Интерфейсы взаимодействия у средств защиты

Интерфейсы взаимодействия у средств защиты
Этим постом хочу обратить внимание на один аспект, о котором я уверен не многие задумываются при выборе очередного средства защиты, которое планируется внедрять в своей инфраструктуре. А аспект этот заключается в наличии у закупаемого решения интерфейсов для взаимодействия - API. 

Уже давно прошли те времена, когда каждое средство защиты могло существовать само по себе и решать свою автономную задачу.  В настоящее время практически все что внедряется нужно каким-то образом взаимоувязывать с другими решениями и системами. При этом даже если прямо сейчас вам это совершенно не нужно, совсем не факт, что вопрос в сборе данных и интеграции не станет актуальным через пол года - год. 

И вот тут-то как раз всплывает вопрос с этим самым API.  Надо сказать что у производителей средств защиты с этим делом все обстоит не очень хорошо, у известных западных продуктов получше, у отечественных порой совсем беда. Поэтому при выборе средств защиты рекомендуется обращать внимание на:
  • наличие стандартных интерфейсов для передачи логов работы системы; если у вас уже есть какая-то система сбора и корреляции логов или вы предполагаете что она может появится, то конечно же следует сразу проверять что ваше средство защиты умеет выдавать логи по syslog или какому-то другому стандартному протоколу. 
  • наличие интерфейсов доступа к информации, содержащейся внутри средства защиты; это может быть информация, которую решение собирает из трафика или конечных узлов, это могут быть статусы агентов или модулей системы, данные получаемые из других внешних источников, с которыми связано данное средство защиты и т.п.  
  • наличие интерфейсов для передачи информации в систему, на тот случай если вы захотите каким-то образом дополнить данные из какого-то внешнего источника, с которым сам производитель не делал никакой интеграции. это конечно совсем экзотика, встречается редко, но все же; в качестве обходного маневра можно использовать прямой доступ к базе данных средства защиты, но такие вещи (по понятным причинам) многие производители очень не любят, т.к создается риск создания абсолютно не выявляемых проблем в работе системы. 
Наличие интерфейсов взаимодействия у средств защиты, на мой взгляд, в современных условиях просто безусловная необходимость, поэтому чем чаще потребители будут обращать внимание на этот аспект, тем быстрее разработчики обратят внимание на эту составляющую создаваемых ими решений.
Alt text

Александр Бондаренко

Блог Александра Бондаренко