2009: год, когда виртуалок стало больше, чем железа
Подводим итоги 2009-го: 340 виртуальных машин против 95 физических, Conficker как главный инцидент года и план довести клиентов до 152-ФЗ до дедлайна.
2009 год: год виртуализации, Conficker, 152-ФЗ и первых корпоративных Wi-Fi N - подводим итоги
В начале декабря мы обычно делаем внутреннюю сводку по году - не для отчётности, а чтобы самим понять, что изменилось. В этот раз цифры получились интереснее обычного, поэтому выносим наружу.
Виртуализация: перевалили за точку невозврата
Главная техническая история 2009 года - это цифры по виртуальным и физическим машинам. У нас под управлением сейчас 340 виртуальных машин против 95 физических. Год назад соотношение было примерно обратным. Это не потому что мы агрессивно убеждали клиентов переходить - просто когда ESXi стал бесплатным, когда vSphere 4 вышел с нормальным HA и DRS, когда vMotion перестал быть экзотикой, вопрос «зачем виртуализовать» сам собой растворился.
Практический результат: железо покупается реже, инциденты «умер сервер» превращаются в «перезапустилась VM за полторы минуты», а добавление нового сервиса - это задача на час, не на день. Резервное копирование через Veeam работает на уровне снапшотов, и это тоже меняет жизнь.
Физика при этом никуда не делась. 95 физических машин - это в основном гипервизорные хосты плюс сетевое оборудование плюс несколько специфических задач, которые виртуализовать нет смысла. Соотношение 1:3,5 - это не предел, но и гнаться за красивой круглой цифрой смысла нет.
Безопасность: Conficker задал тон всему году
С точки зрения инцидентов 2009-й запомнится Conficker. Первые волны мы видели ещё в январе - у клиентов с незакрытым MS08-067 и без нормального patch management он разошёлся по сетям очень быстро. К апрелю, когда сработал встроенный в червя таймер, уже стало ясно, что это не разовая история, а затяжная.
По нашим площадкам серьёзных инцидентов удалось избежать - с теми клиентами, где WSUS настроен в автоматическом режиме и критические обновления применяются без ожидания ручного одобрения, Conficker не прошёл дальше одной-двух машин. Там, где patch management был «мягким», убирали последствия вручную. Это, пожалуй, главный практический урок года: политика обновлений - это не бюрократия, это именно то, что отличало чистые сети от заражённых.
Из другой безопасной истории - летом начали видеть первые корпоративные Wi-Fi N. 802.11n в draft-версии уже стоял у нескольких клиентов, в этом году появились первые окончательные устройства. Радует то, что с ростом скоростей подросло и внимание к безопасности беспроводного периметра: WPA2-Enterprise с RADIUS-аутентификацией вместо пре-шаред-ключа теперь воспринимается как норма, не как опциональное усложнение.
152-ФЗ: дедлайн близко
Самая практически нервная история года - это всё-таки 152-ФЗ и приказ ФСТЭК №58. Дедлайн - 1 января 2010-го. С начала года мы проводили аудиты и каждый раз картина была одинаковой: бумаги в порядке, техника нет.
У нас сейчас несколько клиентов в процессе приведения инфраструктуры к требованиям. Где-то успеваем закрыть всё до Нового года, где-то - честно говорим, что декабрь слишком короткий для нормальной работы, и делаем это качественно в январе. Проверки от ФСТЭК или Роскомнадзора по первым месяцам 2010 года мы не ожидаем в массовом количестве - закон молодой, регулятор только разворачивается. Но это не повод откладывать: у тех, кто не начал вообще, в 2010-м работы будет сильно больше.
Главное, что мы поняли по итогам аудитов: проблема почти всегда не в дорогих технических решениях, а в базовых вещах. Открытые сетевые папки без аутентификации. Excel с персданными на файлопомойке. Сканы паспортов по расшаренной папке без пароля. Это устраняется не покупкой сертифицированного СКЗИ, а нормальной настройкой того, что уже есть.
Что берём в 2010-й
Два приоритета, которые сами собой сложились к декабрю.
Первый - 152-ФЗ для всех. Задача довести остальных клиентов до соответствия. Это не быстро, это требует участия с их стороны, но откладывать больше некуда.
Второй - Windows 7 и Server 2008 R2. RTM вышел в сентябре, OEM уже на новых машинах. RTM мы смотрели ещё в сентябре - впечатление хорошее, особенно Direct Access и новый стек групповых политик. В 2010-м начнём первые корпоративные миграции там, где клиент готов и где инфраструктура позволяет.
XP никуда не денется в один момент - слишком много специфического ПО, которое никто не торопится пересертифицировать под новую ОС. Но начинать надо, иначе потом будет только хуже.
Год получился плотным. Виртуализация выросла, безопасность подёргалась, регулятор показал зубы. По меркам IT-управления - нормальный год, без катастроф и без застоя.
- Conficker: карантин руками и урок про патчи, которые не ставят · 8 января 2009
- 152-ФЗ и приказ ФСТЭК №58: проверяем клиента из торговли до дедлайна · 29 января 2009