Как стать автором
Обновить
32
0

Пользователь

Отправить сообщение

Обновляем Check Point с R77.30 на 80.20

Время на прочтение9 мин
Количество просмотров5.6K


Осенью 2019 года Check Point прекратил поддержку версий R77.XX, и нужно было обновляться. О разнице между версиями, плюсах и минусах перехода на R80 сказано уже немало. Давайте лучше поговорим о том, как, собственно, обновить виртуальные appliance Check Point (CloudGuard for VMware ESXi, Hyper-V, KVM Gateway NGTP) и что может пойти не так.

Итак, у нас было 2 инженера CCSE, более десятка виртуальных кластеров Check Point R77.30, несколько облаков, немножечко хотфиксов и целое море разнообразных багов, глюков и всего такого, всех цветов и размеров, а еще очень сжатые сроки. Погнали!
Содержание:

Подготовка
Обновляем сервер управления
Обновляем кластер



Так выглядит типичная облачная инфраструктура клиента с виртуальным Check Point
Читать дальше →

PDU и все-все-все: распределение питания в стойке

Время на прочтение6 мин
Количество просмотров55K

Одна из стоек внутренней виртуализации. Заморочились с цветовой индикацией кабелей: оранжевый обозначает нечетный ввод по питанию, зеленый – четный.

Мы тут чаще всего рассказываем про “крупняк” – чиллеры, ДГУ, ГРЩ. Сегодня речь пойдет о “мелочах” – розетки в стойках, они же Power Distribution Unit (PDU). В наших дата-центрах более 4 тысяч стоек, забитых ИТ-оборудованием, поэтому в деле я видел много всякого: классические PDU, “умные” – с мониторингом и управлением, обычные блоки розеток. Сегодня расскажу, какие PDU бывают и что лучше выбрать в конкретной ситуации.
Читать дальше →

Как из бумажной безопасности сделать практическую, или зачем нам соблюдение 152-ФЗ и PCI DSS в одном облаке

Время на прочтение5 мин
Количество просмотров7.4K
Наша IaaS-платформа Cloud-152 одновременно сертифицирована по требованиям PCI DSS и имеет аттестат соответствия 152-ФЗ по УЗ-2 (без актуальных угроз 1-го и 2-го типа). Эта же платформа входит еще и в область действия нашей системы управления информационной безопасностью (СУИБ), которую мы сертифицировали по ISO/IEC 27001:2013. Про это и про STAR Cloud Security Alliance (CSA) я обязательно как-нибудь тоже расскажу, но сегодня остановлюсь на плюсах синергии PCI DSS и 152-ФЗ для наших клиентов.
Читать дальше →

Не сканированием единым, или как построить процесс управления уязвимостями за 9 шагов

Время на прочтение6 мин
Количество просмотров6.2K
4 июля мы проводили большой семинар по управлению уязвимостями. Сегодня мы публикуем расшифровку выступления Андрея Новикова из Qualys. Он расскажет, какие этапы нужно пройти, чтобы выстроить рабочий процесс управления уязвимостями. Спойлер: до сканирования мы доберемся только к середине пути.


DISKOBALL: соревнования по метанию HDD-дисков, 23 августа, г. Москва

Время на прочтение1 мин
Количество просмотров8.8K


У нас было 150 дисков, 300 литров пива и 150 айтишников, готовых пустить все это в дело.
Это мы про DISKOBALL: первые в России соревнования по метанию HDD-дисков, которые пройдут 23 августа в Москве.

Участники соревнований поборются за главный приз — электросамокат.
А всех желающих ждет настольный теннис, гигантская дженга, уничтожение HDD-дисков кувалдой и вкусные угощения весь вечер.

