Код Безопасности

понедельник, 26 июля 2010 г.

Cколько стоит приведение в соответствие?

В России все больше получают распространение мировые практики и рекомендации производителей по обеспечению информационной безопасности инфраструктур виртуализации. Среди них наиболее авторитетными считаются:

О полезности и необходимости следования лучшим мировым практикам говорится очень много, но когда дело доходит до определения стоимости приведения своей инфраструктуры в соответствие данной практике, начинаются вопросы. Многие простые в теории вещи оказываются не такими уж простыми на практике.

Так сколько на самом деле стоит приведение в соответствие?


Проверим стоимость работ на практике

Итак, попробуем разобраться, в чем же сложность настройки инфраструктуры в соответствии с требованиями упомянутых выше документов. Разбираться будем на примере нашей собственной инфраструктуры - на ком же экспериментировать как не на себе?..

Ставим команде из администратора ИТ и администратора ИБ задание: привести нашу инфраструктуру в соответствие рекомендациям vSphre 4.0 Security Hardening Guide и контролировать эти изменения еще в течение 10 дней после настройки.
Исходные данные:

  • Инфраструктура - 1 vCenter, 3 ESX сервера (по 2 процессора), 40 виртуальных машин
  • Стоимость 1 рабочего дня администратора ИБ – 3000 руб.
  • Стоимость 1 рабочего дня администратора ИТ –3000 руб.
Для ускорения процесса рассматриваем возможность отправки обоих на курсы повышения квалификации VMware vSphere: Fast Track и VMware vSphere: Manage and Design for Security, однако, последний еще не доступен, поэтому в расходную часть записываем стоимость одного пятидневного курса для обоих администраторов - 132.000 руб. и по 5 дней их отсутствия на работе - 30.000 руб.

Как показала практика, даже после прохождения курса большая часть рекомендаций не сразу реализуема. vSphere 4.0 Security Hardening Guide – безусловно, документ продуманный, но не для понимания неопытных специалистов. На прочтение и изучение всех рекомендаций у нашей команды ушло 3 недели, то есть по 15 рабочих дней каждого из администраторов. Спустя еще 4 дня они дружно отрапортовали, что привидение в соответствие закончено.

К проверке соответствия такого рапорта действительности я была готова: заблаговременно несколько недель назад, когда я просила права на несколько виртуальных машин, мне выдали их в бОльшем объеме. Я воспользовалась этим и исправила некоторые параметры. Но наши администраторы - специалисты ответственные, через 6 дней своих исправлений я не обнаружила.

На 9 день повторяю операцию по исправлению параметров. На 10 день мы дружно садимся проверять по пунктам соответствие инфраструктуры и находим 5 несовпадений. Тут команда администраторов вспоминает, что на проверку соответствия, которую они решили устроить на 3 день после приведения в соответствие рекомендациям vSphere 4.0 Security Hardening Guide, ушло 2 дня, и повторять ее они просто не захотели.

Итог - 26 рабочих дней и 420 000 руб.


Тот же эксперимент, но с применением vGate 2

Раскрываю суть эксперимента администраторам и предлагаю протестировать на нашей инфраструктуре бета-версию vGate 2.

Какие итоги? На обучение работе с продуктом у администраторов ушло 2 дня, хотя не скрою, что команда администраторов с большим энтузиазмом пыталась придумать, как провести вторую часть эксперимента с выигрышем для себя. Приведение в соответствие инфраструктуры заняло несколько минут – это было сделано с помощью включенных в vGate шаблонов соответствия.

Спустя еще 10 дней во время проверки мои попытки изменить настройки безопасности потерпели фиаско: даже при наличии прав администратора виртуальной инфраструктуры манипуляций с параметрами безопасности я провести никаких не могу, потому что в vGate используется разделение ролей и делегирование полномочий администраторов.

Итог - 3 неполных рабочих дня и 159 000 руб.


Подведение итогов

В результате при сравнении денежных расходов на приведение в соответствие vSphere 4.0 Security Hardening Guide оказалось…..что за такие эксперименты коммерческий директор по голове не погладит :). Итоговая таблица - судите сами:



Дополнительная информация

Комментариев нет:

Отправить комментарий