Řada IT týmů překvapivě stále není ochotna investovat čas ani finance do „pořádku“. Tedy v tom smyslu, že vědí, kde přesně jsou všechna zařízení, aplikace a licence. Přitom pořádek má přímý vliv na bezpečnost celého IT. Bez systému se může snadno stát, že IT oddělení ani neví, zda zařízení nalezená v síti jsou schválená, což je v době BYOD stále častější situace. Nepořádek také způsobuje nejasnosti při řešení incidentů a změn jednotlivých prvků sítě. Přitom dnes může IT oddělení jít příkladem ve využívání konceptu IoT (Internet věcí) a mít celou situaci pod kontrolou.
Pokud hovoříme o systému pro evidenci veškerých IT prostředků a uživatelů, tak tím myslíme systémy typu Asset Management nebo ještě lépe CMDB (Konfigurační databáze dle ITIL).
Kupodivu nejen IT týmy, ale dokonce i vedení některých firem považuje investici do takového systému za zbytečnou. Je to často proto, že analýza návratnosti takového projektu je náročnější, než je obvyklé. Také vzniká diskuze, zda taková evidence již není součástí ERP systému – jako evidence majetku. Evidence v ERP systému ale málokdy nabídne něco víc, než co nabízí Excel. Tyto statické evidence se v reálném provozu neustále rozcházejí se skutečným stavem, protože IT prostředky se snadno přemístí. Snad jen ve chvílích inventury se dostávají tyto evidence do souladu s reálným stavem. Vše je silně závislé na lidském faktoru a byrokratických pravidlech, jako například na předávacích protokolech. Moderní štíhlé IT ale potřebuje systém, který si zjistí většinu informací automaticky z detekce po síti, jinak se utopí v administrativě.
Jak na to s minimální investicí?
Jak zajistit, že budete mít evidenci počítačů a dalších síťových zařízení vždy aktuální? Jak vylepšit pořádek v IT vybavení a tím zároveň vylepšit i bezpečnost sítě? Na obě otázky je prostá odpověď: v co největší míře zavést automatizaci a zpětnou vazbu, aby se minimalizovaly lidské chyby. Pojďme se podívat na konkrétních příkladech, které činnosti je vhodné zautomatizovat, jaké to má výhody i nevýhody a jak tím dosáhneme bezpečnější sítě.
Microsoft Active Directory jako výchozí zdroj informací
Ideálním zdrojem informací, který se využívá ve většině podnikových sítí, je Microsoft Active Directory. Je ale nutné zajistit, aby zde byl pořádek. Často tu nacházíme „mrtvé“ účty vyřazených počítačů nebo bývalých zaměstnanců. Není nutné vysvětlovat, že tento nepořádek se velmi dotýká bezpečnosti. Pomůže tu pravidelný automatický import dat z Active Directory do Asset Managementu. Ideálně i zpětné deaktivování účtů v Active Directory, které jsou v Asset Managementu vyřazené. Je nutné si ale uvědomit, že Active Directory obsahuje pouze zařízení na platformě Windows.
Detekce zařízení a komponent po síti
Druhým zásadním zdrojem je detekce zařízení a jejich komponent po síti. Dnes tyto systémy dokáží zjistit skutečně hodně informací – jak detaily o hardwaru a jednotlivých komponentách počítačů, tak i veškeré instalované aplikace. Pro nás je zajímavé, že je možné také detekovat všechny síťové karty včetně MAC adres a poslední známé IP adresy. To nám při zvyšování bezpečnosti velmi pomůže.
Řízení DHCP serveru a síťových prvků
Pouze zařízení schválená týmem IT pak můžete z Asset Managementu importovat do nastavení DHCP serveru nebo i nastavení aktivních prvků sítě (např. VLAN). Zde často postačí pravidelně naplánovaný skript. Díky aktuálnímu seznamu MAC adres dostanou IP adresu pouze síťová zařízení evidovaná v Asset Managementu. V kombinaci s Active Directory a členstvím počítače v OU (Organisation Unit v Active Directory) a skupinách se nastaví, do jakého segmentu sítě se má připojit, jaké síťové disky a tiskárny se mají uživateli zpřístupnit. Díky tomu se do sítě nedostane žádné zařízení, které není v evidenci. Toto nejen výrazně zvýší bezpečnost sítě, ale současně zajistí zpětnou vazbu, která zaručí pořádek v evidenci IT.
Zpětná vazba zajišťující pořádek v IT evidenci
Dnes nemůže téměř žádný pracovník nebo zařízení ve společnosti fungovat offline, tedy bez napojení do sítě. Pokud připojení nefunguje, uživatel se okamžitě ozve na oddělení IT (zpětná vazba :-) ), které zajistí ihned nápravu a doplní dané zařízení (počítač, tablet, telefon, server, síťové zařízení…) do evidence včetně MAC adresy a zařadí do správného místa ve stromu (organizační jednotka / místnost, apod.). Vzhledem k tomu, že nikdo mimo odpovědné pracovníky IT nemá právo provádět změny v evidenci (Asset Managementu) nebo v Active Directory, je bezpečnost sítě zase o kus dál.
Doporučení na závěr
Zvyšování IT bezpečnosti se nevyřeší pouhým nákupem dalších technologických zařízení, ale prioritou je nastolit v IT pořádek. Pokud chcete mít pořádek efektivní a trvalý, je potřeba se podívat po moderních systémech typu Asset Management – ITAM nebo CMDB. Po systémech, které umějí snadno importovat data z Active Directory (nebo z jiného LDAP serveru), z ERP systému (evidence majetku) a především umějí také detekovat zařízení v síti a zjistit, jaký je uvnitř HW a SW a kdo dané zařízení používá (kdo se zde přihlašuje). Takový systém nejen zvýší bezpečnost, ale usnadní i provádění každodenní podpory. Ve finále tak pořádek v IT ocení i samotní uživatelé.
Jan Fiala, Aleš Studený | ALVAO
Pokud vás tento článek zaujal, registrujte si CIO Newsletter a získáte další inspirativní myšlenky z oblasti řízení IT: www.alvao.cz/cio-newsletter.