Мы расскажем, как настроить безопасность кластеров Kafka и Zookeeper, какие инструменты можно использовать для мониторинга и управления кластером, а также про особенности продукта, с которыми мы столкнулись.
Почему Apache Kafka?
Apache Kafka — это унификация. Десятки поставщиков и потребителей, миллионы сообщений в день и огромные массивы данных — для этого нужна надежная, отказоустойчивая и высокопроизводительная шина данных. Существует множество версий дистрибутивов Apache Kafka, например vanilla kafka, oбразы от confluent, bitnami, wurstmeister и т.д. Мы расскажем про решение на базе сборок от Confluent в виде Docker-образов. Оно самое надежное в плане информационной безопасности. Конфигурирование и запуск контейнеров с Kafka в данном случае происходит с помощью docker-compose.
За время работы с Kafka мы прошли путь от «коробочного» решения до тонкой настройки безопасности кластера, применения TLS шифрования и разворачивания по рекомендациям вендора по построению геораспределенного кластера. В конфигурации «из коробки» нет первоначальных настроек безопасности. Для контроля доступов, вносимых изменений и безопасного взаимодействия перед нами встала задача настройки на кластере Apache Kafka TLS шифрования, аутентификации и авторизации средствами встроенного ACL.
TLS шифрование
Обеспечивает шифрование соединения между брокерами Kafka, серверами Zookeeper, клиентами и брокерами. Вся ключевая информация помещается в хранилища — keystore, которые разделяют на два вида:
• keystore, где хранятся ключи и сертификаты стороны, в отношении которой пройдет процедура аутентификации и установления защищенного соединения, например, приватный ключ и ассоциированный с ним и подписанный со стороны центра сертификации (ЦC) сертификат.
Есть мнение, что платформа OpenStack теряет актуальность, но с этим утверждением согласны не все. Разберемся, в чем дело и обсудим альтернативы.
С недавних пор SIEM-системы «показаны» не только крупному бизнесу, но и субъектам КИИ, и операторам персданных – то есть почти всем. ФСТЭК и другие регуляторы настоятельно рекомендуют вооружаться SIEM, в некоторых отраслях это прямые требования, которые нельзя игнорировать.
Теперь ситуация и вовсе накалилась. С одной стороны, геополитика умножила в разы количество кибератак на российские компании, так что защититься нужно быстро и качественно. С другой, самые популярные SIEM – зарубежные, они уходят с российского рынка. Возникает вопрос: как внедрить SIEM, чтобы успеть надежно вооружиться против хакеров, выполнить требования импортозамещения и не слить на внедрение все бюджеты?
Мы нечасто приходим на Хабр «торговать лицом», но в нынешних условиях считаем нужным рассказать – у нас есть инструмент, который решает эти проблемы. Представляем вам «СёрчИнформ SIEM».
IP-АТС Yeastar серии S поддерживают функцию удаленной регистрации номеров. Что это дает? Например, при открытии новых офисов эта функция позволяет оперативно развернуть телефонную сеть. Кроме того, гораздо дешевле произвести удаленную регистрацию парка телефонов для небольшого офиса, чем покупать отдельную IP-АТС и подводить линии от провайдера.
Функция позволяет полноценно работать из дома или в командировке. Достаточно предварительно настроить IP-телефоны и софтфоны, чтобы оставаться на связи с офисом в любых условиях. Благодаря этому вы сможете работать в коворкинге, в аэропорту — в любом удобном для вас месте — и экономно использовать при этом линии IP-АТС при междугородних и международных звонках.
Как зарегистрировать удаленный добавочный номер? В качестве примера рассмотрим подключение IP-телефона Yealink. Софтфоны и устройства других вендоров настраиваются аналогично. Как показано на следующем рисунке, IP-АТС Yeastar серии S и пользователи находятся в разных сетях со своими собственными IP-адресами.
