INOVENTICA Первый ИТ-оператор России

О компании Группа компаний INOVENTICA:Группа компаний INOVENTICA: первый в России ИТ- оператор, реализующий проекты по построению публичных, гибридных и частных «облаков» в национальном масштабе за счет обеспечения доступа к единому пулу распределенных информационно- вычислительных ресурсов компаний Группы и ее партнеров на базе собственной ИКТ-инфраструктуры. Миссия:Миссия: мы создаем коммуникационную среду для внедрения инноваций будущего, которые сделают жизнь людей лучше. Стратегические цели:Стратегические цели: ТОП-10 операторов магистральной инфраструктуры I место в России на рынке дистрибуции «облачных» сервисов ТОП-3 на рынке решений для вертикально- интегрированных компаний 2 – 3 место на рынке решения для органов государственной власти

Структура Группы компаний Inoventica ЗАО «Коммуникации для инноваций» ООО «Иновентика технолоджес» ООО «Гарант-Парк-Интернет»

MSK-IX KZN-IX RND-IX NSK-IX EKT-IX OMSK-IX SMR-IX KRS-IX ИКТ-инфраструктура: основные характеристики

Казань Москва Существующая архитектура доставки контента через Интернет как Public Cloud ( на примере направления Москва – Казань ) км (х 2) Показатель Текущее значение Целевое значение RTD176 мс 6,8 мс RTDD± 30 мс± 1 мс QoSBest Effort Real Time Доступность сервисан/дн/д 99,995% % потерянных пакетов 5 – 7%0,1% Количество HOPs Доля «телекома» в стоимости сервиса /1 Мбит/c 30 – 50%5 – 10% Показатели доставки сервиса 1. RTD (round-trip delay time) – круговая задержка 2. RTDD (round-trip delay time deviation ) – девиация круговой задержки Tier 1 Tier 2 Tier n Архитектура доставки Tier n

InoSphere информационная система управления «облачной» ИКТ- инфраструктурой

Широкий выбор пред настроенных возможностей: Различные способы тарификации оказываемых услуг; Интеграция с платежными системами; Интеграция с бухгалтерской системой 1С v8 (Парус, Небо и др); Интеграция с популярными системами обработки заявок (Service-desk). Гибкий и многофункциональный интеграционный интерфейс (API); 100% охват задач и бизнес-процессов при предоставлении ИКТ-услуг; Упрощенная схема обслуживания системы; Контроль ИКТ-инфраструктуры на уровне: Сервисов – прикладное ПО; Ресурсов – IP-адресов, доменов, маршрутизаторов, серверов и т.д. Удаленный контроль над ресурсами. Проведение проверок : программного обеспечения и серверного оборудования; требований законодательства; Мобильное приложение. Преимущества системы InoSphere

BPE Runa WFE ЛК абонента ЛК сотрудника Инвентори Биллинг NetUP UTM5 (сертификат) Provisioning API

Система управления облачной ИКТ-инфраструктурой InoSphere

Процесс в Runa WFE

Многоуровневая схема Ядро системы ЦОД 1 ЦОД 2 ЦОД 3 Партнёр 1 Партнёр 2 Абонент

Система защиты от сетевых атак invGuard

Проблематика Атаки направлены на публичные информационные ресурсы, системы самообслуживания и торговые площадки Атаки становятся сложнее и происходят чаще: –используются многочисленные поведенческие алгоритмы –эмулируются действия легитимных пользователей с использованием распределенных бот-сетей и уязвимостей –взломы систем сопровождаются «шумом» –скорость «нападения» возрастает, что затрудняет «ручное» подавление Обнаружение атак «классическими» средствами защиты (межсетевые экраны, системы обнаружения вторжений и др.) становится труднее или невозможным

Две основных цели атак Второй тип атаки: Злоумышленник отправляет системе данные или пакеты, которые она не ожидает, и это приводит к остановке системы или к ее перезагрузке. Первый тип DDoS-атаки приводит к переполнению системы или локальной сети при помощи огромного количества информации, которую невозможно обработать или пропустить по каналу связи.

Системы защиты от сетевых атак, применяемые в РФ (Программно-аппаратные комплексы) Arbor Peakflow SP Radware DefensePro ПериметрinvGuard Тип системы Вне каналаВ канале Вне канала Масштабируе-мость Более 2 Тбит/с До 80 Гбит/с До 2 Тбит/с Центр компетенции ASERTERTМФИ Софт Иновентика технолоджес Страна СШАИзраиль Россия Платформа Собственная Сервера HP Сервера РАМЭК (сертифицированные) Операционная система Собственная ОС Debian ОС РОСА (сертифицированная) Сертификация ФСТЭК Нет, невозможна Нет, потребуется изменение архитектуры заявка принята, проводится экспертиза Применение Ростелеком, Мега Фон, КОМКОР, МТС и др. МТС, Вымпелком и др. Мега Фон, Ростелеком Parking.ru MTT, АЛС и ТЕК и 16 комплексов в тестовой экспо.

