Инструкция по установке для пилотных проектов

О продукте и пилотном тестировании

Solar LightHouse — решение для построения и поддержки безопасности инфраструктуры. Целью пилотного тестирования является проверка возможности закрытия ваших задач по безопасности инфраструктуры с помощью Solar LightHouse.

Этапы пилотного тестирования:

  1. Установка Solar LightHouse;

  2. Сбор данных с инфраструктуры;

  3. Проверка работы ключевых механизмов;

  4. Оценка выполнения задач инвентаризации;

  5. Проработка фокусного решения специфической задачи

Результаты пилота помогут детальнее понять потребности и определить направление дальнейшего развития продукта.

Подготовительные работы

Определение подхода к внедрению

Рекомендуемым на пилот подходом к внедрению является внедрение нашими силами с поддержкой вашей инженерной команды – для него необходимо проработка вариантов доступа и подписания необходимых документов.

Пришлите необходимые пре-реквизиты для организации такого доступа.

Выбор пилотного сетевого сегмента

На данном этапе необходимо определить сегмент сети для установки продукта. Возможно два основных сценария:

  1. Базовый и рекомендованный сценарий: Установка AIO (All in One) - размещение всех компонентов решения в сетевом сегменте, где проводится пилотное тестирование. Такой сценарий рекомендован для сетевого сегмента с количеством ассетов (сетевых активов: сетей, хостов и пр.) до 2000. Для установки выделяется одна виртуальная машина.

  2. Альтернативный сценарий: Размещение основных компонентов решения в отдельном сегменте и размещение коллектора (keeper) в сетевом сегменте, где проводится пилотное тестирование. Такой сценарий рекомендован для сетевого сегмента с количеством ассетов (сетевых активов: сетей, хостов и пр.) более 2000, для повышения производительности решения и для возможности тестирования развитой сетевой инфраструктуры с возможностью установки отдельного кипера для каждой выделенной сетевой зоны. Для установки выделяется минимально две виртуальных машины и более, в зависимости от числа ассетов, сетевых зон. Для сложных сетевых инфраструктур рекомендуется установку производить с участием разработчика.

Пилотная инсталляция

Рекомендуемый способ установки продукта для пилота – это AIO (All in One). Он хорошо подходит для тестов в пилотном сетевом сегменте на количестве ассетов до 2 тысяч.

Такая инсталляция предполагает использование 1 виртуальной машины (далее – ВМ или VM).

Рекомендуемые характеристики для ВМ

Компонент

Процессор

ОЗУ

Диск

LightHouse VM

2 ядра

4 ГБ

100 ГБ

Важно! Компоненты программы работают в среде Docker. По умолчанию Docker хранит данные (образы, контейнеры, volumes и др.) в каталоге /var/lib/docker. Мы рекомендуем предусмотреть отдельный раздел на файловой системе в размере не менее 50ГБ, и подмонтировать его в /var/lib/docker до установки Docker и его компонентов. Файловая система: xfs с ftype=1 или ext4.

Если у Вас имеются определенные ограничения в инфраструктуре - директорию /var/lib/docker можно сменить через переменную data-root в конфигурации Docker (подробнее https://docs.docker.com/engine/daemon/#daemon-data-directory)

Требования к ПО и сетевым доступам

Сетевые доступы

  1. По возможности должен быть обеспечен доступ к registry.lighthouse.rt-solar.ru по 443 порту. В данном реджестри находятся образы модулей и самой системы, что позволит избежать ручной загрузки на стенд. Логин и пароль до registry будут выданы при старте пилота.

  2. Должен быть обеспечен доступ к основным внешним системам для интеграций. Ключевые системы для интеграции:

    • Active Directory

    • SMTP сервер

  3. Должен быть обеспечен доступ к сетевому сегменту, содержащему репрезентативный набор ассетов (сетевых активов) для тестирования: хосты с разными операционными системами (Windows, Linux) и разным набором установленного программного обеспечения.

Для реализации базовых сценариев необходимо обеспечить следующие сетевые доступы:

source

destination

protocol/port

comment

Group

hostname

ip

hostname

ip

LH VM

AD

tcp/389, 636

Active Directory Integration

LH VM

SMTP Server

tcp/25, 587, 465

SMTP Integration

LH VM

iDP

LDAP

Domain Authentication

LH VM

*

*

Another Integration

LH VM

Hosts

*

Access usable to host discovery or host audit

Platform Access

User computer

Service VM

tcp/80

User access to Web

User computer

Service VM

tcp/443

User access to Web

Admin

access

Admins computer

Service VM

tcp/22

SSH access for admin

Admins computer

LH VM

tcp/5432

database access for admins

Требования к ОС и ПО на ВМ

Рекомендуемые версии ОС для установки на ВМ:

  • Ubuntu 24.04.2 LTS

  • Astra Linux 1.7, 1.8 SE

  • RedOS
8.0

При необходимости на стороне компании проведем анализ возможности установки на другие ОС семейства Linux Вашей организации.

На ВМ должны быть установлены:

  • Docker (Docker Engine и Docker Compose) из состава ОС (в случае сертифицированной версии ОС) или не ниже версии 27 для не сертифицированной версии ОС.

