Er vores infrastruktur sikker? Er den robust overfor fejl og nedbrud? Laver vi løbende reviews af eksisterende setup og foretager eventuelle tilpasninger - eller kører det efter devisen ”if it ain’t broken, don’t fix it”? Har vi overhovedet et overblik over hele vores setup?
Dette er blot nogle af de spørgsmål, man med fordel kunne stille sig selv. Svarer man nej til nogle af dem, så burde man på det kraftigste overveje at gøre noget ved det. Aldrig har der været flere trusler mod infrastruktur og klienter end der er for tiden. Oftere og oftere bliver både store og små virksomheder ramt af hackere/crackere, social-engineering, ransomware, denial of service, trojanere, virus, tyveri, interne trusler, industrispionage osv.
I dette blog post vil jeg belyse nogle af de områder, man med fordel kan kigge på. Listen er ikke udtømmende. Den skal ses som inspiration til hvilke ting, man bør overveje at implementere. Det kan godt virke uoverskueligt at skulle implementere alle punkterne, men med en forholdsvis begrænset indsats kan man komme langt. De større omlægninger kan så lægges ind i en handlingsplan. Samtidig behøver det heller ikke koste en formue at sikre sit netværk - man kan komme langt med få midler. Det er også vigtigt at pointere, at det ikke kun er store virksomheder med egne infrastrukturfolk, som bør gennemgå deres infrastruktur. Det er mindst lige så vigtigt for små og mellemstore virksomheder. Flere undersøgelser og statistikker peger på, at mange trusler netop lægger deres fokus på mindre virksomheder, da der er større chancer for succes. Læs mere om dette i The Guardian's artikel.
Inden vi kigger på selve indsatsområderne, er det vigtigt at få vurderet, hvor kritisk ens infrastruktur er. Med andre ord, hvad koster det virksomheden, hvis man er nede i en periode? Hvor længe kan man tåle at være nede, inden det giver decideret tab på indtjeningen? Hvad med ens omdømme blandt kunder og samarbejdspartnere? Hvor kritisk er det, hvis man mister nogle, eller worst case, alle ens data ved et virus- eller ransomware angreb? Hvad med industrispionage eller tab af proprietære produkter og udviklingsdata? Hvor kritisk er det, hvis disse mistes til en konkurrent?
Alt efter hvor kritisk ovenstående er for virksomheden, des større fokus skal man lægge i at sikre oppetid og data. Desuden skal man være bevidst om, at ens infrastruktur ikke er en statisk størrelse. Der vil hele tiden ske ændringer til infrastrukturen f.eks. nye enheder og nyt software kommer til, enheder der er forældede, bugs i software, oprydning i firewall efter nedtagne enheder osv. Så man skal være villig til løbende at holde styr på ens infrastruktur, enten ved selv at gøre det (helst så automatiseret som muligt) eller ved at få eksterne specialister til at gøre det.
Logning
Logning er et af de basale elementer. Det bliver dog ofte ignoreret og det til trods for, at det er forholdsvis billigt at sætte op (software er ofte gratis og der er ingen horrible krav til serveren). Det anbefales, at man opretter en logserver, som opsamler log fra alt udstyr på ens netværk. En syslog server er til stor hjælp, når man skal finde ud af, hvad der er sket på ens infrastruktur - især i fejlfindingsøjemed, eller hvis man f.eks. vil se, hvilken admin der har lavet hvilke ændringer.
Problemet med logning er oftest, at man ender op med en masse data, som ingen kigger på, medmindre der er et specifikt problem. Data anvendes på bagkant, hvor man med fordel også kunne anvende data proaktivt. Der er dog ingen administrator, der kan overskue alle disse data manuelt. Så i dette tilfælde kan man med fordel sætte et system op, som kan visualisere alle data i overskuelige dashboards, advare hvis bestemte grænseværdier overskrides, lave rapporter og trends og meget mere. Der findes mange forskellige produkter, der kan hjælpe med dette. Personligt er jeg meget imponeret af Splunk, som virkelig er et fantastisk produkt. (Disclaimer: Jeg nævner Splunk, fordi det er det produkt, jeg har mest erfaring med, og personligt synes er bedst. Men du som læser skal alligevel vide, at Netic er Splunk partner og at der findes alternative produkter, som har nogle af de samme features.) Splunk giver mulighed for at søge i alle logdata på tværs af systemer og dermed lettere finde sammenhænge. Det er også meget nemmere at se udviklinger i trends samt afvigelser fra det normale. En af fordelene ved Splunk er, at man ikke er begrænset af logformat og dermed kan importere, behandle data, lave udtræk etc. uden nogen form for konvertering. Så hvis udstyret kan sende logs, så kan Splunk behandle det.
