Mun yi babban 4 ga Yuli . A yau muna buga kwafin jawabin Andrey Novikov daga Qualys. Zai gaya muku matakan da kuke buƙatar bi don gina aikin sarrafa raunin rauni. Mai ɓarna: za mu kai ƙarshen ƙarshen kafin dubawa.
Mataki #1: Ƙayyade matakin balaga na matakan sarrafa raunin ku
A farkon farawa, kuna buƙatar fahimtar wane mataki ƙungiyar ku take dangane da balagaggen tsarin tafiyar da rauninta. Bayan haka ne kawai za ku iya fahimtar inda za ku matsa da matakan da ya kamata a ɗauka. Kafin fara bincike da sauran ayyuka, ƙungiyoyi suna buƙatar yin wasu ayyuka na cikin gida don fahimtar yadda aka tsara ayyukan ku na yanzu daga yanayin IT da tsaro na bayanai.
Yi ƙoƙarin amsa tambayoyi na asali:
- Kuna da matakai don ƙididdigewa da rarraba kadara;
- Yaya akai-akai ana bincika kayan aikin IT kuma an rufe dukkan kayan aikin, kuna ganin duka hoton;
- Ana kula da albarkatun IT ɗin ku?
- Shin ana aiwatar da kowane KPI a cikin ayyukanku kuma ta yaya kuka fahimci cewa ana saduwa da su;
- Shin duk waɗannan matakai an rubuta su?
Mataki #2: Tabbatar da Cikakkun Rufin Kayan Aiki
Ba za ku iya kare abin da ba ku sani ba. Idan ba ku da cikakken hoto na abin da aka yi kayan aikin IT ɗin ku, ba za ku iya kare shi ba. Abubuwan more rayuwa na zamani suna da sarƙaƙiya kuma koyaushe suna canzawa cikin ƙima da inganci.
Yanzu kayan aikin IT ba su dogara ne kawai akan tarin fasahohin gargajiya ba (tashoshin ayyuka, sabobin, injunan kama-da-wane), har ma akan ingantattun sababbi - kwantena, microservices. Sabis ɗin tsaro na bayanai yana gujewa na ƙarshe ta kowace hanya mai yiwuwa, tunda yana da matukar wahala ta yi aiki tare da su ta amfani da kayan aikin da ake da su, waɗanda galibi sun ƙunshi na'urori. Matsalar ita ce kowane na'urar daukar hotan takardu ba zai iya rufe dukkan kayan aikin ba. Domin na'urar daukar hotan takardu ta isa kowane kumburi a cikin ababen more rayuwa, dole ne abubuwa da yawa su zo daidai. Dole ne kadarar ta kasance cikin kewayen ƙungiyar a lokacin dubawa. Dole ne na'urar daukar hotan takardu ta sami hanyar sadarwa ta hanyar sadarwa zuwa kadarorin da asusunsu domin tattara cikakkun bayanai.
Bisa ga kididdigar mu, idan ya zo ga matsakaita ko manyan kungiyoyi, kusan 15-20% na kayan aikin ba a kama su ta hanyar na'urar daukar hotan takardu ba saboda wani dalili ko wani: kadari ya wuce iyakar ko kuma bai taba bayyana a ofishin ba. Misali, kwamfutar tafi-da-gidanka na ma'aikaci wanda ke aiki nesa ba kusa ba amma har yanzu yana da damar shiga cibiyar sadarwar kamfanoni, ko kadarar tana cikin ayyukan girgije na waje kamar Amazon. Kuma na'urar daukar hotan takardu, mai yiwuwa, ba za ta san komai ba game da waɗannan kadarorin, tunda suna waje da yankin da ake iya gani.
Don rufe dukkan abubuwan more rayuwa, kuna buƙatar amfani da ba kawai na'urorin daukar hoto ba, har ma da na'urori masu auna firikwensin duka, gami da fasahar sauraron zirga-zirgar ababen hawa don gano sabbin na'urori a cikin abubuwan more rayuwa, hanyar tattara bayanan wakilai don karɓar bayanai - yana ba ku damar karɓar bayanai akan layi, ba tare da izini ba. da bukatar dubawa, ba tare da nuna alamar shaidar ba.
