Обзор Efros Config Inspector


Обзор Efros Config Inspector

В обзоре рассматривается отечественный программный комплекс Efros Config Inspector, предназначенный для контроля конфигураций и состояния рабочей среды сетевого оборудования, средств защиты информации, платформ виртуализации и операционных систем, который разработан компанией «Газинформсервис». В обзоре представлены архитектура решения, системные требования, основные функциональные возможности, а также показана работа с продуктом.

Сертификат AM Test Lab

Номер сертификата: 193

Дата выдачи: 12.07.2017

Срок действия: 12.07.2022

Реестр сертифицированных продуктов »

 

 

1. Введение

2. Архитектура решения

3. Системные требования и поддерживаемые технологии

4. Основные функциональные возможности продукта

5. Соответствие требованиям регуляторов

6. Работа с Efros Config Inspector

7. Выводы

 

 

Введение

Современный корпоративный дата-центр может включать сотни или даже тысячи устройств и систем. Это могут быть роутеры, криптомаршрутизаторы, серверы виртуализации, гипервизоры. Из-за огромного количества устройств становится трудно управлять инфраструктурой и обеспечивать информационную безопасность компании.

В организациях с развитой ИТ-инфраструктурой контроль правильности настроек оборудования и ПО, как правило, отнимает много времени у специалистов. Кроме того, проблема управления ИТ-инфраструктурой усугубляется еще и тем, что многие компании используют устройства различных производителей и ИТ-специалистам необходимо обладать знаниями по управлению всеми типами устройств.

Аудит инфраструктуры со стороны службы информационной безопасности также может быть затруднен: например, бывает сложно оперативно получить информацию об актуальном состоянии коммутационного оборудования или серверов. В то же время несанкционированное изменение или ошибки в настройке даже одного устройства могут негативно отразиться на работе как отдельно взятого сегмента, так и всей ИТ-инфраструктуры, и нарушить критичные для компании бизнес-процессы. Поэтому многие руководители отделов ИТ и ИБ задумываются об инструментах, которые могли бы помочь автоматизировать процесс управления конфигурациями, осуществлять мониторинг и аудит инфраструктуры, а также повышать прозрачность взаимодействия между сотрудниками.

Необходимость управления конфигурациями обусловлена также требованиями мировых стандартов и нормативных документов по защите информации. В частности, Стандарт PCI DSS требует контролировать конфигурации межсетевых экранов и другого активного сетевого оборудования. ФСТЭК России в Приказах № 17, 21 и 31 выдвигает требования к контролю информационной и программной частей сетевого оборудования и регламентирует такие меры, как контроль целостности и управление конфигурациями. Также следует отметить, что одной из важнейших частей ITIL являются процессы управления изменениями (Change Management) и управления конфигурациями (Configuration Management) и ведение базы данных конфигураций (CMDB).

Для решения таких задач компания «Газинформсервис» разработала программный комплекс контроля конфигураций Efros Config Inspector. Он является инструментом централизованного комплексного интеллектуального контроля конфигурации сетевого оборудования, операционных систем и платформ виртуализации. Продукт подходит для компаний различного масштаба, в том числе с географически распределенной инфраструктурой или использующих удаленные рабочие места. За годы разработки и внедрения продуктов линейки Efros компания «Газинформсервис» заняла серьезные позиции на российском рынке средств защиты информации. Следует отметить, что Efros Config Inspector является первым и единственным отечественным продуктом для контроля конфигураций сетевых устройств и систем.

 

Архитектура решения

Программный комплекс Efros Config Inspector состоит из нескольких частей:

  • Серверная часть
  • Клиентская консоль управления
  • Windows-агент

Серверная часть Efros Config Inspector подключается к сетевым устройствам, загружает конфигурационные файлы и контролируемые списки, проверяет их неизменность. Проверки запускаются по расписанию или по требованию. Сервер может принимать Syslog- и SNMP-сообщения и позволяет настроить запуск проверок при наступлении определенных событий. Это помогает реагировать на изменения конфигураций в режиме реального времени.

