Планирование развертывания
Чтобы развернуть ITDR в организации, необходимо выполнить следующие действия:
- развернуть узел управления, содержащий базу данных событий и конфигураций, а также веб-приложение Management Console;
- развернуть один или несколько узлов обнаружения;
- применить в защищаемых доменах групповые политики, требуемые для корректной работы ITDR;
- настроить запуск скрипта сетевого перенаправления на контроллерах домена.
Узел обнаружения может работать только с одним контроллером домена одновременно. Для отказоустойчивого развертывания требуется развернуть дополнительные узлы обнаружения. В случае невозможности установления сетевого перенаправления с основным узлом обнаружения контроллер домена будет автоматически переключен на резервный узел.
Для наилучшей производительности узлы обнаружения рекомендуется разворачивать как можно ближе к контроллерам домена, желательно, в той же среде виртуализации.
Для работы push-уведомлений пользователи мобильного приложения должны иметь сетевой доступ к узлу управления. Для повышения безопасности рекомендуется развернуть дополнительный шлюз на базе nginx или haproxy.
ITDR представляет собой набор контейнеров; для работы продукта требуется средство контейнеризации docker. При передаче продукта образы контейнеров поставляются в виде zip-архивов, поэтому доступ в интернет не требуется.
Установка ITDR
Установка ITDR выполняется в следующем порядке:
- Подготовка доменов к установке
- Установка узла управления
- Установка узлов обнаружения для всех запланированных контроллеров домена, а также резервных узлов обнаружения
- Настройка сетевого перенаправления на контроллерах домена
Аппаратные и программные требования к узлам
| Роль сервера | Операционная система | Аппаратные требования | Дополнительное программное обеспечение |
|---|---|---|---|
| Узел управления | Debian 12 | CPU: 4 ядра RAM: 8 ГБ HDD: 500 ГБ | - Docker v23 или новее - Docker Compose - пакеты openssl, j2cli |
| Узел обнаружения | Debian 12 | CPU: 2 ядра RAM: 4 ГБ HDD: 60 ГБ | - Docker v23 или новее - Docker Compose - пакеты openssl, j2cli |
| Контроллер домена | Windows Server 2012R2 или новее | CPU: 2 ядра RAM: 4 ГБ HDD: 60 ГБ | - роль Routing and Remote Access - Windows Management Framework 5.1 |
Сетевые взаимодействия
Для работы продукта между узлами устанавливаются сетевые соединения. Все соединения между узлами защищены TLS, для которого используются сертификаты, выпущенные при помощи внутреннего УЦ. Сертификат УЦ и сертификаты TLS выпускаются в момент установки узла управления.
Перед установкой узлов убедитесь, что между подготовленными серверами присутствует сетевая связность, а на сетевом экране разрешены соединения, указанные в таблице.
| Клиент | Сервер | Порт | Протокол | Передаваемая информация |
|---|---|---|---|---|
| узел управления | контроллер домена | TCP 389 или 636 (LDAPS) | LDAP | события каталога |
| узел обнаружения | узел управления | TCP 5671 | RabbitMQ | - события доступа, - инциденты, - события аудита |
| узел обнаружения | узел управления | TCP 6379 | Redis | - политики контроля доступа, - политики противодействия угрозам, - объекты каталога, - вспомогательная информация для детектирования угроз, - информация о состоянии компонентов |
| контроллер домена | узел обнаружения | UDP 500, UDP 4500, UDP 1701 | L2TP/IPSec | перенаправляемый трафик протоколов аутентификации |
| контроллер домена | узел обнаружения | ICMP | Ping | проверка статуса узла обнаружения |
| контроллер домена | узел управления | TCP 5202, TCP 5203 | HTTPS | - информация для подключения к узлу обнаружения, - информация о состоянии компонентов |