Вы все уже давно поняли, что нужно думать о безопасности виртуальной инфраструктуры VMware vSphere. Лучше всего думать о ней таким способом: попробовать продукт vGate, который автоматизирует настройку виртуальной среды в соответствии с регламентами предприятия, а также руководящими документами и стандартами в этой сфере. Сегодня мы рассмотрим безопасность инфраструктуры виртуализации с экономической точки зрения: попробуем ROI-калькулятор для решения vGate.
Сначала напомним, что такое vGate, о котором мы уже писали тут и тут, а также сделали специальный раздел. vGate позволяет автоматизировать работу администраторов по конфигурированию и эксплуатации системы безопасности, а также облегчает приведение виртуальной инфраструктуры на платформах компании VMware в соответствие законодательству и отраслевым стандартам. Этих стандартов несколько:
рекомендации CIS VMware ESX Server 3.x Benchmark (v 1.0)
PCI DSS 1.2 - для компаний, которые работают с платежными системами
CIS VMware ESX Server 3.5 Benchmark (v 1.2.0) - для тех, у кого ESX 3.5 (но не только)
vGate 2 умеет автоматически настроить серверы ESX и виртуальные машины в соответствии с требованиями этих стандартов с помощью политик, а соответственно позволит вам снизить затраты на обучение и конфигурацию виртуальной среды, которая будет отвечать требованиям вашего отдела ИБ.
Кстати компания "Код Безопасности", выпускающая продукт, имеет партнерство с компанией VMware по программе TechnologyAlliancePartner (Elitelevel), а также сертификат ФСТЭК для vGate 2. Ну и компания российская - а значит знает требования наших регулирующих органов.
Итак, чтобы обосновать приобретение решения vGate 2 for VMware, во-первых, вам понадобится загрузить ROI-калькулятор vGate. Во-вторых, чтобы владеть матчастью, я рекомендую прочитать статью "Экономика инфраструктуры виртуализации: TCO, ROI, Payback, NPV", где объясняется сущность таких понятий, как TCO (Total Cost of Ownership - совокупная стоимость владения), ROI (Return of Investments - возврат инвестиций) и Payback (окупаемость).
Вкратце:
TCO (Total Cost of Ownership) - сумма прямых и косвенных затрат, которые несет владелец системы на протяжении ее жизненного цикла (в данном случае инфраструктура безопасности). Считается она как правило для жизненного цикла информационной системы, который составляет в среднем от 3 до 5 лет. Считается, что после этого времени система либо потребует серьезной модернизации либо замены.
ROI (Return On Investment) – возврат инвестиций, который можно посчитать как отношение полученных (сэкономленных) денег от системы безопасности к вложенным средствам в проект (в процентах). Важный момент: оба этих показателя должны быть измеримыми!
Payback - это период времени, необходимый чтобы доходы, генерируемые результатом инвестиции, покрыли затраты на инвестиции.
Соответственно, внедряя vGate 2 для нашей VMware vSphere нам нужно добиться:
Снижения TCO на содержание конфигурации безопасности серверов ESX и виртуальных машин.
Увеличения ROI (процента возврата вложений в проект).
Уменьшения Payback - желательно, чтобы он был меньше года, т.к. это позволит обосновать вложения в рамках годового бюджета.
Итак, здесь мы видим, что в компании VMC (которая, кстати, занимается поставками vGate 2) есть 3 администратора виртуальной инфраструктуры vSphere. В год администратор получает 45000 евро (это не только зарплата, здесь мы учитываем его стоимость для компании). В году у нас 220 рабочих дней. При этом мы планируем выделенного человека на обеспечение ИБ в виртуальной инфраструктуре (что очень оправданно).
Далее идут параметры нашей виртуальной инфраструктуры: 1 сервер vCenter, 20 серверов ESX, 4 процессора на сервер (это нужно для рассчета лицензий) и 15 виртуальных машин на 1 сервер ESX (это нужно для подсчета трудозатрат на настройку в соответствии с требованиями).
Ну и в пункте "Applicable Compliance Regulations" мы указываем, необходимо ли нам соблюдение требований руководящих документов и стандартов. В разделе "Comments" нам рассказывают о принятых допущениях.
Понятное дело, что на этом листе вы задаете свои параметры. Далее переходим на вкладку "Metrics" (1 часть листа):
В поле vGate License мы видим стоимость лицензий vGate 2 - нам нужна одна лицензия на сервер авторизации (2000 евро) и лицензии на процессоры серверов ESX по общему их числу в нашей инфраструктуре (550 евро за штуку).
Далее в разделе "vGate Deployment and Maintenance" мы видим трудозатраты на внедрение и поддержку vGate 2 специалистами вашей компании. Это среднестатистические значения на основе опроса заказчиков. Считается, что мы учимся 5 дней, развертываем vGate 8 дней и 27 дней в году тратим на обслуживание (это данные совокупные для всех администраторов). Эти значения мы менять не можем.