 

Рисунок 1. Схема работы Efros Config Inspector

Схема работы Efros Config Inspector

 

Клиентская консоль подключается к серверу Efros Config Inspector по протоколу TLS и может работать параллельно на нескольких компьютерах.

Сервер подключается к устройствам по различным коммуникационным протоколам и получает от них данные о конфигурации. Эти и другие данные, полученные в ходе работы Efros Config Inspector, хранятся во внешней СУБД в зашифрованном виде (SHA-256).

 

Системные требования и поддерживаемые технологии

Для функционирования Efros Config Inspector необходим сервер, удовлетворяющий следующим системным требованиям:

  • Четырехъядерный процессор с минимальной тактовой частотой 2 ГГц.
  • Оперативная память объемом не менее 8 Гб.
  • Свободное дисковое пространство — 50 Гб.
  • Сетевая карта 10/100/1000 Мбит/с Ethernet.

В качестве операционной системы могут использоваться Windows 7 (SP1), 8/8.1, 10, 2008R2 (SP1), 2012/2012R2. В качестве СУБД можно использовать MySQL, PostgreSQL и Microsoft SQL Server 2012.

Список поддерживаемого оборудования обширен и позволяет использовать Efros Config Inspector для контроля разнообразных ИТ-инфраструктур. Поддерживаются как бюджетные решения, так и продукты корпоративного уровня, поэтому Efros Config Inspector подойдет для малых предприятий и для больших организаций со значительным количеством высокотехнологичного сетевого оборудования. При этом программный комплекс поддерживает десятки различных производителей оборудования и программных средств, среди которых Cisco, Huawei, Сheck Point, Juniper, Palo Alto, S-Terra, «Полигон», «Фактор-ТС», Microsoft, Linux. Список может быть дополнен по требованию заказчика, для этого производится разработка соответствующего дополнительного модуля. Разработка новых модулей производится в рамках действующего пакета расширенной технической поддержки. Сроки разработки зависят от сложности подключаемого оборудования, но, по заявлению разработчика, обычно не превышают трех недель.

 

Основные функциональные возможности продукта

Efros Config Inspector обеспечивает выполнение следующих функций:

  • Контроль целостности, отслеживание изменений.
  • Инвентаризация оборудования.
  • Выполнение проверок объектов сетевой инфраструктуры на соответствие политикам безопасности и наличие уязвимостей.
  • Ведение архива настроек и конфигураций.
  • Резервное копирование конфигураций сетевого оборудования.
  • Сбор и обработка событий.

В рамках выполнения этих функций программный комплекс решает следующие задачи:

  • Контроль активного сетевого оборудования разных производителей.
  • Проверка на соответствие политикам безопасности серверных и клиентских операционных систем Windows, Linux, Unix-like.
  • Контроль состояния объектов виртуальных сред.
  • Запуск проверок по расписанию.
  • Фильтрация, выборка, построение отчетов.
  • Отправка писем и уведомлений администратору комплекса.
  • Отправка извещений внешним средствам мониторинга: системам SIEM или GRC.
  • Прием и хранение Syslog- и SNMP-сообщений.
  • Ведение журнала действий пользователей.
  • Контроль целостности файлов операционных систем.

 

Соответствие требованиям регуляторов

Efros Config Inspector внесен в Единый реестр российских программ для электронных вычислительных машин и баз данных.

Программный комплекс Efros Config Inspector сертифицирован ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей (НДВ), Сертификат ФСТЭК России № 3245 до 23 октября 2017 года.  Таким образом, Efros Config Inspector может использоваться для защиты государственных информационных систем (ГИС) и АСУ ТП до класса К1, защиты персональных данных до УЗ1, автоматизированных систем до класса 1Г включительно.

 

Работа с Efros Config Inspector

Работа с продуктом начинается с авторизации администратора в консоли Efros Config Inspector.

 

Рисунок 2. Аутентификация в консоли Efros Config Inspector

Аутентификация в консоли Efros Config Inspector

 

После успешного завершения аутентификации администратора на сервере Efros Config Inspector откроется окно клиентской консоли.

