Na redakční otázky odpovídá Marek Vitásek, Head of desktop and server, Siemens IT Solutions and Services, s.r.o.

1) Jaké by měly být hlavní cíle monitoringu sítě?

Všechny výstupu monitoringu IT prostředků, a tedy i datové sítě jako jednoho z nich, mají primárně za úkol pomoc dosažení obchodních cílů společnosti a maximální efektivity návratnosti investic do těchto prostředků. K naplnění těchto cílů napomáhá monitoring v různých úrovních.

Za základní a dnes již samozřejmou součást každého monitoringu je považována úroveň reaktivní, tedy podnět pro servicedesk a IT provoz k  řešení incidentů. V pokročilejší verzi pak úroveň proaktivní jako součást problem managementu pomáhající incidentům předcházet. Obě tyto úrovně jsou jedny z nástrojů využívaných k zajištění vyšší dostupnosti, produktivitě a business kontinuitě.

Další úroveň monitoringu napomáhá k vyhodnocování a reportování stavu využívání a zatížení jednotlivých prostředků. Na základě těchto výstupů je možno provádět jejich optimalizaci, předvídání trendu a kapacitní plánování. Dále tyto informace slouží jako podklad a nebo přímá součást KPI reportů dle příslušných OLA/SLA (Operation Level Agreement/Servis Level Agreement).

Jedna z nejvyšších úrovní monitoringu datové sítě je v oblasti IS (information security). V posledních letech je stále více kladen důraz na ochranu a zajištění duševního vlastnictví, citlivých údajů a zabránění incidentům/problémům vyvolaných útoky vnitřními nebo vnějšími. Metody využívané k zajištění vyšší IS jsou podobně jako u základní úrovně monitoringu reaktivní a proaktivní. Reaktivní nástroj IDS (Intrussion Detection System) využívá monitorování provozu datové sítě a porovnávání jednotlivých fragmentů tohoto provozu s předem nadefinovanými vzory pomocí analytických nástrojů. Na základě těchto analýz pak systém monitoringu upozorní na stav znamenající potenciální útok. Proaktivně se pak metoda IPS (Intrussion Prevention System) snaží identifikovaným útokům zabránit zablokováním závadného zdroje, změnou přenášené informace, změnou konfigurace sítě.

2) Co všechno lze z monitoringu sítě vyčíst z hlediska zajištění bezpečnosti?

Úroveň získaných informací z monitorovacího systému závisí na úrovni implementace tohoto systému. Od základních vlastností jako je dostupnost a vytížení jednotlivých systémů, přes detailní přehled datových přenosů na úrovni 3. a 4. vrstvy OSI modelu po ucelený obraz všech segmentů sítě, jejich topologie a provozu nad nimi. Mezi hlavní indikátory z hlediska IS pak patří monitorování vulnerabilit dle předem předdefinovaných vzorů, detekce posloupností informací v datových paketech dle opět předdefinovaných vzorů, detekce anomálií chování v čase (např. zvýšená zátěž pásma pakety ICMP, TCP, UDP než je v daném čase obvyklé dle podrobných krátkodobých i dlouhodobých statistik), anomálie v komunikaci jednotlivých zdrojů (např. výskyt jednoho uživatele v jednom čase z dvou a více od sebe fyzicky vzdálených částí sítě) apod.

3) Je vhodné propojit monitoring a řízení sítě, nebo jde o dvě nezávislé oblasti?

Ideální IT prostředí propojuje všechny IT nástroje a zdroje v jeden provázaný konzistentní celek, to platí i pro propojení monitoringu a řízení sítě. Takto propojené prostředí umožňuje jednodušší dohled a správu jak nad datovou sítí jako celkem, tak nad jednotlivými fragmenty sítě a závislostí mezi nimi. Umožňuje také rychlejší reakci při řešení incidentů, problémů nebo případných útoků. Zvyšuje dostupnost reportů a manažerských přehledů. Všechny tyto vlastnosti mají přímý vliv na efektivitu využívání těchto nástrojů a snižování potřebných nákladů.

4) Jak správně přistupovat k monitoringu sítě? Jaké a jak nasadit technologie/prostředky?

Jednoduchá univerzální odpověd je „s rozumem“. Neexistuje komplexní nástroj, který by se dal jednorázově aplikovat na všechna IT prostředí a zahrnoval veškerou potřebnou funkcionalitu. Na začátku je potřeba definovat základní cíle a očekávání od celého systému a to z různých pohledů více kategorií uživatelů výstupů monitoringu, jako jsou pohledy z hlediska servicedesku, provozu, manažerů i koncových uživatelů IT systémů. Následně zvážit přínosy a míru eliminovaného rizika versus výši nákladů a investice. Na základě těchto podkladů je pak možné vybrat vhodný SW/HW nástroj, nebo soubor takových nástrojů.

Nasazení monitoringu není jednorázový proces, ale postupný vývoj a přizpůsobování. Je dobré začít např. se základní úrovní monitorování incidentů a problémů s přímou vazbou na systémy a procesy servicedesku a provozu, následné nastavení závislostí a definice reportů KPI dle příslušných OLA/SLA s doladěním dle zkušeností získaných z provozu.  Pak dle potřeby a specifik konkrétních IT systému doplnit celý systém o další pokročilé nástroje jako jsou IDS, IPS a podobné.

Bezpečnostní management | Monitoring