Если вы сисадмин, инженер или просто практикующий ИТ-специалист, ждем вас
23 августа в 15 часов на стадионе «Метеор» (г. Москва).
Подробности и регистрация на официальном сайте

P.S.: С таким летом, возможно, нам понадобится не пиво, а глинтвейн и пледы — но веселью это все равно не помешает ;)

Анализ производительности ВМ в VMware vSphere. Часть 3: Storage

Время на прочтение7 мин
Количество просмотров33K


Часть 1. Про CPU
Часть 2. Про Memory

Сегодня разберем метрики дисковой подсистемы в vSphere. Проблема со стораджем – самая частая причина медленной работы виртуальной машины. Если в случаях с CPU и RAM траблшутинг заканчивается на уровне гипервизора, то при проблемах с диском, возможно, придется разбираться с сетью передачи данных и СХД.

Тему буду разбирать на примере блочного доступа к СХД, хотя при файловом доступе счетчики примерно те же.
Читать дальше →

Как я стал уязвимым: сканируем ИТ-инфраструктуру с помощью Qualys

Время на прочтение4 мин
Количество просмотров19K
Всем привет!

Сегодня хочу рассказать про облачное решение по поиску и анализу уязвимостей Qualys Vulnerability Management, на котором построен один из наших сервисов.

Ниже покажу, как организовано само сканирование и какую информацию по уязвимостям можно узнать по итогам.


Читать дальше →

Семинар «Управление уязвимостями: стандарты, реальность, инструменты», 4 июля, Москва

Время на прочтение1 мин
Количество просмотров1.5K


Всем привет!

4 июля мы проведем небольшой Vulnerability Management Day.

Поговорим о том, какие стандарты и best practice существуют и как это все ложится (или нет ;)) на реальную жизнь.

Мы пригласили экспертов по различным продуктам и соответственно со своим подходом к управлению уязвимостями. Будет и отдельное выступление про open-source инструменты.
Мы не будем разбирать какие-то узкие уязвимости, поговорим в общем об управлении уязвимостями.

Обещаем много полезных докладов по делу, живое общение с экспертами и вкусный фуршет на закуску. Приходите!

Регистрация на семинар и на онлайн-трансляцию по ссылке.

Дата и время: 4 июля, 10:30.
Место: Москва, Спартаковский переулок 2с1, подъезд №7, Пространство Весна
Читать дальше →

Анализ производительности ВМ в VMware vSphere. Часть 2: Memory

Время на прочтение10 мин
Количество просмотров38K


Часть 1. Про CPU
Часть 3. Про Storage

В этой статье поговорим про счетчики производительности оперативной памяти (RAM) в vSphere.
Вроде бы с памятью все более однозначно, чем с процессором: если на ВМ возникают проблемы с производительностью, их сложно не заметить. Зато если они появляются, справиться с ними гораздо сложнее. Но обо всем по порядку.
Читать дальше →

VMware NSX для самых маленьких. Часть 6. Настройка VPN

Время на прочтение8 мин
Количество просмотров19K


Часть первая. Вводная
Часть вторая. Настройка правил Firewall и NAT
Часть третья. Настройка DHCP
Часть четвертая. Настройка маршрутизации
Часть пятая. Настройка балансировщика нагрузки

Сегодня мы посмотрим на возможности настройки VPN, которые предлагает нам NSX Edge.

В целом мы можем разделить VPN-технологии на два ключевых вида:

  • Site-to-site VPN. Чаще всего используется IPSec для создания защищенного туннеля, например, между сетью главного офиса и сетью на удаленной площадке или в облаке.
  • Remote Access VPN. Используется для подключения отдельных пользователей к частным сетям организаций с помощью ПО VPN-клиента.

NSX Edge позволяет нам использовать оба варианта.
Настройку будем производить с помощью тестового стенда с двумя NSX Edge, Linux-сервера с установленным демоном racoon и ноутбука с Windows для тестирования Remote Access VPN.
Читать дальше →

Анализ производительности виртуальной машины в VMware vSphere. Часть 1: CPU

Время на прочтение11 мин
Количество просмотров79K


Если вы администрируете виртуальную инфраструктуру на базе VMware vSphere (или любого другого стека технологий), то наверняка часто слышите от пользователей жалобы: «Виртуальная машина работает медленно!». В этом цикле статей разберу метрики производительности и расскажу, что и почему «тормозит» и как сделать так, чтобы не «тормозило».

