image

Унаследованная инфраструктура до сих пор является важной частью предприятий во многих отраслях промышленности: в медицинских организациях, которые всё ещё используют систему «Windows XP», в базах данных «Oracle», которые работают на старых серверах операционной системы «Solaris», в различных бизнес-приложениях, которым требуется система «Linux RHEL4», и банкоматах с устаревшими десять лет назад версиями системы «Windows». Даже встречается такое, что во многих организациях всё ещё используются унаследованные серверы на системах «Windows 2008».

Унаследованная инфраструктура очень распространена в центрах обработки данных, особенно у крупных предприятий. Например, довольно часто можно встретить, как более старые компьютеры, имеющие операционную систему «AIX», выполняют критически важные операции по обработке больших объёмов данных транзакций в банках или конечных точках, таких как банкоматы, медицинские устройства и системах терминалов для совершения покупок, на них часто используются операционные системы, срок службы которых уже давно истек. Модернизация приложений, используемых в этой инфраструктуре, — это постоянный и нелёгкий процесс, который обычно занимает годы.

Небезопасные унаследованные системы ставят под угрозу Ваш центр обработки данных


Риск для организации, связанный с неправильной защитой унаследованных систем, очень велик и выходит за рамки рабочих нагрузок этих систем. Например, непропатченное устройство под управлением системы «Windows XP» может быть легко использовано для получения доступа к любому центру обработки данных. В начале этого месяца мы получили напоминание о подобном риске, когда корпорация «Microsoft» выпустила обновление безопасности для серьезной уязвимости в системе, которая допускала удаленное выполнения кода в старых ОС, таких как «Windows XP» и «Windows Server 2003».

Если злоумышленники получат доступ к подобной незащищенной машине (что гораздо проще, чем взломать современный, хорошо пропатченный сервер), они могут с помощью боковых перемещений получить доступ прямо в сеть. По мере того как центры обработки данных становятся все более сложными, расширяются до возможности использования общедоступных серверов облачного хранения данных и используя новейшие технологии, такие как «контейнеры», риск взлома возрастает. Взаимозависимости между различными бизнес-приложениями (унаследованными и нет) становятся все более сложными и динамичными, что с точки зрения безопасности затрудняет управление моделями трафика. Это дает злоумышленникам больше свободы для незаметного перемещения по различным частям инфраструктуры.

Старая инфраструктура, новый риск


Унаследованные системы были с нами годами, но риски для безопасности, который они представляют, постоянно увеличиваются. По мере того, как организации проходят через процесс цифрового преобразования, производят модернизацию своей инфраструктуры и центров обработки данных, переходят на гибридные облачные системы хранения данных, у злоумышленников появляется больше возможностей получить доступ к критически важным внутренним приложениям.

Локально установленное бизнес-приложение в унаследованной системе, которое когда-то использовалось только небольшим количеством других локально установленных приложений, теперь может использоваться большим числом как локальных, так и облачных приложений. Использование унаследованных систем со всё большим числом приложений и сред увеличивает область для потенциального взлома.

Итак, возникает вопрос, как же мы можем уменьшить этот риск? Как мы сохраним безопасность унаследованных, но всё ещё критически важных для бизнеса компонентов, обеспечив при этом возможность быстрого применения новых приложений в современной инфраструктуре?

Идентификация риска


Первым шагом является правильное определение и количественная оценка риска. Использование существующих систем инвентаризации и так называемых «племенных знаний», вероятно, недостаточно — вы всегда должны стремиться получить полное, точное и актуальное представление о вашей среде. Для унаследованных систем получение правильной информации может быть особенно сложной задачей, поскольку знания об этих системах внутри организации со временем имеют тенденцию к снижению.

Команда по обеспечению безопасности должна использовать хороший инструмент для анализа и визуализации, чтобы предоставить план, который будет иметь ответы на следующие вопросы:

  1. Какие серверы и конечные точки работают под управлением унаследованных операционных систем?
  2. К каким средам и бизнес-приложениям относятся эти рабочие нагрузки?
  3. Как эти рабочие нагрузки взаимодействуют с другими приложениями и средами? На каких портах? Используя какие процессы? Для какой бизнес цели?

Ответы на эти важные вопросы являются стартовой точкой для снижения ваших рисков для безопасности. Они показывают, какие рабочие нагрузки представляют наибольший риск для организации, какие бизнес-процессы могут быть повреждены во время атаки злоумышленников и какие сетевые маршруты могут быть использованы злоумышленниками при боковом перемещении между унаследованными и неунаследованными системами через облачные хранилища и центры обработки данных. Пользователи часто удивляются, когда видят неожиданные потоки данных, приходящие к их унаследованным машинам и когда данные внезапно отправляются, что приводит к большему количеству вопросов о состоянии безопасности и рисках.

