Конференция SysAdmin Day.Kharkiv 2018–о чем будем говорить и мое интервью Lenovo в предверии этого интересного ИТ-мероприятия в Харькове 13 июня 2018 года


Article - Topic - LinkedIn

13 июня при поддержке лидеров рынка Lenovo в Украине и Microsoft Ukraine в Харькове состоится яркая IT-конференция SysAdmin Day 2018. На этой конференции я выступаю, как эксперт по ИТ-инфраструктуре и буду рассказывать про миграцию в облака средних и малых предприятий, а также про использование облачных сервисов для управления локальными и мобильными устройствами и защитой данных. Также меня попросили дать небольшое интервью о тех перспективах и особенностях применения облачных технологий, которые современные технологии предоставляют для средних и малых компаний, а также – для карьеры системных администраторов.

Первый мой доклад на SysAdmin Day.Kharkiv 2018 будет называться “Стратегия миграции инфраструктуры малых и средних предприятий в облачные сервисы”. Вкратце об этом докладе смотрите в трейлере к докладу:

Второй доклад на SysAdmin Day.Kharkiv 2018 будет посвящен управлению мобильными устройствами и безопасностью и называтеся “Использование облачных сервисов Microsoft для управления локальными и мобильными устройствами, управление безопасностью данных в облаке и на мобильных устройствах”. И также предлагаю ознакомиться с трейлером к докладу:

 

И, собственно, возвращаемся к интервью для Lenovo в Украине:

  1. Что на сегодняшний день нужно IT-специалисту, системному администратору, чтобы развивать карьеру? В одном из видео вы перечисляли три must have пункта: подтвержденные знания в профессии, практический опыт и умение на простом языке доносить свои идеи потенциальным заказчикам. Хотелось бы подробнее об этом узнать.
    1. Я думаю, что подробнее рассказать об это в рамках данной беседы не получится – ведь мне для раскрытия этого вопроса понадобилось минимум 5 видео с длительность по 30 минут каждое. Могу просто порекомендовать всем посмотреть внимательно серию этих видео про ИТ-карьеру у меня на канале:

  2. На сегодняшний день в сфере IT огромная скорость изменений. Не теряют ли актуальность полученные сертификаты? Как часто IT-специалисту имеет смысл подтверждать свои знания сертификацией?
    1. Честно говоря, сейчас переломный момент именно для ИТ-специалистов (не путать с разработчиками) – технологии управления ИТ-инфраструктурой меняются кардинально ввиду развития облаков и, вполне возможно, в ближайшие 3-5 лет от ИТ специалистов будут требовать совсем другие навыки. Потому мои собственные предпочтения в этой области – сначала знания и навыки, потом экзамены (обычно, это требуется только работодателю) и мой ответ на подобный вопрос – «могу запросто доказать, что я обладаю более широкими знаниями, чем требует сертификация, а если вам нужен именно сертифицированный специалист, чтобы получить какой-то партнерский статус – сдам экзамен сразу, как только вы это оплатите»
  3. Как быть в ситуации, когда знания есть, идеи есть, а заказчика на их разработку нет? Какие есть возможности реализовать свои знания в практических проектах?
    1. Мир сейчас стал очень маленьким, поэтому не проблема найти нужный проект на том же портале Upwork, особенно, если устроить демпинг с ценами. Там попадаются иногда очень «креативные» запросы по скрещиванию бульдога с носорогом, сейчас, качественно и дешево 😉
  4. Умение переводить свои IT-знания и идеи на общечеловеческий язык и язык бизнеса — это врожденный талант, или его можно освоить? Как этого добиться?
    1. Работать над собой, понимать, что люди совершенно разные и людям не интересно копаться в настройках также, как это интересно вам. Людям (не обязательно бизнесу) свойственно мышление «черного ящика» – «делаю вот это с одной стороны, с другой стороны – получаю результат». Потому, разговаривая с людьми или бизнесом – представляйте себя магом (можно темным злым колдуном) – не надо рассказывать, как работает заклинание, просто показывайте результат, который людям будет полезен.
  5. За какими ресурсами и событиями нужно следить IT-специалисту, чтобы постоянно оставаться в курсе происходящего в сфере? Где получать свежие идеи и знания? Какие сайты, каналы, офлайн-мероприятия и конференции вы можете посоветовать?
    1. Если мы говорим о русскоязычных ресурсах (а с украиноязычными вообще все плохо) – то наблюдается тенденция их критического сокращения. Все больше специалистов уезжает в Европу и США, все меньше рынок (кол-во смотрящих) для таких ресурсов – потому ИТ-специалисту, который хочет развиваться, придется учить английский и работать с англоязычными ресурсами. Такими, как, например, Microsoft Virtual Academy – https://mva.microsoft.com/ – сборником виртуальных учебных курсов и теми же бесплатными книгами и учебными пособиями – https://mva.microsoft.com/ebooks/ . Лично я тоже стараюсь внести свой вклад в развитие ИТ-специалистов бывшей родины – периодически выпуская обзорные и технические видеоматериалы у себя на YouTube канале – http://bit.ly/WindowsServer_overview . Что же касается регулярного обновления знаний – то тут очень хорошо подойдут блоги компаний-разработчиков тех продуктов, которыми вы пользуетесь. Так, например, свежие новости про технологии Azure, связанные с ним события и прочее я читаю на https://azure.microsoft.com/en-us/blog/ . И, конечно же, профессиональные социальные сети – например, LinkedIn – главное, правильно выбирать контакты, ленту которых будешь читать. Опять же, лично я стараюсь на LinkedIn давать выборку интересных мне новостей – https://www.linkedin.com/in/iwalker2000/ – желающие могут подписываться (рекрутеров без конкретных предложений – не приглашаю).
  6. Расскажите о конференции SysAdmin Day, где вы будете участвовать. Почему IT-специалистам стоит туда ехать (кроме обширной фановой программы J) Что они смогут вынести оттуда?
    1. В своих докладах я всегда стараюсь дать стратегическую перспективу развития того или иного продукта или направления. Сейчас, как я уже говорил ранее – переломный момент в развитии навыков и умений системных администраторов. В своем недавнем докладе на Стальном Бубне я уже рассказывал про то, какие навыки необходимы системному администратору в будущем. На SysAdmin Day я продолжу эту тенденцию, и расскажу, как облачные технологии и сервисы критически изменяют работу ИТ-специалистов.
  7. Большинство из тем, заявленных на SysAdmin Day, касаются облачного хранения данных. Почему эта тема приобретает такую популярность? Каковы тенденции в этой сфере? Не случится ли, что популярность достигнет пика и схлынет, сервисы закроются и придется искать новые решения?
    1. Я бы не сказал, что именно облачного хранения данных, скорее, мы будем говорить про то, как облачные сервисы позволяют эффективно решать вопросы обмена данными, резервного копирования и даже защиты от сбоев целой инфраструктуры. Именно сценарии защиты от сбоев начинают приобретать широкую популярность, поскольку позволяют быстро стартовать копии всех ваших серверов в облаке с актуальными данными в случае сбоя питания, катастрофы, изъятия всего парка оборудования. Что же касается закрытия сервисов – это облака – это новый тренд в индустрии, который будет актуален лет 20 минимум. Просто выбирайте правильного поставщика сервисов, например, Microsoft Azure.
  8. Что касается гибридных решений: какое расширение функций дает дополнительное использование облачных сервисов, вдобавок к локальным хранилищам? Каким бизнесам больше подходит гибридный вариант, а каким — полный переход в облако?
    1. Я бы не говорил об облаках, как о хранилищах. Да, резервное копирование и защита от сбоев, которые мы уже обсудили ранее – одна из наиболее востребованных функций облаков для гибридной работы. Но – облака интересны тем, что вы можете вынести туда (стартовать там) те функции, которые ранее обслуживались локально – так, облачный пакет офисных сервисов Office 365 включает в себя облачный Exchange, SharePoint, AD, OneDrive, а в Azure присутствуют сервисы управления безопасностью мобильных устройств Intune, защиты данных на платформе RMS – Azure Information Protection, сервисы мониторинга серверов OMS и антивирусной безопасности Defender Advanced Threat Protection – про их применение я и буду рассказывать в своих докладах. Что же касается перехода в облако или гибридных сценариев – то тут много нюансов, про которые можно говорить часами, но базовые концепции, которым обязательно надо следовать, готовя проект миграции в облако – я изложу в своих докладах. Также материалы по сценариям миграции есть у меня на канале среди технических докладов, и особенно хочу обратить внимания тех, кто уже сейчас планирует миграцию в облака, на доклад «Первые 15 шагов по переходу в облака – что сделать до того, как мы залогинимся в портал AZURE» –  рекомендуется просмотреть еще до начала проекта по миграции в облака.
  9. Насколько безопасно облачное хранение данных?
    Защищена ли информация от несанкционированных проверок, взлома, слива данных третьим лицам?
    Стоит ли опасаться «ковровых» блокировок, вроде истории с Телеграммом, когда за компанию с мессенджером пострадал огромный кусок интернета.
    Есть ли у облачных провайдеров услуги защиты от ДДОС?
    Что происходит с данными, если сервер облачного хранилища отключился или поврежден? Куда они перемещаются?
    Какие предусмотрены способы защиты на случай падения связи? Есть ли резервные каналы для таких ситуаций?
    1. Тема слишком обширна и пересекается с моими докладами. Вкратце могу сказать, что все инструменты для защиты от несанкционированного доступа к вашим данным в том же Azure есть – и по умолчанию, и расширенный набор – про тот же Azure Site Recovery я уже упоминал выше. Защита данных при отказе серверов самого облака обеспечивается тем планом, который вы выбрали для хранения – готовы ли вы платить за репликации данных внутри одного ЦОД облака или даже между разными континентами. За канал связи с вашей стороны, понятно, отвечаете вы сами. Но существуют также и продукты, обеспечивающие кеширование и репликацию локальных хранилищ в облако, что позволяет работать с такими данными в оффлайн режиме.
  10. По каким критериям бизнесу нужно выбирать облачного провайдера? Какие провайдеры есть сейчас в Украине? На что обратить внимание, составляя договор с провайдером о предоставлении данных, чтобы обеспечить их максимальную защиту?
    1. Критерии выбора облачного провайдера очень и очень обширны и это тема для отдельного разговорам минимум на 30 минут. Вкратце – это бизнес-здоровье компании и ее позиция на рынке, административная поддержка и SLA, технологии, которые требуются вам и предоставляются провайдером, безопасность и доверие к провайдеру и т.п. В Украине нет облачных провайдеров в полном смысле этого слова – фактически, это обычные хостеры, предоставляющие услуги виртуальных машин и IaaS (Infrastructure as a Service) с консолями управления для клиентов – и даже называть, а тем более сравнивать данные «облака» с настоящими публичными облаками типа Microsoft Azure – нельзя. Но, сейчас, с появлением такого продукта, как Microsoft Azure Stack – позволяющего «приземлить» большую часть возможностей Azure, которые и делают облако «облаком», на серверах локального провайдера – некоторые из провайдеров начали двигаться в направлении «настоящих облаков», а не просто хостинга виртуальных машин. Хотите понять, перед вами «просто хостер» или действительно «облачный провайдер» – задайте специалистам данной компании простой вопрос – а какие шаблоны описания облачных инфраструктур поддерживаются данным провайдером, например, формата ARM templates? Какие сервисы вы получаете для размещения ваших нагрузок – виртуальные машины, сервисные фабрики, базы данных, средства автоматизации? Есть ли у провайдера механизмы автоматического масштабирования выбранных вами сервисов – scale up/scale out? В 99% случаев вы услышите ответ – вы будете использовать наши «гибкие» виртуальные машины, которые сами настроите из предоставленных образов.
  11. Предоставляют ли облачные провайдеры услуги системного администрирования и начальной развертки серверов для компаний, которые только что сформировались и в принципе не знакомы с облаками? Есть ли решения “под ключ” для таких компаний?
    1. Вообще-то, если говорить о «настоящем облаке», то все эти «услуги по развертыванию» не требуется. Современная парадигма облаков и новый подход к администрированию таких систем не требует интенсивного вмешательства в управление и опирается на декларативные описания инфраструктур, что позволяет развертывать целые инфраструктуры одним кликом на взятый из магазина решений шаблон – про это я как раз и рассказывал в своем предыдущем докладе про новые принципы работы администраторов. Если компания все же хочет разработать подобный шаблон «под себя», то для этого существует достаточно обширное предложение по консалтингу – собственно, компания, которую я возглавляю, и занимается таким консалтингом. Кроме того, я лично провожу тренинги по данному направлению нового администрирования, если требуется в проекте иметь команду уже подготовленных специалистов, которые готовы будут обслуживать и развивать инфраструктуру после сдачи проекта.
  12. В прошлом году инновационные решения для ЦОД Lenovo были названы лучшими по 46 показателям. Какие серверные решения этого бренда можно рекомендовать малому и среднему бизнесу, и почему?
    1. Я бы начал с того, что мало кто знает, что Microsoft сертифицировала Lenovo среди нескольких производителей серверов, как поставщика оборудования для решений Microsoft Azure Stack – копии облака Azure для локальных провайдеров – https://www3.lenovo.com/us/en/data-center/ThinkAgile-SX-for-Microsoft-Azure-Stack/p/WMD00000272 . Это говорит об очень высоком уровне надежности и производительности серверных решений Lenovo, а также о том, что в проектировании своих серверов серии ThinkAgile Lenovo опирается на самые современные аппаратные технологии, которые использует и Microsoft для построения ЦОД «большого облака» Azure. Такая сертификация – высочайший знак качества аппаратной серверной платформы от Lenovo. Что же касается «обычных» серверов, то мне сложно выделить какую-то модель из линейки Lenovo ThinkServer – тут стоит правильно учитывать потребности компании и задачи при выборе серверов, особенно, с учетом того, что часть инфраструктуры может быть вынесена в сервисы облака. И на что бы я еще обратил пристальное внимание компаний, которые планируют миграцию в облака – это на то, что с переносом сервисов в облака – «на земле» остается клиентская часть, и здесь у Lenovo есть великолепная линейка надежных производительных тонких (и не очень) клиентов серии Tiny – ThinkCentre Tiny/ThinkCentre Thin Client и ThinkStation Tiny – которые позволят компании эффективно трансформировать рабочие места для работы с облаками.

Обязательно к прочтению и изучению для тех систеных администраторов, которые планируют развивать свою карьеру – и не только в направлении облаков – SysAdmin vs DevOps–что разного и что общего–будущее системных администраторов на примере автоматизации развертывания и конфигурирования VM в Azure–Infrastructure as Code и инструменты DevOps, которыми сисадмин должен будет владеть в ближайшем будущем

 

Первые серии нового курса по использованию Azure IaaS и обо всем том, где будет рассмотрено подробно все то, о чем я буду упоминать в презентациях:

 

Видео об ИТ-карьере – как стать ИТ-специалистом и заработать много денег:

Немного ссылок на другие материалы для тех, кто хочет стать просто ИТ-специалистом – смотрите первые шаги по созданию тестового рабочего места:

И смотрите другие видео для ИТ-специалистов у меня на канале:

Видео про новые возможности дисков и дисковых массивов:

 

Подписывайтесь на мой Youtube канал iWalker2000 – для подписки просто кликните сюда

 

Также, по просьбам посетителей – меня найти можно (добавляйтесь в друзья и подписчики):

 

Эмиграция для ИТ-профессионалов в Европу! Оформление ВНЖ в Словакии, возможность работы со всеми странами ЕС, открытие фирм, ЧП с соответствующими видами деятельности, оформление документов для членов семьи. Быстро, качественно, дешево и абсолютно легально ВНЖ в Словакии. www.slovakiago.com
Не упустите свой шанс жить и работать в Евросоюзе!

Advertisements

SysAdmin vs DevOps–что разного и что общего–будущее системных администраторов на примере автоматизации развертывания и конфигурирования VM в Azure–Infrastructure as Code и инструменты DevOps, которыми сисадмин должен будет владеть в ближайшем будущем


DevOps – одно из модных сейчас «поветрий» (наряду с «data scientist» и прочими «IoT» и «AI»), адепты которого активно продвигают мысль, что «все ИТ будет devops» – в прогрессивной ИТ-среде не останется системных (и прочих) администраторов, их таки заменят DevOps. НО, самое интересное, что даже внутри крупных ИТ корпораций, которым тренд «DevOps» приносит большие прибыли, нет единого мнения о судьбе в современных ИТ-инфраструктурах тех позиций, которые в общем называли «ИТ-профессионалы» («ТЫЖПРОГРАММИСТ!» – «нет, я администратор сети и безопасности») и которые в реальности к «Dev» вообще не прикасаются, а управляемые ими инфраструктуры настолько статичны, что их «Ops» не меняются годами и выполняются рутинно (я это называю «ребята нашли свой карман безделья»).

NoDevOpsПотому, в данной презентации со Стального Бубна 2018 во Львове, посвященной концепции Infrastructure as Code (IaC) для системных администраторов и архитекторов ИТ-инфраструктуры, я попытался (как оказалось, даже 1,5 часа очень и очень мало, чтобы рассказать и показать самые базовые концепции) сравнить те задачи, которые решают DevOps и SysAdmin, что у них отличного и, главное, что есть общего в работе и DevOps, и SysAdmin – какие современные тенденции на рынке управления ИТ-инфраструктурами позволяют использовать общий инструментарий и общие подходы в работе SysAdmin и DevOps. И все это, конечно же, на примере облачных технологий, связанных с Microsoft Azure.

Начнем, пожалуй, с того момента, что важность и потребность в позиции «DevOps» достаточно сильно «культивирована» теми компаниями, которые, собственно, продают инструменты для работы DevOps или компаниями-аутсорсерами, где DevOps – производственная необходимость в рабочем процессе с постоянным «выкатыванием» новых сборок ввиду забажености кода, производимого гребцами галер. Да и, собственно, сейчас какие только позиции и обязанности не называют красивым именем «DevOps». В реальности ситуация с DevOps примерно такая же, как с той картинкой про айсберг – DevOps сейчас – одна из самых «видимых» позиция в ИТ-индустрии, не считая девелоперов (потому что их раньше не было, точнее – не придумали еще такое слово, и технологии были «пожиже», а теперь они срочно нужны каждому уважающему себя аутсорсеру), а основное управление ИТ-инфраструктурой «обычных» компаний по прежнему лежит на плечах обычных таких системных администраторов, которые работают себе с этой самой инфраструктурой «по старинке». Я лично, и моя компания как раз оказывает услуги таким вот «обычным» компаниям и сейчас в тренде – это миграция части ИТ инфраструктуры в облака с последующим обновлением (читай – rebuild до архитектуры, близкой к требованиям PaaS) некоторых LoB решений компании или же – использование облачных сервисов типа Azure Backup или Azure Site Recovery для реализации более эффективного резервного копирования или защиты от сбоев. И у меня накопилась достаточно большая и релевантная статистика отношения руководителей (CIO, CEO) к концепции DevOps для работы с их ИТ-инфраструктурой.

Но перед тем, как продолжить тему Infrastructure as Codeрекомендую познакомиться с моим докладом на предыдущем Стальном Бубне, который подробно рассказывает, что бывает, когда DevOps используют (или они берутся сами за работу) не по прямому назначению – как архитекторы и администраторы ИТ-инфраструктуры обычной компании с ее обычными сервисами + немного облаков.


Steel Drum/Стальной Бубен – доклад по реализации проектов Azure Site Recovery или DevOps vs SysAdmin

Также смотрите и читайте другие материалы для ИТ-профессионалов у меня на канале iWalker2000 и блоге:

 

Итак, вернемся к отзывам обычных компаний про место DevOps и соответствующих процессов в их ИТ-инфраструктуре (комментарии собирательные, но некоторой – очень близко к тексту):

  • У нас нет разработки, у нас стабильная инфраструктура, которая нуждается в базовых рутинных операциях.
  • Мы планируем перенос инфраструктуры в облако, верно, но это будут реплики наших виртуальных машин или базовые сервисы.
  • Скрипты? Извините, но мои люди получают заплату за то, чтобы работали сервисы.
  • У нас рутинные операции, если надо – есть RDP/TeamViewer и прочие инструменты админа.
  • DevOps – это какие-то аутсорсеры, которых мы наняли для написания приложений, они работают в своей песочнице и инфраструктуры это не касается.

Как мы видим, с точки зрения руководителей ИТ в компаниях, которые «просто эксплуатируют ИТ, как часть производственного процесса» – места для DevOps в таких компаниях нет, а позиции системных администраторов прочны, как никогда. И таких компаний, для которых ПК или мобильные устройства всего лишь средство обработки производственной информации – большинство. Так что, стоит ли сисадминам почивать на лаврах?

Текущие тенденции в экономике и бизнесе – говорят, что нет… Хотя бы потому, что все идет, как обычно – нужно дешевле, быстрее и на вчера. В том числе – и в управлении ИТ-инфраструктурой. Быстрее развертывать новые сервисы, восстанавливать старые, подключать быстрее и больше пользователей и выдавать им данные на их запрос как можно оперативнее, а лучше всего – дать пользователю кнопку «сделать весь отчет/презентацию/работу за меня» 😉 И да! – Еще и параноидальная безопасность во всем + новое красивое слово GDPR (под которое можно подвести любые требования).

И, самое главное – компаниям упорно продают облака… Мировые гиганты в ИТ вкладывают в этот сегмент громадные деньги, в том числе и на маркетинг, что приводит к тому, что любой CIO задумывается над вопросом «а зачем мне облака?» и даже если не задумывается – ему обязательно напомнит его CEO вопросом типа «а что у нас там с облаками? Мне тут рассказали, что это на 30% эффективнее нашей текущей системы». Нет, я ничего против облаков не имею, и даже сам придумаю 10-15-20 причин, почему облака лучше локальной инфраструктуры – я просто озвучиваю тенденции и текущий момент раздумий CIO.

В результате сейчас сложилась ситуация, которая довольно патовая и для руководства ИТ-инфраструктур, и для сисадминов, и даже для тех самых корпораций, которые «пропихивают» массы в облака. Почему? Да потому что сейчас как бы существует 2 мира ИТ-инфраструктур, в одном из которых есть серверы с их консолями, традиционные системы и процедуры управления (от тех самых компаний, которые и «за облака»), а во втором – есть облака с совершенно другой концепцией управления, вроде как изначально заточенной под девелоперов и DevOps (что не принимается CIO/сисадминами – смотри выше) и в которые надо поместить путем «взяли и переставили» существующие серверы с нестыкующейся моделью управления внутри. И основные проблемы тут:

  • Традиционные модели управления устаревают ввиду новых облачных технологий и требований,
  • Очень много ручной работы и модификаций + еще один уровень абстракции в виде облака,
  • Ручное тестирование современной инфраструктуры требует больших затрат в целом и слушком затратно по времени,
  • Административные привилегии предоставляются без детализации задачи, ограничений по времени,
  • Операционные команды не накапливают опыт в виде готовой документации и повторяемых конфигураций – метод next-next-next этого не позволяет 😉

Потому общую тенденцию в изменении требований к управлению «обычной» ИТ-инфраструктуры «обычными» системными администраторами можно озвучить, как:

НОВЫЕ ПОДХОДЫ К УПРАВЛЕНИЮ ИТ ИНФРАСТРУКТУРОЙ ТРЕБУЕТ БОЛЕЕ ТОЧНЫХ, АВТОМАТИЗИРОВАНЫХ ПРОЦЕССОВ С ОБШИРНЫМИ ВОЗМОЖНОСТЯМИ ПО ДЕКЛАРАТИВНОМ ОПИСАНИЮ, ПОВТОРЕНИЮ И МАСШТАБИРОВАНИЮ, НЕЖЕЛИ СЕЙЧАС.

Как будут выглядеть ИТ-инфраструктуры будущего даже в «обычных» компаниях, которые соответствуют указанным требованиям и какой будет работа системного администратора, управляющего такой ИТ-инфраструктурой? – Правильно, как уже знакомое для DevOps понятие Infrastructure as Code со всеми вытекающими отсюда свойствами и возможностями:

  • Инфраструктура определяется как набор декларативных описаний объектов…
  • Которые сохраняются в конфигурационных файлах…
  • Точно описывающих установку отдельного сервера или всего окружения…
  • С «идемпотентностью» (вот же слово придумали) …
  • С автоматизацией конфигурирования и рутинных операций…
  • С сохранением ИТ администраторских навыков и инструментов…
  • + внедрения процедур, применяемых в разработке ПО – Source/Build/Test/Release

Что изменится в результате распространения концепции Infrastructure as Code для системных администраторов не только в облачных ИТ-инфраструктурах, но и в их локальных сетях и любимых продуктах, а также в самих процедурах работы с ИТ-инфраструктурой в средних и крупных компаниях?

  • Распространение концепции декларативной Infrastructure as Code на локальные инфраструктуры (например, с распространением Azure Stack),
  • Перенос большинства сервисов управления и мониторинга в облака (уже сейчас активно развиваются облачные Microsoft Intune и Operations Management Suite) с применением к ним возможностей управления через конфигурацию,
  • Автоматизация работы облачных, гибридных и локальных с использованием облачных сервисов типа Azure Automation и гибридных runbook,
  • Постепенный дрифт AD в сторону Azure AD + Desire State Configuration (DSC), который придет на замену привычных групповых политик (учим DSC уже сейчас),
  • Повышение требований Business Continuity / Disaster Recovery и, как результат, более активное использование в компаниях таких средств, как Azure Backup и Azure Site Recovery – готовой песочницы для того, чтобы при крупной катастрофе локальной инфраструктуры компания «рывком» оказалась в облаках (и вы даже не представляете, какая будет паника у ИТ после этого!),
  • Иметь 2-3 параллельные идентичные инфраструктуры будет нормой – что позволит быстро вводить в эксплуатацию новые решения или реагировать на катастрофы,
  • И да, концепт на то, что в нынешних условиях дешевле все с нуля пересобрать, развернуть или переключить несколько слотов развертывания с использованием декларативных шаблонов, описанных выше – чтобы быстро обеспечить бизнесу работу служб – а после искать ошибки, которые привели к сбоям или остановке предыдущей,
  • Изменяются процедуры и сам стиль работы ИТ отделов – «админ» поправил файл конфигурации, собрал, затестил, зарелизил в автоматизированной системе (даже, возможно, с тестовым развертыванием в свободный слот) – и шеф нажал кнопку деплоймента в продакшен. Все это – с версионностью, трекингом изменений конфигураций, мониторингом событий и возможностью повторить операцию бесконечное количество раз даже на уже работающей инфраструктуре без потери ее работоспособности (та самая «идемпотентность»).

Итак, перспективы развития облачных, гибридных и даже локальных ИТ-инфраструктур и подходов управления ими в ближайшие годы понятны. Что делать системному администратору, который осознал, что его умение создать, настроить виртуальную машину и установить внутрь нее ОС с настройкой ролей этой ОС и даже детальных отдельных сервисов, типа вебсайта – скоро окажется невостребованным по причине замены этих навыков новыми инструментами? Есть много ответов на этот вопрос, например – «уйти из ИТ», или «переквалифицироваться в DevOps», или «в бьюти-/тревел-блогеры» (ага, это троллинг самого себя, у автора достаточно большое количество видео, посвященных путешествиям – «Путевые Заметки Игоря Шаститко» – http://bit.ly/iwalker2000_travels1 ), или «просто развиваться и постараться взглянуть на способы администрирования ИТ-инфраструктур под другим углом». И изучать новые технологии и инструменты управления, которые уже есть на рынке, и которые используют те же DevOps (так что, если хотите в DevOps – учиться придется еще больше и тому же). А именно:

  • Шаблоны описания конфигураций – Azure Resource Manager templates (ARM, доступен и в локальных облаках Azure Stack),
  • Средства развертывания инфраструктур из шаблонов и просто скриптами – портал Azure, Azure PowerShell, Azure CLI, VS, GitHub,
  • Средства контроля конфигураций – Desire State Configuration (DSC) – и не только в базовых сценариях, но и в сочетании с теми же шаблонами ARM,
  • Облачные средства автоматизации и мониторинга – такие, как Azure Automation, Hybrid Runbook Workers, Operations Management Suite и прочие реакции на события и т.п.,
  • Средства управления исходным кодом шаблонов, скриптов развертывания, runbook, DSC, с интеграцией Azure с GitHub и прочими решениями,
  • Средства управления процессом разработки ИТ-инфраструктуры с подходом Infrastructure as Code – Source/Build/Test/Release – с применением тех же облачных сервисов Visual Studio Team Services и т.п.

И, после такой вводной части – рекомендую все же посмотреть полную запись моего выступления на конференции «Стальной Бубен» во Львове в мае 2018 – «Автоматизация развертывания и конфигурирования VM в IaaS Azure – взгляд со стороны админа, а не DevOps» – кроме, собственно, слайдов системные администраторы найдут в этом видео примеры использования всех перечисленных технологий и инструментов. Да, как я уже писал, я немного просчитался со временем, к сожалению, опыт показал, что для подобной презентации с демо потребуется минимум в 3 раза больше времени, потому я планирую включить все эти демо в запланированную на своем канале серию, посвященную работе системного администратора с Microsoft Azure, а уже опубликованные серии, где рассматривается применение Azure со стороны системных администраторов, найдете здесь – https://youtu.be/MEjC_GityKc


Steel Drum/Стальной Бубен – Infrastructure as Code – автоматизация развертывания VM в Azure 

Выводы? Для системных администраторов – они не утешительные – «учиться, учиться и еще раз учиться» – вас ждет «большая ломка» – методов, инструментов, и собственно, того, чем вы будете управлять. Потому – всех действительно заинтересованных ожидает очень интересная дорога вперед, перед которой вы должны понять несколько простых истин из будущего (которые я вкратце постарался осветить в данном видео):

  • Все «артефакты» Infrastructure as Сode, описывающие даже самые сложные инфраструктуры компаний – простые текстовые файлы, как и исходный код у девелоперов!
  • «Админы инфраструктуры» медленно переползают в «разработчиков инфраструктуры» (писателей ARM шаблонов и скриптов runbook на PowerShell)…
  • «Админы рабочих мест/серверов» в «разработчиков конфигураций» (писателей DSC и, снова же – скриптов PowerShell)…
  • Инфраструктурный и конфигурационный код может быть сохранен, версионизирован, протестирован и распространен, как и программный код – у вашей инфраструктуры вскоре появятся свои сборки, свои релизы, и свои тестовые и разрабатываемые копии в отдельных «слотах».
  • И да поможет вам <тут фрагмент политкорректности> в вашем постижении новой мудрости и желании перерасти свой консерватизм с RDP и кликами next-next-next!!!

Это не единственный семинар, который я читал в Украине, в ближайшее время еще одно интересное мероприятие для сисадминов пройдет в Харькове, 13 июня 2018 всех интересующихся приглашаю сюда – SysAdmin Day.Kharkiv 2018 – https://www.facebook.com/SysAdminDayUA/ (предварительная регистрация обязательна). И, конечно же, следите за выпусками технических видео на канале – http://bit.ly/WindowsServer_overview .

 

Первые серии нового курса по использованию Azure IaaS и обо всем том, где будет рассмотрено подробно все то, о чем я говорил в данной презентации:

 

Видео об ИТ-карьере – как стать ИТ-специалистом и заработать много денег:

Немного ссылок на другие материалы для тех, кто хочет стать просто ИТ-специалистом – смотрите первые шаги по созданию тестового рабочего места:

И смотрите другие видео для ИТ-специалистов у меня на канале:

Видео про новые возможности дисков и дисковых массивов:

 

Подписывайтесь на мой Youtube канал iWalker2000 – для подписки просто кликните сюда

 

Также, по просьбам посетителей – меня найти можно (добавляйтесь в друзья и подписчики):

 

Эмиграция для ИТ-профессионалов в Европу! Оформление ВНЖ в Словакии, возможность работы со всеми странами ЕС, открытие фирм, ЧП с соответствующими видами деятельности, оформление документов для членов семьи. Быстро, качественно, дешево и абсолютно легально ВНЖ в Словакии. www.slovakiago.com
Не упустите свой шанс жить и работать в Евросоюзе!

Вирус Petya и правильная комплексная защита от него и подобных следующих вирусов, которая должна была быть в каждой ИТ-инфраструктуре–то, что не сделали вовремя украинские CIO


А теперь послушайте страшную историю о том, что вы действительно должны были сделать, дорогие мои CIO – так сказать, «техническое алаверды» тому потоку негатива от обиженных CIO и “патриотов”, который последовал за публикацией предыдущего поста «про Petya» в ФБТрагедия и фарс–украинские CIO и 150долларовые админы,российский след и “атака ФСБ”,тотальный факап Microsoft Ukraine–все, что вам надо знать о причинах вчерашней вирусной атаки в Украине

Особенно «возбудились» почему-то некоторые «патриотические» деятели с дежурной фразой – «ты не живешь в Украине, какое право ты имеешь об этом писать!» – спасибо, повеселили, значит, мой «толстый» троллинг зацепил за живое…

Ладно, оставим лирику – все равно я всякое разное в ФБ комментах покилял, а самых ярых – заблокировал.

А мы посмотрим пошагово, чего же такого «провтыкали» CIO, что могло бы предотвратить эпидемию в украинских компаниях «на корню», что есть в базовых рекомендациях Defense-in-Depth https://msdn.microsoft.com/en-us/library/cc767969.aspx и реализовать которые не является большой проблемой. Напомню, требования Defense-in-Depth (DiD) достаточно простые и предусматривают реализацию тех или иных сервисов защиты на всех уровнях ИТ-инфраструктуры.

