Oracle рассчитывает выполнить требования 242-ФЗ из Амстердама

Oracle готовит ЦОД в Амстердаме для обработки ПДн россиян

ЦОД Oracle

Компания Oracle уже не видит своего будущего без облачных сервисов. "Более 80% новых приложений сейчас разрабатываются для работы в облачной инфраструктуре", - заявил Павел Захаров, вице-президент по технологическому консалтингу российского представительства Oracle, на прошедшей в Москве конференции Oracle Cloud Technology Day 2015. Понятно, что компания всеми силами стремится предложить своим потенциальным заказчикам, в том числе и в России, максимальное число своих облачных сервисов.

В частности, недавно компания представила 24 новых сервиса, среди которых есть и облачное резервное копирование, и создание архивов в облаке, и организация VPN-туннелей до своих публичных облаков, и управление идентификационной информацией. В разработке своих сервисов компания базируется на платформе сообщества OpenStack. При этом в Oracle хотят представлять клиентам сервисы на базе своей собственной инфраструктуры, однако ЦОДов на территории России компания не имеет, и строить их пока не планирует.

Это создаёт определённые проблемы с 242-ФЗ, который требует от компаний, представляющих услуги россиянам, хранить их персональные данные на территории России. Означает ли это, что российские клиенты, которым нужно обрабатывать персональные данные россиян, не смогут воспользоваться облачными сервисами Oracle? Специалисты компании уверяют, что нет. И помочь им в решении проблемы с российским законодательством должны как раз те самые облачные сервисы.

Дело в том, что облачная архитектура предполагает три уровня сервисов. Компания Oracle предлагает услуги уровня платформы - PaaS, но данные в них могут храниться на уровне инфраструктуры IaaS. В случае персональных данных россиян предполагается, что сами базы будут располагаться в российских ЦОДах партнёров: IBS DataFort, FORS и SoftLine. Эти российские компании предлагают услуги аренды базы данных (DBaaS). До них будет организован VPN-туннель, а в случае DataFort вообще планируется организация выделенной линия до ЦОД Oracle, который строится в Амстердаме. То есть персональные данные в этом случае будут храниться в России, но обрабатываться в Амстердаме. Трансграничная передача данных в 242-ФЗ не запрещена и не может быть запрещена, поскольку на это есть специальное требование международной конвенции по персональным данным.

Впрочем, компания Oracle представила также новую версию системы управления своими продуктами Enterprise Manager, которая позволяет клиентам в одном окне управлять как локальными версиями программного обеспечения, так и арендованными виртуальными ресурсами в ЦОДах компании. Для защиты каналов связи Oracle осенью планирует предложить сервис Site-to-Site VPN, позволяющий быстро создавать зашифрованный туннель, например, до корпоративного маршрутизатора, за которым также может быть расположено локальное хранилище данных. Управлять этой системой также можно из корпоративного Enterprise Manager так, будто сервисы развёрнуты локально. В этом случае также можно будет организовать информационную систему таким образом, чтобы данные хранились в России, на территории заказчика, а обрабатывались за рубежом - в ЦОДе Oracle. Таким образом, компания может предложить различные варианты соблюдения требований российских регуляторов по хранению и обработке данных россиян.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Давно не обновляли 7-Zip? В нем может присутствовать RCE-уязвимость

Участник проекта Trend Micro Zero Day Initiative (ZDI) выявил в 7-Zip уязвимость, позволяющую выполнить вредоносный код в Windows. Патч вышел в составе сборки 24.07; обновление архиватора возможно лишь вручную.

Согласно бюллетеню ZDI, причиной появления проблемы CVE-2024-11477 является некорректная реализация механизма разуплотнения данных Zstandard, а точнее, неадекватная проверка пользовательского ввода.

Из-за этого возник риск возникновения целочисленного переполнения через нижнюю границу представления. Данную ошибку, по словам автора находки, можно использовать для выполнения произвольного кода в контексте текущего процесса.

Эксплойт возможен с помощью специально созданного архива; автору атаки также придется убедить пользователя открыть вредоносный файл. В случае успеха последствия могут быть различными, от кражи данных до полной компрометации целевой системы.

Получив отчет ZDI, разработчики создали патч и включили его в выпуск 24.07. Пользователям 7-Zip настоятельно рекомендуется обновить продукт до последней версии (текущая — 24.08).

Формат 7z не менее популярен, чем ZIP и RAR; в прошлом году его поддержка была добавлена в Windows 11. Сам архиватор с открытым кодом поддерживает MotW — защиту Windows от drive-by-загрузок, однако оказалось, что он плохо распознает угрозы, спрятанные путем конкатенации архивных файлов.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru