company_banner

Место, где можно проверить на прочность enterprise-софт в центре решений Symantec

    Есть задачи, которые можно посмотреть на готовой инфраструктуре в крупной компании. Большое количество программ Enterprise-уровня пишется под конкретную систему или платформу — и поэтому они так малоизвестны. Точнее, известны по листовкам, а в них, кажется, никто не пишет, что у них слабо работает.

    Все говорят, что все работает идеально. Читаешь, и чувствуешь, в каком прекрасном мире живешь. Аж на слезу прошибает.

    Ниже я простыми словами объясняю, как и что работает для крупных компаний и какие бывают масштабные задачи на примере центра решений Symantec, где развернут симулятор инфраструктуры крупного бизнеса. Бэкап, безопасность, работа с почтой, отслеживание проблем на тысячах узлов и так далее.

    Можно прийти и протестировать, на каком уровне маркетологи честны.
    Но самое главное, можно понять, насколько та или иная система применима в вашем конкретном случае, а не покупать кота в мешке.

    Почта


    Тут все просто. У пользователей есть PST-файлы, и они неконтролируемо растут. Раньше частой причиной драм, к примеру, был выход файла за 4Gb — Outlook просто не мог его открыть. Много проблем с локальным местом и производительностью, плюс очень много хорошо архивируемой и дублирующейся информации. Логичное решение — централизованное хранение. Все большие компании рано или поздно так делают и хранят почту где-то в единой системе, отправляя старые сообщения в архив. Тоже единый. На Западе эволюция развития почтовых систем шла к этому по ветке служебных расследований: там уровень промшпионажа такой, что если у вас за день не попробовали что-то украсть, значит, вы были недостаточно внимательными. Так вот, безопасники очень любили браузить корпоративную почту, и делали это именно из центрального хранилища. В России больше вопросов встает со стабильностью работы и экономией ресурсов.



    Обе задачи — и удобства, и безопасности — решает Symantec Enterprise Vault. У нас в симуляторе инфраструктуры крупной компании он работает в связке с Microsoft Exchange. Почтовые сообщения импортируются из pst-файлов на рабочих компьютерах пользователей в архивное хранилище Enterprise Vault. Удобно и практично.

    Предотвращение утечки конфиденциальной информации


    Представьте, что у вас в штате 5000 человек. Пользователи отправляют ваши документы почтой, Вконтакте, выкладывают в Дропбокс, таскают на флешках, пишут с ними подкаст или выдумают еще что-то. Хочется по возможности заблокировать все это. А особо изобретательных ловить постфактум и отрывать им руки.

    Есть решение, которое позволяет построить комплексное решение для обнаружения конфиденциальной информации вне зависимости от ее месторасположения: в сети, хранилищах данных, на серверах или устройствах пользователей. Его функционал дает возможность создавать и применять различные политики, регламентирующие защиту и передачу конфиденциальных данных, основываясь на их содержании и оценке рисков информационной безопасности. Решение построено на базе продукта Symantec Data Loss Prevention.


    Вообще, здесь я хотел приложить картинку молотка, но коллеги сказали, что вы можете подумать, что это имеет отношение к тому, что бывает со сливающими информацию

    Другими словами, это сложная экспертная система, которая обучена искать данные, которые вы считаете конфиденциальными. Она учится, учитывает разные уловки пользователей и позволяет надежно защитить свою инфраструктуру. Лучше нее, пожалуй, может только товарищ майор, который будет читать вообще весь трафик. Только тогда вам понадобится где-то пара тысяч таких майоров.

    В случае, если найдется кто-то слишком умный, и данные утекут — всегда можно будет узнать имя и фамилию дыры в безопасности. Хорошая система, ее у нас в России любят и ценят, как и на Западе. Только у нас ее любят и ценят до инцидентов (благо паранойя выше), а там, как правило, после.

    Резервное копирование и дедупликация


    Бэкап — это первая вещь, которую делает опытный администратор. Решений для бэкапа существует великое множество, и все они по-своему хороши. В моей практике Symantec NetBackup применяется тогда, когда все остальное уже не помогает, а деньги еще есть. Этот комбайн умеет бэкапить все, в том числе – банковские базы, которые нельзя вот так просто взять и скопировать из-за тысяч транзакций каждую секунду. Такую систему с наскоку не поставишь, тут нужна квалификация, поэтому мы как интегратор этим занимаемся.

    Позволяет производить дедупликацию информации, репликацию готовых резервных копий в резервный ЦОД, быстро копировать и восстанавливать виртуальные серверы. Также решение автоматизирует процесс создания мгновенных снимков (снапшотов) аппаратных и программных систем. У нас в центре развернут NetBackup как ПО, а также есть ПАК NetBackup Appliance. И есть еще второе решение по резервному копированию — Symantec Backup Exec. NetBackup — это если вы банк или телеком, или просто крупный бизнес. Backup Exec — для относительно небольших предприятий, построенных преимущественно на Windows и Linux-платформах.


    Где-то тут лежит черновик моего поста, и если он понадобится – безопасник достанет его за полминуты. Кстати, там для него подарок.

    Да, современные решения для бэкапа имеют агенты для всего популярного софта, СУБД и виртуальных сред. Проще говоря — понимают, какие данные и как нужно забирать, как хранить и предлагать пользователю. От продуманности софта зависит, сможет ли агент забрать базу «на лету» без остановки сервиса, сможет ли админ за 15 секунд восстановить одну запись в базе, и сможет ли пользователь-блондинка самостоятельно вернуть случайно удаленное два года назад письмо. Очень важное.

    Проиллюстрирую. У заказчика разрослась инфраструктура, и разрослась сильно. Появился «зоопарк» софта и железа, когда много вендоров, много поколений разного оборудования, много разных систем и задач. Средства для резервного копирования стали неэффективными. Во-первых, их много: по одной для подсистемы. Отдельный админ для каждого случая: очень тяжело это все мониторить, держать фокус, потому что, как правило, ресурсов все равно не хватает. Консолей около трех сотен под отдельные инсталляции. И начинается: где-то что-то прошляпили, где-то что-то не увидели, потом что-нибудь упало, и теперь, когда надо восстанавливаться, выясняется, что, опа, 2 месяца бэкапы уже не идут! И это, на самом деле, довольно жизненная ситуация. Мы же ставим один продукт. У него один администратор. Одна консоль. Админ пришел, посмотрел, открыл, за ночь все бэкапы прошли, все хорошо. И он уверен, что все нормально, то есть если надо будет – он восстановится.

    Работа с системами хранения данных


    Это такие штуки, которые даже без данных стоят как самолет. И если навернуть одну, то можно смело идти вешаться — скорее всего, там были не только картинки ваших пользователей, но и пара терабайт важных финансовых данных. Усугубляет ситуацию тот прекрасный факт, что многие СХД подключены к серверам, которым эта информация постоянно нужна. Нельзя просто взять и заменить такую систему, равно как нельзя просто взять и что-то быстренько там поменять. Как раз тот случай, когда «не влезай – убьет!».

    Поэтому есть такая штука Veritas Storage Foundation. Она нужна для разных железок от разных производителей, чтобы можно было делать свою админскую или даже сервисную работу без остановки работы бизнес-приложений. Что делать? Да что угодно: изменять размер и структуру логических томов, создавать мгновенные снимки или полные копии систем, проводить репликацию данных.


    За каждой картинкой – история как минимум одного факапа из чьей-то практики

    Однажды мы меняли очень старую СХД на системе, к которой чуть ли прикасаться нельзя было. Простой в пару секунд означал убытки в 200–300 тысяч долларов. Примерно. В общем, мы подключили вторую СХД от другого производителя, настроили с помощью Veritas Storage Foundation их работу в режиме “зеркала”, т.е. получили как бы RAID1, частями которого были две СХД. Затем дождались синхронизации данных и просто отключили старую. Сервер даже не заметил. Еще можно делать надежную быструю миграцию данных между различными платформами — HP-UX, Oracle Solaris, IBM AIX. При этом перенос объемной базы данных с одной платформы на другую занимает минуты или часы в полуавтоматическом режиме. Если делать без такого софта, то это занимает дни или недели.

    Непрерывность работы бизнес-приложений


    Сбои случаются у всех и нередко. Серьезно, у нас даже есть постоянные авиабилеты (которые без даты, самые дорогие) для некоторых инженеров. Что-то где-то в стране сломалось — и он прыгает в метро, потом в аэроэкспресс, потом в самолет, и через 4–5 часов на месте. Если есть необходимость.

    Очень помогает не летать лишний раз (а заказчику — не уходить в простой) пакет Veritas Cluster Server. Он позволяет оперативно реагировать на сбой приложения, операционной системы, сети или отдельного узла. Как только сбой обнаружен, софт радостно идет делать автоматическое восстановление критически важных бизнес-сервисов на резервной площадке, независимо от ее удаленности от основного объекта. Можно сказать, что узлы кластера как бы переговариваются между собой, постоянно сообщая о своем состоянии. И если от одного из них приходит некорректный ответ, или совсем нет ответа, то второй быстро разворачивает резерв. Вы, как правило, успеваете прочитать тревожную SMS уже в тот момент, когда работа сервисов уже переключается на резервный ЦОД.

    Софт «из коробки» интегрируется практически со всеми СУБД и ОС корпоративного уровня.

    Управление сложной инфраструктурой


    Когда у вас одних только кластеров под сотню, начинаются проблемы с администрированием. Чаще всего речь об инфраструктуре типа телекома, крупного провайдера или банка, а также страховой или крупной розницы. В общем, где могут найтись десятки СХД, тысячи обычных узлов и несколько ЦОДов.

    Главное в такой инфраструктуре — не упустить момент. В смысле, что проблема может подкрасться незаметно, и ее поиск требует кучи времени. С учетом, что обычно все это еще и передается «по наследству» новым админам, проблемы случаются.

