Что и зачем почитать DevSecOps-у: личный опыт / Хабр

Что такое прокси

Чтобы специалистам, работающим с DLP, было проще ориентироваться на этапы работ сразу после внедрения и в процессе эксплуатации, я подготовил чек‑лист.

DLP от базовых настроек до продвинутой аналитики

Привет, я Артемий, архитектор систем информационной безопасности группы компаний «Гарда». Моя карьера в ИБ началась с работы у крупного производителя систем предотвращения утечек информации на позиции «Аналитик внедрения». Аналитики – это эксперты вендора по настройке пользовательских правил под бизнес-процессы заказчика. Мы помогаем формулировать требования к системе, готовим концепции настроек и использования лучших практик систем. Поработав у нескольких разработчиков DLP, я проанализировал сотни документов, написал множество регулярных выражений, сформировал десятки ворк-эраундов, а также провел неисчисляемое количество часов в тюнинге настроек правил DLP-систем.

По мере накопления опыта и обратной связи от клиентов я заметил, что многие заказчики, покупая DLP-систему, используют правила «из коробки». Без корректно настроенных правил система генерирует много мусорного трафика, при этом эффективно пользоваться продуктом становится практически невозможно. Чтобы помочь начинающим аналитикам DLP-систем разобраться в особенностях настройки различных технологий и правил, появилась идея переложить мои практические навыки и знания «на бумагу».

Опытным аналитикам эта статья может показаться банальной, но для новичков, а также для CISO без бюджета на консалтинговые и аналитические услуги от интегратора или вендора, этот материал станет полезным.

Будем искать ответы на следующие вопросы:

  • что такое DLP и как работает DLP-система;
  • что делать сразу после внедрения;
  • как поддерживать правила в DLP-системе;
  • на основе чего строить правила политик.

Я старался не фокусироваться на продуктах конкретных производителей и описал принципы работы с DLP-системой на конкретных примерах, учитывая стандартные возможности большинства российских продуктов этого класса. Главная задача статьи – передать опыт внедрений и рассказать, как решать проблемы при настройке аналитической составляющей системы.

Что такое DLP?

DLP (Data Leak Prevention) — это система обнаружения и предотвращения утечек конфиденциальной информации или сведений, составляющих коммерческую тайну. DLP предназначена для мониторинга (аудита) трафика организации на соответствие заданной политике безопасности, предоставления информации для внутренних расследований и ведения архива данных с возможностью ретроспективного анализа. Решение используется службами информационной безопасности вне зависимости от отрасли бизнеса.

Типовая архитектура

Типовая архитектура DLP

Перед тем, как система сможет проанализировать трафик, этот трафик необходимо в систему подать. В типовом варианте у различных DLP-решений присутствует два способа подачи трафика на комплекс: централизованный (через точки «общего» трафика) и децентрализованный (агенты).

Централизованных способа три:

  1. Подача почтового трафика с почтового сервера методами smtp-relay или bcc.
  2. Подача веб-трафика с прокси-серверов, поддерживающих протокол ICAP.
  3. Подача сетевого трафика с помощью зеркалирования трафика в комплекс.

К децентрализованному сбору трафика относится агентское решение.

На конечное устройство пользователей в корпоративной сети устанавливается специальная программа-перехватчик (агент) в скрытом или видимом режиме, которая журналирует действия пользователя. Как показывает практика построения комплексной защиты, чаще всего используется гибридный метод, чтобы охватить как можно больше событий: агенты + почта + SPAN.

Архитектурно комплекс работает следующим образом. На анализатор подается трафик из различных источников (см. выше). К этому трафику применяются настроенные правила реагирования — политики, после чего создаются события информационной безопасности. Затем уже сформированные события отправляются в хранилище для последующего ретроспективного анализа.

Что такое аналитическая настройка системы?

По завершению физического внедрения DLP в продуктовой среде на систему подают трафик, устанавливают агентов. Система работает, но количество срабатываний по политикам по умолчанию превышает 10 000/сутки, система «тонет» в ЛПС (ложноположительные срабатывания — легитимное событие, на которое система реагирует) и ЛОС (ложноотрицательные срабатывания — событие с нарушением политик, которое система пропускает). Получается классическая ситуация: «Система работает, но не срабатывает». Важно — без соответствующих настроек, то есть по умолчанию, система не понимает, что именно для конкретного заказчика критично, поэтому всегда будет работать неудовлетворительно.

Что делать дальше? Как сделать срабатывания более эффективными, качественными?

