ИТ-директора не испытывают недостатка в острых и неожиданных проблемах. Но худшие среди них те, о существовании которых вы и не подозреваете. Лаборатория eWeek Labs выявила 10 проблем, которые могут скрываться в вашей инфраструктуре и непосредственно отражаться на затратах и на производительности систем. Их стоит устранить, пока не поздно.
1 Ваша беспроводная локальная сеть слишком “болтлива”
Вы можете потратить сколько угодно времени на укрепление безопасности своей беспроводной сети (WLAN): разделить передачу данных, голоса и гостевого трафика, реализовать поддержку протокола WPA2 (Wi-Fi Protected Access 2) с использованием сертификатов, выявлять неконтролируемые точки доступа и вести постоянный мониторинг клиентских компьютеров. Но эти меры все равно не остановят утечку важных сведений о вашей беспроводной инфраструктуре, которые злоумышленники могут перехватить и использовать для организации вторжения.
Незадолго до проходившей в марте конференции RSA компания AirDefense, выпускающая средства предотвращения вторжений, провела исследование в Сан-Франциско (США) и обнаружила, что многие беспроводные сети допускают утечку незашифрованного корпоративного трафика по протоколам CDP, VRRP, Spanning Tree или NetBIOS. Такая информация позволяет определить виды используемого в корпоративной сети оборудования, имена и адреса Windows-компьютеров. Преступник получает по крайней мере потенциальную возможность запустить в сеть искаженный трафик с помощью этих протоколов.
Средства предотвращения вторжений в беспроводные сети, выпускаемые той же AirDefense или фирмой AirTight Networks, позволят выявить утечки такого рода, если, конечно, настроить их на рассылку уведомлений в соответствующих случаях. Но ИТ-администраторы могут использовать и ряд портативных устройств для анализа защищенности сети.
Инструменты для обнаружения неисправностей вроде Laptop Analyzer компании AirMagnet либо OmniPeek производства WildPackets, конечно, полезны. Но даже бесплатный прибор вкупе с парой внимательных глаз способен выявить утечку. Например, обследование предприятий Сан-Франциско, организованное фирмой AirDefense, осуществлялось одним человеком, который обходил город, имея при себе ноутбук с установленным бесплатным пакетом BackTrack.
Обнаружив подозрительный трафик, почитайте документацию или поговорите с провайдером WLAN и выясните, как сконфигурировать свою сеть, чтобы надежно перекрыть утечку данных о вашей организации.
Эндрю Гарсиа
2 Пользователи получают доступ к внешним сервисам
Быстрое распространение технологий Web 2.0 открыло возможность применять бесплатные, мощные и простые инструменты любому человеку, в том числе и вашим сотрудникам, причем делать это они могут как в личных целях, так и для работы.
Сотрудники совместно пользуются данными, которые обрабатываются с помощью Google Spreadsheets, ведут переговоры с подрядчиком через AOL Instant Messenger, а порой в работе над жизненно важными проектами прибегают к средствам управления, предоставляемым в виде “ПО как сервис” (например, Basecamp). И во многих, если не во всех подобных случаях такие инструменты используются без участия и даже без ведома ИТ-службы. Ведь с точки зрения работников, именно в этом заключается вся прелесть подобных решений.
Но такой подход может породить проблемы для всех заинтересованных сторон. Столкнувшись с препятствиями при доступе в сеть или с трудностями при использовании внешних сервисов, сотрудники обнаружат, что ИТ-служба не готова оказать им помощь или предоставить техническую поддержку. А у самой ИТ-службы тоже прибавится проблем, связанных с выявлением новых лазеек, через которые вредоносный код может проникнуть в корпоративную сеть или жизненно важные корпоративные данные — выйти за пределы компании.
Обсуждая потребности сотрудников и подразделений в приложениях, ИТ-персонал обязательно должен учитывать и внешние сервисы. Изучение пользовательского спроса поможет выявить, какие из этих сервисов будут нужны, а имеющиеся инструменты для работы с сетью покажут статистику реального обращения к ним.
Внешние сервисы и приложения типа “ПО как сервис” лишь начинают своё распространение в качестве корпоративных инструментов. Но если вы не знаете, кто и что использует, то не сможете управлять этим процессом.
Джим Рапоза
3 Конфиденциальные данные передаются без шифрования
В вашей компании создана сеть, которую вы считаете соответствующей стандартам и вполне надежной. Брандмауэр защищает весь внутренний трафик. Web-серверы и другие системы, которым необходим прямой доступ в Интернет, размещены в “демилитаризованной зоне” и по зашифрованным туннелям получают необходимые данные через брандмауэр. Виртуальная частная сеть позволяет находящимся за пределами компании сотрудникам и партнерам безопасно пользоваться удаленным доступом к сетевым ресурсам.
Пока все выглядит неплохо. Весь зашифрованный трафик и корпоративные данные хорошо защищены… Или нет? Многие компании готовы признать, что наряду с этими традиционными мерами безопасности может пригодиться и дополнительное шифрование.
Например, брандмауэр еще не делает сеть безопасной. Сотрудники, которые хоть немного разбираются в технологии, без труда могут воспользоваться инструментами, которые обеспечат им доступ к конфиденциальным корпоративным данным — сведениям о негласных договоренностях с партнерами, о предоставленных клиентам кредитах или о зарплате персонала.
Если же что-то находится за пределами корпоративного брандмауэра, то это еще не значит, что там не содержится конфиденциальная информация. Хотя многие ориентированные на предприятия приложения типа “ПО как сервис” предусматривают поддержание безопасной связи через Интернет, такой вариант не всегда используется по умолчанию. Или безопасное соединение устанавливается лишь на время регистрации пользователя, а в дальнейшем все данные передаются в открытом виде.
Сетевым администраторам имеет смысл время от времени ставить себя на место хакеров: с помощью инструментов для анализа изучить все данные, циркулирующие в их внутренних сетях, и выявить среди них сведения конфиденциального характера. Если таковые будут обнаружены, можно защитить обращение к подобным сведениям. И любой договор об использовании приложений типа “ПО как сервис”, предусматривающий передачу конфиденциальных данных, должен включать пункт о безопасном соединении на протяжении всего сеанса связи.
Джим Рапоза
4 Угрозы для безопасности скрываются в Web-приложениях
Многие компании очень серьезно относятся к установке “заплаток” для всех применяемых ими приложений. Это позволяет устранять имеющиеся в них ошибки и пробелы в системе безопасности. Такие компании не используют устаревшие приложения, в которых имеются уже известные проблемы. Хотя все это совершенно правильно, подобные меры не решают полностью вопрос о защите приложений. Связано это с тем, что существует целый ряд других корпоративных приложений, часто весьма уязвимых, однако неохваченных политиками установки исправлений и обновлений.
Сегодня сайты многих компаний предстают для внешнего пользователя как мешанина из Web-приложений и сервисов. Нередко такие приложения состоят всего из нескольких скриптов PHP или простых конструкций, созданных с помощью технологии AJAX (Asynchronous JavaScript and XML). Зачастую именно они подвержены наибольшему риску взлома хакерами, которые знают слабые места простых скриптов и пробелы в защите старых версий приложений (хотя вы могли о них и не слышать).
Компаниям следует составить полный список всех используемых в их сетях приложений и скриптов, имеющих выход в Интернет Убедитесь, что вы применяете самые свежие версии платформ и программных компонентов, от которых зависит функцтонирование прикладных систем. Если у вас есть приложения собственной разработки, то следите за тем, какие потенциальные проблемы могут возникнуть в результате использования скриптов.
Это означает, что необходимо регулярно обращаться к службам безопасности, таким как CERT (Computer Emergency Response Team), посещать сайты производителей ПО, форумы пользователей и разработчиков, где можно найти соответствующие технологии. Ведь подобные приложения часто являются лицом вашей компании, а значит, время будет потрачено не зря.
Джим Рапоза
5 Данные не подготовлены к аудиту
В отраслях, традиционно регулируемых государством, хорошо знают о необходимости вести точный учет всех хранящихся в организации данных. Но для многих компаний такая работа оказывается в новинку. И тем не менее им придётся ею заниматься, хотят они этого или нет.
Двигателем в данном направлении, особенно для тех, кто работает в сфере розничной торговли, стало формирование на протяжении двух последних лет стандарта безопасности данных Payment Card Industry (PCI ) Data Security Standard.
Для регулируемых отраслей, таких как финансы, страхование и здравоохранение, аудит является процедурой вполне привычной. Поэтому здесь лучше, чем в других сферах, знают, где и какие данные хранятся. Зато у тех, в чью деятельность государство не вмешивалось, накоплены огромные объемы конфиденциальных сведений о клиентах, которые хранятся безо всякого учета. Для устранения подобного нарушения нужно систему хранения привести в соответствие с нормативными требованиями и одновременно обеспечить защиту этого ценного ресурса.
Во-первых, ИТ-менеджеры должны вместе с сотрудниками бизнес-подразделений разобраться, какие именно данные накапливаются в компании. Для начала пронумеруйте наиболее активно используемые на вашем предприятии бизнес-процессы: обмен информацией с торговыми точками, пополнение складских запасов, выписка счетов и предъявление их к оплате и т. п. Затем отслеживайте денежные потоки. Имеет смысл привлечь к этой работе тех, кто обслуживает базы данных и приложения, поскольку они должны знать все детали процессов ввода и обработки финансовой информации.
Во-вторых, нужно отметить те точки, в которых осуществляются сбор и хранение данных, и те, в которых предусмотрен их выход за пределы организации. Можете быть уверены, что в дальнейшем для обеспечения безопасности потребуется не только защитить конкретные виды информации, но и устранить ошибки в ПО, а также правильно сконфигурировать приложения, чтобы они работали только так, как задумано. Чтобы избежать нежданных проблем с соблюдением нормативных актов, целесообразно придерживаться жесткой политики в области управления изменениями, отслеживая любые модификации серверов и настроек сетевых устройств.
И в-третьих, если ИТ-менеджеры начнут использовать такие инструменты, которые собирают данные лишь один раз, но формируют на их основе несколько отчетов, они могут “выбить” средства на приведение информационной системы в соответствие с требованиями законодательства. Целый ряд инструментов позволяет использовать собранные данные для подготовки отчетов о соблюдении сразу нескольких нормативных актов. Это значительно сокращает время, затрачиваемое персоналом на обслуживание аудиторов.
Камерон Стардевант
6 Недостаточный объем системы хранения
Пачка счетов за системы хранения, приобретенные вами с учетом потребностей вашего предприятия, позволяет предположить, что компания располагает немалыми объемами памяти. Однако при неэффективном использовании ресурсов их может не хватить даже для жизненно важных систем. Причем совершенно независимо от того, сколько новых счетов вы получаете.
Неопределенность в отношении доступных объемов хранения может быть вызвана тем, что на вашем предприятии применяются разные типы устройств. Некоторые из них, возможно, не совсем подходят для коллективного использования. А другие, что тоже не исключено, выпущены разными производителями и не вполне совместимы друг с другом.
Хотя потребность в хранении проще всего сформулировать через необходимый вам объем, основное значение может иметь производительность. Например, базу данных размером 500 Гб можно разместить на одном диске. Но при такой организации хранения производительность может оказаться неприемлемо низкой. Для увеличения скорости работы вы могли бы распределить БД между десятью дисками. Однако тогда объем дисков будет использоваться не полностью.