    Есть Veritas Operations Manager (VOM) и OpsCenter. VOM сводит все консоли всех кластеров и менеджеров логических томов в один удобный web-интерфейс. Там есть еще «светофор» — он помогает искать проблемы там, где они, по мнению продукта, могут возникнуть. Что характерно, помогает, и помогает здорово. OpsCenter делает примерно то же самое для отдельных консолей бэкапного софта.

    Но, конечно, если вам нравятся десятки консолей, то никаких проблем ходить напрямую нет.



    Защита серверов


    Штука с интригующим и гордым названием Symantec Critical System Protection делает именно Critical System Protection. Решение представляет собой высокоточные средства контроля уязвимостей, обнаружения и предотвращения вторжений. Все та же старая добрая экспертная система, которая ищет взаимосвязи, странные события, строит профили разного вида активностей и умеет находить по трем-четырем слабым сигналам возможную проблему. Ее, кстати, обкатывают на Symantec Cyber Challenge — одном из крупнейших мировых соревнований по безопасности, когда хакеры со всего мира в несколько этапов ломают симулятор сети корпорации. В прошлом году по региону EMEA выиграл русский студент v0s — теперь его паттерны, равно как и паттерны остальных участников, пополнили библиотеку атак. Про то, как работает комплекс в теории, моя коллега писала отдельно здесь в ликбезе по современной ИБ.

    Центр решений


    Итак, у нас есть некий симулятор инфраструктуры крупной компании (со своими базами данных большого объема, замусоренными машинами, забитыми СХД в филиалах, сложными случаями и неугомонными пользователями, точнее, результатами их работы). Все это развернуто не только в виртуалках, но и на физическом железе шести разных производителей, и поверх всего этого установлены решения Symantec, которые можно прийти и пощупать. Более того, можно приносить свои тестовые базы данных, чтобы смотреть, как Symantec скажет «хррр» на них.

    Поэтому заглядывайте в гости, если вам нужен серьезный софт или ПАК. Так, чтобы было конкретно понятно, что именно он делает, как именно и где у него слабые места. Сильные-то вы уже знаете, а вот что вас ждет через год практики именно в вашей инфраструктуре — самый важный вопрос. Мы с коллегами помогаем отвечать на такие вопросы и показываем все как есть, сразу предупреждая про грабли. К счастью, не в наших интересах обещать что-то лишнее — потом ведь все это придется поддерживать нам.

    Меня можно найти по почте ADubskiy@croc.ru или же записаться в центр здесь.
    • +15
    • 7,5k
    • 6
    КРОК
    285,50
    IT-компания
    Поделиться публикацией

    Комментарии 6

      0
      Symantec Data Loss Prevention


      Де факто это означает, что защиты от АНБ etc. точно нет.

      А так то норм.
        0
        Есть решение, которое позволяет построить комплексное решение для обнаружения конфиденциальной информации вне зависимости от ее месторасположения: в сети, хранилищах данных, на серверах или устройствах пользователей. Его функционал дает возможность создавать и применять различные политики, регламентирующие защиту и передачу конфиденциальных данных, основываясь на их содержании и оценке рисков информационной безопасности. Решение построено на базе продукта Symantec Data Loss Prevention.

        В чем отличия от Microsoft Active Directory Rights Management Services?

        Бэкап — это первая вещь, которую делает опытный администратор. Решений для бэкапа существует великое множество, и все они по-своему хороши. В моей практике Symantec NetBackup применяется тогда, когда все остальное уже не помогает, а деньги еще есть.

        Простите, но за эту часть незачёт.
        Тут нужна целая статья, со сравнением, хотя бы поверхностным, потому что сейчас это — маркетинговый булшит.

        Очень помогает не летать лишний раз (а заказчику — не уходить в простой) пакет Veritas Cluster Server. Он позволяет оперативно реагировать на сбой приложения, операционной системы, сети или отдельного узла. Как только сбой обнаружен, софт радостно идет делать автоматическое восстановление критически важных бизнес-сервисов на резервной площадке, независимо от ее удаленности от основного объекта.

        И снова: а что еще есть, в смысле конкуренты? Например, я знаю про Microsoft System Center Orchestrator. А в чем разница?
          +3
          Системы принципиально разные и применяются под разные задачи. DLP контролирует информационные потоки, выходящие за пределы организации и позволяет обнаруживать в них конфиденциальную информацию, а также блокировать ее передачу. Системы класса IRM, к которым относится MS RMS позволяет «упаковать» файл с конфиденциальной информацией в защищенный контейнер. Далее передача файла за пределы организации не контролируется, но проверяются права доступа при открытии файла.
            0
            Но, насколько я знаю, приложеие, открывая DRM-защищенный файл, сообщает где открывается этот файл, что все же позволяет отслеживать утечки.
          0
          Пост — ода симантеку. как-то узко очень, есть много и других enterprise-вендоров.
            0
            Прям сказки какие то

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое