Даже самую безопасную информационную систему можно настроить так, что получится проходной двор для злоумышленников и вредоносного кода. Эксперты в студии AM Live обсудили, как автоматизация и мониторинг конфигураций (Configuration Management, CM) помогают предотвратить риски и обеспечить бесперебойную работу.
- Введение
- Что считается конфигурацией в современной ИТ-инфраструктуре?
- Преимущества внедрения систем контроля и управления конфигурациями
- Каков ключевой компонент любой системы управления конфигурациями?
- Прогнозы экспертов: как изменится рынок систем управления конфигурациями
- Выводы
Введение
Современные ИТ-системы становятся всё сложнее: облачные сервисы, микросервисная архитектура, контейнеризация и автоматизированные конвейеры (пайплайны) требуют строгого управления настройками. Любое несоответствие конфигураций может привести к сбоям, уязвимостям или даже масштабным инцидентам.
Контроль конфигураций (Configuration Management) — это основа стабильности и безопасности инфраструктуры. Он позволяет поддерживать порядок в настройках серверов, сетевых устройств и приложений, минимизировать дрейф конфигураций и быстро восстанавливать работоспособность после сбоев. Разберемся, какие инструменты и практики помогают добиться идеальной согласованности и снизить риски в ИТ-среде.
Рисунок 1. Эксперты в студии AM Live
Участники эфира:
- Виталий Масютин, технический директор компании «ЛИНЗА».
- Светозар Яхонтов, генеральный директор (CEO) SafenSoft.
- Кирилл Евтушенко, генеральный директор ООО «Кауч».
- Вячеслав Кадомский, директор по развитию компании РОСА.
- Евгений Бисовко, руководитель отдела проектного управления, Security Vision.
Ведущий и модератор эфира — Руслан Иванов, продуктовый директор по безопасности Cloud.ru.
Что считается конфигурацией в современной ИТ-инфраструктуре?
Виталий Масютин объяснил, что конфигурация инфраструктуры — это совокупность всех параметров, которые можно настроить или поменять. В каком-то смысле это и есть ИТ-инфраструктура. Есть площадки, которые могут десятилетиями не меняться — технические средства, операционные системы, архитектура, — а есть конфигурация, которая меняется постоянно. Именно эти изменения делают ИТ-инфраструктуру живой, а задачи по её защите максимально сложными.
Светозар Яхонтов добавил, что конфигурация — это то, от чего зависит корректность работы систем, их ожидаемое состояние, функциональность и безопасность этих систем. От корректного состояния конфигурации зависит, насколько ресурсоёмким будет обслуживание таких систем с точки зрения обеспечения безопасной эксплуатации ПО в инфраструктуре. Правильно настроенная система порой не требует никаких наложенных средств защиты. Важно такое состояние сохранить, когда происходят релизы и эксплуатационные воздействия.
Светозар Яхонтов, генеральный директор (CEO) SafenSoft
Кирилл Евтушенко считает, что удачное определение таково: конфигурация — это параметры, с которыми функционирует система. Работа с ней и её восприятие сильно отличается в разных компаниях из разных отраслей (разработка, энтерпрайз, облака).
Вячеслав Кадомский дал упрощённую формулировку: конфигурация — это набор настроек всех компонентов инфраструктуры. Правильная конфигурация ИТ-систем действительно влияет на эффективность инфраструктуры, её стабильность, производительность. Этому нужно уделять большое внимание.
Евгений Бисовко уверен, что конфигурация — это всё, что можно автоматически и вручную изменить в инфраструктуре. Важно рассматривать конфигурации и с технической стороны, и с точки зрения безопасности. Именно на их стыке возникает самое интересное — возможности для сотрудничества и проблемы при внедрении. В этом плане процесс управления конфигурациями объединяет ИТ и ИБ — это сложно, но крайне необходимо для создания надёжной и безопасной инфраструктуры.
Руслан Иванов добавил, что любой процесс управления конфигурациями — это в первую очередь часть процесса управления изменениями. Для того, чтобы управлять изменениями, нужно знать объект, который нужно изменить. Это сильно взаимосвязано и нельзя рассматривать по отдельности. Поменяв в одном месте маленькую строчку, можно неожиданно вызвать лавинный эффект в какой-либо другой системе. Поэтому важно применять правильные подходы в управлении изменениями — они определяют, насколько безопасно можно вносить изменения, в том числе в конфигурации.
Руслан Иванов, продуктовый директор по безопасности Cloud.ru
В первом опросе зрители ответили, что является для них основной целью управления конфигурациями: стандартизация и контроль изменений — 37%, обеспечение безопасности данных — 23%, централизованное управление ресурсами и оптимизация производительности процессов — по 13%, минимизация простоев и обеспечение целостности системы — по 7%.
Рисунок 2. Что является для вас основной целью управления конфигурациями?
Преимущества внедрения систем контроля и управления конфигурациями
Вячеслав Кадомский считает, что конфигурации, связанные с ИТ-инфраструктурой, по сути являются рантаймом — средой исполнения прикладных программ, которые поддерживают бизнес-процессы и приносят деньги. Почти каждый простой здесь связан с инфраструктурными вопросами, то есть с конфигурациями. Основная ценность, которую получает организация от эффективного управления конфигурациями — снижение количества простоев с помощью автоматизации, документирования и тому подобного. Это приводит к повышению эффективности — безопасности, стабильности, производительности. Преимущества для ИТ — уменьшение нагрузки, возможность выдерживать высокий уровень качества (SLA), снижение стресса в команде. Уменьшаются и затраты.
Вячеслав Кадомский, директор по развитию компании РОСА
Виталий Масютин уверен, что для ИТ-службы контроль конфигураций даёт предсказуемость поведения инфраструктуры. Когда есть понимание, что может пойти не так, проще сфокусироваться на решении проблем. Преимущество для ИБ в том, что безопасность можно повышать до максимально возможного уровня.
Евгений Бисовко объяснил, что процесс управления конфигурациями даёт базу конфигурационных единиц, что важно для выстраивания всех процессов ИБ. Например, если нужно сократить время реагирования на инциденты, потребуется автоматизация, но для этого нужно понимать критическую значимость конкретного хоста, кто ответственный за каждую конфигурационную единицу, как она связана с другими.
Если это понимание есть, можно формировать правила автоматического реагирования без участия аналитика и заниматься только расследованием. Правильно выстроенный процесс управления конфигурациями очень важен для безопасности. Плюс это даёт взаимодействие ИБ и ИТ, проще взаимодействовать внутри компании.
Светозар Яхонтов упомянул о том, что благодаря контролю конфигураций решаются и прикладные задачи бизнеса — например, соблюдение установленного времени вывода продуктов на рынок (Time-to-Market).
Как контроль конфигурации помогает в обнаружении, реагировании и расследовании инцидентов?
Виталий Масютин назвал контроль конфигурации детектирующей мерой, которая экономит деньги за счёт снижения потребности в наложенных средствах защиты. С точки зрения расследования и реагирования на инциденты есть несколько способов детектировать атаку с помощью CM. Можно находить инциденты, которые система мониторинга пропустила.
Виталий Масютин, технический директор компании «ЛИНЗА»
Евгений Бисовко добавил, что в больших инфраструктурах быть уверенным, что всё находится под мониторингом, позволяет только процесс управления конфигурацией.
Кирилл Евтушенко считает, что CM — это база и фундамент, который являются «встроенными» и не требуют ничего докупать: если правильно всё настроить, существенно уменьшается ландшафт угроз. Для расследования тоже нужны, среди прочего, слепки конфигураций, чтобы понять, что изменилось.
Светозар Яхонтов упомянул о документировании изменений, благодаря которому сотрудник центра мониторинга ИБ может быстро понимать, являются ли наблюдаемые события в инфраструктуре легитимными.
Руслан Иванов добавил, что управление конфигурациями отчасти решает инвентаризационные задачи, что важно, например, в крупных компаниях, где всегда есть что-то неучтённое.
Во втором опросе, где зрители отвечали на вопрос «Какую из задач вы считаете наиболее сложной в контроле и управлении конфигурациями?», голоса распределились следующим образом:
- Выявление и устранение конфликтов — 31%.