Необходимо настроить аналитическую часть системы — она отвечает за корректные срабатывания. Для этого в DLP существуют конструкторы политик безопасности — определенные правила, которые необходимо настраивать на старте боевого внедрения. В общем смысле эти правила и являются олицетворением политик ИБ. DLP должна отличать чувствительные данные от менее критичных, каким пользователям необходимо установить усиленный контроль, мониторить отдельные каналы (почта, мессенджеры, копирование на внешние носители и так далее).

Обычно политики состоят из сочетаний нескольких групп параметров:

  • периметры (направление адресатов);
  • информационные потоки/инфо-объекты/активы/объекты защиты. Это непосредственно контент актива, который мы защищаем: слова из документа, шаблон кредитной карты и т.д.;
  • дополнительные параметры (IP, порт, URL, расширение файла).

Для настройки детектирования контента и важных фрагментов-триггеров внутри документов (грифы, паспортные данные, номера кредитных карт и тому подобное) в системах DLP используются технологии контентного анализа. Разберем те, что представлены в большинстве DLP-систем.

Технологии контентного анализа

Лингвистический анализ

Технология лингвистического анализа позволяет настроить список слов или фраз для анализа текстовой информации. При перехвате текстового файла в потоке трафика DLP-система сравнивает наличие слов из списка в перехваченном документе и, если такие слова встречаются в определенном количестве, создает событие.

Лингвистический анализ позволяет решить следующие задачи:

  1. Классифицировать документы: финансы, бухгалтерия, конструкторская документация и т.д.
  2. Если документ имеет общий шаблон, но какая-то часть документа изменяется регулярно, например, шаблоны бланков, то технология помогает детектировать такие шаблоны.
  3. Детектирование по триггерам (например, по словам в общении работников, связанных с незаконными действиями, обсуждением руководства, ненормативной лексикой и др.).

Регулярные выражения (RegExp или иные)

Если в случае с набором слов все понятно, то что делать с наборами цифр или сочетаниями цифр и букв в документе? Как отличить гриф от фразы в тексте? На помощь приходят регулярные выражения. Это формальный язык, который позволяет описывать варианты последовательностей символов. С помощью регулярных выражений система детектирует конкретный объект (номера карт, паспортные данные, номера деталей и так далее).

Важно понимать, что актив — это не всегда конкретный документ. Например, утечка паспортных данных в теле письма — тоже потенциальное нарушение. Актив — это конкретные данные в документе. Для детектирования активов регулярные выражения подходят наилучшим образом.

Как отличить конкретный номер документа (Пример: УРН 34П65), который проставляется на документы в организации, от любого другого номера?

Рассмотрим примеры применения регулярных выражений.

1. Регулярное выражение позволяет детектировать не просто сам актив, но и окружающие его символы. В случае детектирования грифа «Коммерческая тайна» необходимо описать регулярное выражение:

(r|n|t|^)((КОММЕРЧЕСКАЯ ТАЙНА)|(КТ)|([Кк]оммерческая [Тт]айна))(r|n|t|$)

где r|n|tуправляющая последовательность «возврат каретки»,

управляющая последовательность «горизонтальный табулятор»,

управляющая последовательность «перевод строки» соответственно,

^ и $начало строки и конец строки соответственно.

«Коммерческая тайна» в разных вариантах написания: разный регистр, табуляцией вначале и конце и так далее.

При такой форме описания объекта можно не переживать за ЛПС в обычном тексте (например, в подписи письма), при этом детектирование грифа «Коммерческая тайна» будет производиться корректно.

2. Не всегда получается ориентироваться на конкретный документ, так как слова внутри встречаются общие (например, любая форма договора). В таком случае приходится искать какой-то признак важности документа. Например, учетный номер документа.

Предположим, есть условный УРН (учетный регистрационный номер) – такой номер в организации проставляется на все важные документы. По регламенту компании наличие этого номера в заданном формате автоматически делает документ конфиденциальным.

Зная алгоритм формирования УРН, можно настроить регулярное выражение:

где УРНфиксированные символы,

[0-9]встречающиеся символы,

количество предыдущих символов,

(Д|А) Ддействующий, Аархивный.

Пример для проверки регулярного выражения: УРН 11А56.

Подобные документы передаются по каналам коммуникаций с уже проставленным номером. Это, как правило, скан-копии документов. Это значит, что мы говорим о детектировании растровых изображений (pdf-, image-форматах).

