Концепция «пять девяток»

Лекция 6 Концепция «пять девяток» В организациях, стремящихся повысить доступность их данных и систем, иногда применяются исключительные меры по снижению потерь данных. Цель состоит в том, чтобы свести к минимуму время простоя систем, отвечающих за критически важные процессы. Если сотрудники не могут выполнять свои повседневные обязанности, компания несет убытки. Доступность оценивается как процент времени, в течение которого системы и данные доступны. Эта глава начинается с описания концепции «пять девяток». Существуют сферы, где от доступности систем и данных буквально зависит жизнь и смерть, поэтому в таких сферах применяются самые высокие стандарты доступности. В этой главе описаны различные способы достижения целевых показателей доступности в организациях. Например, резервное копирование позволяет сохранить доступность за счет резервных и дополнительных компонентов компьютерных и сетевых систем. Резервирование охватывает как аппаратные (дисковые накопители, серверы, коммутаторы, маршрутизаторы и др.), так и программные (операционные системы, приложения, базы данных и др.) компоненты. Также рассматривается понятие отказоустойчивости системы, т. е. способности сервера, сетевой инфраструктуры или центра обработки данных в кратчайшие сроки возобновить работу после сбоя. Меры реагирования на инциденты безопасности должны быть проработаны в каждой организации. Заключительная часть главы посвящена двум важнейшим аспектам доступности ресурсов организации, а именно аварийному восстановлению и планированию мер по обеспечению непрерывности бизнес-процессов. Что означает термин «пять девяток»? Согласно концепции «пяти девяток» системы и сервисы должны быть доступны в течение 99,999 % времени. Это означает, что продолжительность как запланированного, так и незапланированного простоя не может превышать 5,26 минуты в год. С помощью представленной на рисунке схемы можно сравнить продолжительность простоя при различных уровнях доступности. Высокая доступность означает, что система или компонент непрерывно эксплуатируется в течение заданного промежутка времени. Для обеспечения высокой доступности необходимо: • исключить единые точки отказа; • учитывать требования к надежности при проектировании; • выявлять сбои по мере их возникновения. Переход на уровень доступности «пять девяток» обычно требует большого объема ресурсов и значительных денежных затрат. В первую очередь, требуются расходы на покупку дополнительного аппаратного обеспечения (серверы и др.). Наращивая парк оборудования, организация усложняет процессы настройки. К сожалению, усложнение настройки влечет за собой усиление рисков. Чем больше «движущихся компонентов», тем выше вероятность неполадок. Сферы, в которых реализация концепции «пять девяток» обязательна Хотя в некоторых отраслях расходы на поддержание высокой доступности могут быть слишком высоки, существуют условия, в которых реализация концепции «пять девяток» обязательна. • В финансовом секторе высокая доступность предусмотрена нормативными требованиями и необходима для непрерывного выполнения торговых операций. Снижение доступности приведет к утрате доверия заказчиков. Нажмите здесь, чтобы прочесть о четырехчасовой приостановке торговли на Нью-Йоркской фондовой бирже в 2015 г. • Высокая доступность необходима в учреждениях здравоохранения, чтобы уход за пациентами осуществлялся круглосуточно. Нажмите здесь, чтобы просмотреть данные о средней величине расходов вследствие простоя центров обработки данных в сфере здравоохранения. • К сфере общественной безопасности относятся учреждения, обеспечивающие безопасность общества, государства или нации и оказывающие соответствующие услуги. Нажмите здесь, чтобы прочесть об остановке работы сети в штаб-квартире полициейского агентства Пентагона. • Сфера розничной торговли полагается на эффективные цепочки поставок и доставку продукции заказчикам. Нарушение графика может иметь катастрофические последствия, особенно в ситуациях пикового спроса, например во время праздников. • От средств массовой информации ожидают непрерывного потока новостей в режиме реального времени. Современный новостной цикл стал круглосуточным, работающем в режиме «24/7». Угрозы доступности Ниже перечислены наиболее значимые угрозы с точки зрения доступности информации и данных. • Несанкционированный доступ к базе данных и ее компрометация. • Серьезный ущерб для рабочих процессов вследствие успешной DoS-атаки. • Крупная утечка конфиденциальных данных. • Выход из строя критически важного приложения. • Компрометация учетной записи администратора или суперпользователя. • Обнаружение межсайтового сценария, выявление неразрешенного общего ресурса на файловом сервере. • Ущерб для отношений с общественностью вследствие искажения содержимого веб-сайта организации. • Мощный ураган или торнадо. • Катастрофа, например, террористический акт, взрыв или пожар в здании. • Длительные перебои в поставке коммунальных услуг. • Повреждение водой в результате наводнения или выхода из строя системы пожаротушения. Разделение угроз на категории по уровням потенциального ущерба помогает осознать реальную величину ущерба для организации в денежном выражении. Чтобы отобразить примеры угроз той или иной категории, нажмите на соответствующую категорию. Расшифровать рисунок Проектирование систем высокой доступности В основе высокой доступности лежат три основных принципа, которым нужно следовать для обеспечения непрерывного доступа к данным и сервисам: 1. исключение или сокращение количества единых точек отказа; 2. отказоустойчивость системы. 