Системная инфраструктура сетей и базовые сервисы

Обеспечение надежной, устойчивой и безопасной работы вычислительных сетей невозможно без создания системной инфраструктуры, которая может включать следующие группы служб:

• службы базового конфигурирования и адресации в сети;
• службы безопасности и единого каталога;
• обеспечение защиты инфраструктуры от вредоносных программ;
• службы управления инфраструктурой.

Базовые службы

Службы базового конфигурирования и адресации в сети необходимы для обеспечения корректного запуска компьютеров, серверов и других узлов (принтеры, сканеры и др.), настройки их базовой конфигурации и обеспечения преобразования имен узлов в сети в IP-адреса для инициирования сеансов с другими узлами. На сегодня наиболее типично применение следующих сервисов:

• службы динамической конфигурации узлов сети DHCP;
• службы доменного именования узлов сети DNS;
• службы именования узлов сети уровня рабочих групп WINS;
• службы защиты доступа к сети (NAP — Network Access Protection, NAC — Network Admission Control).

Архитектура вычислительной сети предприятия

Безопасность сети и её управляемость (время, затрачиваемое администратором на различные задачи) значительным образом зависит от выбранной на этапе развертывания архитектуры вычислительной сети. Наиболее типовыми моделями, применяемыми в сетях, являются:

• режим рабочих групп;
• режим домена.

Режим рабочих групп эффективен в малых сетях размером до 10–15 компьютеров. В этом случаее администратор не несет существенных затрат при добавлении компьютеров в сеть, поиске проблем, настройке разрешений пользователям. В этом случае установка контроллеров домена, как правило, избыточна и связана с необоснованными затратами.

В режиме домена обеспечивается централизованная служба управления безопасностью в сети (контроллер домена), то есть обеспечивается единый каталог пользователей (система Active Directory в Windows), компьютеров и других объектов, единый протокол аутентификации в сети (как правило Kerberos), единая модель контроля доступа к объектам (компьютерам, файлам, папкам, принтерам и т.п.) в сети, единая модель протоколирования действий (аудита). Как правило, единый каталог является уязвимым местом, так как при его отказе может остановиться работа всей сети. Поэтому такие ресурсы обеспечиваются дополнительной защитой: установкой надежных серверов, дисковых массивов и дополнительных контроллеров домена с репликацей данных.

Антивирусная защита

Защита инфраструктуры и информации от вредоносных программ является одной из наиболее распространенных проблем безопасности. На вирусы приходится более 90% всех инцидентов, следствием которых является потеря информации, возникновение проблем с оборудованием и доступностью прикладных сервисов, и в ряде случаев — приостановка деятельности предприятия на достаточно длительное время.

Антивирусная защита является самостоятельной системой, встраиваемой в инфраструктуру сети, которая не зависит от конкретных прикладных задач, обеспечивает многоуровневый мониторинг активности в сети и защиты от вредоносного кода, причиной которого является несовершенство технологий сети Интернет и ПО компьютеров в области безопасности. Фактически, задача антивируса — при оптимальной стоимости закрыть проблемные места в сетевых протоколах Интернета и программном обеспечении, доступном для широкого использования.

Поэтому специалисты компании АСПЕКТ СПб рассматривают антивирусную защиту именно в контексте политики в области системной инфраструктуры.

Средства обеспечения защиты от вредоносных программ рассматриваются в разделе Антивирусная безопасность.

Управление инфраструктурой

Обеспечение управления инфраструктурой на системном уровне (в Active Directory: Групповые политики, Схема леса, Конфигурация леса) обеспечивает дполнительные преимущества:

• структуризация объектов в каталоге и делегирование управления (организационные подразделения);
• автоматическое конфигурирование компьютеров, параметров приложений;
• управление безопасностью (назначение привилегий пользователям, параметры парольной системы, параметры шифрования трафика в сети, аудит действий, ограничение доступа к программам, папкам, разделам реестра, ограничение состава локальных групп пользователей);
• автоматическая установка приложений;
• централизованное управление хранилищами данных и их отказоустойчивостью (Distributed File System и File Replication Service);
• управление автоматической установкой обновлений для операционной системы и прикладного ПО (Windows Server Update Services);
• централизованное хранение конфигурации приложений, развернутых в сети (Exchange Server, Office Communications Server, Службы сертификатов и др.).

Существенная часть вопросов по управлению инфраструктурой приведена в разделе Управление ИТ-инфраструктурой.

Развитие концепции управления безопасностью сети

Развитием всех перечисленных выше подходов стало применение систем, интегрировавших все базовые службы, службы управления и сетевое оборудование в комплекс, позволяющий на уровне каждого устройства сети определять уровень его безопасности («здоровья») и на основании этого предоставлять соответствующий набор сервисов. Такой подход реализован в технологиях Network Access Protection (Microsoft) и Network Admission Control (Cisco Systems), а также, например поддержан в корпоративном выпуске Антивируса Касперского. Дальнейшее развитие данного подхода идет в направлении концепций «Сеть без границ» (Borderless Network) и «Облачные вычисления» (Cloud Computing).

Специалистами АСПЕКТ СПб реализованы десятки проектов по созданию и миграции системной инфраструктуры на базе ОС Windows Server NT4, 2000, 2003, 2008, 2008R2, операционных систем Linux и оборудования Cisco Systems, что позволило в начале 2007 года получить статус Microsoft Gold Certified Partner.

Также  накоплен опыт в создании инфраструктуры на базе ОС Solaris 10, и в 2007 году получен статус сертифицированного партнера Sun Microsystems.