Найти в Дзене
Administrators.ru

Гибридное частное облако как способ обеспечить кибербезопасность

9 мин
Майкрософт Серверы: Основная поддержка Win Server 2016 завершилась 11 января 2022 года. Полное прекращение поддержки произойдет с января 2027 года. Поддержка же Windows Server 2019 окончательно прекратится в январе 2029. Майкрософт Рабочие станции: Поддержка Win11 версии 24 завершится в конце 2026 года, версии 25 - в конце 2027 года. Версии ниже Win11 24 уже не поддерживаются, в том числе все Win10 и младше. Майкрософт Офис: Office 2019 — 5 лет основной поддержки с 2 годами расширенной поддержки (исключение из 10-летнего срока политики фиксированного жизненного цикла). Office 2016 — расширенная поддержка кончилась 14 октября 2025 года. Основная поддержка Office 2019 завершилась в октябре 2023 года, а Office 2016 — ещё раньше, в октябре 2020 года. Давайте разбираться, что это значит для организаций и пользователей? Что происходит: Продолжающие использовать системы без поддержки, сталкиваются с неустранимыми Почему это происходит: Исправления безопасности и техническая поддержка для эти
Оглавление

От локальных систем — к гибридному облаку.

Причины и последствия. Причины:

Майкрософт Серверы:

Основная поддержка Win Server 2016 завершилась 11 января 2022 года. Полное прекращение поддержки произойдет с января 2027 года. Поддержка же Windows Server 2019 окончательно прекратится в январе 2029.

Майкрософт Рабочие станции:

Поддержка Win11 версии 24 завершится в конце 2026 года, версии 25 - в конце 2027 года. Версии ниже Win11 24 уже не поддерживаются, в том числе все Win10 и младше.

Майкрософт Офис:

Office 2019 — 5 лет основной поддержки с 2 годами расширенной поддержки (исключение из 10-летнего срока политики фиксированного жизненного цикла).

Office 2016 — расширенная поддержка кончилась 14 октября 2025 года. Основная поддержка Office 2019 завершилась в октябре 2023 года, а Office 2016 — ещё раньше, в октябре 2020 года.

Давайте разбираться, что это значит для организаций и пользователей?

Причины и последствия. Последствия:

Что происходит:

Продолжающие использовать системы без поддержки, сталкиваются с неустранимыми

  • потенциальными угрозами кибербезопасности,
  • проблемами совместимости с современным программным обеспечением и
  • проблемами соответствия требованиям в регулируемых отраслях.

Почему это происходит:

Исправления безопасности и техническая поддержка для этих версий ПО больше не будут предоставляться вендором. Злоумышленники продолжают искать уязвимости, клепать зловреды, совершенствовать меч. В то же время совершенствование щита производителем останавливается, и найденные дыры останутся приглашающе открыты.

Что делать:

Чтобы избежать этих рисков, организациям следует начинать планирование миграции в безопасные системы задолго до истечения окончательного срока.

Всем домашним пользователям, остающимся с Microsoft, настоятельно рекомендую также обновляться до последних версий операционных систем и офисных пакетов.

Причины и последствия. Нюансы:

Нужного ПО нет в продаже

Сегодня в связи с остановкой операций в РФ приобретение юридическими лицами многих актуальных серверных продуктов по каналам поставки VL, а также новых подписок и отдельных лицензий на ПО для рабочих станций — не представляется возможным. Затруднено обновление до версий, обеспечивающих поддержку.

Основная причина миграций - безопасность

Но не только злоумышленники становятся причиной миграции на современные системы:

На площадке у клиента имеется сервер удаленных рабочих столов WinServer2016 с развернутым офисным пакетом. После установки очередного обновления безопасности в ноябре внезапно отвалился Word. Конфликт версий системного и прикладного ПО неустраним. Способа сохранить последние безопасные версии MS Office и WinServer в развертывании клиента на текущий момент не существует.

Железо

Отметим дополнительно, что для работы с актуальными версиями ПО необходимо вовремя освежать железо. Новые версии ПО отказываются работать со старым оборудованием.

Тем не более, мы признаём, что на сегодня у ЮЛ всё ещё остались такие пунктирные каналы поставок некоторого ПО, как комплектные издания лицензий у поставщиков оборудования в РФ.

