Vánoce - čas pro vyřešení restů

Díky přechodnému období klidu je možné zpracovat dokumentaci i vyhodnocovat nové technologie. Uzávěrka na konci ...


Díky přechodnému období klidu je možné zpracovat dokumentaci i vyhodnocovat
nové technologie.


Uzávěrka na konci roku v mé společnosti vždy znamená, že lze očekávat pomalý
týden, neboť nemůžeme provádět žádné změny v našem produkčním prostředí. Když
nastane situace, jako je tato, a mám nějaký ten čas navíc, rád ho trávím
doháněním restů v přípravě dokumentace a posuzováním nové technologie - a to,
když se chýlilo ke konci poslední čtvrtletí roku, jsem také učinil.
Jak jsme se už zmínili v předchozích příspěvcích, hromadné nasazení SecurID
tokenů firmy RSA Security je klíčovým projektem, který se dotýká tisíců
uživatelů. Selhání je nepřijatelné. A definice selhání by mohla zahrnovat i
takové nasazení, jež vyvolá tisíce telefonátů na podporu v našem helpdesku. Aby
k tomu nedošlo, jsou součástí naší zaváděcí strategie také dokumentace a
školení.
Naštěstí jsem si mohl ušetřit několik fází tím, že jsem získal materiály od
člověka z jiného oddělení, který už vytvořil elaborát o dvoufaktorové
autentizaci, jež by eventuálně mohl být dán k dispozici všem. Pokud totiž
začneme včas zvedat povědomí o novince a vložíme do hlav zaměstnanců alespoň
něco z nové hantýrky týkající se tohoto projektu, bude mít zavádění do provozu
větší naději na úspěch.
V podstatě jde o tři pojmy, s nimiž by měli být uživatelé dobře obeznámeni. Tím
prvním je kód tokenu, který se vztahuje k číslu zobrazeném na tokenu. Dalším je
PIN, osobní identifikační číslo, jež si každý uživatel nadefinuje a bude
používat jako heslo. Třetím výrazem je vstupní kód, který je tvořen pomocí
kombinace PIN a kódu tokenu.
Tyto tři termíny jsou obvyklou příčinou volání na podporu při zprovoznění
SecureID a my chceme vyjasnit zmatky předem, aby pak uživatelé helpdesk
nezablokovali. Stejně tak doufáme, že část telefonátů na podporu omezíme tím,
že nalezneme způsob, jak nasadit softwarové tokeny bez toho, aby museli
uživatelé dělat cokoliv jiného, než jenom nastavit svá PIN. Pilně na tom
pracujeme a o našich pokrocích vás budu informovat.

Strategie pro WAP
V stejné době jsem měl možnost mluvit i s lidmi ze společnosti AirDefense,
která vyrábí zařízení pro detekci problematických bezdrátových přístupových
bodů (WAP, wireless access point). Produkt této firmy je možné integrovat s
přístupovými body Cisco, které jsme u nás hromadně nasadili. Jednu z těchto
novinek jsem obdržel k posouzení. Povedlo se mi senzor umístit do racku,
zapojit do zásuvky a během příštího týdne chci začít s jeho testováním. Navíc
jsem od firmy Cisco dostal několik přístupových bodů, které nakonfiguruji jako
senzory.
AirDefense prohlašuje, že když senzory od Cisca identifikují přístupový bod,
jeho zařízení je schopno určit, patří-li do naší sítě.
Mám v plánu nasadit několik levných přístupových bodů, jež jsem si vzal z
našeho firemního skladu. Představuji si totiž, že zaměstnanci, kteří zřizují
neautorizované přístupové body, budou pravděpodobně nakupovat hardware v
maloobchodních prodejnách, než aby utráceli několik stovek dolarů za přístupový
bod třeba od Cisca. Nakonec jsem sehnal šest různých bezdrátových přístupových
bodů/routerů. Čtyři z nich umístím na rozličných místech do naší sítě a jeden
na externí DSL (Digital Subscriber Line) linku, kterou využíváme pro řešení
problémů s externím přístupem. Zbylý přístupový bod jenom zapnu, avšak do žádné
sítě jej připojovat nebudu.
Technologie AirDefense by mohla být významnou součástí v naší strategii pro
detekci ilegálních bezdrátových přístupových bodů. Nemůže spoléhat jen na
skenování sítě nebo zachycení MAC (media access control) adres z našich
přepínačů. Tyto metody jsou v naší celkové strategii také velmi důležité, pokud
se ale zařízení AirDefense osvědčí, budeme disponovat robustním přístupem pro
odhalování neautorizovaných přístupových bodů v naší síti. I o tomto vás budu
nadále informovat.

Důsledky růstu
Vynucený prostoj na konci čtvrtletí mi dovolil uvažovat o důsledcích toho, že
naše firma roste mílovými kroky. V několika letech přibylo několik tisíc
uživatelů a miliony dolarů padly za servery a další části infrastruktury. Mé
oddělení realizovalo zavedení řady technologií, jako je dvoufaktorová
autentizace nebo software společnosti Tripwire pro detekci a prevenci proti
narušení (Intrusion Detection/Prevention System), a nyní vybíráme software pro
správu identit.
Současně se také připravujeme na zavedení šifrování disků a pokračujeme v
provádění hodnocení slabin na úrovni sítě, hostitelů a aplikací. Moji lidé jsou
přítomni na téměř každém jednání týkajícím se architektury, kontroly změn a
přijímání projektů. Stejně tak stanovujeme vnitrofiremní bezpečnostní politiky,
procedury či směrnice a jsme zodpovědní za péči o celou bezpečnostní
infrastrukturu. Mé oddělení je samo odpovědné za všechno od administrace našich
autentizačních systémů až po řešení a odstraňování problémů. Jsme zkrátka
zahlceni prací.
Neustále dávám našemu managementu na vědomí, jaké je naše pracovní zatížení, a
požaduji další rozšíření mého týmu, avšak setkal jsem se zatím jen s nevolí, a
to především kvůli rozpočtovým omezením. Ve velkých společnostech je docela
běžným standardem mít v oddělení informační bezpečnosti jednoho inženýra na
každých tisíc zaměstnanců. Já mám sedm inženýrů, kteří zajišťují bezpečnost
více než 8 tisíc zaměstnanců, takže jsme vlastně o jednoho inženýra pod
standardem.
Úleva snad přijde ve formě čtyř provozních zaměstnanců v datovém centru, kteří
převezmou bezpečnostní analýzu. Jestliže bude přesun patřičně proveden, mohl by
zmírnit každodenní břemeno, které nyní nese na ramenou personál informační
bezpečnosti, právě tím, že odsune část provozní a analytické práce na
bezpečnostní obsluhu. To by nám dovolilo soustředit se na povinnosti týkající
se rozhodování o bezpečnostních otázkách: na architekturu, řízení, nové a
objevující se technologie, prosazování politik atd.
Tento plán je stále ještě v plenkách, ale jsem si jistý, že proběhne spousta
diskusí ohledně rámcových povinností a zodpovědnosti s tím, jak bude toto úsilí
postupovat kupředu.

Nutná dokumentace
Zbytek týdne strávím dokumentováním různých aspektů naší nové implementace RSA
SecureID. Dokončím provozní knihy pro aplikaci RSA Web Express, již jsme
nasadili jako podporu při implementaci tokenů SecureID. Naše IT oddělení
používá provozní knihy pro uchování informací potřebných pro běžnou každodenní
údržbu a pro reakce na mimořádné události jako výpadky a výkonové problémy.
Provozní knihy typicky obsahují informace týkající se hardwaru, softwaru,
aplikací, závislostí, styčných míst, záloh atd. Rovněž jsem sepsal
administrátorskou příručku, uživatelskou příručku, rychlou referenční příručku
respektive seznam fíglů. Je vždycky dobré poskytnout více formátů uživatelům a
administrátorům, kteří chtějí znát pouze postup a nezajímají je obrázky či
další detaily.
Toto je důležité, protože dobře zpracovaná dokumentace zabrání záplavě volání
na pracoviště podpory. Vždy preferuji řešení běžných problémů prostřednictvím
hromadné komunikace, než nucení uživatele telefonovat. Normálně bych měl k
dispozici technického autora, ale naše zdroje jsou momentálně napjaté, takže
vytváříme dokumentaci sami a necháváme ji kolovat po našem oddělení pro ověření
čtivosti a kvality.










Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.