Журнал "Information Security/ Информационная безопасность" #2, 2025

ввиду повсеместного применения про- граммно-определяемых сетей, техноло- гий контейнеризации, методологий DevOps, DevSecOps, MLOps и подходов Infrastructure as Code, Policy as code, Security as code. Екатерина Едемская, Газинформсервис Основная проблема – потеря единого контроля: разнородность устройств и сред увеличивает риски несанкциониро- ванных изменений. BYOD и удаленные сотрудники часто используют непрове- ренные устройства, что усложняет соблю- дение политик безопасности. В гибрид- ных средах возникают сложности с син- хронизацией конфигураций между облач- ными и локальными компонентами, что может привести к уязвимостям. Кроме того, рост автоматизации требует более гибких инструментов, способных опера- тивно адаптироваться к изменениям без снижения уровня безопасности. Дмитрий Мажарцев, Яндекс Браузер Можно выделить четыре тренда, актив- но развивающихся в бизнес-среде: пере- дача ряда бизнес-задач на аутсорс, актив- ная оцифровка бизнес-процессов, пере- езд в "облака" и использование сотруд- никами личных устройств для доступа к внутренним сервисам. Мы видим, что на аутсорс передаются самые разные задачи: от разработки ПО и построения ИТ-систем до бизнес-функций типа под- бора персонала, маркетинга, логистики, бизнес-аналитики и т.д. Так к внутренним ИТ-системам компаний и конфиденци- альной информации получают доступ не только штатные работники, но и подряд- чики, создающие дополнительные угрозы. Сами системы при этом всё чаще суще- ствуют в формате облачного приложения с доступом через браузер, что также позволяет работать в них удаленным сотрудникам либо работникам без кор- поративной техники. При этом браузер обычно – слепое пятно для ИБ-служб организаций. Частично бороться с этим позволяют корпоративные средства защиты информации, но далеко не всегда и не в достаточном объеме. В то же время, если в компании используется корпоративный браузер, то у ИБ-специа- листов, наоборот, возникают дополни- тельные инструменты для управления доступом к конфиденциальной инфор- мации и защиты ее от угроз. Леонид Клычев, ЛИНЗА Как проводить ускоренное импорто- замещение, не жертвуя безопасностью? Где брать стандарты безопасного кон- фигурирования для новых отечественных решений, с которыми еще не наработан опыт практической эксплуатации? Как в условиях нехватки ресурсов обеспечить эффективный аудит безопасности настроек ИТ-инфраструктуры и серви- сов, внедряемых партнерами? Наш про- дукт "Линза. Контроль конфигураций" мы адаптируем в том числе и под эти вызовы, расширяя набор доступных стан- дартов безопасного конфигурирования с возможностью проведения автомати- зированных аудитов. Кирилл Евтушенко, Кауч В инфраструктурах компаний значи- тельно возросло присутствие продуктов российских вендоров, однако многие производители пока не обеспечивают полноценную настройку параметров без- опасности этих продуктов на уровне ПО или устройств. Кроме того, нередко отсутствуют как вендорские, так и сто- ронние рекомендации по безопасной конфигурации отечественных решений, что затрудняет их приведение к требуе- мому уровню защиты. Виталий Моргунов, BI.ZONE Несмотря на преимущества, усложне- ние инфраструктуры влечет за собой расширение поверхности атаки. Это свя- зано с появлением нового, ранее не используемого ПО, новыми взаимосвя- зями между элементами инфраструкту- ры, а также дополнительными интер- фейсами, с которыми взаимодействует как ПО, так и сами пользователи. Все это приводит к тому, что в отсутствие необходимого контроля конфигураций злоумышленник может получить целый набор инструментов для осуществления компрометации. Екатерина Едемская, Газинформсервис Да, переход к декларативным моделям управления – это заметный тренд, и он особенно актуален для сложных гетеро- генных сред. Метод применим к серве- рам, рабочим станциям и сетевым устройствам, где важно обеспечить соот- ветствие политикам безопасности. Одна- ко для специфичных активов, например АСУ ТП, устаревших систем, устройств с ограниченной автоматизацией, могут потребоваться гибридные подходы, соче- тающие декларативное управление с императивными корректировками. Дмитрий Мажарцев, Яндекс Браузер Сейчас мы скорее видим переход на концепцию Zero Trust, в рамках которой, по сути, управление осуществляется по принципу "все что явно не разрешено, запрещено". Это скорее можно считать императивной моделью управления. Роман Овчинников, Security Vision Решения Ansible, SaltStack, Terraform и др., реализующие декларативную модель управления гибридными инфраструкту- рами, уже активно применяются различ- ными организациями, включая наших заказчиков. Наше решение Security Vision SPC (Security Profile Compliance) позволяет анализировать безопасность конфигура- ций и контролировать уровень защищен- ности различных ОС, СУБД, систем вир- туализации, сетевого оборудования, при- кладного ПО. Большинство указанных решений и систем поддерживают прин- ципы декларативного управления. Кирилл Евтушенко, Кауч В отличие от высокотехнологичных компаний, обычно развивающихся вокруг разработки, где изначально внед- рены инструменты оркестрации вроде Ansible или Puppet, а инфраструктура управляется по методологии DevOps, в крупных компаниях с разнородной инфраструктурой и разными командами, ответственными за отдельные слои ПО, видите ли вы сдвиг в сторону декларативных моделей управления, когда администратор описывает желаемое конечное состояние системы, а платформа сама применяет измене- ния для достижения этого состояния? • 27 Управление конфигУрациями www.itsec.ru