Распределённые транзакции kafka + postgresql средствами spring

Особенности MetaFrame

Программное обеспечение MetaFrame 1.8 поставлялось в виде базового пакета и отдельных дополнений к нему: вы покупали MetaFrame 1.8, затем добавляли Load Balancing Services (служба распределения нагрузки), Resource Management Service (служба управления ресурсами) и Installation Management Service (служба инсталляции) в виде отдельных компонентов. MetaFrame XP собран по-другому; вместо того, чтобы быть продавать его в виде единого продукта с добавлениями, Citrix предлагает три различных версии MetaFrame XP: XPs, XPa, и XPe.

MetaFrame XPs, базовый продукт, поддерживает публикацию приложений, новый драйвер принтера и способности управления полосой пропускания для печати; доступ на чтение к Active Directory (AD), централизованное управление лицензиями, публикацию приложений на веб-страницах с NFuse, улучшенные теневые сеансы, а также поддерживает часовые пояса клиентов, чтобы часы пользователей зависели от их местоположения, а не от местоположения терминального сервера.

В дополнение ко всем ранее упомянутым особенностям, MetaFrame XPa включает Load Management (прежде Load Balansing). А версия MetaFrame XPe, предназначенная для использования в крупных организациях, поддерживает все ранее упомянутые особенности плюс системный мониторинг, Упаковка и доставка приложений, взаимодействие с инструментами управления сетями Tivoli и HP Open View (и, начиная с Feature Release 1, CA Unicenter TNG)).

Все версии MetaFrame XP работают или с WTS, или с Windows 2000 Terminal Services и не зависят от сервисных пакетов. Однако, Citrix рекомендует, чтобы вы планировали использовать MetaFrame на платформе Win2K Terminal Services или .NET — компания больше не поддерживает WTS. И хотя MetaFrame XP не зависит от специфических особенностей Windows, она может использовать некоторых из них (например, все версии MetaFrame XP могут обращаться к AD для получения настроек из профиля пользователя). Так что полные функциональные возможности сервера MetaFrame зависят от основной платформы.

Фермы серверов MetaFrame XP

Фермы серверов MetaFrame XP предоставляют гибкий способ развертывания
приложений пользователям клиентов ICA. Ферма
MetaFrame XP представляет собой группу серверов
MetaFrame XP, управляемых как единое целое. Серверы совместно используют
некоторую форму физического соединения. Кроме того, все серверы в ферме
используют одно и то же хранилище данных.

Independent Management Architecture (IMA) и клиенты ICA

IMA является унифицированной, корпоративной платформой для инсталляции, управления,
сопровождения, поддержки и безопасности служб предоставления приложений. Это
одновременно архитектурная модель и протокол межсерверных коммуникаций. IMA
состоит из центральных подсистем, которые определяют и управляют работой продуктов
Citrix.

IMA позволяет серверам MetaFrame XP быть сгруппированными в фермы, которые не
зависят от физического размещения серверов. IMA позволяет серверам MetaFrame
XP находиться в одной ферме, даже если они находятся в разных сегментах сети.

С MetaFrame XP и Citrix IMA организации получают следующие преимущества:

  • Централизованное администрирование серверов MetaFrame XP и других серверов Citrix
  • Централизованное хранилище для всех конфигурационных данных
  • Централизованное управление лицензиями
  • Поиск опубликованных приложений без рассылки широковещательных пакетов UDP.
  • Регистрация событий теневых сеансов
  • Поддержка протокола SNMP
  • Аудит администрирования

Помимо Citrix Management Console, в MetaFrame XP включен ряд утилит администрирования.
Они предоставляют возможности, не зависящие от системы IMA.

По мере роста размера компании от десятков до сотен пользователей, в ферму
можно добавить дополнительные серверы MetaFrame.

