የደመና ደህንነት ክትትል

መረጃን እና አፕሊኬሽኖችን ወደ ደመና ማዛወር ለኮርፖሬት ኤስኦሲዎች አዲስ ፈተናን ይፈጥራል፣ ይህም የሌሎች ሰዎችን መሠረተ ልማት ለመቆጣጠር ሁልጊዜ ዝግጁ አይደሉም። እንደ Netoskope, አማካይ ኢንተርፕራይዝ (በአሜሪካ ውስጥ ይመስላል) 1246 የተለያዩ የደመና አገልግሎቶችን ይጠቀማል, ይህም ከአንድ አመት በፊት 22% የበለጠ ነው. 1246 የደመና አገልግሎቶች !!! ከእነዚህ ውስጥ 175 ቱ የሰው ኃይል አገልግሎትን የሚመለከቱ፣ 170 ከገበያ ጋር የተያያዙ፣ 110 በኮሙኒኬሽን ዘርፍ እና 76ቱ በፋይናንስና በሲአርኤም ውስጥ የሚገኙ ናቸው። Cisco 700 ውጫዊ የደመና አገልግሎቶችን "ብቻ" ይጠቀማል። ስለዚህ በእነዚህ ቁጥሮች ትንሽ ግራ ተጋባሁ። ግን በማንኛውም ሁኔታ ችግሩ በእነሱ ላይ አይደለም ፣ ግን ደመናው ቁጥራቸው ከጊዜ ወደ ጊዜ እየጨመረ የሚሄደው ኩባንያዎች በንቃት ጥቅም ላይ መዋል በመጀመራቸው እንደራሳቸው አውታረ መረብ የደመና መሠረተ ልማትን የመከታተል ተመሳሳይ አቅም እንዲኖራቸው ይፈልጋሉ። እና ይህ አዝማሚያ እያደገ ነው - መሠረት የአሜሪካ የሂሳብ ክፍል እንደሚለው በ2023፣ 1200 የመረጃ ማዕከላት በዩናይትድ ስቴትስ ሊዘጉ ነው (6250 ቀድሞውኑ ተዘግተዋል)። ነገር ግን ወደ ደመና የሚደረገው ሽግግር "አገልጋዮቻችንን ወደ ውጫዊ አገልግሎት አቅራቢ እናንቀሳቅስ" ብቻ አይደለም. አዲስ የአይቲ አርክቴክቸር፣ አዲስ ሶፍትዌር፣ አዲስ ሂደቶች፣ አዲስ እገዳዎች... ይህ ሁሉ በአይቲ ብቻ ሳይሆን በመረጃ ደህንነት ስራ ላይ ከፍተኛ ለውጦችን ያመጣል። እና አቅራቢዎች በሆነ መንገድ የደመናውን ደህንነት ማረጋገጥን ከተማሩ (እንደ እድል ሆኖ ብዙ ምክሮች አሉ) ፣ ከዚያ በደመና መረጃ ደህንነት ቁጥጥር ፣ በተለይም በ SaaS መድረኮች ላይ ፣ እኛ የምንነጋገረው ጉልህ ችግሮች አሉ ።

ኩባንያዎ የመሠረተ ልማት አውታሮችን በከፊል ወደ ደመና አንቀሳቅሷል እንበል... አቁም። በዚህ መንገድ አይደለም. መሠረተ ልማቱ ከተላለፈ እና እርስዎ እንዴት እንደሚቆጣጠሩት አሁን እያሰቡ ከሆነ, እርስዎ ቀድሞውኑ ጠፍተዋል. አማዞን ፣ ጎግል ወይም ማይክሮሶፍት (ከዚያም ከተያዙ ቦታዎች) በስተቀር ውሂብዎን እና አፕሊኬሽኖቹን የመቆጣጠር ችሎታ ላይኖር ይችላል። ከሎግ ጋር ለመስራት እድሉ ከተሰጠህ ጥሩ ነው. አንዳንድ ጊዜ የደህንነት ክስተት ውሂብ ይገኛል፣ ግን እሱን ማግኘት አይችሉም። ለምሳሌ, Office 365. በጣም ርካሹ የ E1 ፍቃድ ካለዎት, የደህንነት ዝግጅቶች ለእርስዎ በጭራሽ አይገኙም. የ E3 ፍቃድ ካለዎት, የእርስዎ ውሂብ ለ 90 ቀናት ብቻ ነው የተቀመጠው, እና የ E5 ፍቃድ ካለዎት, የምዝግብ ማስታወሻው የሚቆይበት ጊዜ ለአንድ አመት ይገኛል (ይሁን እንጂ, ይህ ደግሞ በተናጥል ከመፈለግ ጋር የተያያዘ የራሱ የሆነ ልዩነት አለው). ከማይክሮሶፍት ድጋፍ ምዝግብ ማስታወሻዎች ጋር ለመስራት ብዙ ተግባራትን ይጠይቁ)። በነገራችን ላይ የ E3 ፍቃዱ ከኮርፖሬት ልውውጥ ይልቅ በክትትል ተግባራት ረገድ በጣም ደካማ ነው. ተመሳሳዩን ደረጃ ለማግኘት፣ ወደ ደመና መሠረተ ልማት ለመዘዋወር በፋይናንሺያል ሞዴልዎ ውስጥ ያልተካተተ ተጨማሪ ገንዘብ የሚፈልግ የE5 ፈቃድ ወይም ተጨማሪ የላቁ Compliance ፈቃድ ያስፈልግዎታል። እና ይህ ከደመና መረጃ ደህንነት ቁጥጥር ጋር የተያያዙ ጉዳዮችን ዝቅ የማድረግ አንድ ምሳሌ ነው። በዚህ ጽሑፍ ውስጥ ፣ የተሟላ መስሎ ሳይታየኝ ፣ የደመና አቅራቢን ከደህንነት እይታ አንጻር ሲመርጡ ግምት ውስጥ መግባት አለባቸው ወደሚሉት አንዳንድ ልዩነቶች ትኩረት መስጠት እፈልጋለሁ። እና በአንቀጹ መጨረሻ ላይ የደመና መረጃ ደህንነትን የመቆጣጠር ጉዳይ መፍትሄ እንደተገኘ ከማሰቡ በፊት ማጠናቀቅ ያለበት የፍተሻ ዝርዝር ይሰጣል።

በደመና አካባቢዎች ውስጥ ወደ ክስተቶች የሚመሩ በርካታ የተለመዱ ችግሮች አሉ፣ ለዚህም የመረጃ ደህንነት አገልግሎቶች ምላሽ ለመስጠት ጊዜ የሌላቸው ወይም ጨርሶ የማይመለከቷቸው፡

• የደህንነት ምዝግብ ማስታወሻዎች የሉም። ይህ በተለይ በደመና መፍትሄዎች ገበያ ውስጥ ባሉ ጀማሪ ተጫዋቾች መካከል በጣም የተለመደ ሁኔታ ነው። ነገር ግን ወዲያውኑ በእነሱ ላይ መተው የለብዎትም. ትንንሽ ተጫዋቾች በተለይም የሀገር ውስጥ ተጫዋቾች ለደንበኞች ፍላጎት የበለጠ ስሜታዊ ናቸው እና ለምርቶቻቸው የተፈቀደውን የመንገድ ካርታ በመቀየር አንዳንድ አስፈላጊ ተግባራትን በፍጥነት መተግበር ይችላሉ። አዎ፣ ይህ ከአማዞን የGuardDuty አናሎግ ወይም ከBitrix “Proactive Protection” ሞጁል አይሆንም፣ ግን ቢያንስ የሆነ ነገር።
• የመረጃ ደህንነት ምዝግብ ማስታወሻዎቹ የት እንደሚቀመጡ ወይም ምንም መዳረሻ እንደሌለ አያውቅም። እዚህ ከደመና አገልግሎት አቅራቢው ጋር ድርድር ውስጥ መግባት አስፈላጊ ነው - ምናልባት ደንበኛው ለእሱ ትልቅ ቦታ የሚሰጠው ከሆነ እንዲህ ያለውን መረጃ ያቀርባል. ነገር ግን በአጠቃላይ የምዝግብ ማስታወሻዎች መዳረሻ "በልዩ ውሳኔ" ሲቀርብ በጣም ጥሩ አይደለም.
• እንዲሁም የደመና አቅራቢው ምዝግብ ማስታወሻዎች ያሉት ቢሆንም ግን የተገደበ ክትትል እና የክስተት ቀረጻ ይሰጣሉ፣ ይህም ሁሉንም ክስተቶች ለመለየት በቂ አይደሉም። ለምሳሌ፣ በድህረ ገጽ ላይ የለውጥ ምዝግብ ማስታወሻዎች ወይም የተጠቃሚ ማረጋገጫ ሙከራዎች ምዝግብ ማስታወሻዎች ብቻ መቀበል ትችላላችሁ፣ ነገር ግን እንደ የአውታረ መረብ ትራፊክ ያሉ ሌሎች ክስተቶች አይደሉም፣ ይህም የደመና መሠረተ ልማትዎን ለመጥለፍ የተደረጉ ሙከራዎችን የሚያሳዩ አጠቃላይ ክስተቶችን ይደብቁዎታል።
• ምዝግብ ማስታወሻዎች አሉ, ነገር ግን የእነሱ መዳረሻ በራስ-ሰር ለመስራት አስቸጋሪ ነው, ይህም በተከታታይ ሳይሆን በጊዜ መርሐግብር እንዲከታተሉ ያስገድዳቸዋል. እና መዝገቦችን በራስ-ሰር ማውረድ ካልቻሉ ፣ ምዝግብ ማስታወሻዎችን ማውረድ ፣ ለምሳሌ ፣ በኤክሴል ቅርጸት (እንደ ብዙ የሀገር ውስጥ ደመና መፍትሄ አቅራቢዎች) ፣ የኮርፖሬት የመረጃ ደህንነት አገልግሎት ከእነሱ ጋር ለመጠቆም እንኳን ፈቃደኛ አለመሆንን ያስከትላል ።
• ምንም የምዝግብ ማስታወሻ ክትትል የለም። ይህ ምናልባት በደመና አካባቢዎች ውስጥ የመረጃ ደህንነት ክስተቶች ለመከሰቱ በጣም ግልፅ ያልሆነው ምክንያት ነው። ምዝግብ ማስታወሻዎች ያሉ ይመስላል, እና ወደ እነርሱ በራስ-ሰር መድረስ ይቻላል, ግን ማንም ይህን አያደርግም. ለምን?

የተጋራ የደመና ደህንነት ጽንሰ-ሀሳብ

ወደ ደመና የሚደረገው ሽግግር ሁል ጊዜ በመሠረተ ልማት ላይ ቁጥጥርን ለመጠበቅ እና እሱን ለመጠበቅ ልዩ ወደሆነው የደመና አቅራቢ ወደ ሙያዊ እጆች በማስተላለፍ መካከል ያለውን ሚዛን መፈለግ ነው። እና በደመና ደህንነት መስክ, ይህ ሚዛን እንዲሁ መፈለግ አለበት. ከዚህም በላይ ጥቅም ላይ የዋለው የደመና አገልግሎት አሰጣጥ ሞዴል (IaaS, PaaS, SaaS) ላይ በመመስረት, ይህ ሚዛን ሁልጊዜ የተለየ ይሆናል. ያም ሆነ ይህ፣ ዛሬ ሁሉም የደመና አቅራቢዎች የጋራ ኃላፊነት እና የጋራ የመረጃ ደህንነት ሞዴል የሚባሉትን እንደሚከተሉ ማስታወስ አለብን። ደመናው ለአንዳንድ ነገሮች ተጠያቂ ነው, እና ለሌሎች ደንበኛው ተጠያቂ ነው, ውሂቡን, አፕሊኬሽኖቹን, ምናባዊ ማሽኖቹን እና ሌሎች ሃብቶችን በደመና ውስጥ ያስቀምጣል. ወደ ደመና በመሄድ ሁሉንም ሀላፊነቶች ወደ አቅራቢው እንሸጋገራለን ብሎ መጠበቅ ግድየለሽነት ነው። ነገር ግን ወደ ደመና በሚንቀሳቀስበት ጊዜ ሁሉንም ደህንነትን በራስዎ መገንባት ጥበብ የጎደለው ነው. በብዙ ሁኔታዎች ላይ የሚመረኮዝ ሚዛን ያስፈልጋል፡- የአደጋ አስተዳደር ስትራቴጂ፣ የአደጋ ሞዴል፣ ለደመና አቅራቢው የሚገኙ የደህንነት ዘዴዎች፣ ህግ፣ ወዘተ.

