Задача: хранить в офисе минимально возможные данные.

Имеем 3 "пустых" компьютера, которые через RDP соединяются с центральным компом, который физически находится в другом месте. При появлении людей в форме, RDP закрывается и предоставляется к проверке "чистый" компьютер. Вся бухгалтерия, и прочие файлы физически становятся недоступны.

Вопрос 1: Как бекапить данные на центральном компе? RAID или в облако? В идеале конечно RAID+облако

Вопрос 2: Какая минимальная скорость отдачи должна быть на человека на центральном компе для комфортной работы?

Схема в первую очередь направлена не на уход от лицензирования ПО, а как мера защиты от недобросовестной конкуренции.

ага и из облака ваши данные спокойно утекают в уполномоченные органы =)
бекапить нада на свой сервер но в другом месте, лучше даже в другом здании или районе.

Реализовано примерно на 10 человек подобное. на серваке 100мб.с хватает по горло, 5 компов сидит на укртелекоме 20мб.сек хватает, остальные клиенты на 100мб.сек.
Бекапить можно в облако но архивировать его и навешивать сверхзлобный пароль но лучше куда то подальше на свои ресурсы. Да и в настройках безопасности если стоит винда то надо запретить сохраненные пароли в ярлыках РДП. Запретить долгие открытые сесии РДП, установить политику более злобных паролей и их повторения. Ну и для масок шоу запаролить жесткий диск на серваке что бы после какой то попытки подключится тер данные или рушился (у контробандистов на офисе такое видел).

рдп если использовать то только последние версии с настроенным шифрованием. А лучше пробрасывать через ssh.

LaYt написал(а):

ага и из облака ваши данные спокойно утекают в уполномоченные органы =)
бекапить нада на свой сервер но в другом месте, лучше даже в другом здании или районе.


Ну если на mail cloud лить то да, но вроде альтернатив достаточно.

я не доверяю облакам контроль за которыми не у меня. Все зарубежные облака мониторятся АНБ. ну а наши понятно кем.

Бекапить можно хоть на Я.диск, предварительно зашифровав данные. RAID - это отказоустойчивость, это не бекапы, не думаю что вам нужна отказоустойчивость для 3х пользователей.

Вероятно любая. Хотя если у вас каждый из 3х пользователей будет видео заливать на сервер, то можете попробовать посчитать.

1) Согласен, но хотелось бы, как минимум, RAID 1 - зеркалирование
2) Бухгалтера и делопроизводство

И чем вы собрались шифровать?

LaYt написал(а):

И чем вы собрались шифровать?


А вот это вопрос декабря

Настраивал что-вроде такого.
Суть: на серваке два диска(массива) - один шифрованый, другой нет. В рабочем режиме работает шифрованый диск. В нештатной ситуации он отключается, и все пользователи видят данные нешифрованого диска. Для людей из вне ничего подозрительного, если грамотно всё настроить.

У меня организовано примерно такое на raid 1. Бэкап на облако не сделал чисто из-за того, что не очень то и нужно (информация на данном серваке не сильно важная)
По скорости: при 1 мегабите RPD на семёрке работал довольно сносно это если графику не тягать. А при бухгалтерских делах хватит даже 256-512 кбит

Andrus написал(а):

Реализовано примерно на 10 человек подобное. на серваке 100мб.с хватает по горло, 5 компов сидит на укртелекоме 20мб.сек хватает, остальные клиенты на 100мб.сек.
Бекапить можно в облако но архивировать его и навешивать сверхзлобный пароль но лучше куда то подальше на свои ресурсы. Да и в настройках безопасности если стоит винда то надо запретить сохраненные пароли в ярлыках РДП. Запретить долгие открытые сесии РДП, установить политику более злобных паролей и их повторения. Ну и для масок шоу запаролить жесткий диск на серваке что бы после какой то попытки подключится тер данные или рушился (у контробандистов на офисе такое видел).


Ну мои пять копеек.
1. Сверзлобные пароли не рулят и не будут рулить. Ибо для большинства работников, как только появляется пароль с длиной больше 4 знаков или же не содержащий "фамилию в девичестве" или "кличку любимого котика", то тут же появляется бумаженция, приклеенная на монитор, лежащая под клавиатурой, вставленная в клавиатуру (нужное подчеркнуть), и тогда смысл в этом пароле.
2. При таком "сливе" узнать где стоит сервер (по IP) не проблема, далее наряд по тому адресу и прощай сервер. Если же сервер не в нашей стране, то тогда геммор работать, в большинстве своем, т.к. есть клиенты, у которых сервера за бугром, так вот более менее нормально могут работать те, кто арендует сервера в датацентрах.
3. В случае датацентра использовать можно будет только лишь программные варианты шифрования.
4. По шифрованию я бы выбрал следующее - есть шифрованный диск (раздел), и есть два разных варианта его подключения. Вариант
а) нам нужный для проверки - при его подключении есть только "правильные данные" и пароль на него знает, к примеру, админ или директор, которым они и поделятся в случае использования метода ректального криптоанализа
и б) тот же самый шифрованный диск, но в случае уже именно правильного пароля, он подключается уже с нашими рабочими данными. Если форматнуть раздел, который и так просит форматнутся или иницилизироватся, то хана всему, изменить конфигурацию компа - опять хана, ввести еще один специальный пароль - опять хана. Если ввести "нужный" пароль - смотрите как у нас все хорошо, а вот уже действительно правильный пароль дает возможность видеть рабочие данные. При перезагрузке сервера мы опять же видим только "правильные" данные (диск / раздел)



LaYt написал(а):

рдп если использовать то только последние версии с настроенным шифрованием. А лучше пробрасывать через ssh.


Тут мы только сможем уберечься от "прослушки" трафика, что собственно только лишь немного увеличит дискофорт от работы, в случае зарубежных датацентров и/или нахождения сервера за бугром.



LaYt написал(а):

я не доверяю облакам контроль за которыми не у меня. Все зарубежные облака мониторятся АНБ. ну а наши понятно кем.


Согласен. Сам не люблю облака и еже с ними (т.к. параноик немного). С бэкапами - на удаленный еще один сервер, либо на свое облачное решение, либо же на фтп внешку опять же. Тут собственно нет разницы особой как говорится, лишь бы человек был хороший.... вернее лишь бы был бы сервер, на который будет намного тяжелее дотянутся всяким не хорошим редискам, кем бы они не были

Вспомнилась старая история с башорга, описывающая реализацию защиты от масок-шоу:
1) пустые компы с подключенной сеткой
2) сервак в фургончике на подземной стоянке, куда выведена одна LAN-розетка
В случае масок-шоу фургончик просто уезжает

А еще на одном из офисов стояла спец-штуковина по генерации электромагнитного сигнала с кнопкой у глав.дира. ПО нажатию на кнопку раздавался ДЗЫНЬ и все винты на офисе размагничивались. Бэкап сливался ежедневно на отдельный диск и увозился личным шофером в неизвестном направлении