Итоги 2011: виртуализация выросла, безопасность усложнилась, облака стучатся в дверь
Подводим итог рабочего года: vSphere 5 у четырёх клиентов, 152-ФЗ у шести, первые BYOD-политики и волна серьёзных угроз - Duqu, BEAST, атаки на SCADA.
Конец 2011 года: подводим итоги по виртуализации, кибербезопасности и первым разговорам про облачные пилоты
Декабрь - время, когда проекты закрываются, акты подписываются, а мы смотрим на список задач за год и думаем: «надо же, сколько всего». Без пафоса и без попыток сформулировать тренды - просто что реально делали, что получилось, что нет.
Виртуализация: от тестов к production
Если в 2010-м виртуализация у клиентов была либо «у нас уже есть пара VM для разработки», либо «мы думаем попробовать» - то в 2011-м что-то сдвинулось. Четыре клиента перевели основную инфраструктуру на vSphere 5, который вышел летом. Переход с ESXi 4.1 на 5.0 оказался менее болезненным, чем ожидали, - vCenter 5 поставился поверх существующего, большинство VM мигрировали без переконфигурации. Нюанс был с лицензированием: VMware изменила модель в пользу vRAM-квот, что вызвало у клиентов вопросы на этапе закупки. Пришлось объяснять несколько раз, почему лицензия на хост с 256 Гб RAM не означает «можно сколько угодно VM».
Один кейс запомнился особо: производственный холдинг с разнесёнными площадками, где ядро инфраструктуры жило на физических серверах 2006-2008 годов выпуска. После виртуализации 40+ серверов на четыре физических хоста они сократили потребление электроэнергии в серверной - это посчитал их финансовый директор сам, без нашей подсказки. Нам самим было интересно услышать цифры. vMotion между хостами заработал сразу, что сняло вопрос про обслуживание железа без остановки сервисов - раньше это был целый ритуал с ночными окнами.
Среди тех, кто ещё не перешёл - пара клиентов смотрит на Hyper-V SP1, который вышел в феврале с нормальной поддержкой кластеров. Конкуренция с VMware в нижнем ценовом сегменте стала реальной - Microsoft включил Hyper-V бесплатно в Windows Server 2008 R2, и для тех, кому нужно несколько VM и есть Windows-лицензия, это аргумент.
152-ФЗ: от разговоров к внедрению
Шесть проектов по приведению информационных систем в соответствие с 152-ФЗ - это почти вдвое больше, чем в прошлом году. Весной мы писали про аудит информационных систем в контексте ФЗ, и с тех пор запросы не прекращались. Бизнес начал воспринимать регулятора всерьёз после нескольких резонансных штрафов и проверок, о которых стали говорить публично.
Типичный проект выглядел так: аудит существующих систем, классификация ИСПДн, разработка модели угроз, выбор организационных и технических мер. Без технических мер чаще всего не обходилось: шифрование каналов, разграничение доступа, логирование событий безопасности. У двух клиентов параллельно настраивали SIEM - как раз для того, чтобы корреляция событий была не на бумаге, а в реальности.
Самое трудоёмкое - не техника, а документация. Положение об обработке персональных данных, инструкции для операторов, журналы, приказы. Юристы клиентов писали часть документов сами, мы согласовывали техническую часть. Бюрократии много, но когда видишь, что у клиента 50 000 записей о физлицах в базе данных и нет ни одного документа, регулирующего доступ к ним, - понимаешь, что нагрузка обоснована.
Безопасность: год серьёзных угроз
Если в прошлые годы угрозы безопасности для большинства клиентов были абстрактными - то 2011-й дал несколько конкретных поводов перестать относиться к ним так.
Duqu появился летом и сразу стал темой для обсуждения - технически выросший из Stuxnet, но с другими целями: сбор информации, а не прямой саботаж. Мы разбирали его в отдельном посте. Для клиентов с промышленными компонентами в инфраструктуре это стало поводом ещё раз пройтись по изоляции SCADA-сетей. Про изоляцию промышленных сетей мы писали весной - и сейчас именно те клиенты, где этот вопрос был закрыт, спали спокойнее.
BEAST - атака на TLS 1.0, о которой заговорили в мае. Суть: уязвимость в CBC-режиме позволяет расшифровать сессионные данные при MITM. Практически это означало, что HTTPS-сессии не такие безопасные, как казались. Мы проверили конфигурации веб-серверов у нескольких клиентов - у половины стояли настройки по умолчанию, позволявшие согласование TLS 1.0 даже там, где поддерживались более новые версии. Поправили. Часть клиентов отреагировала на это с умеренным интересом, часть - с типичным «а нам это вообще грозит?».
Атаки на промышленные объекты как класс угроз перестали быть экзотикой. После Stuxnet в 2010-м и Duqu в 2011-м разговор о кибербезопасности SCADA-систем стал не паранойей, а нормальной темой для ИТ-директора предприятия.
BYOD: явление из ниоткуда
В начале года мы бы не предположили, что BYOD станет отдельным направлением работы. Но к осени у нескольких клиентов накопилась одна и та же ситуация: сотрудники с личными смартфонами хотят корпоративную почту и доступ к ресурсам, а ИТ-безопасность нервничает. Разработали первые политики - про один из таких проектов мы рассказали в ноябре.
Android оказался головной болью из-за фрагментации, iOS - предсказуемее. MDM как инструмент работает, но треть усилий - это организация и переговоры, а не техника.
Что не сделали и что впереди
Облака в 2011-м для большинства клиентов остались темой для разговоров. AWS работает, Azure набирает обороты, но когда доходит до конкретики - хранение данных за рубежом, вопросы 152-ФЗ, непривычная модель затрат - большинство откладывает решение. Несколько клиентов готовы к пилотным проектам в следующем году - посмотрим, насколько теория совпадёт с практикой.
IPv6 тоже завис: написали про переход в феврале, провели пару пилотов у клиентов с двойным стеком, но до реального отказа от IPv4 никто не дошёл. Что неудивительно - адресное пространство пока есть, мотивации торопиться нет.
В целом год вышел плотным. Не потому что случилось что-то принципиально новое - а потому что всё, что несколько лет было «у нас в планах», начало превращаться в реальные проекты с дедлайнами и бюджетами. Виртуализация перестала быть экспериментом, безопасность перестала быть формальностью. Это хорошая точка для перехода в следующий год.