Журнал "Information Security/ Информационная безопасность" #2, 2025

Такой анализ позволяет позволяет не только проверять корректность мигра- ции, но и проводить регулярный аудит конфигураций МЭ на наличие небез- опасных правил. Функциональность модуля Firewall Assurance позволяет экономить время миграции и минимизирует ошибки, свя- занные с ручным переносом политик безопасности. В дальнейшем, при внесении изменений в списки правил, мы рекомендуем авто- матизировать процесс проверки обнов- ленного списка на соответствие требова- ниям к зонированию сети. Для этого в комплексе Efros DefOps есть решение – подсистема Change Manager. Не менее значима задача по контролю и защите тех устройств, которые пока не представляется возможным заменить из-за отсутствия сопоставимых отечественных решений. Мы стараемся поддерживать ключевых ушедших иностранных вендоров, заботясь о своих заказчиках. Одним из таких про- дуктов является высоконагруженная систе- ма NSX от VMware, оптимизация работы которой требует высоких компетенций как от администратора самой системы, так и от наложенных средств защиты. Возможности Efros DefOps по контро- лю NSX повторяют, а по ряду параметров даже превосходят возможности ино- странных аналогов. Взаимодействие Efros DefOps с NSX происходит через API. После добавления NSX в комплекс строится список вложен- ных объектов: vCenter, гипервизоры ESXi, виртуальные машины, DSwitch и Distribu- ted Port Group, для которых форми- руются ACL. При этом политики и пра- вила распределяются с учетом пара- метра Applied To, что в последствии поз- воляет с высокой точностью выявить пра- вила, которые можно оптимизировать. Информация из логических групп ото- бражается с учетом вложенности. Учи- тываются такие логические группы, как ip-сеты, порт-группы, группы безопасно- сти. Для удобства просмотра политики правил возможна фильтрация их по какому-либо критерию, например по ip- адресу или имени группы. В комплексе реализована возможность ограничить количество запрашиваемых объектов в одном запросе и возможность ограничить количество запросов в мину- ту, а также использовать обе настройки одновременно. Это позволяет распреде- лять нагрузку как на сам NSX, так и на Efros DefOps с учетом особенностей каж- дой отдельной системы NSX. В текущем году будет добавлена функ- циональная возможность по отображе- нию NSX на карте сети, что позволит пользователю моделировать прохожде- ние трафика между виртуальной маши- ной, работающей под управлением гипер- визора ESXi, и любым другим объектом инфраструктуры. Построение маршрута включает все особенности прохождения трафика внутри гипервизора ESXi с уче- том сетевых адаптеров на виртуальных машинах, режимов работы Distribu- ted Port Group, настроек Uplink. В процессе моде- лирования учитывается достижимость заданной конечной точки в соответ- ствии с правилами ACL, установленными для опре- деленной виртуальной машины или порт-группы. NSX может иметь слож- ную архитектуру, исполь- зующую виртуализирован- ную сеть, где существуют разные уровни и сегменты со своими политиками. Вир т уализированная среда часто меняется, добавляются или удаляют- ся гостевые машины и приложения, что влечет за собой постоянные изме- нения в ACL. NSX – это один из при- меров критичных элемен- тов ИТ-инфраструктуры, характерный для корпо- ративных заказчиков и для обслуживания, оптимизации кото- рого необходимы надежные автомати- зированные средства. Efros DefOps не ограничивается воз- можностями контроля и оптимизации NSX, он совместим с более чем 50 линей- ками российских и зарубежных МЭ, марш- рутизаторов, коммутаторов и т.п. "Газин- формсервис" стремится сделать Efros DefOps важным инстру- ментом для компаний, стремящихся повысить уровень управления и без- опасности своей сетевой инфраструктуры. Поддержка пользователей, упрощение их работы на ответственных участках с сохранением доступности желаемых сервисов, возможность использовать новые технологии с учетом тенденций импортозамещения – ключевые задачи команды Efros DefOps, которая уже более 10 лет работает с проблематикой анализа безопасности ИТ-сети. l • 19 Управление конфигУрациями www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ ГАЗИНФОРМСЕРВИС см. стр. 82 NM Реклама Рис. 3. Настройка распределения нагрузки для NSX в Efros DefOps Рис. 2. Создание стандарта безопасности для сегмента сети. Конструктор стандартов