Место, где можно проверить на прочность enterprise-софт — центр решений Symantec
Ад, который творится в голове у админа крупной компанииЧто делать, если кто-то из сотрудников сливает данные, но непонятно кто? Что взрослые дяди делают с тонной почты? Как делается бэкап для сотни филиалов банка по РФ? Как системы, которые нельзя останавливать ни на секунду, переезжают с одной СХД на другую? Как «белые шляпы» следят за защитой серверов, если их столько, что просто обойти физически за месяц не получится?
Посмотреть такие вещи можно только на готовой инфраструктуре в крупной компании. Большое количество программ Enterprise-уровня пишется под конкретную систему или платформу — и поэтому они так малоизвестны. Точнее, известны по листовкам, а в них, кажется, никто не пишет, что у них слабо работает. Все говорят, что всё идеально. Читаешь, и чувствуешь, в каком прекрасном мире живёшь.Аж на слезу прошибает.
Ниже я простыми словами объясняю, как и что работает для крупных компаний. И позову в наш центр решений на базе технологий Symantec, где развёрнут симулятор инфраструктуры крупного бизнеса.
Можно прийти и протестировать, на каком уровне маркетологи честны.Но самое главное, можно понять, насколько та или иная система применима в вашем конкретном случае, а не покупать кота в мешке.
ПочтаТут всё просто. У пользователей есть PST-файлы, и они неконтролируемо растут. Раньше частой причиной драм, к примеру, был выход файла за 4Gb — Outlook просто не мог его открыть. Много проблем с локальным местом и производительностью, плюс очень много хорошо архивируемой и дублирующейся информации. Логичное решение — централизованное хранение. Все большие компании рано или поздно так делают и хранят почту где-то в единой системе, отправляя старые сообщения в архив. Тоже единый. На Западе эволюция развития почтовых систем шла к этому по ветке служебных расследований: там уровень промшпионажа такой, что если у вас за день не попробовали что-то украсть, значит, вы были недостаточно внимательными. Так вот, безопасники очень любили браузить корпоративную почту, и делали это именно из центрального хранилища. В России больше вопросов встаёт со стабильностью работы и экономией ресурсов.
Обе задачи — и удобства, и безопасности — решает Symantec Enterprise Vault. У нас в симуляторе инфраструктуры крупной компании он работает в связке с Microsoft Exchange. Почтовые сообщения импортируются из pst-файлов на рабочих компьютерах пользователей в архивное хранилище Enterprise Vault. Удобно и практично.
Предотвращение утечки конфиденциальной информации Представьте, что у вас в штате 5000 человек. Пользователи отправляют ваши документы почтой, Вконтакте, выкладывают в Дропбокс, таскают на флешках, пишут с ними подкаст или выдумают ещё что-то. Хочется по возможности заблокировать всё это. А особо изобретательных ловить постфактум и отрывать им руки.Есть решение, которое позволяет построить комплексное решение для обнаружения конфиденциальной информации вне зависимости от ее месторасположения: в сети, хранилищах данных, на серверах или устройствах пользователей. Его функционал дает возможность создавать и применять различные политики, регламентирующие защиту и передачу конфиденциальных данных, основываясь на их содержании и оценке рисков информационной безопасности. Решение построено на базе продукта Symantec Data Loss Prevention.
Вообще, здесь я хотел приложить картинку молотка, но коллеги сказали, что вы можете подумать, что это имеет отношение к тому, что бывает со сливающими информацию
Другими словами, это сложная экспертная система, которая обучена искать данные, которые вы считаете конфиденциальными. Она учится, учитывает разные уловки пользователей и позволяет надёжно защитить свою инфраструктуру. Лучше нее, пожалуй, может только товарищ майор, который будет читать вообще весь трафик. Только тогда вам понадобится где-то пара тысяч таких майоров.
В случае, если найдётся кто-то слишком умный, и данные утекут — всегда можно будет узнать имя и фамилию дыры в безопасности. Хорошая система, её у нас в России любят и ценят, как и на Западе. Только у нас её любят и ценят до инцидентов (благо паранойя выше), а там, как правило, после.