Корректный перенос данных является одной из ключевых задач при переходе из одной системы для совместной работы в другую. Миграция накопленных за годы работы почты, контактов и календарей из одной системы в другую позволяет пользователям перейти с одного решения для совместной работы на другое не теряя важных для работы данных и, соответственно, сохраняя высокий уровень эффективности. В данной статье мы расскажем о бесплатных способах миграции данных из таких популярных почтовых систем как MS Office 365, MS Exchange и Google GSuite.
Я решил отправиться в одну из не самых ярких версий недалекого будущего и попробовать на себе - насколько вообще реально отказаться от привычных продуктов и организовать работу «типичного офисного сотрудника в крупной организации» на базе «отечественной» ОС и доступных для неё приложений. Такая потребность может в ближайшее время возникнуть во многих компаниях на фоне сворачивания в России бизнеса ИТ-гигантов а также попыток государства объявить всё вокруг «критической информационной инфраструктурой», где запрещено использование «неправильного» ПО. Мне было важно испытать будущую боль заказчиков на себе!
Николай Месропян, системный инженер Southbridge, подробно рассказал редакции Слёрма о шестилетнем опыте работы с Ansible. Что стоит за слоганом «Simple IT automation»? Почему нельзя остановить темное движение мысли специалиста? И насколько это ясно на старте работы с Ansible? Николай досконально «разложил» все плюсы инструмента на минусы и наоборот.
Создание своего зеркала PyPi в текущей ситуации — это наверное почти обязательное действие, если вы программируете на Python и хотите сохранить работоспособность менеджера пакетов pip (в прошлом случайная блокировка уже нарушала его работу). Решение известно — можно создать своё зеркало PyPi, куда будут загружаться все используемые вами пакеты. Автор данной статьи постарался подготовить как можно более простой в использовании вариант, своё зеркало запускается в четыре простых шага: git clone ..., настройка пароля администратора зеркала, docker-compose up -d и настройка pip на использование вашего зеркала.
Давайте разберем самые Часто Задаваемые Вопросы, или сокращенно FAQ. Они помогут вам глубже понять тонкости и принцип работы с Ansible. На ранних этапах можете использовать эту статью как некую шпаргалку.
- "Дима, сделай Алевтине Генриховне виртуальную машину, чтобы она могла изучать систему, и свяжись с ней для настройки подключения" - именно с такой задачи начинается процесс обучения нового сотрудника в нашей компании.
- "Ну сейчас начнется" - думаю я.
- “VPN настраивать не умею”, “У меня все зависло”, “По инструкции настроить не получилось” - подобные реплики от “бизнес-аналитика Алевтины Генриховны” слышно с завидной регулярностью.
Приходится связываться, подключаться одним из доступных способов, и настраивать всё самому. Хорошо если все работает с первого раза. Плохо, если в системе по какой-то причине не работают службы, драйверы минипортов, и т.д. Однако, подключаться и помогать всё равно приходится чаще, чем хотелось бы. С очередной Алевтиной Генриховной этот процесс мне изрядно надоел, и я стал думать над поиском решений, способных облегчить жизнь.
Kubernetes, также известный как k8s — это портативная расширяемая платформа с открытым исходным кодом для управления контейнеризованными рабочими нагрузками и сервисами, которая облегчает как декларативную настройку, так и автоматизацию. Kubernetes можно настроить как в локальной, так и в облачной инфраструктуре. Однако, кластер Kubernetes немного сложен в настройке и требует значительных ресурсов, что затрудняет развертывание на локальной машине для обучения или разработки. Это приводит к тому, что не для каждого бизнеса перейти на полноценный k8s представляется возможным. К счастью, на этот случай есть более легкое решение в виде k3s.
CLD это система для обеспечения комплексной информационной безопасности и организации разграничения доступа к серверам и скриптам с возможностью оперативно внедрять пользовательские модули и инструменты автоматизации.
Мы высоко ценим автоматизацию процессов и унификацию инфраструктуры, проект призван объединить все используемые технологии в одном централизованном и само документируемом месте, с безопасным, прозрачным и логируемым доступом к любому серверу и инструменту сразу через несколько пользовательских интерфейсов (CLI, Web, API, Telegram, Discord, Mattermost, Slack).
