Контакты
Подписка 2025
Статьи по информационной безопасности

Нужна ли 100%-ная автоматизация в управлении конфигурациями?

Редакция журнала "Информационная безопасность", 10/06/25

Автоматизация управления конфигурациями давно рассматривается как способ снизить риски и упростить работу администраторов. Но в реальных условиях у каждой инфраструктуры — свои ограничения, риски и приоритеты. Где проходит граница между разумной автоматизацией и опасной самодеятельностью? 

ris1_w-Jun-10-2025-03-03-03-5781-PM


Эксперты:

  • Кирилл Евтушенко, генеральный директор ООО “Кауч"
  • Екатерина Едемская, инженер-аналитик, “Газинформсервис"
  • Леонид Клычев, менеджер по продукту, компания “ЛИНЗА"
  • Дмитрий Мажарцев, директор по безопасности Яндекс Браузера для организаций
  • Виталий Моргунов, руководитель управления развития технологий BI.ZONE EDR
  • Роман Овчинников, руководитель отдела внедрения Security Vision

Стоит ли стремиться к полной автоматизации в управлении конфигурациями?

Виталий Моргунов, BI.ZONE

Может показаться, что автоматизация приведения конфигурации инфраструктуры в безопасное состояние должна уменьшить объем работы и значительно ускорить процесс харденинга для администраторов систем, но это не всегда так. Как правило, некоторые конфигурации ОС и ПО являются критичными для работоспособности определенных механизмов и компонентов, а воздействие на них может привести к остановке служб или бизнес-процессов. В таких сценариях необходимо осторожнее подходить к процессам автоматизации харденинга конфигураций.

Екатерина Едемская, Газинформсервис

Стремление к полной автоматизации оправдано для рутинных задач, но требует баланса скорости и безопасности. Полностью автоматическое восстановление конфигураций допустимо для некритичных активов, однако в высоконагруженных или стратегически важных системах необходим человеческий контроль. Хорошим стандартом считается гибридный подход: автоматизация с возможностью ручного утверждения для нестандартных ситуаций, а также использование аудита для отслеживания изменений.

Роман Овчинников, Security Vision

Проблематика несанкционированной модификации конфигураций (Configuration Drift) действительно актуальна – случайные или намеренные изменения в результате недостаточно строгого процесса Change Management, при установке обновлений и администрировании приводят к уязвимостям и отклонениям от ожидаемого поведения систем. В больших инфраструктурах практически невозможно в ручном режиме контролировать конфигурации всех систем, поэтому наше решение Security Vision SPC оснащено возможностью автоматического приведения параметров активов к эталонным значениям (механизм Auto-Compliance). В идеальном случае уровень автоматизации должен стремиться к 100%, но на практике конфигурации самых критичных систем все же пока проверяются в ручном экспертном режиме.

Дмитрий Мажарцев, Яндекс Браузер

Выбор подхода зависит от регламентов, используемых в конкретной компании. Наша задача как разработчика – предоставить ровно такой формат решения, который подойдет заказчику.

Леонид Клычев, ЛИНЗА

Наше решение "Линза. Контроль конфигураций" позволяет найти недостатки в настройках ПО и выявить отклонения от стандартов безопасного конфигурирования. При этом явной потребности в автоматическом исправлении конфигураций мы не видим – напротив, у заказчиков есть желание контролировать это.

Видите ли вы сдвиг в сторону декларативных моделей управления, когда администратор описывает желаемое конечное состояние системы, а платформа сама применяет изменения для достижения этого состояния?

Екатерина Едемская, Газинформсервис

Да, переход к декларативным моделям управления – это заметный тренд, и он особенно актуален для сложных гетерогенных сред. Метод применим к серверам, рабочим станциям и сетевым устройствам, где важно обеспечить соответствие политикам безопасности. Однако для специфичных активов, например АСУ ТП, устаревших систем, устройств с ограниченной автоматизацией, могут потребоваться гибридные подходы, сочетающие декларативное управление с императивными корректировками.

Дмитрий Мажарцев, Яндекс Браузер

Сейчас мы скорее видим переход на концепцию Zero Trust, в рамках которой, по сути, управление осуществляется по принципу "все что явно не разрешено, запрещено". Это скорее можно считать императивной моделью управления.