Резервное копирование и дедупликация Бэкап — это первая вещь, которую делает опытный администратор. Решений для бэкапа существует великое множество, и все они по-своему хороши. В моей практике Symantec NetBackup применяется тогда, когда всё остальное уже не помогает, а деньги ещё есть. Этот комбайн умеет бэкапить всё, в том числе — банковские базы, которые нельзя вот так просто взять и скопировать из-за тысяч транзакций каждую секунду. Такую систему с наскоку не поставишь, тут нужна квалификация, поэтому мы как интегратор этим занимаемся.Позволяет производить дедупликацию информации, репликацию готовых резервных копий в резервный ЦОД, быстро копировать и восстанавливать виртуальные серверы. Также решение автоматизирует процесс создания мгновенных снимков (снапшотов) аппаратных и программных систем. У нас в центре развернут NetBackup как ПО, а также есть ПАК NetBackup Appliance. И есть еще второе решение по резервному копированию -Symantec Backup Exec. NetBackup — это если вы банк или телеком, или просто крупный бизнес. Backup Exec — для относительно небольших предприятий, построенных преимущественно на Windows и Linux-платформах.
Где-то тут лежит черновик моего поста, и если он понадобится — безопасник достанет его за полминуты. Кстати, там для него подарок.
Да, современные решения для бэкапа имеют агенты для всего популярного софта, СУБД и виртуальных сред. Проще говоря — понимают, какие данные и как нужно забирать, как хранить и предлагать пользователю. От продуманности софта зависит, сможет ли агент забрать базу «на лету» без остановки сервиса, сможет ли админ за 15 секунд восстановить одну запись в базе, и сможет ли пользователь-блондинка самостоятельно вернуть случайно удалённое два года назад письмо. Очень важное.
Проиллюстрирую. У заказчика разрослась инфраструктура, и разрослась сильно. Появился «зоопарк» софта и железа, когда много вендоров, много поколений разного оборудования, много разных систем и задач. Средства для резервного копирования стали неэффективными. Во-первых, их много: по одной для подсистемы. Отдельный админ для каждого случая: очень тяжело это все мониторить, держать фокус, потому что, как правило, ресурсов все равно не хватает. Консолей около трёх сотен под отдельные инсталляции. И начинается: где-то что-то прошляпили, где-то что-то не увидели, потом что-нибудь упало, и теперь, когда надо восстанавливаться, выясняется, что, опа, 2 месяца бэкапы уже не идут! И это, на самом деле, довольно жизненная ситуация. Мы же ставим один продукт. У него один администратор. Одна консоль. Админ пришел, посмотрел, открыл, за ночь все бэкапы прошли, все хорошо. И он уверен, что все нормально, то есть если надо будет — он восстановится.
Работа с системами хранения данных Это такие штуки, которые даже без данных стоят как самолёт. И если навернуть одну, то можно смело идти вешаться — скорее всего, там были не только картинки ваших пользователей, но и пара терабайт важных финансовых данных. Усугубляет ситуацию тот прекрасный факт, что многие СХД подключены к серверам, которым эта информация постоянно нужна. Нельзя просто взять и заменить такую систему, равно как нельзя просто взять и что-то быстренько там поменять. Как раз тот случай, когда «не влезай — убьёт!».Поэтому есть такая штука Veritas Storage Foundation. Она нужна для разных железок от разных производителей, чтобы можно было делать свою админскую или даже сервисную работу без остановки работы бизнес-приложений. Что делать? Да что угодно: изменять размер и структуру логических томов, создавать мгновенные снимки или полные копии систем, проводить репликацию данных.
За каждой картинкой — история как минимум одного факапа из чьей-то практики
Однажды мы меняли очень старую СХД на системе, к которой чуть ли прикасаться нельзя было. Простой в пару секунд означал убытки в 200–300 тысяч долларов. Примерно. В общем, мы подключили вторую СХД от другого производителя, настроили с помощью Veritas Storage Foundation их работу в режиме «зеркала», т.е. получили как бы RAID1, частями которого были две СХД. Затем дождались синхронизации данных и просто отключили старую. Сервер даже не заметил. Ещё можно делать надежную быструю миграцию данных между различными платформами — HP-UX, Oracle Solaris, IBM AIX. При этом перенос объемной базы данных с одной платформы на другую занимает минуты или часы в полуавтоматическом режиме. Если делать без такого софта, то это занимает дни или недели.
Непрерывность работы бизнес-приложений Сбои случаются у всех и нередко. Серьёзно, у нас даже есть постоянные авиабилеты (которые без даты, самые дорогие) для некоторых инженеров. Что-то где-то в стране сломалось — и он прыгает в метро, потом в аэроэкспресс, потом в самолёт, и через 4–5 часов на месте. Если есть необходимость.Очень помогает не летать лишний раз (а заказчику — не уходить в простой) пакет Veritas Cluster Server. Он позволяет оперативно реагировать на сбой приложения, операционной системы, сети или отдельного узла. Как только сбой обнаружен, софт радостно идёт делать автоматическое восстановление критически важных бизнес-сервисов на резервной площадке, независимо от ее удаленности от основного объекта. Можно сказать, что узлы кластера как бы переговариваются между собой, постоянно сообщая о своем состоянии. И если от одного из них приходит некорректный ответ, или совсем нет ответа, то второй быстро разворачивает резерв. Вы, как правило, успеваете прочитать тревожную SMS уже в тот момент, когда работа сервисов уже переключается на резервный ЦОД.
Софт «из коробки» интегрируется практически со всеми СУБД и ОС корпоративного уровня.
Управление сложной инфраструктурой Когда у вас одних только кластеров под сотню, начинаются проблемы с администрированием. Чаще всего речь об инфраструктуре типа телекома, крупного провайдера или банка, а также страховой или крупной розницы. В общем, где могут найтись десятки СХД, тысячи обычных узлов и несколько ЦОДов.Главное в такой инфраструктуре — не упустить момент. В смысле, что проблема может подкрасться незаметно, и её поиск требует кучи времени. С учётом, что обычно всё это ещё и передаётся «по наследству» новым админам, проблемы случаются.
Есть Veritas Operations Manager (VOM) и OpsCenter. VOM сводит все консоли всех кластеров и менеджеров логических томов в один удобный web-интерфейс. Там есть ещё «светофор» — он помогает искать проблемы там, где они, по мнению продукта, могут возникнуть. Что характерно, помогает, и помогает здорово. OpsCenter делает примерно то же самое для отдельных консолей бэкапного софта.
Но, конечно, если вам нравятся десятки консолей, то никаких проблем ходить напрямую нет.
Защита серверов Штука с интригующим и гордым названием Symantec Critical System Protection делает именно Critical System Protection. Решение представляет собой высокоточные средства контроля уязвимостей, обнаружения и предотвращения вторжений. Всё та же старая добрая экспертная система, которая ищет взаимосвязи, странные события, строит профили разного вида активностей и умеет находить по трём-четырём слабым сигналам возможную проблему. Её, кстати, обкатывают на Symantec Cyber Challenge — одном из крупнейших мировых соревнований по безопасности, когда хакеры со всего мира в несколько этапов ломают симулятор сети корпорации. В прошлом году по региону EMEA выиграл русский студент v0s — теперь его паттерны, равно как и паттерны остальных участников, пополнили библиотеку атак. Про то, как работает комплекс в теории, моя коллега писала отдельно здесь в ликбезе по современной ИБ.Центр решений Итак, у нас есть некий симулятор инфраструктуры крупной компании (со своими базами данных большого объёма, замусоренными машинами, забитыми СХД в филиалах, сложными случаями и неугомонными пользователями, точнее, результатами их работы). Всё это развёрнуто не только в виртуалках, но и на физическом железе шести разных производителей, и поверх всего этого установлены решения Symantec, которые можно прийти и пощупать. Более того, можно приносить свои тестовые базы данных, чтобы смотреть, как Symantec скажет «хррр» на них.Поэтому заглядывайте в гости, если вам нужен серьёзный софт или ПАК. Так, чтобы было конкретно понятно, что именно он делает, как именно и где у него слабые места. Сильные-то вы уже знаете, а вот что вас ждёт через год практики именно в вашей инфраструктуре — самый важный вопрос. Мы с коллегами помогаем отвечать на такие вопросы и показываем всё как есть, сразу предупреждая про грабли. К счастью, не в наших интересах обещать что-то лишнее — потом ведь всё это придется поддерживать нам.
Меня можно найти по почте ADubskiy@croc.ru или же записаться в центр здесь.
