Системная инфраструктура сетей и базовые сервисыОбеспечение надежной, устойчивой и безопасной работы вычислительных сетей невозможно без создания системной инфраструктуры, которая может включать следующие группы служб:
- службы базового конфигурирования и адресации в сети;
- службы безопасности и единого каталога;
- обеспечение защиты инфраструктуры от вредоносных программ;
- службы управления инфраструктурой.
Базовые службы
Службы базового конфигурирования и адресации в сети необходимы для обеспечения корректного запуска компьютеров, серверов и других узлов (принтеры, сканеры и др.), настройки их базовой конфигурации и обеспечения преобразования имен узлов в сети в IP-адреса для инициирования сеансов с другими узлами. На сегодня наиболее типично применение следующих сервисов:
- службы динамической конфигурации узлов сети DHCP;
- службы доменного именования узлов сети DNS;
- службы именования узлов сети уровня рабочих групп WINS;
- службы защиты доступа к сети (NAP — Network Access Protection, NAC — Network Admission Control).
Архитектура вычислительной сети предприятия
Безопасность сети и её управляемость (время, затрачиваемое администратором на различные задачи) значительным образом зависит от выбранной на этапе развертывания архитектуры вычислительной сети. Наиболее типовыми моделями, применяемыми в сетях, являются:
- режим рабочих групп;
- режим домена.
Режим рабочих групп эффективен в малых сетях размером до 10–15 компьютеров. В этом случаее администратор не несет существенных затрат при добавлении компьютеров в сеть, поиске проблем, настройке разрешений пользователям. В этом случае установка контроллеров домена, как правило, избыточна и связана с необоснованными затратами.
В режиме домена обеспечивается централизованная служба управления безопасностью в сети (контроллер домена), то есть обеспечивается единый каталог пользователей (система Active Directory в Windows), компьютеров и других объектов, единый протокол аутентификации в сети (как правило Kerberos), единая модель контроля доступа к объектам (компьютерам, файлам, папкам, принтерам и т.п.) в сети, единая модель протоколирования действий (аудита). Как правило, единый каталог является уязвимым местом, так как при его отказе может остановиться работа всей сети. Поэтому такие ресурсы обеспечиваются дополнительной защитой: установкой надежных серверов, дисковых массивов и дополнительных контроллеров домена с репликацей данных.
Антивирусная защита
Защита инфраструктуры и информации от вредоносных программ является одной из наиболее распространенных проблем безопасности. На вирусы приходится более 90% всех инцидентов, следствием которых является потеря информации, возникновение проблем с оборудованием и доступностью прикладных сервисов, и в ряде случаев — приостановка деятельности предприятия на достаточно длительное время.
Антивирусная защита является самостоятельной системой, встраиваемой в инфраструктуру сети, которая не зависит от конкретных прикладных задач, обеспечивает многоуровневый мониторинг активности в сети и защиты от вредоносного кода, причиной которого является несовершенство технологий сети Интернет и ПО компьютеров в области безопасности. Фактически, задача антивируса — при оптимальной стоимости закрыть проблемные места в сетевых протоколах Интернета и программном обеспечении, доступном для широкого использования.
Поэтому специалисты компании АСПЕКТ СПб рассматривают антивирусную защиту именно в контексте политики в области системной инфраструктуры.
Средства обеспечения защиты от вредоносных программ рассматриваются в разделе Антивирусная безопасность.
Управление инфраструктурой
Обеспечение управления инфраструктурой на системном уровне (в Active Directory: Групповые политики, Схема леса, Конфигурация леса) обеспечивает дполнительные преимущества:
- структуризация объектов в каталоге и делегирование управления (организационные подразделения);
- автоматическое конфигурирование компьютеров, параметров приложений;
- управление безопасностью (назначение привилегий пользователям, параметры парольной системы, параметры шифрования трафика в сети, аудит действий, ограничение доступа к программам, папкам, разделам реестра, ограничение состава локальных групп пользователей);
- автоматическая установка приложений;
- централизованное управление хранилищами данных и их отказоустойчивостью (Distributed File System и File Replication Service);
- управление автоматической установкой обновлений для операционной системы и прикладного ПО (Windows Server Update Services);
- централизованное хранение конфигурации приложений, развернутых в сети (Exchange Server, Office Communications Server, Службы сертификатов и др.).
Существенная часть вопросов по управлению инфраструктурой приведена в разделе Управление ИТ-инфраструктурой.
Развитие концепции управления безопасностью сети
Развитием всех перечисленных выше подходов стало применение систем, интегрировавших все базовые службы, службы управления и сетевое оборудование в комплекс, позволяющий на уровне каждого устройства сети определять уровень его безопасности («здоровья») и на основании этого предоставлять соответствующий набор сервисов. Такой подход реализован в технологиях Network Access Protection (Microsoft) и Network Admission Control (Cisco Systems), а также, например поддержан в корпоративном выпуске Антивируса Касперского. Дальнейшее развитие данного подхода идет в направлении концепций «Сеть без границ» (Borderless Network) и «Облачные вычисления» (Cloud Computing).
Специалистами АСПЕКТ СПб реализованы десятки проектов по созданию и миграции системной инфраструктуры на базе ОС Windows Server NT4, 2000, 2003, 2008, 2008R2, операционных систем Linux и оборудования Cisco Systems, что позволило в начале 2007 года получить статус Microsoft Gold Certified Partner.
Также накоплен опыт в создании инфраструктуры на базе ОС Solaris 10, и в 2007 году получен статус сертифицированного партнера Sun Microsystems.
|