Запросить демо
Я подтверждаю свое согласие на обработку компанией КРОК моих персональных данных, указанных в форме, в целях и пределах, установленных законодательством РФ о персональных данных в рамках проводимых мероприятий в течение неопределенного срока
Дополнительные услуги
Узнать стоимость
Я подтверждаю свое согласие на обработку компанией КРОК моих персональных данных, указанных в форме, в целях и пределах, установленных законодательством РФ о персональных данных в рамках проводимых мероприятий в течение неопределенного срока
Дополнительные услуги
Попробовать бесплатно
Я подтверждаю свое согласие на обработку компанией КРОК моих персональных данных, указанных в форме, в целях и пределах, установленных законодательством РФ о персональных данных в рамках проводимых мероприятий в течение неопределенного срока
Дополнительные услуги

Облако для телеком

Облачные услуги КРОК на базе технологий Cisco — эффективное решение для создания отказоустойчивой виртуальной ИТ-инфраструктуры Вашего бизнеса:

  • услуги построены на проверенных производителем архитектурах и открытых стандартах;
  • КРОК как провайдер облачных услуг Cisco отвечает самым строгим квалификационным требованиям. 

Виртуальный дата-центр (IaaS)

Облачная платформа КРОК позволяет разворачивать решения Cisco, для внедрения которых предъявляются особые требования к программной и аппаратной среде. Компания КРОК сертифицирована как Cisco Service Provider — это означает, что заказчик может перейти непосредственно к установке решения в облаке, минуя этапы согласования архитектуры и закупки оборудования Cisco.


Решения, для которых подходит облако КРОК:

  • платформа унифицированных взаимодействий Cisco UC, или Cisco Unified Communications Manager
  • облачный call-центр Cisco Hosted Collaboration Solution (HCS)
  • облачная система TelePresence

Заказчики, уже использующие решения Cisco для своего бизнеса, могут перенести их в облако КРОК и использовать «as a service», а также тиражировать на своих сотрудников и клиентов. Заказчики, которые хотят впервые развернуть решения Cisco также могут воспользоваться Cisco Powered IaaS.

Помимо этого, Cisco Powered IaaS может взаимодействовать с глобальными облаками (Amazon, Microsoft) и другими сервис-провайдерами Cisco.


Подробнее об услуге Cisco Powered IaaS:


Управление сервисами бизнес-коммуникаций (Managed Business Communications)

Система Бизнес-коммуникаций (Business Communications) – это корпоративное решение для совместной работы, которое позволяет объединить между собой электронную почту, протокол голосовой связи через Интернет (VoIP), обмен мгновенными сообщениями, аудио-, видеоконференцсвязь на единой программно-аппаратной платформе Cisco Unified Communications.

Компания КРОК Облачные сервисы обеспечивает функционирование, осуществляет администрирование и поддержку технических возможностей, модулей, сервисов и оборудования, интегрированных в Business Communications:


Базовые возможности IP-телефонии:
  • функция удержания вызова;
  • функция видео-звонков;
  • настраиваемая переадресация вызовов между абонентскими устройствами;
  • ручной перевод звонка между абонентскими устройствами;
  • подключение дополнительных участников в аудиоконференцию.
Абонентское оборудование:
  • IP-телефон, в том числе с возможными опциями подключения гарнитуры и организации видео-звонка;
  • ПК на базе ОС Windows или OS X;
  • ноутбук на базе ОС Windows или OS X;
  • планшет на базе ОС Android или iOS;
  • смартфон на базе ОС Android или iOS.
Способы коммуникаций:
  • мгновенные сообщения;
  • видео-звонки между абонентами;
  • CSF-приложения (Cisco Jabber);
  • голосовые почтовые сообщения (Instant Messaging, Voice Mail) на базе: Unity Connection и Microsoft Exchange.
Сервис голосовой почты:
  • запись голосовых сообщений для отправки;
  • архивирование записанных сообщений для последующей отправки;
  • отправка сообщения нескольким адресатам;
  • приоритезация сообщения с помощью тегов;
  • визуальная индикация о появлении новых сообщений;
  • выбор сообщения для прослушивания;
  • прослушивание аудиозаписей с помощью корпоративного почтового клиента;
  • голосовое управление системой voicemail.
Модуль индикации присутствия и обмена мгновенными сообщениями (Presence and IM)

Функционал модуля:

  • индикация присутствия;
  • обмен мгновенными сообщениям (чат) между сотрудниками;
  • постоянные каналы общения (persistent chat);
  • чат на мобильных и персональных устройствах.

