En weer oor die beskerming van virtuele infrastruktuur

In hierdie pos sal ons probeer om ons lesers uit algemene wanopvattings oor die sekuriteit van virtuele bedieners te lei en ons vertel hoe om hul gehuurde wolke behoorlik te beskerm aan die einde van 2019. Die artikel is hoofsaaklik bedoel vir ons nuwe en potensiële kliënte, meer spesifiek diegene wat pas gekoop het of wil koop virtuele bedieners RUVDS, maar is nog nie baie vertroud met kuberveiligheidskwessies en die werking van VPS nie. Ons hoop dat kundige gebruikers dit ietwat nuttig sal vind.

Vier verkeerde benaderings tot wolksekuriteit

Daar is opinies, wat redelik algemeen onder sake-eienaars en -bestuurders (ons lig dit vetdruk uit), wat die versekering van kuberveiligheid van wolkdienste is óf a priori onnodige ding, aangesien wolke veilig is (1), of dit is die taak van die wolkverskaffer: Ek het vir 'n VPS betaal - wat beteken alles moet gekonfigureer, veilig en sonder probleme werk (2). Daar is ook 'n derde mening, gemeen aan beide inligtingsekuriteitspesialiste en sakemanne: wolke is gevaarlik! Geen bekende sekuriteitsinstrumente kan voldoende beskerming vir virtuele omgewings bied nie (3) — sakeleiers met hierdie benadering laat vaar wolktegnologieë weens wantroue of wanbegrip van die verskil tussen tradisionele en gespesialiseerde sekuriteitsinstrumente (meer daaroor hieronder). Die vierde kategorie burgers glo dat ja, jy moet jou wolkinfrastruktuur beskerm, want daar is standaard antivirusse (4).

Al hierdie vier benaderings is verkeerd - dit kan verliese meebring (behalwe miskien vir die benadering om glad nie virtuele bedieners te gebruik nie, maar selfs hier moet jy nie die besigheidspostulaat "verlore wins is ook 'n verlies" verwaarloos nie). Om die statistieke tot 'n mate te illustreer, hier is 'n aanhaling uit die verslag van Kaspersky Lab se korporatiewe verkoopsondersteuningskundige Vladimir Ostroverkhov, wat ons gepubliseer in die somer van 2017. Kaspersky het destyds ’n opname onder vyfduisend maatskappye van 25 lande gedoen – dit is groot maatskappye met minstens een en ’n halfduisend werknemers. 75% van hulle gebruik virtualisering, maar belê nie in sekuriteit nie. Die probleem het nie vandag sy relevansie verloor nie:

“Ongeveer die helfte van [groot] maatskappye gebruik geen beskerming vir virtuele masjiene nie, en die ander helfte glo dat enige standaard-antivirus voldoende sal wees. Al hierdie maatskappye bestee [elkeen] gemiddeld byna miljoen dollar [per jaar] vir herstel na voorvalle: vir ondersoek, vir stelselherstel, vir vergoeding van koste, vir vergoeding van verliese van een enkele inbraak ... Wat sal hul uitgawes wees as hulle hulself kompromitteer? Direkte verliese vir herstel, vervanging van toerusting, sagteware... Indirekte verliese - reputasie... Verliese vir vergoeding vir hul kliënte, insluitend reputasie... En ook ondersoek van insidente, gedeeltelike vervanging van infrastruktuur, want dit het homself reeds gekompromitteer, dit is gesprekke met regerings, hierdie gesprekke met versekeringsmaatskappye, gesprekke met kliënte wat vergoeding moet betaal.”