Mataki #3: Rarraba Kadari
Ba dukkan kadarori ba daidai suke ba. Aikin ku ne ku tantance waɗanne kadarorin ne masu mahimmanci da waɗanda ba su da mahimmanci. Babu kayan aiki, kamar na'urar daukar hoto, da zai yi maka wannan. Da kyau, tsaro na bayanai, IT da kasuwanci suna aiki tare don nazarin abubuwan more rayuwa don gano mahimman tsarin kasuwanci. A gare su, suna ƙayyade ma'aunin karɓa don samuwa, mutunci, sirri, RTO/RPO, da sauransu.
Wannan zai taimaka muku ba da fifikon tsarin sarrafa raunin ku. Lokacin da ƙwararrun ku suka karɓi bayanai game da lahani, ba zai zama takarda mai dubunnan lahani a duk faɗin ababen more rayuwa ba, amma cikakkun bayanai suna la'akari da mahimmancin tsarin.
Mataki #4: Gudanar da Ƙimar Kayan Gida
Kuma a mataki na hudu ne kawai za mu zo don tantance abubuwan more rayuwa daga mahangar rashin ƙarfi. A wannan mataki, muna ba da shawarar ku kula ba kawai ga raunin software ba, har ma da kurakurai na daidaitawa, wanda kuma zai iya zama mai rauni. Anan muna ba da shawarar hanyar wakili na tattara bayanai. Ana iya kuma yakamata a yi amfani da su don tantance tsaro na kewaye. Idan kun yi amfani da albarkatun masu samar da girgije, to kuna buƙatar tattara bayanai kan dukiya da daidaitawa daga can. Bayar da kulawa ta musamman don nazarin lahani a cikin abubuwan more rayuwa ta amfani da kwantena Docker.
Mataki #5: Saita rahoto
Wannan yana ɗaya daga cikin mahimman abubuwa a cikin tsarin sarrafa rauni.
Batu na farko: babu wanda zai yi aiki tare da rahotanni masu shafuka da yawa tare da jerin abubuwan rashin ƙarfi da kwatancen yadda za a kawar da su. Da farko, kana buƙatar sadarwa tare da abokan aiki kuma gano abin da ya kamata a cikin rahoton da kuma yadda ya fi dacewa da su don karɓar bayanai. Misali, wasu mai gudanarwa baya buƙatar cikakken bayanin raunin kuma kawai yana buƙatar bayani game da facin da hanyar haɗi zuwa gare shi. Wani ƙwararren ya damu kawai game da raunin da aka samu a cikin kayan aikin cibiyar sadarwa.
Batu na biyu: ta hanyar bayar da rahoto ina nufin ba rahoton takarda kawai ba. Wannan sigar da ta gabata ce don samun bayanai da kuma tsayayyen labari. Mutum yana karɓar rahoto kuma ba zai iya ta kowace hanya tasiri yadda za a gabatar da bayanan a cikin wannan rahoton ba. Don samun rahoton a cikin fom ɗin da ake so, ƙwararren IT dole ne ya tuntuɓi ƙwararrun tsaro na bayanai kuma ya tambaye shi ya sake gina rahoton. Yayin da lokaci ya ci gaba, sabbin lahani suna bayyana. Maimakon tura rahotanni daga sashe zuwa sashe, ƙwararrun ƙwararrun fannonin biyu ya kamata su iya sanya ido kan bayanan akan layi kuma su ga hoto iri ɗaya. Saboda haka, a cikin dandalinmu muna amfani da rahotanni masu ƙarfi a cikin nau'i na dashboards da za a iya daidaita su.
Mataki #6: Ba da fifiko
Anan zaka iya yin haka:
1. Ƙirƙirar wurin ajiya tare da hotunan zinariya na tsarin. Yi aiki tare da hotunan zinari, bincika su don rashin lahani da daidaitaccen tsari akan ci gaba. Ana iya yin hakan tare da taimakon wakilai waɗanda za su ba da rahoton bullar sabon kadari ta atomatik kuma su ba da bayanai game da raunin sa.
2. Mai da hankali kan waɗannan kadarorin da ke da mahimmanci ga kasuwancin. Babu wata kungiya a duniya da za ta iya kawar da rauni a tafi daya. Tsarin kawar da raunin rauni yana da tsayi kuma har ma da gajiya.
3. kunkuntar saman harin. Tsaftace ababen more rayuwa na software da ayyuka mara amfani, rufe tashoshin jiragen ruwa mara amfani. Kwanan nan mun sami wani shari'a tare da kamfani guda wanda aka sami kusan lahani dubu 40 masu alaƙa da tsohon sigar mai binciken Mozilla akan na'urori dubu 100. Kamar yadda ya fito daga baya, an gabatar da Mozilla a cikin hoton zinare shekaru da yawa da suka wuce, babu wanda ke amfani da shi, amma shine tushen babban adadin lahani. Lokacin da aka cire mai binciken daga kwamfutoci (har ma akan wasu sabobin ne), waɗannan dubun-dubatar lahani sun ɓace.
4. Rank vulnerabilities dangane da barazanar hankali. Yi la'akari ba kawai mahimmancin raunin ba, har ma da kasancewar cin zarafin jama'a, malware, faci, ko samun damar waje zuwa tsarin tare da rauni. Yi la'akari da tasirin wannan raunin akan tsarin kasuwanci mai mahimmanci: zai iya haifar da asarar bayanai, ƙin sabis, da dai sauransu.
Mataki #7: Amince akan KPIs
Kar a yi scanning saboda yin scanning. Idan babu wani abu da ya faru da raunin da aka samu, to wannan binciken ya juya zuwa aiki mara amfani. Don hana aiki tare da lahani daga zama al'ada, yi tunanin yadda zaku kimanta sakamakonsa. Tsaro na bayanai da IT dole ne su daidaita kan yadda za a tsara aikin kawar da raunin da ya faru, sau nawa za a yi bincike, za a shigar da faci, da sauransu.
A kan nunin za ku ga misalan yiwuwar KPIs. Har ila yau, akwai ƙarin jerin abubuwan da muke ba da shawarar ga abokan cinikinmu. Idan kuna sha'awar, don Allah a tuntube ni, zan raba muku wannan bayanin.
Mataki #8: Yi atomatik
Komawa zuwa dubawa kuma. A Qualys, mun yi imanin cewa dubawa shine mafi mahimmancin abin da zai iya faruwa a cikin tsarin kula da rauni a yau, kuma da farko yana buƙatar sarrafa kansa gwargwadon iko don yin shi ba tare da sa hannun ƙwararren masani na tsaro ba. A yau akwai kayan aikin da yawa waɗanda ke ba ku damar yin wannan. Ya isa cewa suna da buɗaɗɗen API da adadin masu haɗin da ake buƙata.
Misalin da nake so in bayar shine DevOps. Idan kun aiwatar da na'urar daukar hoto mai rauni a can, zaku iya mantawa kawai game da DevOps. Tare da tsofaffin fasaha, wanda shine na'urar daukar hotan takardu, kawai ba za a ba ku damar shiga cikin waɗannan matakan ba. Masu haɓakawa ba za su jira ka duba ba kuma su ba su rahoto mai shafuka da yawa, rahoton mara daɗi. Masu haɓakawa suna tsammanin cewa bayanai game da lahani za su shigar da tsarin hada lambobin su ta hanyar bayanin kwaro. Ya kamata a gina tsaro ba tare da matsala ba a cikin waɗannan matakan, kuma ya kamata kawai ya zama fasalin da tsarin da masu haɓaka ku ke amfani da shi ta atomatik.
Mataki #9: Mai da hankali kan Muhimman Mahimmanci
Mai da hankali kan abin da ke kawo ƙima na gaske ga kamfanin ku. Scans na iya zama atomatik, kuma ana iya aika rahotanni ta atomatik.
Mayar da hankali kan inganta matakai don sanya su mafi sauƙi da dacewa ga duk wanda abin ya shafa. Mayar da hankali kan tabbatar da cewa an gina tsaro cikin duk kwangiloli tare da takwarorinku, waɗanda, alal misali, haɓaka aikace-aikacen yanar gizo gare ku.
Idan kuna buƙatar ƙarin cikakkun bayanai kan yadda ake gina tsarin sarrafa rauni a cikin kamfanin ku, da fatan za a tuntuɓe ni da abokan aiki na. Zan yi farin cikin taimaka.
source: www.habr.com