Индикация присутствия позволяет определить доступен ли абонент для общения и выбрать наиболее удобный для него способ связи: почтовое или мгновенное сообщение, аудио/видеозвонок и т.д. Это значительно сокращает время на взаимодействие между сотрудниками компании, повышает оперативность принятия решений. Функция обмена мгновенными сообщениями является дополнительным эффективным каналом коммуникации, позволяющем оперативно передавать файлы и совместно просматривать документы.

 
Мобильное рабочее место сотрудника

Одно из преимуществ системы Business Communications — возможность организовать рабочее место в любой точке мира на мобильном устройстве, для этого достаточно пройти процедуру аутентификации, подтвердив свою учетную запись с помощью sms-сообщения на корпоративный телефонный номер.

Функционал мобильного рабочего места:

  • переадресация звонка со стационарного телефона на мобильное устройство;
  • обмен мгновенными сообщениями и индикация доступности сотрудника;
  • удаленное подключение через VPN туннели;
  • управление стационарным телефоном с мобильного рабочего места.

Решение поддерживается на смартфонах с функцией Dual-mode, на базе iOS и Android.


Управление сервисами информационной безопасности (Cisco Powered Managed Security)


КРОК Облачные сервисы предлагает своим заказчикам широкий спектр решений, направленных на обеспечение безопасности сетевой инфраструктуры. В состав услуги по управлению сервисами информационной безопасности (Cisco Powered Managed Security) входит установка и конфигурирование следующих компонентов системы информационной безопасности:

  • межсетевые экраны;
  • система обнаружения вторжения.
Преимущества услуги по управлению сервисами информационной безопасности (Cisco Powered Managed Security):
  • быстрое развертывание и настройка услуги;
  • возможность гибкого масштабирования услуги под меняющиеся требования заказчика;
  • отсутствие расходов на поддержку и сервис;
  • использование проверенных и сертифицированных решений для обеспечения безопасности.

Межсетевые экраны:

В качестве программного обеспечения выступают устройства компании Cisco c модулями межсетевого экранирования, каждый из которых осуществляет обработку мульти-протокольного трафика на скорости 10 Гбит/с. Для повышения отказоустойчивости работы серверных приложений используется дублирование шасси устройств и модулей. Все интер- и интра шасси модули межсетевых экранов Cisco объединяются в кластер. Кластер интерфейсы соединяются с коммутаторами ядра сети Заказчика по технологии Etherchannel. Для взаимодействия участников кластера между собой используется изолированная VLAN сеть, которая объявляется как на модулях межсетевого экранирования, так и на устройствах ядра сети. Все участники кластера находятся в активном режиме балансируя проходящий трафик между собой. При выходе из строя одного из шасси Cisco ASA, трафик прозрачно переходит на рабочее шасси Cisco ASA; при выходе из строя одного из модулей ASA трафик переадресовывается на менее загруженный работоспособный ASA модуль одного из шасси Cisco ASA тем самым обеспечивая высокую доступность и избыточность сетевых сервисов.


Прохождение трафика через кластер устройств ASA

В момент выхода из строя одного из модулей кластера, все последующие пакеты переадресовываются оставшимся модулям, балансируя нагрузку между собой. Для трафика используются 10 Гбит/с интерфейсы, которые также соединяются с коммутаторами ядра сети, используя технологию Etherchannel по протоколу LACP, согласно рекомендациям производителя. Кластеризация межсетевых экранов обеспечивает высокую избыточность и агрегированную пропускную способность. Так один модуль осуществляет обработку трафика на скорости 10 Гбит/с в мульти протокольной режиме, а кластер модулей межсетевых экранов в целом обеспечивает скорость до 28 Гбит/с.

