Системные требования#
Настройки безопасности окружения и перечень платформенных (дополнительных внешних) продуктов, используемых для установки, настройки и контроля в конечной информационной системе (далее — ИС), выбираются клиентом при разработке конечной ИС, исходя из характера обрабатываемой в ней информации и иных требований информационной безопасности (далее — ИБ), предъявляемых к ней.
Системное программное обеспечение#
Ниже представлены категории системного программного обеспечения (далее — ПО), которые обязательны или опциональны для установки, настройки, контроля и функционирования компонента. В каждой категории перечислены все поддерживаемые продукты сторонних правообладателей. Отдельно обозначены варианты, которые рекомендует АО «СберТех» (маркировка «Рекомендовано» в столбце «Продукт, функциональная совместимость с которым подтверждена»).
Клиенту необходимо выбрать один из продуктов в каждой категории, исходя из условий использования конечной ИС.
Категория ПО |
Обязательность установки (да/нет) |
Наименование ПО |
Версия |
Продукт, функциональная совместимость с которым подтверждена |
Описание |
|---|---|---|---|---|---|
Операционная система |
Да |
ALT Linux («Альт Сервер Виртуализации») |
10.0 |
Рекомендовано. Правообладателем АО «СберТех» также рекомендована операционная система Platform V SberLinux OS Server, см. раздел «Платформенные зависимости» |
ОС контейнеров для запуска модулей компонента |
Red Hat Enterprise Linux |
8.5 |
Опционально |
|||
РЕД ОС |
7.3 |
Опционально |
|||
Microsoft Windows |
10 |
Опционально (при использовании клиентского приложения) |
|||
Среда контейнеризации |
Да |
1.22.2 |
Рекомендовано. Правообладателем АО «СберТех» также рекомендована среда контейнеризации, основанная на Kubernetes, – Platform V DropApp (K8S), см. раздел «Платформенные зависимости» |
Платформа контейнеризации для запуска компонентов сервиса |
|
Red Hat OpenShift |
4.8 |
Опционально |
|||
Система управления базами данных (СУБД) |
Да |
PostgreSQL |
11, |
Рекомендовано. Правообладателем АО «СберТех» также рекомендована СУБД, основанная на PostgreSQL, – Platform V Pangolin SE, см. раздел «Платформенные зависимости» |
ПО, взаимодействующее с конечными пользователями, приложениями и базой данных для сбора и анализа данных |
Cервис хранения данных метрик |
Нет |
VictoriaMetrics |
1.52 |
Рекомендовано |
Хранилище сервисных метрик и метрик наблюдаемых БД |
Promscale |
0.10.0 |
Опционально |
|||
Система сбора и хранения логов |
Нет |
Elasticsearch |
7.17 |
Рекомендовано |
Хранилище сервисных логов |
Сервис интеграции и оркестрации микросервисов в облаке |
Да |
2.0 |
Рекомендовано. Правообладателем АО «СберТех» также рекомендован Platform V Synapse Service Mesh, основанный на Istio, см. раздел «Платформенные зависимости» |
Сервис интеграции микросервисов в облаке |
|
Web-сервер |
Да |
Nginx |
1.22.1 |
Рекомендовано. Правообладателем АО «СберТех» также рекомендован Web и обратный прокси сервер на базе Nginx – Platform V SynGX, см. раздел «Платформенные зависимости» |
HTTP-сервер для хранения ресурсов |
Браузер |
Да |
Яндекс |
19 и выше |
Рекомендовано |
Прикладное ПО для взаимодействия с продуктом |
Google Chrome |
107 и выше |
Опционально |
|||
SberBrowser |
7.1 и выше |
Опционально |
|||
Система защиты для web-приложений |
Да |
Keycloak |
14.0.0 |
Рекомендовано. Правообладателем АО «СберТех» также рекомендован Platform V IAM SE, основанный на Keycloak, см. раздел «Платформенные зависимости» |
IDP - провайдер, выполняющий функции управления доступа пользователей/клиентов(приложений), а также функции аутентификации/авторизации с помощью различных протоколов, таких как OAuth2.0, OIDC, SCIM |
Система управления секретами |
Да |
HashiCorp Vault |
1.7.0 |
Рекомендовано |
Система управления аутентификационными данными сервисных аккаунтов или учетных записей |
Secret Management System (SecMan) |
1.7.0 |
Опционально |
|||
Система визуализации данных |
Нет |
Grafana |
9.3.0 |
Рекомендовано |
Система визуализации данных |
Система визуализации данных |
Нет |
Kiali |
1.24.3 |
Рекомендовано |
Система визуализации данных для Service Mesh |
Примечание:
*:
Да — категория ПО обязательна для функционирования сервиса (это означает, что сервис не может выполнять свои основные функции без установки данной категории ПО).