- Аудит и мониторинг изменений — 31%.
- Внедрение новых технологий — 15%.
- Управление доступом — 12%.
- Обеспечение соответствия стандартам — 8%.
- Обучение и поддержка пользователей — 3%.
Рисунок 3. Какую из задач вы считаете наиболее сложной в контроле и управлении конфигурациями?
Какие метрики и показатели можно использовать для оценки эффективности процесса управления конфигурациями
Евгений Бисовко:
«Скорость устранения отклонений от эталонной конфигурации, охват конфигурационных единиц, процент соответствия требованиям безопасности эталонного профиля».
Вячеслав Кадомский:
«Скорость — всё, что влияет на поддержание бизнес-процессов. Насколько быстро после изменения конфигурации это можно обнаружить и устранить».
Кирилл Евтушенко:
«Для ИБ главная метрика — это количество уязвимостей, прежде всего высокого уровня риска. Кроме этого важна скорость устранения».
Светозар Яхонтов:
«Соотношение достигнутого результата и затраченных ресурсов».
Виталий Масютин:
«Отдельный KPI или метрика по применению параметров безопасности и контроля в отношении каждого нового появляющегося актива».
Каков ключевой компонент любой системы управления конфигурациями?
Евгений Бисовко считает, что основой является база данных управления конфигурацией (CMDB), в которой хранится вся информация о конфигурационных единицах, слепки эталонных конфигураций. Желательно, чтобы были видны связи между конфигурационными единицами. Один из модулей CMDB — система инвентаризации. От этой базы можно оттолкнуться при выстраивании процессов. Это не всегда бывает необходимо, но в зрелых инфраструктурах CMDB — важнейший инструмент.
Самое сложное здесь — верифицировать достоверность источников. При внедрении CMDB-систем стоит подумать, какие источники данных об активах есть. Главное — понять, какие поля можно считать наиболее достоверными для каждого из источников и какие можно перезаписывать. Это большая аналитическая работа, но без неё не получить системной картины данных: будет много дублирующихся записей и некорректных данных.
Евгений Бисовко, руководитель отдела проектного управления, Security Vision
Светозар Яхонтов добавил, что эту базу нужно наполнять точными данными после прямых измерений, сведениями не только о последствиях изменений, но и о событиях, приведших к этим изменениям. По этим событиям в дальнейшем можно понять, как предупредить инциденты. Информация собирается со средств мониторинга этих изменений.
В третьем опросе зрители назвали главный критерий при выборе отечественной системы управления конфигурациями: интеграция с существующей инфраструктурой — 42%, функциональность — 32%, безопасность — 11%, стоимость — 10%, соответствие законодательству — 5%. Никто не приоритизировал поддержку и обновления.
Рисунок 4. Каков для вас главный критерий при выборе отечественной системы управления конфигурациями?
Блиц: критерии выбора инструмента управления конфигурациями
Евгений Бисовко:
«Первое — это бюджет. Далее — совместимость с инфраструктурой, инструментами автоматизации других процессов, функциональность, стоимость владения».
Вячеслав Кадомский:
«Функциональность из коробки, возможность расширения функциональности, поддержка и обновление, возможность интеграции с различными системами».
Кирилл Евтушенко:
«Широкий спектр поддержки систем, возможность быстро добавлять системы. Часто под системой управления конфигурациями подразумевается сканер. Нужно обратить внимание на часть управления — это должны быть инструменты, которые соответствуют культуре компании по работе с настройками».
Светозар Яхонтов:
«Нужно чётко сформулировать, какой результат нужно получить. В зависимости от этого будут разные критерии. В разных проектах решаются совершенно разные задачи».
Виталий Масютин:
«Если создаётся новая инфраструктура, ведётся импортозамещение или модернизация, систему управления нужно выбирать вместе с инфраструктурой и идти от совокупности плюсов и минусов инфраструктуры и возможностей по централизованному управлению. Если говорить про наложенную систему, остаётся вопрос функциональности и кастомизации. С точки зрения контроля безопасности конфигурации, нужно обращать внимание на аналитику, визуализацию, представление данных, возможность манипулировать результатами проверок».
