зонтичный мониторинг что это
Система зонтичного мониторинга как важная часть SecOps
SecOps (Security Operations) — один из основных трендов в управлении информационной безопасностью (ИБ). Ключевая ценность методологии заключается в объединении усилий команды ИТ-подразделений, подразделений разработки услуг и команды ИБ для построения стабильной, безопасной и надежной ИТ-инфраструктуры предприятия. Как зонтичный мониторинг помогает совместить инструменты ИТ- и ИБ-подразделений и выстроить SecOps в компании, читайте в статье.
Централизованное управление процессами: от SOC к 360-view и зонтичному мониторингу
SecOps — это прежде всего централизованное управление процессами. Традиционно в ИБ концепция единого центра управления безопасностью — SOC — подразумевает изолированную от других подразделений работу. Тем не менее для эффективного обеспечения ИБ нужны инструменты консолидации, агрегации и анализа данных, а также управления событиями и инцидентами, относящимися как к ИТ, так и к ИБ.
Объединение потоков данных ИТ- и ИБ-мониторинга в едином «зонтичном» центре агрегации данных может решить эту проблему.
Объединение потоков данных ИТ и ИБ расширяет возможности Security Operations Center (SOC)
Создание единого центра управления всей информационно-технологической деятельностью организации выгодно и для ИТ, потому что дает возможность выстроить концепцию 360-view. Это взгляд со всех сторон на ИТ-инфраструктуру и ИТ-услуги предприятия для обеспечения их качества, надежности, безопасности и стабильности. Такой взгляд на ресурсы, пользователей и происходящие события также полезен для решения задач ИБ.
Концепция 360 важна для выстраивания эффективной работы как ИТ-, так и ИБ-подразделения
Объединить потоки данных в ИТ- и ИБ-подразделениях помогает зонтичный мониторинг и единая система управления бизнес-процессами.
Концепция зонтичного мониторинга ИТ+ИБ
В зонтичном, или комплексном, мониторинге данные из всех систем мониторинга и управления ИТ-инфраструктурой, которые используются в компании, собираются в едином центре. Информация анализируется, очищается от незначительных и некорректных событий и привязывается к ресурсно-сервисной модели ИТ-систем и услуг. Данные SIEM обогащаются информацией о состоянии ИТ-инфраструктуры и релевантных ИТ-событиях, поступивших в зонтичный мониторинг, и собираются в единой системе управления бизнес-процессами. Это помогает однозначно идентифицировать любое событие с конкретным учетным объектом и с определенной информационной системой, в рамках которой этот объект используется. В результате сотрудники ИТ- и ИБ-подразделений получают оперативную аналитику в виде дашбордов, а также площадку для взаимодействия в решении или расследовании инцидента.
Реализация зонтичного мониторинга на примере Naumen Business Service Monitoring
Таким образом, связь данных технологических систем мониторинга и управления, систем управления информационной безопасностью, SIEM-систем и процессных систем управления помогает создать некий единый центр мониторинга. С его помощью можно наблюдать инфраструктуру с технологической и бизнес-стороны, со стороны безопасности и управления.
Задачи зонтичного мониторинга
Зонтичный мониторинг помогает решить сразу несколько важных задач компании.
1. Оценка влияния события или инцидента в инфраструктуре на бизнес-процессы.
Оценивается влияние не на КЕ, сервер или коммутатор, а именно на бизнес-процессы и информационные системы, которые важны для бизнеса. Комплексный мониторинг ИТ и ИБ дает возможность связать событие с определенными рисками с точки зрения безопасности, расставить приоритеты и понять, какой реакции требует происходящее.
При этом исключаются ситуации, при которых с процессами что-то происходит, но об этом никто не знает.
2. Сокращение времени на расследование и реагирование на инциденты ИТ и ИБ, благодаря их оперативному выявлению и представлению информации о них ответственным сотрудникам.
3. Обеспечение контроля расследования и реагирования на инциденты ИБ.
Процессное решение в комплексном мониторинге обеспечивает для каждого инцидента прозрачную схему ответственности. Событие отслеживается на всех этапах жизненного цикла, информация о нем передается определенным сотрудникам для принятия решения, выполнения каких-то действий или согласований, сроки обработки контролируются. При этом время на реакцию устанавливается в соответствии с приоритетом инцидента, который рассчитывается на основании ресурсно-сервисной модели, модели рисков, влияния на бизнес и на конечных пользователей ИТ-услуг.