3. Отказоустойчивость Чтобы открыть краткое описание интересующего принципа, щелкните соответствующее название на рисунке. Необходимо знать и понимать способы устранения единых точек отказа. Единой точкой отказа может быть центральный маршрутизатор или коммутатор, сетевой сервис или незаменимый ИТ-специалист. Недоступность важного устройства, процесса или сотрудника может иметь катастрофические последствия для системы в целом. Соответственно, количество единых точек отказа нужно сократить, внедрив для этого соответствующие процессы, ресурсы и компоненты. Например, можно обеспечить резервирование с помощью высокодоступных кластеров. Высокодоступный кластер состоит из группы компьютеров с общей системой хранения данных и одинаковыми сетевыми параметрами. Все серверы участвуют в работе сервиса одновременно. Снаружи группа серверов выглядит как единое устройство. При отказе одного из серверов кластера работу сервиса обеспечивают остальные серверы. Единая точка отказа Единая точка отказа — это критически важный компонент системы. От исправности этого компонента зависит работа других компонентов. Отказ этого компонента приводит к отказу всей системы. Единой точкой отказа может стать устройство, процесс, набор данных или важная коммунальная услуга. Единые точки отказа — это слабые звенья в цепи, которые могут стать причиной сбоев в работе организации. В целом для устранения единой точки отказа необходимо изменить особо важный процесс так, чтобы его работа не полагалась на один элемент. Организация также может встроить резервные компоненты в особо важный процесс, чтобы продолжить его выполнение в случае отказа одной из этих точек Отказоустойчивость системы — это способность системы сохранять доступность данных и процессов несмотря на атаку или аварийную ситуацию. Чаще всего высокая стойкость достигается за счет резервирования систем питания и вычислительных ресурсов, при котором отказ одной из систем не приводит к прерыванию обслуживания, поскольку функции отказавшей системы берет на себя исправная резервная система. Набор мер по обеспечению отказоустойчивости системы не ограничивается одним лишь повышением надежности аппаратной части. Высокая стойкость подразумевает доступность данных и сервисов в любое время, в том числе во время атаки. Отказоустойчивость системы — это способность системы исправно продолжать работу при отказе одного или нескольких компонентов. Например, отказоустойчивость можно обеспечить за счет зеркалирования данных. В случае отказа, нарушающего работу того или иного устройства (например, дискового контроллера), система выдает запрошенные данные благодаря механизму зеркалирования, при этом пользователь не замечает каких-либо перебоев в обслуживании. Идентификация ресурсов Организации необходимо знать, какое аппаратное обеспечение и какие программы имеются в наличии, чтобы знать, какими должны быть параметры конфигурации. Управление ресурсами охватывает все имеющееся аппаратное и программное обеспечение. То есть организации необходимо знать обо всех компонентах, подверженных рискам нарушения безопасности, в том числе: • о каждой аппаратной системе; • о каждой операционной системе; • о каждом аппаратном устройстве, подключенном к сети; • об операционной системе каждого сетевого устройства; • о каждом программном приложении; • обо всем микропрограммном обеспечении; • о средах выполнения для всех языков программирования; • обо всех отдельных библиотеках. Организация может внедрить специальное автоматизированное решение для ведения учета ресурсов в организации. Администраторы должны обращать внимание на любые изменения конфигураций, поскольку такие изменения могут свидетельствовать о том, что конфигурация неактуальна. Кроме того, эти изменения могут быть признаком неавторизованного вмешательства. Классификация ресурсов Классификация ресурсов подразумевает разделение всех ресурсов организации по группам в соответствии с определенными характеристиками. Организация должна применять систему классификации ресурсов к документам, записям данных, файлам данных и дискам. Наиболее важной информации требуется самая надежная защита и (в некоторых случаях) особый режим обработки. Например, в организации можно внедрить систему маркировки с указанием степени ценности, конфиденциальности и важности информации. Чтобы идентифицировать и классифицировать ресурсы организации, необходимо выполнить следующие шаги. 1. Определить соответствующие категории идентификации ресурсов. 2. Определить принадлежность ресурсов, т. е. установить, кто является владельцем всех информационных ресурсов и программного обеспечения. 3. Определить критерии классификации. 4. Внедрить схему классификации. На рисунке приведена дополнительная информация об этих шагах. Например, в государственных органах США применяется следующая классификация секретности данных: совершенно секретно; секретно; конфиденциально; допускается к публикации; несекретно. Стандартизация ресурсов Управление ресурсами подразумевает управление жизненным циклом и составом всей совокупности технологических ресурсов организации, включая устройства и программное обеспечение. Одним из компонентов системы управления ИТ-ресурсами является перечень допустимых ИТ-ресурсов, которые соответствуют задачам организации. Внедрение такого перечня позволяет существенно сократить количество различных типов ресурсов. Например, можно разрешить устанавливать только приложения, которые соответствуют определенным внутренним рекомендациям. Избавляясь от приложений, не соответствующих этим рекомендациям, администраторы повышают безопасность, поскольку все оставшиеся приложения отвечают заданным требованиям. В стандартах ресурсов определены все отдельные продукты аппаратного и программного обеспечения, которые использует и поддерживает организация. В случае сбоя оперативные действия помогут сохранить доступность и безопасность. Если процедура подбора аппаратного обеспечения в организации не стандартизирована, то процесс поиска замены для неисправного компонента нередко носит беспорядочный характер. Управление ресурсами в нестандартных условиях требует более высокой квалификации. Стоимость компонентов и обслуживания в таких случаях обычно выше. Нажмите здесь, чтобы прочесть о стандартизации аппаратного обеспечения систем связи в вооруженных силах. Идентификация угроз Американская группа US-CERT и Министерство внутренней безопасности