Waarom hierdie benaderings nie werk nie

Benadering 1: Wolke is veilig, hoef nie beskerm te word nie. Ongeveer 240 duisend stukke wanware wat daagliks verskyn, leef perfek binne die wolke: van eenvoudige kode wat deur 'n skoolkind geskryf is en op die internet geplaas word (wat beteken dit kan moontlik data beskadig) tot komplekse geteikende aanvalle wat spesifiek ontwikkel is vir spesifieke organisasies, gevalle en situasies wat is baie goed om nie net data te breek en te steel nie, maar ook om hulself te “wegsteek”. Virtuele infrastruktuur is ook interessant vir kuberkrakers: dit is baie makliker om te hack en toegang tot al jou virtuele masjiene en data op een slag te kry, eerder as om elke fisiese bediener afsonderlik te probeer hack. Boonop is dit die moeite werd om te oorweeg dat binne die virtuele infrastruktuur kwaadwillige kode teen 'n geweldige spoed versprei - tienduisende masjiene kan binne tien minute besmet word, wat gelykstaande is aan 'n epidemie (sien bogenoemde die verslag). Kwaadwillige programme en ransomware-aktiwiteite wat bydra tot die lekkasie van maatskappydata maak ongeveer 27% van die totale aantal wolk-“gevare” uit. Die meeste kwesbaarhede in die wolk: onbeskermde koppelvlakke en ongemagtigde toegang - ongeveer 80% in totaal (volgens navorsing Wolk-sekuriteitsverslag 2019 met ondersteuning van Check Point Software Technologies Bpk. is 'n toonaangewende verskaffer van kuberveiligheidsoplossings aan regerings en ondernemings regoor die wêreld. 

Wolk-sekuriteitsverslag 2019

Benadering 2: Die beveiliging van die wolkinfrastruktuur is die verantwoordelikheid van die VPS-verskaffer. Dit is deels waar, omdat die virtuele bedienerverskaffer omgee vir die stabiliteit van sy stelsels en 'n voldoende hoë vlak van beskerming vir die hoofkomponente van die wolk: bedieners, bergingstoestelle, netwerke, virtualisering (gereguleer deur 'n diensvlakooreenkoms, SLA) . Maar hy hoef nie bekommerd te wees oor die voorkoming van interne en eksterne bedreigings wat in die kliënt se wolkinfrastruktuur kan ontstaan ​​nie. Laat ons ons hier 'n tandheelkundige analogie toelaat. Nadat 'n kliënt van 'n tandheelkundige kliniek selfs baie geld vir 'n goeie inplanting betaal het, verstaan ​​die korrekte werking van die prostese grootliks van homself (die kliënt). Die ortopediese tandarts het op sy beurt alles gedoen wat nodig was in terme van veiligheid: hy het materiaal van hoë gehalte gekies, die inplantaat betroubaar "aangeheg", nie die byt versteur nie, die tandvleis genees na die operasie, ens. En as die gebruiker nie die reëls van higiëne in die toekoms volg nie, sal dit byvoorbeeld word, , oop metaalbotteldoppies met jou tande en ander soortgelyke onveilige aksies uitvoer, sal dit onmoontlik wees om die goeie funksionering van die nuwe tand te waarborg. Dieselfde storie geld vir die versekering van 100% wolksekuriteit op VPS wat by 'n verskaffer gehuur word. “Buite jurisdiksie” van die wolkdiensverskaffer is die beskerming van die kliënt se data en toepassings sy persoonlike verantwoordelikheid.

Benadering 3: Geen sekuriteitsinstrumente kan voldoende beskerming vir virtuele omgewings bied nie. Glad nie. Daar is gespesialiseerde wolksekuriteitsoplossings, wat ons in die laaste deel van die artikel sal bespreek.

Benadering 4: Gebruik 'n standaard antivirus (tradisionele beskerming). Dit is belangrik om hier te weet dat tradisionele sekuriteitsinstrumente wat almal gewoond is om op plaaslike rekenaars te gebruik eenvoudig nie ontwerp is vir verspreide virtuele omgewings nie (hulle "sien" nie hoe kommunikasie tussen virtuele masjiene plaasvind nie) en beskerm nie die interne virtuele infrastruktuur teen interne inbraakpogings. Eenvoudig gestel, konvensionele antivirusprogrammatuur werk skaars in die wolk. Terselfdertyd, geïnstalleer op elke WM, verbruik hulle 'n groot hoeveelheid hulpbronne van die hele virtuele ekosisteem wanneer hulle vir virusse en opdaterings nagaan, die netwerk "mors" en die werk van die maatskappy vertraag, maar as gevolg hiervan, gee hulle byna geen doeltreffendheid in hul hoofwerk nie.

