Bezpieczna infrastruktura dla każdej firmy

Na co warto zwrócić uwagę planując budowę lub modernizację systemu IT w małej lub średniej firmie by infrastruktura fizyczna zapewniała wysoki poziom niezawodności i bezpieczeństwa.

Systemy bezpieczeństwa są z reguły i słusznie kojarzone z oprogramowaniem, ale na niezawodność systemu IT i jego odporność na ataki duży wpływ mają też mechanizmy zabezpieczeń zintegrowane w fizycznej infrastrukturze takiej jak serwery, pamięci masowe lub urządzenia sieciowe.

W jakim kierunku rozwijane są tego typu mechanizmy, jakie są ich praktyczne funkcje i możliwości? Dobrym, ilustrującym to przykładem mogą być rozwiązania firmy Hewlett Packard Enterprise (HPE) adresowane do małych i średnich przedsiębiorstw, również takich które podlegają prawnym regulacjom wymagającym wysokiego poziomu bezpieczeństwa IT, jak względnie małe, działające lokalnie banki i instytucje finansowe.

Bezpieczne serwery. Co to oznacza w praktyce?

Popularyzacja idei programowego sterowania praktycznie wszystkimi elementami systemu IT i uniezależnienia się od infrastruktury fizycznej nie spowodowała, że mechanizmy zabezpieczeń oparte na rozwiązaniach sprzętowych straciły znaczenie.

Co więcej, stają się istotnym elementem wspomagającym system bezpieczeństwa zwiększającym odporność na zagrożenia i znacznie zwiększającym niezawodność działania infrastruktury.

Według raportu Verizon z 2018 roku, 58% incydentów związanych z naruszeniem bezpieczeństwa dotyczyło firm z sektora MSP.

Stąd też pojawiły się koncepcje integracji w sprzęcie sprzętowych układów, które zwiększają poziom bezpieczeństwa. Przykładem może być idea Silicon Root of Trust opracowana i wprowadzana do praktycznych zastosowań przez firmę HPE.

Najnowsze modele serwerów HPE Proliant Gen. 10 są wyposażone w układy iLO udostępniające mechanizmy ochrony i wykrywania zagrożeń związanych z modyfikacją elementów sprzętowych i oprogramowania układowego (firmware), a także automatycznego przywracania stanu systemu do bezpiecznej konfiguracji.

Układy iLO do kontroli stanu systemu komputerowego są instalowane we wszystkich serwerach oferowanych przez HPE. Źródło: HPE.

Układy iLO do kontroli stanu systemu komputerowego są instalowane we wszystkich serwerach oferowanych przez HPE. Źródło: HPE.

Jest to element tzw. „technologii cyfrowej plomby”, która pozwala na rejestrację zdarzeń związanych z otwarciem obudowy serwera i wymianą (usunięciem lub dodaniem elementów) lub modyfikacją oprogramowania firmware. Cyfrowa plomba pozwala na kontrolę całego cyklu życia serwerów od momentu opuszczenia fabryki, instalacji w systemie użytkownika, aż po ich złomowanie.

Do monitorowania stanu systemu wykorzystywany jest mechanizm sprawdzania cyfrowych certyfikatów wszystkich jego elementów. Pozwala on na kontrolowanie wersji oprogramowania i blokowanie takich prób jego modyfikacji, jak ewentualny downgrade.

„HPE konsekwentnie rozwija technologie zwiększające niezawodność i bezpieczeństwo infrastruktury wykorzystującej serwery ProLiant i pamięci masowe Nimble. Serwery ProLiant są obecne na rynku już od 25 lat i sądzę, że będą podstawą dla wykorzystywanych przez firmy rozwiązań IT przez kolejne 25 lat” mówi Paweł Lubasiński.

Obecnie we wszystkich serwerach HPE rodziny Proliant, instalowane są układy iLO kontrolujące stan komputera i jego elementów.