Межсетевой экран выполняет маршрутизацию трафика, используя статическую маршрутизацию и динамическую маршрутизацию EIGRP. Сеть доступа каждой системы доступна через соответствующий интерфейс VLAN коммутатора ядра. Межсетевой экран защищает внутреннюю сеть Заказчика от неавторизованного доступа и различного рода атак. С целью анализа настраивается инспекция трафика на уровне приложений (Application Inspection). Весь трафик, который проходит через межсетевой экран анализируется с помощью адаптивного алгоритма безопасности.

В рамках анализа трафика межсетевой экран также может выявлять угрозы безопасности сети предприятия.


Средствами межсетевого экрана обеспечивается следующий функционал:

Поддержка Network Address Translation (NAT)

Позволяет заказчику использовать неуникальные адреса и скрывать своё внутреннее адресное пространство за одним или несколькими публичными адресами. Таким образом, у атакующего нет возможности получить доступ к этим устройствам, узнав приватный адрес. Также сервис NAT позволяет приватной ip сети (local unicast) получать доступ в интернет оттранслировав адреса в ip-header. 

Поддержка De-Militarized Zone (DMZ)

Данный сервис используется, когда заказчику необходимо защитить серверы, опубликованные в интернете. Обычно сеть разделена на различные сегменты, каждый со своим уровнем защиты. Например, внутренняя зона имеет наивысший уровень защиты, а интернет — наименьший. Стандартная политика защиты разрешает подключения изнутри-наружу, но не наоборот. Пользователи внутреннего и внешнего интерфейса должны иметь доступ к серверам, находящимся в DMZ сегменте, который обычно имеет средний уровень защиты, т.е. ниже, чем у внутреннего интерфейса, но выше чем у внешнего. DMZ не может инициировать сессию во внутреннюю сеть.

Поддержка stateful firewall inspection

Stateful firewall inspection отслеживает состояние трафика или соединений, чтобы в свою очередь разрешить легитимного трафику «прийти» из интернета в корпоративную сеть. Это обеспечивается за счет мониторинга установленных сессий изнутри-наружу и только в этом случае обратные пакеты могут вернуться. Проверяется не только уровень, с которого пришёл пакет, но также состояние трафика и соединений. Пример этому, механизм TCP, когда при установлении сессии посылается SYN,в ответ приходит SYN-ACK, если сессия установлена.

Поддержка authentication proxy

Опция, позволяющая сетевым администраторам в случае необходимости создать политики безопасности (индивидуальные для каждого пользователя), позволяющие предоставить доступ к сети только после прохождения аутентификации. Если аутентификация не пройдена или подгружаемые правила для данного пользователя не разрешают специфичный трафик, то пользователь не получит доступ к запрашиваемому ресурсу.

Поддержка transparent firewall

При необходимости внедрения межсетевых экранов без нарушения маршрутизации (т.е. межсетевые экраны должны быть прозрачными и не требовать изменения настроек остального оборудования). Для этого межсетевые экраны поддерживают специальный режим прозрачности, единственным условием которого является то, что входящий и исходящий интерфейсы для трафика должны быть различными. 

Поддержка stateful inspection для зашифрованного трафика

Если для предоставления внешних сервисов используется шифрование (VPN или HTTPS), межсетевой экран не увидит содержимое трафика. Для проверки трафика на соответствие политикам безопасности используется специальный дизайн, позволяющий сначала произвести дешифровку трафика (VPN- или SSL-decryption). В случае необходимости трафик можно снова зашифровать и переслать дальше.

Идентификация пользователей и обеспечение доступа

Межсетевой экран отслеживает состояние сессий и их количество. Это гарантирует защиту от переполнения памяти устройства и от повышенной загрузки CPU (как межсетевого экрана, так и конечных устройств). Листы ограничения доступа (ACL) позволяют сегментировать пользователей при работе с ресурсами (как внешним, так и внутренним), а применение технологии раздельного туннелирования описывает правила, по которым следует шифровать/не шифровать пользовательский трафик.