Это не очень надёжно: нужного количества у одного поставщика часто нет, цены на комплект сервер+ПО часто оказываются неожиданными, конфигурации серверов могут не отвечать технической цели и ТЗ. А ещё рано или поздно коробки закончатся.

Риски несоответствия требованиям регуляторов

Дополнительно нужно иметь в виду, что в 2025 ужесточились санкции за нарушение правил использования ПО для защиты обработки ПДн и работы с ЭП. Поиск нарушений производят роботы РКН, производится обработка bigdata в автоматическом режиме. Для соответствия требованиям регулятора необходимо использовать актуальное ПО. Штрафы конские.

Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации — одна из мер по защите персональных данных и электронного документооборота с ЭП при их обработке в информационных системах. Однако ни в одном нормативном акте нет обязанности негосударственного оператора персональных данных использовать исключительно ПО, сертифицированное ФСТЭК.

Тем не менее, использование устаревшего программного обеспечения, согласно юр. практике, квалифицируется как нарушение требований к техническим мерам защиты информации, часть 6 Статья 13.12 КоАП РФ.

А мы тут при чём?

Никакой бэкап не поможет, если уязвимость найдена и используется, а обновления безопасности не существуют, и даже если всё-всё-всё снести и поставить заново, будет происходить заражение после каждого восстановления. все мы помним вирус WannaCry

Системы рухнут, работа встанет.

В мае 2017 года началась эпидемия WannaCry. Всего за несколько дней вирус поразил около полумиллиона девайсов - домашних, корпоративных и государственных в более чем 200 странах. И это было только начало.

Заражение WannaCry происходило автоматически — участие пользователя не требовалось, не нужно было открывать письмо или что-то скачивать. Вирус шифровал файлы и требовал выкуп в крипте.

Наиболее уязвимыми для WannaCry оказались организации, где по-прежнему использовались старые версии Windows

На нескольких заводах Renault менеджмент конвейера стал недоступен и легла логистика. В Европе встала ещё пара немецких банков, по миру FedEx, Honda, Telefónica, а у нас — нескольких российских банков и даже МВД РФ. Британцы потеряли медицинские системы.

Это не просто какая-то техническая проблема. Это простаивающее производство, срывы контрактов, штрафы, потеря клиентов и репутации. ИБ-инциденты напрямую влияют на деньги, особенно в отраслях с высокой ценой простоя.

Импортозамещение — всё ещё выход через вход.

Отечественным ПО нынче принято называть адаптацию опенсорс систем, написанных при поддержке или полностью спецами за границей, и продавать организациям по ценам, сравнимым с коммерческими пакетами, без каких либо гарантий и нормальной поддержки. Импортозамещение во всей своей красе.

Всё это ещё немного сыровато. Пока в целях сохранения стабильности работы сервисов мы не можем рекомендовать бизнесу однозначный переход на такие решения.

Итак, от локальных систем — к гибридному облаку

Можно ли сохранить архитектуру?

Если в текущих реалиях мы не можем использовать безопасное ПО от привычных вендоров, в локальных развёртываниях, так почему бы нам не сохранить архитектуру, давайте просто заменим ПО на свободное, заменим майкрософт на линукс. Ещё и экономия!

Штош, давайте посмотрим.

Обучение

Обучение в кратчайшие сроки работе с nix-based сервисами и пользователей, и ИТ служб дорого и сложно.

Сопровождение

Для сопровождения таких систем требуются дополнительные ресурсы и средства.

Лицензирование

Использование многих свободно распространяемых опенсорс систем в коммерческих целях ограничено лицензией. Необходимо использовать платные версии и подписки.

Экосистема

Также существует и активно используется организациями ПО, которое пока существует только для работы под Win.

А какое ПО вообще попало или вот-вот попадёт в небезопасное?

Так и есть, дело касается не только Microsoft. Многие программные комплексы других вендоров, используемые локально, также меняют подход к лицензированию или больше не предоставляют обновления безопасности организациям на территории РФ, если говорить о больших игроках и виртуализации, то это VMware, например.

Ладно, а когда начинать?