ለምሳሌ, በደመና ውስጥ የተስተናገደው የውሂብ ምደባ ሁልጊዜ የደንበኛው ኃላፊነት ነው. የደመና አቅራቢ ወይም የውጭ አገልግሎት አቅራቢ ሊረዳው የሚችለው መረጃን በደመና ውስጥ ምልክት ለማድረግ፣ ጥሰቶችን ለመለየት፣ ህጉን የሚጥሱ መረጃዎችን ለመሰረዝ ወይም አንዱን ወይም ሌላ ዘዴን በመጠቀም ጭምብል በሚያደርጉ መሳሪያዎች ብቻ ነው። በሌላ በኩል፣ አካላዊ ደህንነት ሁልጊዜ የደመና አቅራቢው ኃላፊነት ነው፣ ይህም ከደንበኞች ጋር መጋራት አይችልም። ነገር ግን በመረጃ እና በአካላዊ መሠረተ ልማት መካከል ያለው ሁሉም ነገር በዚህ ጽሑፍ ውስጥ የመወያያ ርዕሰ ጉዳይ ነው. ለምሳሌ የዳመና መገኘት የአቅራቢው ሃላፊነት ነው, እና የፋየርዎል ደንቦችን ማዘጋጀት ወይም ምስጠራን ማንቃት የደንበኛው ሃላፊነት ነው. በዚህ ጽሑፍ ውስጥ በሩሲያ ውስጥ በተለያዩ ታዋቂ የደመና አቅራቢዎች ምን የመረጃ ደህንነት መከታተያ ዘዴዎች እንደሚቀርቡ ፣ የአጠቃቀማቸው ባህሪዎች ምንድ ናቸው እና መቼ ወደ ውጫዊ ተደራቢ መፍትሄዎች መፈለግ ተገቢ እንደሆነ ለማየት እንሞክራለን (ለምሳሌ ፣ Cisco E- mail Security) ከሳይበር ደህንነት አንፃር የደመናህን አቅም የሚያሰፋ። በአንዳንድ ሁኔታዎች፣ በተለይም የባለብዙ ደመና ስትራቴጂን እየተከተሉ ከሆነ፣ የውጭ የመረጃ ደህንነት መከታተያ መፍትሄዎችን በአንድ ጊዜ በበርካታ የደመና አካባቢዎች (ለምሳሌ ሲሲስኮ ክላውድሎክ ወይም ሲሲስኮ ስቲልትዋች ክላውድ) ከመጠቀም በቀር ሌላ ምርጫ አይኖርዎትም። ደህና፣ በአንዳንድ ሁኔታዎች እርስዎ የመረጡት (ወይም በእርስዎ ላይ የጫኑት) የደመና አቅራቢ ምንም አይነት የመረጃ ደህንነት የመከታተል ችሎታዎች እንደማይሰጥ ይገነዘባሉ። ይህ ደስ የማይል ነው, ነገር ግን ትንሽ አይደለም, ምክንያቱም ከዚህ ደመና ጋር አብሮ መስራት ያለውን የአደጋ መጠን በበቂ ሁኔታ ለመገምገም ያስችላል.

የደመና ደህንነት ክትትል የህይወት ዑደት

የሚጠቀሙባቸውን የደመና ደህንነት ለመቆጣጠር ሶስት አማራጮች ብቻ አሉዎት፡-

• በደመና አቅራቢዎ በተሰጡት መሳሪያዎች ላይ ይተማመኑ ፣
• የሚጠቀሙባቸውን IaaS፣ PaaS ወይም SaaS መድረኮችን የሚቆጣጠሩ የሶስተኛ ወገኖች መፍትሄዎችን ይጠቀሙ፣
• የራስዎን የደመና ክትትል መሠረተ ልማት ይገንቡ (ለIaaS/PaaS መድረኮች ብቻ)።

እያንዳንዳቸው እነዚህ አማራጮች ምን ባህሪያት እንዳሉት እንመልከት. በመጀመሪያ ግን የደመና መድረኮችን ስንቆጣጠር ጥቅም ላይ የሚውለውን አጠቃላይ ማዕቀፍ መረዳት አለብን። በደመና ውስጥ ያለውን የመረጃ ደህንነት ክትትል ሂደት 6 ዋና ዋና ክፍሎችን አጉላለሁ፡-

• የመሠረተ ልማት ግንባታ. ለመረጃ ደህንነት አስፈላጊ የሆኑ ዝግጅቶችን ለመሰብሰብ አስፈላጊ የሆኑትን አፕሊኬሽኖች እና መሠረተ ልማትን መወሰን።
• ስብስብ. በዚህ ደረጃ, የደህንነት ክስተቶች ከተለያዩ ምንጮች የተሰበሰቡ ናቸው ለቀጣይ ስርጭት ሂደት, ማከማቻ እና ትንተና.
• ሕክምና. በዚህ ደረጃ, ውሂቡ ተለውጧል እና የበለፀገው ቀጣይ ትንታኔን ለማመቻቸት ነው.
• ማከማቻ. ይህ አካል የተሰበሰበ እና ጥሬ መረጃን ለአጭር ጊዜ እና ለረጅም ጊዜ የማከማቸት ሃላፊነት አለበት።
• ትንተና. በዚህ ደረጃ, ክስተቶችን የመለየት እና በራስ-ሰር ወይም በእጅ ምላሽ የመስጠት ችሎታ አለዎት.
• ሪፖርት ማድረግ. ይህ ደረጃ የተወሰኑ ውሳኔዎችን ለማድረግ የሚረዱን ለባለድርሻ አካላት (አስተዳደር፣ ኦዲተሮች፣ ደመና አቅራቢዎች፣ ደንበኞች፣ ወዘተ) ቁልፍ አመልካቾችን ለማዘጋጀት ይረዳል፣ ለምሳሌ አቅራቢን መለወጥ ወይም የመረጃ ደህንነትን ማጠናከር።

እነዚህን ክፍሎች መረዳቱ ከአቅራቢዎ ምን መውሰድ እንደሚችሉ እና እራስዎን ወይም የውጭ አማካሪዎችን በማሳተፍ ምን ማድረግ እንዳለቦት በፍጥነት እንዲወስኑ ያስችልዎታል.

አብሮገነብ የደመና አገልግሎቶች

ዛሬ ብዙ የደመና አገልግሎቶች ምንም አይነት የመረጃ ደህንነት መከታተያ አቅም እንደማይሰጡ አስቀድሜ ጽፌ ነበር። በአጠቃላይ, ለመረጃ ደህንነት ርዕስ ብዙ ትኩረት አይሰጡም. ለምሳሌ, በኢንተርኔት በኩል ለመንግስት ኤጀንሲዎች ሪፖርቶችን ለመላክ ታዋቂ ከሆኑ የሩሲያ አገልግሎቶች አንዱ (ስሙን በተለይ አልጠቅስም). የዚህ አገልግሎት ደህንነት አጠቃላይ ክፍል የሚያጠነጥነው በተረጋገጠ CIPF አጠቃቀም ላይ ነው። ለኤሌክትሮኒክ ሰነድ አስተዳደር የሌላ የአገር ውስጥ የደመና አገልግሎት የመረጃ ደህንነት ክፍል ከዚህ የተለየ አይደለም. ስለ ይፋዊ ቁልፍ ሰርተፊኬቶች፣ የተረጋገጠ ክሪፕቶግራፊ፣ የድር ተጋላጭነቶችን ስለማስወገድ፣ ከ DDoS ጥቃቶች ጥበቃ፣ ፋየርዎል ስለመጠቀም፣ መጠባበቂያ እና አልፎ ተርፎም መደበኛ የመረጃ ደህንነት ኦዲቶች ይናገራል። ነገር ግን ስለክትትል ወይም የዚህ አገልግሎት አቅራቢ ደንበኞች ፍላጎት ሊሆኑ የሚችሉ የመረጃ ደህንነት ዝግጅቶችን የማግኘት እድል ስለመሆኑ ምንም ቃል የለም።

በአጠቃላይ፣ የደመና አቅራቢው የመረጃ ደህንነት ጉዳዮችን በድረ-ገፁ ላይ እና በሰነዶቹ ላይ በሚገልጽበት መንገድ፣ ይህንን ጉዳይ ምን ያህል በቁም ነገር እንደሚወስድ መረዳት ይችላሉ። ለምሳሌ, ለ "የእኔ ቢሮ" ምርቶች መመሪያዎችን ካነበቡ, ስለ ደህንነት ምንም ቃል የለም, ነገር ግን በተለየ ምርት "የእኔ ቢሮ. KS3”፣ ያልተፈቀደ መዳረሻን ለመከላከል የተነደፈ፣ “My Office.KS17” የሚተገበረው የFSTEC 3ኛ ቅደም ተከተል የነጥቦች ዝርዝር የተለመደ ነገር አለ፣ ነገር ግን እንዴት እንደሚተገብረው እና ከሁሉም በላይ ደግሞ እንዴት እንደሚተገበር አልተገለጸም። እነዚህን ዘዴዎች ከድርጅታዊ መረጃ ደህንነት ጋር ያዋህዱ። ምናልባት እንደዚህ አይነት ሰነዶች ሊኖሩ ይችላሉ, ነገር ግን በህዝብ ጎራ, በ "የእኔ ቢሮ" ድረ-ገጽ ላይ አላገኘሁትም. ምንም እንኳን ምናልባት ይህንን ሚስጥራዊ መረጃ የማግኘት መብት ባይኖረኝም?

ለ Bitrix, ሁኔታው ​​በጣም የተሻለ ነው. ሰነዱ የክስተቱን ምዝግብ ማስታወሻ ቅርጸቶች እና፣ በሚያስደንቅ ሁኔታ፣ የደመና መድረክ ላይ ሊደርሱ ከሚችሉ ስጋቶች ጋር የተያያዙ ክስተቶችን የያዘውን የጣልቃ መዝገብ ይገልፃል። ከዚያ የአይፒ፣ የተጠቃሚ ወይም የእንግዳ ስም፣ የክስተት ምንጭ፣ ጊዜ፣ የተጠቃሚ ወኪል፣ የክስተት አይነት፣ ወዘተ ማውጣት ይችላሉ። እውነት ነው፣ ከእነዚህ ክስተቶች ጋር ከደመናው ራሱ የቁጥጥር ፓነል ወይም በ MS Excel ቅርጸት ውሂብን መስቀል ትችላለህ። አሁን በBitrix ምዝግብ ማስታወሻዎች ስራን በራስ ሰር መስራት ከባድ ነው እና አንዳንድ ስራዎችን እራስዎ (ሪፖርቱን በመስቀል እና በእርስዎ SIEM ውስጥ መጫን) ያስፈልግዎታል. ግን በአንጻራዊ ሁኔታ በቅርብ ጊዜ እንዲህ ዓይነቱ ዕድል አለመኖሩን ካስታወስን ይህ ትልቅ እድገት ነው. በተመሳሳይ ጊዜ ፣ ​​ብዙ የውጭ ደመና አቅራቢዎች “ለጀማሪዎች” ተመሳሳይ ተግባር እንደሚሰጡ ማስተዋል እፈልጋለሁ - በቁጥጥር ፓነል በኩል ምዝግብ ማስታወሻዎቹን በአይኖችዎ ይመልከቱ ፣ ወይም ውሂቡን ወደ እራስዎ ይስቀሉ (ይሁን እንጂ ፣ ብዙ ውሂብ በ ውስጥ ይሰቅላል ። csv ቅርጸት እንጂ ኤክሴል አይደለም)።

የምዝግብ ማስታወሻ የሌለውን አማራጭ ከግምት ውስጥ ሳያስገባ የደመና አቅራቢዎች ብዙውን ጊዜ የደህንነት ክስተቶችን ለመከታተል ሶስት አማራጮችን ይሰጡዎታል - ዳሽቦርድ ፣ የውሂብ ጭነት እና የኤፒአይ መዳረሻ። የመጀመሪያው ለእርስዎ ብዙ ችግሮችን የሚፈታ ይመስላል ፣ ግን ይህ ሙሉ በሙሉ እውነት አይደለም - ብዙ መጽሔቶች ካሉዎት ፣ በሚታዩ ማያ ገጾች መካከል መቀያየር አለብዎት ፣ አጠቃላይ እይታውን ያጣሉ ። በተጨማሪም, የደመና አቅራቢው የደህንነት ክስተቶችን የማዛመድ እና በአጠቃላይ ከደህንነት እይታ አንጻር ለመተንተን ችሎታ ሊሰጥዎት አይችልም (ብዙውን ጊዜ እርስዎ እራስዎን ሊረዱት ከሚገባው ጥሬ መረጃ ጋር ይገናኛሉ). ልዩ ሁኔታዎች አሉ እና ስለእነሱ የበለጠ እንነጋገራለን. በመጨረሻም፣ ምን አይነት ክስተቶች በደመና አቅራቢዎ እንደተመዘገቡ፣ በምን አይነት ቅርጸት እና ከእርስዎ የመረጃ ደህንነት ቁጥጥር ሂደት ጋር እንዴት ይዛመዳሉ ብሎ መጠየቅ ተገቢ ነው። ለምሳሌ የተጠቃሚዎችን እና እንግዶችን መለየት እና ማረጋገጥ። ተመሳሳዩ Bitrix በእነዚህ ክስተቶች ላይ በመመስረት የዝግጅቱን ቀን እና ሰዓት ፣ የተጠቃሚውን ወይም የእንግዳውን ስም (“የድር ትንታኔ” ሞጁል ካለዎት) ፣ የተደረሰበት ነገር እና ሌሎች ለድር ጣቢያ የተለመዱ አካላት እንዲመዘግቡ ይፈቅድልዎታል። . ነገር ግን የኮርፖሬት መረጃ ደህንነት አገልግሎቶች ተጠቃሚው ደመናውን ከታመነ መሳሪያ እንደደረሰው ወይም አለመሆኑን መረጃ ሊፈልጉ ይችላሉ (ለምሳሌ በድርጅት አውታረ መረብ ውስጥ ይህ ተግባር በሲስኮ ISE ነው የሚተገበረው)። የደመና አገልግሎት ተጠቃሚ መለያ መሰረቁን ለማወቅ የሚረዳው እንደ ጂኦ-አይፒ ተግባር ስላለው ቀላል ተግባርስ? እና የደመና አቅራቢው ለእርስዎ ቢያቀርብም, ይህ በቂ አይደለም. ተመሳሳዩ Cisco CloudLock የጂኦግራፊያዊ አካባቢን ብቻ አይተነተንም, ነገር ግን ለዚህ የማሽን መማርን ይጠቀማል እና ለእያንዳንዱ ተጠቃሚ ታሪካዊ መረጃዎችን ይመረምራል እና የተለያዩ ያልተለመዱ ነገሮችን በመለየት እና በማረጋገጥ ሙከራዎች ይከታተላል. MS Azure ብቻ ተመሳሳይ ተግባር አለው (ተገቢው የደንበኝነት ምዝገባ ካለዎት)።

ሌላ ችግር አለ - ለብዙ የደመና አቅራቢዎች የመረጃ ደህንነት ክትትል አዲስ ርዕሰ ጉዳይ ስለሆነ ችግሩን መቋቋም የጀመሩት, በመፍትሔዎቻቸው ውስጥ የሆነ ነገር በየጊዜው ይለውጣሉ. ዛሬ አንድ ኤፒአይ፣ ነገ ሌላ፣ ከነገ ወዲያ አንድ ሶስተኛ አላቸው። ለዚህ ደግሞ ዝግጁ መሆን አለብዎት. ከተግባራዊነት ጋር ተመሳሳይ ነው, ሊለወጥ ይችላል, ይህም በእርስዎ የመረጃ ደህንነት ቁጥጥር ስርዓት ውስጥ ግምት ውስጥ መግባት አለበት. ለምሳሌ፣ Amazon በመጀመሪያ የተለየ የደመና ክስተት ክትትል አገልግሎቶች ነበሩት-AWS CloudTrail እና AWS CloudWatch። ከዚያ የመረጃ ደህንነት ክስተቶችን ለመቆጣጠር የተለየ አገልግሎት ታየ - AWS GuardDuty። ከተወሰነ ጊዜ በኋላ Amazon Amazon Security Hub የተባለ አዲስ የአስተዳደር ስርዓት ከ GuardDuty, Amazon Inspector, Amazon Macie እና ሌሎች በርካታ የተቀበሉትን መረጃዎች ትንተና ያካትታል. ሌላው ምሳሌ የ Azure ሎግ ውህደት መሳሪያ ከSIEM - AzLog ጋር ነው። በ 2018 ማይክሮሶፍት እድገቱን እና ድጋፉን ማቆሙን እስካሳወቀ ድረስ በብዙ የSIEM አቅራቢዎች በንቃት ጥቅም ላይ ውሏል ፣ ይህ መሳሪያ ይህንን መሳሪያ የተጠቀሙ ብዙ ደንበኞችን ከችግር ጋር ገጥሟቸዋል (በኋላ እንዴት እንደተፈታ እንነጋገራለን)።

ስለዚህ፣ የደመና አቅራቢዎ የሚያቀርብልዎትን ሁሉንም የክትትል ባህሪያት በጥንቃቄ ይቆጣጠሩ። ወይም በእርስዎ SOC እና ሊቆጣጠሩት በሚፈልጉት ደመና መካከል እንደ አማላጆች ሆነው በሚሰሩ ውጫዊ መፍትሄ አቅራቢዎች ላይ ይተማመኑ። አዎ, የበለጠ ውድ ይሆናል (ምንም እንኳን ሁልጊዜ ባይሆንም), ነገር ግን ሁሉንም ሃላፊነት ወደ ሌላ ሰው ትከሻዎች ይቀይራሉ. ወይስ ሁሉም አይደለም? ... የጋራ ደህንነትን ጽንሰ-ሀሳብ እናስታውስ እና ምንም ነገር መቀየር እንደማንችል እንረዳ - የተለያዩ የደመና አቅራቢዎች የውሂብዎን ፣ አፕሊኬሽኖችን ፣ ምናባዊ ማሽኖችን እና ሌሎች ሀብቶችን የመረጃ ደህንነት እንዴት እንደሚከታተሉ በተናጥል መረዳት አለብን ። በደመና ውስጥ የተስተናገደ. እና Amazon በዚህ ክፍል በሚያቀርበው ነገር እንጀምራለን.

ምሳሌ፡ በAWS ላይ የተመሰረተ የመረጃ ደህንነት ክትትል በIaaS

አዎ ፣ አዎ ፣ አማዞን ይህ የአሜሪካ አገልግሎት በመሆኑ እና በሩሲያ ውስጥ የተከለከሉ ጽንፈኝነትን ለመዋጋት እና የመረጃ ስርጭት አካል ሆኖ ሊታገድ ስለሚችል ጥሩ ምሳሌ አለመሆኑን ተረድቻለሁ። ነገር ግን በዚህ ህትመት ውስጥ የተለያዩ የደመና መድረኮች በመረጃ ደህንነት ቁጥጥር ችሎታቸው ምን ያህል እንደሚለያዩ እና ቁልፍ ሂደቶችዎን ከደህንነት እይታ አንጻር ሲያስተላልፉ ትኩረት መስጠት ያለብዎትን ነገር ማሳየት እፈልጋለሁ። ደህና ፣ አንዳንድ የሩሲያ የደመና መፍትሄዎች ገንቢዎች ለራሳቸው ጠቃሚ ነገር ከተማሩ ፣ ያ በጣም ጥሩ ይሆናል።

የመጀመሪያው ነገር Amazon የማይበገር ምሽግ አይደለም. በደንበኞቹ ላይ በየጊዜው የተለያዩ ክስተቶች ይከሰታሉ። ለምሳሌ የ198 ሚሊዮን መራጮች ስም፣ አድራሻ፣ የተወለዱበት ቀን እና የስልክ ቁጥሮች ከ Deep Root Analytics ተዘርፈዋል። የእስራኤል ኩባንያ ኒስ ሲስተምስ 14 ሚሊዮን የቬሪዞን ተመዝጋቢዎችን መዝገቦች ሰረቀ። ነገር ግን፣ የAWS አብሮገነብ ችሎታዎች ሰፋ ያሉ ክስተቶችን እንድታገኝ ያስችልሃል። ለምሳሌ:

• በመሠረተ ልማት (DDoS) ላይ ተጽእኖ
• የመስቀለኛ መንገድ ስምምነት (የትእዛዝ መርፌ)
• መለያ ስምምነቶች እና ያልተፈቀደ መዳረሻ
• የተሳሳተ ውቅር እና ተጋላጭነቶች
• ደህንነታቸው ያልተጠበቁ በይነገጾች እና ኤፒአይዎች።

ይህ ልዩነት ከላይ እንዳየነው ደንበኛው ራሱ ለደንበኛ ውሂብ ደህንነት ተጠያቂ በመሆኑ ነው. እና የመከላከያ ዘዴዎችን ለማብራት ካልተቸገረ እና የክትትል መሳሪያዎችን ካላበራ ታዲያ ስለ ክስተቱ ከመገናኛ ብዙሃን ወይም ከደንበኞቹ ብቻ ይማራል።

ክስተቶችን ለመለየት በአማዞን የተገነቡ የተለያዩ የክትትል አገልግሎቶችን መጠቀም ይችላሉ (ምንም እንኳን እነዚህ ብዙውን ጊዜ እንደ አስክሬን ባሉ ውጫዊ መሳሪያዎች የተሟሉ ቢሆኑም)። ስለዚህ, በ AWS ውስጥ, ሁሉም የተጠቃሚ እርምጃዎች እንዴት እንደሚከናወኑ - በአስተዳደር ኮንሶል, ትዕዛዝ መስመር, ኤስዲኬ ወይም ሌሎች የ AWS አገልግሎቶች በኩል ቁጥጥር ይደረግባቸዋል. የእያንዳንዱ የAWS መለያ እንቅስቃሴ ሁሉም መዝገቦች (የተጠቃሚ ስም፣ ድርጊት፣ አገልግሎት፣ የእንቅስቃሴ መለኪያዎች እና ውጤት ጨምሮ) እና የኤፒአይ አጠቃቀም በAWS CloudTrail በኩል ይገኛሉ። እነዚህን ክስተቶች (እንደ AWS IAM ኮንሶል መግቢያዎች ያሉ) ከCloudTrail ኮንሶል ማየት፣ Amazon Athena ን በመጠቀም መተንተን ወይም እንደ Splunk፣ AlienVault፣ ወዘተ የመሳሰሉ ውጫዊ መፍትሄዎችን “ውጭ ማድረግ” ትችላለህ። የAWS CloudTrail ምዝግብ ማስታወሻዎች እራሳቸው በAWS S3 ባልዲ ውስጥ ተቀምጠዋል።

ሌሎች ሁለት የAWS አገልግሎቶች ሌሎች በርካታ ጠቃሚ የክትትል ችሎታዎችን ይሰጣሉ። በመጀመሪያ ፣ Amazon CloudWatch ከሌሎች ነገሮች በተጨማሪ በደመናዎ ውስጥ የተለያዩ ያልተለመዱ ነገሮችን እንዲለዩ የሚያስችልዎት ለ AWS ሀብቶች እና መተግበሪያዎች የክትትል አገልግሎት ነው። እንደ Amazon Elastic Compute Cloud (ሰርቨሮች)፣ Amazon Relational Database Service (databases)፣ Amazon Elastic MapReduce (የውሂብ ትንታኔ) እና 30 ሌሎች የአማዞን አገልግሎቶች ያሉ ሁሉም አብሮ የተሰሩ የAWS አገልግሎቶች የምዝግብ ማስታወሻቸውን ለማከማቸት Amazon CloudWatchን ይጠቀማሉ። ገንቢዎች የምዝግብ ማስታወሻ ክትትል ተግባርን በብጁ መተግበሪያዎች እና አገልግሎቶች ላይ ለመጨመር ከ Amazon CloudWatch የተከፈተውን ኤፒአይ መጠቀም ይችላሉ፣ ይህም የክስተት ትንተና ወሰን በደህንነት አውድ ውስጥ እንዲያሰፉ ያስችላቸዋል።

በሁለተኛ ደረጃ፣ የVPC Flow Logs አገልግሎት በእርስዎ AWS አገልጋዮች (በውጭም ሆነ በውስጥ) እንዲሁም በማይክሮ ሰርቪስ መካከል ያለውን የኔትወርክ ትራፊክ ለመተንተን ይፈቅድልዎታል። የትኛውም የእርስዎ AWS VPC ግብዓቶች ከአውታረ መረቡ ጋር ሲገናኙ፣ የVPC Flow Logs ስለ አውታረ መረብ ትራፊክ፣ የምንጩን እና የመድረሻ አውታረ መረብ በይነገጽን እንዲሁም የአይፒ አድራሻዎችን፣ ወደቦችን፣ ፕሮቶኮሎችን፣ የባይት ብዛት እና እርስዎን የፓኬቶች ብዛት ጨምሮ ዝርዝሮችን ይመዘግባል። አየሁ. የአካባቢያዊ አውታረ መረብ ደህንነት ልምድ ያላቸው ይህንን ከክሮች ጋር ተመሳሳይ እንደሆነ ይገነዘባሉ NetFlow, ይህም በስዊች, ራውተሮች እና በድርጅት ደረጃ ፋየርዎል ሊፈጠር ይችላል. እነዚህ ምዝግብ ማስታወሻዎች ለመረጃ ደህንነት ክትትል ዓላማዎች አስፈላጊ ናቸው ምክንያቱም ከተጠቃሚዎች እና አፕሊኬሽኖች ድርጊቶች በተለየ መልኩ በAWS ምናባዊ የግል ደመና አካባቢ ውስጥ የአውታረ መረብ ግንኙነቶችን እንዳያመልጥዎት ያስችሉዎታል።

በማጠቃለያው፣ እነዚህ ሶስት የAWS አገልግሎቶች-AWS CloudTrail፣ Amazon CloudWatch እና VPC Flow Logs በአንድ ላይ ስለ መለያ አጠቃቀምዎ፣ የተጠቃሚ ባህሪዎ፣ የመሠረተ ልማት አስተዳደር፣ የመተግበሪያ እና የአገልግሎት እንቅስቃሴ እና የአውታረ መረብ እንቅስቃሴ ላይ ፍትሃዊ ኃይለኛ ግንዛቤን ይሰጣሉ። ለምሳሌ, የሚከተሉትን ያልተለመዱ ነገሮችን ለመለየት ጥቅም ላይ ሊውሉ ይችላሉ:

• በ "404 ስህተቶች" ፍንዳታ አማካኝነት ጣቢያውን ለመቃኘት, የጓሮ በርን ለመፈለግ, ተጋላጭነትን ለመፈለግ ሙከራዎች.
• የመርፌ ጥቃቶች (ለምሳሌ SQL መርፌ) በ "500 ስህተቶች" ፍንዳታ.
• የታወቁ የጥቃት መሳሪያዎች sqlmap፣ nikto፣ w3af፣ nmap፣ ወዘተ ናቸው። በተጠቃሚ ወኪል መስክ ትንተና.

የአማዞን ድር አገልግሎቶች ሌሎች ብዙ ችግሮችን ለመፍታት የሚያስችልዎ ለሳይበር ደህንነት ዓላማዎች ሌሎች አገልግሎቶችን አዘጋጅቷል። ለምሳሌ፣ AWS ለኦዲት ፖሊሲዎች እና ውቅሮች አብሮ የተሰራ አገልግሎት አለው - AWS Config። ይህ አገልግሎት የእርስዎን የAWS ሀብቶች እና አወቃቀሮቻቸውን ቀጣይነት ያለው ኦዲት ያቀርባል። እስቲ አንድ ቀላል ምሳሌ እንውሰድ፡ በሁሉም አገልጋዮችህ ላይ የተጠቃሚ የይለፍ ቃሎች መጥፋታቸውን እና መዳረስ የሚቻለው በእውቅና ማረጋገጫዎች ላይ ብቻ መሆኑን ማረጋገጥ ትፈልጋለህ እንበል። AWS Config ይህን ለሁሉም አገልጋዮችዎ መፈተሽ ቀላል ያደርገዋል። በደመና ሰርቨሮችዎ ላይ ሊተገበሩ የሚችሉ ሌሎች ፖሊሲዎችም አሉ፡- “ማንም አገልጋይ ወደብ 22”፣ “አስተዳዳሪዎች ብቻ ናቸው የፋየርዎል ህጎችን መለወጥ የሚችሉት” ወይም “ተጠቃሚ ብቻ ኢቫሽኮ አዲስ የተጠቃሚ መለያ መፍጠር የሚችለው፣ እና እሱ ማድረግ የሚችለው ማክሰኞ ብቻ ነው። " እ.ኤ.አ. በ 2016 የበጋ ወቅት ፣ የተገነቡ ፖሊሲዎች ጥሰቶችን ለመለየት የAWS Config አገልግሎት ተዘርግቷል። የAWS Config ሕጎች እርስዎ ለሚጠቀሙት የአማዞን አገልግሎቶች ቀጣይነት ያለው የማዋቀር ጥያቄዎች ናቸው፣ ይህም ተዛማጅ ፖሊሲዎች ከተጣሱ ክስተቶችን ይፈጥራሉ። ለምሳሌ፣ በምናባዊ ሰርቨር ላይ ያሉ ሁሉም ዲስኮች የተመሰጠሩ መሆናቸውን ለማረጋገጥ የAWS Config መጠይቆችን በየጊዜው ከማሄድ፣ AWS Config Rules ይህ ሁኔታ መሟላቱን ለማረጋገጥ የአገልጋይ ዲስኮችን ያለማቋረጥ ለመፈተሽ መጠቀም ይቻላል። እና፣ ከሁሉም በላይ፣ በዚህ እትም አውድ ውስጥ፣ ማንኛውም ጥሰቶች በእርስዎ የመረጃ ደህንነት አገልግሎት ሊተነተኑ የሚችሉ ክስተቶችን ያመነጫሉ።

AWS ከተለምዷዊ የኮርፖሬት መረጃ ደህንነት መፍትሄዎች ጋር እኩል አለው፣ ይህም እርስዎ ሊተነትኑት የሚችሏቸው እና የደህንነት ክስተቶችን ያመነጫሉ፡

• ጣልቃ መግባት - AWS GuardDuty
• የመረጃ ፍሰት መቆጣጠሪያ - AWS Macie
• EDR (ምንም እንኳን በደመና ውስጥ ስላሉት የመጨረሻ ነጥቦች በጥቂቱ ቢናገርም) - AWS Cloudwatch + open source osquery ወይም GRR መፍትሄዎች
• የኔት ፍሰት ትንተና - AWS Cloudwatch + AWS VPC ፍሰት
• የዲ ኤን ኤስ ትንተና - AWS Cloudwatch + AWS Route53
• AD - AWS ማውጫ አገልግሎት
• መለያ አስተዳደር - AWS IAM
• ኤስኤስኦ - AWS ኤስኤስኦ
• የደህንነት ትንተና - AWS መርማሪ
• የውቅረት አስተዳደር - AWS Config
• WAF - AWS WAF.

በመረጃ ደህንነት አውድ ውስጥ ጠቃሚ ሊሆኑ የሚችሉትን ሁሉንም የአማዞን አገልግሎቶችን በዝርዝር አልገልጽም። ዋናው ነገር ሁሉም በመረጃ ደህንነት አውድ ውስጥ ልንመረምራቸው የምንችላቸውን እና ልንተነተንባቸው የሚገቡ ክስተቶችን መፍጠር እንደሚችሉ መረዳት ነው ለዚህ አላማ ሁለቱንም አብሮ የተሰራውን የአማዞን በራሱ አቅም እና ውጫዊ መፍትሄዎች ለምሳሌ SIEM የደህንነት ክስተቶችን ወደ የክትትል ማእከልዎ ይውሰዱ እና እዚያ ከሌሎች የደመና አገልግሎቶች ወይም ከውስጥ መሠረተ ልማት፣ ፔሪሜትር ወይም ተንቀሳቃሽ መሳሪያዎች ክስተቶች ጋር ይተነትኗቸው።

በማንኛውም አጋጣሚ ሁሉም የሚጀምረው የመረጃ ደህንነት ሁነቶችን በሚሰጡዎት የውሂብ ምንጮች ነው. እነዚህ ምንጮች የሚያካትቱት ግን በእነዚህ ብቻ ያልተገደቡ ናቸው፡-

• CloudTrail - የኤፒአይ አጠቃቀም እና የተጠቃሚ እርምጃዎች
• የታመነ አማካሪ - ከምርጥ ልምዶች ላይ የደህንነት ማረጋገጫ
• Config - የመለያዎች እና የአገልግሎት ቅንጅቶች ክምችት እና ውቅር
• የ VPC ፍሰት ምዝግብ ማስታወሻዎች - ወደ ምናባዊ በይነገጾች ግንኙነቶች
• IAM - የመታወቂያ እና የማረጋገጫ አገልግሎት
• ELB የመዳረሻ ምዝግብ ማስታወሻዎች - የጭነት ሚዛን
• መርማሪ - የመተግበሪያ ድክመቶች
• S3 - የፋይል ማከማቻ
• CloudWatch - የመተግበሪያ እንቅስቃሴ
• SNS የማሳወቂያ አገልግሎት ነው።