Уровень

Технологии

Данных

ACL/шифрование/классификация данных с RMS

Приложений

SDL, антивирусы, «бронирование» приложений и сервисов, App/Device Guard

Хостов

«Бронирование» ОС, аутентификация, управление обновлениями, FW, защита от вторжения (IDS), VBS, Device Guard

LAN

Сегментирование и изоляция (VLAN), шифрование (IPSec), защита от вторжения (NIDS)

Периметр

FW, контроль доступа, App FW, NAP

Физическая безопасность

Охрана, ограничение доступа, аппаратный контроль и аудит доступа, отслеживание устройств, камеры наблюдения

Люди, политики, процедуры

Документирование, тренинги, предупреждения и уведомления, наказания…

Есть и более «продвинутые» методы защиты, которые обеспечивают высокий уровень защиты от современных типов атак, которые в том числе, использовались и в Petya – Securing Privileged Access – http://aka.ms/privsec

Итак, начнем с первичного заражения. В данной эпидемии рассматривается 2 основных сценария – проникновение через почтовые сообщения в виде вложения к письму и через систему обновлений MEDoc, так называемую атаку «software supply chain attacks», когда взламывается поставщик ПО. Подробно, кто еще не прочитал – «разбор полетов» можете посмотреть здесь – https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

При этом в первом сценарии запущенный пользователем из почты исполнимый файл атакует ОС через уязвимости SMBv1 (EternalBlue/EternalRomance) и получает все требуемые права, чтобы выполнить свои процессы – шифрование и распространение.

Какие методы противодействия Defense-in-Depth помогут от подобной атаки:

  • Периметр – сервис фильтрации почтовых сообщений (например, в Microsoft Exchange) – просто удаляющий все файлы, кроме разрешенных типов, антивирусная система для электронной почты, если нет чего-то подобного – аренда аналогичных облачных сервисов, например – Exchange Online Protection, «знания» которого не зависят от «расторопности» админов (время внедрения – 30 мин + обновление доменного имени).
  • Приложения – антивирусы, которые ловили Petya.A с самого начала эпидемии. Надо обновлять сигнатуры – нет, не слышали?
  • Хост – бронирование ОС – накатить готовые политики с рекомендованными настройками безопасности от Microsoft Security Compliance Manager или доточить их под рекомендации – например, отключить SMB v1 как класс и прочие ненужные устаревшие сервисы – плевое дело, управление обновлениями (совсем не сложно, особенно, если Windows не пиратская), с IDS сложнее, но даже тут – всего лишь подписка на Defender Advanced Thread Protection, который, как показала практика, ловит атаки подобного типа на корню.
  • ЛПП – обучение не открывать файлы, предупреждение об возможных атаках и наказание – вплоть до увольнения и судебных исков против запустивших вирус (ах, да – страна такая, законы не работают – тогда просто переломайте запустившему вирус ноги).

Так что в данном случае – сам факт заражения существенно снижается…

Сценарий второй – вирус «прилетел» через обновление той или иной LoB-системы и здесь пока почти без шансов – скорее всего компьютер будет заражен, поскольку код выполняется от прав системы.

Но не будем расстраиваться. Мы потеряли один компьютер и далее все зависит исключительно от устойчивости ИТ-инфраструктуры в целом.

Дальнейший сценарий распространения вируса Petya проходит по нескольким направлениям:

  • Механизм, использующий уязвимость SMBv1 (EternalBlue/EternalRomance) на находящихся в одной подсети с зараженным ПК компьютерах,
  • Или механизм pass-the-hash/pass-the-ticket, используя имеющиеся на зараженном ПК сеансы пользователей.

Первый вариант распространения вируса на соседние ПК блокируется очень просто с Defense-in-Depth:

  • LAN – сегментирование и изоляция (VLAN) – совсем просто, особенно учитывая кол-во накупленных в компаниях Cisco и прочего оборудования, надо только сесть и чуть подумать, какой же трафик куда должен ходить между сегментам пользовательских ПК (многочисленных и разнесенных тоже) и серверами приложений (тоже сегментированных между собой по типам приложений и требуемого сетевого доступа). Мы не говорим даже об NDIS – даже без обнаружения вторжения (хотя если Cisco – так чего бы не активировать?) – сегменты сетей стали бы непреодолимым барьером для проникновения вируса вне группы ПК.
  • Хост – с его firewall, который, как ни странно, сейчас включается в Windows по умолчанию и только дурацкий ответ на вопрос – «хотите ли вы расшарить свои файлы в сети» – «да, хочу!» – портит всю картину. Ну вот зачем, зачем пользовательскому ПК вообще что-то публиковать в сети? Зачем все админы так любят отключать firewall? Легче работать? А не легче ли написать правила в групповых политиках… И все, даже в рамках одного сегмента сети – такие ПК c firewall будут защищены от посягательств зараженного ПК. А что насчет контроллеров домена и прочих файловых помоек – читай выше, обязательных обновлений и «бронирования» и тут никто не отменял.
  • ЛПП – и да, не забываем о персональной ответственности админов и сетевиков за каждый следующий поломаный по сети комп.

Второй вариант распространения вируса чуть сложнее – Petya использует для атаки на другие ПК в сети наличие открытых пользовательских сеансов/кэшей паролей на зараженном ПК, а учитывая парадигму того, что многие админы на ПК используют один и тот же пароль локального администратора или учетную запись администратора домена для работы на любом ПК компании – здесь для Petya широкое поле деятельности с использованием механизмов атак pth/ptt. Имея на руках администраторские пароли и открытые «всем ветрам» порты соседних ПК – Petya успешно копирует себя через административные шары (Admin$) и запускает удаленно свой код на атакуемой машине.

НО, если обратиться к Defense-in-Depth, то можно обнаружить, что:

  • Хост – рекомендовано использование технологий VBS и Device Guard для защиты от кражи идентити подобными способами. Но – VBS есть только в Windows 10 – Ok, но никто не мешает познакомиться с рекомендациями по защите хостов от Pass-the-hash/pass-the-ticket атак для Windows 7 и т.д. – ничего сложного, кроме опять же – использования рекомендованных шаблонов безопасности (их же можно использовать и для Windows 10 без VBS/DG) – http://aka.ms/pth – начиная с отключения кеширования идентити при входе и т.п.
  • Хост – простейшая гигиена аутентификации, связанная с использованием уникальных администраторских паролей на каждой рабочей станции/сервере – утилита Local Administrator Password Solution (LAPS) – http://aka.ms/laps – избавит от головной боли «по запоминанию» каждого пароля, а далее – более сложные процедуры гигиены для администраторов, которые говорят, что для выполнения определенных действий на ПК должны быть использованы определенные учетные записи, не обладающие полнотой прав на уровне всей сети – https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material (а что, никто не в курсе, что с доменным админом ходить по рабочим станциям категорически запрещено?).
  • Плюс – уже упомянутые выше механизмы обнаружения вторжения – тот же Defender ATP или Microsoft ATA («заточенный» как раз на обнаружение атак pth/ptt) и, безусловно – firewall и сегментирование сетей для того, чтобы завладевший теми или иными учетными записями вирус не смог подключиться к соседям.
  • ЛПП – а здесь уже может “прилететь” и админу компании в целом, если окажется, что его учетная запись “гуляет” почему-то по рабочим местам пользователей или используется на ПК совместно с такими гуляющими админами.

ВСЕ! Было «охренеть как сложно», мы потратили от силы 3 рабочих дня (24 часов и 24х75=1800евро денег высококвалифицированного специалиста) из предоставленных 43 дней с предыдущей атаки для того, чтобы защититься от разрушительного действия вируса типа Petya.

UPD 1: По просьбам комментаторов и просто друзей в Facebook и прочих социальных сетях – записал практическое видео с примером реальной лабы по заражению домена Petya.C с правильно настроенными политиками безопасности согласно требованиям Defense-in-Depth для защиты от современных типов угроз (типа того же Pass-the-Hash/Pass-tht-Ticket, которые использовал Petya.C) – при явном заражении одного ПК – влияние вируса на остальную лабу – нулевое:


СофТы: закрываем уязвимости ИТ-инфраструктуры от современных атак (типа Petya – pth/ptt)

Да, тут некоторые коллеги в комментах дискутировали насчет того, что «нельзя так просто взять и поделить сеть на подсети пользователей и банкоматов – есть моменты администрирования и удобства работы» – но, в любом случае, у CIO было еще минимуму 3-5 дней на подумать, а потом решить, что удобство работы перед угрозой полномасштабной вирусной атаки – отходит на второй план. В общем – даже не думали и не сделали НИЧЕГО.

Наши потери от Petya после принятых общих мер – мы потеряли, скорее всего, все машины, которые заразились путем приезда «обновления от MEDoc» (хотя, при использовании IDS типа Defender ATP – и эти потери могут быть сведены к минимуму), мы потеряли 10% от тех машин, которые получили «письма счастья», а компания – потеряла работавших на них сотрудников. ВСЕ! Никакой эпидемии, никаких отключившихся касс и банкоматов (!!!), никаких тысяч часов на восстановление ИТ-инфраструктуры. Осталось восстановить требуемые данные из бекапов (или вообще ничего не восстанавливать, кроме ОС на ПК – если ИТ-инфраструктура сделана правильно и все хранится и бекапится централизованно, к тому же – в облако).

Так что это было, добродии?! Почему Petya гулял по украинским сетям, вынося всех и вся (и не надо рассказывать, что «в Европе/России тоже пострадали», «это была спланированная атака на Украину») – как не лень, некомпетентность и пофигизм CIO попавших под раздачу организаций и полный пофигизм Microsoft Ukraine по отношению к наземной угрозе?!

Ах да, Microsoft и «облака наше все»… Сейчас пойдут разговоры о том, что если бы «все было в Azure», то ничего бы не было. Было бы – с тем же результатом – ваши виртуальные машины в Azure были бы в той же ситуации – локальная сеть, открытые порты и т.п. – потому что в гибридной инфраструктуре облачная часть IaaS по безопасности ну никак не отличается от наземной по необходимости настроек.

Таким же образом, через обновления, Petya успешно бы пролез и на виртуалки в Azure, дальше бы пошел гулять по виртуальным сетям Azure (которые вы бы не поделили на сегменты, не изолировали, не использовали firewall на каждой), а потом и через Site-to-Site VPN залез бы и на наземные ПК пользователей… Или наоборот – с тем же результатом в такой незащищенной от угрозы изнутри “обланой” инфраструктуре.

А то было бы и хуже – учитывая умение Petya считывать учетные записи админов и зная безалаберность этих админов – Petya.Cloud (с модулем работы в облаке – дописать в код пару строчек) давно бы уже имел административные права на ваши подписки в облаках и делал бы там все, что заблагорассудится, кидая вас еще и на деньги – например – поднимал бы виртуалки для майнинга или ботсетей в вашей облачной подписке, за которые вы бы потом платили по 100К-300К уе/мес.

И даже использование облачного Microsoft Office 365, который вроде как SaaS и его инфраструктура защищается Microsoft – при такой дырявой инфраструктуре на местах – не спасет – с тем же успехом вирус добирается до админского аккаунта O365, используя воровство учетных записей – и дальше подписка O365 уже «не ваша».

Вам об этом не сказали Microsoft, Google, Amazon – все, кто продает «облака»? Так это, им же продать надо, а не решать ваши проблемы – а все проблемы облаков – находятся «на местах», а туда особо уже и не продашь – значит, и инвестировать в наземные части заказчиков не стоит ни копейки – даже тренингами и семинарами… 

И всем – приготовиться – это была только следующая волна, ждем следующей, как только ребята найдут следующий механизм “заброски” и инфильтрации вируса в корпоративные сети. И этот вирус также не будет обнаруживаться антивирусами по сигнатурам и будет эксплуатировать свежие уязвимости сетей и незакрытые механизмы типа Pass-the-hash/Pass-the-ticket. И вот просто “перенести все в облака” вам не поможет, а подписка на облачные Microsoft ATA/Defender ATP в дополнение к описаным выше мерам – вполне.