4. Применение предиктивной аналитики для проактивного предупреждения инцидентов.
В перспективе инциденты можно будет предсказывать еще до того, как они возникнут, окажут реальное влияние на бизнес или пользователей и принесут материальный ущерб. Как показывает практика, до 30% ИТ-инцидентов могут быть предсказаны заранее, и предотвратить их проще, чем потом устранять последствия.
Шаги к достижению целевой зрелости
Реализацию комплексного мониторинга можно разбить на 3 основных этапа.
Достижение целевой зрелости процессов возможно только поэтапно
Первично реализуется процесс управления событиями ИБ. Уже произошедшие в инфраструктуре события запускаются в процессную платформу, управляются с точки зрения выделения ресурсов, контроля сроков, жизненного цикла, своевременного информирования и отчетности. Параллельно выстраиваются процессы управления ИТ-подразделением: инцидентами, изменениями и конфигурациями.
После эти события обогащаются информацией из ИТ-инфраструктуры, дополняются данными из реальных систем управления, таких как система управления виртуализацией. Выстраивается весь процесс работы и реакции ответственных сотрудников.
Далее строится процесс управления инцидентами ИБ, который предполагает уже проведение расследований, реакцию ответственных сотрудников на события или комплексы событий, которые в конечном итоге представляют собой инцидент.
Реализовать зонтичный мониторинг помогают инновационные процессные, мониторинговые и управленческие платформы. Такие как Naumen Business Services Monitoring, Ankey SIEM и Naumen Service Desk. При этом источником данных для комплексного мониторинга может быть потенциально любая система, которая связана с ИТ или с ИБ и способна передать информацию в систему зонтичного мониторинга для дальнейшего накопления и анализа.
Держим всё под контролем: сравнение систем зонтичного мониторинга
IT-технологии развиваются всё стремительнее, поэтому системным администраторам приходится контролировать всё большее число процессов. Но поставленные задачи прекрасно облегчают инструменты мониторинга: к примеру, условный Zabbix прекрасно следит за инфраструктурой, а какой-либо 24×7 не даёт потерять клиентов в онлайн-магазине.
Но мониторинга всё равно слишком много, и мы сейчас говорим как о большом количестве однотипных средств, так и об огромном ассортименте инструментов, направленных на решение всевозможных задач. И здесь могут помочь системы зонтичного мониторинга и управления событиями — они упрощают работу технических специалистов, т. к. обеспечивают единую систему управления ИТ-службой.
Сравнивая такие системы, нужно сначала определить критерии сравнения:
С критериями всё понятно, теперь давайте подробнее рассмотрим несколько систем мониторинга.
Hewlett Packard Enterprise
Эта система выделяется наличием ресурсно-сервисной модели. По сути, перед нами конструктор со множеством модулей, которые позволяют решать многие задачи. Если нужна новая функция, нужно приобретать соответствующий модуль. К сожалению, внешние интеграции не предусмотрены, поэтому пользователь становится в каком-то смысле заложником системы.
BigPanda
Главный плюс — открытые API, позволяющие интегрироваться со множеством внешних систем. В целом это относительно стабильный и надёжный продукт с простыми настройками и понятным интерфейсом. И очень хорошей техподдержкой, что не может не радовать.
Pagerduty
Гибкая и надёжная система с обширными возможностями по внешним интеграциям и внушительной библиотекой документации, на изучение которой может уйти много времени. А изучать придётся, ведь настройки не совсем понятны на первый взгляд. Но это только первоначальные трудности, потом работа не представляет сложности.
Monitis
Система проста и наглядна, что достигается за счёт упрощения функциональности. Она в большей степени заточена под веб-мониторинг и справляется со своими задачами прекрасно, хотя хотелось бы видеть более широкие функциональные возможности. В связи с чем, кстати, некоторые считают её цену завышенной.
Zidium
Отечественный продукт для мониторинга сайтов и приложений, а также инфраструктурного мониторинга. Предлагает разные варианты развёртывания, есть бесплатный тариф с лимитами.
