Описание программного обеспечения, архитектуры, установки и управления Ideco Center.
Описание продукта
Ideco Center
Ideco Center — система управления инфраструктурой Ideco NGFW, предназначенная для эксплуатации в корпоративных и территориально распределённых сетях. Решение позволяет управлять несколькими экземплярами Ideco NGFW из единой точки и снижает операционные затраты при масштабировании инфраструктуры. Ideco Center актуален при наличии пяти и более экземпляров Ideco NGFW, при филиальной или распределённой структуре сети, при необходимости унификации политик и централизованного контроля изменений.
Архитектурные принципы
Ideco Center не участвует в обработке пользовательского трафика и разворачивается как самостоятельный компонент.
Потеря центральной консоли не приводит к остановке работы NGFW: применённые ранее политики продолжают действовать.
При восстановлении доступности управление продолжается без ручного вмешательства.
Архитектура Ideco Center принципиально отличается от решений, где отказ центральной консоли влияет на функционирование управляемых устройств. Потеря связи с системой управления не приводит к деградации защиты.
Функциональные возможности
Функция; Описание
Управление политиками; Централизованное управление правилами фильтрации, объектами и настройками всех подключённых экземпляров NGFW из единого интерфейса.
Агрегация журналов; Сбор данных эксплуатации с подключённых NGFW. Передача во внешние системы по протоколу syslog.
Управление VPP-контекстами; Управление политиками для высокопроизводительных VPP-контекстов из центральной консоли.
Интеграция с внешними системами; Выгрузка событий в SIEM. Интеграция с контроллерами домена (Active Directory). REST API.
Кластер системы управления; Геораспределённый отказоустойчивый кластер из двух экземпляров без требования прямого соединения между узлами.
Ideco Center устанавливается на выделенный физический сервер или виртуальную машину. Установка выполняется с ISO-образа
Порядок установки
Скачайте ISO-образ
со страницы загрузки. Проверьте целостность файла по SHA-256.
Подготовьте носитель
Запишите образ на USB-накопитель или смонтируйте как виртуальный диск для гипервизора.
Загрузите сервер
с подготовленного носителя и следуйте инструкциям установщика. Задайте параметры сетевого интерфейса.
После установки
откройте веб-интерфейс Ideco Center по IP-адресу сервера. Выполните первоначальную настройку и добавьте экземпляры NGFW.
Кластерное развёртывание
Для обеспечения отказоустойчивости системы управления Ideco Center поддерживает развёртывание геораспределённого кластера из двух экземпляров.
Узлы кластера не требуют прямого сетевого соединения между собой.
Узлы могут быть размещены в разных дата-центрах и географических локациях.
При отказе одного узла управление автоматически переходит ко второму.
После восстановления узла система автоматически возвращается в штатный режим.
Кластеризация Ideco Center обеспечивает устойчивость системы управления, а не обработки трафика. Работа NGFW продолжается при недоступности любого из узлов кластера.
Серверы
Управление серверами Ideco NGFW
Раздел «Серверы» в интерфейсе Ideco Center отображает все подключённые экземпляры Ideco NGFW и их текущее состояние.
Подключение NGFW к Ideco Center
Для подключения экземпляра Ideco NGFW к центральной консоли необходим установленный модуль подключения в каждом NGFW. Модуль лицензируется отдельно, срок его действия синхронизирован со сроком security updates Ideco NGFW.
В интерфейсе Ideco Center перейдите в раздел «Серверы» и нажмите «Добавить сервер».
Укажите адрес и учётные данные подключаемого экземпляра Ideco NGFW.
После подключения сервер появится в списке и будет доступен для централизованного управления политиками.
Мониторинг состояния
Ideco Center отображает текущее состояние каждого подключённого NGFW. Журналы синхронизируются в центральную консоль и доступны для анализа и выгрузки во внешние системы.
Параметр; Описание
Статус подключения; Отображает доступность экземпляра NGFW и его связь с центральной консолью.
Версия ПО; Текущая версия Ideco NGFW, установленная на подключённом сервере.
Журналы; Агрегированные данные эксплуатации с подключённых NGFW.
