Итоги 2006: виртуализация, регуляторика и год без спокойных патч-вторников
Виртуализировали 40+ серверов, провели первые аудиты по ГОСТ 17799, пережили MS06-040 в аварийном режиме. Год, когда клиенты начали слышать слово «регуляторика» без зевания.
2006 год отмечен взрывным ростом виртуализации, вступлением в силу 152-ФЗ о персональных данных и рекордной активностью сетевых угроз - включая критический MS06-040 с активной эксплуатацией
Декабрь - хорошее время, чтобы посмотреть на то, что происходило весь год, пока мы были заняты тем, что происходит прямо сейчас. Не отчёт для клиента, не пресс-релиз - просто попытка зафиксировать, что изменилось в нашей работе и почему.
Виртуализация: от пилотов к инфраструктуре
В начале года VMware Server стал бесплатным. Это был сигнал, что виртуализация перестаёт быть нишевой историей для тех, у кого есть лицензия ESX за несколько тысяч долларов. Мы этим воспользовались.
К концу декабря счёт виртуальных машин, которые мы развернули или перенесли у клиентов, перевалил за сорок. Это не одна большая инсталляция - это десятки маленьких решений, где один физический сервер заменял три-четыре, которые гудели в стойке с загрузкой 8%. Логика простая: железо стало достаточно мощным, чтобы гипервизор не был узким местом, а освободившийся шкаф и сэкономленные лицензии Windows Server убеждали лучше любого pitch-документа.
Работали с VMware Server, Xen 3 и Microsoft Virtual Server - в зависимости от среды клиента. Xen оказался интереснее всего технически, но требовательнее к квалификации: паравиртуализация, domU, отдельная история с драйверами Windows-гостей. VMware был понятнее и стабильнее в продакшене.
Главный операционный урок: бэкапы виртуальных машин через снэпшоты - удобно, но не равнозначно полноценному резервному копированию. Пару раз мы сами себя поймали на том, что снэпшот есть, а гарантии восстановления - нет. Отладили процедуры.
152-ФЗ: год, когда текст начали читать
Закон о персональных данных был принят ещё в июле, но основная масса организаций отнеслась к нему как к очередному документу, который нужно положить на полку. В нашей практике сдвиг произошёл ближе к осени: несколько клиентов пришли с вопросом «а что нам вообще с этим делать?» - не потому что приходит проверка, а потому что юристы начали задавать вопросы.
Мы провели первые обследования на предмет того, где и как хранятся персональные данные, кто имеет к ним доступ, есть ли хоть какая-то сегрегация. Картина была предсказуемой: данные клиентов, сотрудников, контрагентов - в одной базе, доступ у всех кто работает с 1С, логов нет, политики нет.
Это ещё не аудиты в полном смысле - скорее первичная инвентаризация и понимание масштаба. Но клиенты, которые прошли через это обследование, стали смотреть на тему иначе. Не «у нас всё нормально», а «у нас вот эти конкретные пробелы».
ГОСТ 17799: первые реальные аудиты
Летом мы провели первый полноценный аудит безопасности по ГОСТ Р ИСО/МЭК 17799-2005 - 133 контроля, три дня работы, сорок несоответствий. Потом был второй клиент, третий. Каждый раз картина немного разная, но есть константы: учётки уволенных в AD живут своей жизнью, бэкапы формально есть, но никто не проверял можно ли что-то из них восстановить, правила firewall не пересматривались с прошлого года.
Стандарт абстрактный - «должна существовать политика», «должны быть назначены ответственные». Мы выработали для себя консервативную интерпретацию: если документа нет или он не актуализирован дольше года - это несоответствие. Если процедура существует только в голове у системного администратора - несоответствие. Несколько клиентов поначалу считали это чрезмерным, но документы на руках убеждают лучше устных аргументов.
MS06-040: ночь с патч-листом
Август принёс MS06-040 - уязвимость в Server Service, CVSS 10.0, без аутентификации, по сети. Механика как у Blaster в 2003-м, порт тот же - 445. PoC появился через сутки после публикации, мы к этому моменту уже заканчивали раскатку по клиентским машинам.
Шесть часов ночной работы, WSUS, psexec, вручную по RDP на машинах где агент не отвечал. Один клиент попросил подождать до шести утра с перезагрузкой продакшн-серверов - договорились. В итоге - все активные машины закрыты, несколько оффлайновых ноутбуков закрылись сами при включении.
Это была первая реальная проверка нашего регламента emergency patching. Регламент был написан, но до этой ночи мы его не гоняли. Выяснилось, что список машин вне WSUS нужно держать явным и актуальным, а окно перезагрузки серверов нужно согласовывать заранее - не в 2 часа ночи в момент инцидента.
Что изменилось в голове у клиентов
Это, пожалуй, главное наблюдение года. Год назад разговор про безопасность и регуляторику выглядел примерно так: мы объясняем зачем это нужно, клиент кивает и просит перенести в следующий квартал. Сейчас разговор начинает клиент - иногда потому что юрист напомнил про 152-ФЗ, иногда потому что прочитал про MS06-040 в новостях и вспомнил, что у него тоже Windows.
Регуляторика перестала быть только нашей заботой - она начала становиться их заботой. Это медленный процесс, и у большинства клиентов он ещё в самом начале. Но это другое качество разговора.
Что остаётся открытым
Windows Vista выйдет в корпоративные сети в 2007-м - мы уже смотрели на RTM-версию и оценивали, что это значит для клиентских парков. Exchange 2007 тоже меняет архитектуру почтовых систем. Миграций впереди много.
152-ФЗ пока работает в режиме «все знают, мало кто делает». Когда начнутся реальные проверки - не знаем, но готовиться лучше не в момент получения уведомления.
Виртуализация продолжит расти - VMware vMotion и HA мы уже пробовали, и это меняет разговор о доступности сервисов. Живая миграция между хостами без остановки VM - это не демо-фича, это рабочий инструмент, который клиенты начинают ценить как только видят в деле.
Год был плотным. Следующий, похоже, будет не менее.