Администраторам следует внимательно изучить потребности своих приложений в объеме памяти и производительности, а затем провести тщательную инвентаризацию всех имеющихся устройств. Компании могут максимально использовать имеющиеся возможности хранения с приемлемым уровнем производительности, если разобьют все приложения по группам в зависимости от требуемой скорости работы и станут запускать их попарно — например, СУБД, чьи требования к производительности систем хранения высоки, в сочетании с менее требовательными, такими как приложения для хранения файлов и архивирования.
Средства виртуализации хранения, выпускаемые, в частности, компаниями LeftHand Networks, Seanodes и RevStor, способны помочь вернуть в строй недоступные для коллективного использования пространства, в том числе подключенные к серверам устройства и локальные системы, которые обычно не задействуются серверами, работающими под управлением VMware ESX Server.
Джейсон Брукс
7 Возможно, ваша IP-сеть не на высоте
Сейчас компании возлагают на свои IP-сети больше задач, чем раньше. У многих точки беспроводного доступа, IP-телефоны и камеры слежения объединяются в общее решение. Это позволяет сократить число телефонных линий, а благодаря такому чуду, как подача питания по сети Ethernet (Power over Ethernet, POE), и силовых кабелей использовать меньше.
Однако в отличие от привычных и практически не изменившихся за последние годы телефонных и электрических проводов стандарты и продукты для технологии POE подвержены почти столь же частым изменениям, как устройства и сети, для которых они предназначены. А значит, предприятия могут столкнуться с уймой проблем, которые давно решены в традиционных схемах кабельной разводки.
С переходом на стандарт 820.11n устройства беспроводного доступа начинают потреблять все больше энергии. Ведь новые микросхемы беспроводной связи предъявляют в этом отношении гораздо более высокие требования, чем раньше. В результате встроенным в устройства доступа процессорам и радиоусилителям достается меньше питания. Что касается камер наблюдения, то панорамирование также требует больше электроэнергии.
Несмотря на усилия, направленные на снижение энергопотребления этих устройств, некоторые предлагаемые решения порождают новые проблемы. Например, практически все производители оборудования для корпоративных WLAN используют в своих точках доступа микросхемы Atheros Xspan. Но их требования к питанию могут различаться весьма значительно. Одни производители заявляют, что в случае применения POE-стандарта 802.3af даже при работе с максимальной производительностью не возникнет никаких проблем. Другие утверждают, что при этом либо снижается пропускная способность сети, либо сокращается радиус действия.
Основным средством для удовлетворения аппетита устройств доступа является 802.3at — новый POE-стандарт. Когда начнется его широкое использование, вы можете обнаружить, что имеющееся у вас 802.3af-оборудование не обеспечивает для некоторых устройств необходимое питание. Убедитесь, что производители представляют вам достаточно подробную информацию об использовании POE в своих продуктах.
Однако с учетом довольно быстрых изменений в области беспроводных сетей, POE и VоIP настоятельно рекомендуем вам осваивать эти технологии постепенно и требовать от производителей гарантий, что оборудование, выпускаемое сейчас, будет совместимо и с будущим.
Джейсон Брукс
8 Ухабы на последней миле
Между конечным пользователем и ближайшим к нему входом в сеть могут возникать снижающие производительность препятствия, которые не настолько значительны, чтобы привлекать внимание службы технической поддержки. Многие из этих проблем связаны со старением ПК и сетевой инфраструктуры. Например, медленные USB-концентраторы версии 1.1 могут скрыто снижать производительность. Обновите их, и ваши сотрудники сразу заметят разницу. Затраты на модернизацию можно сократить, поручив эту работу самим сотрудникам, поскольку большинство из них знает, что такое порт USB и как им пользоваться.
Кроме того, мобильные сотрудники, ваши “странствующие рыцари”, смогут дольше и успешнее сражаться, если вы станете регулярно снабжать их новыми батареями для ноутбуков. Не ждите, пока они начнут жаловаться, что могут проработать всего час без подзарядки.