IMA и клиенты ICA

MetaFrame XP предоставляет серверные вычисления локальным и удаленным
пользователям через Неависимую Архитектуру Вычисления —
Independent Computing Architecture (ICA)

ICA является основой серверных вычислений при использовании MetaFrame XP
и клиентов ICA.
В двух словах, протокол ICA передает экраны
приложений от сервера MetaFrame XP пользователям клиента ICA, и возвращает пользовательский
ввод на сервер. Когда приложение выполняется на сервере, MetaFrame XP перехватывает
вывод приложения и использует протокол ICA для отправки этих данных (по стандартным
сетевым протоколам) программе клиента ICA, выполняющейся на устройстве клиента.
Когда пользователь использует клавиатуру или мышь, клиент ICA передает эти данные
приложению на сервере MetaFrame XP.

Протокол ICA предоставляет расширенные возможности и улучшенную производительность,
чем Windows Terminal Services. ICA обеспечивает высокую производительность на
низкоскоростных соединениях. Он не предъявляет высоких требований к устройству
клиента, включает в себя обнаружение и устранение ошибок, шифрование и сжатие
даных.

Клиенты ICA

Программное обеспечение клиента ICA позволяет пользователям соединяться с серверами
Citrix (MetaFrame XP, MetaFrame и WINFRAME) и получать доступ к приложениям.
Клиенты ICA позволяют получать доступ к приложениям Windows, Java и UNIX виртуально
с любого клиента или устройства, включая: ПК на базе процессоров 286, 386, 486
и Pentium, Windows-терминалы, сетевые компьютеры, беспроводные устройства, приспособления
на базе ICA, RISC-системы, PowerPCs, компьютеры на основе UNIX и X-терминалы.

Клиенты ICA доступны для Windows, Macintosh, UNIX, Linux, EPOC, Windows CE,
DOS и Java, а также для веб-браузеров, поддерживающих ActiveX или плагины Netscape.

Назначение администратора фермы

При установке первого сервера MetaFrame XP вы определяете первого администратора
фермы. Этот пользователь автоматически конфигурируется как администратор Citrix
с полными привилегями в Management Console. Чтобы предоставить административные
права, администратор с полыми правами должен зарегистрироваться в консоли и
создать других администраторов.

Вы можете создавать администраторов со следующими правами:

  • Полные права ко всем областям управления фермой MetaFrame XP
  • Доступ ктолько к просмотру всех областей управления
  • Доступ к отдельным областям управления или отдельным задачам администрирования;
    администраторы могут иметь права только просмотра, записи или не иметь доступа.

Подробнее см. «»

