Итоги 2008: виртуализация взрослеет, Conficker взрослеет быстрее
2008-й: виртуализация из эксперимента превратилась в норму, Conficker и MS08-067 переписали наш подход к patch management, регуляторика начала кусаться.
Подведение итогов 2008 года: виртуализация достигает зрелости, Conficker меняет подход к патч-менеджменту, регуляторика ужесточается
Декабрь, конец года, самое время зафиксировать то, что изменилось в нашей работе с января по сейчас. Не для пресс-релиза - просто потому что год выдался плотным, и несколько вещей сдвинулись принципиально.
Виртуализация: из пилотов в операционную норму
Если коротко - в этом году виртуализация перестала быть темой для обсуждения и стала фоновым фактом. Мы не спрашиваем клиента «а вы думали о виртуализации?» - мы спрашиваем «сколько физических серверов у вас ещё не виртуализировано и почему».
Год назад мы запускали Hyper-V бета и смотрели на KVM/QEMU как на интересный эксперимент под Linux. Сейчас картина другая.
VMware ESX 3.5 + HA + vMotion - это наш основной production-стек для клиентов, которым нужна управляемая доступность. HA с временем восстановления в минуту, vMotion без остановки ВМ при обслуживании хостов, DRS для балансировки - мы всё это подробно разбирали в ноябре, и за год эксплуатации картина в целом подтвердилась: работает, грабли известны, настройки по умолчанию не для production.
Hyper-V RTM в июне вышел в финальной версии, и мы его сравнивали с ESX напрямую. Честный вывод: для Windows-сред Hyper-V - вполне рабочий вариант без доплаты за гипервизор, но операционная зрелость пока ниже, чем у VMware. Инструментарий, SCVMM, поддержка гостевых ОС - всё есть, но настроено и отлажено хуже. Берём в расчёт там, где лицензионная экономия важнее.
KVM в production - это отдельная история, которую мы начали в марте. Для Linux-гостей работает хорошо, для Windows требует внимания с virtio-драйверами, но стоимость нулевая и гибкость высокая. Несколько клиентов уже на нём.
Главный операционный сдвиг года: мы начали стандартизировать процедуры под виртуализированную инфраструктуру. Патчинг хостов, снэпшоты перед обновлениями гостей, тестирование HA-сценариев при вводе кластера - это теперь не «сделаем когда-нибудь», а чеклист при каждом развёртывании.
MS08-067 и Conficker: patch management - не опция
Октябрь и ноябрь оказались поучительными. MS08-067 - уязвимость в Windows Server Service, RCE без аутентификации, критический приоритет. Мы её закрывали в режиме аврала. Через несколько недель пришёл Conficker, который эту уязвимость использует как основной вектор.
У запатченных клиентов - тишина. У незапатченных или частично запатченных - работа в режиме пожарной команды.
Что мы вынесли из этих двух месяцев:
WSUS без контроля покрытия - это иллюзия. У нескольких клиентов WSUS работал, агенты отчитывались, но реальное покрытие было дырявым: ноутбуки, которые редко бывают в сети, сервера без агента, машины с отключённым автообновлением. Пока угроза абстрактная - живёшь с этим. Когда приходит Conficker - считаешь незапатченные машины вручную.
Список машин вне WSUS нужно вести явно. Не «наверное есть что-то», а конкретный перечень с указанием причины и ответственного. У нас такой список после октября появился. Неудобно, зато честно.
Emergency patching без отработанного регламента - хаос. Когда прилетает уязвимость с активной эксплуатацией в дикой природе, некогда разбираться кто согласовывает перезагрузку production-серверов в 2 часа ночи. Этот вопрос должен быть закрыт заранее: окно обслуживания по умолчанию, список контактов для экстренного согласования, порядок действий. У большинства наших клиентов к этому году хоть какой-то вариант этого регламента появился - именно потому что мы продавили.
Conficker как явление мы разобрали подробно в ноябре. Главное наблюдение, которое хочется зафиксировать именно в итогах: это не история про хитрый вирус, это история про то, что patch management - это операционный процесс, а не разовое действие. Запатчил один раз и забыл не работает, когда каждый квартал выходит что-то критическое.
Регуляторика: год, когда она начала кусаться
152-ФЗ обсуждается с 2006 года. В 2008-м появились технические регламенты ФСТЭК, и разговор стал конкретнее. Больше не «закон есть, но проверок нет» - появились методические документы, которые описывают что именно нужно делать технически.
PCI DSS 1.2 в октябре добавил требований для тех клиентов, которые работают с платёжными данными. Там уже есть конкретные пункты с конкретными проверками, и «мы планируем» не проходит.
ISO 27001 - один из наших клиентов в этом году пошёл на сертификацию, мы сопровождали подготовку. Это три-четыре месяца работы по 14 доменам, и самая трудоёмкая часть - не технические меры, а документация: политики, процедуры, журналы, матрицы ответственности. Технически всё нередко уже есть, а документов нет.
Практический вывод из года с регуляторикой: клиенты начинают понимать, что это не разовый проект «привести в соответствие», а постоянный операционный процесс. Не все это принимают с радостью, но принимают.
Что оставалось в стороне и зря
Мониторинг событий безопасности. У нас есть Nagios и Zabbix для мониторинга доступности и производительности. Но централизованный сбор логов безопасности - syslog с фильтрацией по event ID, попытки входа, изменения прав - это у большинства клиентов по-прежнему отсутствует. История с Conficker показала: хорошо бы знать, что происходит в сети, до того как прилетает сигнал от пользователя «что-то тормозит».
Контроль съёмных носителей. USB-вектор Conficker сработал там, где сеть была изолирована. Политики ограничения USB на рабочих станциях - это не паранойя, это следующий пункт в нашем списке рекомендаций клиентам.
Как закончился год
Загруженность высокая, всё успели, ни один клиент не потерял данные и не словил серьёзного простоя. По меркам года с MS08-067 и Conficker - это результат, который стоит зафиксировать.
На горизонте - SQL Server 2008 полным ходом, Debian Lenny вот-вот финал, SSD начинают появляться в серверных. Следующий год будет не менее плотным.