Lad mig vise et eksempel fra min egen ”afdeling”. For at blive advaret om unormal trafik på en af vores firewalls, så har vi nogle ”live-dashboards”.
Dette er et eksempel på et dashboard som kan give en ”heads-up” i tilfælde af et unormalt antal firewall denies eller tilladte forbindelser, hvilket måske skyldes et angreb, DDoS, virus eller lign. Det er næsten kun fantasien, der sætter grænser for, hvilke data man ønsker at vise. Fælles for dem alle er dog, at de giver et live billede af de områder, man vurderer, er vigtige for virksomheden.
Backup
Et andet område, som ofte bliver overset, er backup. Det er selvfølgelig uhyre vigtigt at have backup af ens data, samt ikke mindst at lave en restore test jævnligt. Jeg kan nævne et eksempel fra den virkelige verden, hvor jeg blev kaldt ud til et firma, som havde et nedbrud på deres database server. Der var tale om en stand-alone server uden nogen form for disk-redundans, og hvor det var harddisken, der var defekt. Hvad værre var, så viste det sig at deres backup, som de troligt tog hver dag, ikke indeholdt deres data. Det, som de tog backup af, var database installationsfilerne og ikke selve data, som lå på en anden partition, på samme fysiske harddisk. Dermed var alle deres oplysninger om varebeholdning, kunder, ordrer, manglende betalinger fra kunder etc. tabt (disk blev sendt til professionelt recovery firma uden held). Hvis dette firma havde lavet restore test med jævne mellemrum, så var dette blevet opdaget i tide.
Det er dog ikke kun virksomhedens data, man skal huske at tage backup af. Det er også vigtigt at tage backup af diverse udstyrs konfigurationer, som f.eks. routere, switche og firewalls. Det hjælper ikke meget at udskifte ens defekte firewall med en anden, hvis man ikke har en backup af konfigurationen og skal starte helt forfra, som kan betyde nedetid i timer eller dage. Det anbefales, at man får etableret et system, der logger på ens udstyr og sørger for backup af konfigurationerne hver gang, der foretages ændringer på udstyret. Der er faktisk ingen undskyldning for ikke at gøre det, da det er rimelig nemt og billigt at få etableret for det meste udstyrs vedkommende.
Overvågning og management af udstyr
Et område, der oftest bliver overset af især mindre virksomheder, er overvågning og management af ens udstyr. Ofte vil man blive overrasket over, hvor meget udstyr man egentlig er afhængig af for at holde driften ved lige. Det kunne være servere, routere, switche, firewalls, netværksharddiske (NAS), wifi access punkter etc. Et overvågningssystem kan advare om, hvis der opstår problemer med udstyret. Det kunne eksempelvis være, at en harddisk er ved at løbe fuld, noget udstyr der er gået ned, nogle kritiske links/porte der er gået ned eller oplever f.eks. pakketab, svartiderne på netværket er langsomme, temperaturen er for høj etc. Ud over at advare om aktuelle problemer, så kan overvågningssystemer også med fordel anvendes for at finde trends eller afdække behov for udvidelse af kapacitet. Fejlfinding bliver også gjort lettere og mere effektivt. Desuden, så er det heller ikke let at finde ud af, om der er noget i vejen med ens systemer, hvis man ikke har en baseline for almindelig drift.
Fordelene er mange, og det behøver heller ikke at koste ret meget at etablere. Der findes mange forskellige overvågningssystemer, som varierer meget i pris og funktionalitet, men der findes ret gode løsninger, der enten er helt gratis (evt. med lidt begrænset funktionalitet) eller kan købes billigt. Ofte vil et overvågningssystem også have mulighed for at tage backup af konfigurationerne (se foregående punkt), så man slår to fluer med ét smæk ved at implementere det.
Dette var første del af blogindlægget om infrastruktur. I anden del vil jeg komme ind på andre områder, man med fordel kan kigge på.