设置应用程序并开始
一旦规划了Scan Engine部署,就已经完成了安装计划的一半以上。下一步是决定如何安装主要组件—安全控制台和扫描引擎。
了解部署选项
InsightVM组件有两个版本。硬件/软件设备是即插即用的设备,它包含安全控制台和扫描引擎的组件。当您购买Appliance时,可以将其配置为作为扫描引擎或作为带有本地扫描引擎的安全控制台运行。
在某些方面,Appliance是比产品的软件版本更简单的解决方案,软件版本需要您分配自己的资源来满足系统需求。当您在给定的主机上安装InsightVM软件时,您的选项(与appliance一样)包括仅作为扫描引擎或作为安全控制台和扫描引擎运行应用程序。
安装场景-你是哪一个?
安装InsightVM的不同方式解决了不同的业务场景和生产环境。你可能会发现其中一个与你的相似。
小型企业,内部网络
一家小型零售店的店主拥有50或60个工作站的网络,需要确保它们符合PCI标准。这些资产包括寄存器、用于执行商品查找的计算机以及文件和数据服务器。他们都在同一幢大楼里。对于这种情况,单台服务器上的纯软件安全控制台/扫描引擎就足够了。
位于偏远地区的中型公司
一家公司有一个中央办公室和两个偏远地点。总部和其他一个地点之间只有少量资产。另一个远程位置有300个资产。网络带宽一般,但足够。将扫描引擎专用于300资产位置绝对是有意义的。同一主机上的安全控制台和扫描引擎可以支持环境的其余部分。由于带宽限制,建议在非工作时间扫描此网络。
具有多个大型远程位置的全球企业
总部设在美国的公司在世界各地都设有办事处。每个地点都有大量的资产。每个远程位置都有一个或多个专用扫描引擎。美国办公室的一组扫描引擎涵盖本地扫描,并为远程扫描引擎提供紧急备份。在这种情况下,建议不要使用与安全控制台共享主机的扫描引擎,因为安全控制台必须管理大量扫描引擎和大量数据。
安全控制台放在哪里
与扫描引擎不同,安全控制台的性能不受其在网络上的位置限制。可以将引擎设置为启动与控制台的出站连接,或让控制台启动这些连接以启动扫描。当安全控制台通过防火墙中的开口发送数据包时,数据包来自防火墙的“内部”,并传输到“外部”的扫描引擎。您可以在方便的地方安装安全控制台。
假设安全控制台不与扫描引擎共享主机资源,则一个安全控制台通常足以支持整个企业。如果您注意到安全控制台的性能比通常慢,并且如果这种变化与扫描卷的急剧增加一致,您可能需要考虑添加第二安全控制台。
配置环境包括将每个已安装的扫描引擎与安全控制台配对。
部署方案,例如,Inc.。
让我们回到环境表,例如Example, Inc。
网段 |
地址空间 |
资产数目 |
位置 |
资产功能 |
---|---|---|---|---|
纽约销售 |
10.1.0.0/22 |
254 |
1号楼:1-3层 |
工作站 |
纽约信息技术/行政 |
10.1.10.0/23 |
50 |
2号楼:2楼 |
工作站 |
纽约打印机 |
10.1.20.0/24 |
56 |
1、2号楼 |
打印机 |
纽约非军事区 |
172.16.0.0/22 |
30. |
协同定位设备 |
Web服务器 |
马德里销售 |
10.2.0.0/22 |
65 |
3号楼:1层 |
工作站 |
马德里的发展 |
10.2.10.0/23 |
130 |
3号楼:2、3层 |
工作站 |
马德里打印机 |
10.2.20.0/24 |
35 |
3号楼:1-3层 |
打印机 |
马德里非军事区 |
172.16.10.0/24 |
15 |
3号楼:暗室 |
文件服务器 |
最佳实践部署计划可能如下所示:
这八个集团总共拥有635项资产。例如,Inc.可以为635个许可证购买一个固定数量的许可证,但更明智的做法是为总地址空间购买一个发现。根据PCI、ISO 27002或ISO 27001等标准扫描环境中的所有资产始终是最佳做法。这种做法反映了黑客将任何资产视为可能的攻击点的做法。
例如,Inc.应该将InsightVM组件分发到它的四个物理位置:
- 建筑1
- 2号楼
- 建筑3
- 同一地点设施
IT或安全团队应评估这些位置之间的每个LAN/WAN连接的质量和带宽可用性。团队还应审核这些管道中是否存在可能阻止成功扫描的设备,如防火墙、ACL、IP或ID。
最后,团队必须解决可能阻止访问的任何逻辑分离,如防火墙和ACL。
安全控制台的最佳位置是在纽约,因为那里有大量的资产,更不用说IT和管理组了。
假设纽约的建筑之间的服务质量是可接受的,唯一的附加基础设施将是Co-Location设施内的扫描引擎。
Example,Inc.应在马德里位置安装至少一个扫描引擎,因为延迟和带宽利用率与WAN链路有关。
最后,为马德里非军事区增加一个扫描引擎以绕过任何防火墙问题不是一个坏主意。
下表反映了这一计划。
资产 |
位置 |
---|---|
安全控制台 |
纽约:2号楼 |
扫描引擎#1 |
纽约:联合选址设施 |
扫描引擎#2 |
马德里:建筑3 |
扫描引擎#3 |
马德里:黑暗的房间里 |
部署清单
当您准备安装、配置和运行InsightVM时,遵循一个通用的顺序是一个好主意。某些任务依赖于其他任务的完成。
您会发现自己在重复以下步骤:
- 安装组件
- 登录安全控制台Web界面
- 配置扫描引擎,并将它们与安全控制台配对
- 创建动态发现连接,从VMWare, AWS, DHCP等拉资产。
- 创建一个或多个站点
- 将每个站点分配给扫描引擎
- 为每个站点选择一个扫描模板
- 安排扫描
- 创建用户帐户,并为这些帐户分配站点相关的角色和权限
- 运行扫描
- 配置和运行报告
- 创建资产组以查看报告和资产数据
- 创建用户帐户,并为这些帐户分配与资产组相关的角色和权限
- 向用户分配修正票据
- 重新运行扫描以验证修正
- 执行维护任务