Контроль приложений

Технология инспектирования содержимого пакетов позволяет межсетевому экрану обнаруживать трафик систем передачи мгновенных сообщений и точка-точка, а также блокировать его при необходимости. Содержимое пакетов проверяется на соответствие заголовков пакетов их наполнению для известных форматов (HTTP, SMTP и т.д.) и если, например, внутри пакета TCP/80 присутствует не HTTP трафик, а другой, или заголовок HTTP не корректно сформирован, то такой трафик отбрасывается, чтобы исключить влияние такого нежелательного трафика на сервер. 

Inspect Internet Control Message Protocol (ICMP)

Межсетевые экраны способны отслеживать работу протокола ICMP. В частности ICMP ответы извне будут разрешены только в том случае, если был послан запрос изнутри, при этом будут ожидаться только пакеты echo-reply, time-exceeded, destination unreachable и timestamp reply.

Блокировка Java

Технология инспектирования содержимого пакетов позволяет межсетевому экрану обнаруживать Java в HTTP трафике. Так как выполнение кода Java может нанести вред, то можно сбросить трафик HTTP с Java кодом, чтобы исключить влияние такого нежелательного трафика на сервер или на конечного пользователя.

Контроль Session Initiation Protocol (SIP)

Межсетевой экран инспектирует содержимое SIP-пакетов, отвечающих за сигнализацию голосового трафика. Так как заголовок SIP-пакета содержит информацию об IP-адресах участников, а прохождение через NAT меняет только заголовки IP-пакета, то прохождение через NAT нарушает работу SIP. Контроль SIP позволяет менять заголовок SIP-пакета и проверять его на корректность и соответствие RFC.

Поддержка протокола H.323

Инспектирование протоколов SCCP и H.323 позволяет контролировать работу сигнализации и медиа-трафика. Это позволяет выполнять подмену IP-адресов в заголовках пакетов, а также динамически открывать разрешающие правила для медиа-трафика, если в сигнализации обнаружена инициализация голосового трафика.

Отказоустойчивость межсетевых экранов

Для обеспечения отказоустойчивости на аппаратном уровне используется решение High Availability, позволяющее резервному межсетевому экрану подменить вышедший из строя активный межсетевой экран, при этом вся информация о состоянии сессий активного межсетевого экрана постоянно реплицируется на резервный, что позволяет не сбрасывать текущие сессии и не переустанавливать их заново.

Резервное копирование конфигурации

Межсетевой экран имеет возможность экспортировать конфигурацию оборудования не только локально на flash, но и на внешнее хранилище. Также для восстановления системы имеется возможность импорта с внешней системы хранения конфигурации. Для экспорта и импорта поддерживаются протоколы TFTP, FTP, HTTP, HTTPS, SCP.

Система обнаружения вторжения

Средствами системы обнаружения вторжений обеспечивается следующий функционал:

Возможности обнаружения вторжений

Если говоря про межсетевой экран мы говорим про организацию доступа к тем или иным ресурсам на основании правил доступа с обеспечением безопасности, то говоря про IPS мы говорим о поведенческом анализе трафика, а именно: работа вирусов, червей, бот-сетей, шпионского ПО, СПАМ-рассылки и т.д. Так как любое вредоносное ПО имеет характерное поведение, которое можно описать неким шаблоном, то IPS как раз занимается обнаружением трафика, соответствующего подобным шаблонам, заранее описанных в системе (такие шаблоны называются сигнатурами).

Профилирование сервиса

Так как проверка трафика на сигнатуры является ресурсоемким процессом, то правильным подходом является анализ сети заказчика и трафика в сети, определение необходимости включения тех или иных сигнатур. Так, например, если протокол SMTP запрещен для выхода изнутри по правилам доступа, то нет смысла проверять весь трафик на сигнатуры SMTP. Или, если конечные устройства Заказчика используют только ОС Linux, то нет смысла проверять трафик на уязвимости Windows.

Мониторинг вторжений

Для описания поведения вредоносного ПО в сигнатурах используются так называемые движки, отвечающие за принципиально разное поведение данного ПО. Выбор корректного движка при описании сигнатуры определяет, как именно будет отслеживаться трафик: по содержимому одного пакета, по набору символов, присутствующему в наборе пакетов, по количеству конечных устройств, участвующих в обмене трафиком, по направлению атаки и т.д. При срабатывании сигнатуры генерируется сообщение с информацией о типе угрозы и ее рейтинге.

Управление сигнатурами

База сигнатур постоянно обновляется с сайта Cisco.com, достаточно подписаться на обновление. Можно написать собственную сигнатуру, описывающую поведение трафика с использованием одного из движков. Сигнатуры можно включать/выключать, менять реакцию в случае срабатывания (оповещать, сбрасывать, выполнять TPC reset, менять содержимое и пр.).

Обработка инцидентов

Поведение некоторого ПО направлено на продолжительность действий или на группу конечных устройств. В этом случае, если одна и та же угроза повторится 100 раз в течение некоторого времени или будет направлена на 100 конечных устройств, то IPS определит это как 100 срабатываний сигнатур. Такое поведение усложняет анализ проблемы и увеличивает количество сообщений в журнале. Для избежания избыточности сообщений используется функционал суммаризации (Summarizer) и генерации метасобытий (Meta Event Generator). Суммаризатор генерирует только 1 событие, в котором сообщается о количестве аналогичных срабатываний, а генератор метасобытий позволяет объединить несколько событий в одно. Например, если сработали сигнатуры A, B, C и D, и все они описывают работу одного и того же вируса, который работает используя различные технологии, то будет создано только одно событие E=A+B+C+D, описывающее групповое поведение данных сигнатур.

Резервирование IPS

Так как IPS является независимым модулем в Cisco ASA и отказ в работе данного модуля может вызвать прекращение передачи трафика, то разработан специальный механизм, при котором активная Cisco ASA отслеживает состояние модуля IPS и в случае его отказа переходит на резервную Cisco ASA с рабочим IPS модулем. Это позволяет избежать потерь данных в случае нарушения работы IPS.

Услуга аварийного восстановления ЦОД — Disaster Recovery as a Service (DRaaS)

Сервис DRaaS обеспечивает катастрофоустойчивость ИТ-сервисов и гарантирует непрерывность работы ИТ-инфраструктуры заказчика. Решение построено на базе Cisco Powered IaaS и развёрнуто на нескольких облачных площадках, объединенных оптическими каналами связи, а также имеющими выход на магистральные узлы связи М9 и М10.

Сервис DRaaS — это не просто резервирование виртуальных машин, а обеспечение их доступности благодаря репликации данных на уровне гипервизора с использованием решения от компании Zerto.

На данный момент компания КРОК владеет тремя собственными дата-центрами:

  • ЦОД «Волочаевская-1»;
  • ЦОД «Волочаевская-2»;
  • ЦОД «Компрессор».

В двух из них расположены кластеры облачной платформы. Дата-центр Компрессор является одной из трёх сертифицированных по Tier III Uptime institute площадок в России.

Преимущества DRaaS:
  • быстрое развертывание услуги, настройка сервиса;
  • возможность гибкого управления количеством защищаемых ресурсов;
  • использование DRaaS измеряется и оценивается на основе задействованных вычислительных ресурсов;
  • применение перекрестной репликации;
  • 2 режима резервного перекрестного копирования;
  • защита от стороннего внедрения внешних систем и сбоев;
  • миграция отдельных виртуальных машин и блоков данных между несколькими ЦОД для обеспечения отказоустойчивости.
Состав услуги:
  • резервная площадка для репликации пользовательских данных;
  • связь между центрами обработки данных (основного ЦОД заказчика и ЦОД КРОК как резервного);
  • управляемая репликация данных и состояния виртуальных серверов (snapshot) в резервный ЦОД через определяемый контрактом промежуток времени;
  • восстановление образа виртуального сервера в резервном ЦОД в обозначенные контрактом сроки;
  • техническая и консультационная поддержка в течение срока соглашения с заказчиком.
Связь
01
У вас похожая задача?
Свяжитесь с нами
Светлана Врублевская
Руководитель направления сервисного обслуживания телекоммуникационного оборудования
Я подтверждаю свое согласие на обработку компанией КРОК моих персональных данных, указанных в форме, в целях и пределах, установленных законодательством РФ о персональных данных в рамках проводимых мероприятий в течение неопределенного срока