አማዞን እንደዚህ አይነት የክስተት ምንጮችን እና መሳሪያዎችን ለትውልዳቸው ሲያቀርብ የተሰበሰበውን መረጃ ከመረጃ ደህንነት አንፃር የመተንተን አቅሙ በጣም ውስን ነው። በእነሱ ውስጥ ተዛማጅ የሆኑ የስምምነት አመልካቾችን በመፈለግ የሚገኙትን ምዝግብ ማስታወሻዎች በተናጥል ማጥናት ያስፈልግዎታል። Amazon በቅርብ ጊዜ የጀመረው AWS Security Hub ይህንን ችግር ለመቅረፍ አላማው ለAWS ደመና SIEM በመሆን ነው። ግን እስካሁን ድረስ በጉዞው መጀመሪያ ላይ ብቻ ነው እና በሚሠራባቸው ምንጮች ብዛት እና በአማዞን ራሱ ሥነ ሕንፃ እና ምዝገባዎች በተቋቋሙ ሌሎች ገደቦች የተገደበ ነው።

ምሳሌ፡ በAzuure ላይ የተመሰረተ የመረጃ ደህንነት ክትትል በIaaS

ከሦስቱ የደመና አቅራቢዎች (አማዞን ፣ ማይክሮሶፍት ወይም ጎግል) የትኛው የተሻለ እንደሆነ (በተለይም እያንዳንዳቸው አሁንም የራሳቸው ዝርዝር ጉዳዮች ስላሏቸው እና ችግሮቹን ለመፍታት ተስማሚ ስለሆኑ) ረጅም ክርክር ውስጥ መግባት አልፈልግም ። እነዚህ ተጫዋቾች በሚሰጡት የመረጃ ደህንነት ቁጥጥር ችሎታዎች ላይ እናተኩር። አማዞን AWS በዚህ ክፍል ውስጥ ከመጀመሪያዎቹ አንዱ እንደነበረ እና ስለዚህ በመረጃ ደህንነት ተግባራቱ ረገድ እጅግ የላቀ መሆኑን መቀበል አለበት (ምንም እንኳን ብዙዎች ለመጠቀም አስቸጋሪ መሆናቸውን ቢቀበሉም)። ይህ ማለት ግን ማይክሮሶፍት እና ጎግል የሚሰጡንን እድሎች ችላ እንላለን ማለት አይደለም።

የማይክሮሶፍት ምርቶች ሁልጊዜ በ "ክፍት" ተለይተዋል እና በአዙር ውስጥ ሁኔታው ​​ተመሳሳይ ነው. ለምሳሌ, AWS እና GCP ሁልጊዜ "ያልተፈቀደው የተከለከለ ነው" ከሚለው ጽንሰ-ሐሳብ የሚቀጥሉ ከሆነ, Azure ትክክለኛ ተቃራኒ አቀራረብ አለው. ለምሳሌ, በደመና ውስጥ ምናባዊ አውታረመረብ እና በእሱ ውስጥ ምናባዊ ማሽን ሲፈጥሩ ሁሉም ወደቦች እና ፕሮቶኮሎች በነባሪነት ክፍት እና ተፈቅደዋል. ስለዚህ ከማይክሮሶፍት በደመና ውስጥ ያለውን የመዳረሻ መቆጣጠሪያ ስርዓት የመጀመሪያ ዝግጅት ላይ ትንሽ ተጨማሪ ጥረት ማድረግ አለብዎት። እና ይህ በAzuure ደመና ውስጥ ያለውን እንቅስቃሴ ከመከታተል አንፃር የበለጠ ጥብቅ መስፈርቶችን በእርስዎ ላይ ያስገድዳል።

AWS ምናባዊ ሃብቶችዎን በሚቆጣጠሩበት ጊዜ በተለያዩ ክልሎች ውስጥ የሚገኙ ከሆነ ሁሉንም ክስተቶች እና የተዋሃዱ ትንታኔዎቻቸውን በማጣመር ችግሮች ያጋጥሙዎታል ፣ ይህም ወደ ተለያዩ ዘዴዎች መሄድ ያስፈልግዎታል ከሚለው እውነታ ጋር የተቆራኘ ልዩነት አለው ። በክልሎች መካከል ክስተቶችን የሚያጓጉዝ ለAWS Lambda የራስዎን ኮድ ይፍጠሩ። Azure ይህ ችግር የለዉም - የእንቅስቃሴ ምዝግብ ማስታወሻ ዘዴው ሁሉንም እንቅስቃሴዎች ያለ ገደብ ይከታተላል። ብዙ የደህንነት ተግባራትን በአንድ የደህንነት ማእከል ውስጥ ለማዋሃድ በቅርቡ በአማዞን ለተሰራው AWS Security Hub ተመሳሳይ ነው ፣ ግን በክልሉ ውስጥ ብቻ ነው ፣ ግን ለሩሲያ የማይጠቅም ነው። አዙሬ የራሱ የሆነ የደህንነት ማእከል አለው፣ እሱም በክልል ገደቦች ያልተገደበ፣ ሁሉንም የደመና መድረክ የደህንነት ባህሪያትን ማግኘት ይችላል። ከዚህም በላይ ለተለያዩ የአካባቢ ቡድኖች በእነሱ የሚተዳደሩ የደህንነት ክስተቶችን ጨምሮ የራሱን የመከላከያ ችሎታዎች ያቀርባል. AWS ሴኩሪቲ ሃብ አሁንም ከአዙሬ ሴኩሪቲ ሴንተር ጋር ተመሳሳይ ለመሆን በመንገዱ ላይ ነው። ነገር ግን በቅባት ውስጥ ዝንብ መጨመር ጠቃሚ ነው - ከዚህ ቀደም በ AWS ውስጥ የተገለጹትን ብዙ ከ Azure መውጣት ይችላሉ ፣ ግን ይህ በጣም ምቹ የሆነው ለ Azure AD ፣ Azure Monitor እና Azure Security Center ብቻ ነው። ሁሉም ሌሎች የAzure ደህንነት ስልቶች፣ የደህንነት ክስተት ትንተናን ጨምሮ፣ እስካሁን በጣም ምቹ በሆነ መንገድ አልተቀናበሩም። ችግሩ በከፊል በሁሉም የማይክሮሶፍት አዙር አገልግሎቶችን በሚሸፍነው ኤፒአይ ተፈትቷል ፣ነገር ግን ይህ ደመናዎን ከእርስዎ SOC ጋር ለማዋሃድ እና ብቁ ልዩ ባለሙያዎች ካሉ (እንዲያውም እንደማንኛውም ከደመና ጋር እንደሚሠራው SIEM) ከእርስዎ ተጨማሪ ጥረት ይጠይቃል። APIs)። በኋላ ላይ የሚብራሩት አንዳንድ SIEMs Azureን ይደግፋሉ እና የመከታተል ስራውን በራስ-ሰር ሊያዘጋጁት ይችላሉ ፣ ግን የራሱ ችግሮችም አሉት - ሁሉም Azure ያላቸውን ምዝግብ ማስታወሻዎች መሰብሰብ አይችሉም።

በአዙሬ ውስጥ የክስተት ማሰባሰብ እና ክትትል የሚደረገው በማይክሮሶፍት ደመና ውስጥ መረጃን ለመሰብሰብ ፣ማከማቸት እና ለመተንተን ዋና መሳሪያ የሆነውን Azure Monitor አገልግሎትን በመጠቀም እና ሀብቶቹን - Git ማከማቻዎች ፣ ኮንቴይነሮች ፣ ቨርቹዋል ማሽኖች ፣ አፕሊኬሽኖች ፣ ወዘተ. በአዙሬ ሞኒተር የተሰበሰቡት ሁሉም መረጃዎች በሁለት ምድቦች ይከፈላሉ - መለኪያዎች ፣ በእውነተኛ ጊዜ የተሰበሰቡ እና የ Azure ደመና ቁልፍ አፈፃፀም አመልካቾችን የሚገልጹ ፣ እና ምዝግብ ማስታወሻዎች ፣ የ Azure ሀብቶች እና አገልግሎቶች እንቅስቃሴ የተወሰኑ ገጽታዎችን የሚያሳዩ መዝገቦችን ያካተቱ ናቸው። በተጨማሪም፣ ዳታ ሰብሳቢ ኤፒአይን በመጠቀም፣ Azure Monitor አገልግሎት የራሱን የክትትል ሁኔታዎች ለመገንባት ከማንኛውም የREST ምንጭ መረጃ መሰብሰብ ይችላል።

Azure የሚያቀርብልዎ እና በ Azure Portal፣ CLI፣ PowerShell ወይም REST API (እና አንዳንዶቹ በ Azure Monitor/Insight API) በኩል ማግኘት የሚችሉባቸው ጥቂት የደህንነት ክስተት ምንጮች እዚህ አሉ።

• የተግባር ምዝግብ ማስታወሻዎች - ይህ ምዝግብ ማስታወሻ በደመና ሀብቶች ላይ ማንኛውንም የመጻፍ ሥራ (PUT ፣ POST ፣ DELETE) በተመለከተ “ማን” “ምን” እና “መቼ” የሚሉ አንጋፋ ጥያቄዎችን ይመልሳል። ከንባብ መዳረሻ (GET) ጋር የተያያዙ ክስተቶች በዚህ መዝገብ ውስጥ አልተካተቱም፣ ልክ እንደሌሎች ቁጥር።
• የመመርመሪያ ምዝግብ ማስታወሻዎች - በደንበኝነት ምዝገባዎ ውስጥ የተካተተውን የተወሰነ ምንጭ ያለው ኦፕሬሽኖች ውሂብ ይዟል።
• Azure AD ሪፖርት ማድረግ - ሁለቱንም የተጠቃሚ እንቅስቃሴ እና ከቡድን እና የተጠቃሚ አስተዳደር ጋር የተገናኘ የስርዓት እንቅስቃሴን ይዟል።
• Windows Event Log እና Linux Syslog - በደመና ውስጥ ከተስተናገዱ ምናባዊ ማሽኖች የተገኙ ክስተቶችን ይዟል።
• መለኪያዎች - ስለ የእርስዎ የደመና አገልግሎቶች አፈጻጸም እና የጤና ሁኔታ ቴሌሜትሪ ይዟል። በየደቂቃው ይለካል እና ይከማቻል. በ 30 ቀናት ውስጥ.
• የአውታረ መረብ ደህንነት ቡድን ፍሰት ምዝግብ ማስታወሻዎች - የኔትወርክ ጠባቂ አገልግሎትን እና በኔትወርኩ ደረጃ የንብረት ክትትልን በመጠቀም የተሰበሰቡ የአውታረ መረብ ደህንነት ክስተቶች መረጃ ይዟል።
• የማከማቻ ምዝግብ ማስታወሻዎች - ከማከማቻ ተቋማት መዳረሻ ጋር የተያያዙ ክስተቶችን ይዟል።

ለክትትል፣ ውጫዊ SIEMዎችን ወይም አብሮ የተሰራውን Azure Monitor እና ቅጥያዎቹን መጠቀም ይችላሉ። ስለ የመረጃ ደህንነት ክስተት አስተዳደር ስርዓቶች በኋላ ላይ እንነጋገራለን, አሁን ግን አዙር እራሱ በደህንነት አውድ ውስጥ ለመረጃ ትንተና ምን እንደሚሰጠን እንይ. በአዙሬ ሞኒተር ውስጥ ከደህንነት ጋር የተገናኘ የሁሉም ነገር ዋናው ስክሪን የ Log Analytics Security እና Audit Dashboard ነው (ነጻው ስሪት ለአንድ ሳምንት ብቻ የተወሰነ የክስተት ማከማቻን ይደግፋል)። ይህ ዳሽቦርድ በምትጠቀመው የደመና አካባቢ ውስጥ ምን እየተከሰተ እንዳለ የማጠቃለያ ስታቲስቲክስን በሚያሳዩ በ5 ዋና ዋና ቦታዎች ተከፍሏል፡

• የደህንነት ጎራዎች - ከመረጃ ደህንነት ጋር የተያያዙ ቁልፍ የቁጥር አመልካቾች - የአደጋዎች ብዛት, የተበላሹ ኖዶች ብዛት, ያልተጣበቁ ኖዶች, የአውታረ መረብ ደህንነት ክስተቶች, ወዘተ.
• ታዋቂ ጉዳዮች - የነቃ የመረጃ ደህንነት ጉዳዮችን ቁጥር እና አስፈላጊነት ያሳያል
• ማወቂያዎች - በእርስዎ ላይ ጥቅም ላይ የሚውሉ የጥቃት ንድፎችን ያሳያል
• ስጋት ኢንተለጀንስ - እርስዎን በሚያጠቁ ውጫዊ አንጓዎች ላይ የጂኦግራፊያዊ መረጃ ያሳያል
• የተለመዱ የደህንነት መጠይቆች - የመረጃ ደህንነትዎን በተሻለ ሁኔታ ለመቆጣጠር የሚረዱዎት የተለመዱ መጠይቆች።

የ Azure Monitor ቅጥያዎች የ Azure Key Vault (በዳመና ውስጥ ያሉ ምስጢራዊ ቁልፎች ጥበቃ)፣ የማልዌር ግምገማ (በምናባዊ ማሽኖች ላይ ካለው ተንኮል-አዘል ኮድ ጥበቃ ትንተና)፣ Azure Application Gateway Analytics (ከሌሎች ነገሮች መካከል፣ የደመና ፋየርዎል ምዝግብ ማስታወሻዎች ትንተና) ወዘተ ያካትታሉ። . እነዚህ መሣሪያዎች፣ ክስተቶችን ለማስኬድ በተወሰኑ ሕጎች የበለፀጉ፣ የደህንነትን ጨምሮ የደመና አገልግሎቶችን እንቅስቃሴ የተለያዩ ገጽታዎች እንዲመለከቱ እና ከሥራው የተወሰኑ ልዩነቶችን እንዲለዩ ያስችሉዎታል። ግን ፣ ብዙውን ጊዜ እንደሚከሰት ፣ ማንኛውም ተጨማሪ ተግባር ተጓዳኝ የሚከፈልበት የደንበኝነት ምዝገባን ይፈልጋል ፣ ይህም ከእርስዎ ተጓዳኝ የፋይናንስ ኢንቨስትመንቶችን ይፈልጋል ፣ ይህም አስቀድመው ማቀድ ያስፈልግዎታል።

Azure በ Azure AD፣ Azure Monitor እና Azure Security Center ውስጥ የተዋሃዱ በርካታ አብሮገነብ የማስፈራሪያ ክትትል ችሎታዎች አሉት። ከነሱ መካከል ለምሳሌ ቨርቹዋል ማሽኖች ከሚታወቁ ተንኮል አዘል አይፒዎች ጋር መስተጋብርን መለየት (ከማይክሮሶፍት የስጋት ኢንተለጀንስ አገልግሎቶች ጋር በመዋሃድ) ፣ በደመና ውስጥ ከተስተናገዱ ምናባዊ ማሽኖች ማንቂያዎችን በመቀበል ማልዌርን መለየት ጥቃቶች መገመት ”በምናባዊ ማሽኖች ላይ ፣በተጠቃሚ መለያ ስርዓት ውቅር ላይ ያሉ ተጋላጭነቶች ፣ከማይታወቁ ወይም የተበከሉ አንጓዎች ወደ ስርዓቱ መግባት ፣የመለያ ፍንጣቂዎች ፣ያልተለመዱ ቦታዎች ወደ ስርዓቱ መግባት ፣ወዘተ Azure ዛሬ የተሰበሰቡ የመረጃ ደህንነት ክስተቶችን ለማበልጸግ አብሮገነብ የማስፈራሪያ ኢንተለጀንስ ችሎታዎችን ከሚሰጡዎት ጥቂት የደመና አቅራቢዎች አንዱ ነው።

ከላይ እንደተጠቀሰው የደህንነት ተግባር እና በውጤቱም, በእሱ የተፈጠሩት የደህንነት ክስተቶች ለሁሉም ተጠቃሚዎች በእኩልነት አይገኙም, ነገር ግን የሚፈልጉትን ተግባር ያካተተ የተወሰነ የደንበኝነት ምዝገባ ያስፈልገዋል, ይህም ለመረጃ ደህንነት ክትትል ተገቢ ክስተቶችን ይፈጥራል. ለምሳሌ፣ በቀደመው አንቀፅ ላይ የተገለጹት አንዳንድ ተግባራት በመለያዎች ውስጥ ያሉ ያልተለመዱ ነገሮችን ለመቆጣጠር በP2 ፕሪሚየም ፈቃድ ለ Azure AD አገልግሎት ብቻ ይገኛሉ። ያለሱ, እርስዎ, እንደ AWS ሁኔታ, የተሰበሰቡትን የደህንነት ክስተቶች "በእጅ" መተንተን አለብዎት. እና፣ እንዲሁም፣ እንደ Azure AD ፍቃድ አይነት፣ ሁሉም ክስተቶች ለመተንተን አይገኙም።

በ Azure ፖርታል ላይ፣ ሁለቱንም የፍላጎት ምዝግብ ማስታወሻዎች የፍለጋ መጠይቆችን ማስተዳደር እና ቁልፍ የመረጃ ደህንነት አመልካቾችን ለማየት ዳሽቦርዶችን ማዘጋጀት ይችላሉ። በተጨማሪም, እዚያም የ Azure Monitor ምዝግብ ማስታወሻዎችን ተግባራዊነት ለማስፋት እና ከደህንነት እይታ አንጻር የክስተቶችን ጥልቅ ትንታኔ ለማግኘት የሚያስችል የ Azure Monitor ቅጥያዎችን መምረጥ ይችላሉ.

ከምዝግብ ማስታወሻዎች ጋር የመሥራት ችሎታ ብቻ ሳይሆን የመረጃ ደህንነት ፖሊሲ አስተዳደርን ጨምሮ ለ Azure ደመና መድረክዎ አጠቃላይ የደህንነት ማእከል ከፈለጉ ታዲያ ከ Azure ደህንነት ማእከል ጋር የመሥራት አስፈላጊነት መነጋገር ይችላሉ ፣ ከእነዚህም ውስጥ አብዛኛዎቹ ጠቃሚ ተግባራት ለተወሰነ ገንዘብ ይገኛሉ፡ ለምሳሌ፡ ማስፈራሪያን መለየት፡ ከአዙሬ ውጭ የሚደረግ ክትትል፡ የተገዢነት ግምገማ ወዘተ። (በነጻው ስሪት ውስጥ፣ የደህንነት ግምገማ እና ተለይተው የሚታወቁ ችግሮችን ለማስወገድ ምክሮችን ብቻ ነው ያለዎት)። ሁሉንም የደህንነት ጉዳዮች በአንድ ቦታ ያጠናክራል. እንደውም አዙሬ ሞኒተር ከሚሰጥህ የበለጠ ስለ ከፍተኛ የመረጃ ደህንነት ደረጃ መነጋገር እንችላለን ምክንያቱም በዚህ አጋጣሚ በመላው የደመና ፋብሪካህ የሚሰበሰበው መረጃ የበለፀገው እንደ Azure፣ Office 365፣ Microsoft CRM online፣ Microsoft Dynamics AX ባሉ ብዙ ምንጮች በመጠቀም ነው። , outlook .com, MSN.com, Microsoft Digital Crimes Unit (DCU) እና Microsoft Security Response Center (MSRC) የተለያዩ የተራቀቁ የማሽን መማሪያ እና የባህሪ ትንተና ስልተ ቀመሮች የተደራረቡበት ሲሆን ይህም በመጨረሻ አደጋዎችን የመለየት እና ምላሽ የመስጠትን ውጤታማነት ማሻሻል አለበት። .

Azure የራሱ SIEM አለው - በ 2019 መጀመሪያ ላይ ታየ። ይህ Azure Sentinel ነው፣ እሱም በአዙሬ ሞኒተር መረጃ ላይ የተመሰረተ እና እንዲሁም ከ ጋር ሊዋሃድ ይችላል። የውጭ ደህንነት መፍትሄዎች (ለምሳሌ NGFW ወይም WAF)፣ ዝርዝሩ ያለማቋረጥ እያደገ ነው። በተጨማሪም፣ በማይክሮሶፍት ግራፍ ሴኪዩሪቲ ኤፒአይ ውህደት አማካኝነት የራስዎን የዛቻ ኢንተለጀንስ ምግቦች ከሴንቲኔል ጋር የማገናኘት ችሎታ አለዎት፣ ይህም በእርስዎ Azure ደመና ውስጥ ያሉ ክስተቶችን የመተንተን ችሎታዎችን ያበለጽጋል። Azure Sentinel ከደመና አቅራቢዎች የታየ የመጀመሪያው "ተወላጅ" SIEM ነው ብሎ መከራከር ይቻላል (ተመሳሳይ Splunk ወይም ELK, በደመና ውስጥ ሊስተናገዱ የሚችሉት, ለምሳሌ, AWS, አሁንም በባህላዊ የደመና አገልግሎት አቅራቢዎች አልተዘጋጁም). Azure Sentinel እና የሴኪዩሪቲ ሴንተር ለ Azure ደመና SOC ተብሎ ሊጠራ ይችላል እና ምንም አይነት መሠረተ ልማት ከሌለዎት እና ሁሉንም የኮምፒውቲንግ ሃብቶችዎን ወደ ደመና ካስተላለፉ እና እሱ የማይክሮሶፍት ደመና Azure ከሆነ ለእነሱ ብቻ ሊገደብ ይችላል።

ነገር ግን የ Azure አብሮገነብ ችሎታዎች (የሴንቲኔል የደንበኝነት ምዝገባ ቢኖርዎትም) ብዙውን ጊዜ የመረጃ ደህንነትን ለመከታተል እና ይህንን ሂደት ከሌሎች የደህንነት ክስተቶች (ከደመና እና ከውስጥ) ምንጮች ጋር ለማጣመር በቂ አይደሉም። የተሰበሰበውን መረጃ ወደ ውጪያዊ ስርዓቶች መላክ አለበት፣ ወደ እነሱም SIEMን ሊያካትት ይችላል። ይህ የሚደረገው ሁለቱንም ኤፒአይን በመጠቀም እና ልዩ ቅጥያዎችን በመጠቀም ነው፣ እሱም በአሁኑ ጊዜ ለሚከተሉት SIEMs - Splunk (Azure Monitor Add-On for Splunk)፣ IBM QRadar (Microsoft Azure DSM)፣ SumoLogic፣ ArcSight እና ELK። እስከ ቅርብ ጊዜ ድረስ ፣ እንደዚህ ያሉ SIEMs የበለጠ ነበሩ ፣ ግን ከሰኔ 1 ቀን 2019 ጀምሮ ማይክሮሶፍት የ Azure Log Integration Tool (AzLog) መደገፍ አቁሟል ፣ ይህም በአዙሬ መኖር መባቻ ላይ እና ከሎግ (አዙር) ጋር አብሮ ለመስራት መደበኛ መደበኛነት በሌለበት ጊዜ ሞኒተር እስካሁን እንኳን አልነበረውም) ውጫዊውን SIEMን ከማይክሮሶፍት ደመና ጋር ለማዋሃድ ቀላል አድርጎታል። አሁን ሁኔታው ​​ተቀይሯል እና ማይክሮሶፍት የ Azure Event Hub መድረክን ለሌሎች SIEM ዎች ዋና የመዋሃድ መሳሪያ አድርጎ ይመክራል። ብዙዎች እንዲህ ዓይነቱን ውህደት አስቀድመው ተግብረዋል ፣ ግን ይጠንቀቁ - ሁሉንም የ Azure ምዝግብ ማስታወሻዎች ላይያዙ ይችላሉ ፣ ግን የተወሰኑት ብቻ (ለእርስዎ SIEM ሰነድ ውስጥ ይመልከቱ)።

ወደ Azure አጭር የሽርሽር ጉዞን ስጨርስ ስለዚህ የደመና አገልግሎት አጠቃላይ ምክር መስጠት እፈልጋለሁ - በ Azure ውስጥ ስላለው የመረጃ ደህንነት ቁጥጥር ተግባራት ምንም ነገር ከመናገርዎ በፊት በጥንቃቄ ያዋቅሯቸው እና በሰነዶቹ ውስጥ እንደተፃፉ እና እንዲሰሩ መሞከር አለብዎት ። አማካሪዎቹ ማይክሮሶፍት እንደነገሩዎት (እና በ Azure ተግባራት ተግባር ላይ የተለያዩ አመለካከቶች ሊኖራቸው ይችላል)። የፋይናንሺያል ሀብቱ ካለህ፣ ከመረጃ ደህንነት ቁጥጥር አንፃር ብዙ ጠቃሚ መረጃዎችን ከ Azure ማውጣት ትችላለህ። የእርስዎ ሀብቶች የተገደቡ ከሆነ፣ እንደ AWS ሁኔታ፣ በራስዎ ጥንካሬ እና Azure Monitor በሚሰጥዎ ጥሬ መረጃ ላይ ብቻ መተማመን አለብዎት። እና ብዙ የክትትል ተግባራት ገንዘብ እንደሚያስወጡ እና እራስዎን ከዋጋ ፖሊሲው ጋር አስቀድመው ማወቅ የተሻለ እንደሆነ ያስታውሱ። ለምሳሌ በነጻ ለ 31 ቀናት ውሂብ በአንድ ደንበኛ እስከ ቢበዛ 5 ጂቢ ማከማቸት ይችላሉ - እነዚህን እሴቶች ማለፍ ተጨማሪ ገንዘብ ማውጣት ያስፈልግዎታል (ከደንበኛው እያንዳንዱን ተጨማሪ ጂቢ ለማከማቸት በግምት $ 2+ እና $ 0,1 ለ በእያንዳንዱ ተጨማሪ ወር 1 ጂቢ ማከማቸት). ከመተግበሪያ ቴሌሜትሪ እና ሜትሪክስ ጋር መስራት ተጨማሪ ገንዘብ ሊጠይቅ ይችላል፣ እንዲሁም ከማንቂያዎች እና ማሳወቂያዎች ጋር መስራት (የተወሰነ ገደብ በነጻ ይገኛል፣ ይህም ለፍላጎትዎ በቂ ላይሆን ይችላል)።

ምሳሌ፡ በGoogle Cloud Platform ላይ በመመስረት በIaaS ውስጥ የመረጃ ደህንነት ክትትል

ጎግል ክላውድ ፕላትፎርም ከAWS እና Azure ጋር ሲነጻጸር ወጣት ይመስላል፣ ግን ይህ በከፊል ጥሩ ነው። እንደ AWS ሳይሆን፣ የደኅንነት አቅምን ጨምሮ፣ ቀስ በቀስ፣ በማዕከላዊነት ላይ ችግሮች እያጋጠመው፣ አቅሙን ጨምሯል። GCP፣ ልክ እንደ Azure፣ በማዕከላዊነት በጣም በተሻለ ሁኔታ የሚተዳደር ነው፣ ይህም በድርጅቱ ውስጥ ስህተቶችን እና የትግበራ ጊዜን ይቀንሳል። ከደህንነት እይታ አንጻር ጂሲፒ በሚገርም ሁኔታ በAWS እና Azure መካከል በቂ ነው። እንዲሁም ለድርጅቱ በሙሉ አንድ የክስተት ምዝገባ አለው, ግን ያልተሟላ ነው. አንዳንድ ተግባራት አሁንም በቅድመ-ይሁንታ ሁነታ ላይ ናቸው፣ ነገር ግን ቀስ በቀስ ይህ ጉድለት መወገድ አለበት እና ጂሲፒ የመረጃ ደህንነት ክትትልን በተመለከተ የበለጠ የበሰለ መድረክ ይሆናል።

በጂሲፒ ውስጥ ክስተቶችን ለመመዝገቢያ ዋናው መሣሪያ Stackdriver Logging ነው (ከ Azure Monitor ጋር ተመሳሳይ)፣ ይህም በመላው የደመና መሠረተ ልማት (እንዲሁም ከ AWS) ክስተቶችን እንዲሰበስቡ ያስችልዎታል። በጂሲፒ ውስጥ ካለው የደህንነት አንፃር እያንዳንዱ ድርጅት፣ ፕሮጀክት ወይም አቃፊ አራት ምዝግብ ማስታወሻዎች አሉት።

• የአስተዳዳሪ እንቅስቃሴ - ከአስተዳደራዊ መዳረሻ ጋር የተያያዙ ሁሉንም ክስተቶች ይዟል, ለምሳሌ, ምናባዊ ማሽን መፍጠር, የመዳረሻ መብቶችን መለወጥ, ወዘተ. ይህ ምዝግብ ማስታወሻ ሁል ጊዜ ይጻፋል፣ ፍላጎትዎ ምንም ይሁን ምን፣ እና ውሂቡን ለ400 ቀናት ያከማቻል።
• የውሂብ መዳረሻ - ከዳመና ተጠቃሚዎች ውሂብ ጋር አብሮ መስራት (መፍጠር, ማሻሻያ, ማንበብ, ወዘተ) ሁሉንም ክስተቶች ይዟል. በነባሪ, ይህ ምዝግብ ማስታወሻ አልተጻፈም, ምክንያቱም መጠኑ በጣም በፍጥነት ያብጣል. በዚህ ምክንያት የመደርደሪያው ሕይወት 30 ቀናት ብቻ ነው. በተጨማሪም, ሁሉም ነገር በዚህ መጽሔት ላይ አልተጻፈም. ለምሳሌ፣ ለሁሉም ተጠቃሚዎች በይፋ ተደራሽ ከሆኑ ወይም ወደ ጂሲፒ ሳይገቡ ተደራሽ ከሆኑ ሀብቶች ጋር የተያያዙ ክስተቶች አልተፃፉም።
• የስርዓት ክስተት - ከተጠቃሚዎች ጋር ያልተዛመዱ የስርዓት ክስተቶችን ወይም የደመና ሀብቶችን ውቅር የሚቀይር የአስተዳዳሪ እርምጃዎችን ይዟል። ሁልጊዜ ለ 400 ቀናት ተጽፎ ይቀመጣል.
• የመዳረሻ ግልፅነት የአንተን መሠረተ ልማት የሚያገኙትን ሁሉንም የጉግል ተቀጣሪዎች (ግን ለሁሉም የጂሲፒ አገልግሎቶች ያልሆኑ) ድርጊቶችን የሚይዝ የምዝግብ ማስታወሻ ልዩ ምሳሌ ነው። ይህ መዝገብ ለ400 ቀናት የተከማቸ ሲሆን ለእያንዳንዱ የጂሲፒ ደንበኛ አይገኝም፣ነገር ግን በርካታ ሁኔታዎች ከተሟሉ ብቻ ነው (ወይ የወርቅ ወይም የፕላቲኒየም ደረጃ ድጋፍ፣ ወይም የአንድ የተወሰነ አይነት 4 ሚናዎች እንደ የድርጅት ድጋፍ አካል መኖር)። ተመሳሳይ ተግባርም አለ, ለምሳሌ, በ Office 365 - Lockbox.

የምዝግብ ማስታወሻ ምሳሌ፡ የመዳረሻ ግልጽነት

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

የእነዚህን ምዝግብ ማስታወሻዎች መድረስ በብዙ መንገዶች ይቻላል (ከዚህ ቀደም እንደተብራራው Azure እና AWS) - በ Log Viewer በይነገጽ በኩል ፣ በኤፒአይ ፣ በ Google ክላውድ ኤስዲኬ ወይም በፕሮጄክትዎ የእንቅስቃሴ ገጽ በኩል ክስተቶች ላይ ፍላጎት አላቸው. በተመሳሳይ ሁኔታ ለተጨማሪ ትንተና ወደ ውጫዊ መፍትሄዎች ሊላኩ ይችላሉ. የኋለኛው የሚከናወነው ምዝግብ ማስታወሻዎችን ወደ BigQuery ወይም Cloud Pub/Sub ማከማቻ በመላክ ነው።

ከStackdriver Logging በተጨማሪ የጂሲፒ መድረክ የStackdriver Monitoring ተግባርን ያቀርባል ይህም የደመና አገልግሎቶችን እና አፕሊኬሽኖችን ቁልፍ መለኪያዎች (አፈጻጸም፣ ኤምቲቢኤፍ፣ አጠቃላይ ጤና፣ ወዘተ) እንዲከታተሉ ያስችልዎታል። የተቀነባበረ እና የታየ ውሂብ በደህንነት አውድ ውስጥ ጨምሮ በእርስዎ የደመና መሠረተ ልማት ላይ ችግሮችን ለማግኘት ቀላል ያደርገዋል። ግን ዛሬ GCP ተመሳሳይ AWS GuardDuty አናሎግ ስለሌለው እና በሁሉም የተመዘገቡ ክስተቶች መካከል መጥፎ የሆኑትን መለየት ስለማይችል ይህ ተግባር በመረጃ ደህንነት አውድ ውስጥ በጣም ሀብታም እንደማይሆን ልብ ሊባል ይገባል። ግን አሁንም በቅድመ-ይሁንታ በመገንባት ላይ ነው እና ስለ ጠቃሚነቱ ለመናገር በጣም ገና ነው)። የስታክድራይቨር ክትትል ያልተለመዱ ነገሮችን ለመለየት እንደ ሥርዓት ሊያገለግል ይችላል፣ ይህ ደግሞ የተከሰቱበትን ምክንያት ለማወቅ ይመረመራል። ነገር ግን በገበያው ውስጥ በጂሲፒ የመረጃ ደህንነት መስክ ብቁ የሆኑ ባለሙያዎች እጥረት ሲኖር ይህ ተግባር በአሁኑ ጊዜ አስቸጋሪ ይመስላል።

እንዲሁም በእርስዎ GCP ደመና ውስጥ ጥቅም ላይ ሊውሉ የሚችሉ እና AWS ከሚያቀርበው ጋር ተመሳሳይ የሆኑ አንዳንድ የመረጃ ደህንነት ሞጁሎችን ዝርዝር መስጠት ተገቢ ነው።

• የክላውድ ሴኪዩሪቲ ማዘዣ ማእከል የAWS Security Hub እና Azure ሴኩሪቲ ሴንተር አናሎግ ነው።
• Cloud DLP - ከ90 በላይ አስቀድሞ የተገለጹ የምደባ ፖሊሲዎችን በመጠቀም በደመና ውስጥ የተስተናገደውን ውሂብ በራስ ሰር ማግኘት እና ማረም (ለምሳሌ ጭምብል ማድረግ)።
• ክላውድ ስካነር በApp Engine፣ Compute Engine እና Google Kubernetes ውስጥ ለሚታወቁ ተጋላጭነቶች (ኤክስኤስኤስ፣ ፍላሽ ኢንጀክሽን፣ ያልተጣበቁ ቤተ-መጻሕፍት ወዘተ) ስካነር ነው።
• Cloud IAM - የሁሉም የጂሲፒ ሀብቶች መዳረሻን ይቆጣጠሩ።
• Cloud Identity - የጂሲፒ ተጠቃሚ፣ መሳሪያ እና መተግበሪያ መለያዎችን ከአንድ ኮንሶል ያቀናብሩ።
• Cloud HSM - የምስጠራ ቁልፎች ጥበቃ.
• የክላውድ ቁልፍ አስተዳደር አገልግሎት - በጂሲፒ ውስጥ የምስጠራ ቁልፎች አስተዳደር።
• የቪፒሲ አገልግሎት ቁጥጥር - በጂሲፒ ሃብቶችዎ ዙሪያ ደህንነቱ የተጠበቀ ፔሪሜትር ይፍጠሩ እና እንዳይፈስ ለመከላከል።
• የቲታን ደህንነት ቁልፍ - ከማስገር መከላከል።

አብዛኛዎቹ እነዚህ ሞጁሎች ወደ BigQuery ማከማቻ ለመተንተን ወይም SIEMን ጨምሮ ወደ ሌሎች ስርዓቶች መላክ የሚችሉ የደህንነት ክስተቶችን ያመነጫሉ። ከላይ እንደተገለፀው ጂሲፒ በንቃት በማደግ ላይ ያለ መድረክ ነው እና Google አሁን ለመድረክ በርካታ አዳዲስ የመረጃ ደህንነት ሞጁሎችን በማዘጋጀት ላይ ነው። ከነሱ መካከል የክስተት ማስፈራሪያ ማወቂያ (አሁን በቅድመ-ይሁንታ ይገኛል)፣ ያልተፈቀደ እንቅስቃሴን ፍለጋ (ከ GuardDuty in AWS ጋር ተመሳሳይ ነው) ወይም የፖሊሲ ኢንተለጀንስ (በአልፋ ውስጥ ይገኛል) ይህም የStackdriver ምዝግብ ማስታወሻዎችን ይቃኛል የ GCP ሀብቶች መዳረሻ.