Для детектирования подобных кейсов зачастую DLP-системы имеют встроенный OCR-модуль, позволяющий извлекать текст из изображений. Дальше этот текст направляется на анализ всем вышеперечисленным технологиям.

Цифровые отпечатки

Под цифровыми отпечатками подразумеваются неизменяемые документы или файлы. Например, у ресторана есть свой рецепт блюда, этот рецепт статичен и никогда не изменяется. Файл, содержащий описание рецепта, необходимо защищать.

Технология работает просто: документ загружается в базу DLP как эталонный. Система записывает хеш этого документа (алгоритмы хеширования: SHA-1, MDA-5, SHA-256 или выше), после чего сверяет в проходящем трафике хеши всех передаваемых документов с базой эталонного и, если хеши совпадают, система подсвечивает срабатывание.

  1. Технология используется как для бинарных файлов, так и для текстовых. То есть если необходимо детектировать с помощью DLP конкретную аудиозапись, то данная технология будет решением.
  2. Простота настройки. Один клик — система все запоминает и в дальнейшем работает автоматически.

Минусы слабая устойчивость к внесению изменений в файлы. Например, в эталоны загружается jpg‑файл и в DLP‑системе формируется эталонный хеш. Если злоумышленник при передаче меняет один пиксель в исходном файле, то хеш в этом передаваемом файле меняется. Как итог — DLP‑система не обнаружит инцидент и срабатывания не будет.

ML-модели

Что делать с изображениями паспортов, СНИЛС, водительских удостоверений и с другими графическими персональными данными (сканы, в частности), в которых логика построения элементов внутри одинаковая, но сами изображения всегда разные?

Для таких случаев существуют технологии машинного обучения для детектирования похожих картинок.

В некоторых DLP‑системах имеется ML‑модель (machine learning — от англ. машинное обучение), которая уже обучена на часто встречающиеся персональные данные: разворот паспорта, лицевая сторона СНИЛС и так далее.

Мы рассмотрели технологии контентного анализ, которые помогают определять содержимое файлов, но необходимо помнить, что сама политика безопасности формируется не только из технологий, но и из дополнительных параметров. Рассмотрим типовые дополнительные параметры.

Дополнительные параметры для настроек политик

Отправитель-получатель

Типовым сценарием для политики является настройка отправителя и получателя, что позволяет описывать направление движения трафика. Пример: «если сотрудник А отправит файл НЕ сотруднику Б, то это нарушение».

Обычно отправителем считается не один пользователь, а целый домен (практически у всех DLP‑систем имеется интеграция с системой каталогов пользователей по LDAP (протокол интеграции с Active Directory — самой распространенной на данный момент службой каталогов), который содержит информацию о сотрудниках организации, рабочей почте и так далее). Соответственно, все, что циркулирует в рамках домена подозрений не вызывает, а то, что выходит за пределы домена, требует контроля.

Каналы передачи данных (каналы коммуникаций)

В начале мы говорили о точках съема трафика для DLP: почта (почтовый сервер организации), мессенджеры, физические интерфейсы (копирование на внешние съемные носители), кейлогеры (запись нажатия клавиш), веб-трафик, облачные хранилища, буфер обмена и так далее. Каналы можно выбирать в политиках информационной безопасности, чтобы уменьшить количество ЛПС. Например, регулярное выражение, которое корректно реагирует на почтовые события, может генерировать большое количество ложных срабатываний на события кейлогера или веб-трафика. В таком случае в качестве канала передачи данных достаточно выбрать только почту.

Хост (по IP) для недоменных машин

В таком случае к домену конкретная машина никак не привязана, а единственным критерием для детектирования будет IP.

Сигнатуры файлов

Речь идет о MIME-типах файлов, не просто о расширении. Отличительной особенностью детектирования таких типов является то, что сигнатура файла не меняется, даже если меняется расширение.

Пользователь

Сотрудник (как правило, используется OU — organizational user, название подразделения в службе каталогов) из системы каталогов Active Directory.

Откуда брать базу документов для формирования политик безопасности

Итак, я описал общие принципы контентного анализа и того, как вообще система понимает, что находится внутри того или иного файла, или сообщения. Как работает DLP и как насыщать ее данными стало понятнее, но откуда взять эти данные в каждой отдельной организации? Как понять, какая информация критична для организации, а какая нет?

