До космоса правда не дотягивает — там мажоритарное резервирование, по три канала всего, чего только можно :) Чтобы сразу было понятно, который из каналов сломался. Но это достоинств устройства из статьи не умаляет.
Скажите, а точно лицензирование той же Oracle DB будет на одну ноду, а не на обе? Несколько удивительно, учитывая их политику лицензирования, скажем, кластеров виртуализации (если гипервизоры не Oracle).
Нет, вся проблема в том что MS встроила облачный аккаунт кривым образом в Windows, и теперь он зачем-то используется для проверки подлинности по SMB, в котором в свою очередь без Кербероса (а его не будет, если это домашний пользователь) без вариантов используется древний NTLM.
MS вместо логичной архитектуры прикрутили облако к Windows всеми костылями, какие были под рукой. Причем в W8 это было бы простительно, но то что в W10 работы над ошибками не случилось — показательно.
А по-моему будет работать и с SMB Signing. SMB Signing должно помогать только от релея SMB -> Rogue SMB -> SMB, а от SMB -> Rogue SMB -> HTTP — не должно, по идее. Там же просто SMB-пакеты подписываются NT-хэшем (условно). Но вообще надо пробовать.
В любом случае, находка с MS Account шикарная, вся кривая попытка MS сделать облачный «домен» из обычного трещит по швам :) Полагаю, есть даже шанс что исправят на сей раз. Облако — это у них сейчас святое.
Хотелось бы добавить, что оглядевшись по сторонам, можно легко заметить, что склад с одеждой не имеет двери метровой толщины, как банковское хранилище. А офис ООО Ромашка, крупнейшего поставщика семян и саженцев в СЗФО охраняется немного не так, как атомная электростанция.
Потому что в первом случае куда меньше желающих посягнуть на нажитое честным путём, а во втором — куда меньше последствия посягательства. Хотя обе фирмы разорятся с высокой вероятностью, если потеряют склад товара или все бумаги за десять лет своего существования.
Так что при всей любви к параноидальному искусству защиты информации и увлекательному поиску уязвимостей с отладчиком наперевес, в корпоративном мире эта работа скорее про компромисс, выбор небольшого подмножества мер по повышению безопасности из бескрайнего моря уже существующих наработок, и методичное внедрение и поддержание этих мер в дальнейшем.
И хотя теоретически после этого любой взломщик с мозгом чуть больше обезьяньего всё равно радостно зайдет и стащит 95% корпоративной инфы, во-первых, самые ценные 5% останутся недосягаемы, а во-вторых, вероятность что такой товарищ вам встретится в реальности — чуть менее, чем никакая.
Зато наконец-то китайцы перестанут взламывать каждую неделю SQL сервер с базами бухгалтерии, с открытым наружу RDP и учеткой .\Администратор Passw0rd. И учитывая то, сколько работы пришлось провести, чтобы этот сценарий стал невозможен ни сейчас, ни завтра — это вполне себе достижение.
Во-первых, RAID5 на действительно больших массивах перестраивается так долго и так тормозит, что использовать его просто нет смысла. Так что появления URE вы с высокой вероятностью просто не дождетесь, плюнете и пересоберете массив начисто :)
Во-вторых, любой приличный RAID-контроллер умеет отключать кэш на дисках, иначе к чему все эти навороты с батарейками?
В-третьих, SAS 15K никому не нужны, потому что есть SSD за те же деньги в 2.5" форм-факторе и гораздо быстрее. Линейки 15К дисков давным-давно не обновляются.
В-четвертых, хотя идея про неправильное поведение десктопных дисков при ошибках верная, в объяснении у вас каша. Если контроллер «теряет» диск при длительном времени ответа, с чего бы ему начинать ребилд после этого? Ничего он не начнет пока вы диск не поменяете.
А на самом-то деле проблема как раз в том, что контроллер НЕ потеряет диск с длительным временем доступа, и весь массив будет ждать чтения сбойного сектора.
Согласен, IPS хорош, и в этой части Sourcefire всегда были в лидерах. Вполне себе аргумент. Но для NFGW этого мало, а их маркетинг явно завидует успехам PAN :)
Вот и развивать бы Firepower им отдельно, раз он хорош сам по себе, прикрутить туда VPN от ASA, а остальные ASA-части в EOL. Не думаю что кто-то из клиентов очень сильно расстроится.
Либо уж тогда встраивать FP движок к себе в ASA OS нативно.
Я согласен, по сравнению с тем, что было, единое управление на базе FP — это прогресс. Но в целом им NGFW как продукт еще пилить и пилить, а у конкурентов глобально все уже допилено.