И небольшой ликбез для тех, кому интересно (некоторые доклады – почти годичной давности):


Webcast: как противостоять современным информационным атакам при помощи Microsoft Advanced Threat Analytics – про Pass-the-hash/pass-the-ticket атаки 


О безопасности гибридной/облачной ИТ-инфраструктуры в Azure IaaS

 

И немного ссылок на другие материалы для тех, кто хочет стать просто ИТ-специалистом – смотрите первые шаги по созданию тестового рабочего места:

 

Подписывайтесь на мой Youtube канал iWalker2000 – для подписки просто кликните сюда

 

И еще – немного ссылок про ИТ-карьеру и тренинги/обучающие материалы для ИТ-профессионалов и Системных Администраторов:

 

Также, по просьбам посетителей – меня найти можно (добавляйтесь в друзья и подписчики):

 

Эмиграция для ИТ-профессионалов в Европу! Оформление ВНЖ в Словакии, возможность работы со всеми странами ЕС, открытие фирм, ЧП с соответствующими видами деятельности, оформление документов для членов семьи. Быстро, качественно, дешево и абсолютно легально ВНЖ в Словакии. www.slovakiago.com
Не упустите свой шанс жить и работать в Евросоюзе!

Трагедия и фарс–украинские CIO и 150долларовые админы,российский след и “атака ФСБ”,тотальный факап Microsoft Ukraine–все, что вам надо знать о причинах вчерашней вирусной атаки в Украине


Феерический факап «ИТ-нации», которая в реальности оказалась совсем не «ИТ нацией», а просто сборищем ремесленников-разработчиков «на галерах», способных писать код на заказ, но имеющих весьма отдаленное представление об ИТ в целом и безопасности в частности… Даже словацкое телевидение пнуло Украину, показав с утра в новостях сюжет с ремаркой типа “украинские специалисты не могут справиться с вирусом”… 

История, как говорится, повторяется дважды – один раз в виде трагедии, второй раз – в виде фарса… В Украине произошел именно фарс с этим вирусом “Petya.A” – по другому никак нельзя назвать обрушение ИТ Украины более чем через месяц после основной волны аналогичных вирусов по всему миру и более чем через 4 месяца после того, как возможная уязвимость была пропатчена компанией Microsoft. А рекомендации по защите от подобных атак от Microsoft существуют уже более 10 лет в виде стратегии Defense-in-Depth.

ИТ-карьера – как стать успешным и востребованным системным администратором с высоким доходом 
ИТ-карьера – как стать Системным Администратором-практические шаги,часть 01-готовим рабочее место

И какие причины привели к данному фарсу в виде коллапса многих банков и учреждений из-за действий абсолютно банального вируса, возраст которого – более года и использующего в настоящий момент уязвимости 4хмесячной данности?

Дебилы, бл@

Только так можно на текущий момент охарактеризовать уровень CIO компаний, которые подверглись успешным атакам. Причем можно даже не детализировать – и так все ясно – достаточно сказать о том, что эти люди не сделали никаких выводов и телодвижений из крупных атак на мировые системы более месяца назад. И уже не важно, что стало окончательной причиной внедрения вируса – старые системы, отсутствие обновлений, действие пользователей, отсутствие той самой стратегии Defense-in-Depth – результат на лицо – никаких мер за целый месяц принято не было, вообще! Причем эти меры – ничего такого из ряда вон выходящего, что выходит за рамки включения тех или иных функций в ИТ-инфраструктуре компании (уже имеющихся «из коробки») и описанные в том же Defense-in-Depth.

Вторая часть – Вирус Petya и правильная комплексная защита от него и подобных следующих вирусов, которая должна была быть в каждой ИТ-инфраструктуре–то, что не сделали вовремя украинские CIO

Кстати, Defense-in-Depth достаточно часто рассматривался мной на различных докладах и выступлениях по безопасности и последний раз – 20 мая 2017 на «Стальном Бубне» – запись доклада здесь – https://youtu.be/4e2qwseGGNA?t=2m30s . Кстати, рекомендую обратить внимание на разницу в том, о чем сам доклад и почему он начинается именно с Defense-in-Depth.

Для Petya.A хватило бы соблюдения минимальных рекомендаций, в том числе таких, как firewall на всех ПК, закрывающий ненужные порты рабочих станций (они не серверы, и нечего «светить» портами, особенно непропатченными, даже в локальную сеть) и применение шаблонов и рекомендаций по безопасности, среди которых – и отключение уязвимых версий протоколов SMB. Ну заразились бы отдельные ПК, на которых пользователи открыли бы вредоносный файл – но это бы не приняло масштабы эпидемии, когда выносились целые сети таких вот «открытых всем ветрам» ПК. А еще большей загадкой для меня является то, каким образом связаны сети общего пользования в некоторых банках и сети банкоматов? Там что, пакетики в сети гуляют, как заблагорассудится и каждый внутренний пользователь теоретически, может добраться до каждого банкомата?

А рассказать сотрудникам о том, что открывать все файлы подряд и подтверждать запрос подсистемы безопасности – опасно – вообще запредельная задача для ИТ подразделений?! Не говоря уже о фильтрации ненужных почтовых сообщений и опасных файлов в них… 

Но нет, украинским CIO – это не по силам, они там для другого сидят – пилить корпоративный/государственный бюджет на ИТ и делиться с таким же наемным руководителем этой компании. И, как мне кажется, ничего CIO этих компаний не будет (как говорится кум-сват-брат), зато если посмотреть на список атакованных компаний и сравнить его с вручением Best CIO Ukraine – и Ощадбанком в списке победителей – то хочется попросить организаторов публично отозвать эту номинацию, чтобы хоть кто-то из CIO прочувствовал, что все не просто так и ты не можешь быть “Best CIO”, если у тебя валится система. И, надеюсь, в следующем цикле отбора “лучших” – тема безопасности будет во главе угла с соответствующим аудитом – на наличие того самого Defense-in-Depth.

В реальности ситуация с Defense-in-Depth в крупном украинском предприятии выглядит примерно следующим образом (реальные данные).

Таблица требований Defense-in-Depth.

Уровень

Технологии

Данных

ACL/шифрование/классификация данных с RMS

Приложений

SDL, антивирусы, «бронирование» приложений и сервисов, App/Device Guard

Хостов

«Бронирование» ОС, аутентификация, управление обновлениями, FW, защита от вторжения (IDS), VBS, Device Guard

LAN

Сегментирование и изоляция (VLAN), шифрование (IPSec), защита от вторжения (NIDS)

Периметр

FW, контроль доступа, App FW, NAP

Физическая безопасность

Охрана, ограничение доступа, аппаратный контроль и аудит доступа, отслеживание устройств, камеры наблюдения

Люди, политики, процедуры

Документирование, тренинги, предупреждения и уведомления, наказания…

Согласно проведенному опросу, службы безопасности, рекомендованные в Defense-in-Depth, реализованы в ограниченном объеме для каждого из уровней.

  • Защита данных – отсутствует
  • Защита приложений – отсутствует
  • Защита хостов – реализованы 2 требования к защите (аутентификация, управление обновлениями) данного уровня из 8ми
  • Защита локальной сети – 1 требование (VLAN) из 3х
  • Защита периметра – 2 (FW, контроль доступа) требования из 4х
  • Физическая защита – 3 (Охрана, ограниченный доступ, контроль) из 5
  • Персонал, политики, процедуры – отсутствует

UPD 3: Видео с примером реальной лабы по заражению домена Petya.C с правильно настроенными политиками безопасности согласно требованиям Defense-in-Depth для защиты от современных типов угроз (типа того же Pass-the-Hash/Pass-tht-Ticket, которые использовал Petya.C) – при явном заражении одного ПК – влияние вируса на остальную лабу – нулевое:


СофТы: закрываем уязвимости ИТ-инфраструктуры от современных атак (типа Petya – pth/ptt)

 

150 долларовые админы…

Кадры решают все – это сказал фараон… Может, при «таких» CIO и хороших, инициативных и ответственных админах-исполнителях на более низких позициях, которые бы проявили инициативу и сами, еще в марте 2017 года, аккуратненько пропатчили бы системы и приняли остальные рекомендуемые меры – вируса не смог бы разгуляться в таких масштабах.

НО – таких админов в украинском ИТ просто не существует. Потому что «ИТ-псевдонация» вообразила, что только аутсорсеры-девелоперы могут зарабатывать нормальные деньги, толковый системный администратор же не стоит более 500 баксов, а в лучшем случае – и 150 баксов ему хватит. Что вызвало естественный отток из этого направления ИТ наиболее толковых специалистов – тех, кто хотел и умел переучиваться – они ломанулись в «devops» и прочие, смежные с лавками галер, позиции, присасываясь к денежным потокам аутсорса. Самые умные – плюнули на весь этот бедлам и просто уехали «на постоянку» в нормальные страны с соответствующим уровнем развития ИТ и пониманием места и стоимости ИТ-специалистов в современном мире.

На смену им в украинские компании пришли те, кто вдруг «внезапно» решил «уйти в ИТ» из «менеджеров» и прочих «по работе с клиентами» с редкими вкраплениями «молодой поросли» системных администраторов после ВУЗов (которые, ВУЗы, как бы не надували свои щеки – никаких системных администраторов даже в базовом представлении не готовят).

Кстати, о ВУЗах – имел тут возможность пообщаться с некоторым количеством «перспективных молодых сисадминов», которые заканчивают ВУЗ и многому научились – в направлении ИТ администрирования и т.п. на ведущих ИТ кафедрах украинских ВУЗов не рассказывают даже о теоретических основах ИТ-инфраструктуры, таких, как IT Infrastructure Optimization Model/IT Infrastructure Maturity Model, что, на мой взгляд, должно быть фундаментом знаний для любого, кто выходит из ВУЗа со специальностью типа «ИТ-специалист». О чем я? Да вот об этом – Модель оптимизации ИТ – http://bit.ly/CoreIOmod – хотя бы 8 часов лекций в план обучения можно добавить?

150 баксов – компании довольны, платить больше не надо, CIO репортят о внедрении новых систем для бизнеса, ИТ платформа продолжает быть лоскутной и дырявой – и всем хорошо. Было…

Когда тыкаешь носом в проблему – «Ок, проблемы есть, мы работаем, может привлечем кого-то со стороны, вот вас, например» – «75евро/час» – «сколько? Да вы что, мы таких денег в ИТ не платим!». Сейчас злорадно потираю руки, вспоминая разговор начала февраля…

Вывод только один – никакой украинской «ИТ-нации» не существует и не будет существовать еще долго. Сейчас есть какая-то «псевдонация» химерного вида с аутсорсерами, которые клепают код на заказ и считающими, что они держат Бога за бороду. Данная вирусная атака показала же полную несостоятельность Украины, как ИТ-страны.

Российский след…

«Патриоты» сразу устроили истерику «это необъявленная ИТ-война», нас атакуют! Расслабьтесь – никакие спецслужбы не причастны напрямую к данной атаке, ибо она является фарсом по своему смыслу и содержанию. Если к этой атаке причастны ФСБ и прочие подразделения – то кроме как полным тотальным ФАКАПОМ и провалом такую атаку от ФСБ назвать нельзя. Почему? Да все очень просто – имея так отлично работающий механизм инфильтрации в чужую сеть – профакапить возможности многолетнего контроля и планомерного изъятия информации из зараженных сетей, которые предоставляла данная атака – могли только дилетанты-школьники, решившие, что номер их Bitcoin достаточно защитит их анонимность и они получат миллионы баксов и свалят на Карибы…

О чем я?! Если бы я, как сотрудник соответствующего подразделения ФСБ, планировал атаку и имел бы на руках подобный механизм вторжения – никогда ни за что я бы не шифровал файлы, я бы использовал дальше pass-the-hash, pass-the-ticket атаки для получения всех требуемых мне аккаунтов и спокойно и незаметно контролировал бы сети крупнейших компаний Украины без какой бы то ни было огласки. Годами! Потому что CIO и ИТ-персонал украинских компании в 90% случаев не то, что не готово к таким атакам, а даже не в курсе, что это такое и как защищаться.

