Infraestrutura e Segurança

INFRAESTRUTURA E SEGURANÇA

Infraestrutura e Segurança

Os pilares fundamentais dos nossos serviços e da nossa plataforma

Na Jotelulu sabemos que a segurança é essencial.

Conhecemos a importância dos sistemas para os nossos clientes, e é por isso que a nossa prioridade é proteger a infraestrutura, plataforma e serviços. Trabalhamos continuamente em diferentes áreas e níveis de proteção para manter e aumentar os nossos padrões de qualidade e segurança.

Os nossos Centros de Processamento de Dados

A plataforma e a infraestrutura da Jotelulu estão alojadas em data centers de última geração, escolhidos com base em critérios rígidos de segurança, qualidade, eficiência e conectividade.

Mais especificamente, em centros de dados europeus como o Digital Realty (anterior Interxion) e Equinix. Estes são considerados CPDs de referência a nível internacional e provavelmente encontram-se entre os mais avançados até à data. Além disso, são data centers neutros e contam uma ampla gama de conectividade, permitindo oferecer uma maior redundância e disponibilidade em termos de conexão.

Assim, os nossos data centers contam com rigorosas medidas de segurança relacionadas com o acesso físico, condições ambientais e fornecimento de energia, garantindo assim que o nosso serviço tenha uma ótima qualidade.

SEGURANÇA FÍSICA

O acesso aos CPDs é controlado por pessoal de segurança 24 horas por dia, 7 dias por semana, conta com sistema de videovigilância e o acesso é restrito, apenas permitido com autorização prévia.

Medidas de segurança:

Segurança 24 horas por dia.
Gravação contínua 24/7.
Detetor de metais e torniquetes de acesso ao Datacenter.
Câmaras nas portas de acesso e corredores (externos e internos).

Controlo de acesso:

5 camadas de segurança física (acesso ao perímetro, edifício, salas técnicas, racks)

CONTROLOS AMBIENTAIS

Os equipamentos de TI são mantidos e monitorizados em ambientes controlados com SLAs de temperatura e humidade:

Refrigeração contínua (24h).
Equipamento de Ar Condicionado Redundante.
Temperatura 21°C e humidade relativa 50%.

Da mesma forma, todos os servidores estão protegidos contra incêndios através de um sistema de supressão projetado para extinguir qualquer incêndio em segundos e sem resíduos:

Detetores de fumo
Arranque automático de sistemas de extinção
Botões manuais de arranque/paragem de emergência em todas as divisões.
Detetores óticos e iónicos com sistema VESDA
Sistema de alarme monitorizado 24 horas por dia, 7 dias por semana.

ENERGIA

Os data centers onde a Jotelulu aloja a sua infraestrutura estão equipados com conexões redundantes à rede elétrica e geradores cinéticos a gasóleo dimensionados para suprir as necessidades energéticas de todo o edifício e de toda a infraestrutura.

DATA CENTERS CERTIFICADOS POR NORMAS INTERNACIONAIS:

Arquitetura Redundante

Na Jotelulu implementámos uma arquitetura 100% redundante, para que uma falha específica de um componente não afete o funcionamento normal da plataforma e dos serviços.

NÓS DE COMPUTAÇÃO

Cada Host possui fontes de alimentação duplas, cada uma conectada a um segmento elétrico diferente do data center. Todos os equipamentos que compõem a infraestrutura possuem, no mínimo, duas conexões de rede altamente disponíveis (LAG), e cada conexão de rede vai para um switch diferente, para que uma falha num switch não implique uma interrupção do serviço. A memória RAM utilizada nos nossos Hosts é ECC, que nos protege contra corrupção de dados e possíveis falhas.

Também contamos com hipervisores em N x 1,25, para que exista espaço suficiente para suportar falhas de 25% dos mesmos. No caso de uma falha do hipervisor, os servidores nele alojados são iniciados automaticamente noutros hipervisores.

ARMAZENAMENTO

A Jotelulu oferece armazenamento altamente disponível que combina clusters de armazenamento com espelhamento síncrono para fornecer uma recuperação transparente de falhas.

Com este sistema de armazenamento redundante conseguimos:

Maior proteção contra falhas de hardware, rede ou instalações.
Eliminar o tempo de inatividade e a gestão de alterações.
Atualizar hardware e software sem interromper as operações.

REDE DE DADOS

Temos vários circuitos 10G com diferentes fornecedores de rede do centro de dados, o que significa que um problema com um fornecedor nunca afeta a conectividade.

Os links de agregação multi-chassis formam a espinha dorsal da rede dentro do CPD. Estes links fornecem redundância e escalabilidade, evitando loops.

Cada data center possui 2 routers de fronteira que facilitam a conexão com a Internet e outros centros. Mais atrás estão os switches para agregação da camada 3, os da camada 2 e, finalmente, os switches de acesso, aos quais os nós de computação estão conectados.