Мероприятия ИБ

  • информационная безопасность — по сути является условным состоянием информации, она либо находится в безопасности, либо нет
  • обеспечение информационной безопасности — это непрерывный процесс, направленный на обеспечение информации того самого состояния безопасности.
  • Превентивные мероприятия:
    • управление активами — прежде чем начать что-то защищать, специалист должен понять, что собственно ему нужно защитить. Для этого он проводит инвентаризацию:
      • информационных систем и их критичности для предприятия
      • сотрудников (да-да, сотрудник, по сути, также является активом организации, а иногда и довольно значимым и критичным) и их ролей
      • определяет взаимодействие между активами как на уровне систем, так и на уровне система-сотрудник и сотрудник-сотрудник
      • определяет текущие средства по защите информации (firewall, NGFW, IPS/IDS, антивирусы, системы предотвращения утечки, системы контроля аутентификации, системы защиты почты и многое-многое другое)
      • в идеале, конечно, все это должно быть описано в политике информационной безопасности предприятия, но, к сожалению, она имеется не всегда
    • управление уязвимостями — после того как специалист ИБ понял, что ему нужно защищать, ему нужно оценить текущий уровень уязвимостей его активов и текущий уровень их защиты. Для этого он собирает данные об уязвимостях информационных систем:
      • сканирует их различными сетевыми сканерами
      • проводит аудит — собирает информацию о настройках, аппаратном и программном обеспечении и проверяет его по базе данных уязвимостей, чтобы понять насколько опасные уязвимости в них содержатся
      • проводит ознакомление с компетентностью сотрудников по основам ИБ и непрерывно повышает ее (привет корпоративным почтовым рассылкам с теми или иными инструкциями, например, с просьбами не открывать письма или файлы с незнакомых e-mail адресов )
      • после анализа уязвимостей и критичности активов, на которых они были обнаружены, специалист совместно с руководством и владельцами активов принимает решение о том, что с этим делать, например:
        • обновить операционные системы или установить необходимые патчи обновлений
        • ужесточить доступ к информационной системе и настройки СрЗИ:
          • например, подкрутив настройки как сетевых, так и встроенных в ОС firewall-ов
          • установив на актив антивирусное ПО или HIPS
          • изменив настройки IPS системы, защищающей сегмент с активом
          • повысив степень мониторинга и детализацию событий на активе
          • и т.д.
        • иногда возможно даже отключение как части ненужного уязвимого функционала актива, так и всего актива в целом, если он уже не актуален
  • Детективные мероприятия — все те пункты, которые были описаны в таблице выше, по сути, относится к одному и тому же — мониторингу и работе с логами, и такими вещами, как анализ потоков трафика netflow и поиск в них:
    • определенных закономерностей — шаблонов сообщений, характеризующих то или иное критичное событие ИБ;
    • сообщений определенного вида или их последовательности, по которым также можно обнаружить критичное событие ИБ (еще лучше, если сообщения также возможно привязать к модели и уязвимостям в активах)
  • Коррективные мероприятия — это те мероприятия, которые проводятся при наступлении критичного события ИБ, когда уже произошла атака или была нарушена политика ИБ:
    • заведение инцидента ИБ — тут нужна кейс-система для учета инцидентов и действий по его расследованию
    • расследование в рамках инцидента ИБ — определение атакующих и атакуемых активов или нарушителей политики ИБ, степени воздействий и уровня нарушений и т.д.
    • по факту расследования принимаются те или иные решения:
      • скорректировать (изменить) настройки безопасности на активах или СрЗИ
      • скорректировать (изменить) политику ИБ предприятия и провести обучение персонала
  • количество источников событий (информационных систем и оборудования вендоров), которые поддерживает SIEM система из коробки
  • количество правил корреляции (для себя я их называю siem-сигнатурами), которые могут обнаруживать в потоке событий наступление того или иного критичного события и «зажигать» Alarm
  • инструментарий разработки как для первого так и для второго пунктов — возможность подключения своих источников и разработка своих правил корреляции (для своего предприятия и его политики ИБ)

Преимущества распределенных компаний

Я являюсь сооснователем и генеральным директором компании Zichain – разработчика инновационных решений в области финансовых технологий и блокчейна. Наши сотрудники живут и работают на четырех континентах, успешно объединяя усилия для реализации самых сложных проектов. 

Здесь может возникнуть закономерный вопрос: зачем вообще прибегать к подобному типу организации бизнеса? Ответ прост: распределенная компания имеет больше возможностей для оптимизации издержек и позволяет выстраивать гибкие управленческие процессы.


Фото: Unsplash

Так, при формировании команды разработчиков мы сделали ставку на интенсивное развитие Армении как нового технологического центра на территории СНГ. IT-сектор является одним из приоритетных направлений развития экономики страны и ежегодно растет более чем на 13%. Подобная динамичная среда открывает большие возможности для амбициозных проектов. Однако не все вопросы можно решить, базируясь в Ереване.

Для запуска нашей криптовалютной брокерской платформы требовалось соблюдение всех тонкостей законодательства ЕС и взаимодействие с европейскими регуляторами, поэтому мы приняли решение перенести юридическое подразделение и комплаенс-менеджмент на территорию ЕС.

На этом наша территориальная экспансия не закончилась – часть команды базируется в Китае для взаимодействия с местными инвесторами. В 2019 году мы начали наращивать свое присутствие в странах Южной Америки, так как считаем, что этот регион имеет большой потенциал для внедрения блокчейн-технологий.

Таким образом, территориальная структура нашей компании призвана соответствовать решаемым задачам и быстро адаптироваться под изменяющиеся условия.