Любые настройки политик по защите данных представляют собой перенос регламентов компании/требований законодательства с бумаги в систему. Следуя этой логике, в первую очередь необходимо определить, что в конкретной компании считается безопасным взаимодействием, а что запрещено; что считается конфиденциальной информацией, а что нет.

Для этого существуют различные регламенты по безопасности. Необходимо прочитать документы, описывающие технологический процесс обработки информации.

Например, в документе может быть указано: «К коммерческой тайне относятся следующие документы: „Конкурсная документация“». Соответственно, необходимо настроить политику на детектирование данного рода документов с использованием какой‑то из технологий контентного анализа. Вопрос № 2 — где взять шаблон документов или посмотреть примеры?

Можно запросить примеры всех важных документов у владельцев процессов информационного обмена: по конкурсной документации — у отдела закупок, по конструкторским документам — у отдела по разработке и так далее.

А что делать, если регламентов нет? В таком случае стоит провести аудит путем интервьюирования владельцев бизнес-процессов: опросить начальников отделов и департаментов о том, с какой информацией они работают и что, с их точки зрения, является важным. Только они знают, утечка какой информации действительно будет критична. А что еще важнее – они понимают, как работает конкретный процесс.

Когда удастся получить важные документы, можно приступать к непосредственной настройке аналитической части.

ВАЖНО!

Когда идет речь о мониторинге конфиденциальных данных, имеется ввиду контроль конкретных объектов – будь то номера паспортов отдельно от документа или скан-копия самого документа.

Реальные примеры

Задача 1. Необходимо контролировать конструкторскую документацию (чертежи).

Риски: Любые чертежи в организации – это разработка, ноу-хау компании, утечкой которой смогут воспользоваться конкуренты во вред компании. При этом по регламенту, как правило, запрещено передавать подобного рода данные за периметр организации.

Целевая отрасль: производство.

Решение: политика детектирования сигнатур чертежей.

Загрузить всю базу конструкторской документации видится непосильной задачей, так как каждый день в организации появляются новые чертежи, многие устаревают. Значит мониторинг подойдет только на один важный проект и то на короткое время.

Можно детектировать все расширения, доступные DLP-системе от конкретного поставщика, вместе с сигнатурами данного типа файлов. Часто DLP уже содержат в себе предустановленные расширения для конструкторской документации (AutoCAD, dwg и так далее). Соответственно, политика будет выглядеть следующим образом:

  • Отправитель ≠ Компания (имеется ввиду домен службы каталогов);
  • Получатель ≠ Компания;
  • Формат файла = Конструкторская документация (предустановленный перечень сигнатур, MIME-типы файлов).

Такая политика покроет отправку во вне любой конструкторской документации, но в компании могут использоваться сигнатуры, которых нет у вендора DLP. Эту задачу тоже можно частично решить – добавить расширение как регулярное выражение для поиска в имени файла (пример регулярного выражения для расширения dwg: .dwg$ )*.Само регулярное выражение можно проверить на сайте https://regex101.com/, если у вендора нет встроенной проверки.

*Если злоумышленник поменяет расширение, то DLP все равно увидит сигнатуру и проанализирует ее по полному стеку применяемых технологий. В случае с контролем только расширения, при его смене DLP уже ничего не задетектирует.

А что делать, если конструкторская документация в формате pdf?

В таком случае подойдет обучение системы на изображениях чертежей (pdf, jpeg и других). Необходимо собрать все похожие чертежи и попросить вендора обучить систему или обучить самостоятельно, если система позволяет это сделать.

  1. Настроить политику на детектирование сигнатуры конструкторской документации.
  2. Настроить мониторинг специфичных расширений компании, если такие имеются.
  3. Включить обучение ML-моделей на детектирование изображений конкретных чертежей.

Если настроить представленные три политики, то большая часть задач по данному направлению закроется.

Задача 2. Необходимо детектировать отправку запароленных архивов вовне.

Риски: пересылка запароленных архивов – всегда потенциально критична, так как нет контроля за информацией, которую отправили в этом «ящике Пандоры».

Целевая отрасль: любая.

Решение 1. Политика определения запароленных активов.

Настройка выглядит следующим образом:

  • Отправитель = Любой;
  • Получатель ≠ Компания;
  • Формат файла = Запароленные архивы (предустановленный перечень сигнатур, MIME-типы файлов).

Данная политика позволит детектировать отправку запароленных архивов.

