2016-09-20

Har du styr på din infrastruktur? - part 1

Er vores infrastruktur sikkert? Er det robust overfor fejl og nedbrud? Laver vi løbende review af eksisterende setup og laver løbende tilpasninger, eller kører det efter devisen ”if it ain’t broken don’t fix it”? Har vi overhovedet et overblik over hele setup?

Dette er blot nogle af de spørgsmål man med fordel kunne stille sig selv og hvis man svarer nej til nogle af dem, så burde man på det kraftigste overveje at gøre noget ved det. Aldrig har der været flere trusler mod ens infrastruktur og klienter end der er for tiden. Oftere og oftere bliver både store og små virksomheder ramt af hackere/crackere, social-engineering, ransomware, denial of service, trojanere, virus, tyveri, interne trusler, industrispionage osv. 

I denne blog vil jeg belyse nogle af de områder man med fordel kan kigge på. Listen er ikke udtømmende, men skal ses som inspiration til hvilke ting man burde overveje at implementere. Det kan godt virke uoverskueligt at skulle implementere alle punkterne, men med en forholdsvis begrænset indsats kan man komme langt. De større omlægninger kan så lægges ind i en handlingsplan. Samtidig behøver det heller ikke koste en formue at sikre sit netværk. Man kan komme langt med få midler. Det er også vigtigt at pointere, at det ikke kun er store virksomheder med egne infrastrukturfolk som burde gennemgå deres infrastruktur. Det er mindst lige så vigtigt for små- og mellemstore virksomheder. Flere undersøgelser og statistikker peger på, at mange trusler netop lægger deres fokus på mindre virksomheder da der er større chancer for succes (eksternt link).

Inden vi kigger på selve indsatsområderne er det også vigtigt at man får vurderet hvor kritisk ens infrastruktur er. Med andre ord, hvad koster det virksomheden hvis man er nede i en periode? Hvor længe kan man tåle at være nede inden det giver decideret tabt på indtjening? Hvad med ens omdømme blandt kunder og samarbejdspartnere? Hvor kritisk er det hvis man mister nogle, eller worst case, alle ens data ved et virus- eller ransomware angreb? Hvad med industrispionage eller tab af proprietære produkter og udviklingsdata? Hvor kritisk er det hvis disse mistes til en konkurrent?

Alt efter hvor kritisk ovenstående er for ens virksomhed, des større fokus skal man lægge i at sikre oppetid og data. Desuden skal man være bevidst om at ens infrastruktur ikke er en statisk størrelse. Der vil hele tiden ske ændringer til infrastrukturen, f.eks. at der kommer nye enheder til, nyt software, enheder der er forældede, bugs i software, oprydning i firewall efter nedtagne enheder osv. Så man skal være villig til løbende at holde styr på ens infrastruktur, enten ved selv at gøre det (helst så automatiseret som muligt) eller få eksterne specialister til at gøre det.



Logning

Dette er en af de basale punkter men som meget ofte bliver ignoreret selv om det er forholdsvis billigt at sætte op (software er ofte gratis og ingen horrible krav til serveren). Det anbefales at der oprettes en logserver som opsamler log fra alt udstyr på ens netværk. En syslog server er til stor hjælp når man skal finde ud af hvad der er sket på ens infrastruktur, især i fejlfindingsøjemed eller hvis man f.eks. vil se hvilken admin der har lavet hvilke ændringer.



Problemet med logning er oftest at man ender op med en masse data som ingen kigger i med mindre der er et specifikt problem. Data anvendes på bagkant hvor man med fordel også kunne anvende data proaktivt. Der er dog ingen administrator der kan overskue alle disse data manuelt, så i dette tilfælde kan man med fordel sætte et system op som kan visualisere alle data i overskuelige dashboards, advare hvis bestemte grænseværdier overskrides, lave rapporter og trends og meget mere. Der findes mange forskellige produkter som kan hjælpe med dette. Personligt er jeg meget imponeret af Splunk, som virkelig er et fantastisk produkt (disclaimer: grunden til jeg nævner Splunk er fordi det er det produkt jeg har mest erfaring med og personligt synes er bedst, men læserne skal alligevel vide at Netic er Splunk partner og der findes alternative produkter som har nogle af de samme features).  Man har mulighed for at søge i alle logdata på tværs af systemer og dermed lettere finde sammenhænge. Det er også meget nemmere at se udviklinger i trends samt afvigelser fra det normale. En af fordelene ved Splunk er, at man ikke er begrænset af logformat og dermed kan importere, behandle data, lave udtræk etc. uden nogen form for konvertering. Så hvis udstyret kan sende logs så kan Splunk behandle det.

Lad mig vise nogle få eksempler fra min egen ”afdeling”. For at blive advaret om unormal trafik på en af vores firewalls, så har vi nogle ”live-dashboards”. Disse er eksempler på nogle dashboards som kan give en ”heads-up” i tilfælde unormalt antal firewall denies eller tilladte forbindelser og som måske skyldes et angreb, DDoS, virus eller lign. Det er næsten kun fantasien som sætter grænser for hvilke data man ønsker at vise. Fælles for dem alle er dog at de giver et live billede af de områder man vurderer er vigtige for virksomheden.







Backup

Et andet område som ofte bliver overset er backup. Det er selvfølgelig uhyre vigtigt at have backup af ens data, samt ikke mindst at lave en restore test jævnligt. Jeg kan nævne et eksempel fra den virkelige verden, hvor jeg blev kaldt ud til et firma som havde et nedbrud på deres database server. Der var tale om en stand-alone server uden nogen form for disk-redundans, og hvor det var harddisken som var defekt. Hvad værre var, så viste det sig at deres backup, som de troligt tog hver dag, ikke indeholdt deres data. Det som de tog backup af var database installationsfilerne og ikke selve data som lå på en anden partition på samme fysiske harddisk. Dermed var alle deres oplysninger om varebeholdning, kunder, ordrer, manglende betalinger fra kunder etc. tabt (disk blev sendt til professionelt recovery firma uden held). Hvis dette firma havde lavet restore test med jævne mellemrum, så var dette blevet opdaget i tide.

Det er dog ikke kun virksomhedens data man skal huske at tage backup af. Det er også vigtigt at tage backup af diverse udstyrs konfigurationer, som f.eks. routere, switche og firewalls. Det hjælper ikke meget at udskifte ens defekte firewall med en anden hvis man ikke har en backup af konfigurationen og skal starte helt forfra som kan betyde nedetid i timer eller dage. Det anbefales at man får etableret et system som logger på ens udstyr og sørger for backup af konfigurationerne hver gang der foretages ændringer på udstyret. Der er faktisk ingen undskyldning for ikke at gøre det, da det er rimelig nemt/billigt at få etableret for det meste udstyrs vedkommende.

Overvågning/management af udstyr

Et andet område som oftest bliver overset af især mindre virksomheder, er overvågning og management af ens udstyr. Ofte vil man blive overrasket over hvor meget udstyr man egentlig er afhængig af for at holde driften ved lige. Det kunne være servere, routere, switche, firewalls, netværksharddiske (NAS), wifi access punkter etc. Et overvågningssystem kan advare om hvis der opstår nogle problemer med udstyret. Det kunne være at en harddisk er ved at løbe fuld, noget udstyr der er gået ned, nogle kritiske links/porte der er gået ned eller oplever f.eks. pakketab, svartiderne på netværket er langsomme, temperaturen er for høj etc. Ud over at advare om aktuelle problemer, så kan overvågningssystemer også med fordel anvendes for at finde trends eller afdække behov for udvidelse af kapacitet. Fejlfinding bliver også gjort lettere og mere effektivt. Desuden, så er det heller ikke let at finde ud af om der er noget i vejen med ens systemer, hvis man ikke har en baseline for almindelig drift. 





Fordelene er mange og det behøver heller ikke at koste ret meget at etablere. Der findes mange forskellige overvågningssystemer som varierer meget i pris og funktionalitet, men der findes ret gode løsninger som enten er helt gratis (evt. med lidt begrænset funktionalitet) eller kan købes billigt. Ofte vil et overvågningssystem også have mulighed for at tage backup af konfigurationerne (se foregående punkt), så man slår to fluer med ét smæk ved at implementere det.


Det var så første del af blog om infrastrukturen. I efterfølgende blogs vil jeg komme ind på andre områder som man med fordel kunne kigge på.

Ingen kommentarer:

Send en kommentar