IT-Security Step-by-step

Працюючи в одній із компаній, я зіткнувся з терміном "пілотний проект".

При цьому в жодній документації (стандартах чи політиках) не було цього поняття. Та й ніхто до ладу роз'яснити його не міг. Менеджери з продажу партнерів чи дистриб'юторів активно пропонували провести пілот їхніх рішень "за безкоштовно".

Тільки як проводити те, чого немає у документації? Воно поза правилами і навіщо ті правила свідомо порушувати?

Тестове середовище, виробниче середовище, середовище розробки були.
Тобто, були тестовий проект та впровадження/розгортання рішення у виробничому середовищі або у середовищі розробки.

При цьому "на словах" начальство ніби розуміло, що пілотний проект або пілот - це можливість потестувати рішення на живих виробничих даних, але в обмеженому сегменті мережі та на обмеженій кількості користувачів або пристроїв. При цьому це все було напівлегально та неофіційно.
Тобто, якесь неіснуюче де-факто, за яке, якщо щось піде не так, обов'язково покарають.

При цьому залишається питання: обмежена кількість користувачів або пристроїв - це скільки? 10 - це багато чи мало? А 50? Це багато чи ще мало? Результати, які будуть отримані на такій кількості, будуть адекватними для цього конкретного виробничого середовища підприємства?

Для того, щоб не було таких слизьких моментів, потрібно вчитися, вчитися і ще раз вчитися. А краще насамперед читати документацію передових вендорів 🙂

Компанія Microsoft, наприклад, ділить проекти в ІТ-інфраструктурі на кола розгортання.

Підхід на основі кола – це метод визначення набору кінцевих точок для підключення та перевірки відповідності певним критеріям перед розгортанням служби / рішення на великому наборі пристроїв.

Для продукту Microsoft Defender це виглядає так:

Коло розгортання	Опис
Оцінка	Коло 1. Визначте 50 пристроїв для підключення до служби для тестування.
Пілотний проект	Коло 2. Визначення та підключення наступних 50–100 кінцевих точок у робочому середовищі. Microsoft Defender для кінцевої точки підтримує різні кінцеві точки, які можна підключити до служби. Для отримання додаткових відомостей див. у розділі Вибір способу розгортання.
Повне розгортання	Коло 3. Розгортання служби в іншому середовищі з великим кроком. Для отримання додаткових відомостей див. у статті Початок роботи з розгортанням Microsoft Defender для кінцевої точки.

Джерело:
https://learn.microsoft.com/ru-ru/microsoft-365/security/defender-endpoint/onboarding?view=o365-worldwide#deploy-using-a-ring-based-approach

Іншими словами, оцінка – це тестовий проект.
Повне розгортання - це рішення, яке працює у робочому виробничому середовищі.
Отже, приходимо і до наступного:

Пілотний проект / пілот – це можливість використання 50-100 одиниць обладнання у виробничому середовищі підприємства.

Користуємося!
 

💻 На стартову сторінку

 

Побудова віртуальної інфраструктури на базі Microsoft Azure







Приклад обсягу завдань за налаштуванням:

№ п/п	Блок завдань	Найменування завдань	Кіл-сть	GPO	Трудомісткість
1	Мережа	Створення віртуальної мережі VNet	1		0,2
		Мережа / ємність	1		0,2
		Адресний простір	1		0,2
		Підмережа	1		0,2
		Створення шлюза за умовчанням	1		0,2
		Розташування ресурсу (Західна Європа)	1		0,2
2	VM	Створення віртуальної машини
		DC1	1		2
		FS1	1		2
		WS1	1		2
		WS2	1		2
		DevS1/RDS	1		2
3	AD	Active Directory	1		1
		Адміністратори	1		0,1
		Групи	1	1	0,1
		Користувачі	1		0,1
		Comps	1		0,1
		Сервери	1		0,1
4	DNS	DNS	1		1
		transfers
		hints
		zones
5	Time	Time	1		0,5
6	FS1	Shares (Мережеві ресурси, що розділяються)
		Групи мережевого каталогу	1	1	0,4
		Особисті каталоги
		Рольовий доступ до мережевого ресурсу	1	1	0,4
		Спільний доступ до мережевого каталогу	1	1	0,4
		загальний доступ до мережевого каталогу - диск Z
7	DevS1/RDS	Налаштування термінального доступу	1		2
		заборона до буфера обміну	1	1	0,1
		заборона "прокидання" локальних дисків	1	1	0,1
		налаштування робочого столу	1	1	0,1
		налаштування перенаправлення папок користувача	1	1	0,5
8	AD	Active Directory
		Створення облікових записів	1		0,5
		GPO (для нових серверів, облікових записів, перенаправлення папок і мережевих дисків через GPO)	8	8	1
9	WS1	Налаштування IIS	1		1
		внутрішній доступ	1		0,4
		доступ для дизайнера по ftp	1		0,4
10	WS2	Налаштування IIS	1		1
		зовнішній доступ	1		0,4
		доступ для дизайнера по ftp	1		0,4
		Всього:			23

Azure. Приблизний чек-лист віртуальної мережі https://bga68comp.dreamwidth.org/4272.html
Приклад опису архітектури системи згідно TOGAF https://bga68comp.dreamwidth.org/787432.html