Система защиты от сетевых атак Предназначен: Для операторов связи Для центров обработки данных Для построения услуг «защита-как-сервис» Для корпоративных заказчиков Система (один комплект) состоит из двух устройств: invGuard AS (Анализатор) invGuard CS (Очиститель) Масштабируемость системы: Несколько invGuard AS, работающих совместно Несколько invGuard CS, работающих параллельно Производителем серверного оборудования для Системы invGUARD является ЗАО «РАМЭК-ВС»

Система защиты от сетевых атак invGUARD Система анализа трафика: до 1 Тбит/с, BGP, SNMP, NetFlow Система очистки трафика: до 20 Гбит/с до 60 млн.пакетов/с Система «все-в- одном»: анализ до 10 Гбит/с, BGP, SNMP, NetFlow, очистка до 1 Гбит/с, до 1,5 млн.пакетов/с Система очистки трафика: до 1 Гбит/с до 1,5 млн.пакетов/с Интеграция / внедрение систем Техническая поддержка

Преимущества системы защиты от сетевых атак invGUARD 100% отечественная разработка с использованием сертифицированной до уровня «С» ОС РОСА; Возможность без переделок использовать комплекс в телекоммуникационных системах с высокими требованиями к охране тайны и прямая интеграция с системами спец потребителей; Наличие низкоскоростного (до 10Гбит/с) программного (аппаратно- независимого) решения; Соответствие требованиям к Национальному центру угроз (МСЭ); Централизованная система управления обнаружением и очисткой трафика; Использование доверенного оборудования (серверов) с проведением проверок на отсутствие НДВ в спец. лаборатории; Программный комплекс полностью задокументирован и проходит сертификацию ФСТЭК по отсутствию НДВ; Гибкость решения – соответствует разным требования заказчиков и может быть адаптирован в сети с любой топологией; Масштабируемость; Возможность экспресс-доработки под нужды заказчика; Внедрение, поддержка и сопровождение российскими специалистами; Относительно низкая стоимость владения решением; Компактность Системы.

Система защиты от сетевых атак invGuard производит анализ и очистку трафика прямо в сети, без передачи трафика во вне invGuard устанавливается параллельно каналу, и через очистку трафик проходит при подозрениях на атаку – система не влияет на скорость передачи данных в сети invGuard использует современные эвристические алгоритмы для предотвращения атак на ранних этапах invGuard очищает трафик от подозрительного трафика на скорости до 20 Гбит/с (60 млн пакетов/с) и способна анализировать трафик со скоростью до 600 Гбит/с

Система защиты от сетевых атак Предназначен: Для операторов связи Для центров обработки данных Для построения услуг «защита-как-сервис» Для корпоративных заказчиков Система (один комплект) состоит из двух устройств: invGuard AS (Анализатор) invGuard CS (Очиститель) Масштабируемость системы: Несколько invGuard AS, работающих совместно Несколько invGuard CS, работающих параллельно Производителем серверного оборудования для Системы invGUARD является ЗАО «РАМЭК-ВС»

Функционал системы Постоянный мониторинг и анализ трафика «Очистка» входящего трафика, с использованием статистических моделей трафика и сигнатурной пакетной «очистки» трафика Подавление внешних сетевых атак на защищаемые сегменты сети, в т.ч. без воздействия на трафик, относящийся к защищаемым сегментам сети Обеспечение функционирования защищаемых сегментов сети при реализуемых угрозах безопасности, направленных на отказ в обслуживании защищаемых сегментов сетей и/или информационных систем (DoS/DDoS-атаки) Централизованное управление сбором, анализом сетевых данных и процессом подавления атак Разбор трафика прикладных протоколов для подавления атак, связанных с воздействием на веб-интерфейсы и прикладную часть информационных систем Формирование отчетов по различным разрезам собираемой информации о защищаемых сетях и информационных системам

Мы умеем обнаруживать: DDoS-атаки ICMP flood SYN flood UDP flood IP-спуфинг TCP-авторизация DNS-авторизация BGP аномалии Подделка BGP Нестабильность BGP Нарушение политик BGP SNMP аномалии Атаки на инфраструктуру сети Детекция широковещательных пакетов Сетевые черви Зомби Сети ботов (Botnet) «Тёмные» IP Фишинг Man-in-the-Middle Peer-to-peer соединения Атаки по протоколам и портам Атаки на «объем» Атаки на приложения

