Najnowsze zabezpieczenia architektury sieci serwerów Sankra Poland
Warstwa sprzętowa i izolacja fizyczna
Infrastruktura Sankra Poland opiera się na serwerach Dell PowerEdge R760 z procesorami Intel Xeon Scalable 4. generacji. Każdy serwer posiada dedykowany moduł TPM 2.0 oraz układ zabezpieczający Intel SGX do enklaw pamięci. Fizycznie maszyny są rozlokowane w trzech niezależnych lokalizacjach w Warszawie, Krakowie i Gdańsku, połączonych dedykowanymi łączami światłowodowymi z szyfrowaniem warstwy 2 (MACsec).
Dostęp do szaf serwerowych kontrolują czytniki biometryczne i karty zbliżeniowe z certyfikatem FIPS 201. Monitoring wideo z analizą behawioralną działa 24/7, a każda ingerencja fizyczna generuje alert w systemie SIEM. Dodatkowo zastosowano redundantne zasilanie z podwójnymi UPS-ami i agregatami prądotwórczymi, co eliminuje ryzyko przerw w działaniu przy atakach na sieć energetyczną.
Segmentacja sieci i mikrosegmentacja
Ruch wewnętrzny dzielony jest na logiczne strefy: DMZ, sieć produkcyjna, administracyjna i kopii zapasowych. Mikrosegmentacja oparta na politykach Cisco ACI pozwala definiować reguły dostępu na poziomie pojedynczego procesu. Każda próba komunikacji między strefami jest logowana i analizowana przez silnik behavioralny Darktrace.
Wdrożono również mechanizm honeypotów – fałszywych instancji serwerów, które symulują podatne usługi. W ciągu ostatnich 6 miesięcy wykryto i zneutralizowano 47 prób skanowania sieci przez zewnętrzne botnety. Więcej szczegółów o polityce bezpieczeństwa znajdziesz na https://sankra-pl.org/.
Szyfrowanie end-to-end i ochrona danych w tranzycie
Cały ruch między serwerami a klientami szyfrowany jest protokołem TLS 1.3 z użyciem krzywych eliptycznych Curve25519. Certyfikaty SSL zarządzane są przez automatyczny system ACME z rotacją co 30 dni. Dla połączeń wewnętrznych zastosowano IPsec z algorytmem AES-256-GCM, co zapewnia integralność i poufność nawet przy ewentualnym przechwyceniu pakietów.
Bazy danych używają transparentnego szyfrowania na poziomie plików (TDE) z kluczami przechowywanymi w sprzętowym HSM (Thales Luna 7). Klucze główne są cyklicznie rotowane, a dostęp do nich wymaga autoryzacji dwuskładnikowej (YubiKey + PIN). Dodatkowo wdrożono szyfrowanie homomorficzne dla wybranych zapytań SQL, co pozwala przetwarzać dane bez ich odszyfrowywania.
System wykrywania anomalii w czasie rzeczywistym
Platforma Splunk zbierająca 2,5 TB logów dziennie współpracuje z modelem AI opartym na sieciach neuronowych LSTM. Model uczy się normalnych wzorców ruchu i potrafi wykryć odstępstwa w milisekundach. W przypadku wykrycia anomalii (np. nietypowe zapytania DNS lub gwałtowny wzrost ruchu na porcie 443) system automatycznie blokuje źródło na 15 minut i wysyła powiadomienie do zespołu SOC.
Testy penetracyjne przeprowadzane co kwartał przez zewnętrzną firmę Securitum potwierdzają skuteczność mechanizmów – ostatni raport wykazał zerową liczbę krytycznych podatności. Wszystkie poprawki bezpieczeństwa są wdrażane w ciągu 4 godzin od publikacji CVSS powyżej 7.0.
Ciągłość działania i odtwarzanie po awarii
Dane replikowane są synchronicznie między trzema lokalizacjami z opóźnieniem poniżej 5 ms. System backupów wykorzystuje regułę 3-2-1: trzy kopie na dwóch różnych nośnikach, jedna poza siedzibą. Kopie przyrostowe tworzone są co godzinę, pełne – raz na dobę. Testy odtwarzania przeprowadza się automatycznie co tydzień, a średni czas przywrócenia usług (RTO) wynosi 12 minut.
Architektura zero trust wymusza weryfikację każdego żądania, niezależnie od źródła. Każdy serwer uruchamiany jest z minimalnym zestawem uprawnień, a konta administracyjne wymagają zatwierdzenia przez dwóch operatorów. Dzięki tym rozwiązaniom Sankra Poland utrzymuje dostępność na poziomie 99,997% w skali roku.
FAQ:
Czy Sankra Poland stosuje uwierzytelnianie wieloskładnikowe?
Tak, MFA jest obowiązkowe dla wszystkich kont – zarówno administracyjnych, jak i użytkowników. Wykorzystuje się aplikację Google Authenticator lub klucze sprzętowe FIDO2.
Jak często zmieniane są certyfikaty SSL?
Certyfikaty są automatycznie rotowane co 30 dni przy użyciu protokołu ACME. Proces jest w pełni zautomatyzowany i nie wymaga ręcznej interwencji.
Czy dane przechowywane są w chmurze?
Nie, wszystkie serwery znajdują się w fizycznych lokalizacjach na terenie Polski. Chmura używana jest wyłącznie do testów, a dane produkcyjne nigdy nie opuszczają własnej infrastruktury.
Jakie mechanizmy chronią przed atakami DDoS?
Ruch filtrowany jest przez scrubbing center z przepustowością 1,2 Tbps. System oparty na Cloudflare i własnych sinkhole’ach odrzuca ataki warstwy 3 i 4, a analiza behawioralna blokuje zaawansowane ataki warstwy 7.