У нас как-то не получился выигрыш, причем именно по подписке. В закупке подешевле получалось, но потом всё плюс-минус то же самое. Правда, это по состоянию на конец прошлого года, сейчас, я смотрю, лицензирование FP меняется, надо заново считать.
Впрочем, у Чекпоинта такой ворох лицензий доступен, что стоимость как закупки, так и продления варьируется в весьма широких пределах. Примерно от «что-то несколько дороговато», до «безумно дорого» :)
Я ведь правильно понимаю, что отключение NetBIOS на сетевом адаптере избавляет от этой уязвимости?
Эх, если бы только MS свои же рекомендации по Hardening хоть немного выполняла по умолчанию… Кому NetBIOS нужен по умолчанию включенным, по большому-то счету?
Дааа, процесс срастания ASA и Sourcefire проходит крайне болезненно. При этом все промежуточные поделия предлагается купить за немалые деньги. Нет, я верю, когда-нибудь всё устаканится и будет красиво, но опыт ASA CX как бэ намекает не спешить.
Я не знаю какие должны быть аргументы, чтобы выбрать эту… конструкцию против конкурентов. При этом ценовым демпингом и не пахнет — даже по сравнению с Чекпойнтами особо радоваться нечему, а уж какой-нибудь Фортинет и вовсе можно установить в двукратном количестве за те же деньги.
Ключ при установке требуют Retail и ОЕМ образы. VL — не требуют, MSDN — кажется, тоже. Начиная с Висты такой порядок, как минимум. А XP Enterprise даже без активации была :)
Нет, не путаю. Я подумал, что вы говорите об in-place hold, и предложил альтернативу.
Что касается in-place archive, на мой взгляд, это специфическое решение, учитывая что сейчас даже Preferred Architecture строится на медленных 7200 дисках. То есть, хранение под Exchange и так дешевое, и смысл отделять архив несколько теряется.
Не то что бы я что-то имею против вашего софта, но при использовании Exchange в Outlook тоже есть кнопка восстановления удаленных элементов :) Да, оттуда можно удалить руками письмо, но это уже постараться надо.
Впрочем, там плоский список писем без поиска, и если письмо удалено далеко не последним, найти его может быть сложно.
1. Согласен, есть WHC. Тем не менее, я считаю, что Windows может выполнять столько разных функций, что на совместимость именно с Hyper-V у ведоров упор значительно меньше. Можно, конечно, сказать, что зато и пользователей каких-нибудь сетевых драйверов на Windows гораздо больше и баги выявятся раньше…
И всё же, HCL именно для Hyper-V был бы плюсом.
2. Я к числу авторов PCI DSS не отношусь, поэтому спорить со стандартом не буду. Тем не менее, стандарты пишутся так, чтобы охватить (и в данном случае защитить) большое количество самых разных окружений, поэтому в частном случае требования могут быть избыточны. Я считаю, что при должной оценке рисков можно и нужно строить безопасность так, как этого требует конкретная ситуация. Впрочем, против compliance не попрешь, но это не у всех.
Как бы то ни было, патчей у vmware выходит в разы меньше, и еще меньше относится к безопасности.
3. Нет, но консоли-то у Hyper-V три! И все относятся только к виртуализации, кроме, разве что, FCM.
Powershell — согласен, сам большой поклонник MSовского подхода к CLI.
У vmware, кстати, тоже powerCLI есть, хотя лично мне и не всё нравится, как там организовано.
5. Ну вот, например: «VMware vSphere ESXi is mandatory for all virtualized deployments of Cisco Collaboration.» То есть даже если и удастся запустить CUCM на другом гипервизоре, поддержка помашет ручкой.
Касательно маркетинга — я соглашусь, vmware во многом сильна именно им. Пункт 5 относится туда же, кстати.
Но вот насчет того, что Hyper-V не требует подготовки в отличие от vmware я ну никак согласиться не могу.
На базовом уровне и то и то влёт осваивается до состояния «сервер с парой работающих виртуалок». Hyper-V, пожалуй, на полшага проще, т.к. поставить Win Server уже понятно как, роль в списке уже есть, а оснастка и модуль powershell входят в RSAT.
Вместе с тем, установка vmware сводится к загрузке с ISO и ответу на пяток вопросов вида «на какой раздел будем ставить» и «введите пароль администратора». После этого сетевые настройки прямо перед носом, клиент для управления качается при попытке зайти на ip-адрес новоявленного ESXi хоста, и дальше создать и запустить ВМ ну никак не сложнее чем в Hyper-V.
