В условиях стремительного развития информационных технологий и постоянного роста числа киберугроз особенно актуальным для средств обеспечения информационной безопасности становится usability (удобство использования). Этот термин подразумевает не только легкое и интуитивно понятное взаимодействие пользователя с программным или аппаратным средством защиты, но и возможность быстрого и эффективного применения его функционала — как для предотвращения угроз, так и для оперативного реагирования на инциденты без длительных подготовительных действий.

Рост внимания к usability и упрощению установки отечественных инструментов безопасности, как показывает практика, стал важным трендом. Это обусловлено несколькими ключевыми факторами. Во-первых, усиление конкуренции на рынке информационной безопасности заставляет разработчиков создавать интерфейсы более интуитивно понятными, а процессы установки и настройки — максимально простыми, чтобы привлекать и удерживать клиентов. Во-вторых, компании стремятся сократить время внедрения решений, чтобы быстрее перейти к их полноценному использованию и оперативно реагировать на угрозы безопасности в условиях постоянно меняющегося ландшафта кибербезопасности.  

В этой статье подробно рассматриваются актуальные методы установки программных средств обеспечения ИБ и проводится их сравнение. Так как именно от выбранного способа установки зависит скорость и простота внедрения решения, возможности масштабирования и обеспечения отказоустойчивости, а также нагрузка на специалиста, ответственного за разворачивание того или иного продукта.

Способы установки ПО

Рассмотрим наиболее распространенные варианты установки ПО, определим их ключевые особенности, преимущества и недостатки.

Установка с помощью ISO-образа, содержащего дистрибутив продукта

В этом варианте вендор предоставляет ISO-образ с операционной системой, в который уже интегрирован дистрибутив решения. Процесс установки предельно прост: ISO-файл монтируется как загрузочный диск в виртуальной машине или на физическом сервере, после чего начинается автоматическая установка ОС. После завершения установки системы запускается интерфейс, запрашивающий необходимые параметры для настройки продукта (например, сетевые параметры). Далее выполняется установка самого решения, которое по окончании процесса становится полностью готовым к работе.

Преимущества данного способа

• Простота и удобство: установка требует минимум технических знаний и навыков.

• Отсутствие проблем с зависимостями: все нужные версии библиотек и пакетов уже включены в состав ISO-образа, что исключает конфликты и ошибки на этапе установки.

Недостатки

• Устаревшие пакеты в образе ОС: состав пакетов и их версии соответствуют состоянию на момент создания образа — из-за чего могут быть неактуальными.

Установка в среде виртуализации с помощью подготовленного образа виртуальной машины

В этом случае вендор предоставляет предварительно настроенный образ виртуальной машины, который может быть представлен в различных форматах: ova, vmdk, qcow 2 и других. Процесс установки сводится к импорту образа в гипервизор с последующим запуском виртуальной машины. В большинстве случаев дополнительная настройка не требуется, однако при необходимости пользователь может изменить параметры сети, если, например, они не назначаются автоматически с помощью DHCP. После запуска виртуальной машины решение становится готовым к полноценной работе.

Преимущества данного способа

• Минимальные требования к настройке: решение развёртывается в готовом виде («из коробки») без необходимости ручной установки ОС и зависимостей.

• Совместимость с различными платформами виртуализации: поддержка распространённых форматов образов виртуальных машин обеспечивает возможность выбора среди различных гипервизоров.

Недостатки

• Ограниченная актуальность ПО: как и в случае с ISO-образами, версии пакетов и зависимостей фиксируются на момент создания образа виртуальной машины.

Развертывание ПО из поставляемых архивов с установочными файлами

Данный способ установки предполагает использование архивов с дистрибутивом, предоставляемых вендором. Процесс начинается с загрузки архивных файлов на сервер, где будет развернута система. Перед началом установки необходимо настроить на сервере ОС в соответствии с системными требованиями. Следующим этапом выполняется распаковка архивов и выполнение специального скрипта, который запускает инсталляцию программного продукта.

Дальнейший процесс аналогичен описанному в 1 пункте: запускается интерфейс, в котором пользователю будет предложено выбрать и/или ввести параметры, необходимые для развертывания решения. После выполнения всех инструкций инсталлятора программный продукт будет установлен и готов к использованию.

Преимущества данного способа

• Гибкость в выборе ОС: имеется возможность установить решение на любую поддерживаемую операционную систему.

• Актуальность дистрибутива: архивы, предоставляемые вендором, обычно обновляются одними из первых, что позволяет сразу устанавливать актуальную версию решения с последними исправлениями и улучшениями.

