Зачем нужен аудит среды Microsoft Exchange Server? Каждый, кто задает этот вопрос, скорее всего, уже столкнулся с неприятностями, хотя, возможно, пока не догадывается об этом. Даже без учета требований юридических и нормативных актов существует много причин внимательно отслеживать параметры систем Exchange, от общей безопасности до производительности. Однако выбор и поиск параметров, которые нужно контролировать, — довольно сложная задача.

В Exchange Server 2010 появились инструменты административного аудита, однако они вряд ли понравятся кому-то, кроме знатоков PowerShell. В Exchange 2010 есть возможность найти нужные параметры, но пока нет развитого графического интерфейса.

Как обычно, проблему аудита можно успешно решить с помощью продуктов (для администратора наделенных графическим интерфейсом) сторонних поставщиков. В таблице приведены сравнительные характеристики этих продуктов. Но сначала рассмотрим факторы, определяющие необходимость аудита Exchange, а затем познакомимся с возможностями сторонних продуктов.

Потребность в аудите

В некоторых секторах экономики методы обработки данных и круг лиц, имеющих доступ к информации, определяются строгими юридическими правилами. И мы все довольны, когда они применяются эффективно. Широко известны такие законодательные акты, как закон о переносимости и отчетности в медицинском страховании (HIPAA), и стандарты, такие как PCI. Администраторы организации Exchange, в которой действуют подобные правила, наверняка знакомы с аудитом. Но игнорировать их недопустимо в любой организации. По словам Тома Крейна, менеджера по продуктам в компании Quest Software, ни одну отрасль нельзя исключить из аудита.

Даже если применяются определенные правила, не всегда ясно, что именно они означают и как контролировать их соблюдение. В некоторых случаях даже трудно точно выяснить, какие нормативные акты применимы к конкретной компании. Такая ситуация сложилась с HIPAA и законом Сарбейнса-Оксли непосредственно после их принятия, но, по мнению Крейна, со временем понимание, что нужно делать, становится более четким. Он также отметил, что теперь как аудиторы, так и компании обладают лучшим пониманием требований к данным со стороны нормативных актов.

Имейте в виду: данных очень много. Огромное количество потенциально подлежащей контролю информации может проходить через почтовую организацию Exchange или храниться в ней. Уэнди Йейл, старший директор по маркетингу компании Varonis Systems, отмечает: «В настоящее время электронная почта — краеугольный камень совместной работы. Она даже важнее традиционных методов связи, так как люди гораздо меньше разговаривают по телефону. Это основа совместной работы, поэтому объем данных нарастает как снежный ком. Взгляните на большинство компаний. Они не просто не успевают за увеличением объемов информации; в худших случаях нельзя говорить даже о приближении к управляемому уровню».

В большинстве случаев системы с течением времени органически разрастаются. По мере того как электронная почта и другие методы электронной связи становятся преобладающими, данные начинают накапливаться, и вместе с ними растет потребность в аудите, о которой первоначально никто не задумывался. Как подчеркивает Йейл, трудно вернуться и преобразовать уже начавшийся процесс. Поэтому необходимы эффективные инструменты, чтобы фильтровать данные и представлять их в удобной форме.

Инициатива в поиске решения аудита может исходить от самих администраторов Exchange, но с таким же успехом это может быть предложение (или требование) вышестоящих менеджеров компании. Как говорит Крейн, нередко активность проявляют члены совета директоров, главные управляющие, имеющие большое влияние: «Они особенно ревниво относятся к интеллектуальной собственности; через них проходят большие потоки конфиденциальной информации. Администраторы Exchange имеют доступ к учетным записям резервного копирования или другим учетным записям с естественными, делегированными правами. Поэтому руководители стремятся получить средства контроля пользователей этих учетных записей».

Ни одному администратору Exchange не понравилось бы иметь постоянного надсмотрщика, но таковы реалии корпоративного мира. Крейн прав: администраторы — это специалисты, наделенные правами доступа. Кроме того, аудит заключается не только в отслеживании нарушений и несанкционированного доступа; он позволяет обнаружить проблемы, возникающие в результате неудачных изменений. Кто внес изменение и почему? Какова была цель? Подходящее решение аудита облегчит решение таких проблем.

Что проверять?