Синхронизация политик; Статус применения централизованно управляемых политик безопасности.
Раздел «Политики и объекты» позволяет управлять правилами фильтрации и объектами сразу для всех подключённых экземпляров Ideco NGFW из единого интерфейса.
Принцип работы
Изменения, внесённые через Ideco Center, применяются централизованно на все указанные узлы. Это исключает необходимость входить на каждый NGFW отдельно и повторять однотипные действия вручную.
Если срок лицензии модуля подключения истёк, ранее применённые политики продолжают действовать. Новые изменения из Ideco Center на данный NGFW не применяются до восстановления лицензии.
Объекты
Объекты — именованные сущности (IP-адреса, подсети, группы, сервисы), используемые в правилах фильтрации. Централизованное управление объектами позволяет создать единый набор определений и применять его на всей инфраструктуре без ручной синхронизации между узлами.
Правила фильтрации
Правила фильтрации трафика управляются в Ideco Center и применяются к выбранным экземплярам NGFW. Поддерживаются правила межсетевого экрана, контроля приложений и фильтрации контента.
Изменения применяются централизованно без входа на каждый узел.
Контроль версий политик упрощает аудит изменений.
При недоступности центральной консоли текущие политики продолжают действовать на каждом NGFW независимо.
Сервисы
Управление сервисами
Раздел «Сервисы» в Ideco Center содержит настройки, относящиеся к функционированию самой центральной консоли: сетевые параметры, интеграции с внешними системами и управление доступом.
Интеграция с Active Directory
Ideco Center поддерживает интеграцию с контроллерами домена. Это позволяет использовать корпоративную учётную запись для аутентификации администраторов в центральной консоли.
Выгрузка событий в SIEM
Централизованные журналы с подключённых NGFW могут быть переданы во внешние системы по протоколу syslog. Это обеспечивает консолидацию событий безопасности в корпоративной SIEM без настройки выгрузки на каждом узле отдельно.
Параметр сервиса; Описание
Сетевые интерфейсы; Настройка сетевых параметров сервера Ideco Center.
Администраторы; Управление учётными записями администраторов консоли и правами доступа.
Syslog; Настройка адреса и порта внешней системы для выгрузки событий безопасности.
Active Directory; Параметры подключения к контроллеру домена для аутентификации администраторов.
REST API; Параметры доступа к API для интеграции с внутренними инструментами SOC и автоматизации управления.
Лицензия системы управления;Право использования Ideco Center. Программная лицензия;На экземпляр центральной консоли
Модуль подключения;Право подключения Ideco NGFW к Ideco Center. Срок действия синхронизирован со сроком security updates NGFW;В каждом подключаемом экземпляре Ideco NGFW
Если срок лицензии на модуль подключения NGFW истёк:
NGFW остаётся подключённым к Ideco Center.
Ранее применённые политики продолжают работать.
Новые изменения из Ideco Center на данный NGFW не применяются.
Защита сети сохраняется на текущем уровне.
Такой режим исключает внезапную потерю конфигурации и сохраняет стабильность инфраструктуры при истечении срока лицензии.
Переход для действующих пользователей
Для заказчиков, которые уже используют Ideco Center на момент введения лицензирования: право использования центральной консоли предоставляется бесплатно. Для существующих NGFW предоставляется модуль подключения на срок действия их security updates.
Экспуатация
Информация для эксплуатации Ideco Center
1. Указания по эксплуатации
При эксплуатации программы для ЭВМ «Ideco Center» должны соблюдаться следующие ограничения, условия и организационно-технические меры.