США поддерживают базу данных общих уязвимостей и рисков (CVE). Для каждой уязвимости в базе данных CVE создается стандартный идентификатор уязвимости с номером уязвимости, ее кратким описанием и ссылками на отчеты и рекомендации, связанные с данной уязвимостью. За обслуживание базы данных CVE и соответствующего веб-сайта отвечает компания MITRE Corporation. Процесс идентификации угрозы начинается с создания соответствующего идентификатора известной уязвимости кибербезопасности, именуемого идентификатором CVE. Каждый идентификатор CVE содержит следующие сведения. • Номер-идентификатор CVE. • Краткое описание уязвимости безопасности. • Ссылки на важную информацию. http://cve.mitre.org/cve/identifiers/ Анализ рисков Анализ рисков — это анализ опасности, которой подвергаются ресурсы организации при наступлении тех или иных природных или вызванных человеком событий. Пользователь проводит идентификацию ресурсов, чтобы понять, какие ресурсы следует защищать. При анализе рисков решаются четыре задачи: • Идентификация ресурсов и определение их ценности. • Выявление уязвимостей и угроз. • Количественная оценка вероятности и последствий реализации выявленных угроз. • Сопоставление потенциального ущерба от реализации угроз со стоимостью контрмер. Существует два подхода к анализу рисков. Количественный анализ рисков Количественный анализ рисков строится на числовых данных (рисунок 1). Ценность ресурса равна стоимости его замены. Ценность ресурса можно также выразить через прибыль, создаваемую за счет использования этого ресурса. Степень уязвимости (exposure factor, EF) — это субъективная оценка, выражаемая в виде процента потери ресурса при реализации той или иной угрозы. Степень уязвимости 1,0 (100 %) соответствует полной потере ресурса. В примере количественного анализа сервер как ресурс имеет ценность в 15 000 долл. США. При выходе сервера из строя происходит полная потеря ресурса (степень уязвимости равна 1,0). Ценность ресурса в 15 000 долл. США умножается на степень уязвимости 1, что дает ожидаемую сумму ущерба при однократной реализации угрозы — 15 000 долл. США. Вероятность реализации угрозы за год (annualized rate of occurrence, ARO) — это вероятность того, что в течение года организация понесет ущерб от реализации соответствующей угрозы (также выражается в процентах). Если показатель ARO превышает 100 %, это означает, что угроза может быть реализована более одного раза в год. Рассчитав ожидаемый годовой объем убытков (annual loss expectancy, ALE), руководство получает представление об оправданной сумме затрат на защиту данного ресурса. Качественный анализ рисков Качественный анализ рисков строится на мнениях и сценариях. На рисунке 2 показан пример таблицы качественного анализа рисков с информацией о вероятности реализации угроз и потенциальной величине ущерба. Например, вероятность выхода сервера из строя довольно высока, однако ущерб вследствие отказа сервера невелик. Группа специалистов анализирует каждую угрозу для ресурса и помещает соответствующие данные в таблицу. Специалисты оценивают результат и на его основании принимают дальнейшие решения. Пример дальнейшего решения: внедрить контрмеры лишь для тех угроз, которые оказались в красной зоне таблицы. Числа, указанные в таблице, не имеют прямого отношения к какому-либо аспекту анализа. Например, катастрофические последствия и незначительный ущерб обозначены соответственно числами 4 и 2. Однако это не означает, что первое ровно вдвое хуже второго. Качественный анализ носит субъективный характер. Устранение Устранение угроз подразумевает уменьшение ущерба или снижение его вероятности. Минимизация рисков достигается за счет множества технических средств контроля, в том числе систем аутентификации, разрешений для файлов и межсетевых экранов. Руководители и специалисты по безопасности должны понимать, что меры по снижению рисков могут иметь как положительные, так и отрицательные последствия для организации. Эффективные меры по устранению рисков подразумевают баланс между негативным влиянием контрмер и выгодой от снижения рисков. Существует четыре основных метода снижения риска: • принятие риска и периодическая переоценка; • снижение риска путем внедрения средств контроля; • исключение риска за счет полной перемены подхода; • передача риска третьей стороне. В качестве кратковременной стратегии можно использовать метод принятия риска с обязательной разработкой плана действий на случай реализации соответствующей угрозы. Люди и организации ежедневно принимают на себя те или иные риски. Современные технологии позволяют снизить риск за счет инкрементной разработки и регулярного выпуска исправлений и обновлений, устраняющих уязвимости и ошибки настройки. Передача риска третьей стороне обычно реализуется путем приобретения услуг страхования и обслуживания. Привлечение квалифицированных специалистов для решения критически важных задач — это вполне оправданный способ снижения рисков, при котором отличные результаты достигаются без долгосрочных инвестиций. Эффективный план по снижению рисков обычно включает в себя как минимум две стратегии. Расшифровать рисунок Многоуровневый подход Многоуровневая защита не делает организацию неуязвимой. Однако с помощью такой системы организация сможет находиться на шаг впереди киберпреступников и таким образом минимизировать риски. Если защиту данных и информации обеспечивает всего один механизм, то этот механизм является единственным препятствием на пути киберпреступника. Гарантированную доступность данных и информации можно обеспечить только при наличии нескольких уровней защиты. Многоуровневый подход обеспечивает наиболее полную безопасность. Преодолев один из уровней, киберпреступник столкнется с еще более серьезными препятствиями — с каждым уровнем задача злоумышленника заметно усложняется. Многоуровневая защита обеспечивается путем создания барьера из множества средств защиты, работающих согласованно для предотвращения атак. Например, наиболее секретные документы