Что касается охвата, то вот итоговая таблица:
Зонтичный мониторинг ИТ-ресурсов
Любой современный бизнес зависит от ИТ. Однако в наше время ИТ поддерживают не только отдельные ИТ-ресурсы или ИТ-процессы, они как минимум обеспечивают предоставление ИТ-услуг, как максиму качественное ИТ обеспечение бизнес процессов. Именно такая сервисная модель требует комплексного подхода к управлению ИТ. Поэтому заказчики всё чаще переходят о использования разрозненного к централизованному зонтичному мониторингу, охватывающему все информационные системы и всё оборудование в единой «панели управления».
Зонтичный мониторинг позволяет бизнесу выявить реальную эффективность ИТ их непосредственное влияние на работоспособность компании в целом. Достигается это благодаря сбору информации со всех источниках ИТ-инфраструктуры и информационных систем, выстраивания сервисно-ресурсных моделей, привязки к этим моделям ключевых показателей эффективности и визуализации этих моделей в режиме близком к реальному времени. В компаниях и организациях, где используются разрозненные средства мониторинга, отсутствует единое представление об ИТ-инфраструктуре и как следствие о влиянии того или иного события на качество предоставления ИТ услуг. Зонтичный мониторинг позволяет связать все воедино и организовать управление из единой консоли.
Что касается преимуществ для бизнеса, то внедрение системы зонтичного мониторинга позволяет, прежде всего, сократить время на выявление возможных проблем, которые могут привести к сбоям в работе оборудования и информационных систем. Системным администраторам не нужно перемещаться между несколькими открытыми окнами различных систем мониторинга, пытаясь свести несколько графиков и визуально оценить те или иные закономерности и взаимосвязи. Решение для зонтичного мониторинга само предоставляет такую аналитическую информацию, а также сигнализирует о первопричинах инцидентов в работе оборудования и ПО.
Кроме того, консолидированное предоставление информации позволит избежать перенаправления запросов от администратора к администратору, из отдела в отдел, что довольно часто случается. Таким образом, бизнес может переориентировать своих ИТ-специалистов с рутинной работы на решение более важных задач, ведь от 70 до 90% рабочего времени ИТ-специалистов уходит на поддержку существующей инфраструктуры, поэтому на внедрение новых технологий остается не так уж и много.
Одним из наиболее развитых комплексных решений для зонтичного мониторинга ИТ-активов компании можно назвать HPE Operations Bridge, от компании Hewlett Packard Enterprise которое является эволюционной вехой развития «классической» системы мониторинга HPE Operation Manager, существующей на рынке уже много лет и имеющей версии для различных операционных систем. Несмотря на многолетнюю популярность и огромное количество заказчиков, HPE Operation Manager использует уже морально устаревающие технологии, такие, как, например, Java-консоли. В свою очередь в основе HPE Operations Manager I, консоли событий HPE Operations Bridge, лежат технологии HTML5, новые методы управления агентами, новые подходы к визуализации данных и т.д. Одним из наиболее ярких нововведений является поддержка «Больших данных». Таким образом, методы HPE Operation Manager не только улучшились технологически, но и обогатились интеграционными возможностями по взаимодействию с внешними системами. Важно отметить, что пользователи HPE Operation Manager могут безболезненно с помощью техподдержки разработчика перейти на HPE Operations Bridge, доустановив новые компоненты и постепенно перенеся функциональность на новые продукты.
Помимо консоли событий HPE Operations Manager I, в состав HPE Operations Bridge входят такие базовые компоненты, как подсистема мониторинга многозвенных приложений Monitoring Automation, cистема сбора исторической информации и построения отчетов Service Health Reporter, механизм корреляции событий по топологии TBEC, а также агенты сбора данных HPE Operations Agent и система безагентского мониторинга HPE SiteScope. Если раньше у компании HPE существовал ряд разрозненных продуктов для сбора информации и мониторинга ИТ-активов, то сегодня они представлены в виде комплексного интегрированного решения.
Возможности HPE Operations Bridge позволяют не только следить за состоянием оборудования, но и анализировать производительность и работоспособность используемых приложений, как системных, так и прикладных с точки зрения реального пользователя. Мониторинг строится на основе многоуровневой модели, а на самом верхнем уровне формируется сервисно-ресурсная модель, отражающая состояние того сервиса, который ИТ оказывает своим пользователям.
