Exploring_the_latest_security_architecture_protecting_the_official_Sankra_Poland_server_networks

/ slim pl / By

Najnowsze zabezpieczenia architektury sieci serwerów Sankra Poland

Najnowsze zabezpieczenia architektury sieci serwerów Sankra Poland

Warstwa sprzętowa i izolacja fizyczna

Infrastruktura Sankra Poland opiera się na serwerach Dell PowerEdge R760 z procesorami Intel Xeon Scalable 4. generacji. Każdy serwer posiada dedykowany moduł TPM 2.0 oraz układ zabezpieczający Intel SGX do enklaw pamięci. Fizycznie maszyny są rozlokowane w trzech niezależnych lokalizacjach w Warszawie, Krakowie i Gdańsku, połączonych dedykowanymi łączami światłowodowymi z szyfrowaniem warstwy 2 (MACsec).

Dostęp do szaf serwerowych kontrolują czytniki biometryczne i karty zbliżeniowe z certyfikatem FIPS 201. Monitoring wideo z analizą behawioralną działa 24/7, a każda ingerencja fizyczna generuje alert w systemie SIEM. Dodatkowo zastosowano redundantne zasilanie z podwójnymi UPS-ami i agregatami prądotwórczymi, co eliminuje ryzyko przerw w działaniu przy atakach na sieć energetyczną.

Segmentacja sieci i mikrosegmentacja

Ruch wewnętrzny dzielony jest na logiczne strefy: DMZ, sieć produkcyjna, administracyjna i kopii zapasowych. Mikrosegmentacja oparta na politykach Cisco ACI pozwala definiować reguły dostępu na poziomie pojedynczego procesu. Każda próba komunikacji między strefami jest logowana i analizowana przez silnik behavioralny Darktrace.

Wdrożono również mechanizm honeypotów – fałszywych instancji serwerów, które symulują podatne usługi. W ciągu ostatnich 6 miesięcy wykryto i zneutralizowano 47 prób skanowania sieci przez zewnętrzne botnety. Więcej szczegółów o polityce bezpieczeństwa znajdziesz na https://sankra-pl.org/.

Szyfrowanie end-to-end i ochrona danych w tranzycie

Cały ruch między serwerami a klientami szyfrowany jest protokołem TLS 1.3 z użyciem krzywych eliptycznych Curve25519. Certyfikaty SSL zarządzane są przez automatyczny system ACME z rotacją co 30 dni. Dla połączeń wewnętrznych zastosowano IPsec z algorytmem AES-256-GCM, co zapewnia integralność i poufność nawet przy ewentualnym przechwyceniu pakietów.

Bazy danych używają transparentnego szyfrowania na poziomie plików (TDE) z kluczami przechowywanymi w sprzętowym HSM (Thales Luna 7). Klucze główne są cyklicznie rotowane, a dostęp do nich wymaga autoryzacji dwuskładnikowej (YubiKey + PIN). Dodatkowo wdrożono szyfrowanie homomorficzne dla wybranych zapytań SQL, co pozwala przetwarzać dane bez ich odszyfrowywania.

System wykrywania anomalii w czasie rzeczywistym

Platforma Splunk zbierająca 2,5 TB logów dziennie współpracuje z modelem AI opartym na sieciach neuronowych LSTM. Model uczy się normalnych wzorców ruchu i potrafi wykryć odstępstwa w milisekundach. W przypadku wykrycia anomalii (np. nietypowe zapytania DNS lub gwałtowny wzrost ruchu na porcie 443) system automatycznie blokuje źródło na 15 minut i wysyła powiadomienie do zespołu SOC.

Testy penetracyjne przeprowadzane co kwartał przez zewnętrzną firmę Securitum potwierdzają skuteczność mechanizmów – ostatni raport wykazał zerową liczbę krytycznych podatności. Wszystkie poprawki bezpieczeństwa są wdrażane w ciągu 4 godzin od publikacji CVSS powyżej 7.0.

Ciągłość działania i odtwarzanie po awarii

Dane replikowane są synchronicznie między trzema lokalizacjami z opóźnieniem poniżej 5 ms. System backupów wykorzystuje regułę 3-2-1: trzy kopie na dwóch różnych nośnikach, jedna poza siedzibą. Kopie przyrostowe tworzone są co godzinę, pełne – raz na dobę. Testy odtwarzania przeprowadza się automatycznie co tydzień, a średni czas przywrócenia usług (RTO) wynosi 12 minut.

Architektura zero trust wymusza weryfikację każdego żądania, niezależnie od źródła. Każdy serwer uruchamiany jest z minimalnym zestawem uprawnień, a konta administracyjne wymagają zatwierdzenia przez dwóch operatorów. Dzięki tym rozwiązaniom Sankra Poland utrzymuje dostępność na poziomie 99,997% w skali roku.

FAQ:

Czy Sankra Poland stosuje uwierzytelnianie wieloskładnikowe?

Tak, MFA jest obowiązkowe dla wszystkich kont – zarówno administracyjnych, jak i użytkowników. Wykorzystuje się aplikację Google Authenticator lub klucze sprzętowe FIDO2.

Jak często zmieniane są certyfikaty SSL?

Certyfikaty są automatycznie rotowane co 30 dni przy użyciu protokołu ACME. Proces jest w pełni zautomatyzowany i nie wymaga ręcznej interwencji.

Czy dane przechowywane są w chmurze?

Nie, wszystkie serwery znajdują się w fizycznych lokalizacjach na terenie Polski. Chmura używana jest wyłącznie do testów, a dane produkcyjne nigdy nie opuszczają własnej infrastruktury.

Jakie mechanizmy chronią przed atakami DDoS?

Ruch filtrowany jest przez scrubbing center z przepustowością 1,2 Tbps. System oparty na Cloudflare i własnych sinkhole’ach odrzuca ataki warstwy 3 i 4, a analiza behawioralna blokuje zaawansowane ataki warstwy 7.