Что же касается более сложных задач, то и к Hyper-V, и к vmware подходить без специфических знаний будет очень нелегко, и для работающего окружения — попросту опасно. Потому что нужно понимать, как виртуализация работает, а не запоминать где какая кнопка. И ну никак в этом случае тот факт, что оснастка VMM входит в уже знакомые RSAT, не релевантен.
В моём понимании, как и с Windows Phone (ну не настолько, конечно), Hyper-V не хватает не столько технических возможностей, сколько поддержки рынка. Это тот самый пункт 5. А еще это куча статей и прочего fan fiction от посторонних специалистов, такого как исследования производительности, гайды а-ля «точечная настройка хоста для realtime приложений», готовые ответы на вопрос «Ошибка 0x0000BAD, что делать?», и полчища индусов в саппорте самых разных вендоров железа и софта, которые знают ответ на 10 вопросов по Hyper-V и на 100 по vmware, просто в силу того, что их задают чаще.
Как я уже сказал, в данный момент vmware сами себя загоняют в угол с помощью ценовой политики, но если ситуация хоть немного выравняется, MS понадобятся очень убедительные технические доводы в свою пользу помимо «у нас всё то же самое но несколько дешевле», чтобы развернуть неповоротливый рынок. Кстати, против KVM они бы тоже пригодились.
Я бы сказал, что разница скорее в том, что в Exchange пользовательский архив и архив «для инцидентов» — совершенно разные части. Пользовательский in-place archive требует enterprise CAL и не решает задач, которые вы перечислили, зато доступен пользователям. Архив для инцидентов работает через in-place hold или SingleItemRecovery и eDiscovery search, и решает все эти проблемы, но пользователю недоступен.
У подхода Exchange есть плюсы — например, письма хранятся один раз и это экономит дисковое пространство. Для расследования инцидентов просто делается поиск по письмам в ящике и архиве, а также дополнительной «корзине удаленных элементов».
Есть и минусы — работа с отдельным discovery mailbox'ом далеко не всегда удобна, а поиск создает копии писем на лету, поэтому при большой выборке процесс может сильно затянуться.
Так-то да, только вот городить DECT-покрытие более-менее значительной площади весьма накладно, а если уже есть нормальный Wi-Fi, то и вовсе странно… Так что потребители, я думаю, вполне могли бы понять и простить.
Есть же 7925G в природе, в конце-концов, значит и клиенты на wi-fi трубки существуют.
Неправда ваша, для звонков куда удобнее иметь аппаратные кнопки, чем прыгать туда-сюда между приложениями и промахиваться на ощупь по экранной клавиатуре. Тем более внутри офиса на короткие номера.
Но про wi-fi я мысль поддерживаю — где wi-fi трубки?! Один DECT на рынке. Даже задорого ничего нет путного.
Я бы наверное в такой ситуации попробовал запустить pfsense на каком-нибудь из верхних Xeon E3. Лично не использовал, но отзывов слышал хороших много, и под задачу идеально вписывается, мне кажется. IPsec там работает с AES-NI, так что тоже проблем не должно быть.
Помнится, на какой-то из сессий Cisco Live по ISRам выступающий недвусмысленно намекал, что вы, мол, не на номер по старшинству модели смотрите, а на год выпуска, т.к. процессор там будет совсем другой. И даже что, мол, если свежие 800е с 1900ми сравните, можете удивиться. На слайдах этого не было, но вслух было сказано именно так.
Хотя, конкретно по процессору в C881 у меня информации тоже нет. Будет на руках несколько штук через месяц, попробую померять интереса ради. У вас в iperf какие ключи были выставлены, помимо tcp и пяти потоков?
10Gpbs пока еще не SOHO сегмент, но варианты «подешевле» уже есть — от mikrotik и ubiquiti до vyatta и pfsense. Тестов внятных нет (чтобы с сервисами и маленькими пакетами), поддержки тоже нет, ну зато и $30K не стоят :)
Если не секрет, сколько и где вы платите за подключение, что при этом приличный маршрутизатор в бюджет не вписывается?
До космоса правда не дотягивает — там мажоритарное резервирование, по три канала всего, чего только можно :) Чтобы сразу было понятно, который из каналов сломался. Но это достоинств устройства из статьи не умаляет.
Скажите, а точно лицензирование той же Oracle DB будет на одну ноду, а не на обе? Несколько удивительно, учитывая их политику лицензирования, скажем, кластеров виртуализации (если гипервизоры не Oracle).
MS вместо логичной архитектуры прикрутили облако к Windows всеми костылями, какие были под рукой. Причем в W8 это было бы простительно, но то что в W10 работы над ошибками не случилось — показательно.
