WDROŻENIE / konfiguracja w pełnym zakresie

  • Praktyka, doświadczenie

    Praktyka, doświadczenie


    już ponad 10 lat pracy z urządzeniami NETASQ/STORMSHIELD UTM uważam że, daje mi prawo złożenia oferty także Tobie.

S

tormshield UTM to przede wszystkim sonda IPS. Pozostałe funkcjonalności są w zasadzie dopełnieniem tej podstawowej właściwości. Dla administratorów nie mających dotychczas doświadczenia w konfiguracji i strojeniu układów IPS samodzielne wdrożenie STORMSHIELD UTM będzie najprawdopodobniej dość sporym kłopotem. Tym bardziej, że mnogość funkcji oraz fakt, że osiągnięcie zamierzonego celu można uzyskać w stosując różne koncepcje i sposoby konfiguracji. Mimo, że na co dzień od wielu lat mam kontakt z tym sprzętem zdarza się mi odkrywać nie znane do tej pory właściwości systemu.

N

ie chciałbym jednak aby powyżej zaprezentowane twierdzenia wywołały wrażenie, że samodzielne uruchomienie urządzenia jest zadaniem nie wykonalnym. STORMSHIELD System 2.x posiada, moim zdaniem, jeden z najlepszych interfejsów użytkownika jakie spotyka się w tego typu rozwiązaniach. Intuicyjność, elastyczność i logika interfejsu jest wartością samą w sobie. Dzięki temu praca z urządzeniem jest dużo prostsza i chroni przed popełnieniem podstawowych błędów. Nie mniej jednak brak odpowiednio długiej praktyki nawet dla najlepszych administratorów IT będzie utrudnieniem.

Wdrożenia które prowadzę posiadają również pewne cechy szkolenia. Ważne jest dla mnie aby administrator rozumiał znaczenie poszczególnych ustawień.

 

Zakres wdrożenia
N

ie jest możliwe dokładne sformułowanie elementów które będą podlegały konfiguracji. W każdym przypadku trzeba to określić indywidualnie bywa, że i w trakcie samego wdrożenia. Niektórzy wdrożeniowcy żądają, już na etapie zamówienia, zdefiniowania i spisania wszystkich elementów jakich ma dotyczyć usługa. Takie podejście oczywiście jest bardzo wygodne z punktu widzenia usługodawcy. Na początku również preferowałem takie sztywne podejście, ale to nie zdało egzaminu w praktyce. Po pierwsze klient nie zna wszystkich możliwości i ograniczeń systemu urządzenia UTM. Nie jest w stanie przewidzieć konsekwencji jakie mogą wyniknąć w wyniku zaimplementowania pewnych funkcjonalności, a które z kolei mogą być dla niego nie do zaakceptowania. Specyfika konkretnej infrastruktury sieci może wymusić przyjęcie zupełnie innych od zamierzanych rozwiązań.

K

lientowi po prostu mogą „umknąć” pewne zagadnienia. Zdarza się, choć są to nieliczne przypadki, gdy klient precyzyjnie określa swoje potrzeby i moja praca ogranicza się do przełożenia tych definicji na konfigurację maszyny. Z reguły jednak wygląda to tak, że jeszcze przed zawarcie umowy uzgadniamy zarys tego co klient chce osiągnąć oraz staram się zebrać jak najwięcej informacji o topologii sieci klienta. W wyniku takiego rozeznania określam czas jaki powinien zostać przewidziany na wdrożenia. Właściwe wdrożenie jest oparte na dyskusji z klientem i wspólnym opracowaniu koncepcji w oparciu o zastaną sytuację, możliwości, ograniczenia i potrzeby. Na tym, praktycznym etapie, istotna jest aktywne współdziałanie ze strony klienta w zakresie testowania, na bieżąco, wrażanych usług.

 

Czas wdrożenia
B

iorąc pod uwagę wszystko co napisałem powyższej precyzyjne określenie czasu wdrożenia jest trudne. Względy formalne wymuszają jednak aby ten czas był określony precyzyjnie. W praktyce, dla celów rozrachunkowych czas wdrożenia określam w dniach: 1, 2 lub 3 dni. Krytyczne z punktu widzenia czasu jest wdrożenie 1 dniowe. Może to dotyczyć jedynie sytuacji gdy konfiguracja jest na tyle prosta aby pozostało wystarczająco dużo czasu na jej weryfikację w czasie dnia pracy instytucji. Ostatni dzień wdrożenia dobrze jak dedykowany jest jedynie weryfikacji konfiguracji w warunkach pracy produkcyjnej. Częstą sytuacją jest, że w godzinach pracy instytucji sieć musi być dostępna przez cały czas w sposób nie zakłócony. Rozwiązaniem tego problemu jest przeprowadzeniu wdrożenia w sobotę (ewentualnie również w niedzielę) a poniedziałek jest przeznaczony na weryfikację.

M

oim zdaniem optymalna jest koncepcja zakupu szkolenia i wdrożenia oraz przeprowadzenia ich w sposób: czwartek, piątek – szkolenie, sobota – wdrożenia, poniedziałek – weryfikacja. Koncepcja ma dwie wady: jest najdroższa oraz wymaga pracy w sobotę, jednak daje możliwość prowadzenia operacji w sposób najmniej konfliktowy.

Jeżeli spotkasz się ze stwierdzeniem w stylu: „Nasi specjaliści są tak dobrzy, że w jeden dzień bez problemu dokonają wdrożenia urządzenia STORMSHIELD w dowolnym zakresie” – wzmóż czujność

 

Wdrożenie zdalne
N

etasq jest wyposażony we wszystkie elementy aby jego konfigurację można było przeprowadzać w sposób zdalny (szyfrowane połączenia z konsolą GUI, ograniczenie dostępu w celach administracyjnych dla określonych adresów IP, SSH).

W

drożenie zdalne może być alternatywą dla wdrożenia bezpośredniego ale jedynie pod pewnymi warunkami: topologia sieci jest przejrzysta i niezbyt zaawansowana, wybór tego rodzaju wdrożenia jest podyktowany koniecznością zredukowania kosztów.

Najnowszy firmware SNS: 3.2.1 (Release Note)
Najnowszy firmware SNSv2: 2.7.2 (Release Note)