не допускается использование программного обеспечения для обработки информации, содержащей сведения, составляющие государственную тайну;
должен быть назначен администратор Ideco Center, ответственный за корректность централизованно распространяемых политик, профилей безопасности, объектов и настроек;
должны обеспечиваться идентификация и аутентификация администратора перед предоставлением доступа к функциям управления, а также применяться ролевое разграничение доступа;
должна обеспечиваться сохранность идентификаторов, паролей, токенов лицензирования и иных аутентификационных данных;
должен быть ограничен доступ посторонних лиц к серверу Ideco Center и рабочему месту администратора, а также обеспечена физическая защита оборудования;
для администрирования должны использоваться только доверенные каналы связи, включая защищенный веб-интерфейс по HTTPS и, при необходимости, SSH-доступ исключительно из локальных сетей;
должно вестись не менее двух актуальных резервных копий конфигурации с регулярной проверкой возможности восстановления из резервной копии;
должны выполняться периодический контроль целостности, проверка настроек безопасности, анализ журналов и мониторинг состояния сервера;
обновление программного обеспечения и связанной документации должно выполняться в соответствии с регламентом организации и рекомендациями производителя;
администрирование должно осуществляться с рабочего места, защищенного актуальными средствами антивирусной защиты и иными организационно-техническими мерами безопасности;
Следует учитывать, что Ideco Center представляет собой центральную консоль управления и не участвует в обработке пользовательского трафика. Отказ Ideco Center не приводит к остановке работы уже подключенных и ранее настроенных серверов Ideco NGFW, однако делает недоступным выполнение централизованных операций управления до момента восстановления работоспособности сервера.
3. Последовательность действий, обеспечивающих загрузку, запуск, выполнение и завершение программы
Ниже приведена последовательность действий администратора, обеспечивающая установку, запуск, штатную эксплуатацию и завершение работы с программным комплексом Ideco Center.
3.1. Получение дистрибутива и подготовка к установке
Скачать дистрибутив Ideco Center.
Подготовить установочный USB-носитель и серверное оборудование, предназначенное для развертывания Ideco Center.
Результатом выполнения указанных действий является наличие установочного носителя и дистрибутива, пригодных для установки экземпляра программного обеспечения Ideco Center.
3.2. Установка и первичный запуск
Загрузить сервер с USB-носителя и в установочном меню выбрать пункт Install Ideco CC.
Выбрать диск для установки и подтвердить ознакомление с предупреждением об уничтожении данных на выбранном диске.
Выбрать временную зону сервера и проверить дату и время.
По завершении установки извлечь USB-носитель и дождаться приглашения к созданию учетной записи администратора.
Создать учетную запись администратора, после чего перейти к настройке сетевого интерфейса управления.
В локальном интерфейсе выбрать раздел Ethernet-интерфейсы, создать интерфейс управления, выбрать порт, указать имя интерфейса и роль CP, затем настроить адрес автоматически по DHCP или вручную.
Результатом выполнения указанной последовательности действий является установленный экземпляр Ideco Center с созданной учетной записью администратора и настроенным интерфейсом Control Plane.
3.3. Вход в веб-интерфейс и начало работы
Запустить поддерживаемый браузер на рабочем месте администратора.
В адресной строке открыть веб-интерфейс Ideco Center по адресу вида https://<IP-адрес-интерфейса-CP>:8443.
При появлении предупреждения браузера о сертификате подтвердить подключение либо предварительно установить корневой сертификат в доверенное хранилище ОС.
Ввести логин и пароль администратора и выполнить вход в систему.
После успешного прохождения аутентификации администратору предоставляется доступ к веб-интерфейсу Ideco Center.
3.4. Основные действия в процессе эксплуатации
Основные действия администратора, выполняемые в рамках штатной эксплуатации Ideco Center, приведены в таблице.
Операция; Раздел интерфейса; Ожидаемый результат
Управление группами серверов и объектами; Политики и объекты; Обеспечено создание или изменение групп серверов Ideco NGFW, объектов, профилей и централизованных политик с последующим распространением на подключенные узлы.
Просмотр журналов и событий; Отчеты и журналы → Система; Обеспечен доступ к журналам Ideco Center и подключенных Ideco NGFW, а также к средствам фильтрации, поиска и последующей выгрузки данных.
Резервное копирование; Управление сервером → Бэкапы; Обеспечено создание ручной или автоматической резервной копии. При необходимости доступно полное либо мгновенное восстановление.
Обновление системы; Управление сервером → Обновления; Обеспечена настройка автоматического режима либо выполнены ручная загрузка и применение новой версии с последующей перезагрузкой сервера.
