අපිට ලොකු ජූලි 4 වෙනිදා තිබුණා . අද අපි Qualys වෙතින් Andrey Novikov ගේ කතාවේ පිටපතක් ප්රකාශයට පත් කරන්නෙමු. අවදානම් කළමනාකරණ කාර්ය ප්රවාහයක් ගොඩනැගීමට ඔබ අනුගමනය කළ යුතු පියවර මොනවාදැයි ඔහු ඔබට කියනු ඇත. ස්පොයිලර්: අපි ස්කෑන් කිරීමට පෙර අර්ධ ලක්ෂයට පමණක් ළඟා වෙමු.
පියවර #1: ඔබේ අවදානම් කළමනාකරණ ක්රියාවලීන්හි පරිණත මට්ටම තීරණය කරන්න
ආරම්භයේදීම, එහි අවදානම් කළමනාකරණ ක්රියාවලීන්හි පරිණතභාවය අනුව ඔබේ සංවිධානය සිටින්නේ කුමන අදියරේදැයි ඔබ තේරුම් ගත යුතුය. ගමන් කළ යුත්තේ කොතැනටද යන්න සහ ගත යුතු පියවර මොනවාද යන්න තේරුම් ගත හැක්කේ මෙයින් පසුව පමණි. ස්කෑන් සහ වෙනත් ක්රියාකාරකම් ආරම්භ කිරීමට පෙර, තොරතුරු තාක්ෂණ සහ තොරතුරු ආරක්ෂණ ඉදිරිදර්ශනයකින් ඔබේ වර්තමාන ක්රියාවලීන් ව්යුහගත වී ඇති ආකාරය තේරුම් ගැනීමට ආයතන විසින් අභ්යන්තර කටයුතු කිහිපයක් කළ යුතුය.
මූලික ප්රශ්නවලට පිළිතුරු දීමට උත්සාහ කරන්න:
- ඔබට ඉන්වෙන්ටරි සහ වත්කම් වර්ගීකරණය සඳහා ක්රියාවලි තිබේද;
- තොරතුරු තාක්ෂණ යටිතල ව්යූහය කෙතරම් නිතිපතා ස්කෑන් කරන්නේද සහ සම්පූර්ණ යටිතල ව්යුහයම ආවරණය කර තිබේද, ඔබට සම්පූර්ණ පින්තූරය පෙනෙනවාද;
- ඔබගේ තොරතුරු තාක්ෂණ සම්පත් නිරීක්ෂණය කරන්නේද?
- ඔබගේ ක්රියාවලි තුළ කිසියම් KPI ක්රියාත්මක කර තිබේද සහ ඒවා සපුරාලන බව ඔබ තේරුම් ගන්නේ කෙසේද;
- මෙම සියලු ක්රියාවලීන් ලේඛනගත කර තිබේද?
පියවර #2: සම්පූර්ණ යටිතල පහසුකම් ආවරණය සහතික කරන්න
ඔබ නොදන්නා දේ ඔබට ආරක්ෂා කළ නොහැක. ඔබේ තොරතුරු තාක්ෂණ යටිතල ව්යුහය සෑදී ඇත්තේ කුමක් ද යන්න පිළිබඳ සම්පූර්ණ චිත්රයක් ඔබට නොමැති නම්, ඔබට එය ආරක්ෂා කිරීමට නොහැකි වනු ඇත. නවීන යටිතල පහසුකම් සංකීර්ණ වන අතර ප්රමාණාත්මකව හා ගුණාත්මකව නිරන්තරයෙන් වෙනස් වේ.