В основе HPE Operations Bridge лежит модульная архитектура и коллекторы — сборщики данных, которые собирают информацию с различных систем. К примеру, для получения информации по работе виртуальной инфраструктуры используется коллектор Cloud Optimizer. За сбор данных о работе СХД отвечает коллектор Storage Operations Manager. Получением сведений о работе сети занимается сборщик Network Node Manager I. Фактически, на основе потока данных, получаемых от сборщиков-коллекторов, и формируется сервисно-ресурсная модель. Все коллекторы являются опциональными. При необходимости заказчик может подключить к HPE Operations Bridge любую внешнюю систему мониторинга, в том числе и от стороннего производителя, для этой цели разработчики предлагают целый ряд адаптеров. В этом случае информация, получаемая из этой системы также будет задействована при построении сервисно-ресурсной модели. Среди поддерживаемых сторонних систем можно упомянуть продукты компаний IBM, CA, BMC Software, а также приложения с открытым кодом Nagios и Zabbix. Для интеграции не поддерживаемых систем можно использовать BSM-коннекторы. Заказчики, заключившие контракт на техническую поддержку HP Operations Bridge, получают такие интеграционные услуги бесплатно.
HPE Operations Bridge устанавливается на ИТ-инфраструктуре заказчика, но при необходимости заказчики могут воспользоваться облачными услугами по мониторингу ИТ-активов, которые предоставляют многочисленные российские партнеры Hewlett Packard Enterprise либо SaaS-сервисами компании по ИТ-мониторингу.
Решение HPE Operations Bridge предлагается в трех редакциях. Младшая Express предусматривает установку консоли HP Operations Manager I и ряда сборщиков данных, редакция Premium, предусматривает также возможность накопления метрик и статистики в базе данных на основе «Больших данных» и построения на аналитических отчетов с помощью компонента Operation Bridge Reporter, а также возможность корреляции сервисно-ресурсной модели. Редакция Ultimate включает в себя, помимо всего вышеупомянутого, систему управления ИТ-инфраструктурой HPE Operations Orchestrator и систему визуализации для бизнеса Business Value Dashboard.
Изначально среди потенциальных заказчиков HPE Operations Bridge компания Hewlett Packard Enterprise видела представителей среднего и крупного бизнеса. Но с появлением доступной по цене редакции Express, данное решение может заинтересовать и малый бизнес, заинтересованный в поддержке и мониторинге своей ИТ-инфраструктуры. Минимальное лицензионное ограничение составляет 50 серверов, поэтому данное предложение может быть особенно актуально для технологических компаний, располагающих большим серверным парком и ограниченным штатом сотрудников — провайдеров интернет и телеком-услуг, коммерческих дата-центров и т.д. Первые внедрения HPE Operations Bridge в России уже состоялись. Заказчиками стали представители банковского сектора.
“Зонтичный” мониторинг: перископ для бизнеса
Решение HPE Operations Bridge в представлении не нуждается. Множество компаний используют его в качестве эффективного инструмента для обработки событийной информации, которая поступает от отдельных компонентов ИТ-инфраструктуры. Однако это решение может быть масштабировано для инфраструктуры в целом — подобно «зонтику», собирающему и анализирующему данные со всех систем, находящихся в пределах его охвата.
Для чего же нужен «зонтичный» мониторинг? Если поинтересоваться историей развития информационных технологий, можно увидеть, что разрозненные средства мониторинга появились как ответ на потребности администраторов тех или иных систем. С появлением новых типов ИТ-решений возникала необходимость отслеживать их состояние и работоспособность. Администраторам были необходимы всё более эффективные средства контроля, поэтому утилиты для мониторинга постоянно совершенствовались. А затем и руководители компаний стали отчетливо осознавать, насколько важна роль информационных технологий в организации их бизнеса. Соответственно, у них тоже появилась потребность в инструментах, позволяющих увидеть и оценить не только то, в каком состоянии находятся ИТ-ресурсы в текущий момент времени, но и как их можно будет использовать для реализации новых задач — открытия офисов, разработки продуктов, вывода услуг и т.д.