In die volgende twee afdelings van die artikel sal ons lys watter gevare kan ontstaan ​​wanneer 'n maatskappy in die wolke werk (privaat, publiek, baster) en jou vertel hoe hierdie gevare korrek voorkom kan en moet word.

Die gevare wat wolkdienste voortdurend bedreig

▍ Afgeleë netwerkaanvalle

Dit is 'n verskeie soort inligting vernietigende impak op 'n verspreide rekenaarstelsel, wat programmaties uitgevoer word via kommunikasiekanale om verskillende doelwitte te bereik. Die mees algemene van hulle:

• DDoS aanval (Verspreide Denial of Service). Massiewe stuur van inligtingversoeke na die bediener met die doel om hulpbronne of bandwydte op die aangeval stelsel te gebruik om die teikenstelsel te deaktiveer en sodoende skade aan die maatskappy te veroorsaak. Gebruik deur mededingers as 'n pasgemaakte diens, afpersers, politieke aktiviste en regerings om politieke dividende te verkry. Sulke aanvalle word uitgevoer met behulp van 'n botnet - 'n netwerk van rekenaars met bots daarop geïnstalleer (sagteware wat virusse kan bevat, programme vir afstandrekenaarbeheer en gereedskap om weg te steek vir die bedryfstelsel), wat deur kuberkrakers op afstand gebruik word om strooipos en losprysware te versprei . Lees meer in ons pos DDoS: IT-maniake aan die voorpunt van die aanval.
• Ping Vloed - om lynoorlading te veroorsaak. 
• Ping van die dood - om vries, herlaai en stelselongeluk te veroorsaak.
• Aanvalle op toepassingsvlak — om toegang te verkry tot 'n rekenaar wat toelaat dat toepassings vir 'n spesifieke (bevoorregte stelsel) rekening geloods word.
• Data fragmentasie - vir noodstelselafskakeling as gevolg van sagtewarebufferoorloop.
• Autorooters - om die inbraakproses te outomatiseer deur 'n groot aantal stelsels in 'n kort tyd te skandeer deur 'n rootkit te installeer.
• Snuffel - om na die kanaal te luister.
• Pakketoplegging - om oor te skakel na jou rekenaar 'n verbinding wat tussen ander rekenaars geskep is.
• Pakkie onderskepping op die router - om gebruikerswagwoorde en inligting vanaf e-pos te ontvang.
• IP-spoofing - sodat 'n kuberkraker binne of buite die netwerk 'n rekenaar kan naboots wat vertrou kan word. Dit word gedoen deur IP-adres spoofing.
• Brute krag aanvalle (brute force) - om 'n wagwoord te kies deur kombinasies te probeer. Hulle buit kwesbaarhede in RDP en SSH uit.
• smurf — om die deurset van die kommunikasiekanaal te verminder en/of om die aangeval netwerk heeltemal te isoleer.
• DNS-spoofing — om die integriteit van data in die DNS-stelsel te beskadig deur die DNS-kas te “vergiftig”. 
• Betroubare gasheer-spoofing - om 'n sessie met die bediener te kan uitvoer namens 'n vertroude gasheer. 
• TCP SYN Vloed - om die bedienergeheue oor te laat.
• Man-in-die-middel — vir diefstal van inligting, verdraaiing van oorgedrade data, DoS-aanvalle, inbraak van 'n huidige kommunikasiesessie om toegang tot private netwerkhulpbronne te verkry, verkeersanalise om inligting oor die netwerk en sy gebruikers te bekom.
• Netwerk intelligensie — om inligting te bestudeer oor die netwerk en toepassings wat op gashere loop voor 'n aanval.
• Port herleiding is 'n tipe aanval wat 'n gekompromitteerde gasheer gebruik om verkeer deur 'n brandmuur te stuur. Byvoorbeeld, as 'n brandmuur aan drie gashere (eksterne, interne en publieke dienste) gekoppel is, dan is die eksterne gasheer in staat om met die interne gasheer te kommunikeer deur poorte op die gasheer vir openbare dienste aan te stuur.
• Vertroue uitbuiting - aanvalle wat plaasvind wanneer iemand voordeel trek uit vertroude verhoudings binne 'n netwerk. Byvoorbeeld, die inbraak van een stelsel binne 'n korporatiewe netwerk (HTTP, DNS, SMTP-bedieners) kan lei tot die inbraak van ander stelsels. 

