Редакция журнала "Информационная безопасность", 10/06/25
Автоматизация управления конфигурациями давно рассматривается как способ снизить риски и упростить работу администраторов. Но в реальных условиях у каждой инфраструктуры — свои ограничения, риски и приоритеты. Где проходит граница между разумной автоматизацией и опасной самодеятельностью?
Эксперты:
- Кирилл Евтушенко, генеральный директор ООО “Кауч"
- Екатерина Едемская, инженер-аналитик, “Газинформсервис"
- Леонид Клычев, менеджер по продукту, компания “ЛИНЗА"
- Дмитрий Мажарцев, директор по безопасности Яндекс Браузера для организаций
- Виталий Моргунов, руководитель управления развития технологий BI.ZONE EDR
- Роман Овчинников, руководитель отдела внедрения Security Vision
Стоит ли стремиться к полной автоматизации в управлении конфигурациями?
Виталий Моргунов, BI.ZONE
Может показаться, что автоматизация приведения конфигурации инфраструктуры в безопасное состояние должна уменьшить объем работы и значительно ускорить процесс харденинга для администраторов систем, но это не всегда так. Как правило, некоторые конфигурации ОС и ПО являются критичными для работоспособности определенных механизмов и компонентов, а воздействие на них может привести к остановке служб или бизнес-процессов. В таких сценариях необходимо осторожнее подходить к процессам автоматизации харденинга конфигураций.
Екатерина Едемская, Газинформсервис
Стремление к полной автоматизации оправдано для рутинных задач, но требует баланса скорости и безопасности. Полностью автоматическое восстановление конфигураций допустимо для некритичных активов, однако в высоконагруженных или стратегически важных системах необходим человеческий контроль. Хорошим стандартом считается гибридный подход: автоматизация с возможностью ручного утверждения для нестандартных ситуаций, а также использование аудита для отслеживания изменений.
Роман Овчинников, Security Vision
Проблематика несанкционированной модификации конфигураций (Configuration Drift) действительно актуальна – случайные или намеренные изменения в результате недостаточно строгого процесса Change Management, при установке обновлений и администрировании приводят к уязвимостям и отклонениям от ожидаемого поведения систем. В больших инфраструктурах практически невозможно в ручном режиме контролировать конфигурации всех систем, поэтому наше решение Security Vision SPC оснащено возможностью автоматического приведения параметров активов к эталонным значениям (механизм Auto-Compliance). В идеальном случае уровень автоматизации должен стремиться к 100%, но на практике конфигурации самых критичных систем все же пока проверяются в ручном экспертном режиме.
Дмитрий Мажарцев, Яндекс Браузер
Выбор подхода зависит от регламентов, используемых в конкретной компании. Наша задача как разработчика – предоставить ровно такой формат решения, который подойдет заказчику.
Леонид Клычев, ЛИНЗА
Наше решение "Линза. Контроль конфигураций" позволяет найти недостатки в настройках ПО и выявить отклонения от стандартов безопасного конфигурирования. При этом явной потребности в автоматическом исправлении конфигураций мы не видим – напротив, у заказчиков есть желание контролировать это.
Видите ли вы сдвиг в сторону декларативных моделей управления, когда администратор описывает желаемое конечное состояние системы, а платформа сама применяет изменения для достижения этого состояния?
Екатерина Едемская, Газинформсервис
Да, переход к декларативным моделям управления – это заметный тренд, и он особенно актуален для сложных гетерогенных сред. Метод применим к серверам, рабочим станциям и сетевым устройствам, где важно обеспечить соответствие политикам безопасности. Однако для специфичных активов, например АСУ ТП, устаревших систем, устройств с ограниченной автоматизацией, могут потребоваться гибридные подходы, сочетающие декларативное управление с императивными корректировками.
Дмитрий Мажарцев, Яндекс Браузер
Сейчас мы скорее видим переход на концепцию Zero Trust, в рамках которой, по сути, управление осуществляется по принципу "все что явно не разрешено, запрещено". Это скорее можно считать императивной моделью управления.
Роман Овчинников, Security Vision
Решения Ansible, SaltStack, Terraform и др., реализующие декларативную модель управления гибридными инфраструктурами, уже активно применяются различными организациями, включая наших заказчиков. Наше решение Security Vision SPC (Security Profile Compliance) позволяет анализировать безопасность конфигураций и контролировать уровень защищенности различных ОС, СУБД, систем виртуализации, сетевого оборудования, прикладного ПО. Большинство указанных решений и систем поддерживают принципы декларативного управления.
Кирилл Евтушенко, Кауч
В отличие от высокотехнологичных компаний, обычно развивающихся вокруг разработки, где изначально внедрены инструменты оркестрации вроде Ansible или Puppet, а инфраструктура управляется по методологии DevOps, в крупных компаниях с разнородной инфраструктурой и разными командами, ответственными за отдельные слои ПО, подвижки к декларативной модели управления почти не наблюдаются. Здесь администраторы чаще полагаются на проверенные методы, гарантирующие стабильность и контроль, пусть даже с ручным вмешательством.