Интеграция с Active Directory

Active Directory — это значительный шаг вперед в администрировании,
безопасности, управление рабочими столами и версиями.
Групповые политики значительно улучшены по сравнению с NT 4.0,
они позволяют интергрировать безопасность и настройки пользователей
в перемещаемые политики
(roaming policies), которые могут перемещаться между рабочими столами
(толстый клиент) и настройками опубликованных приложений.
При проектировании вашего окружения
MetaFrame обеспечьте, чтобы выделенный сервер
MetaFrame занимался только обслуживанием приложений. Установка
MetaFrame на контроллер домена не позволяет получить анонимный доступ
к приложению на этом сервере. Кроме того, высокая нагрузка на сервер
уменьшает количество возможных одновременных пользовательских сеансов.

Смешанный режим
Смешанный режим является компромиссом между функциональностью
и производительностью
Active Directory. В этом режиме некоторые функции
Active Directory недоступны. Групповая политика и политики NT 4.0
плохо работают друг с другом.
Хотя возможна совместная работа NT Terminal Services и серверов Windows 2000 MetaFrame,
трудно реализовать перемещаемые профили, политики и приложения.
Во многих случаях пользователи ощущают разницу между
NT 4.0 Terminal Services и Windows 2000 server.

«Родной» режим
Родной режим Active Directory можно активировать в том случае, когда все
контроллеры доменов работают на Windows 2000. В этом режиме
Active Directory раскрывает все свои достоинства, включая
групповые политики.

Групповые политики позволяет централизованно управлять привилегиями
и представлением сетевых ресурсов.
Фукция IntelliMirror обеспечивает поддержку конфигурации пользователя
на любой платформе, откуда он регистрируется. Это эволюционное расширение
перемещаемых профилей позволяет пользователю получать доступ к своим данным,
программам, своему рабочему столу с любого места корпоративной сети.
Наилучшая практика использования групповых политик в
MetaFrame включает:

  • Создание нескольких групп пользователей, которым необходим
    разный уровень доступа к рабочему столу (доступ к командной строке и т.п.)
  • Создание групп с разным уровнем доступа к опубликованным приложениям.
  • Использование переназначения папки «My Documents»
    на сетевой ресурс. Это может заменить старое назначение буквы «H:» для
    домашнего каталога.
  • Удаление опции «Shut Down» из меню Start.
  • Удаление панели управления из меню Start
  • Спрятать локальные драйвы сервера
  • Удалить команду Run из меню Start
  • Удалить панель MetaFrame Management.
  • Включить квоты для ограничения использования диска пользователями.

Вы еще больше можете сузить окружение:

  • Предотвратить правые щелчки мышью на рабочем столе.
  • Оставить в меню «Start» только команду «Shut Down»
    (запретив при этом ‘Shut Down Server’).
  • Запретить пользователям устанавливать принтеры.
  • Разрешить пользователям запускать приложения только с иконки на рабочем столе,
    а затем опубликовать приложения и разместить их иконки на рабочем столе пользователя.
  • Удалить «My Computer» и «My Network Places» с рабочего стола.

Это лишь немногие из настроек пользователей, которые можно сделать
с помощью
IntelliMirror и групповой политики. В некоторых случаях не требуется
предоставлять доступ к рабочему столу Windows. С помощью технологии
NFuse возможно внедрять Программное Окружение на веб-сраницу.

Двухфазная фиксация

Распределенные транзакции обычно являются спасением, используемым во множестве случаев:

  • Когда запись в разрозненные ресурсы должна быть строго согласованной;

  • Когда нам нужно писать в разнородные источники данных;

  • Когда требуется однократная обработка сообщения, и мы не можем провести рефакторинг системы и сделать ее операции идемпотентными;

  • При интеграции со сторонними системами «черного ящика» или устаревшими системами, реализующими спецификацию двухфазной фиксации.

Во всех этих ситуациях, когда масштабируемость не так важна, как согласованность, мы можем рассматривать распределенные транзакции как вариант.