можно хранить на сервере в здании, которое окружено электрозабором. Ограничение Вероятность реализации угрозы можно снизить путем ограничения доступа к данным и информации. Организация должна ограничить доступ таким образом, чтобы уровень доступа для пользователей соответствовал их потребностям для выполнения задач. Например, для выполнения служебных обязанностей сотрудникам отдела маркетинга не нужна информация о заработной плате. Доступ можно ограничить, назначив соответствующие разрешения на доступ к файлам, однако помимо технологических средств следует также применять меры процедурного характера. Необходимо внедрить процедуру, при которой сотрудники не смогут вынести конфиденциальные документы за пределы объекта. Разнообразие Если все уровни защиты одинаковы, их легко преодолеть. Соответственно, на различных уровнях следует внедрить различные механизмы защиты. Преодолев один из уровней с помощью того или иного метода, киберпреступники не смогут применить тот же метод на других уровнях. Преодоление одного уровня безопасности не ставит под угрозу функционирование всей системы. Организация может использовать разные алгоритмы шифрования или системы аутентификации для защиты данных в разных состояниях. Задача разнообразия решается различными способами. Один из них — многофакторная аутентификация с применением продукции нескольких производителей. Например, можно разместить сервер с секретными документами в закрытом помещении и контролировать доступ в это помещение с помощью смарт-карт (от одного производителя) и системы биометрической аутентификации (от другого производителя Сокрытие информации Защиту информации и данных можно усилить за счет сокрытия информации. Организация не должна раскрывать какую-либо информацию, с помощью которой киберпреступники могут узнать версию операционной системы, на которой работает сервер, или вид используемого оборудования. Например, в сообщениях об ошибках не должно быть информации, по которой киберпреступник сможет определить круг потенциальных уязвимостей. Сокрытие определенных видов информации усложняет задачу киберпреступника. Простота Сложность не гарантирует информационную безопасность. Сложные системы, которые трудно освоить и обслуживать, могут стать оружием в руках злоумышленников. Если сотрудники организации не в состоянии правильно настроить сложную систему, то эта система, скорее всего, станет легкой добычей для киберпреступников. Высокая доступность возможна лишь тогда, когда система безопасности проста изнутри и в то же время сложна снаружи. Резервирование по схеме "N+1" Резервирование по схеме "N+1" позволяет обеспечить доступность системы в случае отказа компонента. У компонентов (N) должен быть как минимум один резервный компонент (+1). Например, у автомобиля четыре шины (N) и запасная шина в багажнике на случай прокола (+1). Применительно к центрам обработки данных термин «резервирование по схеме "N+1"» подразумевает сохранение работоспособности системы при выходе из строя одного из ее компонентов. Буквой "N" обозначают различные компоненты центра обработки данных, включая серверы, блоки питания, коммутаторы и маршрутизаторы. Обозначение "+1" подразумевает наличие дополнительного компонента или системы, которые постоянно находятся в состоянии полной эксплуатационной готовности. Например, резервирование энергоснабжения центра обработки данных по схеме "N+1" может быть реализовано с помощью электрогенератора, который включается при отсутствии питания от основного источника. При резервировании по схеме "N+1" в систему включается резервное оборудование, однако эта схема все же не обеспечивает полного резервирования. RAID Резервный массив независимых жестких дисков (RAID) — это массив из нескольких физических жестких дисков, объединенных в единое логическое устройство. С помощью таких массивов решаются задачи резервирования данных и повышения производительности. Технология RAID предполагает распределение данных, обычно хранящихся на одном диске, между несколькими дисками. При утрате какого-либо отдельного диска пользователь может восстановить данные с других дисков, на которых также размещены данные. Технология RAID также позволяет увеличить скорость считывания данных. Это достигается за счет одновременного чтения данных с нескольких накопителей. Для реализации RAID можно применять как аппаратные средства, так и программные компоненты. Основой аппаратного решения является специальный контроллер, который должен обязательно присутствовать в системе, где строится массив RAID. Приведенные ниже термины описывают, как RAID хранит данные на различных дисках. • Четность — выявление ошибок в данных. • Чередование данных (запись страйпами) — запись данных на нескольких дисках. • Зеркалирование — хранение копий данных на втором диске. Имеется несколько уровней RAID (см. рисунок). Нажмите https://www.acnc.com/raid здесь, чтобы просмотреть учебный материал с описанием различных уровней RAID. STP Резервирование позволяет повысить доступность инфраструктуры за счет исключения ситуаций, при которых отказ единичного компонента (например, сетевого кабеля или коммутатора) приводит к выходу из строя всей сети. Встраивание физических средств резервирования в сетевую инфраструктуру имеет нежелательные побочные эффекты в виде петель и дублированных кадров. Петли и дублированные кадры являются причиной серьезных неполадок в коммутируемой сети. Эти проблемы решаются с помощью протокола STP. Базовой задачей STP является устранение петель в топологии сетевой инфраструктуры, в которой присутствуют коммутаторы с множественными связями. STP устраняет петли на резервных физических соединениях. Этот протокол обеспечивает наличие только одного логического пути между всеми пунктами назначения в сетевой инфраструктуре. STP намеренно блокирует резервные пути, на которых могут возникнуть петли. Для предотвращения петель в сети чрезвычайно важно блокировать избыточные пути. Физически резервные пути существуют, однако во избежание образования