Если же необходимо вскрыть запароленный архив — можно настроить дополнительную политику, которая будет детектировать весь текст ввода с клавиатуры в конкретных приложениях. Если архив защищают паролем [АН3] на рабочей станции с DLP‑агентом, то, как правило, это делают в типовых приложениях (7z, 7zip, RAR и так далее), и можно настроить политику на взаимодействие с типовым ПО.

К сожалению, если архив попал на АРМ уже запароленным, то шансы вскрыть его без применения специализированных средств стремятся к нулю.

Решение 2. Политика детектирования ввода текста с клавиатуры (ввода пароля) в приложениях-архиваторах.

Настройка выглядит следующим образом:

  • Отправитель = Любой;
  • Получатель = Любой;
  • Канал перехвата = Кейлогер (ввод с клавиатуры);
  • Приложение = Список имени приложений (заранее необходимо настроить список всех .exe-архиваторов).

Примерный список процессов программ-архиваторов, который можно загрузить в DLP-систему: *WinRar*; *WinZip*; *7z*; *7-z*.

Задача 3: Детектирование отправки конкурсной документации за пределы периметра организации.

Риски: разглашение результатов конкурса другим участникам, разглашение промежуточных результатов конкурса с указанием цен поставщиков.

Целевая отрасль: любая.

Как правило, шаблон на конкурс у компании свой, значения внутри меняются: имя компании, предмет конкурса, цена и так далее., но сам документ имеет определенные термины, которые встречают у всех организаций.

Просто добавить такой документ в систему, как хеш, недостаточно. Необходимо проанализировать документ и добавить конкретные слова и словосочетания в словарь приложения/политики.

1. Поставить на контроль сам документ по конкурсной документации, создав правило:

Словарь: Заказчик, Поставщик, Объект закупки, Конкурсная документация, Цена контракта, Порядок оплаты, Требования к участникам закупки, участники закупки.

2. Мониторить характерные слова. Предположим, мы знаем участников конкурса: ООО «Ромашка», ГК «Рога и копыта». В документе есть слово «Цена», после которого всегда идет запись формата: «800000 РУБ. за ед. товара».

Поэтому для мониторинга утечки результатов конкурса можем так и указать

где d — соответствует любой цифре от 0 до 9,

— поиск не менее 1 и не более 10 вхождений предыдущего выражения,

s* — любое кол-во пробела от 0 до бесконечности,

. — экранирование знака «.»,

[Рр] — любой из 2-х символов.

Пример для проверки регулярного выражения: 4545454550 РУБ. за ед. товара.

Итак, решением станет политика:

  • Отправитель = Компания;
  • Получатель = Не компания;
  • Регулярное выражение выше, и термин «Цена», и список «Компании, участвующие в конкурсе».

Задача 4: Отправка списка с индивидуальными условиями (цены, информация о скидке) и персональными данными (номер телефона, паспортные данные, номер дебетовой карты) по любому из каналов передачи данных.

Риски: слив персональных данных, а также цен и условий скидок. Это чревато коммерческими и репутационными потерями, переманиванием клиентов конкурентами, и штрафами за нарушение требований законодательства в области защиты персональных данных.

Целевая отрасль: ритейл, банки и иные организации, работающие с клиентской базой.

Решение: политика детектирования персональных данных клиентов или сотрудников:

  • Отправитель = Компания;
  • Получатель ≠ Компания;
  • Детектирование (шаблона кредитных карт или Паспортных данных (шаблона) или шаблона номеров телефонов) в количестве больше пяти штук. Как правило, у большинства вендоров эти регулярные выражения уже имеются.

Таким образом, адаптируя настройки под свою компанию, инфраструктуру, особенности бизнеса и конкретную отрасль, можно значительно улучшить результативность работы DLP.

Неочевидные возможности DLP-систем

Зачастую DLP воспринимается только как система мониторинга корпоративной почты и еще некоторых каналов передачи данных. Мы говорили о них выше.

На самом же деле в DLP есть много смежных функций, которые напрямую или косвенно могут выполнять задачи других средств защиты информации. Например, сканировать сетевые хранилища на наличие критических данных внутри, что является прямым функционалом DAG-систем.

Разберем конкретные варианты:

1. Сканирование рабочих станций на предмет хранения конфиденциальных файлов (элемент DCAP- и DAG-систем).

Многие DLP-системы имеют встроенный поисковый робот, краулер, который позволяет при помощи агента или по SMB-протоколу сканировать рабочие места, а также файловые хранилища на наличие конкретных файлов. Поэтому, если задача состоит именно в том, чтобы провести ревизию рабочих мест, то встроенного модуля будет более чем достаточно.