Роман Овчинников, Security Vision

Решения Ansible, SaltStack, Terraform и др., реализующие декларативную модель управления гибридными инфраструктурами, уже активно применяются различными организациями, включая наших заказчиков. Наше решение Security Vision SPC (Security Profile Compliance) позволяет анализировать безопасность конфигураций и контролировать уровень защищенности различных ОС, СУБД, систем виртуализации, сетевого оборудования, прикладного ПО. Большинство указанных решений и систем поддерживают принципы декларативного управления.

Кирилл Евтушенко, Кауч

В отличие от высокотехнологичных компаний, обычно развивающихся вокруг разработки, где изначально внедрены инструменты оркестрации вроде Ansible или Puppet, а инфраструктура управляется по методологии DevOps, в крупных компаниях с разнородной инфраструктурой и разными командами, ответственными за отдельные слои ПО, подвижки к декларативной модели управления почти не наблюдаются. Здесь администраторы чаще полагаются на проверенные методы, гарантирующие стабильность и контроль, пусть даже с ручным вмешательством.
Темы:Круглый столУправление конфигурациямиЖурнал "Информационная безопасность" №2, 2025

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (июнь) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 17-18 июня →
Статьи по той же темеСтатьи по той же теме

  • Управление конфигурациями: как защититься до атаки
    Виталий Моргунов, руководитель управления развития технологий BI.ZONE EDR
    Гибкость конфигураций – преимущество, которое позволяет настроить инфраструктуру под конкретные нужды и эффективно решать бизнес-задачи. В то же время она может приводить к ошибкам, которыми пользуются злоумышленники. По данным сервиса BI.ZONE TDR, 66% хостов в российских компаниях имеют хотя бы одну опасную мисконфигурацию. Разберемся, как такие настройки приводят к атакам, и как подход BI.ZONE помогает заранее выявить и устранить ошибки.
  • Настройка дружбы ИБ и ИТ: внедряем стандарты безопасного конфигурирования
    Кирилл Евтушенко, генеральный директор ООО “Кауч”
    Для устранения уязвимостей в стороннем ПО чаще всего применяется установка обновлений от вендора, а для обеспечения безопасности собственного исходного кода используются практики SDLC. На рынке есть множество инструментов для решения этих задач, причем как для нужд ИБ, так и с учетом специфики ИТ. Постановка и достижение целей в этих процессах, несмотря на их сложность, выглядят вполне осуществимыми. В случае с уязвимостями, связанными с небезопасными настройками, процесс обычно останавливается тогда, когда из ИБ в ИТ-отдел попадает тысячестраничный отчет, полученный из сканера уязвимостей.
  • Как контроль конфигурации браузера помогает снизить ИБ-риски в корпоративной сети
    Дмитрий Мажарцев, директор по информационной безопасности Яндекс Браузера для организаций
    В современных организациях браузер превращается в одно из ключевых приложений – сотрудники решают в нем от 50% до 70% рабочих задач. Все чаще основное бизнес-ПО “переезжает” в веб.
  • Идеальный портфель сканеров: универсальность, специализация или баланс?
    Корпоративная ИТ-среда усложняется: в дополнение к традиционным системам пришли облака, контейнеры, IoT-устройства, АСУ ТП. Расширение периметра создает новые слепые зоны. Например, производственный сегмент сети часто содержит устаревшие системы, которые физически не вынесут бесконтрольного сканирования, но при этом невыявленные уязвимости в них несут критические риски. Есть те, кто пересматривает портфель сканеров и оставляет пару универсальных решений, другие же используют несколько узкоспециализированных. 
  • Сканер-ВС 7 Enterprise: анализ безопасности конфигурации никогда не был таким простым
    Александр Дорофеев, CISSP, CISA, CISM, АО “Эшелон Технологии”
    В новой версии Сканер-ВС 7 реализована функция углубленного анализа конфигураций и гибкого управления шаблонами аудита. Выпуск превью-версии состоялся в первой половине апреля 2025 г.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 17-18 июня →

More...
ТБ Форум 2025
18 июня | Форум ITSEC Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности