Развертывание MaxPatrol
В данном подразделе рассматриваются следующие вопросы: типовые варианты развертывания; аутентификация в системе MaxPatrol; системные требования и рекомендации; процедура развертывания системы MaxPatrol [18].
Типовые варианты развертывания
Можно выделить следующие основные задачи, которые необходимо решить при выборе варианта развертывания:
- — масштабирование с точки зрения производительности сканирования;
- — эффективное использование пропускной способности каналов связи;
- — адаптация под сетевую инфраструктуру и средства защиты;
- — адаптация под структуру управления информационной безопасностью.
Рекомендуются следующие типовые модели развертывания: минимальная; с несколькими сканерами; с несколькими серверами; с несколькими консолидаторами. Далее перечисленные модели рассматриваются более подробно.
Минимальная конфигурация. Минимальный вариант развертывания системы предполагает установку одного сервера MP Server со встроенным сканером MP Scanner и консолью управления MP Console. Как говорилось выше, в его состав входит сканирующее ядро MP Scanner и консоль управления МР Console. Таким образом, одного сервера MaxPatrol вполне достаточно для проведения сканирования, построения отчетов и управления системой. Такой вариант является основным для MaxPatrol Mobile Server (за исключением возможности работы с внешним сервером консолидации). Установленный во внутренней сети MP Server используется для сканирования различных ее областей. При необходимости может быть добавлена дополнительная консоль управления. Пример такой системы приведен на рис. 5.
Конфигурация с несколькими сканерами. Конфигурация с несколькими сканерами может использоваться при развертывании MaxPatrol в сетях среднего размера. Пример подобной конфигурации приведен на рис. 6. К установленному в центральном офисе серверу подключено три сканера, расположенных таким образом, чтобы был обеспечен беспрепятственный доступ к объектам сканирования.
Необходимость использования нескольких сканеров определяется следующими требованиями:
- — масштабирование — необходимо проводить сканирование большого количества узлов;
- — требования пропускной способности — сеть, в которой находятся сканируемые узлы, соединена со сканером каналами связи с низкой пропускной способностью;
— требования топологии — особенности физической или логической топологии могут потребовать размещения сканеров в определенных сетевых сегментах; типичные причины: вынос управляющих интерфейсов в отдельную виртуальную сеть (VLAN) или использование средств защиты.
Рис. 5. Минимальный вариант развертывания MaxPatrol
Следует заметить, что данная конфигурация предполагает исключительно централизованное управление.
Конфигурация с несколькими серверами — используется в ходе масштабных внедрений MaxPatrol. Такой вариант обладает максимальной гибкостью с точки зрения масштабирования, управления и разграничения доступа. Как правило, вариант с несколькими серверами выбирается в случае, если система управления информационной безопасностью крайне децентрализована. Например, в случае, если региональные подразделения ИБ полностью самостоятельны, и в задачи центра входит только функция контроля результатов сканирования. В этом случае все функции по управлению сканированием реализуются на базе серверов MP Server, расположенных в различных филиа лах, а сервер консолидации MP Consolidation Server, установленный в центре, сохраняет данные по истории сканирований из всех филиалов. Пример подобной конфигурации приведен на рис. 7.
Рис. 6. Конфигурация с несколькими сканерами
Конфигурация с несколькими консолидаторами. В случае масштабных внедрений существует возможность выстраивать цепочку серверов консолидации MP Consolidation Server. Использование такой архитектуры может понадобиться, если сеть является распределенной, и у нее сложная структура управления. Например, используется трехуровневая структура Головной офис — Филиал — Подразделение, в рамках каждого Подразделения функционирует собственная служба ИБ, и требуется установка MaxPatrol Server. Сотрудникам Филиала нужно иметь централизованный доступ к результатам сканиро вания во всех подразделениях филиала, поэтому в Филиале устанавливается сервер консолидации. Этот MP Consolidation Server, в свою очередь, передает результаты серверу консолидации, расположенному в Головном офисе, что обеспечивает централизованную отчетность в рамках всей компании. Пример подобной конфигурации приведен на рис. 8.
Рис. 7. Конфигурация с несколькими серверами
Аутентификация в системе МахРаtrol [18]
Глобально в системе MaxPatrol можно выделить два варианта аутентификации: на уровне компонентов; на уровне пользователей. Аутентификация на уровне пользователей будет рассмотрена далее, вместе с разграничением доступа. Что касается аутентификации на уровне компонентов, то с целью обеспечения конфиденциальности и целостности передаваемой при взаимодей ствии компонентов информации используется протокол SSL/TLS, а это означает, что для аутентификации компонентов могут быть использованы сертификаты.
Рис. 8. Конфигурация с несколькими консолидаторами
При взаимодействии компонентов можно использовать сертификаты, созданные в рамках инфраструктуры открытых ключей (PKI), а также самопод-писанные. В последнем случае проверка подлинности сертификата выполняется пользователем при первом подключении к компоненту системы. Выбор сертификата осуществляется в ходе установки системы. Существует возможность выбрать один из установленных в системе сертификатов или создать самоподписанный сертификат. В дальнейшем используемый сертификат можно изменить.
Системные требования и рекомендации [18]
Системные требования могут обновляться. Для получения актуальной информации необходимо обращаться в службу технической поддержки. Системные требования могут быть сгруппированы следующим образом: требования к аппаратному обеспечению; требования к программному обеспечению.
Требования к аппаратному обеспечению. Для установки компонентов MaxPatrol можно использовать как физическое, так и виртуальное оборудование. В табл. 2 приведены аппаратные требования для физического или виртуального оборудования, на которое планируется установить системные приложения и серверные компоненты MaxPatrol. Если планируется установка на виртуальное оборудование, то необходимо учитывать требование по использованию USB eToken для защиты лицензии. То есть физическое оборудование гипервизора должно иметь достаточное количество USB-портов, а функциональность гипервизора должна обеспечивать подключение USB-устройств к гостевой операционной системе. Если эти условия не выполняются, то необходимо использовать решения класса USB-over-Network, например, Digi AnywhereUSB.
Типовые требования к аппаратному обеспечению. Данные из табл. 2 можно использовать с учетом следующих условий:
- — для процессора требования указывают количество ядер, которые доступны операционной системе, а частота процессора указана как для физического, так и для виртуального процессора;
- — требования указаны для оборудования, которое будет использоваться только для MaxPatrol;
- — требования к оборудованию в таблице указаны только для типовых случаев. Во всех остальных случаях требования к аппаратному обеспечению нужно уточнять в службе технической поддержки;
- — под параметром «HDD» в таблице понимается свободное дисковое пространство;
- — параметр «Узлов не более» означает хранение информации о сканировании совокупного количества узлов, сканируемого как самим компонентом, так всеми подключенными компонетами;
- — максимальное значение параметра «Узлов не более» — 5000; если планируется хранение информации о большем количестве узлов, то требуемое свободное дисковое пространство увеличивается линейно.
Кроме серверых компонентов MaxPatrol существуют ещё два дополнительных компонента: MaxPatrol Console и MaxPatrol Offline Scanner, которые не требуется устанавливать на отдельное оборудование.
Типовые аппаратные требования к серверным компонентам