Мы начали предупреждать наших текущих и будущих клиентов ещё два года назад, что использование большого количества полноценных локальных машин с для работы с локальными серверными мощностями представляется нам как неоптимальное на данном этапе. Самые предусмотрительные из них уже переехали на безопасные рельсы, не дожидаясь, пока грянет гром, и уже отладили с нашей помощью свои процессы и системы.

Покупайте наших слонов! (с) :)

Плюсы

Мы видим экономический смысл переезда в гибридное облако в оптимизации расходов на ИТ-инфраструктуру, масштабируемости ресурсов, а также в возможности получить преимущества от каждого вида облака — гибкости и экономичности публичного, а также контроля и безопасности частного.

  • имеющиеся старые машины проживут вторую жизнь, став безопасными терминалами
  • сопровождение устойчивого отлаженного централизованного решения обходится дешевле сопровождения зоопарка машин с зоопарком софта.
  • есть возможность недорого получить отказоустойчивость и высокую доступность
  • есть возможность получить столько быстродействия и пространства, сколько нужно
  • резервирование, проверка и восстановление автоматизировано
  • нет необходимости в поиске и приобретении лицензий на актуальное заморское ПО
  • не требуется участия пользователей ни в каких системных процессах
  • обучение пользователей и персонала производится очень быстро: пользователи работают в привычном окружении с привычным ПО
  • легко соблюдать требования регуляторов, например, 152-ФЗ
  • применение схемы "гибридное облако + тонкие клиенты" улучшает кибербезопасность на порядок
  • решения сетевой печати снижают в несколько раз стоимость отпечатанной копии
  • сетевое сканирование с автоподатчиками — простой и удобный способ получать быстро готовый результат в PDF, особенно при многостраничных документах
  • для сопровождения на локальных площадках достаточно техников базовой квалификации
  • унификация критично сокращает затраты на ЗиП
  • незачем содержать серверную, каждые несколько лет приобретать дорогое оборудование десятками юнитов и контролировать его состояние и жизненный цикл
  • техники наших дата-центров на связи 24/7, что редко можно получить за адекватные деньги локально в небольших организациях

Минусы

  • переход на гибридный подход требует некоторых вложений — в каналы связи, сетевую печать, пуско-наладку
  • дефицит специалистов — найти команду, способную воистину действовать в интересах клиента, и спроектировать и поддерживать гибридную среду, непросто.
  • не все сервисы могут быть перенесены, и не всё можно подвергнуть стандартизации и унификации

Рекомендации

Мы рекомендуем как можно скорее запланировать и осуществить плановую миграцию в частное гибридное облако вместе с нами (а мы умеем работать и с высокой кастомизацией), не дожидаясь неприятных событий. В качестве основной мы предлагаем схему

"тонкие клиенты, подключаемые напрямую к защищенным рабочим местам в облаке, на которых находится привычное окружение и ПО".

Методов реализации много, мы подбираем индивидуально для каждого клиента, для большей эффективности. Готовые развёртывания на WTware, Kaspersky Thin Client, или отдельные высококастомизированные системы, но ни одного кривого и небезопасного решения. Разумеется, мы вписываем в эту схему рабочие места, требующие особого внимания: выделенные для работы с ЭП (статья на сайте или в дзен), и прочие.

Поскольку оптимизация и отладка процессов могут занять десяток месяцев, начинать надо сильно заранее.

Мы предлагаем бесплатный экспресс-аудит текущих процессов и систем.

Конечно, мы стараемся не переправлять клиента вместе со всем легаси. Иногда нужно полностью переработать всё, а иногда совсем никаких изменений в архитектуре не требуется. Надо посмотреть :)

Начните с чек-листа

Прохождение чек-листа занимает всего несколько минут, приглашаем вас проверить, где вы уже защищены.

Приглашаем вас оставить заявку на нашем сайтеadministrators.ru, или связаться с нами удобным образом - звоните на +7-98-98-11-13-98 (тап), пишите на get1@administrators.ru

Следите за нашими анонсами в нашем телеграм канале @RuAdminGuild!

читайте другие статьи на нашем сайте, или оставайтесь с нами в дзен.

==

Мы не скрываем, что в написании статьи нам помогали нейросети.