Главное меню содержит четыре основных раздела:

  • Мониторинг
  • Устройства
  • События
  • Настройки

Раздел «Мониторинг» предназначен для предоставления пользователю обобщенной информации о состоянии всех устройств, подключенных к комплексу, в графическом виде и в виде списков: устройства с недавно измененной конфигурацией, с обнаруженными уязвимостями, наименее защищенные и т. п.

 

Рисунок 3. Раздел «Мониторинг» Efros Config Inspector

Раздел «Мониторинг» Efros Config Inspector

 

Основная работа Efros Config Inspector заключается в анализе содержимого загруженных отчетов с устройств. Отчеты позволяют просматривать данные устройств, выполнять фильтрацию и выборки, отслеживать изменение настроек устройств, хранить архив изменений, контролировать целостность настроек, проверять их корректность и использовать пользовательские проверки.

 

Рисунок 4. Раздел «Устройства» Efros Config Inspector

Раздел «Устройства» Efros Config Inspector

 

В разделе «События» отображены все события, произошедшие как в ИТ-инфраструктуре, так и в комплексе Efros Config Inspector: изменения расписаний проверок, аудит, запуск триггеров и т. д. 

 

Рисунок 5. Раздел «События» Efros Config Inspector

Раздел «События» Efros Config Inspector

 

В разделе «Настройки» пользователь может добавить устройства, настроить обработку событий, сформировать отчеты, изучить профили устройств, задать параметры проверок по расписанию, а также управлять служебными настройками комплекса.

 

Рисунок 6. Раздел «Настройки» Efros Config Inspector

Раздел «Настройки» Efros Config Inspector

 

Добавить устройство в Efros Config Inspector можно несколькими способами: через меню «Устройства», задав параметры добавляемого устройства вручную, а также в разделе «Настройки» путем сканирования сети.

 

Рисунок 7. Сканирование сети в Efros Config Inspector

Сканирование сети в Efros Config Inspector

 

Рассмотрим принцип работы комплекса на примере нарушения целостности файлов на Windows-сервере. Для этого в разделе «Отчеты» создадим отчет «Windows-файлы», который будет контролировать файлы *.cfgr в каталоге  C:\1\.

 

Рисунок 8. Создание отчета для контроля целостности файлов в Efros Config Inspector

Создание отчета для контроля целостности файлов в Efros Config Inspector

 

Для реакции Efros Config Inspector на нарушение целостности файлов на Windows-сервере в разделе «Устройства — Отчеты» выберем режим работы для нового отчета, «Контроль изменений».

 

Рисунок 9. Изменение режима работы отчета в Efros Config Inspector

Изменение режима работы отчета в Efros Config Inspector

 

В Efros Config Inspector загрузка отчетов может быть выполнена:

  • автоматически при проверке устройства по расписанию;
  • автоматически в результате выполнения триггера (например, при получении Syslog-сообщения);
  • вручную по команде «Загрузить» из контекстного меню устройства или группы.

Для автоматической загрузки отчетов и выполнения операций с Windows-сервером в разделе «Расписание» зададим периодичность проверки 2 минуты.

 

Рисунок 10. Расписание загрузки отчетов и выполнения операций в Efros Config Inspector

Расписание загрузки отчетов и выполнения операций в Efros Config Inspector

 

После запуска проверок файлов сервера система выполнит проверку и создаст эталонные значения контролируемых файлов. Далее выполним модификацию любого файла с расширением *.cfgr в каталоге С:\1\, который мы ставили на контроль.

В разделе «Мониторинг» на диаграмме «Контроль изменений» видим, что на сервере зафиксировано несколько нарушений.

 

Рисунок 11. Отображение нарушений на диаграмме «Контроль изменений» в Efros Config Inspector

Отображение нарушений на диаграмме «Контроль изменений» в Efros Config Inspector

 

Уведомления о нарушениях можно также посмотреть в разделе «Устройства» во вкладке «Статус», во вкладке «Отчеты» (отчеты о нарушении целостности файлов будут подсвечиваться красным цветом) или же во вкладке «События» выполнить фильтрацию по типу события «Нарушение целостности».