петли трафика эти пути блокируются с помощью протокола STP. В случае отказа сетевого кабеля или коммутатора протокол STP обеспечивает перерасчет путей с разблокировкой необходимых портов для активации соответствующего резервного пути. Чтобы запустить анимированную модель работы протокола STP при отказах, нажмите Play (Воспроизведение) на рисунке. • PC1 отправляет широковещательную рассылку в сеть. • Магистральный канал между S2 и S1 выходит из строя, что нарушает исходный путь. • S2 снимает блокировку с предварительно заблокированного порта для Магистраль 2 и разрешает передачу трафика широковещательной сети по альтернативному пути, обеспечивая дальнейший обмен данными. • Если соединение между S2 и S1 восстановится, то соединение между S2 и S3 будет вновь заблокировано с помощью протокола STP. Резервирование маршрутизаторов В качестве шлюза по умолчанию, как правило, выступает маршрутизатор, через который устройства получают доступ к остальной части сетевой инфраструктуры или Интернету. Если в качестве шлюза по умолчанию выступает только один маршрутизатор, он является единой точкой отказа. В таком случае можно установить дополнительный резервный маршрутизатор. На Рисунке 1 показаны активный (пересылающий) и резервный маршрутизаторы. С помощью протокола резервирования маршрутизаторы определяют, на какое устройство возлагается функция пересылки трафика. Каждому маршрутизатору назначен физический IP-адрес и виртуальный IP-адрес маршрутизатора. Оконечные устройства будут использовать виртуальный IP-адрес в качестве адреса шлюза по умолчанию. Активный (пересылающий) маршрутизатор обрабатывает трафик, который направляется по адресу 192.0.2.100. Активный (пересылающий) и резервный маршрутизаторы периодически отправляют друг другу сообщения, используя свои физические IP-адреса. С помощью этих сообщений маршрутизаторы проверяют доступность друг друга. Если на резервный маршрутизатор не поступают периодические сообщения от активного (пересылающего) маршрутизатора, резервный маршрутизатор берет на себя роль активного (пересылающего) маршрутизатора (см. Рисунок 2). Способность сетевой инфраструктуры динамически восстанавливаться после сбоя маршрутизатора, выполняющего функцию шлюза по умолчанию, называется резервированием первого перехода. Способы резервирования маршрутизаторов В следующем списке перечислены возможные способы резервирования маршрутизаторов с помощью сетевых устройств. • Протокол HSRP. Поддерживает высокую доступность сети, обеспечивая резервирование маршрутизации на первом переходе. С помощью протокола HSRP из группы маршрутизаторов выбираются активный и резервный маршрутизаторы. Активное устройство выполняет маршрутизацию пакетов. Резервное устройство принимает на себя функцию маршрутизации в случае отказа активного устройства. Задача резервного маршрутизатора HSRP заключается в мониторинге рабочего состояния группы HSRP и быстром переходе к выполнению функций пересылки пакетов в случае сбоя активного (пересылающего) маршрутизатора. • Протокол резервирования виртуального маршрутизатора (VRRP). В маршрутизаторе применяется протокол VRRP в сочетании с одним или несколькими другими маршрутизаторами, подключенными к локальной сети. В конфигурации VRRP выбранный маршрутизатор является основным виртуальным маршрутизатором, а другие выступают в роли резервных на случай сбоя основного виртуального маршрутизатора. • Протокол распределения нагрузки для шлюзов (GLBP). Обеспечивает защиту трафика данных от неисправности маршрутизатора или сети (так же, как HSRP и VRRP), одновременно обеспечивая распределение нагрузки по группе резервных маршрутизаторов. Размещение резервных копий данных на удаленном объекте В некоторых случаях применяется метод резервирования путем размещения резервных копий данных на удаленных объектах. Ниже перечислены три схемы такого резервирования. Синхронный • Синхронизация копий на обоих объектах в режиме реального времени • Требуется высокая пропускная способность • Объекты должны быть расположены близко друг к другу, что необходимо для уменьшения времени задержки Асинхронная репликация • Скорость синхронизации несколько ниже по сравнению со скоростью в режиме реального времени, но близка к ней • Требуется меньшая пропускная способность • Объекты могут быть расположены на большем расстоянии друг от друга, поскольку время задержки имеет меньшее значение Репликация в определенный момент времени • Периодическое обновление резервных копий данных на удаленном объекте • Максимально экономичный вариант с точки зрения потребляемой пропускной способности — постоянное соединение не требуется Наиболее подходящим будет вариант, при котором достигается оптимальное соотношение стоимости и конечной степени доступности. Проектирование с учетом требований к способности системы к восстановлению Отказоустойчивость достигается за счет методов и настроек для обеспечения восстановления систем и сетевой инфраструктуры. Например, в сетевой инфраструктуре могут быть предусмотрены резервные соединения между коммутаторами, на которых применяется протокол STP. В случае отказа протокол STP обеспечит альтернативный путь, но при неоптимальной конфигурации переключение, скорее всего, произойдет с ощутимой задержкой. Протоколы динамической маршрутизации также усиливают отказоустойчивость системы, однако незаметное переключение на резервный ресурс возможно лишь после соответствующей точной настройки. Рекомендуется испытать различные значения параметров в тестовой сетевой инфраструктуре, чтобы по возможности сократить время восстановления работоспособности сетевой инфраструктуры в случае отказа. Отказоустойчивое проектирование не ограничивается добавлением резервных элементов. Необходимо определить бизнес-потребности организации и с учетом этих потребностей выбрать механизмы резервирования для построения отказоустойчивой сетевой инфраструктуры. Отказоустойчивость приложений Отказоустойчивость приложения — это способность приложения реагировать на неполадки