2. Мониторинг запуска средств администрирования на рабочих станциях (функция PAM).

Нередко встает задача мониторинга использования средств администрирования и повышения прав пользователей.

Риски: Злоупотребление средствами администрирования на рабочих машинах пользователя.

Целевая отрасль: любая.

Решение: политика детектирования ввода с клавиатуры с термином из списка: admin, root, superuser, su, sudo в приложениях из списка: «ssh.exe, powershell.exe, WinSC.exe, putty.exe, cmd.exe, Code.exe, WindowsTerminal.exe, OpenConsole.exe».

3. Мониторинг ввода стандартных паролей (элемент Менеджера паролей).

Риски: многие пользователи при работе с корпоративными сервисами устанавливают стандартные пароли, такие пароли злоумышленнику просто подобрать. Ввод стандартных паролей необходимо детектировать с помощью кейлогера.

Решение: политика по детектированию ввода стандартных паролей в корпоративных приложениях.

  • Канал передачи = ввод с клавиатуры;
  • Термины из списка:
    1. 123456789
    2. 1000000
    3. 12345678
    4. 12345
    5. 123123
    6. 12345zz
    7. qwerty
    8. Qwerty123
    9. 1234567890
    10. 123456
  • Процесс = Корпоративные приложения (у каждой компании это свои .exe).

Что такое прокси

Вт-Сб. 10-18 ч. по МСК

Страница не найдена.
Вернитесь на главную

© Надежный хостинг «Евробайт™»
2010-2024
Эл. почта: support@eurobyte.ru

Принимаем к оплате

  • Проверить аттестат

On our site you can pay
for services with cryptocurrency

Зарегистрироваться
или напомнить пароль

Уже зарегистрированы ? Войти или напомнить пароль

Поле заполнено неправильно

Нажимая кнопку «зарегистрироваться», вы соглашаетесь с политикой обработки персональных данных

  • Виртуальный хостинг
  • CMS-хостинг
  • VIP-хостинг
  • VPS/VDS
  • Аренда сервера

Оплата за месяц

Выберите шаблон ОС

Выберите период оплаты

Немного подождите, мы генерируем пароль.

Спасибо, что выбрали нашу компанию

Ваш логин:
Ваш пароль:

Получите месяц бесплатного хостинга!

Пополните счёт на сумму равную или больше 50₽ и получите месяц бесплатного хостинга по выбранному тарифу. Подробнее

Если вы удалите созданную при регистрации услугу, то бесплатный месяц не будет активирован.

Войти в панель управления

На указанный адрес вы получите ссылку для восстановления пароля

Войти или зарегистрироваться

Методология DevOps

Книга:
The Phoenix Project: A Novel about IT, DevOps, and Helping Your Business Win. Авторы: Gene Kim, Kevin Behr, George Spafford.

Почему нужно это прочитать?

Это база, буквально библия DevOps. В ней художественным языком объясняют, что такое DevOps, для чего эта методология придумана и как она помогает компаниям развиваться и приносить пользу. Очень простые и понятные сравнения DevOps со смежными сферами, так еще и объясняется, для чего таки нужна методология Agile.

Личный опыт

  • Бизнес-подход к собственной (и не только!) работе. На какую бы должность я ни переходил, я начинал изучать не только обязанности своей позиции и отдела в целом, но и то, как деятельность этого отдела влияет на управление/департамент. Теперь я стал больше анализировать вертикальные и горизонтальные бизнес-процессы. Тогда приходит осознание, как ты и твой отдел можете помочь компании ускорить какие-либо процессы, заработать больше денег.
  • Приоритизация задач. Быстро стало понятно, что надо дробить конкретные задачи и затраченное на них время, исходя из самого типа работы: когда я брал их необдуманно — быстро зарывался в технических долгах.
  • Познание того самого Agile. Kanban и Scrum очень помогают в повседневной работе и даже в жизни. С ними намного легче ставить конкретные цели, отчитываться стейкхолдерам и руководству.

Ключевые тезисы книги

Именно из этой книги я узнал про концепцию «три пути DevOps», которая описывает главные принципы и подходы для успешного внедрения DevOps в организации.