Todos os switches lógicos são formados em pares por uma questão de redundância e são conectados a todos os dispositivos através de links agregados multi-chassis, compostos por duas ou mais conexões 10G ou 40G. Esta tipologia evita o risco de formação de loops na camada 2.

Segurança Perimetral e Anti-DDOS

A infraestrutura da Jotelulu possui sistemas Anti-DDOS que previnem e filtram ataques de negação de serviço, mantendo os servidores sempre disponíveis.

O nosso sistema Anti-DDOS está estruturado em diversas linhas de filtragem e deteção, o que nos permite rastrear e diferenciar pequenos ataques (de algumas centenas de Mbps) de outros ataques de milhares de Gbps.

IDS/IPS

O nosso sistema de deteção de intrusão (IDS) é o programa que nos permite detetar o acesso não autorizado à nossa infraestrutura. Existe uma avaliação da intrusão quando ocorre e é gerado um alarme. O IDS é acompanhado por uma ferramenta de prevenção de ataques chamada IPS, que rastreia de forma contínua e proativa o tráfego de rede suspeito ou inusual.

Os sistemas IDS/IPS não conseguem parar os ataques e precisam de ferramentas adicionais, como Firewalls, para auxiliar nos processos de bloqueio.

FILTRAGEM E BLOQUEIO NOS NOSSOS FIREWALLS DE PERÍMETRO

As nossas firewalls de perímetro analisam continuamente o tráfego que chega aos nossos data centers e bloqueiam o tráfego claramente malicioso, para que não entre no centro de dados. Ao mesmo tempo, também analisam o volume de tráfego que cada máquina recebe, para poder ter controlo sobre o tráfego recebido em cada servidor e detetar possíveis ataques DDoS.

SSD y NVMe (NetApp)

Para garantir a mais alta disponibilidade, na Jotelulu usamos apenas unidades de estado sólido (SSD e NVMe) da mais alta gama (sistemas all-flash NetApp).

A utilização deste tipo de discos Enterprise procura, entre outras coisas:

DESEMPENHO ELEVADO E CONSISTENTE

Ao usar armazenamento all-flash da NetApp, o nosso objetivo é oferecer um desempenho excelente de forma constante, independentemente da carga de trabalho do disco ou da ocupação do disco.

PROTEÇÃO DE DADOS

O sistema all-flash da NetApp oferece uma camada extra de proteção sobre os dados de forma integrada. Replicação síncrona, encriptação integrada, proteção WORM ou autenticação multifator são algumas das vantagens que os nossos sistemas de armazenamento apresentam e que nos ajudam a manter os dados essenciais disponíveis, protegidos e seguros.

Dupla Autenticação e Dados Encriptados

A segurança no acesso e gestão de dados é algo que levamos muito a sério na Jotelulu. Desta forma, foi implementado um poderoso sistema de encriptação de dados e ainda processos de dupla autenticação.

AUTENTICAÇÃO DUPLA

A autenticação de dois fatores é um método de controlo de acesso que exige, para aceder ao sistema, a apresentação de duas provas diferentes que confirmem a identidade do utilizador.

Desta forma, na Jotelulu reforçamos o acesso à plataforma e ao portal com a possibilidade de implementação de dupla autenticação (2FA) através de um token de acesso gerado num dispositivo móvel. O token gerado pelo software específico é um número de seis dígitos que o utilizador deve fornecer, além do seu nome de usuário e da password para aceder aos serviços da Jotelulu.

DADOS ENCRIPTADOS

A encriptação é um processo de codificação de informação. Este processo converte a representação da informação original (texto simples) numa forma alternativa conhecida como texto cifrado ou encriptado, que apenas as partes autorizadas podem desencriptar. Desta forma, quem não tiver as chaves corretas não poderá aceder à informação contida.

Os serviços da Jotelulu utilizam diferentes sistemas de codificação e encriptação para a gestão e transferência de informação, oferecendo uma camada adicional de proteção contra possíveis ataques.

Monitorização 24/7

A Jotelulu dispõe de um sistema de monitorização e alertas 24 horas por dia, 7 dias por semana, que lhe permite controlar continuamente o estado de todo o sistema (tanto da infraestrutura como dos restantes subsistemas), de forma a garantir a fiabilidade e estabilidade dos serviços e da plataforma. Isto permite-nos avaliar a saúde e o desempenho de todo o sistema.

O nosso sistema de monitorização 24 horas por dia, 7 dias por semana, é baseado na recolha de métricas, assim como processamento e visualização de dados, juntamente com o estabelecimento de regras e alertas. O objetivo final é informação imediata e fiável sobre possíveis sintomas de risco ou mau funcionamento após uma queda ou tempo de inatividade.