▍Sosiale ingenieurswese

• Uitvissing — om vertroulike inligting (wagwoorde, bankkaartnommers, ens.) deur e-posse namens bekende organisasies en banke te ontvang.
• Pakkie snuffel (Packet sniffers) - om toegang te verkry tot kritieke inligting, insluitend wagwoorde. Dit is suksesvol grootliks te danke aan die feit dat gebruikers dikwels hul gebruikersnaam en wagwoord hergebruik om toegang tot verskeie toepassings en stelsels te verkry. Op hierdie manier kan 'n kuberkraker toegang tot 'n stelselgebruikerrekening verkry en 'n nuwe rekening daardeur skep om te eniger tyd toegang tot die netwerk en sy hulpbronne te hê.
• Voorwendsel - 'n geskrewe aanval wat stemkommunikasie gebruik, waarvan die doel is om die slagoffer te dwing om 'n aksie uit te voer. 
• Trojaanse perd - 'n tegniek gebaseer op die slagoffer se emosies: vrees, nuuskierigheid. Malware word gewoonlik as 'n e-posaanhegsel gevind.
• Quid oor quo (dan hiervoor, quid pro quo) - 'n aanvaller kontak jou deur 'n korporatiewe telefoon of e-pos onder die dekmantel van 'n tegniese ondersteuningswerknemer, rapporteer probleme op die slagoffer se rekenaar en bied aan om dit op te los. Die doel is om sagteware te installeer en kwaadwillige opdragte op hierdie rekenaar uit te voer.
• Pad appel — die aanplant van besmette fisiese stoormedia in korporatiewe openbare plekke (flitsaandrywing in die toilet, skyf in die hysbak), toegerus met inskripsies wat nuuskierigheid wek. 
• Versamel inligting vanaf sosiale netwerke.

▍Uitbuite

Enige onwettige en ongemagtigde aanvalle wat daarop gemik is om óf data te bekom, die funksionering van 'n stelsel te ontwrig, of beheer oor 'n stelsel oor te neem, word uitbuitings genoem. Hulle word veroorsaak deur foute in die sagteware-ontwikkelingsproses, as gevolg waarvan kwesbaarhede in die programbeskermingstelsel voorkom, wat suksesvol deur kubermisdadigers gebruik word om onbeperkte toegang tot die program self te verkry, en daardeur tot die hele rekenaar en verder na 'n netwerk van masjiene.

▍Kompromie van rekeninge

Inbraak van 'n maatskappywerknemer se rekening deur 'n buitestander om toegang tot beskermde inligting te verkry: van die onderskepping van inligting (insluitend oudio) en sleutels met wanware tot die deurdringing van die fisiese berging van die inligtingdraer.

▍Kompromie van bewaarplekke

Infeksie van stoorbedieners vir sagteware-installeerders, opdaterings en biblioteke.

▍ Interne risiko's van die maatskappy

Dit sluit inligtinglekkasies in weens die skuld van maatskappywerknemers self. Dit kan eenvoudige nalatigheid of doelbewuste kwaadwillige optrede wees: van doelbewuste sabotasie van administratiewe sekuriteitsbeleide tot die verkoop van vertroulike inligting aan derde partye. Dit kan ook ongemagtigde toegang, onveilige koppelvlakke, verkeerde opstelling van wolkplatforms en installering/gebruik van ongemagtigde toepassings insluit.

Kom ons kyk nou hoe u so 'n uitgebreide (en ver van volledige) lys wolksekuriteitsprobleme kan voorkom.