В разных компаниях по-разному отвечают на вопрос о характеристиках, которые следует контролировать; порой ответы отличаются в разные периоды времени. В результате общения с представителями четырех компаний, выпускающих продукты аудита для Exchange, выяснилось, что у каждого из них есть наготове полезные советы, и все немного разные. И неудивительно, что эти советы в общих чертах соответствуют достоинствам конкретных продуктов.

По мнению Майкла Фимина, президента и главного управляющего NetWrix, важно отслеживать все изменения в среде Exchange. «Аудиту подлежат любые изменения, — полагает Фимин, — особенно если управлением Exchange занимается не один человек. Все должны быть в курсе происходящего, знать, что подвергается изменениям, какие меняются разрешения, почтовые ящики и т. д.». NetWrix Exchange Change Reporter — часть комплекса Change Reporter Suite с модулями для контроля ИТ-инфраструктуры, в том числе Active Directory (AD), SharePoint, SQL Server и т. д.

Фимин выделяет три области применения решений аудита. «В первую очередь это архивирование изменений. Пользователю необходимо иметь возможность отслеживать историю, — отмечает он. — Если аудитор просит показать изменения, произошедшие 5 лет назад, компания должна иметь возможность выполнить это требование». Фимин считает, что в некоторых отраслях необходимо сохранять изменения в течение 7 лет.

Второе требование — возможность формировать отчеты о собранных данных: «Необходимо создавать отчеты для особых типов изменений или только для изменений, соответствующих определенному критерию. Третий важный элемент — уведомления о значительных типах событий, например относящихся к безопасности и соответствию нормативным актам».

Для Адама Лауба, вице-президента по маркетингу компании STEALTHbits, и Барбары Баумле, технического менеджера по обработке сообщений и мобильным технологиям, важные функции аудита, необходимые администраторам Exchange, группируются вокруг управления доступом. «Не просто регистрировать активность, связанную с доступом, — говорит Лауб, — но выяснять, кто имеет доступ и кому доступ предоставляется в разные периоды времени, чтобы отслеживать важные изменения в правах и разрешениях для почтовых ящиков. Убедитесь, что отсутствуют почтовые ящики с высоким уровнем риска, просмотреть содержимое которых может любой пользователь через открытые учетные записи Default и Anonymous».

Продукт компании STEALTHbits, StealthAUDIT Management Platform for Exchange, также представляет собой часть более широкой платформы аудита. Это полезно, если ваши интересы в области аудита выходят за рамки собственно Exchange. Относительно характеристик, важных для клиентов, Баумле придерживается следующего мнения: «Очень многое зависит от конкретной компании, что именно хочет видеть клиент и его приоритетов». Поэтому выбирайте решение с самым широким выбором методов поиска, аудита и подготовки отчетов или заранее точно сформулируйте свои потребности.

Как и Фимин, Крейн из компании Quest Software назвал три основные функции продуктов аудита. Во-первых, продукт должен обеспечивать общий текущий анализ среды. Во-вторых, он должен помогать добиться соответствия требованиям нормативных актов внутри компании, выполняя аудит нарушений. И в-третьих, должен уведомлять о нарушениях политики в реальном времени.

Крейн подробно остановился на типе сведений, которые надлежит собирать о каждом изменении: «Нужно ответить на шесть вопросов. Кто внес изменение? Когда это произошло? Какой объект был изменен? Какая система обнаружила изменение или из какого сервера Exchange оно исходит? Где оно возникло? Почему это произошло?»

Кроме того, при необходимости продукт должен регистрировать значения до и после изменения и сохранять эти данные.

Для компании Varonis ключевой момент — проблема владения данными. Не всегда просто определить владельца общих папок и круг использующих их лиц. Продукт Varonis DatAdvantage for Exchange, акцент в котором сделан на управлении данными, может предоставить эту информацию и рекомендации относительно лиц с избыточными полномочиями. Йейл отмечает: «Очень полезно представить информацию в контексте. В результате у клиентов появляется возможность анализа для принятия обоснованных решений относительно будущего». Действительно, не это ли основная цель аудита?

Все основные функции

Удивительно, как мало компаний выпускает решения аудита Exchange — всего четыре. В некотором отношении даже удобно, что клиенту приходится изучать меньше продуктов. В каждом из четырех решений предусмотрены все основные функции аудита, подготовки отчетов и уведомлений.

Б. К. Уинстед (bwinstead@windowsitpro.com) — помощник редактора в Windows IT Pro и SQL Server Magazine