English version of this page

Systembeskrivelse

Dette er en forenklet beskrivelse av TSD 2.0 – løsningen for sikker lagring og behandling av sensitive forskningsdata. En mer teknisk detaljert beskrivelse kan fremskaffes på forespørsel.

Generelt

Løsningen har som målsetning å tilby lagring og behandling av små og store mengder data med en meget høy grad av sikkerhet. UiOs vanlige nett har også en stor grad av sikkerhet, med sterk fokus på patching og detektering av uregelmessigheter, men nettet er allikevel åpent av natur ved at hver enkelt maskin har offsielle ip addresser og kun er skjermet fra internett med nokså liberale aksesslister. For å oppnå så høy grad av sikkerhet som det var ønske om her, og for å forenkle arbeidet med kontroll og risikohåndtering - så har vi valgt å lage en løsing som er frikoblet fra UiOs vanlige nett, og med kun få og kontrollerte veier inn og ut.

Hver brukergruppe/miljø får et dedikert virtuelt nettverk for deres prosjekt. Der kan de ha et antall windows og eller linux servere for den daglige bruk.

  • Windows servere : Windows 2012 server med SAS, Matlab, stata, R.  mm
  • Linux servere : RedHat 6.0 med Libre (Open) Office og R
  • Lagring : Hvert prosjekt vil tildeles en basismengde lagring, denne utvides ved behov.
  • Tungregning : Prosjekter som angir det i prosjektsøknaden vil få tilgang til tungregneressursen Colossus.
  • Backup : Backup av TSD data gjøres av UiOs ordinære bakcupsystem, men backupene vil være kryptert med nøkkel som kun finnes på den enkelte terminal-server og på kopi oppbevart i safe på to adskiltte lokasjoner.
  • Import / export : Datatransport ut og inn av løsningen foregår med en "fil-sluse" som frakter data mellom et lagringsområde inne på løsningen til/fra et område på utsiden. Om den enkelte bruker kan frakte data inn, ut eller begge veier styres av rettigheter. I utgangspunktet vil alle kunne ta data inn, men kun prosjektleder/administrator i forskergruppen vil kunne ta data ut.
  • Tilkopling : Tilgangen gis via først en kryptert ssh tunnell til en av login-maskinene. Deretter benytter man RDP (windows) /  SPICE (linux) til prosjekt.VM.   Påloggingen krever også engangspassord som man får fra smartphone / yubikey. SSH+RDP og SPICE fases delvis ut i august 2015, ssh+rdp vil fungere mot windows som reserveløsning, men SPICE vil fases ut. Dette til fordel for hhv PCoIP og Thinlinc.
  • Prosjektgruppene selv kan ikke lage nye grupper og styre granulær tilgang innad i prosjekt. Hjemmeområdene til prosjektbrukerene er private, ellers er alle data delt pr prosjekt. Det er egne regler mtp import og eksport av data.

Løsningsskisse

Systemet er bygget på tanken om å ha en solid brannmur rundt et system der man internt sørger for kraftig separasjon mellom ulike prosjekt. For å komme inn i systemet kreves 2-faktor autentisering. Inne i systemet lever hvert prosjekt i sitt eget VLAN og har sitt eget virtuelle filsystem, på denne måte vet ikke et prosjekt om noen andre prosjekt. Til lagring benyttes en logisk utseparert del av Astrastore (UiOs og NorStore sin lagringsressurs), backup gjøres til UiOs vanlige backupsystem, kryptert og med en nøkkel per prosjekt. Videre kan man benytte postgreSQL databaser i TSD 2.0 og man kan få tilgang til den sikre tungregneressursen Colossus.

Infrastruktur

Løsningen går på egne maskiner i et eget rack på USITs maskinrom hvor kun driftspersonell fra USIT har tilgang. For å kunne dele hardware mellom flere miljøer, som krever høy grad av sikkerhet og isolasjon, så benyttes RHEV KVM som hypervisor. Dvs. at en fysisk maskin kan deles opp i flere virituelle maskiner som for alle praktiske formål oppfører seg som frittstående maskiner.

Drift

Drift av løsningen utføres av personell fra USITs driftsgrupper. All tilgang til løsningen krever autentisering med to-faktor løsninger, også ved tilgang for driftere ved UiO. Driften er ellers spesiallaget for denne løsningen for å sikre at sikkerheten i løsningen ikke kan bli kompromittert ved å bryte seg inn på andre driftsservere ved UiO.

Hver enkelt maskin/miljø

Hver enkelt maskin / miljø presenteres for brukerene som en Windows / linux  terminal-server med lokal lagring. Klipp/lim, mapping av diskbokstaver mm. er skrudd av. All datatransport ut og inn må foregå via. filsluse.

Sikkerhet

Noen nøkkelpunkter om sikring av løsingen:

  • All tilgang fra eksterne nett krever to-faktor autentisering.
  • Maskinene er herdet ut over normalt.
  • All brukerhåndtering gjøres pr. miljø - dvs. sikkerheten er uavhengig av brukers vanlige UiO konto.
  • All endring av tilganger gjøres skriftlig med godkjenning fra den enkelte forskningsansvarlige og IT-sikkerhetssjef (i TSD 2.0 ofte vha minID)
  • Det benyttes dedikert lagring, kryptert backup og kryptert kommunikasjon.
  • Kryptomatriell / nøkler genereres med unike nøkler for hvert enkelt prosjekt / miljø. Disse oppbevares på papir i safe på to fysisk adskilte lokasjoner.
  • Data transport ut og inn foregår via en filsluse
Publisert 19. aug. 2013 16:38 - Sist endret 27. mars 2019 12:46