Moderne gespesialiseerde wolksekuriteitsoplossings

Elke wolkinfrastruktuur vereis omvattende, veelvlakkige sekuriteit. Die metodes wat hieronder beskryf word, sal jou help om te verstaan ​​waaruit 'n wolksekuriteitspakket moet bestaan.

▍Antivirusse

Dit is belangrik om te onthou dat enige tradisionele antivirus nie betroubaar sal wees wanneer jy probeer om wolksekuriteit te verskaf nie. Jy moet 'n oplossing gebruik wat spesifiek ontwerp is vir virtuele en wolkomgewings, en die installasie daarvan het ook sy eie reëls in hierdie geval. Vandag is daar twee maniere om wolksekuriteit te verseker met behulp van gespesialiseerde multi-komponent antivirusse wat ontwikkel is met die nuutste tegnologie: agentlose beskerming en ligte agentbeskerming.

Agentlose beskerming. Ontwikkel deur VMware en slegs moontlik met sy oplossings. Twee bykomende virtuele masjiene word op 'n fisiese bediener met virtuele masjiene ontplooi: die Security Server (SVM) en die Network Attack Blocker (NAB). Niks word binne elkeen van hulle geplaas nie. Slegs die antiviruskern is in die SVM geïnstalleer - 'n toegewyde sekuriteitstoestel. In 'n NAB-masjien is hierdie komponent slegs verantwoordelik vir die verifikasie van kommunikasie tussen virtuele masjiene en wat in die ekosisteem gebeur (en vir kommunikasie met NSX-tegnologie). Hierdie SVM kontroleer alle verkeer wat na die fisiese bediener toe kom. Dit vorm 'n poel van uitsprake, wat beskikbaar is vir alle sekuriteit virtuele masjiene deur middel van 'n gemeenskaplike uitspraak kas. Elke virtuele sekuriteitsmasjien kry eers toegang tot hierdie swembad, in plaas daarvan om die hele stelsel te skandeer - hierdie beginsel laat jou toe om hulpbronkoste te verminder en die werking van die ekosisteem te bespoedig. 

Beskerming met 'n ligte middel. Ontwikkel deur Kaspersky en het geen VMware-beperkings nie. Soos in agentlose beskerming, is 'n antivirus-enjin op die SVM geïnstalleer, maar anders as dit, is daar ook 'n liggewig-agent binne elke WM geïnstalleer. Die agent doen nie kontrole nie, maar monitor net alles wat binne die inheemse WM gebeur, gebaseer op selflerende netwerktegnologie. Hierdie tegnologie onthou die korrekte volgorde van toepassings; As dit gekonfronteer word met die feit dat die volgorde van aksies van die toepassing binne WM nie korrek plaasvind nie, blokkeer dit dit. 

Meer oor Lees Sekuriteit vir virtuele omgewings op die ontwikkelaar se webwerf, maar oor hoe om antivirusbeskerming te installeer met 'n ligte agent vir jou virtuele bediener, lees in ons gids (onderaan die bladsy is kontakte vir 24/7 tegniese ondersteuning ingeval jy enige vrae het). 

▍Integrasie met dienste om wolksekuriteitskwessies te voorkom of reg te stel

• Verander bestuursplatforms. Dit is bewese dienste wat die maatskappy se kern ITSM-prosesse ondersteun, insluitend soos IT-sekuriteit en voorvalle. Byvoorbeeld, ServiceNow, Remedy, JIRA.
• Sekuriteitskanderingnutsgoed. Byvoorbeeld, Rapid7, Qualys, Tenable.
• Konfigurasiebestuurnutsmiddels. Dit laat jou toe om die werking van bedieners te outomatiseer en sodoende die opstel en instandhouding van tiene, honderde en selfs duisende bedieners wat oor die hele wêreld versprei kan word, te vereenvoudig. Byvoorbeeld, TrueSight Server Automation, IBM BigFix, TrueSight Vulnerability Manager, Chef, Puppet.
• Veilige waarskuwingsbestuurnutsmiddels. Laat jou toe om deurlopende diens te lewer en voort te gaan om die situasie tydens voorvalle te monitor, bekwame ondersteuning te bied vir telefoonintegrasie, boodskappe en e-pos (Volgens Cisco was meer as 85% van e-posboodskappe in Julie 2019 strooipos, wat moontlik wanware kan bevat, phishing-pogings, ens. Deesdae word wanware dikwels deur “algemene” tipes aanhegsels gestuur: die mees algemene kwaadwillige e-posaanhegsels is Microsoft Office-lêers. Cisco Junie 2019 e-possekuriteitsverslag). So 'n hulpmiddel kan byvoorbeeld OpsGenie wees.