Недостатки

• Больше подготовительных действий: перед установкой необходимо выполнить дополнительные подготовительные действия. Например, по настройке ОС — что занимает больше времени по сравнению с установкой из ISO-образа.

• Требуются дополнительные знания и навыки: для выполнения подготовительных этапов может потребоваться определенный опыт и навыки работы с операционными системами. Это может представлять сложность для менее опытных пользователей и увеличивать вероятность ошибок при развертывании.

Установка с помощью инструментов контейнеризации

Данный способ установки предполагает использование технологий контейнеризации. Вендор предоставляет архив с образами контейнеров либо данные для доступа к удаленному репозиторию образов, а также docker-compose-файл, содержащий описание конфигурации и взаимодействия между контейнерами.

Процесс установки начинается с предварительной настройки параметров в отдельном конфигурационном файле и последующего разворачивания решения с помощью docker-compose. После выполнения этих действий программный продукт автоматически устанавливается в виде набора взаимосвязанных контейнеров, готовых к работе.

Преимущества данного способа

• Согласованность окружения: идентичная работа приложения на разных платформах, благодаря контейнеризации.

Недостатки

• Необходимость в предварительной установке инструментов контейнеризации: требуется установка docker и docker-compose.

Установка с помощью Ansible

Данный метод часто применяется при разворачивании программных продуктов в виде отказоустойчивого кластера. Подготовка к такой установке выполняется на устройстве администратора и включает установку Ansible, необходимых зависимостей и коллекций. На следующем этапе проводится заполнение инвентарных файлов, содержащих адреса серверов кластера, и файлов переменных, которые описывают параметры конфигурации разворачиваемого решения. Завершающим шагом является запуск предоставленного вендором Ansible playbook, который выполняет шаги по автоматическому развертыванию продукта в отказоустойчивом формате.

Преимущества данного способа

• Легкость развертывания отказоустойчивого кластера: все действия по настройке и развертыванию выполняются с устройства администратора, без необходимости непосредственного взаимодействия с каждой нодой.

• Автоматизация создания кластера: гарантируется единообразная конфигурация всех компонентов и снижается вероятность ошибок от ручного вмешательства.

Недостатки

• Требования к квалификации: для успешного применения данного метода специалисту необходимы практические навыки работы с Ansible, включая умение формировать инвентарные файлы, настраивать и запускать плейбуки, а также диагностировать возможные ошибки выполнения.

• Дополнительная подготовка: перед развертыванием решения необходимо тщательно подготовить инвентарный файл с указанием всех узлов кластера и файлы переменных с параметрами конфигурации, так как их корректное заполнение является обязательным условием успешной установки.

Установка в кластер Kubernetes

Данный метод предназначен для развертывания решений в масштабируемом и отказоустойчивом формате на базе Kubernetes. Процесс начинается с развертывания самого кластера Kubernetes. Для этого, как правило, используется инструмент Kubespray с поставляемыми вендором конфигурациями, который с помощью Ansible позволяет создать его на заданных серверах.

После успешной подготовки кластера необходимо выполнить специальный скрипт, запускающий установку решения. В процессе у администратора будут запрошены параметры подключения к нодам и другие необходимые настройки устанавливаемого программного продукта. Далее с помощью Ansible образы решения будут автоматически распределены по узлам кластера, после чего осуществится запуск Helm-чартов — специальных шаблонов для установки компонентов Kubernetes-приложения. В результате решение будет развернуто в кластере и подготовлено к работе.

Преимущества данного способа

• Возможности масштабирования: благодаря архитектуре Kubernetes можно быстро добавлять новые узлы в кластер и расширять систему при необходимости.

• Настройка отказоустойчивости: распределённая структура кластера и встроенные механизмы Kubernetes позволяют обеспечить устойчивую работу даже при сбоях отдельных компонентов.

Недостатки

• Требуется значительный уровень подготовки: для успешного развертывания решений нужны определенные знания Kubernetes.

Заключение

Рассмотренные методы установки ПО демонстрируют широкий спектр технических подходов, различающихся по уровню сложности и гибкости конфигурации. Выбор конкретного метода зависит от задач организации и, конечно же, от предлагаемых вендором вариантов.

Разработчики средств ИБ не только создают решения, которые учитывают текущие бизнес-потребности, но и закладывают возможности для их оперативной адаптации к изменяющимся условиям. В этом контексте внедрение принципов usability и упрощение процедур установки становится неотъемлемой частью стратегии успешного обеспечения информационной безопасности.

Авторы: 

Кирилл Кузьминых, помощник инженера направления Автоматизация ИБ, УЦСБ

Евгений Новоселов, руководитель группы, направление Автоматизация ИБ, УЦСБ