Файл: Вадим Алджанов итархитектура от а до Я Теоретические основы. Первое.pdf

Рабочий объем характеризует коэффициент заполнения диска на 60%.
Резервная копия виртуальной машины по умолчанию выполняется по схеме:
5 Last Days (Differential) +1 Last Week (Full) + one Current Month (Full)
Дневной (D) – Различный (Differential Backup) 5 дней (понедельник-пятница): 5 х 1MB = 5MB один сервер.
Еженедельный (W) – Полный (Full Backup) 1 день (суббота): 1 х 60 GB = 60 GB один сервер.
Ежемесячный (M) – Полный (Full Backup) 1 день (конец месяца): 1 х 60 GB = 60 GB один сервер.
Полный объем резервной копии сервера за месяц: 25D +5W +1M = 75MB+300GB+60GB =
435GB
Полный Рабочий объем резервной копии с коэффициентом заполнения диска 60%: 435GB х
0.6 = 261GB
Полезный объем резервной копии сервера: 5D +1W +1M = 5MB+60GB+60GB = 125GB
Полезный Рабочий объем резервной копии с коэффициентом заполнения диска 60%: 125GB х
0.6 = 75GB
Резервная копия данных по умолчанию выполняется по схеме:
5 Last Days (Incremental) +1 Last Week (Full) + one Current Month (Full)
Для расчета на каждые 100GB данных при 10% изменениях (10GB) и 60% заполнением диска:
Дневной (I) – Различный (Incremental) 5 дней (понедельник-пятница): 5 х 10GB = 50GB один сервер.
Еженедельный (W) – Полный (Full Backup) 1 день (суббота): 1 х 100 GB = 100 GB один сервер.
Ежемесячный (M) – Полный (Full Backup) 1 день (конец месяца): 1 х 100 GB = 100 GB один сервер.
Полный объем резервной копии сервера за месяц: 25I +5W +1M = 250GB+500GB+100GB =
850GB
Полный Рабочий объем резервной копии с коэффициентом заполнения диска 60%: 850GB х
0.6 = 510GB
Полезный объем резервной копии сервера: 5I +1W +1M = 50GB+100GB+100GB = 250GB
Полезный Рабочий объем резервной копии с коэффициентом заполнения диска 60%: 250GB х
0.6 = 150GB
Для восстановления данных необходимо 390GB, для хранения резервных копий данных необходимо 590GB.
Общий полный рабочий объем пространства для хранения резервной копии сервера и данных
261GB+510GB = 771GB
Общий полезный рабочий объем пространства для хранения резервной копии сервера и данных 75GB+150GB= 225GB
Политика архивирования данных (Data Archiving Policy)
Политика архивирования данных является дополнительным элементом защиты данных.
Должна обеспечивать возможность долговременного хранения данных и безапелляционно подтверждать, что данные не были модифицированы с момента их создания. Решение может обеспечивать архивирование резервных копий, или же самостоятельное создание резервной копии с последующим архивированием данных.
Политика архивирования данных должна обеспечивать выполнение следующих требований:
•Тип и частота архивирования данных зависит от бизнеса требований и функциональных особенностей сервиса
•Архивные копии данных должны быть зашифрованы.
•Безапелляционно доказывать неизменность данных с момента создания
•Обеспечивать долгосрочное хранение информации
•Обеспечивать возможность хранения вне организации, и вне ИТ инфраструктуре (внешние носители)
Пример расчета объема архивирования данных

Архивирование резервных копий серверов в течении 3 месяцев. Архивирование по умолчанию выполняется по схеме:
2 Months (previous months Full Backups)
Полный Рабочий объем пространства для хранения архивной копии виртуальной машины 2 х
72GB+261GB = 405GB
Полный Рабочий объем пространства для хранения архивной копии данных 2 х 60GB+510GB
= 630GB
Полезный Рабочий объем пространства для хранения архивной виртуальной машины 75GB
+2 х 36GB = 147GB
Полезный Рабочий объем пространства для хранения архивной копии данных 150GB +2 х
60GB = 270GB
Общий полный рабочий объем пространства для хранения архивной копии сервера и данных
405GB+630GB = 1035GB
Общий полезный рабочий объем пространства для хранения архивной копии сервера и данных 147GB+270GB= 417GB
Политика устаревания активов (Retention Policy)
Политика устаревая активов описывает организацию процесса удаления данных и списания
ИТ активов. Основные цели политики:
•высвобождение мощностей хранилищ данных
•вывод из эксплуатации сервисов, сопровождение которых не целесообразно и не отвечающих требованиям бизнеса
•поддержка актуальных данных и сервисов и оптимизация процесса управления ИТ сервисами
•высвобождение вычислительных мощностей для новых технологий и сервисов
Политика должна обеспечивать классификацию активов, описывать процесс определения устаревания активов, безопасное удаление данных в установленные сроки и надежными методами.