Техническое решение

Статистический анализ трендов трафика на объектах сети –Трафик сети, сетевого оборудования, объектов –Отклонение от тренда –Авто-определение порогов –Выявление периодичности Отслеживание состояния –Статистика ошибок –Загрузка/недогрузка –Доступность Изменение поведения –Изменение количества принимаемых/отправляемых данных –Использование новых протоколов, сервисов, портов –Обращение на новые хосты, малоиспользуемые хосты Сигнатурный анализ Использование эвристических методов Анализ времени существования пакетов (TTL) Способы обнаружения

Подавление атак Управление списками контроля доступа (ACL) –фильтр доступа роутера –возможность задания детальных параметров фильтра: порты, флаги, адреса, протоколы, прочее –шейпинг трафика BGP Black-hole –блокировка трафика путём изменения next-hop для заданного префикса, в том числе на NULL маршрут –настройка параметров BGP update: флаги, сообщества, прочее –продолжительность фильтрации BGP flowspec –динамическая фильтрация трафика на роутерах на основе фильтра, передаваемого через BGP –параметры фильтра: получатели, отправители, протоколы, порты, флаги, размер пакета, фрагментация, DSC, прочие –белый/черный списки –шейпинг трафика

Подавление атак SYN авторизация –блокировка TCP пакетов, не прошедших механизм установки TCP соединения –авторизация соединений, авторизация хостов DNS авторизация –блокировка пакетов с поддельных исходящих адресов путём аутентификации соединений каждого DNS запроса –черный/белый списки, глобальный фильтр –задание фильтра на основе языка сигнатур Обнаружение Zombie –фильтрация по количеству соединений, количеству запросов на соединения, количеству трафика Простаивающие TCP сессии –идентификация и закрытие «подвисших» соединений –сборка TCP сессий Обеспечение правильной последовательности TCP фрагментов от клиента к серверу Авто-подавление атак: активация фильтрации по событию выявления атаки Детальная статистика подавления атаки Сбор дампов «сырого» трафика

Контроль состояния сети Состояние сети в реальном времени Просмотр всех установленных соединений как в реальном времени, так и час / день / месяц / год назад Количество переданных / полученных байт / пакетов для каждого TCP соединения Скорость передачи для каждого TCP соединения Статистика использований портов, протоколов, информация об установленных сервисах Статистика ошибок, потерь пакетов Загрузка маршрутизаторов Информирование об изменении структуры сети Детальная информация об атаке

Интерфейс пользователя Просмотр отчетов, управление настройками, просмотр происходящих атак и подавление

Характеристики системы Производительность –Очистка трафика до 20 Гбит/с –Анализ трафика до 600 Гбит/с Протоколы, стандарты –NetFlow v5, v9, v10 (IPFIX) –BGP v4 –SNMP v2,v3 Интерфейсы –Анализатор: 1GE, 10Gbps SFP+ –Очиститель: 10Gbps SFP+ оптический интерфейс Аппаратная платформа –x86 Операционная система –ROSA SX «Хром» или «Кобальт»

ОС «РОСА» ОC РОСА «ХРОМ» сертифицированная ФСТЭК России по 4 классу защищенности от НСД, 3-му классу от НДВ используется госструктурами и промышленными предприятиями, работающими с органами государственной власти. Рекомендуется для работы с государственной тайной. Может использоваться в автоматизированных системах уровня не выше 1В. ОC РОСА "КОБАЛЬТ" сертифицирована ФСТЭК России по 5 классу защищенности от НСД, 4-му классу от НДВ используется коммерческими структурами, промышленными предприятиями и органами государственной власти, работающими с конфиденциальной информацией, включая персональные данные. Может использоваться в автоматизированных системах уровня не выше 1Г.

Дополнительные возможности Высокоскоростная обработка трафика Возможность глубокого анализа IP-трафика Распараллеливание вычислений между модулями системы Накопление информации об атаках в БД Возможность оценки качества предоставляемых услуг – Услуги сети для клиентов провайдера – Услуги, предоставляемые клиентами провайдера для посетителей Генерация отчетов о состоянии сети, сводки по аномалиям трафика

Ключевые преимущества Децентрализация ИКТ-ресурсов за счет широкой географии присутствия Повышение качества доступа к облачным ИКТ- ресурсам за счет минимизации задержек и % потерянных пакетов Оптимизация операционных затрат на управление и экспоуатацию ИКТ-инфраструктуры, на защиту от DDoS-атак Повышение лояльности аудитории за счет высокого качества и доступности сервиса / ресурса

Группа Компаний «ИНОВЕНТИКА» Россия, , г.Москва, 3-й Сыромятнический пер., д.3/9 тел./факс: +7 (495)