Безпечна інтеграція в майбутнє


Безпечна інтеграція в майбутнє

Міграція продуктивного SIEM у хмару без втрати даних — на практиці 

Майстер-клас: секрети випікання найсмачніших млинців!

11.04.2025

Ви впевнені, що ваша ІТ-інфраструктура захищена? Поки деякі компанії ще сперечаються, чи варто переходити в хмару, інші вже зберігають свої дані подалі від ворожих ракет та інших потенційних загроз. 
Ми вирішили не чекати, поки ворожа атака зітре наземний датацентр із лиця землі — і провели повноцінну міграцію технологічної платформи Security Operations Center (SOC) у хмару Azure. Без втрат, паніки та пауз у роботі — і готові поділитися власним досвідом.

Для чого потрібна міграція в хмару?

Спершу розберемося, що таке міграція в хмару і чому це не просто “тренд”. Таке рішення дозволяє досягати низки стратегічних переваг:
● прозорість та зменшення витрат на володіння і підтримку ІТ-інфраструктури;● зменшення ризиків втрати ІТ-інфраструктури через війну в Україні (фізичне знищення датацентрів);● зменшення ризиків зупинки процесінгу через тривалу відсутність живлення в датацентрах;● гнучкість та масштабованість ІТ-інфраструктури для швидкої адаптації до змінюваних умов;● підвищення надійності та безпеки даних завдяки сучасним хмарним технологіям.
Це рішення стає необхідним для багатьох організацій і рано чи пізно охопить кожну з них. Ми, як компанія, яка надає сервіси для SOC, маємо великий досвід у міграції технологічних платформ у хмарні середовища. Це включає реалізацію міграції таких компонентів, як:
● SIEM (Security Incident and Event Management);● SOAR (Security Orchestration, Automation, and Response);● Vulnerability Management (VM);● Deception platforms;● Automation platforms;● інші підсистеми.
Ми маємо можливість реалізовувати міграції в обидва напрямки, незалежно від складності системи, що дозволяє забезпечити безперервність і ефективність роботи SOC. 
У наступних розділах ми детально розглянемо реальний кейс міграції технологічної платформи SOC у Azure, зокрема етапи та особливості цього процесу.

Від наземної до хмарної: кейс повної міграції SOC

Уявіть SOC-систему, розкидану по всій країні. Сервери в різних містах, підсистеми на десятках майданчиків, кожна з яких — критично важлива. І все це потрібно перенести в хмару. Не просто швидко, а ще й так, щоб жоден пакет не загубився дорогою.
Саме такий виклик поставив перед нами цей кейс. Замовник мав масштабну ІТ та ІБ-інфраструктуру, у якій ключову роль відігравали:
● SIEM (Security Incident and Event Management);● ITS Inventory (Assets inventory);● ITS Incident Management and Response;● Deception Platform;● Vulnerability Scanner.
Міграція технологічної платформи SOC в Azure відбувалась у декілька етапів:
● Аудит технологічної платформи та розробка технічного завдання.● Розгортання та міграція компонентів.● Переключення джерел даних та інтеграцій, контролів ІБ.● Завершення робіт.
Далі ми поділимося з вами нашими результатами. Але одразу скажемо: це була складна, але захоплива задача із вкрай високими ставками.

Аудит технологічної платформи та розробка технічного завдання

Перш ніж щось переносити — потрібно добре зрозуміти, що саме ми маємо. Міграція SOC в хмарне середовище Microsoft Azure вимагає не лише технічної майстерності, а й точності на рівні мікроскопа. Тому перший етап — це глибокий аудит та стратегічне планування.
Що ми зробили:
● Аудит всіх компонентів технологічної платформи (ТП) SOC — обчислювальні потужності та утилізація ресурсів, конфігурації та інтеграції, контролі інформаційної безпеки, інші конфігурації притаманні специфіці підсистем.● Аналіз архітектури Azure у контексті потреби розгортання та міграції компонентів ТП SOC.● Розробка проміжних та цільової архітектури ТП SOC та вимог для хмари Azure.● Формування рекомендацій сегментації мереж та підписок в Azure.● Тестування сценаріїв міграції та перенесення конфігурації у тестовому середовищі.
За підсумками цього етапу було створено повноцінне технічне завдання. Воно враховувало всі особливості кожного компоненту платформи, необхідні інтеграції, специфіку роботи підсистем, вимоги безпеки та навантаження.
Після узгодження з технічними фахівцями замовника, це технічне завдання стало основою для наступних етапів.

