GLPI nie je bezpečnostný nástroj. Je to ITSM platforma, ktorá prispieva k bezpečnosti niekoľkými konkrétnymi, merateľnými spôsobmi — a je dôležité vedieť ktorými. Tento článok je úprimný rozsah: čo GLPI robí pre security posture, čo nerobí, a kde dopĺňa (nie nahrádza) dedikované bezpečnostné nástroje.
Čo GLPI skutočne prispieva
1. Viditeľnosť aktív pre vulnerability management
Nemôžete patchovať to, o čom neviete, že máte. GLPI inventár (najmä cez GLPI Agent auto-discovery) dáva bezpečnostnému tímu reálny zoznam: ktoré servery bežia s ktorým OS na akom patch leveli, ktoré notebooky majú aký softvér nainštalovaný, ktoré sieťové zariadenia existujú v ktorom subnete. Vulnerability skenery (Nessus, OpenVAS, Qualys) tento zoznam konzumujú, aby vedeli čo skenovať.
Bez GLPI: Excel tabuľky, ktoré nesúhlasia s realitou. S GLPI: queryovateľná databáza, ktorá sa denne aktualizuje.
2. RBAC a least privilege
Profile-based access control GLPI znamená, že junior technik vidí helpdesk tikety ale nie server inventár; kontraktor vidí len svoju entitu. Entity-based RBAC správne nastavený je reálna defense-in-depth kontrola: aj keď je credential kompromitovaný, blast radius je obmedzený na scope toho profilu.
Caveat: out-of-the-box profily sú príliš permisívne. Uzamknite ich pri nasadení, nie po audite.
3. Audit-grade záznamy incidentov
Pri ISO 27001, NIS2, SOC 2 auditoch je otázka „ukážte mi vašu evidenciu incident managementu" nemenná. Ticket databáza GLPI s časovými pečiatkami, kategorizáciou a nemenným audit logom je to, čo vám dovoluje odpovedať za 5 minút namiesto 5 dní. To je hlbšie pokryté v audit case for ticket-tracking.
4. Integrácia so SIEM a detection toolingom
Detection vrstva (Wazuh, Splunk, Microsoft Sentinel, Elastic Security) generuje alerty. Case-management vrstva (GLPI) je miesto, kde sa tieto alerty stávajú tikoetmi, dostávajú priradenie, sú spracované a uzatvorené s zdokumentovaným riešením. Webhook integrácia zo SIEM → GLPI je priamočiara (pozri návod GLPI API a webhooks).
5. Tracking expirácie kontraktov a certifikátov
SSL certifikáty, ktoré expirujú a poláme HTTPS. Antivirus licencie, ktoré sa skončia a prestanú aktualizovať signatúry. Vendor support kontrakty, ktorých end-date prejde bez renegociácie. Contract objekty GLPI s pre-expiry alertmi tieto chytia predtým, než sa stanú incidentmi.
Čo GLPI NEROBÍ
Aby bolo jasno, GLPI nie je:
- SIEM — neingesuje logy, nekoreluje eventy, nedetekuje anomálie.
- EDR/XDR — nesleduje endpointy pre malicious behaviour.
- Vulnerability scanner — vypisuje čo máte; nehovorí ktoré CVE platia.
- IAM platforma — má profily, nie plný identity governance.
- WAF alebo NGFW — sedí za nimi, nie na ich mieste.
Pozicionovať GLPI ako bezpečnostný nástroj je kategorická chyba. Jeho hodnota je v tom, že je spojivkové tkanivo medzi reálnymi bezpečnostnými nástrojmi (ktoré sú špecializované a drahé) a operatívnou realitou prevádzky IT (aktíva, tikety, kontrakty, ľudia).
Praktické bezpečnostné hardenovanie samotného GLPI
Mimo bezpečnostného príspevku, samotné GLPI treba zabezpečiť — drží inventárne dáta a možno credentials v plugin konfiguráciách, takže kompromitované GLPI je meaningful breach:
- Spustite za reverse proxy s TLS (pozri návod reverse proxy) — terminujte HTTPS, pridajte HSTS, pridajte security headers.
- Vypnite default admin účet (alebo zmeňte heslo; default
glpi/glpije publikovaný default — zmeňte pri prvom prihlásení alebo je vaša inštancia owned). - Vynúťte SSO cez LDAP/SAML s 2FA na IdP — nespravujte heslá vnútri GLPI.
- Obmedzte API token na konkrétne source IP, kde je to možné. Rotujte tokeny ročne.
- Patchujte promptne — GLPI publikuje security advisories. Prihláste sa na GLPI security mailing list.
- Auditujte plugin set — každý plugin je dodatočná attack surface. Odstráňte nepoužívané; pred pridaním community pluginu skontrolujte aktívnu údržbu.
- Monitorujte audit log — failed logins, zmeny profilov, mass exporty sú signály, na ktoré sa oplatí alertovať.
Úprimné zhrnutie
GLPI pomáha vašej security posture v piatich konkrétnych spôsoboch: viditeľnosť, least-privilege access, audit evidence, SIEM integrácia, tracking kontraktov. Nenahrádza žiaden skutočný bezpečnostný produkt. Najrýchlejšia cesta využiť bezpečnostnú hodnotu GLPI je (a) získať v ňom presný inventár, (b) uzamknúť profily, (c) napojiť SIEM webhook → tvorba tiketu, (d) pristupovať k samotnému GLPI hostu ako k akémukoľvek inému produkčnému systému, ktorý potrebuje hardening, patching a monitoring. Predstierať, že je to bezpečnostný nástroj, je preháňanie; ignorovať jeho bezpečnostné príspevky je podceňovanie.