Что касается конечных пользователей, то на практике слишком многие организации позволяют им по умолчанию регистрироваться с правами администратора. Это безответственно и без всякой необходимости увеличивает простои оборудования и расходы на техническую поддержку. Даже руководителей высшего звена следует отучить пользоваться правами администратора на своих компьютерах.
Помимо прочего ИТ-службам приходится работать в условиях, когда “фишинг”, направленный на конкретные группы сотрудников, становится обычным явлением, а в охватывающих весь мир организациях начинают использоваться новые технологии, включая IPv6. Решение скрытых проблем, возникающих на протяжении “последней мили” между Интернетом и конечным пользователем, отличает продуктивно работающую компанию от той, которая настолько увязла в компьютерных мелочах, что не в состоянии использовать новые возможности.
Камерон Стардевант
9 Вам недостает BI
Бизнес-анализ — не новинка. Крупные предприятия, особенно из тех отраслей, деятельность которых регламентируется государством (например, финансы и здравоохранение), уже много лет применяют средства BI (Business Intelligent), в том числе в хранилищах данных. Малые и средние организации могут обнаружить, что им трудно выдерживать конкуренцию, если они, в свою очередь, не используют эти технологии.
Инструменты бизнес-анализа — отнюдь не игрушки для богатых. Они становятся доступными для организаций с более скромными возможностями. Компании могут применять их для дифференцированного предложения товаров и услуг, увеличивая таким образом свою прибыль.
Но чтобы воспользоваться всеми преимуществами подобных инструментов, необходимо увязать технологию с бизнес-процессами в рамках всей организации. Даже чтобы просто предложить использовать BI, ИТ-менеджеры должны быть уверены, что информационная инфраструктура полностью отлажена. В частности, необходимо применять хорошо управляемые средства сбора данных, способные дать надежную картину взаимоотношений с клиентами.
К скрытым проблемам, которые могут сорвать проект по внедрению BI, относятся небрежный сбор данных и неадекватные процедуры их хранения. Это особенно актуально для тех случаев, когда данные поступают из многочисленных источников. Например, из биллинговых систем, обслуживающих фармацию, лечение и страхование пациентов.
Любой BI-проект требует, чтобы специалисты по ИТ хорошо понимали цели бизнеса своей организации. При удачном сочетании ИТ и бизнеса не остается незамеченным ни один случай пренебрежения деловыми интересами со стороны ИТ-подразделения и высокие технологии полностью нацелены на достижение успеха в бизнесе.
Камерон Стардевант
10 За консультантами нужен глаз да глаз
Если вы выбирали консультантов в надежде быстро и недорого решить свои проблемы, то постарайтесь не допустить, чтобы они использовали неупорядоченные процессы и приемы, которые позволят вам завершить работу в срок и уложиться в смету, но в конечном итоге угробят весь проект.
Ведь на самом деле консультанты могут использовать бессчетное число способов, лишь бы ускорить решение стоящей перед ними задачи и побыстрее закончить свою деятельность. Они могут перекачивать ваши конфиденциальные сведения на свои ноутбуки через случайную беспроводную сеть или через временную (и потому слабо защищенную) точку доступа. Могут применять нелицензионные инструменты и другое ПО для мониторинга, защиты или управления какими-то компонентами вашей системы и даже пробить дыру в вашем брандмауэре ради того, чтобы удаленно вносить какие-то исправления, а потом забудут эту дыру закрыть.
Компании, инициирующей проект, следует заблаговременно четко сформулировать правила поведения и выстроить систему оценки качества работы после ее завершения. В контракты нужно включать основные правила, закрепляющие требования в области безопасности, лицензирования, документирования и управления изменениями. А затем, когда проект будет выполнен, следует приступить к оценке постфактум. Это позволит гарантировать не только достижение поставленных целей, но и отсутствие непреднамеренного сопутствующего ущерба, который может быть нанесен в процессе работы.
И последнее, что вам следует сделать, это отыскать на своем сервере Active Directory порнографию, появившуюся в результате желания вашего консультанта поработать, не выходя из дома.
Камерон Стардевант