2012/03/15 16:53:00

Аудит файловых серверов и устройств хранения

Вся информация в организации хранится в различных файлах: данные о работниках, финансовая информация, коммерческая информация и т.п. Такая информация предназначена не для всех, не говоря уже о том, что публичный доступ к ней исключен.

Содержание

Поэтому важно, чтобы в любой момент времени можно было узнать, кто получал доступ к файлам и папкам или пытался изменить разрешения для них. Также порой необходимо знать дату и время, когда такие попытки доступа или изменения были осуществлены и на каком сервере это произошло.

Существуют различные причины, по которым аудит файловых серверов является необходимой процедурой:

Аудит файловых серверов как способ снижения риска

Автоматический сбор информации и формирование отчетов по изменениям и попыткам доступа дают организации обратную связь о файловой активности внутри ее инфраструктуры. Использование такой информации позволяет значительно снизить риски нарушения информационной безопасности. Эффективное управление взаимодействием пользователя и администратора с файлами снижает риск, гарантируя при этом, что у пользователей имеются необходимые права доступа, чтобы они могли эффективно выполнять свои обязанности.

Аудит изменений для целей усиления безопасности

Мониторинг файловой активности непосредственно связан с усилением информационной безопасности организации. Однако аудит файловых серверов с использованием лишь встроенных инструментов аудита громоздок и малопродуктивен. Из-за объема записываемых данных сложно получить необходимую информацию, к тому же большинство событий не является несанкционированным. Одним из простейших способов усиления безопасности доступа к файлам является автоматическое получение информации об изменениях на постоянной основе.

Аудит файловых серверов в контексте требований нормативов по информационной безопасности

Такие нормативы в сфере информационной безопасности как SOX, HIPAA, FISMA и PCI существуют для того, чтобы установить IT-стандарты аудита изменений для защиты как организаций, так и потребителей. В конечном итоге, эти нормативы и их совершенствование призваны подтвердить, что организация защищает, записывает и отслеживает изменения, которые подразумевают доступ к конфиденциальной информации.

Все это дало толчок к возникновению вспомогательных инструментов, особенно актуальных в крупных IT-инфраструктурах с различными уровнями IT-администрирования.

Требования, предъявляемые к функциям программ, осуществляющих аудит файловых серверов.

Автоматический сбор данных.

Если сбор данных осуществляется нерегулярно, то существует риск потери важной информации вследствие перезаписи журнала событий или проблем с исчерпанием свободного места на сервере. Это важное требование к инструментам аудита файловых серверов, так что без него своевременный аудит невозможен.

Эффективное централизованное хранение данных

Автоматизация обычно требует дополнительных ресурсов и может негативно сказываться на функционировании системы, что в свою очередь может привести к проблемам. По этой причине важно, чтобы влияние применяемого метода сбора данных было минимальным. Более того, хранение данных должно также быть рассмотрено в процессе внедрения программного решения. Пока это является возможным, данные событий и аудита могут храниться исключительно в локальной системе, где события имели место быть. Однако предпочтительный метод – централизация этой информации в отдельном хранилище данных, где бы они были бы одновременно защищены и доступны. Такой подход имеет свои преимущества, так как потребность анализировать информацию и формировать на ее основании отчеты становится частью повседневной деятельности IT-администратора или группы, ответственной за общее здоровье различных файловых служб.

Сбор информации должен быть надежным.

В процессе сбора данных предпочтение должно отдаваться тем методам, которые используют Журнал событий Windows (Event Log) и другие встроенные инструменты аудита, которые отличаются от методов, требующих внедрения агентов или изменения кода системы для извлечения данных о событии. Это позволяет устранить любые потенциальные проблемы, связанные со стабильностью работы системы или несовместимостью ПО. Особенно это актуально для Windows систем, в которых нельзя полагаться исключительно на данные журнала событий, т.к. генерируемая информация не является полной. Чтобы полностью понять то или иное событие, информация из различных источников должна быть агрегирована, и ее последующий анализ должен рассматривать уже агрегированную информацию. Защита такой информации для целей краткосрочного и долгосрочного хранения также является важным процессом. Важно, чтобы никто из привилегированных пользователей не имел доступа к ним, а тем более возможности удалить или иным образом вмешаться в эти данные. Доступ к такой информации должен быть ограничен или вообще запрещен.

Масштабируемость

Чтобы осуществлять аудит файловых серверов, программное решение для аудита должно быть масштабируемым. Оно должно приспосабливаться к постоянно меняющейся инфраструктуре организации, но в то же время без “рывков” в процессе внедрения. Внедрение и дальнейшее использование решений для аудита файловых серверов будет упрощено в том случае, когда не будут требоваться дополнительное ПО или значительные изменения конфигурации, чтобы адаптироваться к изменениям внутри организации. Решение для аудита файловых серверов должно принимать во внимание постепенные (гранулярные) изменения, такие как изменения общей топологии сети, контроллеров доменов и Active Directory. Это необходимо для того, чтобы осуществлять постоянный контроль над изменениями с целью предоставления наилучшего качества обслуживания пользователям и предоставления записей аудита IT-профессионалам.

Возможность формирования расширенных отчетов

Дополнительные возможности, такие как оповещения по электронной почте и подписка на отчеты, также оказывают влияние на общую эффективность управления файловой системой. Таким образом, возможность формирования расширенных отчетов является залогом успешного осуществления аудита файловых серверов.

Аудит устройств хранения

В большинстве IT-инфраструктур доминируют системы Windows, однако также широко используются такие популярные устройства хранения, такие как EMC Celerra и NetApp Filer. Поэтому они также должны быть приняты во внимание при осуществлении аудита изменений.

Мониторинг целостности файлов

Мониторинг целостности файлов гарантирует целостность файлов посредством мониторинга хеш-суммы, а не самого файла. Этот подход позволяет быстро зафиксировать изменения файлов и своевременно уведомлять, когда такое изменение произошло. Мониторинг целостности файлов также требуется для выполнения требований стандарта PCI DSS. Мониторинг целостности файлов в программе аудита файловых серверов необходим, чтобы обеспечивать высокие уровни безопасности и контроль изменений над данными.

Дополнительные требования

Предпочитаемые решения должны быть просты во внедрении и обладать возможностью подключения дополнительных модулей для формирования целостного пакета программ, чтобы максимизировать потенциальные выгоды от аудита изменений. Некоторые дополнительные типы систем могут включать файрволы, маршрутизаторы, серверы с базами данных, устройства хранения и другие технологии Microsoft, такие как SQL и SharePoint и особенно Active Directory и групповые политики. Уведомление в режиме реального времени и функции восстановления объектов также добавят ценности выбранным решениям для аудита файловых серверов.