Políticas de Backup e Restauros

O backup é uma cópia dos dados originais que é feita para dispor de forma de os recuperar em caso de perda. Os backups são extremamente úteis em diferentes situações, por isso na Jotelulu estabelecemos diferentes políticas e tipos de backups, dependendo do serviço.

POLÍTICA DE BACKUP NO AMBIENTE DE TRABALHO REMOTO E SERVIDORES

Os serviços Ambiente de Trabalho Remoto e Servidores possuem uma política de backup baseada em instantâneos de disco (NetApp) com a seguinte programação fixa e pré-estabelecida:

A cada hora [últimas 5 horas]
Todos os dias [últimos 14 dias às 00:10]
Todas as semanas [últimas 8 semanas – domingos às 00:15]

Além disso, os utilizadores poderão realizar backups manuais, semanais (com retenção máxima de até 24 semanas) ou mensais (com retenção máxima de até 24 meses). Estas cópias são feitas na plataforma de orquestração IaaS e são baseadas em instantâneos de disco.

A restauração de backups está disponível online na secção correspondente dentro da plataforma.

VSS (Volume Shadow Copy Service):

Shadow Copy é uma tecnologia que permite criar cópias de backup, instantâneos de arquivos ou volumes no servidor de forma oculta, podendo ser realizados mesmo quando estão em uso. Esta opção só está disponível por defeito para servidores do serviço Ambiente de Trabalho Remoto, no volume C:\

Por padrão, está configurado para fazer 2 cópias por dia e reserva 7% do volume para essa finalidade.

POLÍTICA DE BACKUP NO SERVIÇO ARMAZENAMENTO NA NUVEM

O serviço Armazenamento na Nuvem possui uma política de backup pré-estabelecida e comum para todos os utilizadores no nível granular e de forma encriptada.

A política de backup é a seguinte:

Frequência de backups: 1 cópia por dia

Retenção de backups:

A cada hora [últimas 5 horas]
Todos os dias [últimos 14 dias às 00:10]
Todas as semanas [últimas 8 semanas – domingos às 00:15]

Por outro lado, existem instantâneos de volume VSS que permitem restaurar versões anteriores de ficheiros e pastas.

Programação de snapshots: todos os dias [12:00 e 18:00]

Retenção de snapshots:

64 instantâneos.

Sistema de recuperação de dados instantâneo e online disponível para qualquer utilizador.

RÉPLICAS NO REPOSITÓRIO S3

O sistema de armazenamento de objetos replica cada objeto em 3 discos diferentes localizados em 3 servidores diferentes. A política estabelecida mantém, por defeito, pelo menos uma das cópias num Data Center diferente.

O serviço Repositório S3 também possui uma função de versionamento que pode ser ativada a qualquer momento a partir da subscrição da plataforma. Desta forma, as versões anteriores podem ser recuperadas através do Protocolo S3.

Custódia de Dados com a Stackscale

Para aumentar ainda mais a nossa segurança e tentar proteger as informações em todos os ambientes alojados, a Jotelulu fechou um acordo com a Stackscale, empresa independente, especializada em cloud privada e localizada em Espanha, para armazenar uma das nossas cópias de backup nos seus sistemas de armazenamento.

Desta forma, damos mais um passo para garantir a disponibilidade das informações em caso de ataque, agregando mais uma camada de segurança. É importante destacar que todo este sistema de cópias se realiza sob o rigoroso padrão estabelecido pela Lei de Proteção de Dados (RGPD) no que diz respeito à confidencialidade dos dados.

SLAs

Disponibilidade (D) = [(Horas mês – Horas indisponibilidade)/ Horas mês] x 100

Não são contabilizadas no cálculo da disponibilidade de acesso:

Causas alheias à JOTELULU e causas de força maior.
Indisponibilidade do painel de autogestão.
Tempos de indisponibilidade por falhas no software alojado nas máquinas virtuais.
Vírus e ataques informáticos que provoquem a impossibilidade total ou parcial da prestação de serviços

Cobertura horária do serviço de suporte:

A plataforma dispõe de uma equipa de suporte/engenharia dedicada às tarefas de manutenção, renovação e resolução de incidentes, abrangendo os seguintes horários:

Incidentes críticos na plataforma: cobertura 24 horas por dia, 7 dias por semana.
Restantes incidentes e solicitações: cobertura de segunda-feira a sexta-feira das 08:30 às 20:00 [UTC / GMT +1].

Da mesma forma, o Service Level Agreement (SLA) da equipa de suporte/engenharia para tempos de resposta a incidentes e novas solicitações é detalhado da seguinte forma:

Incidentes críticos: Tempo de resposta 1 hora.
Outros incidentes: Tempo de resposta 4 horas.
Solicitações: Tempo de resposta 24 horas.