Постійні роботи

Цілодобовий моніторинг Link to heading

Доступність сайту перевіряється автоматично кожну хвилину (для частини клієнтів — кожні три хвилини за узгодженими умовами). При недоступності ресурсу формується сповіщення, і я реагую незалежно від часу доби: провожу первинну діагностику, визначаю причину збою та виконую необхідні відновлювальні дії.

На сервері (віртуальному або виділеному) ведеться постійний моніторинг ключових параметрів:

завантаження CPU та системних ресурсів
використання оперативної пам’яті
вільне місце на дисках та файлових системах
стан RAID та файлових систем
робота критичних сервісів та демонів (web-сервер, БД, поштові служби, проксі, VPN тощо)
стан SSL та термін дії сертифікатів
базові мережеві показники та доступність портів

При відхиленнях від нормальних значень формуються автоматичні сповіщення та виконується оперативна реакція.

Моніторинг додатків та сервісів Link to heading

Додатково контролюється коректність роботи прикладних сервісів:

перевірка відповідей web-додатків та API
контроль кодів відповіді HTTP
вибіркові перевірки контрольних URL
відстеження некоректних відповідей reverse proxy та backend-сервісів
виявлення зациклених процесів та витоків пам’яті

За необхідності виконується автоматичний перезапуск сервісів або ручне втручання.

Резервне копіювання Link to heading

Резервне копіювання виконується автоматично:

щоденні бекапи баз даних
щоденні бекапи файлів сайту та конфігурацій
окреме резервування критичних конфігураційних файлів сервера

Копії зберігаються:

локально на сервері
на незалежному віддаленому сховищі (європейський майданчик)
на додатковій незалежній точці зберігання

Таким чином використовується схема з кількома географічно рознесеними копіями.

Мінімум раз на місяць проводиться перевірка та валідація резервних копій з тестовим відновленням, щоб гарантувати їх цілісність та придатність до використання.

Працює моніторинг задач резервного копіювання: якщо бекап не виконувався більше доби, формується сповіщення про проблему.

Оновлення та управління безпекою Link to heading

автоматична установка критичних оновлень безпеки
регулярні планові оновлення пакетів у межах використовуваного дистрибутиву
контроль змін версій ключового серверного ПЗ
перевірка сумісності оновлень з встановленим стеком
поетапне оновлення без масових одночасних ризикових змін

Моніторинг вразливостей Link to heading

Постійно відстежуються спеціалізовані розсилки та бази вразливостей по використовуваному ПЗ та серверним компонентам. При появі значних вразливостей:

оцінюється рівень ризику
приймається рішення про термінове оновлення або тимчасові заходи захисту
за необхідності впроваджуються обхідні захисні заходи до виходу патча

HTTPS та сертифікати Link to heading

автоматичне продовження TLS/SSL сертифікатів
оновлення виконується заздалегідь (приблизно за 30 днів до закінчення)
контроль успішності перевипуску
перевірка коректності встановлення ланцюжків сертифікатів

Управління доступами Link to heading

робота з SSH-доступами та ключами
централізоване управління ключами доступу
оперативне додавання та видалення ключів
відключення застарілих та невикористовуваних доступів
аудит прав доступу при змінах складу користувачів

Захист та мережевий периметр Link to heading

налаштування firewall та мережевих політик
базовий захист від сканувань та перебору
інтеграція з WAF та зовнішніми захисними сервісами (при використанні)
обмеження адміністративних інтерфейсів
журналювання спроб доступу

Діагностика та розбір інцидентів Link to heading

При збоях та нестандартній поведінці виконується:

аналіз логів
пошук першопричини
усунення не тільки симптому, але й джерела проблеми
документування нетипових інцидентів для запобігання повторів

Конфігураційний супровід Link to heading

підтримання серверних конфігурацій в акуратному та відтворюваному стані
зберігання та версіонування конфігурацій
акуратне внесення змін без хаотичних правок “на живу”
мінімізація ручних та невідстежуваних змін