Теперь интересный раздел "Information Security Risks". В нем в колонке "Risk" отмечена потенциальная опасность с точки зрения безопасности, которая может возникнуть в вашей компании из-за того, что вы не настроили все как надо. В колонке Cost приведена сумма, которую вы теряете в результате инцидента, а в графе "Number of Incident per year" приведено среднее значение (вероятность) таких инцидентов в год.
Например, работник компании украл данные (это случается раз в два года, например, для большой компании - значение 0.53) и это обошлось ей в 255 тысяч евро.
Откуда эти цифры с суммами? Об этом можно узнать на странице "About" - там приведены источники информации о рисках информационной безопасности. Как указано там же, данные действительны только для средних и крупных организаций. Для небольших компаний эти цифры, само собой, будут меньше.
Идем дальше. Настало время сказать что с чем сравнивается в нашем ROI-калькуляторе. Идея такая: мы полагаем, что на ручную настройку инфраструктуры безопасности vSphere мы потратим одну сумму (выраженную в евро, в соответствии с зарплатой администраторов и их трудозатратами), а на автоматизированную настройку - гораздо меньше денег за счет уменьшения временных затрат на начальную конфигурацию и дальнейшее поддержание безопасной среды.
Вот в следующем разделе листа "Metrics" нам и показывают временные и денежные затраты на приведение инфраструктуры в соответствии с нормами безопасности (то есть, обучение администраторов, внедрение конфигураций и обслуживание):
Эти значения мы тоже менять не можем, так как они являются частью модели, основанной на исследованиях.
Далее идем на самую интересную вкладку - "Calculations":
Здесь мы видим совокупную стоимость по приведению инфраструктуры в соответствие стандартам, исходя из трудозатрат на предыдущей странице. Видим, что 52 364 евро мы для этого дела потратим единовременно, а потом каждый год будем еще 22 091 евро тратить на поддержание безопасности в актуальном виде (ведь без автоматизированных средств это сложно).
Далее мы видим категорию "Estimated Decrease of Information Security Risks", где нам говорят, что, если мы вручную будем настраивать безопасность - то ликвидируем 95% угроз, а вот если с помощью vGate 2 - то все 98%. Это понятно, так как при ручной настройке можно что-то упустить, а автоматизация ведет к унификации и меньшим затратам на сопровождение.
Теперь смотрим ниже:
Мы видим теперь суммы потерь для компании при условии, что мы настроили безопасность вручную и при условии, что мы внедрили vGate.
Как это считается. Берем ту самую сумму для первого пункта 255 тысяч евро в год с вероятностью 0.53, получаем:
255 000 * 0.53=135 150
Это столько бы мы потеряли вообще без настройки безопасности. Но после ее ручной настройки, мы теряем только 5% от этой суммы, а именно
135 150 * 0.05 = 6 757.5
А вот в случае с vGate мы теряем только 2% от этой суммы, а именно:
135 150 * 0.02 = 2 703
И так далее по всем категориям рисков ИБ. После этого мы получаем 20 100 евро экономии чисто на потерях от угроз ИБ. Но есть же еще и затраты на внедрение инфраструктуры безопасности!
В случае ручной настройки эти затраты составят:
52 364
Итого, издержки компании для ручной настройки:
52 364 (настройка) + 22 091 (год поддержки конфигурации) + 33 500 (потери от рисков ИБ) = 107 955
А вот vGate с учетом лицензий и внедрения будет стоить для компании:
46 000 (лицензии для хостов и сервера авторизации) + 2 557 (обучение и внедрение) + 5 523 (год поддержки) + 13 400 (потери от рисков ИБ) = 67 480
Итого, мы сэкономим в первый год:
85 864 - 59 400 = 40 475
Ну а дальше будет еще большая экономия, так как капитальных затрат на внедрение vGate уже не будет, а поддержка уже настроенного решения, которое делает все само - естественно, дешевле.
В последующие года мы будем экономить 36 668 евро. Ну а период окупаемости для нашей инфраструктуры составит 8 месяцев, то есть все вполне укладывается в годовой бюджет на ИБ и даже остается время на подумать.
Ну и на вкладке "Summary" мы видим суммарный отчет о затратах и выгодах, который можно показывать руководству:
Не забудьте перейти на вкладку "About", где вы сможете найти информацию об источниках цифр и допущений, принятых в рассчетах.
Более подробно о бизнес-преимуществах vGate 2 вы можете узнать из этого видео на SLTV: http://www.sltv.ru/comments/clip-1812/. Отзывы и комментарии о продукте можно оставлять в этой форме. Сотрудники Кода Безопасности ответят на ваши вопросы.