දැන් තොරතුරු තාක්ෂණ යටිතල ව්යුහය පදනම් වී ඇත්තේ සම්භාව්ය තාක්ෂණයන් (වැඩපොළවල්, සේවාදායක, අථත්ය යන්ත්ර) තොගයක් මත පමණක් නොව, සාපේක්ෂව නව ඒවා මත ය - බහාලුම්, ක්ෂුද්ර සේවා. ප්රධාන වශයෙන් ස්කෑනර් වලින් සමන්විත පවතින මෙවලම් කට්ටල භාවිතයෙන් ඔවුන් සමඟ වැඩ කිරීම ඉතා අපහසු බැවින් තොරතුරු ආරක්ෂණ සේවාව හැකි සෑම ආකාරයකින්ම දෙවැන්නෙන් පලා යයි. ගැටලුව වන්නේ ඕනෑම ස්කෑනරයකට සම්පූර්ණ යටිතල පහසුකම් ආවරණය කළ නොහැකි වීමයි. ස්කෑනරයක් යටිතල ව්යුහයේ ඕනෑම නෝඩයකට ළඟා වීමට නම්, සාධක කිහිපයක් සමපාත විය යුතුය. ස්කෑන් කරන අවස්ථාවේ වත්කම ආයතනයේ පරිමිතිය තුළ තිබිය යුතුය. සම්පූර්ණ තොරතුරු රැස් කිරීම සඳහා ස්කෑනරයට වත්කම් සහ ඒවායේ ගිණුම් වෙත ජාල ප්රවේශය තිබිය යුතුය.
අපගේ සංඛ්යාලේඛනවලට අනුව, මධ්යම හෝ විශාල ආයතන සම්බන්ධයෙන් ගත් කල, යටිතල පහසුකම්වලින් ආසන්න වශයෙන් 15-20% ක් එක් හේතුවක් හෝ වෙනත් හේතුවක් නිසා ස්කෑනරය මගින් ග්රහණය කර නොගනී: වත්කම පරිමිතිය ඉක්මවා ගොස් හෝ කිසි විටෙකත් කාර්යාලයේ නොපෙන්වයි. උදාහරණයක් ලෙස, දුරස්ථව වැඩ කරන නමුත් තවමත් ආයතනික ජාලයට ප්රවේශය ඇති සේවකයෙකුගේ ලැප්ටොප් පරිගණකයක් හෝ වත්කම ඇමේසන් වැනි බාහිර ක්ලවුඩ් සේවාවන්හි පිහිටා ඇත. ස්කෑනරය, බොහෝ විට, මෙම වත්කම් එහි දෘශ්යතා කලාපයෙන් පිටත ඇති බැවින් ඒවා ගැන කිසිවක් නොදනී.
සමස්ත යටිතල පහසුකම් ආවරණය කිරීම සඳහා, ඔබ ස්කෑනර් පමණක් නොව, ඔබේ යටිතල ව්යූහයේ නව උපාංග හඳුනා ගැනීමට නිෂ්ක්රීය ගමනාගමන සවන්දීමේ තාක්ෂණයන් ඇතුළු සම්පූර්ණ සංවේදක කට්ටලයක් භාවිතා කළ යුතුය, තොරතුරු ලබා ගැනීමට නියෝජිත දත්ත රැස් කිරීමේ ක්රමය - ඔබට අන්තර්ජාලය හරහා දත්ත ලබා ගැනීමට ඉඩ සලසයි. අක්තපත්ර ඉස්මතු නොකර ස්කෑන් කිරීමේ අවශ්යතාවය.
පියවර #3: වත්කම් වර්ග කරන්න
සියලුම වත්කම් සමාන ලෙස නිර්මාණය නොවේ. කුමන වත්කම් වැදගත්ද සහ නැති දේ තීරණය කිරීම ඔබේ කාර්යයයි. ස්කෑනරයක් වැනි කිසිම මෙවලමක් ඔබ වෙනුවෙන් මෙය නොකරනු ඇත. ඉතා මැනවින්, තොරතුරු ආරක්ෂාව, තොරතුරු තාක්ෂණ සහ ව්යාපාර එක්ව ව්යාපාර-විවේචනාත්මක පද්ධති හඳුනා ගැනීම සඳහා යටිතල පහසුකම් විශ්ලේෂණය කිරීමට එක්ව කටයුතු කරයි. ඔවුන් සඳහා, ඔවුන් ලබා ගත හැකි බව, අඛණ්ඩතාව, රහස්යභාවය, RTO/RPO යනාදිය සඳහා පිළිගත හැකි ප්රමිතික තීරණය කරයි.
මෙය ඔබගේ අවදානම් කළමනාකරණ ක්රියාවලියට ප්රමුඛත්වය දීමට උපකාරී වේ. ඔබේ විශේෂඥයින්ට දුර්වලතා පිළිබඳ දත්ත ලැබුණු විට, එය සමස්ත යටිතල ව්යුහය හරහා දහස් ගණනක් අවදානම් සහිත පත්රයක් නොවනු ඇත, නමුත් පද්ධතිවල විවේචනාත්මක බව සැලකිල්ලට ගනිමින් කැටිති තොරතුරු.
පියවර #4: යටිතල පහසුකම් තක්සේරුවක් පැවැත්වීම
තවද අපි යටිතල පහසුකම් අවදානම් දෘෂ්ටි කෝණයෙන් තක්සේරු කිරීමට පැමිණෙන්නේ සිව්වන පියවරේදී පමණි. මෙම අවස්ථාවෙහිදී, ඔබ මෘදුකාංග දුර්වලතා පමණක් නොව, වින්යාස කිරීමේ දෝෂ කෙරෙහිද අවධානය යොමු කරන ලෙස අපි නිර්දේශ කරමු, එය අවදානමක් විය හැකිය. මෙහිදී අපි තොරතුරු රැස් කිරීමේ නියෝජිත ක්රමය නිර්දේශ කරමු. පරිමිතිය ආරක්ෂාව තක්සේරු කිරීම සඳහා ස්කෑනර් භාවිතා කළ හැකිය. ඔබ වලාකුළු සපයන්නන්ගේ සම්පත් භාවිතා කරන්නේ නම්, ඔබ එහි වත්කම් සහ වින්යාසයන් පිළිබඳ තොරතුරු රැස් කළ යුතුය. Docker බහාලුම් භාවිතයෙන් යටිතල පහසුකම්වල ඇති දුර්වලතා විශ්ලේෂණය කිරීමට විශේෂ අවධානය යොමු කරන්න.
පියවර #5: වාර්තාකරණය සකසන්න
මෙය අවදානම් කළමනාකරණ ක්රියාවලියේ වැදගත් අංගයකි.
පළමු කරුණ: අහඹු ලෙස දුර්වලතා ලැයිස්තුවක් සහ ඒවා තුරන් කරන්නේ කෙසේද යන්න පිළිබඳ විස්තර සහිත බහු-පිටු වාර්තා සමඟ කිසිවෙකු වැඩ නොකරනු ඇත. පළමුවෙන්ම, ඔබ සගයන් සමඟ සන්නිවේදනය කළ යුතු අතර වාර්තාවේ තිබිය යුතු දේ සහ ඔවුන්ට දත්ත ලබා ගැනීම වඩාත් පහසු වන්නේ කෙසේදැයි සොයා බලන්න. උදාහරණයක් ලෙස, සමහර පරිපාලකයෙකුට අවදානම පිළිබඳ සවිස්තරාත්මක විස්තරයක් අවශ්ය නොවන අතර පැච් එක පිළිබඳ තොරතුරු සහ එයට සබැඳියක් පමණක් අවශ්ය වේ. තවත් විශේෂඥයෙක් ජාල යටිතල පහසුකම්වල ඇති දුර්වලතා ගැන පමණක් සැලකිලිමත් වේ.
දෙවන කරුණ: වාර්තා කිරීම යන්නෙන් මා අදහස් කරන්නේ කඩදාසි වාර්තා පමණක් නොවේ. මෙය තොරතුරු ලබා ගැනීම සඳහා යල් පැන ගිය ආකෘතියක් සහ ස්ථිතික කතාවකි. පුද්ගලයෙකුට වාර්තාවක් ලැබෙන අතර මෙම වාර්තාවේ දත්ත ඉදිරිපත් කරන්නේ කෙසේදැයි කිසිදු ආකාරයකින් බලපෑම් කළ නොහැක. අපේක්ෂිත පෝරමයේ වාර්තාව ලබා ගැනීම සඳහා, තොරතුරු තාක්ෂණ විශේෂඥයා තොරතුරු ආරක්ෂණ විශේෂඥයා අමතා වාර්තාව නැවත ගොඩනඟන ලෙස ඉල්ලා සිටිය යුතුය. කාලයාගේ ඇවෑමෙන්, නව දුර්වලතා මතු වේ. දෙපාර්තමේන්තුවෙන් දෙපාර්තමේන්තුවට වාර්තා තල්ලු කරනවා වෙනුවට, විෂයයන් දෙකෙහිම විශේෂඥයින්ට අන්තර්ජාලය හරහා දත්ත නිරීක්ෂණය කිරීමට සහ එකම පින්තූරය දැකීමට හැකි විය යුතුය. එබැවින්, අපගේ වේදිකාවේදී අපි අභිරුචිකරණය කළ හැකි උපකරණ පුවරු ආකාරයෙන් ගතික වාර්තා භාවිතා කරමු.
පියවර #6: ප්රමුඛත්වය දෙන්න
මෙන්න ඔබට පහත දේ කළ හැකිය:
1. පද්ධතිවල රන්වන් රූප සහිත ගබඩාවක් නිර්මාණය කිරීම. රන්වන් රූප සමඟ වැඩ කරන්න, දුර්වලතා සඳහා ඒවා පරීක්ෂා කරන්න සහ අඛණ්ඩ පදනමක් මත නිවැරදි වින්යාසය කරන්න. නව වත්කමක් මතුවීම ස්වයංක්රීයව වාර්තා කරන සහ එහි දුර්වලතා පිළිබඳ තොරතුරු සපයන නියෝජිතයින්ගේ සහාය ඇතිව මෙය කළ හැකිය.
2. ව්යාපාරයට තීරණාත්මක වන එම වත්කම් කෙරෙහි අවධානය යොමු කරන්න. එක් වරම දුර්වලතා ඉවත් කළ හැකි එකම සංවිධානයක් ලෝකයේ නැත. අවදානම් ඉවත් කිරීමේ ක්රියාවලිය දිගු හා වෙහෙසකර ය.
3. ප්රහාරක පෘෂ්ඨය පටු කිරීම. අනවශ්ය මෘදුකාංග සහ සේවාවලින් ඔබේ යටිතල පහසුකම් පිරිසිදු කරන්න, අනවශ්ය වරායන් වසා දමන්න. මොසිල්ලා බ්රව්සරයේ පැරණි අනුවාදයට අදාළ අවදානම් ලක්ෂයක් පමණ උපාංග 40 ක පමණ සොයා ගත් එක් සමාගමක් සමඟ අපට මෑතකදී නඩුවක් තිබුණි. පසුව පෙනී ගිය පරිදි, වසර ගණනාවකට පෙර මොසිල්ලා රන් රූපයට හඳුන්වා දෙන ලදී, කිසිවෙකු එය භාවිතා නොකරයි, නමුත් එය දුර්වලතා විශාල සංඛ්යාවක මූලාශ්රය වේ. බ්රවුසරය පරිගණකවලින් ඉවත් කළ විට (එය සමහර සර්වර් වල පවා), මෙම දස දහස් ගණනක් දුර්වලතා අතුරුදහන් විය.
4. තර්ජන බුද්ධිය මත පදනම්ව දුර්වලතා ශ්රේණිගත කරන්න. අවදානමේ තීරනාත්මක බව පමණක් නොව, පොදු සූරාකෑමක්, අනිෂ්ට මෘදුකාංගයක්, පැච් එකක් හෝ අවදානම සහිත පද්ධතියට බාහිර ප්රවේශයක් තිබීම ද සලකා බලන්න. තීරණාත්මක ව්යාපාරික පද්ධති මත මෙම අවදානමේ බලපෑම තක්සේරු කරන්න: එය දත්ත නැතිවීම, සේවාව ප්රතික්ෂේප කිරීම යනාදියට හේතු විය හැකිද?
පියවර #7: KPI සඳහා එකඟ වන්න
ස්කෑන් කිරීම සඳහා ස්කෑන් කරන්න එපා. සොයාගත් දුර්වලතා වලට කිසිවක් සිදු නොවන්නේ නම්, මෙම ස්කෑන් කිරීම නිෂ්ඵල මෙහෙයුමක් බවට පත්වේ. දුර්වලතා සමඟ වැඩ කිරීම විධිමත් බවට පත්වීම වැළැක්වීම සඳහා, ඔබ එහි ප්රතිඵල ඇගයීමට ලක් කරන්නේ කෙසේදැයි සිතා බලන්න. අවදානම් ඉවත් කිරීමේ කාර්යය ව්යුහගත කරන්නේ කෙසේද, කොපමණ වාර ගණනක් ස්කෑන් කරන්නේද, පැච් ස්ථාපනය කරන්නේද යනාදිය පිළිබඳව තොරතුරු ආරක්ෂාව සහ තොරතුරු තාක්ෂණ එකඟ විය යුතුය.
ස්ලයිඩයේ ඔබට හැකි KPI වල උදාහරණ බලන්න. අපගේ ගනුදෙනුකරුවන්ට අපි නිර්දේශ කරන දීර්ඝ ලැයිස්තුවක් ද ඇත. ඔබ කැමති නම්, කරුණාකර මා අමතන්න, මම මෙම තොරතුරු ඔබ සමඟ බෙදා ගන්නෙමි.
පියවර #8: ස්වයංක්රීය කරන්න
නැවතත් ස්කෑන් කිරීම වෙත ආපසු යන්න. Qualys හි දී, අද වන විට අවදානම් කළමනාකරණ ක්රියාවලියේදී සිදු විය හැකි වඩාත්ම නොවැදගත් දෙය ස්කෑන් කිරීම බවත්, ප්රථමයෙන් එය තොරතුරු ආරක්ෂණ විශේෂඥයෙකුගේ සහභාගීත්වයෙන් තොරව සිදු කෙරෙන පරිදි හැකිතාක් ස්වයංක්රීය කළ යුතු බවත් අපි විශ්වාස කරමු. අද ඔබට මෙය කිරීමට ඉඩ සලසන බොහෝ මෙවලම් තිබේ. ඔවුන්ට විවෘත API සහ අවශ්ය සම්බන්ධක සංඛ්යාව තිබීම ප්රමාණවත්ය.
මම දෙන්න කැමති උදාහරණය තමයි DevOps. ඔබ එහි අවදානම් ස්කෑනරයක් ක්රියාත්මක කරන්නේ නම්, ඔබට DevOps ගැන අමතක කළ හැකිය. සම්භාව්ය ස්කෑනරයක් වන පැරණි තාක්ෂණයන් සමඟ, ඔබට මෙම ක්රියාවලීන් වෙත යාමට ඉඩ නොදේ. සංවර්ධකයින් ඔබ පරිලෝකනය කර බහු-පිටු, අපහසු වාර්තාවක් ලබා දෙන තෙක් බලා නොසිටිනු ඇත. සංවර්ධකයින් බලාපොරොත්තු වන්නේ දුර්වලතා පිළිබඳ තොරතුරු ඔවුන්ගේ කේත එකලස් කිරීමේ පද්ධති දෝෂ තොරතුරු ආකාරයෙන් ඇතුල් කරනු ඇති බවයි. මෙම ක්රියාවලීන් තුළ ආරක්ෂාව බාධාවකින් තොරව ගොඩනගා ගත යුතු අතර, එය ඔබගේ සංවර්ධකයින් විසින් භාවිතා කරන පද්ධතිය විසින් ස්වයංක්රීයව හඳුන්වනු ලබන විශේෂාංගයක් විය යුතුය.
පියවර #9: අත්යවශ්ය දේ කෙරෙහි අවධානය යොමු කරන්න
ඔබේ සමාගමට සැබෑ වටිනාකමක් ගෙන දෙන දේ කෙරෙහි අවධානය යොමු කරන්න. ස්කෑන් ස්වයංක්රීය විය හැක, වාර්තා ස්වයංක්රීයව යැවිය හැක.
සම්බන්ධ වූ සැමට වඩාත් නම්යශීලී සහ පහසු කිරීමට ක්රියාවලි වැඩිදියුණු කිරීම කෙරෙහි අවධානය යොමු කරන්න. උදාහරණයක් ලෙස, ඔබ වෙනුවෙන් වෙබ් යෙදුම් සංවර්ධනය කරන ඔබේ සගයන් සමඟ ඇති සියලුම ගිවිසුම් තුළ ආරක්ෂාව ගොඩනගා ඇති බව සහතික කිරීම කෙරෙහි අවධානය යොමු කරන්න.
ඔබේ සමාගම තුළ අවදානම් කළමනාකරණ ක්රියාවලියක් ගොඩනඟන්නේ කෙසේද යන්න පිළිබඳ වඩාත් සවිස්තරාත්මක තොරතුරු ඔබට අවශ්ය නම්, කරුණාකර මා සහ මගේ සගයන් අමතන්න. උදව් කිරීමට මම සතුටු වෙමි.
මූලාශ්රය: www.habr.com