15 Марта, 2012

Аудит файловых серверов и устройств хранения: как сделать правильный выбор

NetWrix_ru
Вся информация в организации хранится в различных файлах: данные о работниках, финансовая информация, коммерческая информация и т.п. Такая информация предназначена не для всех, не говоря уже о том, что публичный доступ к ней исключен.
Поэтому важно, чтобы в любой момент времени можно было узнать, кто получал доступ к файлам и папкам или пытался изменить разрешения для них. Также порой необходимо знать дату и время, когда такие попытки доступа или изменения были осуществлены и на каком сервере это произошло.

Существуют различные причины, по которым аудит файловых серверов является необходимой процедурой:

1) Аудит файловых серверов как способ снижения риска
Автоматический сбор информации и формирование отчетов по изменениям и попыткам доступа дают организации обратную связь о файловой активности внутри ее инфраструктуры. Использование такой информации позволяет значительно снизить риски нарушения информационной безопасности. Эффективное управление взаимодействием пользователя и администратора с файлами снижает риск, гарантируя при этом, что у пользователей имеются необходимые права доступа, чтобы они могли эффективно выполнять свои обязанности.

2) Аудит изменений для целей усиления безопасности
Мониторинг файловой активности непосредственно связан с усилением информационной безопасности организации. Однако аудит файловых серверов с использованием лишь встроенных инструментов аудита громоздок и малопродуктивен. Из-за объема записываемых данных сложно получить необходимую информацию, к тому же большинство событий не является несанкционированным. Одним из простейших способов усиления безопасности доступа к файлам является автоматическое получение информации об изменениях на постоянной основе.

3) Аудит файловых серверов в контексте требований нормативов по информационной безопасности
Такие нормативы в сфере информационной безопасности как SOX, HIPAA, FISMA и PCI существуют для того, чтобы установить IT-стандарты аудита изменений для защиты как организаций, так и потребителей. В конечном итоге, эти нормативы и их совершенствование призваны подтвердить, что организация защищает, записывает и отслеживает изменения, которые подразумевают доступ к конфиденциальной информации.


Все это дало толчок к возникновению вспомогательных инструментов, особенно актуальных в крупных IT-инфраструктурах с различными уровнями IT-администрирования.


Требования, предъявляемые к функциям программ, осуществляющих аудит файловых серверов.

1) Автоматический сбор данных.
Если сбор данных осуществляется нерегулярно, то существует риск потери важной информации вследствие перезаписи журнала событий или проблем с исчерпанием свободного места на сервере. Это важное требование к инструментам аудита файловых серверов, так что без него своевременный аудит невозможен.

2) Эффективное централизованное хранение данных
Автоматизация обычно требует дополнительных ресурсов и может негативно сказываться на функционировании системы, что в свою очередь может привести к проблемам. По этой причине важно, чтобы влияние применяемого метода сбора данных было минимальным. Более того, хранение данных должно также быть рассмотрено в процессе внедрения программного решения. Пока это является возможным, данные событий и аудита могут храниться исключительно в локальной системе, где события имели место быть. Однако предпочтительный метод – централизация этой информации в отдельном хранилище данных, где бы они были бы одновременно защищены и доступны. Такой подход имеет свои преимущества, так как потребность анализировать информацию и формировать на ее основании отчеты становится частью повседневной деятельности IT-администратора или группы, ответственной за общее здоровье различных файловых служб.

3) Сбор информации должен быть надежным.
В процессе сбора данных предпочтение должно отдаваться тем методам, которые используют Журнал событий Windows (Event Log) и другие встроенные инструменты аудита, которые отличаются от методов, требующих внедрения агентов или изменения кода системы для извлечения данных о событии. Это позволяет устранить любые потенциальные проблемы, связанные со стабильностью работы системы или несовместимостью ПО. Особенно это актуально для Windows систем, в которых нельзя полагаться исключительно на данные журнала событий, т.к. генерируемая информация не является полной. Чтобы полностью понять то или иное событие, информация из различных источников должна быть агрегирована, и ее последующий анализ должен рассматривать уже агрегированную информацию. Защита такой информации для целей краткосрочного и долгосрочного хранения также является важным процессом. Важно, чтобы никто из привилегированных пользователей не имел доступа к ним, а тем более возможности удалить или иным образом вмешаться в эти данные. Доступ к такой информации должен быть ограничен или вообще запрещен.