Реализация архитектуры двухфазной фиксации

Технические требования для двухфазной фиксации состоят в том, что вам нужен распределенный менеджер транзакций, такой как Narayana, и надежный уровень хранения для журналов транзакций. Вам также потребуются источники данных, совместимые с DTP XA, с соответствующими драйверами XA, которые могут участвовать в распределенных транзакциях, например RDBMS, брокеры сообщений и кеши. Если вам повезло, что у вас есть нужные источники данных, но вы работаете в динамической среде, такой как Kubernetes , вам также понадобится специальный механизм, чтобы гарантировать наличие только одного экземпляра распределенного диспетчера транзакций. При этом диспетчер транзакций должен быть высоко доступным и всегда иметь доступ к журналу транзакций.

Как пример реализации вы можете использовать на контроллер восстановления Snowdrop, который использует шаблон Kubernetes StatefulSet для гарантии наличия одного элемента и постоянные тома для хранения журналов транзакций. В эту категорию я также включаю такие спецификации, как атомарные транзакции веб-служб (WS-AtomicTransaction) для веб-служб SOAP. Все эти технологии объединяет то, что они реализуют спецификацию XA и имеют центральный координатор транзакций.

В нашем примере, показанном на рисунке 4, служба A использует распределенные транзакции для фиксации всех изменений в своей базе данных и сообщения в очереди, не оставляя никаких шансов дублированию или потере сообщений. Точно так же служба B может использовать распределенные транзакции для приема сообщений и фиксации в базе данных B в одной транзакции без каких-либо дубликатов. Или служба B может решить не использовать распределенные транзакции, а использовать локальные транзакции и реализовать шаблон идемпотентного потребителя. Прошу заметить, подходящим примером для этого раздела было бы использование WS-AtomicTransaction для координации записи в базу данных A и базу данных A в одной транзакции и избежать согласованности в целом. Но в наши дни такой подход встречается еще реже, чем то, что я описал.

Рисунок 4: Двухэтапная фиксация между базой данных и брокером сообщений

Преимущества и недостатки архитектуры двухфазной фиксации

Протокол двухфазной фиксации предлагает аналогичные гарантии для локальных транзакций в модульном монолитном подходе, но с некоторыми исключениями. Поскольку в атомарном обновлении участвуют два или более отдельных источника данных, они могут выйти из строя по-отдельности и заблокировать транзакцию. Но благодаря центральному координатору по-прежнему легко определить состояние распределенной системы по сравнению с другими подходами, которые я буду обсуждать.

В таблице 2 суммированы преимущества и недостатки этого подхода.

Преимущества

Стандартный подход с готовыми менеджерами транзакций и вспомогательными источниками данных.

Сильная согласованность данных для успешных сценариев.

Недостатки

Ограничения масштабируемости.

Возможные сбои восстановления при сбое диспетчера транзакций.

Ограниченная поддержка источников данных.

Требования к хранилищу и наличие единого центрального координатора транзакций в динамических средах.

Примеры

Jakarta Transactions API (ранее Java Transaction API)

WS-AtomicTransaction

JTS/IIOP

eBay GRIT

Atomikos

Narayana

Брокеры сообщений, такие как Apache ActiveMQ

Реляционные источники данных, реализующие спецификацию XA; хранилища данных в памяти, такие как Infinispan

Использование Management Console

Для использования Management Console вы должны быть авторизованным пользователем,
включенным в группу MetaFrame XP Administrators. Для регистрации в Консоли вы должны
ввести имя пользователя, пароль и имя домена. Для регистрации в ферме укажите
любой сервер фермы. Консоль подключится к ферме и выведет информацию о всей
ферме серверов.
В диалоговом окне Log On в поле Citrix MetaFrame XP Server
содержится имя последнего сервера, к которому производилось
подключение с консоли.