собственных компонентов, оставаясь при этом в работоспособном состоянии. Простои возникают из-за сбоев, вызванных программными ошибками или неполадками в инфраструктуре. Время от времени администратор системы вынужден отключать приложения, чтобы применить исправления, установить новые версии или добавить новые функции. Простои также могут быть вызваны повреждением данных, неисправностью оборудования, программными и человеческими ошибками. Во многих организациях стараются найти оптимальное соотношение между расходами на обеспечение отказоустойчивости программной инфраструктуры и стоимостью потери заказчиков или бизнес-возможностей из-за неработоспособности приложений. Поддержание высокой доступности приложений представляет собой сложную задачу и требует больших затрат. На рисунке показаны три решения, с помощью которых можно поддерживать доступность и отказоустойчивость приложений. Каждое последующее решение обеспечивает более высокую степень доступности и, соответственно, сложнее и дороже предыдущего. Расшифровать рисунок Отказоустойчивость IOS В операционную систему IOS для маршрутизаторов и коммутаторов Cisco встроена функция обеспечения отказоустойчивости конфигурации. Эта функция ускоряет восстановление в случае случайного или намеренного форматирования флеш-памяти или удаления файла загрузочной конфигурации. С помощью этой функции создается защищенная рабочая копия текущего образа IOS маршрутизатора и копия файла текущей конфигурации. Пользователь не может удалить эти файлы (файл образа IOS и файл загрузочной конфигурации составляют так называемый primary bootset). Показанные на рисунке команды активируют защиту образа IOS и файла текущей конфигурации. Подготовка План реагирования на инциденты в организации определяет порядок действий в нестандартных ситуациях. Утечка данных — это выход информации за пределы доверенной среды. Причиной утечки данных могут быть случайные или намеренные действия. Под утечкой данных чаще всего понимают копирование, передачу или просмотр конфиденциальной информации, несанкционированный доступ к такой информации или ее кражу. Организация должна знать, как реагировать на произошедший инцидент. В каждой организации должен быть разработан и внедрен план реагирования на инциденты. Помимо плана необходимо также сформировать группу реагирования на инциденты компьютерной безопасности (CSIRT). Группа CSIRT имеет следующие функции: • Актуализация плана реагирования на инциденты • Обеспечение ясного понимания плана членами группы • Тестирование плана • Согласование плана с руководством Группа CSIRT может иметь постоянный (например, специальное подразделение организации) или несистематический формат. В своих действиях группа руководствуется планом и выполняет заранее определенную последовательность шагов, что гарантирует единообразие и полноту реагирования. Национальные группы CSIRT отвечают за реагирование на инциденты безопасности на уровне государства. Обнаружение и анализ Обнаружение начинается в момент выявления инцидента безопасности как факта. Если администратор не просматривает системные журналы и оповещения, то даже самые высокотехнологичные системы обнаружения не принесут никакого результата. Обнаружение должно показать, как именно произошел инцидент безопасности, какие данные затрагивает этот инцидент, а также какие системы затрагивает этот инцидент. Уведомление о нарушении безопасности направляется руководителям, ответственным за системы и данные, а также высшему руководству, с тем чтобы привлечь руководителей к процессу ликвидации последствий вторжения. Процесс обнаружения и анализа состоит из следующих компонентов. • Оповещения и уведомления • Мониторинг и подведение итогов В процессе анализа инцидента безопасности специалисты пытаются определить источник, масштабы и последствия утечки данных, а также собрать подробную информацию о событии. При необходимости в организацию приглашают группу экспертов-криминалистов. Изоляция, ликвидация и восстановление Меры по изоляции — неотложные контрмеры, например, отключение системы от сетевой инфраструктуры или пресечение утечки информации. Обнаружив нарушение безопасности, необходимо изолировать и ликвидировать соответствующую угрозу. В некоторых случаях с этой целью приходится полностью отключать те или иные системы. На этапе восстановления принимаются действия к тому, чтобы устранить последствия нарушения безопасности и восстановить работу затронутых систем. Устранив последствия нарушения безопасности, необходимо вернуть системы в нормальное состояние. Подведение итогов по инцидентам информационной безопасности После возобновления нормальной работы систем, необходимо проанализировать причину инцидента безопасности и задать следующие вопросы. • Что можно сделать, чтобы исключить подобные инциденты в будущем? • Какие превентивные меры нужно усилить? • Каким образом можно улучшить мониторинг систем? • Каким образом можно минимизировать время простоя в процессе изоляции, ликвидации и восстановления? • Какие меры должно принять руководство, чтобы свести к минимуму ущерб для бизнеса? План реагирования на инциденты следует пересмотреть с учетом полученного опыта. Сетевой модуль Cisco NAC Система контроля доступа на основе технологии Network Admission Control (NAC) допускает в сетевую инфраструктуру только те системы, которые соответствуют заданным требованиям. Соответствующая система отвечает всем требованиям политики организации. Например, если ноутбук находится в домашней беспроводной сети, то удаленный доступ с этого ноутбука в корпоративную сеть будет невозможен. Посредством технологии NAC производится проверка подключаемого устройства на соответствие действующим в сетевой инфраструктуре политикам. Кроме того, технология NAC позволяет изолировать системы, не отвечающие требованиям, и автоматически устранить угрозы, присутствующие в этих системах. Средства NAC можно использовать для принудительного обеспечения соответствия политике безопасности на всех оконечных устройствах с помощью имеющейся сетевой инфраструктуры и сторонних приложений. Второй вариант — специальное устройство NAC, отвечающее за контроль сетевого доступа, оценку соблюдения нормативных требований и применение политики безопасности. При проверке систем с помощью технологии NAC, в числе прочего, задействуются следующие функции: 1. Обновление антивирусного ПО. 2. Установка обновлений и исправлений для операционных систем. 