„Zabezpieczenie oprogramowania układowego jest bardzo ważne. Klasycznym tego dowodem jest robak Stuxnet, który zmodyfikował firmware wirówek do wzbogacania uranu i spowodował, że przestały one prawidłowo funkcjonować” mówi Paweł Lubasiński, Solution Architect w firmie HPE.

Innym przykładem praktycznej realizacji idei HPE Silicon Root of Trust jest integracja w kontrolerach pamięci układów umożliwiających automatyczne szyfrowanie danych zapisywanych na dowolnych nośnikach, jak dyski HD, SAS, SSD itd.

Oprogramowanie do monitorowania infrastruktury

Do pełnego wykorzystania informacji o stanie systemu dostarczanych przez układy sprzętowe niezbędne są odpowiednie narzędzia programowe.

Oprogramowanie opracowywane przez HPE, nie tylko dostarcza raporty, ale umożliwia automatyzację niektórych rutynowych działań i prezentuje rekomendacje dotyczące zarówno bezpieczeństwa, jak możliwości optymalizacji i zwiększenia wydajności systemu.

Na przykład HPE OneView - oprogramowanie do monitorowania i zarządzania infrastrukturą IT może być podstawą do budowy SDDC (Software Defined Data Center – sterowane programowo centrum danych). Jest to rozwiązanie znajdujące zastosowanie zarówno w małych, jak i dużych firmach. Ale dzięki zaawansowanym mechanizmom automatyzacji może być szczególnie przydatne właśnie w firmach małych lub średniej wielkości. OpenView można uruchamiać nawet na jednym serwerze, a także rozszerzać i dopasowywać jego funkcjonalność do specyficznych wymagań przy zastosowaniu skryptów wykorzystujących udostępniane przez producenta biblioteki API.

Wśród najnowszych funkcji związanych z bezpieczeństwem systemu można wymienić One Button Secure Erase (bezpieczne usuwanie wszystkich danych, haseł, certyfikatów itp. zapisanych w serwerze, pamięci RAM i masowej zgodnie ze standardem NIST 800-88 rev.1), Security Dashboard – automatyczna kontrola ustawień i konfiguracji (na przykład poziomu bezpieczeństwa wykorzystywanych haseł) oraz Workload Performance Advisor – narzędzie do monitorowania obciążeń dostępne w wersji oprogramowania iLO 5. Workload Performance Advisor monitoruje wydajność i prezentuje porady dotyczące możliwości strojenia systemu w czasie rzeczywistym na podstawie danych o wykorzystaniu zasobów serwera podczas uruchamiania obciążenia.

Chmura wspomaga bezpieczeństwo

Niezawodność i bezpieczeństwo funkcjonowania centrum danych można zwiększyć korzystając z usług chmurowych, które wykorzystują mechanizmy uczenia maszynowego i sztucznej inteligencji.

Przykładem takiej usługi jest HPE InfoSight – usługa dostępna bezpłatnie dla użytkowników serwerów HPE.

Zbiera ona metadane, informacje o konfiguracji systemu i serwerów oraz ich elementów i przesyła je do analizy w centralnym systemie należącym do producenta. Należy podkreślić, że żadne inne dane klienta przechowywane w systemie nie są udostępniane, więc nie ma podstaw do obawy, że z systemu wyciekną jakieś wrażliwe informacje.

Oprogramowanie regularnie odpytuje wszystkie elementy systemu: „żyjesz, czy nie żyjesz” i może obsługiwać serwery znajdujące się w jednej lub wielu lokalizacjach.

Wyniki analizy uzyskiwanych w ten sposób metadanych są podstawą do prezentowania przewidywań dotyczących potencjalnych awarii, zaleceń jakie działania należy podjąć by im zapobiec, a także rekomendacji dotyczących możliwości zwiększenia wydajności i optymalizacji wykorzystania zasobów.

„Tradycyjny monitoring prezentuje parametry systemu i generuje pytania co należy zrobić na które administrator musi znaleźć odpowiedz. Oprogramowanie takie jak InfoSight prezentuje sugestie i gotowe rozwiązania, które administrator może od razu zaakceptować” mówi Paweł Wójcik, Hybrid IT Business Unit Manager w HPE.

InfoSight współpracuje również z pamięciami masowymi HPE Nimble Storage, które są adresowane na rynek MSP.

Obecnie w fazie testów znajduje się kolejna wersja InfoSight wyposażona w mechanizmy pozwalające na automatyczne rozwiązywanie pojawiających się w systemie problemów.

Jak zabezpieczyć sieci WLAN

Jeśli chodzi o bezpieczeństwo sieci teleinformatycznych, a w szczególności systemów WLAN Wi-Fi, to HPE oferuje rozwiązania opracowywane przez jej oddział Aruba.

Aruba specjalizuje się w rozwijaniu systemów przeznaczonych do zastosowań w firmach. Oferuje sprzęt i oprogramowanie klasy korporacyjnej, które może być wdrażane zarówno w dużych, jak małych lub średnich przedsiębiorstwach. Zależnie od wielkości i wymagań użytkownika ten sam sprzęt jest tylko wyposażany w odpowiednią wersję oprogramowania układowego i zestaw niezbędnych użytkownikowi funkcji.

Aruba oferuje stacje dostępowe Wi-Fi, przełączniki, oprogramowanie i usługi ułatwiające zarządzanie infrastrukturą sieci bezprzewodowych, a rozwiązania zapewniające bezpieczeństwo systemu są ich kluczowym, zintegrowanym elementem.

Są to wbudowane mechanizmy IDS/IPS (Intrusion Detection/Prevention System), zapory sieciowe, systemy kontroli dostępu do zasobów oparte na rolach użytkowników oraz kontroli aktywności aplikacji i zgodności z polityką bezpieczeństwa oraz z regulacjami prawnymi.

Rozwiązania Aruby wykorzystują mechanizmy inteligentnej kontrolowania ruchu w sieci oferując możliwość przydzielania aplikacjom różnych priorytetów wykorzystania pasma, a także automatycznego blokowania transmisji niepożądanych lub zagrażających bezpieczeństwu treści i danych. Kontrola dostępu obejmuje sieci Wi-Fi, przewodowe oraz użytkowników mobilnych zdalnie łączących się z systemem. Oprócz tego oprogramowanie umożliwia dynamiczną segmentacja sieci Wi-Fi oraz tworzenie niezależnych, izolowanych tuneli transmisji danych. Opracowane przez Arubę rozwiązania pozwalają na odpowiednie zabezpieczenie dostępu dla pracowników firmy, jej gości, a także różnego rodzaju urządzeń IoT jeśli są one wdrożone w systemie.

Wykorzystanie takiego zestawu zaawansowanych funkcji jest możliwe również w małych firmach, nie dysponujących rozbudowanym działem IT dzięki chmurowej usłudze Aruba Central. „Ponieważ w firmach MSP najczęściej nie ma dedykowanych zespołów zajmujących się zarządzaniem i utrzymaniem sieci, dlatego nasze oprogramowanie, wykorzystywane w dużych korporacjach, przenieśliśmy do chmury i małe firmy mogą zarządzać sieciami dysponując funkcjami takimi samymi jak największe firmy na świecie” wyjaśnia Marcin Ścieślicki, CEE ARUBA Category Manager.

HPE jest dostawcą głównie sprzętu oraz oprogramowania związanego z zarządzaniem infrastrukturą. Nie oznacza to jednak, że firma nie zapewnia wsparcia we wdrażaniu i serwisie oprogramowania systemowego i aplikacji. Dzięki szerokiej współpracy z praktycznie wszystkimi liczącymi się na rynku niezależnymi producentami oprogramowania, HPE jest w stanie zapewnić jeden punkt kontaktu w przypadku pojawienia się problemów nie tylko związanych z infrastrukturą fizyczną, ale również systemami OS lub aplikacjami.

Wśród partnerów HPE można wymienić m.in. Microsoft, RedHat, VMware, AWS, SAP, Veem, Citrix, Docker, Kubernetes, Nvidia, OpenStack itd.