4) Масштабируемость
Чтобы осуществлять аудит файловых серверов, программное решение для аудита должно быть масштабируемым. Оно должно приспосабливаться к постоянно меняющейся инфраструктуре организации, но в то же время без “рывков” в процессе внедрения. Внедрение и дальнейшее использование решений для аудита файловых серверов будет упрощено в том случае, когда не будут требоваться дополнительное ПО или значительные изменения конфигурации, чтобы адаптироваться к изменениям внутри организации. Решение для аудита файловых серверов должно принимать во внимание постепенные (гранулярные) изменения, такие как изменения общей топологии сети, контроллеров доменов и Active Directory. Это необходимо для того, чтобы осуществлять постоянный контроль над изменениями с целью предоставления наилучшего качества обслуживания пользователям и предоставления записей аудита IT-профессионалам.

5) Возможность формирования расширенных отчетов
Дополнительные возможности, такие как оповещения по электронной почте и подписка на отчеты, также оказывают влияние на общую эффективность управления файловой системой. Таким образом, возможность формирования расширенных отчетов является залогом успешного осуществления аудита файловых серверов.

6) Аудит устройств хранения
В большинстве IT-инфраструктур доминируют системы Windows, однако также широко используются такие популярные устройства хранения, такие как EMC Celerra и NetApp Filer. Поэтому они также должны быть приняты во внимание при осуществлении аудита изменений.

7) Мониторинг целостности файлов
Мониторинг целостности файлов гарантирует целостность файлов посредством мониторинга хеш-суммы, а не самого файла. Этот подход позволяет быстро зафиксировать изменения файлов и своевременно уведомлять, когда такое изменение произошло. Мониторинг целостности файлов также требуется для выполнения требований стандарта PCI DSS. Мониторинг целостности файлов в программе аудита файловых серверов необходим, чтобы обеспечивать высокие уровни безопасности и контроль изменений над данными.

8 Дополнительные требования
Предпочитаемые решения должны быть просты во внедрении и обладать возможностью подключения дополнительных модулей для формирования целостного пакета программ, чтобы максимизировать потенциальные выгоды от аудита изменений. Некоторые дополнительные типы систем могут включать файрволы, маршрутизаторы, серверы с базами данных, устройства хранения и другие технологии Microsoft, такие как SQL и SharePoint и особенно Active Directory и групповые политики. Уведомление в режиме реального времени и функции восстановления объектов также добавят ценности выбранным решениям для аудита файловых серверов.


Подход NetWrix к аудиту файловых серверов и устройств хранения.


Подход NetWrix включает в себя все необходимые функции для достижения эффективного аудита файловых серверов в программном решении. NetWrix File Server Change Reporter — программа, которая отслеживает изменения файлов, папок, разрешений, а также попытки доступа во всей IT-инфраструктуре, включая популярные устройства хранения. Программа ежедневно присылает полные отчеты по изменениям в файловых серверах, включая модификации в файлах, папках, сетевых ресурсах и правах доступа. Отчет включает предыдущее и новое значения для соответствующих параметров конфигурации. Программа предоставляет данные о том, кто и когда вносил изменения, а также подробную информацию об изменениях прав доступа. Автоматический сбор информации и формирование на ее основе отчетов не только превосходит возможности встроенных инструментов Windows и устройств хранения, но расширяет возможности, сокращая время и усилия, затрачиваемые на сбор информации об изменениях, осуществляемый вручную или используя сложные скрипты. Также в программе возможна архивация всех модификаций, которая поможет выяснить подробности изменений спустя месяцы и годы.
Узнайте, как NetWrix File Server Change Reporter может помочь Вашей организации при осуществлении аудита изменений и выполнении требований нормативов в сфере информационной безопасности.

Скачать File Server Change Reporter
или введите имя

CAPTCHA