3. Принуждение к использованию сложных паролей. Системы обнаружения вторжений Системы обнаружения вторжений (IDS) отслеживают трафик в сетевой инфраструктуре в пассивном режиме. Как видно из рисунка, система обнаружения вторжений копирует поток трафика и анализирует копии пересылаемых пакетов, а не сами пакеты. Работая в автономном режиме, система сравнивает поток захваченного трафика с известными вредоносными сигнатурами аналогично программному обеспечению, которое проверяет наличие вирусов. Работа с копиями пакетов подразумевает следующие особенности. • Система обнаружения вторжений работает в пассивном режиме. • Аппаратная система обнаружения вторжений физически находится в сетевой инфраструктуре. Чтобы направить пакеты в эту систему, трафик необходимо зеркалировать. • Если зеркалирование трафика не обеспечено, то сетевой трафик не попадает в систему обнаружения вторжений. В пассивном режиме система обнаружения вторжений отслеживает трафик и при необходимости генерирует соответствующие сообщения. Т. е. сама система никак не вмешивается в процесс передачи трафика. Иными словами, система работает в неизбирательном режиме. Работая с копией трафика, система обнаружения вторжений не оказывает негативного влияния на поток пересылаемых пакетов. В этом заключается преимущества данного подхода. Недостаток же состоит в том, что система обнаружения вторжений не может предотвратить однопакетные атаки (вредоносные пакеты беспрепятственно достигают цели) и лишь сообщает о факте их выявления. Системы обнаружения вторжений чаще всего нуждаются в поддержке со стороны других сетевых устройств, например маршрутизаторов и межсетевых экранов. Без такой поддержки надлежащее реагирование на атаку зачастую невозможно. В качестве более эффективного решения можно применить устройство, способное мгновенно выявить и пресечь атаку. Такими возможностями обладают системы предотвращения вторжений (IPS). Система предотвращения вторжений Система IPS создана на базе технологии IDS. Однако в отличие от систем обнаружения вторжений, системы предотвращения вторжений работают в транзитном режиме. Это означает, что через систему проходит весь исходящий и входящий трафик. Как видно из рисунка, система предотвращения вторжений пропускает в доверенную часть сетевой инфраструктуры только проверенные пакеты. Она может обнаруживать и незамедлительно устранять проблемы в сети. Система предотвращения вторжений отслеживает сетевой трафик, анализируя содержимое пакетов на наличие вредоносных данных, которые могут быть использованы для реализации продвинутых атак. В некоторых системах сочетается несколько технологий обнаружения вторжения, в том числе сигнатурный анализ, обнаружение на основе профилей поведения и анализ протоколов. Применяя подобные сложные методы анализа, система предотвращения вторжений выявляет и блокирует атаки, с которыми бы не справился традиционный межсетевой экран. Пакет, поступивший на интерфейс системы предотвращения вторжений, попадет на исходящий интерфейс (находящийся в доверенной части сети) лишь после того, как система предотвращения вторжений проанализирует содержимое этого пакета. Система предотвращения вторжений способна пресечь однопакетные атаки, не допустив попадания вредоносных пакетов в целевую систему. Это преимущество транзитного режима. Недостаток же состоит в том, что некорректно настроенная система предотвращения вторжений может оказывать негативное влияние на поток пересылаемых пакетов. Главное отличие систем предотвращения вторжений (IPS) от систем обнаружения вторжений (IDS) заключается в том, что системы предотвращения вторжений реагируют мгновенно и не пропускают в сеть вредоносный трафик, тогда как системы обнаружения вторжений пропускают трафик в сеть и лишь сообщают о факте его выявления. NetFlow и IPFIX NetFlow — это технология Cisco IOS, предоставляющая статистические данные о пакетах, проходящих через маршрутизатор или многоуровневый коммутатор Cisco. NetFlow представляет собой стандарт сбора операционных данных в сетях. На основе NetFlow версии 9 Рабочая группа инженеров по Интернет-технологиям (IETF) разработала протокол IPFIX (IP Flow Information Export, экспорт информации об IP-потоках). IPFIX — стандартный протокол для экспорта информации о потоках сетевого трафика. Обычно такая информация экспортируется маршрутизаторами и поступает на устройства сбора данных. IPFIX можно применять в маршрутизаторах и приложениях, поддерживающих этот протокол. Извлекаемую из маршрутизаторов информацию о сетевом трафике можно использовать для оптимизации производительности сети. В приложении с поддержкой IPFIX можно просматривать статистику с любого маршрутизатора, поддерживающего этот протокол. Благодаря сбору, хранению и анализу сводной информации с устройств, совместимых с IPFIX, решаются следующие задачи: • Защита сетевой инфраструктуры от внутренних и внешних угроз • Поиск и устранение неполадок в сетевой инфраструктуре с высокой точностью и скоростью • Анализ потоков трафика в сетевой инфраструктуре при планировании пропускной способности Нажмите здесь, чтобы просмотреть видеоролик об обнаружении угроз безопасности с помощью технологии NetFlow от Cisco. Продвинутые средства анализа угроз Продвинутые средства анализа угроз помогают выявить атаки на различных этапах реализации, а в некоторых случаях (при наличии нужной информации) — заблаговременно нейтрализовать зреющую угрозу еще до начала кибератаки. Признаки атак можно распознать по оповещениям о следующих событиях информационной безопасности в системных журналах и отчетах. • Блокировка