И в таком случае ФСБ получало бы стратегическое преимущество вместо тактической «хулиганской» победы – представьте себе права Enterprise Admin’а в Ощадбанке? А в -энерго? А на Чернобыльской АЭС или в Аэропорту «Борисполь»? Вы можете читать базы, смотреть транзакции и, не дай бог (хотя я допускаю и такую возможность – объединение технологических и офисных сетей при украинском общем ИТ-пофигизме) управление системами навигации или контроля за «Укрытием»… Представили?

Так что либо ФСБ – идиоты, либо «Путин всех переиграл», либо – украинский псевдопатриотический ИТ-бомонд опять прикрывает свою полную некомпетентность «войной»…

Кстати, коллеги из СБУ – я бы все же проверил насчет pth/ptt зараженные Петей системы после ввода их снова в эксплуатацию во избежание описанного выше сценария. Нужны консультации – вы знаете, как меня найти… Нет, в Украину не поеду.

А хакерам-недоучкам остается сказать только – ВЫ ИДИОТЫ, ВЫ ТОЛЬКО ЧТО ПРОВТЫКАЛИ СВОЙ ШАНС ИМЕТЬ НЕОГРАНИЧЕННЫЙ НЕКОНТРОЛИРУЕМЫЙ ДОСТУП КО ВСЕМ РЕСУРСАМ ЦЕЛОЙ СТРАНЫ ГОДАМИ!!!

Феерический факап Microsoft Ukraine

Самый же большой факапер в данной ситуации – это Microsoft Ukraine. И не потому, что вирус поражает Windows, а потому, что данное региональное подразделение Microsoft в Украине не предприняло никаких действий по предупреждению угрозы и защите своих заказчиков (а пострадали крупные заказчики) от возможных будущих атак. Вот просто НИКАКИХ! Ни в тот момент, когда в марте 2017 вышел патч, который был настолько критическим, что о нем трубили все, кому ни лень, ни в тот момент, когда через месяц, в апреле 2017, вышел эксплоит на дырку, ни в мае 2017, когда пошла первая волна атак – ни в один из этих моментов Microsoft Ukraine не разродился ни коммуникацией к заказчикам, ни к обширной базе своих подписчиков на рассылки, ни какими бы то ни было семинарами или даже вебкастами – просто тишина… Зачем?! Действительно, Интернет, народ читает про вирус, вдруг сам додумается закрыть дырки. Не додумался.

Ах, нет специалистов соответствующего профиля в Microsoft Ukraine?! Серьезно?! Безопасность, которая является критическим аспектом в ИТ – никак не представлена в Microsoft Ukraine соответствующей позицией? И при этом компания позиционирует локальный офис в том числе и как инструмент для поддержки пользователей?! – Тогда грош цена такому инструменту, который за полгода никак не смог прореагировать на громадную потенциальную угрозу и палец о палец не ударил, не потратил ни тысячи маркетинговых денег, чтобы хоть как-то донести информацию и об угрозах, и о мерах противодействия им, до своих заказчиков (вот специально зашел в подписки и посмотрел на коммуникации от Microsoft Ukraine – НИ-ЧЕ-ГО).

Впрочем – ситуация тут во многом аналогична ситуации на украинском рынке ИТ в целом, которая описана выше… С ослепленностью носорога Microsoft Ukraine уже 5 лет прет вперед девизом «Девелоперс! Клауд!» и полным отрицанием необходимости работать с ИТ-специалистами в целом и с безопасностью – в частности. Чего стоит проведенное с помпой многодневное мероприятие для девелоперов по блокчейну, проведенное в Киеве – прямо как пир во время чумы. Можно было бы хотя бы 20% этих денег потратить на то, чтобы рассказать про WannaCry и прочую хрень с EternalBlue и методы противодействия, вплоть до Defense-in-Depth – с соответствующими трансляциями и распространением материалов, можно было вебкасты организовать, в течение 4х месяцев с соответствующей рекламной поддержкой. Ага, фиг там!

Особенно порадовало вчера, в разгар вирусной атаки, сообщение в ФБ от менеджера Microsoft Ukraine по коммуникациям – «Ми працюємо! Триматиму в курсі справ.» – что, серьезно?! Афигеть, как оперативно сработали! Защитили! Даже перевода статьи месячной давности https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ не опубликовали… Кстати, письма в массовых рассылках про угрозу и с рекомендациями – так и не появилось. На текущий момент 28.06.2017 12:00 молчит также и группа ФБ – Спільнота ІТ-фахівців Microsoft в Україні – https://www.facebook.com/ITproCommunity/– постит только смешные гифки, у них же праздник и выходной – проблемы пользователей в праздник никого не волнуют.

Вторая часть – про что должен был рассказать, показать и научить всех своих заказчиков и клиентов Microsoft Ukraine – Вирус Petya и правильная комплексная защита от него и подобных следующих вирусов, которая должна была быть в каждой ИТ-инфраструктуре–то, что не сделали вовремя украинские CIO

«Девелоперс! Ажур! Все в облака!» – при этом сами сотрудники компании плохо себе представляют те угрозы, которые несет насквозь дырявая локальная ИТ-инфраструктура облачной инфраструктуре заказчика и какие затраты могут возникнуть в случае взлома (об этом тоже здесь – https://youtu.be/4e2qwseGGNA) и везде, где только возможно, об этом умалчивая. Мало того, они слабо представляют себе и тот момент, что имидж продуктов Microsoft после подобных атак катастрофически испорчен, и даже не важно, что локальный ИТ профакапил не меньше – выбор заказчиками следующих продуктов, в том числе и облачных – будет не в пользу Microsoft и продавать Azure и облачные сервисы Microsoft после такого факапа будет еще сложнее, как бы не рассказывали «продажники» о высокой защищенности облаков (что, на сама деле – тоже неправда).

Так что данная атака – самый крупный и тотальный факап Microsoft Ukraine за все годы его существования и громадная дыра в стратегии компании в целом. И можно сказать, что на Microsoft Ukraine и его бездеятельности – лежит большая часть ответственности за произошедшее. Хотя и не думаю, что они сделают из этого какие-то выводы, кроме того, что продолжат свои преследования «инакомыслящих»…

 

И на этой ноте – хочу пожелать становления украинскому ИТ, после такой смачной публичной пощечины, думаю, некоторые таки задумаются про то, сколько реально стоит ИТ и почему не «рабы на галерах», а админы являются ИТ-специалистами и определяющей составляющей «ИТ-нации» и сколько им надо платить, чтобы подобное не повторилось. И учиться, учиться и еще раз учиться… Хотя я слабо представляю, как это будет делать “пересичный” украинский ИТ-администратор, который загружен по уши на работе текучкой (он же ИТ-дженералист по сути), денег на обучение у него нет (на 150 долларов – тут бы выжить), а Microsoft и прочие компании – “слились” из данного сегмента развития рынка… А отдельным ИТшникам – учитесь, развивайтесь, валите из этой страны, где ваши знания никто не оценит, туда, где есть реальный спрос и реальные задачи потому что, как мне кажется, весь этот шмон закончится просто очередным распилом бюджета…

Ах, да! Что делать?! Если срочно – просто снесите все (надеюсь, бекапы у вас есть) и установите начисто новую лицензионную Windows 10 со всеми обновлениями и влюченными сервисами защиты. Если данные важны и “потерпит” – дождитесь расшифровщика – скорее всего, учитывая объем атак – он появится. Для тех, кто еще не подхватил, но в зоне риска – обязательно следуйте рекомендациям Microsoft – https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ , научите своих пользователей ничего не запускать из Инета и удачи!

 

UPD 01: И, в дополнение, уже по комментам в Facebook на статью, хочу добавить замечательные слова, которые сказал Коля Бобух (сам я как-то поторопился с написанием статьи, так сказать, “на одном дыхании” писалась):

Nick Bobukh Также, я бы продлил логическую цепочку твоих рассуждений насчёт “АйТи нации” и “войти вайти” имени некоторых распиаренных в ФБ личностей.
Страна нихера не производит _конечного продукта_ (т.е. от слова совсем). Кто не верит, пусть пересчитает в денежном эквиваленте украинские вещи на себе, софт на компе, гаджеты, авто в гараже, даже квартиры если подумать, строятся на 50% из импортных материалов и на 100% импортной техникой по импортным же технологиям. ИТ не может быть вещью в себе, как утверждают апологеты “ИТ нации”, это часть экономики, причём не самая большая (Испания например нихера не “ИТ нация”, но и уровень и оборот в бабле ИТ области там на порядок больше чем у нас, потому что и экономика больше). А если у нас государство не может обеспечить даже неприкосновенность права собственности, то о каком росте может идти речь 🙂
Это значит, что добавочной стоимости, которая может идти в том числе на ИТ – нет. Отсюда и квадратные глаза при более чем гуманных рейтах.

UPD 02: для интересующихся техническими деталями – пост на Microsoft Blogs о том, как Petya работает и рекомендации по защите – New ransomware, old techniques: Petya adds worm capabilities – https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

 

И пара ссылок на другие материалы для тех, кто хочет стать просто ИТ-специалистом – смотрите первые шаги по созданию тестового рабочего места:

 

Подписывайтесь на мой Youtube канал iWalker2000 – для подписки просто кликните сюда

 

И еще – немного ссылок про ИТ-карьеру и тренинги/обучающие материалы для ИТ-профессионалов и Системных Администраторов:

 

Также, по просьбам посетителей – меня найти можно (добавляйтесь в друзья и подписчики):

 

Эмиграция для ИТ-профессионалов в Европу! Оформление ВНЖ в Словакии, возможность работы со всеми странами ЕС, открытие фирм, ЧП с соответствующими видами деятельности, оформление документов для членов семьи. Быстро, качественно, дешево и абсолютно легально ВНЖ в Словакии. www.slovakiago.com
Не упустите свой шанс жить и работать в Евросоюзе!

ИТ-карьера:как заработать миллион с Microsoft IoTLab Ukraine – год спустя + интересный проект Finder для велосипедистов, февраль 2017


У меня снова была возможность пообщаться с Сергеем Поплавским – бессменным руководителем Microsoft Ukraine IoT Labwww.iotlab.in.ua – через год после предыдущего видео про Microsoft IoTLab Ukraine и ее гаджеты и проекты.

Итак, если вы чистолюбивы, умны, работоспособны и хотите заработать миллион, создав какой-то технологический стартап – вам в Microsoft IoTLab Ukrainewww.iotlab.in.ua  Winking smile

Подписаться на канал ►►►

 

ИТ-карьера – как стать успешным и востребованным системным администратором с высоким доходом 
ИТ-карьера – как стать Системным Администратором-практические шаги,часть 01-готовим рабочее место

 

В этом видео Сергей рассказывает об успехах своих предыдущих подопечных, стартапах, которые уже выпустились в прошлом году… И да – некоторое из них уже заработали свои миллионы… Пусть в гривнах – но, как говорится – лиха беда – начало Winking smile

 

 
ИТ-карьера:как заработать миллион с Microsoft IoTLab – год спустя, февраль 2017 в 4К

Кроме того, вы узнаете о тех тенденциях, которые сейчас имеют место на рынке стартапов и почему лаборатория IoT Lab начинает потихоньку переходить от “обычных железячных” IoT решений все больше к программно-аппаратным или даже программным решениям.

