# Инфраструктурная безопасность и сопровождение

## Сетевая безопасность

Подготовлена схема взаимодействия компонентов системы, используемая для настройки правил сетевого доступа на стороне заказчика.

## Защита каналов связи

Защита сетевого взаимодействия обеспечивается с использованием TLS/SSL на уровне балансировщика HAProxy, включая настройку сертификатов и HTTPS-подключения.

Конфигурация выполняется согласно инструкции по [настройке HAProxy и TLS](https://help.globalerp.ru/books/G3SysAdminDoc/SNAPSHOT/html/030_global-standalone/040_haproxy_standAlone.html#tls-ssl).

## Управление секретами

К секретам относятся пользовательские пароли, учетные данные интеграций, токены, ключи доступа и иные данные, которые не должны храниться в открытом виде. Хранение пользовательских паролей описано в разделе «Идентификация и аутентификация»; в этом разделе рассматриваются механизмы защиты учетных данных и инфраструктурных секретов.

Для исключения хранения учетных данных в открытом виде применяется механизм шифрования данных. Настройка и выполнение шифрования осуществляется в соответствии с [документацией по шифрованию учетных данных](https://help.globalerp.ru/books/BtkDocumentation/SNAPSHOT/html/140_Шифрование_данных.html).

Система поддерживает развертывание через Helm-чарт, начиная с версии 5.4.0, и может использоваться совместно с внешними решениями для автоматизации работы с секретами: [helm-secrets, sops, Sealed Secrets, External Secrets](https://help.globalerp.ru/books/G3SysAdminDoc/SNAPSHOT/html/040_global-k8s/060_chart.html#id2).

## Совместимость с защищенной инфраструктурой

Система совместима с:

- решениями по защите виртуальных машин и контейнеров;
- антивирусными средствами заказчика, включая потоковый контроль загружаемых файлов;
- операционными системами российской разработки.

## Контроль целостности

Реализованы механизмы проверки подписей и контроля целостности компонентов системы.

## Защита данных

Для сред разработки и тестирования предусмотрены механизмы обезличивания и маскирования данных.

## Резервное копирование и восстановление

Поддерживаются приложений-ориентированные резервные копии, ежедневное инкрементальное резервирование и восстановление инфраструктуры.

Разработаны:

- инструкции DRP;
- процедуры отката изменений;
- процедуры восстановления из резервных копий.

## Обновления и сопровождение

Реализован регламент выпуска, тестирования и установки обновлений, включая:

- функциональное тестирование;
- нагрузочное тестирование;
- автотестирование;
- установку без простоев при кластеризации;
- автоматические и ручные сценарии обновления.