Руководство для параноика: защищаем базу 1С на VDS
Когда думаешь о том, что данные твоей фирмы будут «лежать»
Шаг 1: изменяем пароль CloudAdmin
Платформа Xelent сообщает клиенту пароль административного пользователя CloudAdmin в панели управления сервером — сделано это для удобства.
Рис. 1. Пароль пользователя. Любителям подключаться к чужим серверам: данный VDS удален сразу после написания этой статьи!
Но настоящий параноик не будет спокойно спать, если
Рис. 2. Воспользуйтесь ссылкой Изменить пароль для смены пароля учетной записи
После изменения пароля закройте окно RDP, смените пароль в настройках удаленного подключения и снова подключитесь к серверу.
Шаг 2: используем прозрачное шифрование для защиты базы 1С
Для защиты личных данных можно использовать контейнеры — виртуальные зашифрованные диски. Такие контейнеры можно создать программами вроде VeraCrypt (форк популярного TrueCrypt). Но на сервере использовать контейнеры не очень удобно, поскольку виртуальный диск нужно смонтировать, прежде чем можно будет получить доступ к информации на нем.
А если виртуальный сервер с 1С выключают на ночь для экономии средств, то это означает, что админ должен утром успеть подмонтировать контейнер — до того момента, как пользователи начнут обращаться к базе.
Выход есть — прозрачное шифрование. При этом файлы зашифровываются и расшифровываются «на лету» — в процессе работы с ними. Файлы остаются зашифрованными, а пользователи и программы работают с ними, как с обычными файлами. Например, если зашифровать папку 1c_base, то 1С даже не поймет, что база зашифрована. Зато данные на диске виртуальной машины будут зашифрованы. Войти сотрудники провайдера тоже не смогут, ведь пароль вы сменили.
В Windows традиционно для организации прозрачного шифрования используется шифрованная файловая система — EFS (Encrypting File System).
EFS предназначена, чтобы один пользователь не мог получить доступ к файлам (зашифрованным) другого пользователя. Зачем нужно было создавать EFS, если NTFS поддерживает разграничение прав доступа? Хотя NTFS и является довольно безопасной файловой системой, но со временем появились различные утилиты, игнорирующие права доступа NTFS. Появилась необходимость в дополнительной защите. Такой защитой должна была стать EFS. Мы же будем ее использовать для защиты данных от якобы нечестных сотрудников облачного провайдера.
EFS удобна тем, что входит в состав Windows и для шифрования файлов вам не нужно
Чтобы зашифровать файлы не нужно совершать
Включить шифрование очень просто: откройте свойства папки, в которой находится база 1С, на вкладке Общие нажмите кнопку Другие и включите атрибут Шифровать содержимое для защиты данных (рис. 3).
Рис. 3. Включение шифрования EFS
Конечно, у нашего решения есть недостатки. Первый — это то, что пользователи должны работать под одной учетной записью — под той, которую вы использовали для шифрования каталога с базой 1С. Второй — теоретически есть возможность расшифровки файлов программами вроде Advanced EFS Data Recovery, но на практике оказалось, что результаты работы этой программы не такие уж и хорошие — достаточно установить сложный пароль, чтобы программа не справилась со своей задачей.
Приведенное решение — не панацея, но оно позволяет существенно обезопасить хранимые на виртуальном сервере данные.