И, конечно же, как и в предыдущем видео – Сергей расскажет о новых гаджетах и оборудовании, которые IoT Lab предоставляет своим участникам безвозмездно для прототипирования и создания собственных аппаратных решений…

Много чего интересного, на самом деле, появилось в лаборатории за год – всякие там nanopi и аналоги Pi на тех же Intel Atom.

Так что смотрите и присоединяйтесь к работе лаборатории для стартапов Microsoft IoTLab Ukrainewww.iotlab.in.ua . Напомню – раз в год лаборатория “выпускает” “созревшие” стартапы и проводит конкурс на набор новых, обеспечивая им всестороннюю поддержку…

А продолжение про работу Microsoft IoTLab Ukraine – следует. Один из стартапов в лице девушки Аллы с удовольствием согласился рассказать, как им работается в IoT Lab.

 

Подписывайтесь на мой Youtube канал iWalker2000 – для подписки просто кликните сюда

 

Эта замечательная девушка – одна из учасниц лаборатории Microsoft IoTLab Ukrainewww.iotlab.in.ua – со своим замечательным проектом Finderfinder.itcreative.com.ua

Про саму лабораторию Microsoft IoTLab Ukraine я уже рассказывал ранее – а теперь хочу поделиться разными проектами, которые участники лаборатории “собирают на коленке” с помощью Microsoft, чтобы потом заработать миллионы Winking smile

На самом деле, девушек-авторов проекта Finder двое – Alla Bozhko и Katerina Stetsenko, но, к сожалению, Катерина не смогла присоединиться к нам во время съемки.

Потому – за всех отдувалась Алла, рассказывая как о проекте Finder, так и о других их проектах. Да-да, не смотря на свою молодость и красоту – Алла и Катерина уже достаточно преуспели в ИТ-бизнесе – можете заглянуть на домашнюю страницу их проектов – itcreative.com.ua Winking smile

 

 
ИТ-карьера:как заработать миллион с Microsoft IoTLab – проект Finder для велолюбителей от ITCreative.com.ua в 4К

И, конечно же, про сам проект Finder, хотя Алла и сама достаточно подробно рассказала уже о нем в видео. Идея – проста, как и у всех других стартапов 😉 В данном случае – трекер велосипеда, но не сколько “фитнесовый”, сколько аварийный – на случай кражи или потери. Насколько для велосипедистов кража любимого протюненого велосипеда – это боль – можете послушать в интервью пана Вовки из Братиславы

Что будет делать гаджет от Finder? Будучи встроенным в руль “обычного” или “необычного” велосипеда – он будет исправно “стучать” о местоположении велосипеда, взятом с GPS, в соответствующий сервис через модуль 3G. Обещают минимум 3 дня без подзарядки и дополнительную опцию, которая позволит заряжать модуль от динамомашинки (генератора) – но это пока еще в стадии обсуждения и планирования Winking smile

Ничего особенного? Да, но уже полезно… НО, кроме всего прочего поисковый гаджет от Finder будет еще иметь и модуль Bluetooth, который позволит велосипедистам организовывать “социальные игры” типа “охоты на лис” или “догони вора”. О чем это? А дело в том, что благодаря Bluetooth Finder, находящийся в режиме “кражи” (владелец может удаленно установить такой через вебпортал или приложение) начинает броадкастить на все находящиеся в зоне доступности Bluetooth устройства… И, конечно же, на соседние Finder.

Таким образом, если помеченый украденый велосипед с работающим Bluetooth-маячком Finder будет проезжать мимо другого Finder’а – владелец второго Finder получит сообщение, что “враг рядом” и пора его “валить”… И можно начинать преследование веловора, ориентируясь на информацию с маячка.

Представляете, какие возможности для стайной охоты за веловорами открывает Finder перед велосообществомПри широком внедрении Finder в массы – велосипедисты будут только и ждать, чтобы кто-то украл чей-то велосипед, чтобы “размяться” на “Большой Охоте” Winking smile

Кстати, я помог скооперироваться девушкам и пану Вовке – и, похоже, что реальные испытания на местности Finder будет проходить в Братиславе, где очень и очень развито велокомьюнити…

А мне остается только пожелать девушкам удачи и успеха в их интересной задаче с Finder и в ИТ-бизнесе вообще Winking smile Надеюсь, свой первый миллион они заработают уже в этом году на Finder.

 

А продолжение про работу Microsoft IoTLab Ukrainewww.iotlab.in.ua – следует. Я постараюсь в течение месяца рассказать еще об интересных проектах в IoTLab Ukraine.

 

А для тех, кто хочет стать просто ИТ-специалистом – смотрите первые шаги по созданию тестового рабочего места:

 

Подписывайтесь на мой Youtube канал iWalker2000 – для подписки просто кликните сюда

 

И еще – немного ссылок про ИТ-карьеру и тренинги/обучающие материалы для ИТ-профессионалов и Системных Администраторов:

 

Также, по просьбам посетителей – меня найти можно (добавляйтесь в друзья и подписчики):

 

 

Эмиграция для ИТ-профессионалов в Европу! Оформление ВНЖ в Словакии, возможность работы со всеми странами ЕС, открытие фирм, ЧП с соответствующими видами деятельности, оформление документов для членов семьи. Быстро, качественно, дешево и абсолютно легально ВНЖ в Словакии. www.slovakiago.com
Не упустите свой шанс жить и работать в Евросоюзе!

ИТ-карьера (III часть в 3х сериях): как стать Системным Администратором–практические шаги по установке, управлению Active Directory Domain Services, а также общим концепциям безопасности групповым политикам, делегации полномочий с использованием Active Directory


“Первый сезон” этого сериала – о том, кто такой ИТ-специалист, чем отличается от разработчика/программиста, кто такие системный администратор, ИТ-дженерались/эникейщик и какие обшие навыки, умения, черты характера и знания потребуются, чтобы стать хорошо оплачиваемым ИТ-профессионалом – смотрите в предыдущих 5 сериях.

4я часть практических рекомендаций для тех, кто решил таки стать Системным Администратором, не смотря на то, что я отговаривал всех от такого неразумного шага в предыдущих видео про ИТ-карьеру 😉 А предыдущие практические части – здесь: 

Подписаться на мой YouTube-канал iWalker2000 ►►►

В этой части – переходим от подготовки рабочего места к изучению конкретных технологий и служб, которые необходимо внедрять в ИТ-инфраструктуру мало-мальской организации (от 15-20 ПК и выше).

Краеугольным камнем любой ИТ-инфраструктуры является (если принимать во внимание правильную модель оптимизации ИТ-инфраструктуры, на которую я постоянно ссылаюсь ) служба единой аутентификации и авторизации пользователей и управления их правами и разрешениями.

Такой службой в инфраструктуре, которая обеспечивается сервисами Microsoft, является Microsoft Active Directory (а если быть точным – то конкретная служба Microsoft Active Directory Domain Services).

 


ИТ-карьера:как стать Системным Администратором-самоучитель,ч.04-что такое Active Directory,установка

 

Поэтому – изучение базовых основ Active Directory является первой же обязательной и неотъемлимой частью обучения будущего Системного Администратора. И даже если вы решили стать Системным Администратором на другой стороне – различных систем Linux и т.п. – концепцию каталога для единой аутентификации вам все равно придется учить – она таки краеугольная, не зависимо от используемых технологий – и, таки и саму Active Directory – очень часто в инфраструктурах мне приходилось встречать те самые Linuxвые серверы, приложения которых использовали для своей работы аутентификацию Active Directory – как лучшего решения в своем классе 😉

Это видео – первая часть из 3х видео, посвященных общим концепциям, установке, управлению Active Directory Domain Services, а также общим концепциям безопасности групповым политикам, делегации полномочий с использованием Active Directory.

Смотрите обзор возможностей и пошаговую инструкцию по работе с AD DS, в которой:

  • Базовые концепции управления учетными записями, аутентификацией и правами доступа
  • Установка роли AD DS на первый контроллер домена
  • Базовые концепции Active Directory Domain Services
  • Управление и настройка Active Directory Domain Services
  • Добавление серверов и рабочих станций в домен AD
  • Управление учетными записями и группами безопасности
  • Контейнеры/Organizational Unit  в AD DS
  • Кратко о групповых политиках

Да, я знаю, получилось длинно, но если вы действительно стремитесь получить те знания, которые необходимы Системному Администратору – думаю, просмотрите это видео внимательно и повторите у своей лаборатории 😉

И, как я уже говорил – это видео – первое из трех, которое будет посвящено изучению Active Directory – в следующих смотрите про групповые политики, делегацию полномочий и управление доменами и службами Active Directory Domain Services.

 

Эмиграция для ИТ-профессионалов в Европу! Оформление ВНЖ в Словакии, возможность работы со всеми странами ЕС, открытие фирм, ЧП с соответствующими видами деятельности, оформление документов для членов семьи. Быстро, качественно, дешево и абсолютно легально ВНЖ в Словакии. www.slovakiago.com
Не упустите свой шанс жить и работать в Евросоюзе!

 

5я часть практических рекомендаций для тех, кто решил таки стать Системным Администратором, не смотря на то, что я отговаривал всех от такого неразумного шага в предыдущих видео про ИТ-карьеру 😉

В этой части – продолжаем тему изучения конкретных технологий и служб, которые необходимо внедрять в ИТ-инфраструктуру мало-мальской организации (от 15-20 ПК и выше). После развертывания домена Active Directory Domain Services и настройки единой аутентификации пользователей (в предыдущем видео) – разбираемся с тем, что называется AD Group Policy и как с помощью политик настраивать рабочие места в домене и с тем, что такое делегирование полномочий на работу с ADDS – создание пользователей, групп, добавление пользователей в группы и т.п.

Это видео – вторая часть из 3х видео, посвященных общим концепциям, установке, управлению Active Directory Domain Services, а также общим концепциям безопасности групповым политикам, делегации полномочий с использованием Active Directory.

 


ИТ-карьера:как стать Системным Администратором-самоучитель,ч.05 – AD Group Policy и делегирование

 

Смотрите про управление AD DS и делегацию полномочий, а также про использование групповых политик в которой:

  • Базовые концепции управления доступом к базе Acrive Directory
  • Делегирование полномочий на контейнеры/объекты в AD
  • Создание админов для поддержки пользователей AD DS
  • Базовые концепции групповых политик в AD DS
  • Создание и применение групповых политик
  • Управление объектами групповых политик
  • Фильтрация и избирательное применение групповых политик
  • Анализ действия групповых политик

 

Эмиграция для ИТ-профессионалов в Европу! Оформление ВНЖ в Словакии, возможность работы со всеми странами ЕС, открытие фирм, ЧП с соответствующими видами деятельности, оформление документов для членов семьи. Быстро, качественно, дешево и абсолютно легально ВНЖ в Словакии. www.slovakiago.com
Не упустите свой шанс жить и работать в Евросоюзе!