Для запуска консоли:

  1. Из меню Start выберите Programs > Citrix > Citrix Management Console
    или щелкните на значок консоли на панели ICA Administrator Toolbar.
  2. После запуска консоли появится диалоговое окно для регистрации на сервере.
    • В поле Citrix MetaFrame XP Server введите имя сервера MetaFrame XP или выберте
      сервер из списка. Для управления фермой вы можете подключиться к любому
      ее серверу.
    • Введите свое имя пользователя, имя домена и пароль. Учтеная запись должна присутствовать
      в группе MetaFrame XP Administrators
  3. Щеклните OK.

Вы также можете запустить Citrix Management Console, щелкнув кнопку на панели ICA
Administrator’s toolbar.

Вид Management Console

После подключения Консоли Управления отображает окно, разделенное на две
части, называемых панелями. В левой панели представлен иерархический
список компонентов фермы Citrix. В правой панели находится информация о
выделенном в левой панели объекте.

Дерево

Список элементов в левой панели назвается деревом, поскольку панель
отображает объекты в виде иерархии начиная с корневого объекта.
Это отображение аналогично Windows Explorer и Microsoft Management Console.

Объект в самом вверху представляет ферму MetaFrame XP. Следующий уровень объектов
представляет компоненты фермы и функции управления. Эти объекты называются
узлами (nodes). В среде MetaFrame узлы представлены как
Applications, Printer Management, Licenses и Servers.

Объекты под узлами представляют специфические особенности элементов фермы.
Например, под узлом Applications показываются индивидуальные опубликованные
приложения, а под узлом Servers — индивидуальные серверы MetaFrame.

Работа с деревом консоли аналогична работе в Windows Explorer. Символ
плюс (+) означает сжатое дерево. Щелкните на этом символе или нажмите правую
кнопку для раскрытия ветви. Знак минус (-) означает
раскрытую ветвь. Щелкните на этом символе или нажмите правую кнопку для
схлопывания ветви.

В дереве нельзя выбрать несколько объектов. Однако, вы можете выбрать
несколько объектов на закладке Contents в правой панели. Для этого
используйте клавишу CTRL и щелкайте по нужным объектам. Для выделения
диапазона нажмите Shift, щелкните на первом объекте, а затем на последнем.

Правая панель

Правая панель отображает несколько экранов, называемых закладками,
поскольку окно имеет вверху закладки-метки. Каждая закладка содержит название.
Для переключения закладки щелкните по ее названию.

В большинстве случаев при выборе объекта в левой панели,
справа отбражается закладка Contents. Она содержит список объектов,
содержащихся под выбранным узлом. Для раскрытия объектадважды щелкнете на объекте.
Это аналогично раскрытию ветви в левой панели.

Настройка обновления экрана

Для уменьшения сетевого траффика Management Console автоматически не
обновляет все данные. Обычно консполь реагирует на уведомления от серверов и
обновляет данные в ответ на эти запросы. Остальные данные, например, появление
нового сеанса ICA, не отражаются. Вы можете установить автоматическое обновление
данных через определенные промежутки времени.

Обновляйте дисплей при просмотре лицензий. Даже если включено автоматическое
обновление, вывод информации об использованных лицензиях может быть неактуальным.

Для обновления данных, отображаемых консолью выберите из меню View >
Refresh
или нажмите F5. Команда Refresh обновляет информацию
в текщей закладке и вид дерева.

Включение автообновления.
Вы должны включить автообновление для серверов, папок серверв и лицензий.

  1. Выберите View > Auto Refresh Settings
  2. В окне Auto Refresh Interval выберите опции автообновления для серверов
    , папок серверов и приложений. После выболра вы можете установить интервал
    обновления в секундах.
  3. Щелкните OK для применения сделанных изменений.
  4. Выберите узел Licenses и выберите Actions > License > Auto
    Refresh Settings
    .
  5. Выберите опцию разрешения лицензирования и установите частоту обновления
    в секундах.
  6. Щелкните OK

Что такое RACI

Матрица RACI представляет собой таблицу: по вертикали выписывают задачи проекта, по горизонтали — исполнителей.