▍ Ontgin beskerming

Aangesien uitbuiting die gevolge van sagteware-kwesbaarhede is, is dit die sagteware-ontwikkelaars wat foute in hul produk moet regstel. Dit is die verantwoordelikheid van gebruikers om opdateringspakkette en pleisters onmiddellik na hul vrystelling betyds te installeer. Deur 'n outomatiese soek- en installasiehulpmiddel of 'n toepassingbestuurder met hierdie kenmerk te gebruik, help u om opdaterings te vermy. Outomatiese ontginningsbeskerming is ingebou in die toepassing wat hierbo beskryf is Kaspersky Security for Virtualization Light Agent. 

▍Vuurmuur

Firewall, firewall. Filtreer en beheer netwerkverkeer volgens vooraf gekonfigureerde reëls. 'n Firewall kan voorgestel word as 'n reeks filters wat die netwerkvloei van inligting verwerk. Behoorlike firewall-konfigurasie is effektief teen brute force-aanvalle. U kan RDP- of SSH-verbindings slegs vanaf sekere IP-adresse van die bedienereienaar toelaat en die bediener beskerm teen wagwoordraaipogings. Firewalls is teenwoordig in alle moderne bedryfstelsels. Hierbenewens bied die RUVDS persoonlike rekening gratis firewall op netwerktoerustingvlak. Ongewenste netwerkverkeer sal dus nie die virtuele masjien bereik nie, maar sal op die datasentrumvlak gefiltreer word. Vir bykomende kliëntgerief is die mees gebruikte filterreëls by die firewall-koppelvlak gevoeg. As die IP-adres verander word, kan die kliënt eenvoudig na sy persoonlike rekening gaan en die reël wysig sonder om by die bediener aan te meld.

▍Beskerming teen DDoS-aanvalle

Daar is 'n bykomende diens wat by gekoop kan word 
verskaffer van virtuele (en fisiese) bedieners. Dit is gebaseer op tegnologieë vir die ontleding van netwerkverkeer, wat byvoorbeeld in RUVDS 24/7 uitgevoer word, en die beskerming kan stabiel tot 1500 Gbit/s weerstaan. Jy betaal net vir die verkeer wat jy nodig het. Nou op promosie by RUVDS eerste maand gratis 0.5 Mbit/s, dan vanaf 400 vryf. per maand.

▍Opstel en bereiking van regulatoriese voldoening

Geskrewe en uitgevoer gebruikersreëls en reëls vir rehabilitasiemaatreëls (kuberveiligheidsvoorvalreaksieplan) het beduidende gewig in sake van wolksekuriteit vanuit die menslike faktor-oogpunt, insluitend inbraak deur sosiale ingenieurswese-metodes. Hierdie punt sluit in die beperking van werknemerstoegang, die identifisering van die maatskappy se hoofwolktoepassings (geen ander toepassings behalwe daardie paar wat op so 'n "witlys" is, kan geïnstalleer word nie), en die versekering van die sekuriteit van mobiele toestelle wat in die maatskappy vir interaksie gebruik kan word met die maatskappy se wolkinfrastruktuur, en toestelbeheer, wat verantwoordelik is vir beleide vir die gebruik van eksterne media.

Ons hoop dat die artikel nuttig was. Soos altyd verwelkom ons konstruktiewe kommentaar, nuwe inligting, interessante menings, sowel as verslae van enige onakkuraathede in die materiaal. 

Bron: will.com