  • Первый: системное мышление. Важность понимания всей системы и устранения слабых мест.
  • Второй: обратная связь. Постоянное улучшение через обратную связь на всех этапах разработки и эксплуатации.
  • Третий: постоянное обучение и эксперименты. Культура, в которой поощряются инновации и принятие ошибок как возможности для роста.
  1. «Бизнес-проекты». Это работа, направленная на создание ценности для бизнеса. Такие проекты включают разработку новых продуктов или функций, обновления и улучшения, которые помогают организации расти или предоставлять новые услуги клиентам. Пример: создание нового веб-сайта, мобильного приложения или новой функциональности в существующей системе.
  2. «Внутренние IT-проекты (IT-инициативы)». Работа, связанная с улучшением или поддержкой внутренней IT-инфраструктуры компании. Эти проекты не всегда напрямую связаны с добавлением ценности для клиента, но важны для обеспечения стабильности и производительности бизнеса. Пример: обновление серверов, миграция на новые технологии, улучшение безопасности системы.
  3. «Неожиданная работа (пожары)». Это непредсказуемые задачи, которые возникают в результате инцидентов, проблем или сбоев. Часто такие работы мешают плановым задачам и могут снизить производительность всей команды. В DevOps крайне важно минимизировать неожиданную работу через автоматизацию, мониторинг и улучшение процессов. Пример: устранение аварий на сервере, решение проблем безопасности, срочный откат изменений.
  4. «Устранение технического долга». Технический долг — это результат быстрых решений или компромиссов, принятых во время разработки, которые со временем становятся проблемами для поддержания системы. Устранение технического долга — это работа по улучшению кода, архитектуры и инфраструктуры для увеличения стабильности и снижения затрат на поддержку. Пример: рефакторинг устаревшего кода, модернизация системы, устранение зависимостей от старых технологий.

Как подключить VPN на школьном Chromebook

Как подключить VPN на школьном Chromebook? Вы застряли в школе и отчаянно хотите использовать VPN, но ваш школьный Chromebook вам не позволяет? Ну тогда этот пост в блоге…

Поскольку удаленная работа становится все более распространенной, виртуальные частные сети (VPN) стали для компаний важнейшим инструментом обеспечения безопасного удаленного доступа к их внутренней сети. FortiClient VPN — это…

Виды прокси-серверов

Обычно классифицируют так:

  • протокол передачи данных — HTTP, HTTPS, Socks;
  • технология анонимности — прозрачные, искажающие, анонимные;
  • периодичность смены IP — статические и динамические:
  • уровень доступа — публичные и приватные;
  • размещение — серверные, резидентные и мобильные.

Провайдеры часто предлагают готовые сборки, в которых критерии подобраны с учетом разных задач, отсюда разная стоимость и эффективность.

По используемым протоколам

Протокол передачи данных — это «язык», на котором узлы и устройства общаются между собой. Большинство приложений и онлайн-сервисов, как правило, поддерживают какой-то конкретный протокол, с ограниченным набором правил и соглашений.

В основном выбирают между HTTPS и SOCKS:

  1. HTTP(S) — базовый выбор для больших объемов интернет-трафика. Поддерживает кэширование, допускает гибкую настройку уровней анонимности. Суффикс S означает версию, расширенную за счет SSL/TLS-шифрования. Проще говоря, такие прокси лучше защищают конфиденциальную информацию.
  2. SOCKS4 (5) — сейчас наиболее надежная технология. Умеет работать в сетях, которые поддерживают протоколы другого типа. Версия 5 поддерживает сетевой протокол UDP и обеспечивает комфортное взаимодействие устройств и ресурсов через IPv4 и IPv6.

Для корпоративного использования приоритет у SOCKS5: они лучше маскируют информацию, совместимы с большинством приложений и сервисов и обладают высокой скоростью передачи. Если ваши цели — бытовая анонимность и безопасность, достаточно HTTPS.

По степени анонимности

Способность прятать данные — едва ли не самая востребованная функция прокси-сервера. Критериями эффективности выступают два фактора: передает ли сервер информацию об использовании и по какому принципу маскирует реальный адрес клиента.

Прозрачные — низшая ступень. Они не скрывают IP и прямо говорят, что коммуникация идет через фильтр. Но назвать их бесполезными нельзя: они умеют кэшировать данные, а значит экономят трафик и ускоряют загрузку.

Искажающие меняют или прячут часть IP-адреса, но подтверждают участие сервера-посредника. Подойдут для начального уровня защиты, однако инкогнито субъекта легко раскрыть по оставшимся данным.

Анонимные — самый продвинутый вариант из общедоступных. Полностью заменяют IP пользователя, но указывают факт использования сервера-посредника в HTTP-заголовках.