 

Рисунок 12. Отображение нарушений во вкладке «Статус» Efros Config Inspector

Отображение нарушений во вкладке «Статус» Efros Config Inspector

 

Рисунок 13. Нарушения во вкладке «Отчеты» Efros Config Inspector

Нарушения во вкладке «Отчеты» Efros Config Inspector

 

Рисунок 14. Фильтр по типу событий «Нарушение целостности» в Efros Config Inspector

Фильтр по типу событий «Нарушение целостности» в Efros Config Inspector

 

Перейдя в отчет о нарушении, можно увидеть, что изменилась контрольная сумма файла C:\1\Config.cfgr.

 

Рисунок 15. Нарушение контрольной суммы файла Config.cfgr в Efros Config Inspector

Нарушение контрольной суммы файла Config.cfgr в Efros Config Inspector

 

Если изменения в файлы были внесены санкционированно (например, администратор сети изменил настройки), то последнюю модифицированную версию файла оператор Efros Config Inspector может сделать эталонной.

 

Рисунок 16. Принятие модифицированной версии файла за эталон в Efros Config Inspector

Принятие модифицированной версии файла за эталон в Efros Config Inspector

 

Кроме того, во вкладке «История изменений» можно ознакомиться со всеми модификациями файлов на сервере.

 

Рисунок 17. История изменений файлов в Efros Config Inspector

История изменений файлов в Efros Config Inspector

 

Выводы

Efros Config Inspector представляет собой мощный набор инструментов, который будет полезен как системным инженерам, работающим с сетевым оборудованием и серверами, так и офицерам безопасности, которым необходимо контролировать выполнение требований ИБ.

Важным достоинством использования Efros Config Inspector является повышение общего уровня защищенности сети — это достигается путем контроля изменений в конфигурациях и встроенным разграничением доступа к консоли управления Efros Config Inspector.

К сильным сторонам продукта также относятся широкий спектр (более 50 типов) поддерживаемых сетевых устройств, межсетевых экранов, операционных систем и платформ виртуализации, наличие функций анализа защищенности и резервного копирования конфигураций устройств.

Применение Efros Config Inspector помогает обеспечить соответствие требованиям ключевых стандартов и нормативных документов по информационной безопасности (PCI DSS, ISO 27001, ITIL, Приказы ФСТЭК России № 17, 21 и 31), а наличие сертификата ФСТЭК России дает возможность использовать его в составе комплексов защиты информационных систем, где применение сертифицированных продуктов обязательно.

По функциональным возможностям Efros Config Inspector не уступает аналогичным системам западных вендоров, поэтому он может стать достойной заменой зарубежным аналогам. Это особенно актуально в связи со стратегией импортозамещения в стране.

Достоинства:

  • Контроль целостности объектов и конфигураций.
  • Обнаружение уязвимостей.
  • Поддержка сетевых устройств российской разработки.
  • Централизованный контроль.
  • База данных конфигураций.
  • Встроенные наборы политик безопасности многих известных производителей сетевого и серверного оборудования.
  • Поддержка большого числа сетевых устройств, операционных систем и виртуальных сред.
  • Модульная система с возможностью быстрого добавления новых вендоров.
  • Отечественная разработка.
  • Наличие сертификата соответствия требованиям безопасности ФСТЭК России.
  • Визуализация сетевой инфраструктуры.
  • Услуги по интеграции продукта «под ключ».

Недостатки:

  • Отсутствие веб-интерфейса для доступа администратора к системе.
  • Отсутствие дистрибутивов под операционные системы семейства Linux.

В следующих статьях будут подробно рассмотрены сценарии использования Efros Config Inspector, следите за обновлениями на сайте.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

...

Запросить пробную версию

...

Запросить цены

...

Задать вопрос

...

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.