Представителям бизнеса нужна в первую очередь предсказуемость: понимание того, какие ИТ-активы имеются в их распоряжении, в какой степени их сотрудники обладают необходимыми знаниями, насколько выгодно сейчас компании с практической точки зрения инвестировать в современные технологии и наращивать компетенции. Когда появились такие вопросы, стало понятно, что отдельные утилиты для мониторинга, о которых мы говорили выше, не помогут дать исчерпывающие ответы. Дополнительные скрипты и надстройки верхнего уровня над техническими утилитами администрирования тоже не позволяли справиться с этой проблемой. Поэтому разработчики начали постепенно наращивать функциональность утилит, добавлять возможности корреляции, выявления и обогащения информации, анализа статистических данных — вплоть до выявления неизвестных проблем и выяснения степени влияния ИТ-метрик на бизнес-метрики. Однако одновременно надо было решить и ещё одну глобальную задачу: интегрировать и консолидировать все разрозненные средства мониторинга, которые уже применялись в компаниях на протяжении многих лет.
В результате поиска способа решения этой задачи и появились системы «зонтичного» мониторинга ИТ-инфраструктуры, например HPE Operations Bridge, которая, по сути, представляет собой набор компонентов. Если заказчик заинтересован в чётком понимании ситуации и снижении фактора неопределённости для принятия управленческих решений, значит, он уже вполне «дорос» до внедрения «зонтичного» мониторинга и выбора соответствующего решения.
Решение HPE Operation Bridge включает в себя несколько ключевых компонентов, или модулей. Остановимся на них поподробнее. Самое главное, что нужно сделать для запуска процесса мониторинга, — собрать информацию. Поэтому сначала расскажем о компоненте, задача которого состоит в консолидации информации, поступающей от различных источников, — Operations Manager I (OMI). В базовом варианте он выполняет свое главное предназначение — консолидирует событийную информацию, приоритизирует, автоматически распределяет по группам и назначает ответственных лиц. Существует множество дополнений к OMI. Одно из них отвечает за обеспечение корреляции. Поддерживается два типа корреляции: поточная (ожидание определенных событий) и топологическая (распространение события по всей топологии инфраструктуры; работает на основе CMDB). Топологическая носит динамический характер, поэтому меняется автоматически, если, например, физическое оборудование или виртуальную среду перемещают из одного хоста в другой. Кроме того, предприятие может создавать собственные корреляционные схемы отдельных участков ИТ-инфраструктуры, а при обнаружении аналогичных участков в целевой сервисно-ресурсной модели эта схема будет автоматически распространяться и на них: на основе их взаимосвязей будет выстроена общая корреляционная схема. Это может быть очень полезно, если у компании имеется разветвлённая территориально-распределённая сеть филиалов, каждый из которых предоставляет одинаковые услуги или продукты. Если схема меняется в одном месте, корреляционные связи будут автоматически перестроены.
Добавление новых элементов в ИТ-инфраструктуру, находящуюся под «зонтиком», должно осуществляться автоматически, это упростит процесс администрирования. Поэтому следующий модуль HPE Operation Bridge — Monitoring Automation — отвечает за автоматизацию настроек мониторинга и аудита. С его помощью новый сервер или другое оборудование, а также виртуальная среда, добавленная в ИТ-инфраструктуру, смогут автоматически подключиться к периметру мониторинга сервисно-ресурсной модели, после чего на неё будут распространены заданные политики по мониторингу. Таким образом сокращается объём рутинных операций по настройке мониторинга, а предприятие получает полную картину всей схемы мониторинга ИТ-ресурсов. В случае изменения роли сервера в сервисно-ресурсной модели от ненужных политик отказываются и подключают новые. В итоге снижается количество ложных сообщений мониторинга.
Неотъемлемым элементом мониторинга ИТ-инфраструктуры является формирование отчётности. За это отвечает модуль Operations Bridge Reporter. Он даёт возможность получать сквозную отчётность по всей услуге — начиная от состояния бизнес-процесса до каждого компонента ИТ-инфраструктуры, обеспечивающей его работу. Заказчик может настроить форму предоставления этих отчётов в соответствии со своими предпочтениями. В основе Operations Bridge Reporter лежит СУБД Vertica, специально предназначенная для обработки Больших данных. Таким образом, руководитель компании может самостоятельно определить степень загруженности оборудования и принять решение, стоит ли пополнить парк устройств в случае увеличения объемов продаж или расширения услуг либо достаточно существующих ресурсов. Подобную отчётность можно получать не только по оборудованию, но и по приложениям, сетевой нагрузке и т.д.