Мониторинг состояния; Мониторинг, Мониторинг → SNMP; Обеспечен сбор данных по SNMP либо через Zabbix-агент для контроля загрузки CPU, памяти, дисковой подсистемы и трафика.
Сервисный доступ; Управление сервером → Администраторы, Терминал; Обеспечен SSH-доступ из локальных сетей и возможность выполнения сервисных операций через терминал и локальное меню.
Открыть раздел Отчеты и журналы и перейти в подраздел Система.
Выбрать источник данных: собственные логи Ideco Center либо журналы подключенных серверов Ideco NGFW, если на них включена отправка журналов в Ideco Center.
При необходимости выполнить фильтрацию, поиск, группировку и выгрузку журналов для последующего анализа.
Для просмотра расширенного срока хранения системных журналов использовать раздел Управление сервером → Терминал.
В Ideco Center доступны журналы системных событий, действий администраторов, аутентификации администраторов, а также журналы отдельных служб. Срок хранения записей в разделе «Система» составляет 90 дней. Для аудита изменений конфигурации используется журнал действий администраторов, в который включаются операции, выполненные из веб-интерфейса, локального меню и терминала.
3.6. Резервное копирование и восстановление
Для настройки автоматического резервного копирования перейти в раздел Управление сервером → Бэкапы → Настройки.
Указать время ежедневного создания копии, срок хранения и при необходимости параметры выгрузки на FTP или NetBIOS (CIFS).
Для создания ручной копии открыть раздел Управление сервером → Бэкапы → Бэкапы, нажать Добавить и указать комментарий к резервной копии.
Для восстановления выбрать существующий бэкап и использовать вариант Полное восстановление либо Мгновенное восстановление в зависимости от сценария. Полное восстановление выполняется с перезагрузкой сервера. Мгновенное восстановление выполняется без перезагрузки, однако допускается только для совпадающей версии.
3.7. Обновление программного обеспечения
Перейти в раздел Управление сервером → Обновления.
Выбрать режим обновления: автоматический или ручной.
Для автоматического режима указать канал обновлений, параметры отложенного обновления, день недели и час автоматической перезагрузки.
Для ручного режима скачать ISO-образ новой версии из MY.IDECO и загрузить его в систему.
После применения обновления выполнить перезагрузку сервера и проверить отображение новой версии в веб-интерфейсе. Ideco Center поддерживает каналы обновлений «Релиз» и «Тестовый».
После применения обновления выполнить перезагрузку сервера и проверить отображение новой версии в веб-интерфейсе. Ideco Center поддерживает каналы обновлений «Релиз» и «Тестовый».
3.8. Мониторинг и контроль работоспособности
Открыть раздел Мониторинг и при необходимости настроить SNMP версии 1, 2c или 3.
Для более детального контроля ресурсов настроить интеграцию с Zabbix-агентом.
Использовать собранные данные для контроля загрузки процессора, оперативной памяти, дисковой подсистемы и объемов трафика.
MIB-файлы, необходимые для работы по SNMP, размещаются в каталоге /usr/share/snmp/mibs/. При использовании Zabbix следует учитывать, что сервер мониторинга должен находиться внутри локальной сети Ideco Center и взаимодействовать с локальными интерфейсами, имеющими роль LAN.
3.9. Сервисный доступ и завершение работы
При необходимости включить параметр Доступ по SSH из локальных сетей в разделе Управление сервером → Администраторы.
Подключиться к серверу по SSH на порт 22 с использованием учетной записи администратора Ideco Center.
Для локальных сервисных операций использовать веб-раздел Терминал либо локальное меню сервера. В качестве примеров служебных команд могут использоваться ideco-local-menu --debug, ideco-backup-create, ls.
По окончании работы завершить административную сессию выходом из веб-интерфейса. При необходимости отключение или перезагрузка сервера выполняются штатными средствами раздела Управление питанием.
Корректным завершением сеанса считается выход администратора из веб-интерфейса либо завершение сервисных работ с сохранением внесенных изменений.
Управление инфраструктурой NGFW из единой точки
Запросите демонстрацию Ideco Center или обсудите сценарии внедрения с инженерами Ideco