Технические аспекты Информационной Безопасности
Общие положения
Система защиты информации является комплексным / много уровневым решением, обеспечивающим защиту информации и ИТ активы компании. Для успешного обеспечения информационной безопасности необходимо ввести понятия классификации информации и ИТ активов (уровень конфиденциальности), наличие политик и процедур, средств мониторинга, обучения персонала и т п. Системы могут включать весь требуемый функционал в одном программно-аппаратном решении (бюджетный вариант) так и разнесенным по разным устройствам. Выбор рения зависит от требований, особенности работы и финансовых возможностей организации. К системам защиты информации относятся следующие системы и компоненты:
Системы защиты периметра:
Брандмауэр (Firewall)
Системы Аутентификации и контроля доступа (ACL)
Система фильтрации веб трафика (Web Security Gateway)
Прокси сервер (Forward Proxy Server)
Обратный прокси сервер (Reverse Proxy Server)
Система обнаружения / предотвращения вторжения (IDS/IPS)
Системы защиты от вирусов и зловредных программ (Antivirus)
Системы защиты почтовых систем от спама (SPAM filter)
Системы защиты веб контента (WAF)
Система балансировки нагрузки (Load Balancer)
Система сканирования на поиск уязвимостей (Vulnerability Scanner)
Системы предотвращения утечки данных (DLP)
Система Управления Правами Доступов (Right Management System)
Система Идентификации Пользователей (Identity Management System)

Системы защиты конечных устройств (Personal Firewall/Antivirus):
Персональный Брандмауэр (Personal Firewall)
Системы защиты от вирусов и зловредных программ (Antivirus)
Системы шифрования жестких дисков и съёмных носителей (BitLocker, NTFS/EFS)
Отсутствие «Административного» уровня доступа для всех пользователей систем, принцип
«минимальных» привилегий
Системы контроля приложений
Компоненты информационной безопасности могут являться как функциональными элементами фаервол, так и отдельными решениями.
Требования к защите локальной сети и систем
Департамент Безопасности должен обеспечивать физическую защиту ИТ активов, как дата центра, так и системы конечных пользователей.
Для каждой компании и портфеля могут формироваться свой дополнительные требования и методы защиты с учетом конкретной реализации. Данная задача является ключевой для подразделения Информационной Безопасности.
Физический уровень
Ограничивается доступ к ключевым элементам сети (коммуникационные шкафы, сетевое оборудование и т п)
Не используемые рабочие точки конечных пользователей блокируются
(либо не подключаются к коммутатору, либо блокируются на коммутаторе)
Физическая изоляция гостевой сети беспроводного соединения (Guest Wi-Fi isolation).
При использовании персональных устройств (телефонов, планшетов и т п) в корпоративной сети, обязательно включение механизма 802.1Х и WPA2-Enterprise.
Использовать средства мониторинга сети на предмет работы «не авторизированных» DHCP серверов по специфике отклика и значению TTL.
Контроль или блокировка локальных портов и устройств серверов и конечных пользователей.
Использование пароля на доступ к BIOS серверов и конечных пользователей.
Шифрование устройств хранения данных (дисков) серверов и конечных пользователей.
Канальный уровень
Сегментирование сети на канальном уровне (Виртуальные сети)

Обеспечивается защита портов коммутатора (Port Security). На каждый порт коммутатора привязывается аппаратный адрес устройства (MAC address) или группы устройств, имеющих возможность, подключатся. Или статическая таблица на коммутаторе (CAM)
Включается связка сервера динамической раздачи сетевых адресов (DHCP snooping). Явное указание на коммутаторе на каком порте отвечает авторизированный DHCP сервер.
Инспекция механизма разрешения адресов (ARP inspection). Контроль и мониторинг связки сетевого адреса и аппаратного адреса устройства (MAC address – IP address).
Защита источника (Source Guard). Дополнительный механизм защиты, обеспечивающий привязку MAC address – IP address к интерфейсу коммутатора.
Сетевой и транспортный уровень
Контроль маршрутизации и настройка доступов по правилу «только разрешено»
Использовать для обращения в сети только имена ресурсов (FQRN) вместо сетевых адресов.
Тем самым принудительно инициируется использование Kerberos протокола для систем на базе
Microsoft Windows.
Блокировать использование протоколов и механизмов ниже чем NTLM v2. Возможно использование групповых политик для выполнения данных задач
Блокировка механизма WPAD. Для реализации необходимо через групповые политики запретить авто-обнаружения прокси и протокола LLMNR, или же назначение статической записи. Установить «заглушку» в DNS сервере на WPAD запись (WPAD.domain.name).
Отключение протокола NetBIOS.
Отключение скрытых ресурсов ADMIN$, C$, D$ и т п для систем на базе Microsoft Windows.
Возможно через групповые политики.
Активировать возможности систем безопасности на серверах и конечных устройствах
(антивирус, фаервол и т п)
Отключение на системах конечных пользователей систем на базе Microsoft Windows сервиса
«Предоставления файлов и печати для совместного пользования»
Не создавать локальные учетные записи администраторов через механизм групповых политик для систем на базе Microsoft Windows.
Использовать доменные учетные записи для локальных групп администраторов для систем на базе Microsoft Windows.
Требования к пропускной способности (минимальная, максимальная, ожидаемая) управления адресами сети
Контроль трафика
Шифрование трафика критически важных приложений и систем
Ведение лога активности
Корпоративная сеть отделена от публичной сети
(интернета) по средствам
Демилитаризованной зоны (DMZ)
Корпоративная сеть защищена по периметру техническими средствами и решениями, такими как фаервол (Next Generation Firewall (NGFW))
При необходимости фаервол защиты веб приложений (Web Application Firewall (WAF))
Системы Обнаружения и Предотвращения Вторжения (Intrusion Detection and Intrusion
Prevention Systems (IPS/IDS)) должны быть соответственно настроены
Ресурсы публикуемые наружу должны быть размещены в Демилитаризованной зоне (DMZ)
Корпоративная сеть должна быть правильно сегментирована с учетом уровня портфелей и компаний
Сетевые устройства настроены с учетом безопасности для периферийных устройств, и с учетом производительности для внутренних устройств
Только необходимые сервисы должны быть запущены, и разрешенные протоколы и порты настроены на данных устройствах

Трафика между клиентом и сервером должен шифроваться
Все сетевые устройства должны быть своевременно обновляться
При необходимости развернут комплекс мер по Защите от Утечки Данных (Data Leakage /
Loss Prevention (DLP))
Необходимый мониторинг активности и состояние сети должен вестись с возможностью предоставления отчетности
Требование к серверам и инфраструктуре виртуализации и систем хранения
Все сервера должны быть своевременно обновлены (обновления, прошивки)
На всех серверах должны быть включены и настроены локальные фаерволы
На все сервера должны быть установлены средства антивирусной защиты
Корпоративная сеть должна быть правильно сегментирована с учетом уровня портфелей и компаний
Серверный сегмент отделен от сегмента клиентов
Только необходимые сервисы должны быть запущены, и разрешенные протоколы и порты настроены на данных устройствах
Трафика между клиентом и сервером должен шифроваться
При необходимости развернут комплекс мер по Защите от Утечки Данных (Data Leakage /
Loss Prevention (DLP))
Необходимый мониторинг активности и состояние серверов должен вестись с возможностью предоставления отчетности
Требование к системам конечных пользователей
Все системы конечных пользователей должны быть частью леса
На все системы конечных пользователей должны входить с учетными данными леса
Локальные диски всех систем конечных пользователей должны быть зашифрованы
Порты ввода / вывода (DVD, USB etc.) всех систем конечных пользователей должны быть под контролем или же деактивированы
Все системы конечных пользователей должны быть своевременно обновлены (обновления, прошивки)
На всех системах конечных пользователей должны быть включены и настроены локальные фаерволы
На все системах конечных пользователей должны быть установлены средства антивирусной защиты
На все системах конечных пользователей должно быть установлено только разрешенное программное обеспечение
Пользователи не должны знать или использовать учетные записи с повышенными привилегиями
Только необходимые сервисы должны быть запущены, и разрешенные протоколы и порты настроены на данных устройствах
Трафика между клиентом и сервером должен шифроваться
При необходимости развернут комплекс мер по Защите от Утечки Данных (Data Leakage /
Loss Prevention (DLP))
Необходимый мониторинг активности и состояние систем конечных пользователей должен вестись с возможностью предоставления отчетности
Все системы и компоненты информационной безопасности должны по возможности тестироваться на возможность выполнения атаки, с использованием различных инструментов, в том числе и выделенных инструментов таких как «Ixia Breakpoint».