Визуализация данных не менее важна, чем гибкая отчётность. За нее также отвечает специальный модуль — Business Value Dashboard. Он позволяет создавать информационные панели, на которые можно выводить финансовые, технические и иные материалы. Все они визуализируются и подаются в формате, наиболее подходящем для конкретного пользователя, будь это генеральный директор или рядовой сотрудник. Модуль выпущен всего два года назад, но уже есть интересные сценарии его применения. Так, европейская компания WindPark, специализирующаяся на ветряной энергетике, использует HP Operation Bridge для мониторинга работы ветряных генераторов энергии. Визуализированные данные о силе ветра, а также о количестве вырабатываемой электроэнергии компания получает посредством Business Value Dashboard. Дело в том, что HPE Operation Bridge можно использовать для мониторинга не только ИТ-ресурсов, но и производственных и инженерных систем. Разумеется, она не заменит специальные решения для контроля за инженерными системами, но успешно сопоставит информацию об их работе с данными в бизнес-приложениях.
Иногда на предприятиях происходят различные инциденты, связанные с работой ИТ-инфраструктуры, которые требуют расследования и выявления причин их возникновения. В таком случае на помощь придет еще один компонент в составе HPE Operation Bridge — Operations Analytics, отвечающий за выявление нештатных ситуаций. Его можно условно назвать «машиной времени», поскольку, используя поступившую в систему информацию, он анализирует её с точки зрения взаимосвязей и выявляет скрытые тренды. К примеру, при неполадках в системе этот модуль способен проанализировать лог-файл, найти данные, свидетельствующие о причинах сбоя, и предоставить визуализированную информацию о взаимосвязи событий, повлекших неисправности. Подобная функция очень полезна при разборе инцидентов, поскольку позволяет определить, что стало первопричиной «падения» системы. Для этого достаточно откатить «бегунок» на информационной панели назад, до начала цепочки неисправностей. Модуль Operations Analytics использует СУБД Vertica, поэтому он может работать с Большими данными.
Как известно, системные администраторы обязаны регулярно проверять работоспособность ИТ-ресурсов, за которые они несут ответственность. Модуль Operations Orchestration позволяет автоматизировать рутинные операции по проверке информационных систем, он способен полностью заменить ручную проверку или самописные скрипты.
Помимо перечисленных базовых модулей, HPE Operation Bridge включает в себя еще несколько опциональных дополнений, отвечающих за управление мощностями, сетевой мониторинг, организацию сбора данных с помощью агентов или коллекторов. Последнее необходимо в тех случаях, когда для мониторинга всех имеющихся ИТ-ресурсов заказчик использует только решения компании Hewlett Packard Enterprise. Если на нижнем уровне работают системы для ИТ-мониторинга от сторонних производителей (Zabbix, IBM Tivoli и другие), а HPE Operation Bridge применяется в качестве «зонтика», установка коллекторов не нужна. Дело в том, что HPE Operation Bridge получает из внешних систем, как минимум, топологию, события и метрики производительности.
Когда HPE Operation Bridge внедряется с нуля, самый оптимальный вариант — использование комплексного решения, обеспечивающего как сбор данных, так и аналитику. В дальнейшем это позволит компании существенно сэкономить, в том числе на обучении, а также снизить риски. По мере развития бизнеса такое решение можно наращивать. Более сложной является задача развертывания подобной системы в организации, где отдельные утилиты для мониторинга ИТ-ресурсов уже были внедрены. Поскольку сотрудники выработали определенные привычки, придется столкнуться с лоббированием интересов, разного рода опасениями или нежеланием перехода на другие решения. В таких случаях успеха можно добиться не с помощью приказа «сверху», а путем мотивирования каждого сотрудника к переходу на новые технологии. В этой связи полезно сравнить возможности и удобство старых и новых инструментов.
Раньше нередко говорили о том, что бизнес-руководителю нужен «светофор», то есть максимально простое решение. Это не совсем так. Топ-менеджеру необходимо знать несколько вещей: где возникла проблема, кто за неё несет ответственность, работают ли уже над ее устранением и когда будет восстановлена услуга или бизнес-процесс. Все эти задачи поможет решить «зонтичный» мониторинг.