 

6я часть практических рекомендаций для тех, кто решил таки стать Системным Администратором, не смотря на то, что я отговаривал всех от такого неразумного шага в предыдущих видео про ИТ-карьеру 😉

Это видео – третья, заключительная часть из 3х видео, посвященных общим концепциям, установке, управлению Active Directory Domain Services, а также общим концепциям безопасности групповым политикам, делегации полномочий с использованием Active Directory – смотрите про управление инфраструктурой, доменами и службами Active Directory Domain Services.

 


ИТ-карьера:как стать Системным Администратором-самоучитель,ч.06-управление инфраструктурой ADDS

 

Смотрите про основные концепции управления инфраструктурой доменов, деревьев, лесов Active Directory Domain Services, базовые понятия и операции:

  • Базовые концепции физической и логической структуры AD DS
  • Добавление компьютеров в домен
  • Немного об управлении облегченным вариантом установки Windows Server Core Installation
  • Добавление дополнительных контроллеров домена в AD DS
  • Создание сайтов AD DS в домене/лесу
  • Понятие репликаций AD DS и управление ими
  • Добавление нового домена в лес AD DS
  • Резервное копирование контроллеров домена AD DS

Продолжение данных учебных материалов – следует. Смотрите подробнее про возможности установки и управления варинтами установки Windows Server 2016 – Core Installation и Nano Server, а также – далее – управление сетевыми службами в Windows Server 2016.

 

Предыдущие части этого сериала – первые шаги по созданию тестового рабочего места:

 

Подписывайтесь на мой Youtube канал iWalker2000 – для подписки просто кликните сюда

 

И еще – немного ссылок про ИТ-карьеру и тренинги/обучающие материалы для ИТ-профессионалов/Системных Администраторов:

 

Также, по просьбам посетителей – меня найти можно (добавляйтесь в друзья и подписчики):

 

 

Эмиграция для ИТ-профессионалов в Европу! Оформление ВНЖ в Словакии, возможность работы со всеми странами ЕС, открытие фирм, ЧП с соответствующими видами деятельности, оформление документов для членов семьи. Быстро, качественно, дешево и абсолютно легально ВНЖ в Словакии. www.slovakiago.com
Не упустите свой шанс жить и работать в Евросоюзе!

ИТ-карьера (II часть в 3х сериях): как стать Системным Администратором–практические шаги по подготовке тестовой лаборатории для дальнейшего самообразования (очень длинные видео ;) )…


“Первый сезон” этого сериала – о том, кто такой ИТ-специалист, чем отличается от разработчика/программиста, кто такие системный администратор, ИТ-дженерались/эникейщик и какие обшие навыки, умения, черты характера и знания потребуются, чтобы стать хорошо оплачиваемым ИТ-профессионалом – смотрите в предыдущих 5 сериях.

Это видео – первая часть практических рекомендаций для тех, кто решил таки стать Системным Администратором, не смотря на то, что я отговаривал всех от такого неразумного шага в предыдущих видео про ИТ-карьеру и обязаности системного администратора.

Подписаться на мой YouTube-канал iWalker2000 ►►►

Если вы уже практикующий системный администратор – то можете смело промотать это видео – оно больше направлено на тех молодых и не очень людей, кто от продвинутого юзера или эникейщика решил перейти на следующему уровню – стать таки системным администратором.

В этом видео – практические рекомендации и выработанные годами практики по организации рабочего места для самообучения и различных тестовых лаб 😉


ИТ-карьера:как стать Системным Администратором-практические шаги,часть 01-готовим рабочее место 

Как ни странно, но все же Windows 10 является “правильным” рабочим местом системного администратора, с которого он может удаленно управлять и серверами, и использовать встроенную в Windows 10 службу вирутализации Hyper-V для развертывания тестовых виртуальных машин и экспериментов на них. А если мы говорим о домашнем компьютере, который используется и для игр, и для обучения – то тут, однозначно, и альтернативы нет Winking smile

Еще раз обращу внимание на минимальные требования к такому рабочему месту, чтобы на нем имелась возможность нормально работать с виртуальными машинами под Windows 10 Hyper-V, следующие:

  • Intel CPU x64 + аппаратная поддержка виртуализации (Intel VT, DEP, XD, SLAT/EPT и т.п.)
  • ОЗУ: не менее 8ГБ
  • Диск: самая главная часть – очень и очень нужен достаточно объемный SSD (от 256ГБ и более, желательно – отдельный) или аппаратный RAID с быстрыми HDD

А далее, в видео – пошаговая инструкция, как подготовить рабочее место для дальнейших лабораторных работ/тренировок с различными ОС и сервисами, без знания которых нельзя назвать себя “Системным Администратором”, которые будут показаны в этом видео и результаты которых будут использованы в следующих видео:

  • Установка роли/службы Hyper-V в Windows 10
  • Настройка службы Hyper-V, понятие виртуального сетевого коммутатора
  • Как скачать бесплатно Windows Server 2016 и Windows 10 Enterprise
  • Как установить Windows Server 2016/Win10 в виртуальные машины
  • Как создать клонируемый образ (шаблон) установленной и настроенной виртуальной машины с Windows Server/Windows 10 для быстрого развертывания нескольких ВМ
  • Как развертывать виртуальные машины из шаблонов
  • а также – подготовить флешку для установки отдельного сервера Windows Server 2016 на отдельное железо для следующей части…

 

Эмиграция для ИТ-профессионалов в Европу! Оформление ВНЖ в Словакии, возможность работы со всеми странами ЕС, открытие фирм, ЧП с соответствующими видами деятельности, оформление документов для членов семьи. Быстро, качественно, дешево и абсолютно легально ВНЖ в Словакии. www.slovakiago.com
Не упустите свой шанс жить и работать в Евросоюзе!

 

Это видео – вторая часть практических рекомендаций для тех, кто решил таки стать Системным Администратором, не смотря на то, что я отговаривал всех от такого неразумного шага в предыдущих видео про ИТ-карьеру и позицию Системного Администратора. Первую часть – практические шаги по подготовке для себя тестового рабочего места на Windows 10 – смотрите здесь.

В этом видео – практические рекомендации и выработанные годами практики по организации небольшой тестовой инфраструктуры с использование “основного” рабочего места и “условного” сервера виртуализации для самообучения и различных тестовых лаб.

 
ИТ-карьера:как стать Системным Администратором-практические шаги,часть 02-готовим тестовый сервер

В отличие от предыдущего видео, где речь шла о рабочем месте на базе Windows 10, на котором вы можете одновременно и работать, и играть, и изучать новые продукты в виртуальных машинах – это видео посвящено более правильному подходу к созданию тестовой лаборатории – с использованием отдельного физического хоста под управлением Windows Server 2016 и вирутальных машин на нем. Плюс – такой сценарий – отдельное рабочее место и отдельный сервер – будет приучать вас к правильному подходу к административной безопасности – к тому, что нельзя работать в консоли сервера, используя ее, как основное рабочее место.

Еще раз обращу внимание на минимальные требования к такому рабочему месту, чтобы на нем имелась возможность нормально работать с виртуальными машинами под Windows Server 2016 Hyper-V, следующие:

  • Intel CPU x64 + аппаратная поддержка виртуализации (Intel VT, DEP, XD, SLAT/EPT и т.п.)
  • ОЗУ: не менее 8ГБ
  • Диск: самая главная часть – очень и очень нужен достаточно объемный SSD (от 256ГБ и более, желательно – отдельный) или аппаратный RAID с быстрыми HDD
  • Тестовая версия Windows Server 2016

А далее, в видео – пошаговая инструкция, как подготовить инфраструктуру из сервера виртуальных машин и отдельные нюансы, связанные с настройкой административного доступа, если машины не находятся в общем домене:

  • Установка Windows Server 2016
  • Установка и настройка роли виртуализации Hyper-V
  • обзор и выбор различных сценариев удаленного управления сервером
  • выбор разных типов дисков/дисковых массивов для работы виртуальных машин
  • развертывание виртуальных машин из шаблонов, которые мы приготовили в прошлом видео 😉

 

Эмиграция для ИТ-профессионалов в Европу! Оформление ВНЖ в Словакии, возможность работы со всеми странами ЕС, открытие фирм, ЧП с соответствующими видами деятельности, оформление документов для членов семьи. Быстро, качественно, дешево и абсолютно легально ВНЖ в Словакии. www.slovakiago.com
Не упустите свой шанс жить и работать в Евросоюзе!

 

Третья часть практических рекомендаций для тех, кто решил таки стать Системным Администратором, не смотря на то, что я отговаривал всех от такого неразумного шага в предыдущих видео про ИТ-карьеру и работу Системного Администратора  Winking smile 

1ю частьпрактические шаги по подготовке для себя тестового рабочего места на Windows 10 – смотрите здесь,
2ю частьподготовка тестовой инфраструктуры c Windows Server 2016 для запуска лабораторных работ,
Записи тренинга для системных администраторов по работе облачной инфраструктурой – Microsoft Azure Infrastructure Camp, май 2015.

Если вы уже практикующий системный администратор – то можете смело промотать это видео – оно больше направлено на тех молодых и не очень людей, кто от продвинутого юзера или эникейщика решил перейти на следующему уровню – стать таки системным администратором.

ХОТЯ! Если вы уже практикующий администратор и еще не перешли на белую и пушистую сторону облаков – это видео также для вас – вы сможете познакомиться с возможностями инфраструктуры Azure IaaS. И, конечно же, рекомендую познакомиться с возможностями Azure IaaS более подробно в этих видео.

В отличие от предыдущих видео – часть 1 и часть 2 – где речь шла о рабочем месте с использованием имеющихся достаточно мощных физических компьютеров – в этом видео мы используем облачные ресурсы Microsoft Azure – https://azure.microsoft.com/ – где мы берем в аренду требуемые ресурсы. Первый, тестовый, месяц вы можете использовать бесплатно 200 долларов и создавать/запускать на них виртуальные машины, чтобы потестировать или поучиться какой либо возможности различных ОС.

 
ИТ-карьера:как стать Системным Администратором-практические шаги,часть 03-использование Azure IaaS

А далее, в видео – пошаговая инструкция, как использовать инфраструктуру Microsoft Azure IaaS для создания своих виртуальных машин и изучения тех или иных функций Windows Server 2016 в облачной виртуальной машине:

  • Как получить временную подписку на Azure
  • Базовые концепции Azure IaaS
  • Обзор доступных решений в Магазине Azure и цен на Azure IaaS
  • Создание виртуальных машин в Azure IaaS
  • Удаленное подключение к облачной виртуальной машине и работа с ней
  • Мониторинг состояния виртуальных машин и состояния счета подписки

И этой серией мы заканчиваем вступительную часть практического руководства о том, как стать Системным Администратором – о подготовке тестовой лаборатории 😉

В следующих частях – смотрите более подробно про различные роли и функции Windows Server 2016, которые обязательно должны быть знакомы Системному Администратору и, конечно же, рекомендации, как их изучать более подробно Winking smile

 

Подписывайтесь на мой Youtube канал iWalker2000 – для подписки просто кликните сюда

 

И еще – немного ссылок про ИТ-карьеру и тренинги/обучающие материалы для ИТ-профессионалов/Системных Администраторов:

 

Также, по просьбам посетителей – меня найти можно (добавляйтесь в друзья и подписчики):


 

Эмиграция для ИТ-профессионалов в Европу! Оформление ВНЖ в Словакии, возможность работы со всеми странами ЕС, открытие фирм, ЧП с соответствующими видами деятельности, оформление документов для членов семьи. Быстро, качественно, дешево и абсолютно легально ВНЖ в Словакии. www.slovakiago.com
Не упустите свой шанс жить и работать в Евросоюзе!