ADG Оставить заявку
Блог Управление и процессы 5 мин чтения

Итоги 2008: виртуализация взрослеет, Conficker взрослеет быстрее

2008-й: виртуализация из эксперимента превратилась в норму, Conficker и MS08-067 переписали наш подход к patch management, регуляторика начала кусаться.

Контекст момента

Подведение итогов 2008 года: виртуализация достигает зрелости, Conficker меняет подход к патч-менеджменту, регуляторика ужесточается

Декабрь, конец года, самое время зафиксировать то, что изменилось в нашей работе с января по сейчас. Не для пресс-релиза - просто потому что год выдался плотным, и несколько вещей сдвинулись принципиально.

Виртуализация: из пилотов в операционную норму

Если коротко - в этом году виртуализация перестала быть темой для обсуждения и стала фоновым фактом. Мы не спрашиваем клиента «а вы думали о виртуализации?» - мы спрашиваем «сколько физических серверов у вас ещё не виртуализировано и почему».

Год назад мы запускали Hyper-V бета и смотрели на KVM/QEMU как на интересный эксперимент под Linux. Сейчас картина другая.

VMware ESX 3.5 + HA + vMotion - это наш основной production-стек для клиентов, которым нужна управляемая доступность. HA с временем восстановления в минуту, vMotion без остановки ВМ при обслуживании хостов, DRS для балансировки - мы всё это подробно разбирали в ноябре, и за год эксплуатации картина в целом подтвердилась: работает, грабли известны, настройки по умолчанию не для production.

Hyper-V RTM в июне вышел в финальной версии, и мы его сравнивали с ESX напрямую. Честный вывод: для Windows-сред Hyper-V - вполне рабочий вариант без доплаты за гипервизор, но операционная зрелость пока ниже, чем у VMware. Инструментарий, SCVMM, поддержка гостевых ОС - всё есть, но настроено и отлажено хуже. Берём в расчёт там, где лицензионная экономия важнее.

KVM в production - это отдельная история, которую мы начали в марте. Для Linux-гостей работает хорошо, для Windows требует внимания с virtio-драйверами, но стоимость нулевая и гибкость высокая. Несколько клиентов уже на нём.

Главный операционный сдвиг года: мы начали стандартизировать процедуры под виртуализированную инфраструктуру. Патчинг хостов, снэпшоты перед обновлениями гостей, тестирование HA-сценариев при вводе кластера - это теперь не «сделаем когда-нибудь», а чеклист при каждом развёртывании.

MS08-067 и Conficker: patch management - не опция

Октябрь и ноябрь оказались поучительными. MS08-067 - уязвимость в Windows Server Service, RCE без аутентификации, критический приоритет. Мы её закрывали в режиме аврала. Через несколько недель пришёл Conficker, который эту уязвимость использует как основной вектор.

У запатченных клиентов - тишина. У незапатченных или частично запатченных - работа в режиме пожарной команды.

Что мы вынесли из этих двух месяцев:

WSUS без контроля покрытия - это иллюзия. У нескольких клиентов WSUS работал, агенты отчитывались, но реальное покрытие было дырявым: ноутбуки, которые редко бывают в сети, сервера без агента, машины с отключённым автообновлением. Пока угроза абстрактная - живёшь с этим. Когда приходит Conficker - считаешь незапатченные машины вручную.

Список машин вне WSUS нужно вести явно. Не «наверное есть что-то», а конкретный перечень с указанием причины и ответственного. У нас такой список после октября появился. Неудобно, зато честно.

Emergency patching без отработанного регламента - хаос. Когда прилетает уязвимость с активной эксплуатацией в дикой природе, некогда разбираться кто согласовывает перезагрузку production-серверов в 2 часа ночи. Этот вопрос должен быть закрыт заранее: окно обслуживания по умолчанию, список контактов для экстренного согласования, порядок действий. У большинства наших клиентов к этому году хоть какой-то вариант этого регламента появился - именно потому что мы продавили.

Conficker как явление мы разобрали подробно в ноябре. Главное наблюдение, которое хочется зафиксировать именно в итогах: это не история про хитрый вирус, это история про то, что patch management - это операционный процесс, а не разовое действие. Запатчил один раз и забыл не работает, когда каждый квартал выходит что-то критическое.

Регуляторика: год, когда она начала кусаться

152-ФЗ обсуждается с 2006 года. В 2008-м появились технические регламенты ФСТЭК, и разговор стал конкретнее. Больше не «закон есть, но проверок нет» - появились методические документы, которые описывают что именно нужно делать технически.

PCI DSS 1.2 в октябре добавил требований для тех клиентов, которые работают с платёжными данными. Там уже есть конкретные пункты с конкретными проверками, и «мы планируем» не проходит.

ISO 27001 - один из наших клиентов в этом году пошёл на сертификацию, мы сопровождали подготовку. Это три-четыре месяца работы по 14 доменам, и самая трудоёмкая часть - не технические меры, а документация: политики, процедуры, журналы, матрицы ответственности. Технически всё нередко уже есть, а документов нет.

Практический вывод из года с регуляторикой: клиенты начинают понимать, что это не разовый проект «привести в соответствие», а постоянный операционный процесс. Не все это принимают с радостью, но принимают.

Что оставалось в стороне и зря

Мониторинг событий безопасности. У нас есть Nagios и Zabbix для мониторинга доступности и производительности. Но централизованный сбор логов безопасности - syslog с фильтрацией по event ID, попытки входа, изменения прав - это у большинства клиентов по-прежнему отсутствует. История с Conficker показала: хорошо бы знать, что происходит в сети, до того как прилетает сигнал от пользователя «что-то тормозит».

Контроль съёмных носителей. USB-вектор Conficker сработал там, где сеть была изолирована. Политики ограничения USB на рабочих станциях - это не паранойя, это следующий пункт в нашем списке рекомендаций клиентам.

Как закончился год

Загруженность высокая, всё успели, ни один клиент не потерял данные и не словил серьёзного простоя. По меркам года с MS08-067 и Conficker - это результат, который стоит зафиксировать.

На горизонте - SQL Server 2008 полным ходом, Debian Lenny вот-вот финал, SSD начинают появляться в серверных. Следующий год будет не менее плотным.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.