Хороший инструмент для анализа и визуализации также поможет вам определить и проанализировать системы, которые нужно переместить в другие среды. Самое главное, визуальная карта потоков информации позволяет вам легко планировать и использовать строгую политику сегментирования этих ресурсов. Хорошо спланированная политика значительно снижает риск, которому подвержены эти более старые машины.

Снижение риска с помощью микросегментации


Сегментация сети широко применяется в качестве экономически эффективного способа снижения рисков в центрах обработки данных и облачных хранилищах. В частности, с помощью микросегментации пользователи могут создавать политику жесткой модульной системы безопасности, которая значительно ограничивает способность злоумышленника к боковым перемещениям между рабочими нагрузками, приложениями и средами.

При работе с унаследованной инфраструктурой ценность хорошего инструмента для анализа и микросегментации становится ещё яснее. Старые методы сегментации, такие как «VLAN», сложно эксплуатировать, и они часто помещают все аналогичные унаследованные системы в один сегмент, оставляя всю группу открытой для атаки в случае единственного взлома. Кроме того, правила межсетевого шлюза между унаследованными «VLAN» сетями и другими частями центра обработки данных сложно поддерживать, что приводит к чрезмерно разрешающей политике, которая увеличивает общий риск. При правильной визуализации как унаследованных, так и современных рабочих нагрузок, команда по обеспечению безопасности может планировать политику на уровне сервера, которая допускает только узко-специфические потоки между унаследованными системами, а также между унаследованными и более современными средами.

Границы охвата являются ключевыми


При выборе решения для микросегментации убедитесь, что выбранное вами решение может быть легко использовано во всей вашей инфраструктуре, что оно будет охватывать все типы рабочих нагрузок в центрах обработки данных или облачных хранилищах. Проводя сегментацию современных приложений, оставляя устаревшие системы без внимания, вы оставляете большую брешь в безопасности вашей инфраструктуры.

Лично я считаю, что поставщики систем безопасности должны принять на себя задачу охвата всей инфраструктуры, для того, чтобы была возможность помочь своим клиентам справиться с этой растущей угрозой. Хотя некоторые поставщики фокусируются только на современной инфраструктуре, отказываясь от поддержки старых операционных систем, я считаю, что хорошие и продвинутые платформы безопасности должны охватывать все спектры инфраструктур.

Преодоление трудностей унаследованных систем


Унаследованные системы представляют собой уникальную проблему для организаций: они критически важны для бизнеса, но сложнее в обслуживании и не защищены должным образом. По мере того, как организации переходят на гибридные облачные хранилища и получают расширение области для возможных атак, необходимо проявить особую осторожность, чтобы защитить унаследованные приложения. Для этого команда по обеспечению безопасности должна точно обозначать унаследованные серверы, понимать взаимозависимости с другими приложениями и средами, контролировать риски, создав политику строгой сегментации. Ведущие поставщики микросегментации должны быть в состоянии охватывать сферу обслуживания устаревших систем, не жертвуя возможностями любого другого типа инфраструктур. Платформа «Guardicore Centra» обеспечивает возможность анализа, визуализации и микросегментации всей инфраструктуры — старой и новой, избавляя вас от бремени обработки слепых зон.

Комментарии (3)


  1. saege5b
    13.06.2019 18:27

    Новый софт со старым оборудованием дружит никак.
    У нового оборудования свои заморочки, например супер экологичные расходники, которые стоят как полёт на Луну и геморройны в замене. Или извращённое ТО, когда для смазки подшибника, нужно разобрать весь принтер.


  1. fessmage
    13.06.2019 23:31

    Столько воды, а ведь всего три пункта достаточно:


    • железо убираем в отдельную стойку, со своей сетью, выход в остальной сегмент — через фаерволл, настроенный также параноидально как на периметре
    • операционные системы перевозим на виртуалки, виртуалки хостим на выделенном сервере и далее см. пункт 1
    • приложения разносим по разным системам, одно приложение на одну ОС, ОС крутим в виртуалке на выделенном сервере, см. пункт 2


  1. upviqq
    14.06.2019 11:02

    С этими кризисами и удешевлением рубля даже простое наращивание мощности проходит со скрипом, а уж про замену просто потому, что старое, и речи не идёт. По крайней мере на среднестатистическом российском предприятии, где сотруднику никто не выдаст новый макбук, а могут и за Winodws XP посадить работать.