Уровень приложений
Не выключать механизма UAC для систем на базе Microsoft Windows.
Не предоставлять права локальных администраторов пользователям.
Использование «сервисных» учетных записей для запуска сервисов и служб для систем на базе Microsoft Windows.
Запрет на установку программного обеспечения локально, и из папок TEMP, TMP, App Data.
Производить установку программного обеспечения только через групповые политики или специализированные решения.
Внедрение групповой политики RESTRICTED GROUPS для членов группы локальных администраторов.
Переименование учетных записей администраторов.
Внедрение механизма AppLocker для систем на базе Microsoft Windows.
Внедрение механизма EMET для систем на базе Microsoft Windows.
Внедрение механизма LAPS для систем на базе Microsoft Windows.
Включение параметров «Force GPO to reapply settings during refresh» для систем на базе
Microsoft Windows.
Отключение не используемого функционала и служб.
Отключение механизма «Net Session Enumeration» для систем на базе Microsoft Windows.
Отключение механизма «Windows Browser Protocol» для систем на базе Microsoft Windows.
Отключение механизма WSH для систем на базе Microsoft Windows.
Отключение возможности локальных администраторов аутентифицироваться по сети
«Prevent Local Admins (RIP500) to authenticate over network» для систем на базе Microsoft
Windows.
Блокировка не доверенных шрифтов для систем на базе Microsoft Windows.
Внедрения механизма «Credential Guard» для систем на базе Microsoft Windows.
Внедрение механизма «Device Guard» для систем на базе Microsoft Windows.
Отключение или контроль возможностей «Macros» и «OLE» in Microsoft Office».
Настройка механизма аутентификации «Restrict Unauthenticated RPC client» для клиентов для систем на базе Microsoft Windows.
Настройка механизмов «классификации файлов и данных» файловых серверов и систем на базе Microsoft Windows.
Внедрение механизмов контроля привилегий (Privileges Access Management PAM) и его элементов: достаточности привилегий (Just Enough Administration JEA) и ограниченности по времени (Just In Time Privileges JIT).
Таблица угроз и видов атак
Denial of Service DoS
Dynamic Denial of Service DDoS
Flood – «Затопление». Различаются SYN Flood, ICMP Flood, DNS Flood
Bonk, Teadrop, Pong – Фрагментированные пакеты больших размеров приводящие к переполнению буфера и отказу систем.
SMURF – Ошибки реализации стека протокола TCP/IP.
Ping of DEATH (Jolt, SSPing)
UDP Storm – Шторм пакетов, настраивается как пересылка пакетов между двумя открытыми портами.
UDP Bomb – Некорректный UDP пакет.
LAND – Отправка пакета на определённый порт, но отправитель указывается тот же самый.
Mail Bombing
Sniffing – Прослушивание сети.
IP Hijack – Физическое или логическое «врезание» в канал связи.
Dummy DNS Server – Ложный DNS сервер.
Fuzzy – Подделка пакетов.