Jsem znovu za padoucha. Projektový tým projevil zájem o mé vyjádření, když měl být realizován velký projekt virtualizace serverů. Nechci nic schválovat bez řádného posudku, takže jsem jim řekl, že na to budu potřebovat dva týdny. IT kolegové z toho samozřejmě nadšeni nebyli. Upozorňoval jsem na to však každého již dříve. Ať počítají se zabezpečením již od začátku projektu, nebo se smíří se zpožděním těsně před jeho zahájením.
Protože mi bylo jasné, že takováto upozornění (i když mnohokrát opakovaná) nestačí, prosadil jsem před několika měsíci integraci zabezpečení do procesu řízení životního cyklu projektu. Máme již nový on-line nástroj pro řízení projektů, který zajišťuje, že u každého projektu dojde k řádnému dokončení všech postupných kroků. Bohužel několika již zpracovávaným projektům byla udělena výjimka, a ty tak nebyly sledovány on-line. Jedním z nich byla i zmíněná virtualizace serverů.
Je to obrovský projekt, který zahrnuje přerod cca 250 důležitých serverů. Možná si říkáte, že jsem o tom něco musel vědět již dříve. Připište tuto mezeru na vrub efektivity a kompetencí. Navzdory velikosti projektu se totiž uskutečnilo pouze velmi málo porad. Bylo to způsobeno tím, že IT oddělení před jedním a půl rokem provádělo zkušební provoz a virtualizovalo jen pár serverů. Probíhalo to dobře, takže tým byl schopen tuto ranou zkušenost použít při virtualizaci velkého rozsahu.
Mám tedy své dva týdny. Přesto v tuto chvíli nemám na výběr a budu muset zanedbat několik oblastí. Jedním problémem je ta skutečnost, že přechod do virtuálního prostředí zahrnuje vytvoření bitové kopie každého serveru. To vylučuje hromadně zvýšit zabezpečení. Mnoho našich serverů se systémem Windows totiž nemá nainstalovány aktuální opravy a instalace oprav bez předchozího otestování tak přímo znamená přivolávání potíží.
Metoda přenosu bitové kopie nás tak obírá o šanci problém řešit. Jakmile budou tyto virtuální servery opět v provozu, bude instalace oprav stejně obtížná jako u starých fyzických serverů. Další příležitost jsme ztratili, když jsme nevyužili přechodu k virtualizaci k řádné segmentaci naší sítě, která má nyní plochou strukturu. K řešení takového problému nebývá mnoho příležitostí. Obávám se ale, že nyní namísto zlepšení situace umožní přenesení našich serverů do nového prostředí nové druhy útoků.
O těchto tématech se dalo diskutovat, jestliže by mne o spolupráci příslušní lidé požádali dříve. Počet projektů s udělenými výjimkami se naštěstí zmenšuje a časem bude vše sledováno v režimu on-line. Protože současně zajišťuji, aby naše nedávno převzaté organizace splňovaly naše požadavky zabezpečení, nemám kdy posudek provést. Stejně tak nejsem expert pro zabezpečení platformy VMware a nemám čas se jím stát. Když je plánována významná změna infrastruktury, je asi nejlepší požádat nezaujatou třetí stranu o vytvoření objektivního pohledu.
Povolání experta
S tímto vším na zřeteli jsem zavolal konzultantovi. Každý manažer zabezpečení by měl mít možnost se kdykoli obrátit na několik lidí, kterým důvěřuje a kteří mají odborné znalosti z určitých hlavních oblastí. Během nedávného posudku při našich akvizicích tento konzultant provedl zevrubný posudek virtualizační infrastruktury kupované společnosti.
Informoval jsem ho o rozsahu posudku a on si připravil osnovu práce. Během týdne byl u nás, řídil porady, získal přístup k různým částem infrastruktury a provedl testy tak, aby mi poskytl užitečný report. Jeho zprávu očekávám zanedlouho.