 для хранения мастер-ключа, LUKS-резерв для системного тома
Postgres Pro с pgcrypto или MS SQL Standard с TDE, пусконаладка под ФЗ-152
Базовая конфигурация для среднего бизнеса
2U-платформа на 24 ядрах AMD EPYC и 128 ГБ ECC
8× NVMe SED по 4 ТБ с сертификацией FIPS 140-2 уровень 2
Внешний KMS на отдельном сервере и двухконтурное шифрование (SED + TDE)
Сеть 25 GbE с шифрованным каналом репликации, интеграция с Microsoft Key Vault
Расширенная конфигурация для финтеха и медицинских центров
Кластер из двух узлов на 16–24 ядрах и 128 ГБ ECC
SED-накопители из реестра радиоэлектронной продукции Минпромторга, FIPS 140-2 уровень 3
Сертифицированные СЗИ ФСТЭК и российский HSM для централизованного хранения ключей
Конфигурация под требования 187-ФЗ для значимых объектов КИИ, формуляры и акты включены
Отказоустойчивая конфигурация для государственных учреждений
финтех, медицина или КИИ - от этого зависит уровень защищённости (УЗ-1, УЗ-2) и набор регуляторных требований (ФЗ-152, 187-ФЗ, приказ ФСТЭК №21)
Анализируем сегмент
SED для прозрачной защиты на лету, программный LUKS/BitLocker для серверов на дисках без SED, TDE на уровне СУБД для двойного контура
Выбираем технологию шифрования
На что мы опираемся при проектировании сервера с шифрованием
{ проводим работу в несколько этапов }
тип (NVMe, SAS, SATA), объём, стандарт (TCG Opal 2.0, FIPS 140-2 уровень 2 или 3), производителя из реестра радиоэлектронной продукции Минпромторга
Подбираем накопители
со стеком СУБД и резервного копирования (Veeam, Acronis, российские аналоги), учитываем TDE-поддержку в PostgreSQL/Postgres Pro Enterprise/MS SQL/Oracle
Проверяем совместимость
ротации ключей и плановый тест аварийного восстановления зашифрованной базы из escrow
Закладываем регламент
TPM 2.0 на одном сервере, внешний KMS или HSM для парка, escrow-хранилище для аварийного восстановления
Проектируем управление ключами
Инженеры Serverzilla собирают платформу, прошивают узлы, активируют SED по TCG Opal 2.0, привязывают диски к TPM. Настраиваем TDE на стороне СУБД, проверяем регламент шифрованного резервного копирования. Платформа базируется на наших серверах баз данных - отдельной категории под high-load с поддержкой SED и TDE
Настройка и ввод в эксплуатацию
При расширении парка серверов переводим управление ключами на внешний KMS или HSM - на одной площадке держим до 50 серверов под единым журналом доступа. Конфигурация наращивается памятью, NVMe SED и сетевыми портами без остановки СУБД и перевыпуска ключей
Масштабирование при росте парка серверов
Инженеры следят за статусом TPM, состоянием SED-накопителей и актуальностью ключевого материала. Раз в год - тест аварийного восстановления: ключи поднимаются из escrow, диски расшифровываются на резервной площадке. Под требования ФСТЭК оформляем формуляры, акты и оборудование информационной безопасности по 187-ФЗ для значимого объекта КИИ
Мониторинг, ротация ключей и аудит
Технический сервис и внедрение под ключ
{ сервисное обслуживание }
Специалисты Serverzilla подготовят конфигурацию с SED-накопителями, TPM и TDE под вашу СУБД, рассчитают двухконтурное шифрование и подберут оборудование под сертификацию ФСТЭК
Получите расчёт сервера с шифрованием за 1 рабочий день
{ свяжитесь с нами }
Часто задаваемые вопросы (FAQ)
{ FAQ }
Аппаратное SED выполняет специализированный чип контроллера накопителя - нагрузки на CPU нет, ключ не попадает в оперативную память. LUKS и BitLocker шифруют файловую систему силами процессора и отнимают 5–15% на OLTP. SED безопаснее, но требует совместимых дисков.
На SED просадка околонулевая. Программное шифрование снижает производительность на 5–15%. TDE на уровне СУБД добавляет 3–7%. На правильно подобранной платформе шифрование не выходит за рамки SLA по времени отклика.
TPM 2.0 на материнской плате - стандарт для одного сервера. Для парка серверов используем внешний KMS или HSM. Для государственных систем - российский HSM с сертификацией ФСТЭК. В критичных конфигурациях ключи дублируются в escrow-хранилище.
Да, для значимых объектов КИИ собираем сервер из реестра радиоэлектронной продукции Минпромторга, СЗИ - сертифицированные ФСТЭК, СУБД из реестра отечественного ПО. Решение проходит требования 187-ФЗ, ФЗ-152 и приказ ФСТЭК №21.