На пересечении задач и исполнителей ставят буквы, которые обозначают роли в проекте и степень ответственности. Из этих букв состоит аббревиатура RACI:

R (responsible) — исполнитель задачи или подзадачи проекта. Тот, кто самостоятельно выполняет все работы в рамках задачи. Если задача масштабная, у неё может быть несколько исполнителей. Однако эффективнее разбить её на подзадачи и назначить исполнителей для каждой из них.

A (accountable) — ответственный за всю задачу. Участник с этой ролью несёт ответственность за то, чтобы задачу завершили в срок, но не обязательно выполняет её сам

Часто A-участники назначают задачи и подзадачи R-участникам.Важно, чтобы у одной задачи был только один ответственный. При этом сам ответственный может быть одновременно и исполнителем.

C (consult) — эксперт, который консультирует команду по вопросам, находящимся в его компетенции

Он не выполняет задачу, но даёт советы и рекомендации, которые помогают выполнить её эффективнее.

I (informed) — участник проекта, который должен быть в курсе выполнения задачи. Результат задачи или всего проекта влияет на дальнейшую деятельность I-участников, поэтому им важно следить, что происходит.

Заключение

Очень часто руководство в организациях бывает убеждено в том, что при внедрении того или иного технического решения по обеспечению информационной безопасности вся информация находится под защитой и так будет всегда. Возможно, в каком-то моменте времени это действительно так, но как я уже писал выше — ежедневно идет «гонка вооружений» в сфере ИБ. Постоянно открываются новые уязвимости в коде ПО разных продуктов, а также разрабатываются различные тактики и техники взлома инфраструктуры предприятий

Поэтому крайне важно обеспечивать непрерывность контроля защитных средств ИБ и анализа уязвимостей систем, входящих в инфраструктуру предприятия.
При внедрении любых систем класса SIEM огромную роль играет наличие политики информационной безопасности предприятия. По сути политика ИБ будет определять то, как будет настраиваться ваша SIEM система, но не наоборот

Да, установив систему из коробки, вы получите некоторый базовый функционал, который сможет отслеживать общие векторы атак, такие как использование того или иного подозрительного (вредоносного) ПО, или попыток брутфорса, или подозрительную сетевую активность. Но в дальнейшем необходимо будет подстраивать систему под нужды и требования конкретной организации и ее инфраструктуры. Для наглядности приведу несколько простых примеров:В одной организации попытки подключения по VPN к сети организации в ночное время или праздничные дни будет считаться нарушением, а в другой это будет нормой.
В одной организации попытки подключения из клиентских подсетей к сетевым узлам для их администрирования будет считаться нарушением, а в другой нет.
В одной организации использование программ для удаленного администрирования таких как TeamViewer или AnyDesk является нарушением, в другой это допустимо с определенных подсетей, а в третей вообще считается нормой.
И таких примеров огромное количество.

Но не стоит думать, что без существующей политики ИБ вам не нужен продукт класса MaxPatrol SIEM. На самом деле даже в отсутствии действующей политики ИБ вы сможете использовать его для проведения аудита оборудования и настроек, инвентаризации, и обнаружения уязвимостей. В то же время правила корреляции по умолчанию настроены так, что смогут подсвечивать вам те или иные проблемы с точки зрения специалистов Positive Technologies, а также помочь начать разработку своей политики ИБ.
Ну и наконец-то мы подошли к одному из самых важных моментов — любой инструмент нужно не просто так использовать, но еще и уметь это делать. Использование и поддержка любого продукта класса SIEM является достаточно нетривиальной задачей, требующей определенного уровня технических знаний. Также это зачастую очень ресурсоемкая задача, требующая довольно таки много времени со стороны обслуживающего персонала не только на администрирование ее компонентов, но и на ее настройку и дальнейшую доработку под нужды предприятия в процессе эксплуатации (написание своих формул и правил). Поэтому для эффективного использования SIEM продуктов необходимо иметь отдельного специалиста или двух для взаимозаменяемости.

  • Telegram
  • VK
  • TS Solution Blog
Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
Работатека
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: