Archive | November 2012

Будьте бдительны!

Время  Рождественских и Новогодних праздников – это приятное время, время подарков. В этот период количество онлайн заказов и покупок стремительно возрастает. В этом нет ничего удивительного – все люди стремятся подготовить подарки для своих близких.

Лидер индустрии защиты информации – компания McAfee напоминает пользователям о некоторых правилах безопасного онлайн шопинга:

  • Не совершайте покупки на сайте, которому Вы не доверяете;
  • Прежде чем заполнять любые формы, где требуется указать Ваши персональные данные – проверьте адресную строку, убедитесь в том, что Вы находитесь именно на том сайте, где собирались совершить покупку;
  • Убедитесь, что адрес сайта начинается с префикса https:// вместо http:// , это означает, что используется защищенное соединение;
  • При осуществлении заказов избегайте использования публичных компьютеров, ровно, как и публичных (незащищенных) точек доступа Wi-Fi;
  • Используйте стойкие пароли – комбинации из букв, цифр и спецсимволов;
  • Создайте отдельный электронный ящик, который будет использоваться только для онлайн покупок;
  • Внимательно проверяйте все платежные документы, строго контролируйте совершаемые Вами финансовые операции.

Следуя этим правилам, Вы сможете защитить свою личную информацию и сохранить праздничную атмосферу. Помните о том, что данные правила не отменяют необходимости наличия надежной антивирусной защиты на Вашем компьютере.

mcafee_holiday_https

Advertisements

«Разделяй и властвуй» или три рецепта по использованию VLANов

Одним из нововведений недавно вышедшей новой версии Kerio Control 7.4 является поддержка VLAN. Данная технология позволяет выполнить сегментацию сети на логическом уровне, не прибегая к кардинальным изменениям в оборудовании.

Как правило, администраторам сетей приходиться сталкиваться с решением типичного перечня задач, а именно:

  • обеспечение защиты информации;
  • оптимизация каналов для передачи больших объемов информации;
  • поддержка личных устройств пользователей, которые рано или поздно становятся узлами локальной сети, а значит и частью инфраструктуры предприятия.

Давайте рассмотрим, какую выгоду можно извлечь от задействования VLAN`ов.

Сценарий первый: Разделяя данные

Технология VLAN изначально проектировалась для обеспечения QoS путем уменьшения широковещательного (broadcast) трафика. Освободившуюся пропускную способность канала рациональнее использовать для нужд корпоративных служб и приложений.

В качестве примера возьмем VoIP трафик, доля которого постоянно возрастает за счет спроса на IP телефонию со стороны SMB.

Хорошим решением будет вынос всего VoIP оборудования в отдельный VLAN. Такой подход позволит улучшить производительность передачи голосовых пакетов. В результате мы получим улучшение качества звука, а также предотвратим возможные перебои связи.   

Сценарий второй: Разделяя пользователей

Безопасность и разграничение сетевого доступа являются нетривиальными, важными задачами. Порой физически разграничить пользователей не представляется возможным в виду ограничений, накладываемых размерами офисов SMB компаний.

Использование VLAN`ов позволяет разделить сетевой трафик пользователей, который могут находиться друг напротив друга.   Количество отдельных подсетей будет зависеть лишь от организации бизнес-процессов да фантазии ИТ-персонала.

Как правило, в целях безопасности сеть компании разделяют по отделам: отдельный VLAN для бухгалтерии, отдельный VLAN для маркетинга и т.д. Можно поступить и по-другому – выделить отдельный VLAN для систем, которые обрабатывают конфиденциальные данные.

Сценарий третий: Разделяя пользователей и данные

В некоторых случаях лучшим решением будет разделение, как пользователей, так и данных. С такой задачей чаще всего сталкиваются компании, которые имеют в составе своей сети «гостевые» точки доступа Wi-Fi. Отделить трафик важного гостя, который общается в соц. сети со своего персонального iPad, от трафика бизнес-приложений – это разумное желание, не только из соображений безопасности, но также ради лучшей производительности сети для нужд бизнеса.

Лучшей практикой в таком случае будет разделение сети на два сегмента – гостевой (внешний) и частный (внутренний). Это можно реализовать с помощью KerioControl (который будет выступать в роли VLANswitch) и двух беспроводных точек доступа. Каждая точка доступа подключается к отдельному VLAN`у. Таким образом, за счет разделения трафика между «внешним» и «внутренним» VLAN`ом, у нас появляется возможность применять разные политики к пользователям сети, в зависимости от принадлежности к конкретному VLAN`у. И поскольку это разные VLAN`ы – устройства гостей не будут иметь доступа к корпоративной сети, а значит будет в безопасности активов любого бизнеса – конфиденциальная информация.

По материалам: http://www.informationweek.com/smb/network/3-virtual-lan-tips-for-smbs/240115335

Пара слов о DataCore

Несомненно, виртуализация является одним из основных трендов развития ИТ инфраструктуры современных успешных компаний. Опытные пользователи виртуализации наверняка знают, что  наряду с очевидными преимуществами, такими как: оптимизация использования аппаратных ресурсов, сокращение издержек и повышение эффективности бизнеса, использование виртуализации также связанно с дополнительными рисками и т.н. «узкими местами».

Компания DataCore представляет третье измерение виртуализации – виртуализация систем хранения данных, которое является эффективным инструментом для устранения “узких мест” при использовании СХД для нужд виртуализации и не только.

Основным  преимуществом  использования  виртуализации  СХД  с
помощью  решения  DataCore  SANsymphony-V    является  свобода  выбора
оборудования,  на  котором  будет  строиться  виртуализированное  СХД.  По
сути,  все,  что  необходимо  для  построения  отказоустойчивой  СХД  –  это  два
физических или виртуализированных сервера под управлением ОС Windows
Server  2008  R2  SP1,  на  которых  будет  установлено  ПО  DataCore.
SANSymphony-V может использовать в качестве «сырья» для создания пулов
виртуальных  жестких  дисков  любые  типы  накопителей  и  их  массивы,  это
могут  быть  внутренние  накопители  самого  сервера  (SSD,  SAS,  SATA),  это
может быть СХД (который подключен к серверу DataCore по iSCSI либо FC),
произведенная  Dell,  IBM  или  HP  –  для  DataCore  не  важен  вендор  и  тип,
главное условие – чтобы устройство хранения определялось ОС, на которой
запущен  SANsymphony-V.  Таким  образом,  заказчик  может  компоновать
различные  системы  хранения  (как  унаследованные,  так  и
вновьприобретенные).

Пример – сегодня вы используете пару СХД от известного вендора,
через  несколько  лет  суммарный  объем  обрабатываемых  данных
возрастает, Вы обращаетесь к вендору с просьбой нарастить количество
дисков  в  СХД  либо  приобрести  еще  одну-две  таких  же…  Производитель
предлагает  Вам  уже  новую  модель,  с  большей  емкостью  и  …  возросшей
ценой.  

DataCore дает Вам возможность наращивать емкость СХД, комбинируя
оборудование  различных  производителей,  позволяя  выбирать  накопители
исходя  из  требований  Вашей  системы,  а  не  требований,  навязанных  Вам
производителем.  Очевидно,  что  такой  подход  резко  снижает  издержки  и
упрощает масштабирование виртуализированной СХД.

Вторым  наиболее  важным  преимуществом  SANsymphony-V  является
повышение  производительности  дисковых  операций,  что  позволяет
нивелировать  различия  в  производительности  различных  массивов
накопителей.  Таким  образом,  при  внедрении  виртуализации  СХД,  заказчик
получает  не падение  производительности,  а  наоборот  ускорение  доступа  к
данным. За счет чего это происходит? Решение DataCore может использовать
оперативную  память  серверов,  на  которых  развернут  SANsymphony-V  в
качестве высокопроизводительного кэша для дисковых операций. Поскольку
скорость  доступа  к  данным  оперативной  памяти  несоизмеримо  выше
скорости  контроллеров  жестких  дисков,  мы  получаем  увеличение
производительности.

Вашей  СХД  нужно  больше  IOPS?  Просто  нарастите  количество
оперативной  памяти  на  серверах  DataCore.  SANSymphony-V  может
использовать  под  кэш  до  1ТБ  ОЗУ  (при  условии  использования
соответствующей редакции Windows Server 2008R2).

Отказоустойчивость  и  высокая  доступность  виртуализированного  СХД
достигается  за  счет  синхронного  зеркалирования  всех  дисковых  операций
между серверами DataCore. Типичная архитектура изображена ниже:

Немного  подробнее  о  том,  как  работает  зеркалирование.  Ниже
приведена  схема  из  двух  узлов-серверов  DataCore,  клиентом  может
выступать  приложение  или  служба  виртуальной  машины,  которой
предоставлен  виртуальный  жесткий  диск.  Оба  узла  в  схеме  являются
одновременно активным, т.к. клиент вправе получить данные как с одного
узла,  так  и  со  второго.  В  штатном  режиме  клиент  выполняет  все  дисковые
запросы  по  основному  маршруту  (к  одному  из  узлов),  второй  узел
находиться в ожидании и воспринимает измененные данные.
Когда клиент инициирует дисковый запрос, он обрабатывается первым
узлом,  однако  операция  считается  завершенной  только  после  того  как
произойдет  синхронизация  –  т.е.  измененные  блоки  данных  осядут  в  кэше
обоих  узлов,  таким  образом  на  каждом  узле  поддерживается  «зеркало»
информации.

За счет чего обеспечивается высокая доступность?
При сбое одного из узлов или его плановой остановки (для проведения
профилактических  мероприятий  или  наращивания  емкостей  СХД),
приложения  и  службы,  запущенные  на  виртуальных  машинах,  не  теряют
связи  с  виртуальными  жесткими  дисками,  потому  что  их  запрос  тут  же
переключается  по  средством  MPIO  на  второй  узел  (который  хранит  в  себе
актуальную  копию  данных),  таким  образом  не  возникает  простоя,
вызванного  крахом  приложений  и  необходимостью  перезапускать виртуальные  машины.  Схема  переключения  при  недоступности  основного
маршрута изображена ниже:

При  обнаружении  факта  сбоя  одного  из  узлов,  второй  немедленно
отключает  кэширование  записи,  сбрасывает  данные  из  кэша  на  диск,
перенимает  на  себя  все  дисковые  запросы  и  активирует  режим  ведения
логов  операций  ввода/вывода.  Данный  лог  будет  использован  для
восстановления  синхронизации  после  того,  как  вышедший  из  строя  узел
вновь вернется в строй.

Кроме описанных выше функций, SANsymphony-V обладает рядом возможностей, таких как:

  • Удаленная асинхронная репликация данных;
  • Auto-Tiering (перераспределение данных в зависимости от частоты обращения к ним);
  • ThinProvisioning (динамическое выделение дискового пространства для ВМ);
  • CDP (48-часовое окно для восстановления данных).
  • а также многое другое…

Пожалуй, в завершении статьи, стоит подробнее рассказать о технологии CDP.

Что такое CDP? Это лог (журнал) всех дисковых операций, которые совершались клиентами (приложения/службы, запущенные на виртуальных машинах, которым предоставлен доступ к виртуальным дискам из пула сервера DataCore). Ширина “окна” CDP – 48 часов. Перемещаясь по журналу в пределах последних 48 часов можно откатить состояние файловой системы того виртуального диска, для которого была активирована функция CDP. При восстановлении можно откатываться на любую точку времени, вплоть до секунд. Операцию восстановления можно повторять неоднократно, для того чтобы “поймать” нужный момент. При восстановлении создается т.н. rollback виртуальный диск, который можно предоставить виртуальной машине. При этом, процесс восстановления не затрагивает текущую работу клиентов с исходным виртуальным диском, т.е. доступ служб и приложений не прекращается. CDP можно использовать как для гранулированного восстановления отдельных файлов/каталогов, так и для полного восстановления виртуального диска.

Ниже приведен слайд, который наглядно демонстрирует преимущество CDP перед обычными резервными копиями:

Пояснения:

Единичный бэкап можно сравнить с подушкой безопасности, которая сработает лишь один раз. При этом, восстановиться можно только на дату создания бэкапа.

Цепочку бэкапов можно сравнить с серией фотоснимков – при сбое приходиться подбирать “ближайший” снимок, часть информации будет утеряна.

CDP можно сравнить с кинолентой, которую можно отмотать на любой кадр.

Таким образом, использование CDP позволяет, с одной стороны, свести риск потери данных к “0”, а с другой – обеспечить непрерывность обработки данных даже в случае задействования механизма восстановления информации.

На этом пока все. Следите за обновлениями.

Вышла новая версия Kerio Control 7.4

Новые возможности на страже корпоративной сети.

30.10.2012 г. компания Kerio Technologies, признанный лидер в разработке решений для безопасных бизнес-коммуникаций, сообщила о выходе новой версии флагманского продукта – UTM Kerio Control 7.4.

Kerio Control – высокотехнологичное, комплексное решение, которое предоставляет функции контроля сетевого трафика, управления пользовательским доступом к ресурсам сети Интернет. Продукт позволяет обеспечить безопасность корпоративной сети, приоритезацию сетевого трафика, защищенный доступ к внутрисетевым ресурсам по средствам встроенного VPN сервера, а также многое другое. Kerio Control представляет собой программное обеспечение, которое может быть развернуто как под управлением ОС семейства Windows, так и на «голом» железе либо в виртуальной среде (Appliance на базе ОС Linux).

Новая версия содержит несколько серьезных изменений. Часть из них реализована по запросу пользователей, другая часть – в стремлении адаптировать решение под меняющиеся требования бизнеса, с учетом современных тенденций развития компьютерных сетей.

Благодаря длительному периоду бета-тестирования (напомним, что о выходе бета-версии мы сообщали ранее, 26 июня) разработчик позаботился о стабильности и надежности функционирования, как новых возможностей, так и решения в целом.

В первую очередь хотелось бы упомянуть реализацию поддержки VLAN (802.1Q) для Appliance дистрибутивов. Данную возможность по достоинству оценят ИТ специалисты, перед которыми стоит задача защиты гетерогенных, виртуализированных сред. Поддержка VLAN помимо упрощения интеграции Kerio Control в сети с различными топологиями, позволяет с одной стороны существенно усилить безопасность, за счет сегментирования сети, а с другой – повысить производительность за счет ограничения широковещательного тафика между отдельными сегментами.

С новой версией стал доступен отдельный Appliance для MicrosoftHyperV. Таким образом, разработчик позаботился об упрощении интеграции Kerio Control в Microsoft-ориентированную среду. Этот дистрибутив – идеальное решение для ИТ специалистов, которые оценили преимущества Appliance версии продукта. Hyper-V Virtual Appliance позволяет ИТ специалистам осуществить миграцию Kerio Control с Windows систем в виртуальную среду  для получения большей стабильности работы и упрощения сопровождения.

Изменения также коснулись модуля фильтрации web-контента. Количество категорий системы WebFilter было увеличено (141 категория), что позволяет более гибко ограничивать доступ к страницам с нежелательным контентом. У пользователей появилась возможность сообщать администратору о неверной категоризации страниц. Появилась возможность фильтрации HTTPSтрафика, которая позволяет усилить контроль за действиями пользователей в сети и избежать ситуаций, когда пользователи используют шифрованный протокол для просмотра запрещенных страниц.

Переработке подверглась также система сбора статистики и формирования отчетов – KerioSTaR    . В новой версии стали возможными создание и отправка регулярных отчетов как администратору (общий отчет либо по конкретным пользователям), так и отдельным пользователям.

Небольшие изменения коснулись также интерфейса консоли администрирования – была добавлена панель отображения состояния системы, что упростило мониторинг.

В соответствии со стремлениями разработчика построить единую платформу на базе решений Kerio, в новую версию UTM была добавлена поддержка аутентификации пользователей посредством Kerio Directory (которая сейчас находиться в стадии активного бета тестирования). Данная возможность позволяет получить единую точку входа, упростить сопровождение решений Kerio и повысить степень их интеграции между собой.

Желающие могут ознакомиться с полным перечнем изменений и загрузить дистрибутив Kerio Control.