Стандарты безопасности и лучшие практики управления конфигурациями
Кирилл Евтушенко считает, что среди типовых фреймворков PCI DSS — идеальный стандарт, где сразу описана добрая половина тех настроек, которые нужно сделать. Если говорить о более технических вещах, есть бенчмарки CIS (Center for Internet Security). Следует учитывать, что они большие, разбиваются по уровням, в них нет оценок риска. Несмотря на свои недостатки, они являются наполнением практически всех сканеров. Риски часто перекладываются на вендора и его экспертизу. CIS — лучшее место, где можно найти все настройки и выбрать нужный набор. Главное — рассматривать его как библиотеку, а не как свод законов, т. е. выбирать оттуда своё, а не пытаться объять необъятное.
Кирилл Евтушенко, генеральный директор ООО «Кауч»
Виталий Масютин добавил, что CIS Benchmark — это прежде всего детализация. Можно посмотреть на CIS Controls и понять, какие контроли нужно реализовать в своей инфраструктуре. Потом реверсивно пройти CIS Benchmark, оттуда брать части, которые нужны, и аккуратно их применять. В последних версиях стандартов есть привязка к 7 и 8 версии CIS Controls. С этого стоит начинать знакомство с CIS, а потом можно переходить к бенчмаркам.
Прогнозы экспертов: как изменится рынок систем управления конфигурациями
Виталий Масютин:
«Фиксируется большое количество точечных запросов на продукты и консалтинг. Проблема была всегда, но сейчас люди стали об этом чаще вспоминать и говорить».
Светозар Яхонтов:
«Нужно наблюдать степень роста зрелости у заказчиков, чтобы понимать востребованность инструментов. Говорить о трендах можно только на этой основе, потому что в каждой отрасли они свои».
Кирилл Евтушенко:
«Есть потребность в создании универсального средства управления инфраструктурой. Сейчас таких инструментов нет. Нельзя игнорировать возможности внедрения ИИ, но пока эти технологии требуют доработки. В перспективе пяти лет они позволят сократить ресурсы ИБ и ИТ».
Вячеслав Кадомский:
«Есть большой спрос на подобные системы. Первый этап импортозамещения коснулся преимущественно настольных операционных систем и платформ виртуализации. Сейчас активно взялись за службы каталогов и централизованное управление. Дальше стоит развиваться в сторону прогнозирования с помощью машинного обучения. Его задача — помочь работать более предиктивно, на опережение: выявлять тренды на основе больших данных, накопленных в организации, и использовать их для понимания, как избежать простоев».
Евгений Бисовко:
«Системы контроля конфигурации станут неотъемлемой частью комплексной системы обеспечения ИБ. Сейчас виден интерес заказчиков в этом направлении, многие задачи контроля и управления конфигурациями можно решать с помощью МО и ИИ. Стоит ожидать необходимости более тесной работы с отечественными решениями, этот тренд ослабевать не будет».
Четвёртый опрос показал, каково мнение зрителей о системах контроля и управления конфигурациями ИТ-инфраструктуры после эфира. Поняли, что есть над чем работать — 55%, убедились, что всё делают правильно — 19%, готовы тестировать и внедрять то, о чём говорили эксперты — 17%.
Рисунок 5. Что вы думаете о системах контроля и управления конфигурациями после эфира?
Выводы
В современной цифровой среде, где сложность инфраструктур растёт экспоненциально, контроль конфигураций перестал быть просто рекомендацией — он стал обязательным условием выживания бизнеса. Грамотное управление настройками позволяет не только избежать катастрофических простоев и уязвимостей, но и создаёт прочную основу для цифровой трансформации.
Де-факто безопасность начинается с конфигураций. Большинство успешных кибератак эксплуатируют именно дрейф настроек и несоответствие стандартам. Внедрение культуры контроля конфигураций требует инвестиций времени и ресурсов, но эти затраты многократно окупаются.
Эксперты рекомендуют начинать с внедрения базовых принципов контроля конфигураций: автоматизации процессов, регулярного аудита изменений и создания эталонных образцов настроек. Как показало обсуждение в студии AM Live, даже простые меры вроде централизованного хранения конфигураций и мониторинга изменений значительно снижают риски.
Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!