Розгортання та міграція

Що робити, коли перед тобою — десятки різних підсистем, сотні конфігурацій і тисячі джерел даних, а часу на міграцію обмаль? Правильно: вибрати правильну стратегію й не намагатися «все й одразу».
Саме на цьому етапі ми обрали ключовий підхід: кожна підсистема — окремий сценарій міграції, залежно від її навантаження, специфіки, оновлень та інтеграцій. Розглянемо їх детальніше:
1. Azure Migrate: Пряме перенесення компонентів у хмару за допомогою вбудованого інструментарію Microsoft.2. Backup–Restore: Створення нового екземпляру в Azure, імпорт даних та налаштувань, а потім — зупинка наземного варіанту. Обидві версії працюють паралельно не довше трьох діб.3. Coexistence: Найгнучкіший сценарій — нова система в хмарі працює паралельно зі старою. Дані, правила та об’єкти поступово переносяться, після чого стара версія згортається. Саме цей сценарій став основним у проєкті.4. Component Deploy: Підсистема не потребує міграції в хмару, виконується лише розгортання додаткової компоненти підсистеми або активації сервісу в відповідному тенанті хмарного середовища.
В рамках даного етапу було реалізовано сценарії міграції або розпочато підготовчі роботи відповідно до специфіки тої чи іншої підсистеми.
У результаті було обрано сценарій Coexistence. Чому саме він? Тому що це — максимальний контроль. У клієнта накопичилось чимало «артефактів»: застарілі конфігурації, невиправлені баги, речі, які не оновлював навіть вендор. Повний перенос цієї спадщини в хмару був би помилкою.Саме тому ми вирішили перенести лише найважливіше, протестувати все вручну — і вже потім закрити стару систему. 
Окремо потрібно виділити SIEM-підсистему, оскільки вона містила найбільше інтеграцій, конфігурацій і правил. Тож її перенесення стало окремим проєктом у межах кейсу. Для підсистеми SIEM на другому етапі було виконано підготовку до міграції:
● виділено обчислювальні потужності та розгорнуто сервери;● забезпечено мережеві доступи;● інстальовано програмне забезпечення SIEM-системи;● перенесено конфігурацію;● проведено попередні тести.
Також ми встановили незалежну SIEM у Microsoft Azure та Data Collector-и — спеціальні компоненти для збору подій з наземних датацентрів. Вони використовували ті самі IP-адреси, що й попередня система, що дозволило суттєво скоротити час на переключення і мінімізувати втрати даних.
Верхньорівнева проміжна архітектура двох SIEM підсистем зображена на малюнку нижче:

Illustration

Завдяки злагодженій роботі команди сертифікованих інженерів ми перенесли понад 250 кореляційних правил, підключили 5000 джерел даних, налаштували довідники, звіти, пошукові шаблони, перенесли рольову модель доступу і не втратили жодного важливого пакету даних.

Переключення джерел даних та інтеграцій, контролів інформаційної безпеки

Після розгортання нової інфраструктури та ретельного перенесення всієї конфігурації на хмарну платформу Microsoft Azure ми підійшли до найвідповідальнішого моменту — переключення джерел даних. Саме цей етап завершує основну частину міграції SIEM. Для цього було виконано:
● вимкнення старих SIEM Data Collector;● увімкнення нових компонентів;● заміну ІР-адресації;● інтеграцію з новим розгортанням;● верифікацію надходження даних та працездатності кореляції.
Наступним логічним кроком стало завершення всього процесу міграції: остаточна перевірка інтеграцій, видалення застарілих компонентів, тестування UseCases та оновлення документації. Про це — далі.

