Место, где можно проверить на прочность enterprise-софт

в 5:56, , рубрики: Блог компании КРОК

Есть задачи, которые можно посмотреть на готовой инфраструктуре в крупной компании. Большое количество программ Enterprise-уровня пишется под конкретную систему или платформу — и поэтому они так малоизвестны. Точнее, известны по листовкам, а в них, кажется, никто не пишет, что у них слабо работает.

Все говорят, что все работает идеально. Читаешь, и чувствуешь, в каком прекрасном мире живешь. Аж на слезу прошибает.

Ниже я простыми словами объясняю, как и что работает для крупных компаний и какие бывают масштабные задачи на примере центра решений Symantec, где развернут симулятор инфраструктуры крупного бизнеса. Бэкап, безопасность, работа с почтой, отслеживание проблем на тысячах узлов и так далее.

Можно прийти и протестировать, на каком уровне маркетологи честны.
Но самое главное, можно понять, насколько та или иная система применима в вашем конкретном случае, а не покупать кота в мешке.

Почта

Тут все просто. У пользователей есть PST-файлы, и они неконтролируемо растут. Раньше частой причиной драм, к примеру, был выход файла за 4Gb — Outlook просто не мог его открыть. Много проблем с локальным местом и производительностью, плюс очень много хорошо архивируемой и дублирующейся информации. Логичное решение — централизованное хранение. Все большие компании рано или поздно так делают и хранят почту где-то в единой системе, отправляя старые сообщения в архив. Тоже единый. На Западе эволюция развития почтовых систем шла к этому по ветке служебных расследований: там уровень промшпионажа такой, что если у вас за день не попробовали что-то украсть, значит, вы были недостаточно внимательными. Так вот, безопасники очень любили браузить корпоративную почту, и делали это именно из центрального хранилища. В России больше вопросов встает со стабильностью работы и экономией ресурсов.

Место, где можно проверить на прочность enterprise софт

Обе задачи — и удобства, и безопасности — решает Symantec Enterprise Vault. У нас в симуляторе инфраструктуры крупной компании он работает в связке с Microsoft Exchange. Почтовые сообщения импортируются из pst-файлов на рабочих компьютерах пользователей в архивное хранилище Enterprise Vault. Удобно и практично.

Предотвращение утечки конфиденциальной информации

Представьте, что у вас в штате 5000 человек. Пользователи отправляют ваши документы почтой, Вконтакте, выкладывают в Дропбокс, таскают на флешках, пишут с ними подкаст или выдумают еще что-то. Хочется по возможности заблокировать все это. А особо изобретательных ловить постфактум и отрывать им руки.

Есть решение, которое позволяет построить комплексное решение для обнаружения конфиденциальной информации вне зависимости от ее месторасположения: в сети, хранилищах данных, на серверах или устройствах пользователей. Его функционал дает возможность создавать и применять различные политики, регламентирующие защиту и передачу конфиденциальных данных, основываясь на их содержании и оценке рисков информационной безопасности. Решение построено на базе продукта Symantec Data Loss Prevention.

Место, где можно проверить на прочность enterprise софт
Вообще, здесь я хотел приложить картинку молотка, но коллеги сказали, что вы можете подумать, что это имеет отношение к тому, что бывает со сливающими информацию

Другими словами, это сложная экспертная система, которая обучена искать данные, которые вы считаете конфиденциальными. Она учится, учитывает разные уловки пользователей и позволяет надежно защитить свою инфраструктуру. Лучше нее, пожалуй, может только товарищ майор, который будет читать вообще весь трафик. Только тогда вам понадобится где-то пара тысяч таких майоров.

В случае, если найдется кто-то слишком умный, и данные утекут — всегда можно будет узнать имя и фамилию дыры в безопасности. Хорошая система, ее у нас в России любят и ценят, как и на Западе. Только у нас ее любят и ценят до инцидентов (благо паранойя выше), а там, как правило, после.

Резервное копирование и дедупликация

Бэкап — это первая вещь, которую делает опытный администратор. Решений для бэкапа существует великое множество, и все они по-своему хороши. В моей практике Symantec NetBackup применяется тогда, когда все остальное уже не помогает, а деньги еще есть. Этот комбайн умеет бэкапить все, в том числе – банковские базы, которые нельзя вот так просто взять и скопировать из-за тысяч транзакций каждую секунду. Такую систему с наскоку не поставишь, тут нужна квалификация, поэтому мы как интегратор этим занимаемся.

Позволяет производить дедупликацию информации, репликацию готовых резервных копий в резервный ЦОД, быстро копировать и восстанавливать виртуальные серверы. Также решение автоматизирует процесс создания мгновенных снимков (снапшотов) аппаратных и программных систем. У нас в центре развернут NetBackup как ПО, а также есть ПАК NetBackup Appliance. И есть еще второе решение по резервному копированию — Symantec Backup Exec. NetBackup — это если вы банк или телеком, или просто крупный бизнес. Backup Exec — для относительно небольших предприятий, построенных преимущественно на Windows и Linux-платформах.

Место, где можно проверить на прочность enterprise софт
Где-то тут лежит черновик моего поста, и если он понадобится – безопасник достанет его за полминуты. Кстати, там для него подарок.

Да, современные решения для бэкапа имеют агенты для всего популярного софта, СУБД и виртуальных сред. Проще говоря — понимают, какие данные и как нужно забирать, как хранить и предлагать пользователю. От продуманности софта зависит, сможет ли агент забрать базу «на лету» без остановки сервиса, сможет ли админ за 15 секунд восстановить одну запись в базе, и сможет ли пользователь-блондинка самостоятельно вернуть случайно удаленное два года назад письмо. Очень важное.

Проиллюстрирую. У заказчика разрослась инфраструктура, и разрослась сильно. Появился «зоопарк» софта и железа, когда много вендоров, много поколений разного оборудования, много разных систем и задач. Средства для резервного копирования стали неэффективными. Во-первых, их много: по одной для подсистемы. Отдельный админ для каждого случая: очень тяжело это все мониторить, держать фокус, потому что, как правило, ресурсов все равно не хватает. Консолей около трех сотен под отдельные инсталляции. И начинается: где-то что-то прошляпили, где-то что-то не увидели, потом что-нибудь упало, и теперь, когда надо восстанавливаться, выясняется, что, опа, 2 месяца бэкапы уже не идут! И это, на самом деле, довольно жизненная ситуация. Мы же ставим один продукт. У него один администратор. Одна консоль. Админ пришел, посмотрел, открыл, за ночь все бэкапы прошли, все хорошо. И он уверен, что все нормально, то есть если надо будет – он восстановится.

Работа с системами хранения данных

Это такие штуки, которые даже без данных стоят как самолет. И если навернуть одну, то можно смело идти вешаться — скорее всего, там были не только картинки ваших пользователей, но и пара терабайт важных финансовых данных. Усугубляет ситуацию тот прекрасный факт, что многие СХД подключены к серверам, которым эта информация постоянно нужна. Нельзя просто взять и заменить такую систему, равно как нельзя просто взять и что-то быстренько там поменять. Как раз тот случай, когда «не влезай – убьет!».

Поэтому есть такая штука Veritas Storage Foundation. Она нужна для разных железок от разных производителей, чтобы можно было делать свою админскую или даже сервисную работу без остановки работы бизнес-приложений. Что делать? Да что угодно: изменять размер и структуру логических томов, создавать мгновенные снимки или полные копии систем, проводить репликацию данных.

Место, где можно проверить на прочность enterprise софт
За каждой картинкой – история как минимум одного факапа из чьей-то практики

Однажды мы меняли очень старую СХД на системе, к которой чуть ли прикасаться нельзя было. Простой в пару секунд означал убытки в 200–300 тысяч долларов. Примерно. В общем, мы подключили вторую СХД от другого производителя, настроили с помощью Veritas Storage Foundation их работу в режиме “зеркала”, т.е. получили как бы RAID1, частями которого были две СХД. Затем дождались синхронизации данных и просто отключили старую. Сервер даже не заметил. Еще можно делать надежную быструю миграцию данных между различными платформами — HP-UX, Oracle Solaris, IBM AIX. При этом перенос объемной базы данных с одной платформы на другую занимает минуты или часы в полуавтоматическом режиме. Если делать без такого софта, то это занимает дни или недели.

Непрерывность работы бизнес-приложений

Сбои случаются у всех и нередко. Серьезно, у нас даже есть постоянные авиабилеты (которые без даты, самые дорогие) для некоторых инженеров. Что-то где-то в стране сломалось — и он прыгает в метро, потом в аэроэкспресс, потом в самолет, и через 4–5 часов на месте. Если есть необходимость.

Очень помогает не летать лишний раз (а заказчику — не уходить в простой) пакет Veritas Cluster Server. Он позволяет оперативно реагировать на сбой приложения, операционной системы, сети или отдельного узла. Как только сбой обнаружен, софт радостно идет делать автоматическое восстановление критически важных бизнес-сервисов на резервной площадке, независимо от ее удаленности от основного объекта. Можно сказать, что узлы кластера как бы переговариваются между собой, постоянно сообщая о своем состоянии. И если от одного из них приходит некорректный ответ, или совсем нет ответа, то второй быстро разворачивает резерв. Вы, как правило, успеваете прочитать тревожную SMS уже в тот момент, когда работа сервисов уже переключается на резервный ЦОД.

Софт «из коробки» интегрируется практически со всеми СУБД и ОС корпоративного уровня.

Управление сложной инфраструктурой

Когда у вас одних только кластеров под сотню, начинаются проблемы с администрированием. Чаще всего речь об инфраструктуре типа телекома, крупного провайдера или банка, а также страховой или крупной розницы. В общем, где могут найтись десятки СХД, тысячи обычных узлов и несколько ЦОДов.

Главное в такой инфраструктуре — не упустить момент. В смысле, что проблема может подкрасться незаметно, и ее поиск требует кучи времени. С учетом, что обычно все это еще и передается «по наследству» новым админам, проблемы случаются.

Есть Veritas Operations Manager (VOM) и OpsCenter. VOM сводит все консоли всех кластеров и менеджеров логических томов в один удобный web-интерфейс. Там есть еще «светофор» — он помогает искать проблемы там, где они, по мнению продукта, могут возникнуть. Что характерно, помогает, и помогает здорово. OpsCenter делает примерно то же самое для отдельных консолей бэкапного софта.

Но, конечно, если вам нравятся десятки консолей, то никаких проблем ходить напрямую нет.

Место, где можно проверить на прочность enterprise софт

Защита серверов

Штука с интригующим и гордым названием Symantec Critical System Protection делает именно Critical System Protection. Решение представляет собой высокоточные средства контроля уязвимостей, обнаружения и предотвращения вторжений. Все та же старая добрая экспертная система, которая ищет взаимосвязи, странные события, строит профили разного вида активностей и умеет находить по трем-четырем слабым сигналам возможную проблему. Ее, кстати, обкатывают на Symantec Cyber Challenge — одном из крупнейших мировых соревнований по безопасности, когда хакеры со всего мира в несколько этапов ломают симулятор сети корпорации. В прошлом году по региону EMEA выиграл русский студент v0s — теперь его паттерны, равно как и паттерны остальных участников, пополнили библиотеку атак. Про то, как работает комплекс в теории, моя коллега писала отдельно здесь в ликбезе по современной ИБ.

Центр решений

Итак, у нас есть некий симулятор инфраструктуры крупной компании (со своими базами данных большого объема, замусоренными машинами, забитыми СХД в филиалах, сложными случаями и неугомонными пользователями, точнее, результатами их работы). Все это развернуто не только в виртуалках, но и на физическом железе шести разных производителей, и поверх всего этого установлены решения Symantec, которые можно прийти и пощупать. Более того, можно приносить свои тестовые базы данных, чтобы смотреть, как Symantec скажет «хррр» на них.

Поэтому заглядывайте в гости, если вам нужен серьезный софт или ПАК. Так, чтобы было конкретно понятно, что именно он делает, как именно и где у него слабые места. Сильные-то вы уже знаете, а вот что вас ждет через год практики именно в вашей инфраструктуре — самый важный вопрос. Мы с коллегами помогаем отвечать на такие вопросы и показываем все как есть, сразу предупреждая про грабли. К счастью, не в наших интересах обещать что-то лишнее — потом ведь все это придется поддерживать нам.

Меня можно найти по почте ADubskiy@croc.ru или же записаться в центр здесь.

Автор: adubskiy

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js