Буду рассматривать следующие аспекты производительности виртуальных машин:

  • CPU,
  • RAM,
  • DISK,
  • Network.

Начну с CPU.

Для анализа производительности нам понадобятся:

  • vCenter Performance Counters – счетчики производительности, графики которых можно посмотреть через vSphere Client. Информация по данным счетчикам доступна в любой версии клиента (“толстый” клиент на C#, web-клиент на Flex и web-клиент на HTML5). В данных статьях мы будем использовать скриншоты из С#-клиента, только потому, что они лучше смотрятся в миниатюре:)
  • ESXTOP – утилита, которая запускается из командной строки ESXi. С ее помощью можно получить значения счетчиков производительности в реальном времени или выгрузить эти значения за определенный период в .csv файл для дальнейшего анализа. Далее расскажу про этот инструмент подробнее и приведу несколько полезных ссылок на документацию и статьи по теме.

Читать дальше →

PowerShell Desired State Configuration и напильник: часть 1. Настройка DSC Pull Server для работы с базой данных SQL

Время на прочтение6 мин
Количество просмотров7.1K


PowerShell Desired State Configuration (DSC) сильно упрощает работу по развертыванию и конфигурированию операционной системы, ролей сервера и приложений, когда у вас сотни серверов.

Но при использовании DSC on-premises, т.е. не в MS Azure, возникает пара нюансов. Они особенно ощутимы, если организация большая (от 300 рабочих станций и серверов) и в ней еще не открыли мир контейнеров:

  • Нет полноценных отчетов о состоянии систем. Если нужная конфигурация не применилась на каких-то серверах, то без этих отчетов мы об этом не узнаем. От встроенного сервера отчетов информацию получить довольно сложно, а для большого количества хостов – еще и долго.
  • Отсутствует масштабируемость и отказоустойчивость. Невозможно построить ферму опрашивающих веб-серверов DSC, которые бы имели единую отказоустойчивую базу данных и общее хранилище mof-файлов конфигураций, модулей и ключей регистрации.

Сегодня я расскажу, как можно решить первую проблему и получить данные для построения отчетности. Все было бы проще, если в качестве базы данных можно было бы использовать SQL. MS обещает встроенную поддержку только в Windows Server 2019 или в build Windows server 1803. Забирать данные с использованием OleDB provider тоже не получится, так как DSC-сервер использует именованный параметр, который не полностью поддерживается OleDbCommand.

Нашел вот такой способ: тем, кто использует Windows Server 2012 и 2016, можно настроить использование БД SQL в качестве backend’a для опрашивающего DSC-сервера. Для этого создадим «прокси» в виде .mdb файла со связанными таблицами, который будет перенаправлять данные, полученные от отчетов клиентов, в БД SQL-сервера.
Читать дальше →

VMware NSX для самых маленьких. Часть 5. Настройка балансировщика нагрузки

Время на прочтение8 мин
Количество просмотров10K


Часть первая. Вводная
Часть вторая. Настройка правил Firewall и NAT
Часть третья. Настройка DHCP
Часть четвертая. Настройка маршрутизации

В прошлый раз мы говорили о возможностях NSX Edge в разрезе статической и динамической маршрутизации, а сегодня будем разбираться с балансировщиком.

Прежде чем приступить к настройке, я хотел бы совсем кратко напомнить об основных видах балансировки.
Читать дальше →

Мифы о 152-ФЗ, которые могут дорого обойтись оператору персональных данных

Время на прочтение10 мин
Количество просмотров93K
Всем привет! Я руковожу центром киберзащиты DataLine. К нам приходят заказчики с задачей выполнения требований 152-ФЗ в облаке или на физической инфраструктуре.
Практически в каждом проекте приходится проводить просветительскую работу по развенчанию мифов вокруг этого закона. Я собрал самые частые заблуждения, которые могут дорого обойтись бюджету и нервной системе оператора персональных данных. Сразу оговорюсь, что случаи госконтор (ГИС), имеющих дело с гостайной, КИИ и пр. останутся за рамками этой статьи.

Читать дальше →

VMware NSX для самых маленьких. Часть 4. Настройка маршрутизации

Время на прочтение3 мин
Количество просмотров12K
Читать дальше →

Семинар «Требования ИБ: как бизнесу с ними жить»

Время на прочтение1 мин
Количество просмотров2.5K


Всем привет! Если вам регулярно приходится ломать голову над тем, как организовать ИТ-инфраструктуру, соответствующую 152-ФЗ, 187-ФЗ, PCI DSS и пр., то приходите на наш семинар 28 марта.

Мы расскажем, как выполнить требования законодательства в сфере информационной безопасности и не сойти с ума.

Дата и время: 28 марта, 10:30.
Место: Москва, Спартаковский переулок 2с1, подъезд №7, Пространство Весна
Спикеры: Василий Степаненко, директор центра киберзащиты DataLine, Дмитрий Никифоров, менеджер по развитию направления ИБ.
Читать дальше →

Виртуальные Check Point'ы: чек-лист по настройке

Время на прочтение6 мин
Количество просмотров8.3K


Многие клиенты, арендующие у нас облачные ресурсы, используют виртуальные Check Point’ы. С их помощью клиенты решают различные задачи: кто-то контролирует выход серверного сегмента в Интернет или же публикует свои сервисы за нашим оборудованием. Кому-то необходимо прогонять весь трафик через IPS blade, а кому-то хватает Check Point в роли VPN-шлюза для доступа к внутренним ресурсам в ЦОДе из филиалов. Есть и те, кому нужно защитить свою инфраструктуру в облаке для прохождения аттестации по ФЗ-152, но об этом я расскажу как-нибудь отдельно.

По долгу службы я занимаюсь поддержкой и администрированием Check Point'ов. Сегодня расскажу, что нужно учесть при разворачивании кластера из Check Point'ов в виртуальной среде. Затрону моменты уровня виртуализации, сети, настроек самого Check Point'а и мониторинга.
Не обещаю открыть Америку – многое есть в рекомендациях и best practices вендора. Но их же никто не читает), поэтому погнали.
Читать дальше →

VMware NSX для самых маленьких. Часть 3. Настройка DHCP

Время на прочтение2 мин
Количество просмотров7.9K


Часть первая. Вводная
Часть вторая. Настройка правил Firewall и NAT

DHCP – сетевой протокол, позволяющий вашим виртуальным машинам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети TCP/IP.

В NSX Edge есть три опции настроек DHCP:

  1. DHCP pool – создание пула адресов, которые будут выдаваться автоматически клиентам DHCP;
  2. DHCP binding – привязка конкретного IP-адреса к определенному mac-адресу;
  3. DHCP Relay – использование стороннего DHCP-сервера, выдающего IP-адреса серверам, которые находятся в других подсетях (отличных от DHCP-сервера).
Читать дальше →

Семинар «Почему мы связались с Kubernetes и что у нас из этого получается», 28 февраля, Москва

Время на прочтение1 мин
Количество просмотров2.3K
Всем привет!

В ноябре мы запустили сервис по предоставлению и обслуживанию кластеров Kubernetes — KuberLine.

28 февраля мы расскажем, что такое Kubernetes и как его «готовить», чтобы от него была польза.
Будем рады видеть всех, кто уже хорошо знаком с контейнерами или только собирается открыть для себя этот «новый, дивный мир». Участие бесплатно, но нужно зарегистрироваться.

Дата и время: 28 февраля, 10:30.
Место: Москва, Спартаковский переулок 2с1, подъезд №7, Пространство Весна
Спикеры: Михаил Соловьев, R&D директор, Сергей Старицын, инженер Kubernetes.

Читать дальше →

VMware NSX для самых маленьких. Часть 2. Настройка Firewall и NAT

Время на прочтение3 мин
Количество просмотров17K


Часть первая
После небольшого перерыва возвращаемся к NSX. Сегодня покажу, как настроить NAT и Firewall.
Читать дальше →

Информация

В рейтинге
Не участвует
Работает в
Зарегистрирован
Активность