Завершення робіт

Коли все було налаштовано, а компоненти мігрували у хмару, нам потрібно було переконатися, що система працює бездоганно. Команда зосередилась на тому, щоб перевірити кожен елемент нової архітектури, прибрати все зайве та зафіксувати актуальний стан інфраструктури.
Результатом даного етапу було:
● перевірка інтеграцій SIEM та інших систем та підсистем;● видалення вимкнених компонентів старої архітектури;● повний цикл тестування всіх чинних UseCaseр;● аудит оновленої архітектури на підсистемах технологічної платформи SOC;● документування підсистем, які мігрувались по сценарію Coexistence, та актуалізація наявної документації для інших підсистем, процесів, контролів;● фінальні перевірки та проведення приймально-здавальних робіт.
Лише після цього нова хмарна SOC-платформа готова до роботи в продуктивному середовищі.

Результат співпраці

Міграція SIEM та технологічної платформи SOC у хмару Azure — це складний, але необхідний процес, який дозволяє значно підвищити гнучкість та зменшити ризики для ІТ інфраструктури компанії. Завдяки детальному плануванню, верифікації всіх процесів та використанню різних сценаріїв міграції, нам вдалося забезпечити безперервність роботи системи без втрати важливих даних. 

Ще більше кейсів SIEM: практичні історії від ІТ Specialist 

Компанія IT Specialist має не лише глибоку експертизу в побудові SOC (Security Operations Center), але й успішні кейси впровадження SIEM-рішень для великих бізнесів у різних галузях.
Одним із найпоказовіших кейсів стала співпраця з концерном "Галнафтогаз" (мережа АЗК OKKO). Ми побудували SOC з нуля на основі платформи IBM QRadar SIEM, а також створили понад 100 унікальних Use Case для виявлення та реагування на кіберінциденти. Це дозволило клієнту отримати повну видимість подій в інфраструктурі та побудувати ефективну систему безперервного моніторингу безпеки.
У банківській сфері ми допомагаємо клієнтам першочергово закривати вимоги регуляторів, зокрема PCI DSS, — але в реальності це лише старт. Часто саме ці вимоги стають точкою входу для повноцінного розвитку власного SOC, з гнучкими процесами виявлення, обробки та реагування на загрози.
Рітейл-компанії обирають SIEM як захист своїх критичних бізнес-активів — від POS-терміналів до ERP-систем. Тут основний фокус — швидкість реагування та мінімізація бізнес-ризиків. Ми впроваджуємо рішення, які дозволяють не лише побачити загрозу, а й одразу локалізувати її.
Усі наші спеціалісти, які працюють над впровадженням та підтримкою SIEM, мають підтверджену кваліфікацію: міжнародні сертифікати, досвід роботи з провідними платформами (IBM QRadar, Splunk, Azure Sentinel та ін.), а також практику у складних середовищах — від банків до промисловості.
Кожен кейс — це виклик, і кожне рішення — це наша відповідальність. Саме тому компанії обирають IT Specialist як партнера для побудови сучасної, ефективної й стійкої до загроз системи кібербезпеки.
Якщо ваша компанія також планує здійснити міграцію до хмари та забезпечити захист своїх даних у новому середовищі, звертайтеся до команди IT Specialist. Ми допомагаємо на кожному етапі: від аудиту до перевірки UseCases. З досвідом, сценаріями та гарантією безперервності.
Міграція — не страшна. Страшно — лишитися без захисту.

IT Specialist – безпечна інтеграція в майбутнє!

Автор: Вячеслав Сіленко, Lead SecOps Engineer

Illustration


Зателефонувати

Офіс+38 (044) 390 81 90 

Департамент продажів+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124

Illustration


Зателефонувати

Офіс+38 (044) 390 81 90 

Департамент продажів+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124