Нет — категория ПО необязательна для функционирования сервиса (это означает, что сервис может выполнять свои основные функции без установки данной категории ПО).
**:
Рекомендовано — рекомендованный правообладателем АО «СберТех» продукт.
Опционально — альтернативный по отношению к рекомендованному правообладателем АО «СберТех» продукт.
Платформенные зависимости#
Для настройки, контроля и функционирования компонента реализована интеграция с программными продуктами, правообладателем которых является АО «СберТех»:
Наименование продукта |
Код |
Версия продукта |
Код и наименование компонента |
Обязательность установки (да/нет) |
Описание |
Аналог других производителей |
|---|---|---|---|---|---|---|
Platform V DevOps Tools |
DOT |
1.4.2 |
DTDS Delivery Tools |
Да |
Сервис для сборки дистрибутива командами разработки и его распаковки внешними заказчиками |
Нет |
Platform V SberLinux OS Server |
SLO |
8.7 |
INST Операционная система |
Да |
ОС контейнеров для запуска модулей компонента |
ALT Linux («Альт Сервер Виртуализации») 10.0, |
Platform V SynGX |
SNX |
1.3.0 |
SNGX Веб-сервер и обратный прокси-сервер SynGX |
Да |
Web и обратный прокси сервер на базе Nginx с дополнительным функционалом обеспечения надежности, мониторинга и удобства использования |
Nginx 1.22.1 |
Platform V Pangolin SE |
PSQ |
4.X.Y, |
PSQL Platform V Pangolin |
Да |
ПО, взаимодействующее с конечными пользователями, приложениями и базой данных для сбора и анализа данных |
PostgreSQL 11, 13 |
Platform V IAM SE |
IAM |
1.5.0 |
AUTH IAM Proxy |
Да |
Система управления идентификации и доступом |
Любой OID-провайдер |
KCSE KeyCloak.SE |
Да |
IDP – провайдер, выполняющий функции управления доступа пользователей/клиентов (приложений), а также функции аутентификации/авторизации с помощью различных протоколов, таких как OAuth2.0, OIDC, SCIM |
KeyCloak 9.0.3.Х |
|||
Platform V Audit SE |
AUD |
2.3 |
AUDT Аудит |
Нет |
Сервис для аудирования событий |
Сервис успешно прошел испытания и подтвердил свою работоспособность с компонентом AUDT. С аналогами других производителей не тестировался |
Platform V Monitor |
OPM |
4.0.2 |
LOGA Журналирование |
Нет |
Сервис для хранения лог-файлов |
Любой сервис сбора записей о событиях, совместимый с fluent-bit 4.0, например: Elasticsearch, InfluxDB |
MONA Объединенный мониторинг Unimon |
Нет |
Сервис для сбора прикладных и инфраструктурных метрик и отправки их в целевую систему хранения |
Prometheus 2.31.Х |
|||
Platform V Backend |
#BD |
4.3.1 |
OTTS One-Time Password (OTP) / OTT |
Нет |
Сервис для аутентификации и авторизации межсервисных взаимодействий |
Сервис успешно прошел испытания и подтвердил свою работоспособность с компонентом OTTS. С аналогами других производителей не тестировался |
Platform V Synapse Service Mesh |
SSM |
2.10 и выше |
POLM Управление политиками |
Да |
Сервис для автоматизированной рассылки конфигураций политик управления трафиком, политик безопасности и прочих управляющих команд для сервисов IGEG (Граничный прокси) и SVPX (Сервисный прокси) |
Istio 2.0 |
Platform V DropApp |
K8S |
1.1 |
K8SC K8S Core |
Да |
Дистрибутив Kubernetes со встроенными механизмами мультитенантности и бессерверным исполнением |
Kubernetes 1.22.2, |
Примечание:
***:
Да — компонент или продукт необходим для функционирования сервиса (это означает, что сервис не может выполнять свои основные функции без установки данного компонента).
Нет — необязательный для функционирования сервиса компонент или продукт (это означает, что сервис может выполнять свои основные функции без установки данного компонента).
****: Рекомендуется установка программного продукта, правообладателем которого является АО «СберТех», при этом не исключена возможность (допускается правообладателем) использования аналога других производителей. Аналоги, в отношении которых продукт успешно прошел испытания и подтвердил свою работоспособность, указаны в разделе «Системное программное обеспечение».
Аппаратные требования#
Требования к КТС#
Требования к Kubernetes/Platform V DropApp#
Для установки Kintsugi минимальные характеристики проекта: 40 CPU / RAM 60 Гб.
Для Istio минимальные характеристики проекта: 10 CPU / RAM 30 Гб.
Требования к Red Hat OpenShift#
Для установки Kintsugi минимальные характеристики проекта: 40 CPU / RAM 60 Гб.
Для Istio минимальные характеристики проекта: 10 CPU / RAM 30 Гб.
Требования к СУБД#
Для БД с хранилищем метрик:
Конфигурация |
ОС |
ПО |
|---|---|---|
CPU — 8 |
ALT Linux 10.0, Red Hat Enterprise Linux 8, Platform V SberLinux OS Server 8.7 |
Platform V Pangolin SE 5.X.Y |
Примечание:
* Минимальный объем дискового пространства для хранения данных о метриках ~660 экземпляров СУБД с глубиной хранения 24 часа.
Для БД с метаданными:
Конфигурация |
ОС |
ПО |
|---|---|---|
CPU — 4 |
ALT Linux 10.0, Red Hat Enterprise Linux 8, Platform V SberLinux OS Server 8.7 |
Platform V Pangolin SE 4.X.Y, 5.X.Y |
Рекомендуемые настройки безопасности окружения#
Общие указания#
Для реализации функций безопасности среды функционирования Platform V Kintsugi рекомендуется обеспечить выполнение следующих условий:
регулярное обновление всех сред функционирования Platform V Kintsugi до актуальных версий с применением всех необходимых патчей безопасности с официальных сайтов разработчиков сред функционирования, либо приняты организационно-технические меры, направленные на исключение возможности эксплуатации уязвимостей;
предотвращение несанкционированного доступа к идентификаторам и паролям администраторов среды виртуализации, которые необходимы для управления и технической поддержки среды функционирования Platform V Kintsugi;
установка, конфигурирование и управление Platform V Kintsugi выполняются в соответствии с эксплуатационной документацией;
предотвращение несанкционированного доступа к идентификаторам и паролям пользователей Platform V Kintsugi.
Kubernetes/Platform V DropApp#
Ниже приведен рекомендуемый (необязательный) список требований безопасности к среде исполнения приложений Kubernetes/Platform V DropApp. Исполнение остается на усмотрение администраторов среды функционирования:
обеспечьте установку обновлений безопасности для элементов среды исполнения;
обеспечьте регулярную синхронизацию времени от доверенных источников;
отключите или удалите все неиспользуемые и ненужные пакеты, модули, сервисы и протоколы;
измените, переименуйте или заблокируйте все встроенные учетные записи, включая учетную запись локального администратора (суперпользователя);
обеспечьте разграничение доступа учетных записей пользователей и технологических учетных записей в соответствии с ролевой моделью доступа;
включите и настройте механизм шифрования административного доступа;
контролируйте и ограничивайте вызов компонентов в целях предотвращения атак типа «отказ в обслуживании» — DoS/DDoS prevention;
контролируйте использование компонентами технических ресурсов, чтобы обеспечить непрерывное функционирование среды исполнения;
защищайте используемые в средах исполнения секреты от компрометации, модификации и удаления;
используйте инструмент для безопасного хранения и доступа к различным секретам (пароли, токены и сертификаты);
обеспечьте поведенческий анализ с целью выявления несанкционированного доступа, превышения полномочий, наличия недекларированных возможностей путем анализа запущенных процессов: взаимодействие, использование портов, ресурсов файловой системы;
для обеспечения аутентифицированного доступа к Platform V Kintsugi и шифрования передаваемых данных, настройте TLS 1.2 (версия не должна быть ниже) на ingress и egress средствами Kubernetes/Platform V DropApp.
Поддерживаемой системой приложений-контейнеров является Kubernetes/Platform V DropApp (использование Red Hat OpenShift опционально), в инструкциях по настройке, в именах переменных и параметрах системы могут встречаться названия систем контейнеризации, которые одинаковы и применимы для всех текущих сред контейнеризации.