  • Следующие пакеты:

    • Python3-pip

    • Python3

    • Python3-venv

    • OpenSSL

Установка Solar Lighthouse (базовый сценарий AIO)

Предварительные шаги

  1. Установить Docker по оф. инструкции (ставится сразу и Docker и Docker Compose v2) https://docs.docker.com/engine/install/ubuntu/

  2. Установить пакет «zstd» (шаг опциональный)

    • sudo apt install zstd

  3. Добавить текущего пользователя в группу docker после чего перелогиниться, чтобы изменения вступили в силу

    • sudo usermod -aG docker $USER

Дальнейшие шаги выполняются в зависимости от наличия доступа в Интернет с ВМ

Наличие доступа в Интернет

  1. Установите ORAS для получение из registry.lighthouse.rt-solar.ru скрипта установки

    1. Если он у Вас уже установлен - проверьте версию

      • oras version

    2. Если не установлен - выполните установку с помощью следующих команд

      • export ARCHIVE=oras_1.3.0_linux_amd64.tar.gz

      • curl -LO https://github.com/oras-project/oras/releases/download/v1.3.0/$ARCHIVE

      • tar -xzf $ARCHIVE

      • sudo mv oras /usr/local/bin/

  2. Уточните у команды поддержи актуальную версию скрипта

    • export version=<версия поставки>

  3. Войдите в registry.lighthouse.rt-solar.ru

    • oras login registry.lighthouse.rt-solar.ru

  4. Скачайте архив со скриптом

    • oras pull registry.lighthouse.rt-solar.ru/lighthouse/release:$version

  5. Распакуйте новый архив

    • tar xf lighthouse_deploy_<version>.tar

  6. Перейдите в распакованный каталог

    • cd lighthouse_deploy_${version}/output/

  7. Запустите скрипт

    • ./install_lighthouse.sh ../configs/prod-all-in-one.yml

В процессе установки скрипт уточнит следующую информацию

  • планируется ли использовать remore keeper

    • если да, то укажите адрес кипера и следуйте инструкции от скрипта

  • планируется ли использовать внешнюю базу данных

    • если да, укажите адрес внешней базы (как настроить внешнюю базу данных указано ниже)

Настройка внешней базы данных

CREATE DATABASE am; 
CREATE DATABASE was_go; 
CREATE DATABASE river_go; 

-- Устанавливаем postgres_fdw в базах данных для работы с Asset Manager 
\c am; 
CREATE EXTENSION IF NOT EXISTS postgres_fdw; 
\c was_go; 
CREATE EXTENSION IF NOT EXISTS postgres_fdw;

Отсутствие доступа в Интернет

  1. Запросите ссылку на архивы с образами и со скриптом установки lighthouse_deploy_<version>.tar

  2. Скачайте указанные архивы с образами и скриптом и поместите их на подготовленную виртуальную машину в закрытом контуре

  3. Разархивируйте файл с образами с помощью утилиты zstd

    • zstd -d lighthouse_core_images.tar.zst

  4. Загрузите образы в локальный registry

    • docker load -i lighthouse_core_images.tar

  5. Запустите скрипт со следующими параметрами

    • SKIP_REGISTRY=true ./install_lighthouse.sh ../configs/pilot-all-in-one.yml

Обновление Solar Lighthouse (базовый сценарий AIO)

В будущем для обновления Вы можете пропусти Предварительные шаги и преступить к шагам скачивания образов и скрипта и его последующего запуска в зависимости от наличия доступа к Интернет с ВМ.

Особенности установки / обновления

В процессе установки / обновления могут возникнуть ситуации, требующие дополнительного пояснения. Ниже предоставляем самые популярные из них.

Если скрипт прервался (некорректное значение, принудительная ручная остановка)

Решение: Повторно запустить скрипт

При выборе ответа на запрос скрипта во время выполнения будет выбран тот, что с заглавной буквы.

Пример: Например, из [Y/n] будет выбран Y по умолчанию, если просто нажать ввод (enter)

Некоторые переменные проставлены по умолчанию в квадратных скобках []

Пример: если вы согласны, просто подтвердите ввод (enter), если нет - подставьте свои значения

В процессе установке нужны логин и пароль для подключения к registry. Они были высланы ранее на почту.

Решение: Если необходимо повторно направить данные - сообщите команде поддержки пилота

Обратите внимание на что список сетей для игнорирования ранее устанавливаемый через скрипт, а именно:

127.,00:00:00:00:00:00;192.168.;172.16.;172.17.;172.18.;172.19.;172.20.;172.21.;172.22.;172.23.;172.24.;172.25.;172.26.;172.27.;172.28.;172.29.;172.30.;172.31.

теперь настраивается в карточке Тенанта.

Решение: Скопируйте списки игнорируемых сетей до установки обновления и проверьте их после обновления в карточке Тенанта

При наличии вопросов - сообщите об этом команде поддержки пилота.

Сценарии пилотного тестирования

По итогу установки / обновление требуется проверить выполнение следующих базовых сценариев выполнения системы.

Сценарии подготовительные

  1. Создание базовой структуры организации

  2. Настройка интеграции с LDAP и настройка RBAC

  3. Добавление доменных пользователей

Сценарии поиска ассетов

  1. Добавление киперов

  2. Настройка и запуск активного сканирования

  3. Настройка и запуск интеграции с AD

Сценарии аудита ассетов

  1. Настройка и аудит хостов Linux

  2. Настройка и аудит хостов Windows

Сценарии обогащения атрибутов ассета

  1. Ручное и автоматическое проставление ответственных за ассеты

  2. Ручное и автоматическое проставление данных по членству в ИТ-системах

  3. Ручное и автоматическое проставление данных критичности ассетов