учетных записей • События, связанные с базами данных • Создание и удаление ресурсов • Изменение конфигурации систем Продвинутые средства анализа угроз позволяют использовать данные о событиях и профилях для решения задач мониторинга безопасности и реагирования. Киберпреступники применяют все более и более продвинутые методы атак, о которых необходимо иметь ясное представление. Чем лучше в организации понимают методологию атаки, тем быстрее будут приняты меры реагирования на соответствующий инцидент информационной безопасности. Виды аварий Огромное значение имеет способность организации стабильно функционировать при авариях. Понятие «авария» включает любое природное или антропогенное явление, в результате которого происходит повреждение ресурсов или имущества и организация утрачивает возможность продолжать работу. Стихийные бедствия Вероятность стихийных бедствий зависит от географического положения. К сожалению, не все стихийные бедствия можно предсказать. Стихийные бедствия подразделяются на следующие категории: • Геологические: землетрясения, оползни, извержения вулканов, цунами • Метеорологические: ураганы, торнадо, метели, молнии, град • Биологические: быстро распространяющиеся заболевания, карантины, пандемии • Прочие: пожары, наводнения, солнечные бури, лавины Антропогенные аварии Антропогенные аварии вызваны людьми и организациями и подразделяются на следующие категории. • Сфера трудовых отношений: забастовки, акции протеста, замедление развития • Социально-политическая сфера: вандализм, блокады, протесты, саботаж, терроризм, войны • Объекты человеческой деятельности: утечка опасных материалов, пожары • Коммунальные услуги и ресурсы: перебои в электроснабжении, выход из строя систем связи, дефицит топлива, радиоактивные осадки Нажмите здесь, чтобы сравнить спутниковые фотографии территории Японии до и после землетрясения и цунами 2011 года. План аварийного восстановления План аварийного восстановления (data recovery plan, DRP) помогает сохранить работоспособность критически важных систем во время аварий, избежав суеты и неразберихи. В план аварийного восстановления включаются меры, которые необходимо принять для оценки, защиты, ремонта и восстановления поврежденных объектов и ресурсов. При создании плана аварийного восстановления необходимо ответить на следующие вопросы. • Кто несет ответственность за этот процесс? • Какие действия должны быть выполнены ответственным лицом в ходе этого процесса? • Где именно ответственное лицо реализует этот процесс? • Опишите процесс. • Почему этот процесс имеет критически важное значение? Из плана аварийного восстановления должно быть ясно, какие процессы внутри организации имеют наибольшее значение. В ходе восстановления необходимо в первую очередь наладить работу критически важных систем. Внедрение мер аварийного восстановления Меры аварийного восстановления помогают уменьшить ущерб от аварии и в кратчайшие сроки восстановить доступность ресурсов и бизнес-процессов. Существует три вида мер аварийного восстановления в сфере ИТ. • Превентивные меры помогают предотвратить аварии, т. е. распознать риски • Распознавательные меры направлены на обнаружение нежелательных событий, т. е. выявление новых потенциальных угроз • Корректирующие меры обеспечивают восстановление системы после аварии или иного подобного события Чтобы отобразить примеры методов и средств той или иной категории, нажмите на соответствующую категорию. Расшифровать рисунок Необходимость в непрерывности бизнес-процессов Непрерывность бизнес-процессов относится к числу важнейших концепций компьютерной безопасности. Несмотря на все усилия, приложенные к тому, чтобы предотвратить аварии и потерю данных, полностью исключить эти риски не удастся, поскольку невозможно предусмотреть все. Компаниям важно иметь в распоряжении планы, обеспечивающие непрерывность бизнес-процессов независимо от того, что может произойти. По сравнению с планом аварийного восстановления, план обеспечения непрерывности бизнес-процессов охватывает более широкий круг задач, поскольку в этот план включаются меры по перемещению критически важных систем на другие объекты до окончания восстановительных работ. Сотрудники выполняют свои обязанности в новом режиме до тех пор, пока не будут восстановлены стандартные рабочие процессы. Посредством соответствующих мер организация сохраняет доступность критически важных ресурсов для сотрудников и систем. Аспекты непрерывности бизнес-процессов Круг мер по обеспечению непрерывности бизнес-процессов не ограничивается резервным копированием данных и резервированием аппаратного обеспечения. Например, необходимо правильно настроить и эксплуатировать системы. Для этого нужны соответствующие сотрудники. Данные, из которых невозможно извлечь информацию, могут оказаться бесполезными. Необходимо уделить внимание следующим аспектам. • Размещение нужных людей в нужных местах • Документирование настроек • Создание альтернативных каналов для голосовой связи и передачи данных • Обеспечение электроснабжения • Выявление и полное понимание всех взаимосвязей между приложениями и процессами • Понимание способов выполнения автоматизированных задач вручную Лучшие практики обеспечения непрерывности бизнес-процессов На рисунке представлены лучшие практики, разработанные в Национальном институте по стандартам и технологиям США (NIST). 1. Разработка политики, которая берется за основу при создании плана обеспечения непрерывности бизнес-процессов и определяет роли при решении соответствующих задач. 2. Выявление критически важных систем и процессов. Расстановка соответствующих приоритетов с учетом степени важности. 3. Определение уязвимостей, угроз и расчет риска. 4. Определение и внедрение средства контроля и противодействия для снижения риска. 5. Разработка методов быстрого восстановления критически важных систем. 6. Разработка процедур, обеспечивающих работоспособность организации в условиях хаоса. 7. Проведение проверки плана. 8. Регулярное обновление плана.