В любом случае, находка с MS Account шикарная, вся кривая попытка MS сделать облачный «домен» из обычного трещит по швам :) Полагаю, есть даже шанс что исправят на сей раз. Облако — это у них сейчас святое.
Хотелось бы добавить, что оглядевшись по сторонам, можно легко заметить, что склад с одеждой не имеет двери метровой толщины, как банковское хранилище. А офис ООО Ромашка, крупнейшего поставщика семян и саженцев в СЗФО охраняется немного не так, как атомная электростанция.
Потому что в первом случае куда меньше желающих посягнуть на нажитое честным путём, а во втором — куда меньше последствия посягательства. Хотя обе фирмы разорятся с высокой вероятностью, если потеряют склад товара или все бумаги за десять лет своего существования.
Так что при всей любви к параноидальному искусству защиты информации и увлекательному поиску уязвимостей с отладчиком наперевес, в корпоративном мире эта работа скорее про компромисс, выбор небольшого подмножества мер по повышению безопасности из бескрайнего моря уже существующих наработок, и методичное внедрение и поддержание этих мер в дальнейшем.
И хотя теоретически после этого любой взломщик с мозгом чуть больше обезьяньего всё равно радостно зайдет и стащит 95% корпоративной инфы, во-первых, самые ценные 5% останутся недосягаемы, а во-вторых, вероятность что такой товарищ вам встретится в реальности — чуть менее, чем никакая.
Зато наконец-то китайцы перестанут взламывать каждую неделю SQL сервер с базами бухгалтерии, с открытым наружу RDP и учеткой .\Администратор Passw0rd. И учитывая то, сколько работы пришлось провести, чтобы этот сценарий стал невозможен ни сейчас, ни завтра — это вполне себе достижение.
Во-первых, RAID5 на действительно больших массивах перестраивается так долго и так тормозит, что использовать его просто нет смысла. Так что появления URE вы с высокой вероятностью просто не дождетесь, плюнете и пересоберете массив начисто :)
Во-вторых, любой приличный RAID-контроллер умеет отключать кэш на дисках, иначе к чему все эти навороты с батарейками?
В-третьих, SAS 15K никому не нужны, потому что есть SSD за те же деньги в 2.5" форм-факторе и гораздо быстрее. Линейки 15К дисков давным-давно не обновляются.
В-четвертых, хотя идея про неправильное поведение десктопных дисков при ошибках верная, в объяснении у вас каша. Если контроллер «теряет» диск при длительном времени ответа, с чего бы ему начинать ребилд после этого? Ничего он не начнет пока вы диск не поменяете.
А на самом-то деле проблема как раз в том, что контроллер НЕ потеряет диск с длительным временем доступа, и весь массив будет ждать чтения сбойного сектора.
Вот и развивать бы Firepower им отдельно, раз он хорош сам по себе, прикрутить туда VPN от ASA, а остальные ASA-части в EOL. Не думаю что кто-то из клиентов очень сильно расстроится.
Либо уж тогда встраивать FP движок к себе в ASA OS нативно.
Я согласен, по сравнению с тем, что было, единое управление на базе FP — это прогресс. Но в целом им NGFW как продукт еще пилить и пилить, а у конкурентов глобально все уже допилено.
Впрочем, у Чекпоинта такой ворох лицензий доступен, что стоимость как закупки, так и продления варьируется в весьма широких пределах. Примерно от «что-то несколько дороговато», до «безумно дорого» :)
Эх, если бы только MS свои же рекомендации по Hardening хоть немного выполняла по умолчанию… Кому NetBIOS нужен по умолчанию включенным, по большому-то счету?
Дааа, процесс срастания ASA и Sourcefire проходит крайне болезненно. При этом все промежуточные поделия предлагается купить за немалые деньги. Нет, я верю, когда-нибудь всё устаканится и будет красиво, но опыт ASA CX как бэ намекает не спешить.
Я не знаю какие должны быть аргументы, чтобы выбрать эту… конструкцию против конкурентов. При этом ценовым демпингом и не пахнет — даже по сравнению с Чекпойнтами особо радоваться нечему, а уж какой-нибудь Фортинет и вовсе можно установить в двукратном количестве за те же деньги.
Странный зверь, в общем.
Что касается in-place archive, на мой взгляд, это специфическое решение, учитывая что сейчас даже Preferred Architecture строится на медленных 7200 дисках. То есть, хранение под Exchange и так дешевое, и смысл отделять архив несколько теряется.
Впрочем, там плоский список писем без поиска, и если письмо удалено далеко не последним, найти его может быть сложно.
И всё же, HCL именно для Hyper-V был бы плюсом.
2. Я к числу авторов PCI DSS не отношусь, поэтому спорить со стандартом не буду. Тем не менее, стандарты пишутся так, чтобы охватить (и в данном случае защитить) большое количество самых разных окружений, поэтому в частном случае требования могут быть избыточны. Я считаю, что при должной оценке рисков можно и нужно строить безопасность так, как этого требует конкретная ситуация. Впрочем, против compliance не попрешь, но это не у всех.
Как бы то ни было, патчей у vmware выходит в разы меньше, и еще меньше относится к безопасности.
3. Нет, но консоли-то у Hyper-V три! И все относятся только к виртуализации, кроме, разве что, FCM.
Powershell — согласен, сам большой поклонник MSовского подхода к CLI.
У vmware, кстати, тоже powerCLI есть, хотя лично мне и не всё нравится, как там организовано.
5. Ну вот, например: «VMware vSphere ESXi is mandatory for all virtualized deployments of Cisco Collaboration.» То есть даже если и удастся запустить CUCM на другом гипервизоре, поддержка помашет ручкой.
Касательно маркетинга — я соглашусь, vmware во многом сильна именно им. Пункт 5 относится туда же, кстати.
Но вот насчет того, что Hyper-V не требует подготовки в отличие от vmware я ну никак согласиться не могу.
На базовом уровне и то и то влёт осваивается до состояния «сервер с парой работающих виртуалок». Hyper-V, пожалуй, на полшага проще, т.к. поставить Win Server уже понятно как, роль в списке уже есть, а оснастка и модуль powershell входят в RSAT.
Вместе с тем, установка vmware сводится к загрузке с ISO и ответу на пяток вопросов вида «на какой раздел будем ставить» и «введите пароль администратора». После этого сетевые настройки прямо перед носом, клиент для управления качается при попытке зайти на ip-адрес новоявленного ESXi хоста, и дальше создать и запустить ВМ ну никак не сложнее чем в Hyper-V.
Что же касается более сложных задач, то и к Hyper-V, и к vmware подходить без специфических знаний будет очень нелегко, и для работающего окружения — попросту опасно. Потому что нужно понимать, как виртуализация работает, а не запоминать где какая кнопка. И ну никак в этом случае тот факт, что оснастка VMM входит в уже знакомые RSAT, не релевантен.
В моём понимании, как и с Windows Phone (ну не настолько, конечно), Hyper-V не хватает не столько технических возможностей, сколько поддержки рынка. Это тот самый пункт 5. А еще это куча статей и прочего fan fiction от посторонних специалистов, такого как исследования производительности, гайды а-ля «точечная настройка хоста для realtime приложений», готовые ответы на вопрос «Ошибка 0x0000BAD, что делать?», и полчища индусов в саппорте самых разных вендоров железа и софта, которые знают ответ на 10 вопросов по Hyper-V и на 100 по vmware, просто в силу того, что их задают чаще.
Как я уже сказал, в данный момент vmware сами себя загоняют в угол с помощью ценовой политики, но если ситуация хоть немного выравняется, MS понадобятся очень убедительные технические доводы в свою пользу помимо «у нас всё то же самое но несколько дешевле», чтобы развернуть неповоротливый рынок. Кстати, против KVM они бы тоже пригодились.
У подхода Exchange есть плюсы — например, письма хранятся один раз и это экономит дисковое пространство. Для расследования инцидентов просто делается поиск по письмам в ящике и архиве, а также дополнительной «корзине удаленных элементов».
Есть и минусы — работа с отдельным discovery mailbox'ом далеко не всегда удобна, а поиск создает копии писем на лету, поэтому при большой выборке процесс может сильно затянуться.
Set-mailbox -singleitemrecoveryenabled $true
Есть же 7925G в природе, в конце-концов, значит и клиенты на wi-fi трубки существуют.
Но про wi-fi я мысль поддерживаю — где wi-fi трубки?! Один DECT на рынке. Даже задорого ничего нет путного.
Я бы наверное в такой ситуации попробовал запустить pfsense на каком-нибудь из верхних Xeon E3. Лично не использовал, но отзывов слышал хороших много, и под задачу идеально вписывается, мне кажется. IPsec там работает с AES-NI, так что тоже проблем не должно быть.
Хотя, конкретно по процессору в C881 у меня информации тоже нет. Будет на руках несколько штук через месяц, попробую померять интереса ради. У вас в iperf какие ключи были выставлены, помимо tcp и пяти потоков?
Если не секрет, сколько и где вы платите за подключение, что при этом приличный маршрутизатор в бюджет не вписывается?