Большинство сетевых задач легко решаются при помощи анонимных прокси. Если хотите абсолютную скрытность, рассмотрите обращение к элитным. Такие узлы полностью исключают возможность идентификации реального клиента и его обращение через посредника, но стоит дороже.

По доступности адресов другим пользователям

Деление происходит по частоте смены пула IP-адресов, полученных через прокси-сервер.

Статические IP принадлежат одному владельцу и не меняются в течение оплаченного периода. Их не используют для создания анонимности. Зато они полезны при запуске технологий, связанных с автоматизацией процессов. Например, для распределения нагрузки на серверы.

Динамические предполагают регулярную смену IP-адреса в ответ на запрос или через установленные интервалы времени. Отследить трафик, все время проходящий через разные IP, намного сложнее, поэтому динамические серверы востребованы больше.

По уровню доступа

По количеству пользователей прокси делятся на публичные и приватные.

Публичные общедоступны, бесплатны, зачастую без регистрации. Следствием становится их перманентный бан, перегруз и медлительность, отсутствие анонимности и сбор ваших личных данных.

Приватные закрыты для свободного входа, платные и требуют авторизации. Риск лишиться инкогнито минимален: информацией о владельце располагает только провайдер, который не хранит логи. Его репутация и доход зависит от умения беречь тайны клиентов.

По типу размещения

Параметры характеризуют локализацию.

Серверные расположены в дата-центрах. Они могут использоваться параллельно несколькими клиентами, недорого стоят, обладают умеренной скоростью, низким пингом, но легко идентифицируются как прокси. Подходят для простых задач.

Резидентные арендуются провайдером у реальных людей с различным ГЕО, поэтому сайты и приложения не считают их прокси и практически не блокируют. Стоят дороже серверных, но более функциональны и стабильны.

Мобильные аналогичны резидентным, но за них отвечают сотовые операторы. Особенность — общий IP-адрес для множества клиентов, на одном могут «висеть» тысячи устройств. Из-за этого внешние системы, например, соцсети редко блокируют «вредные» мобильные прокси, опасаясь потери законопослушной целевой аудитории.

Какой прокси-сервер выбрать: простому человеку незачем задумываться о типе размещения шлюза, через который он постит фото в заблокированную соцсеть, ему подойдет серверный. Для профессиональных задач, требующих скорости и стабильности процессов, лучше выбирать из резидентных или мобильных.

Какие есть риски использования прокси?

Несмотря на ряд преимуществ, использование прокси-сервера предполагает некоторые риски. При желании скрытую сервером-посредником информацию все же можно узнать. Тут все зависит от надежности прокси — от того, как он передает данные, шифрует ли их и скрывает ли свою работу от интернет-ресурсов. Кроме того, владельцы прокси видят всю информацию пользователей в незашифрованном виде.

Прежде чем устанавливать себе такой сервер, лучше убедиться в том, что компания-провайдер заслуживает доверия

В целом, прокси — достаточно удобный способ защиты данных в интернете, который легко настроить без дополнительных программ. Также он помогает получить доступ к заблокированным ресурсам без сложных схем обхода блокировок.

Что касается корпоративной сферы — там прокси незаменим для регулирования доступа к посторонним сайтам и анализа действий сотрудников, что помогает защитить бизнес от утечки информации и других угроз.

Источники:

https://habr.com/ru/companies/garda/articles/847692/&rut=db96c92a3f4cbbbe8af25e4b4a023ab049c18cf96d531318fdb49cb62a2a4420
https://eurobyte.ru/articles/chto-takoe-proxy/&rut=72bca949855d903be16425d7532ba7de8eb4d3a096deae8411ea35312376b982
https://habr.com/ru/companies/kaspersky/articles/845458/&rut=4c468b722da939fb7c54f80ffcee47b1b8978ca49dc6e8988bac2cf044e5a303
https://informationsecurityasia.com/ru/what-is-a-proxy/&rut=243271bd5eba1766e6cada6ad8237f5232dd691257ed2686edc408ec662a91c3
https://rb.ru/opinion/what-is-proxy-server/&rut=addcd96812fb3c66f1999842de9e59ae6815b786131df4f7b161ee0c764caa87
https://news.rambler.ru/tech/51154982-chto-takoe-proksi-server-i-kak-on-rabotaet-kak-nastroit-horoshiy-proksi/&rut=4a9762eb580d9fd9e0d523879e4002d7e683fa20a44fce0c36b1e8b4b0e9b20a