በታዋቂ የደመና መድረኮች ውስጥ አብሮገነብ የክትትል ችሎታዎችን አጭር መግለጫ አድርጌያለሁ። ግን ከ "ጥሬ" IaaS አቅራቢዎች ምዝግብ ማስታወሻዎች ጋር መስራት የሚችሉ ልዩ ባለሙያዎች አሎት (ሁሉም ሰው የ AWS ወይም Azure ወይም Google የላቀ ችሎታዎችን ለመግዛት ዝግጁ አይደለም)? በተጨማሪም ፣ ብዙዎች በፀጥታ መስክ ከመቼውም ጊዜ በበለጠ እውነት የሆነውን “ታመኑ ፣ ግን ያረጋግጡ” የሚለውን አባባል ያውቃሉ። የመረጃ ደህንነት ሁነቶችን የሚልክልዎ የደመና አቅራቢውን አብሮገነብ ችሎታዎች ምን ያህል ያምናሉ? በመረጃ ደህንነት ላይ ምን ያህል ትኩረት ይሰጣሉ?

አንዳንድ ጊዜ አብሮ የተሰራ የደመና ደህንነትን የሚያሟሉ ተደራቢ የደመና መሠረተ ልማት መከታተያ መፍትሄዎችን መመልከት ተገቢ ነው፣ እና አንዳንድ ጊዜ እንደዚህ ያሉ መፍትሄዎች በእርስዎ ውሂብ እና በደመና ውስጥ ስለሚስተናገዱ መተግበሪያዎች ደህንነት ግንዛቤን ለማግኘት ብቸኛው አማራጭ ናቸው። በተጨማሪም ፣ ከተለያዩ የደመና አቅራቢዎች በተለያዩ የደመና አገልግሎቶች የተፈጠሩትን አስፈላጊ ምዝግብ ማስታወሻዎች የመተንተን ሁሉንም ተግባራት ስለሚያከናውኑ በቀላሉ የበለጠ ምቹ ናቸው። የዚህ ዓይነቱ ተደራቢ መፍትሔ ምሳሌ Cisco Stealthwatch Cloud በአንድ ተግባር ላይ ያተኮረ ነው - የመረጃ ደህንነት ጉድለቶችን በደመና አከባቢዎች መከታተል ፣ Amazon AWS ፣ Microsoft Azure እና Google Cloud Platformን ብቻ ሳይሆን የግል ደመናንም ጨምሮ ።

ምሳሌ፡ በStealthwatch Cloud በመጠቀም የመረጃ ደህንነት ክትትል

AWS ተለዋዋጭ የማስላት መድረክ ያቀርባል፣ ነገር ግን ይህ ተለዋዋጭነት ኩባንያዎች ወደ የደህንነት ጉዳዮች የሚመሩ ስህተቶችን እንዲሰሩ ቀላል ያደርገዋል። እና የጋራ የመረጃ ደህንነት ሞዴል ለዚህ ብቻ አስተዋጽኦ ያደርጋል. በደመና ውስጥ ሶፍትዌሮችን ማስኬድ ከማይታወቁ ተጋላጭነቶች (የሚታወቁትን መዋጋት ይቻላል ለምሳሌ በAWS Inspector ወይም GCP Cloud Scanner)፣ ደካማ የይለፍ ቃሎች፣ የተሳሳቱ ውቅሮች፣ የውስጥ አዋቂ፣ ወዘተ. እና ይህ ሁሉ በCisco Stealthwatch ክላውድ ቁጥጥር ሊደረግበት በሚችል የደመና ሀብቶች ባህሪ ውስጥ ተንፀባርቋል ፣ ይህም የመረጃ ደህንነት ቁጥጥር እና የጥቃት ማወቂያ ስርዓት ነው። የህዝብ እና የግል ደመናዎች.

የ Cisco Stealthwatch Cloud ቁልፍ ባህሪያት አንዱ አካላትን ሞዴል የማድረግ ችሎታ ነው። በእሱ አማካኝነት የእያንዳንዱን የደመና ሃብቶችዎን የሶፍትዌር ሞዴል (ማለትም በቅርብ ጊዜ የሚገኝ ማስመሰል) መፍጠር ይችላሉ (AWS፣ Azure፣ GCP ወይም ሌላ ነገር ምንም አይደለም)። እነዚህ አገልጋዮችን እና ተጠቃሚዎችን እንዲሁም ለደመና አካባቢዎ ልዩ የሆኑ እንደ የደህንነት ቡድኖች እና ራስ-መጠን ቡድኖች ያሉ የመርጃ አይነቶችን ሊያካትቱ ይችላሉ። እነዚህ ሞዴሎች በደመና አገልግሎቶች የሚሰጡ የተዋቀሩ የውሂብ ዥረቶችን እንደ ግብአት ይጠቀማሉ። ለምሳሌ፣ ለAWS እነዚህ VPC Flow Logs፣ AWS CloudTrail፣ AWS CloudWatch፣ AWS Config፣ AWS Inspector፣ AWS Lambda እና AWS IAM ናቸው። የህጋዊ አካል ሞዴሊንግ የማንኛውንም ሀብቶችዎን ሚና እና ባህሪ በራስ-ሰር ያገኛል (ሁሉንም የደመና እንቅስቃሴ ስለመግለጽ ማውራት ይችላሉ)። እነዚህ ሚናዎች አንድሮይድ ወይም አፕል ሞባይል መሳሪያ፣ ሲትሪክስ ፒቪኤስ አገልጋይ፣ RDP አገልጋይ፣ የመልዕክት መግቢያ በር፣ የቪኦአይፒ ደንበኛ፣ ተርሚናል አገልጋይ፣ የጎራ መቆጣጠሪያ፣ ወዘተ ያካትታሉ። ከዚያም አደገኛ ወይም ደህንነትን አስጊ ባህሪ ሲከሰት ለማወቅ ባህሪያቸውን በተከታታይ ይከታተላል። የይለፍ ቃል መገመትን፣ የDDoS ጥቃቶችን፣ የውሂብ ፍንጮችን፣ ህገወጥ የርቀት መዳረሻን፣ ተንኮል-አዘል ኮድ እንቅስቃሴን፣ የተጋላጭነት ቅኝትን እና ሌሎች ስጋቶችን መለየት ይችላሉ። ለምሳሌ፣ ከድርጅትዎ (ደቡብ ኮሪያ) ወደ ኩበርኔትስ ክላስተር በኤስኤስኤች በኩል የርቀት መዳረሻ ሙከራን የማግኘት ሙከራ ይህን ይመስላል፡-

እናም ከፖስትግሬስ ዳታቤዝ ወደ ቀድሞ መስተጋብር ወደማላጋጠመን ሀገር ፈሰሰ የተባለው መረጃ ይህንን ይመስላል።

በመጨረሻም፣ ከቻይና እና ከኢንዶኔዢያ ከውጪ የርቀት መሳሪያ ብዙ ያልተሳኩ የኤስኤስኤች ሙከራዎች ይህን ይመስላል።

ወይም፣ በቪፒሲ ውስጥ ያለው የአገልጋይ ምሳሌ፣በመመሪያው፣በፍፁም የርቀት መግቢያ መዳረሻ ሊሆን አይችልም እንበል። በፋየርዎል ደንቦች ፖሊሲ ላይ በተፈጠረው የተሳሳተ ለውጥ ይህ ኮምፒዩተር የርቀት ሎጎን እንዳጋጠመው እናስብ። የህጋዊ አካል ሞዴሊንግ ባህሪው ይህን እንቅስቃሴ ("ያልተለመደ የርቀት መዳረሻ")ን በቅጽበት ፈልጎ ሪፖርት ያደርጋል እና ወደ ልዩ የAWS CloudTrail፣ Azure Monitor ወይም GCP Stackdriver Logging API ጥሪ (የተጠቃሚ ስም፣ ቀን እና ሰዓት ጨምሮ ከሌሎች ዝርዝሮች ጋር ያመላክታል። ወደ ITU ደንብ ለውጡን ያነሳሳው. እና ከዚያ ይህ መረጃ ለመተንተን ወደ SIEM ሊላክ ይችላል.

በሲስኮ Stealthwatch Cloud ለሚደገፈው ለማንኛውም የደመና አካባቢ ተመሳሳይ ችሎታዎች ይተገበራሉ፡

የህጋዊ አካል ሞዴሊንግ ከዚህ ቀደም በሰዎችዎ፣ በሂደቶችዎ ወይም በቴክኖሎጅዎ ላይ ያልታወቀ ችግርን ሊያጋልጥ የሚችል ልዩ የደህንነት አውቶሜሽን አይነት ነው። ለምሳሌ፣ ከሌሎች ነገሮች መካከል እንደሚከተሉት ያሉ የደህንነት ችግሮችን እንድታገኝ ይፈቅድልሃል፡-

• በምንጠቀመው ሶፍትዌር ውስጥ አንድ ሰው የጀርባ በር አግኝቷል?
• በእኛ ደመና ውስጥ የሶስተኛ ወገን ሶፍትዌር ወይም መሳሪያ አለ?
• የተፈቀደው ተጠቃሚ መብቶችን አላግባብ እየተጠቀመ ነው?
• የርቀት መዳረሻን ወይም ሌላ ያልተፈለገ የሃብት አጠቃቀምን የሚፈቅድ የማዋቀር ስህተት ነበር?
• ከአገልጋዮቻችን የወጣ መረጃ አለ?
• አንድ ሰው ከማይታወቅ ጂኦግራፊያዊ አካባቢ እኛን ሊያገናኘን እየሞከረ ነበር?
• የእኛ ደመና በተንኮል አዘል ኮድ ተለክፏል?

የተገኘ የመረጃ ደህንነት ክስተት በተዛማጅ ቲኬት መልክ ለ Slack፣ Cisco Spark፣ የፔጄርዱቲ ክስተት አስተዳደር ስርዓት እና እንዲሁም Splunk ወይም ELKን ጨምሮ ለተለያዩ SIEMዎች መላክ ይቻላል። ለማጠቃለል ያህል፣ ኩባንያዎ ባለብዙ ደመና ስትራቴጂን የሚጠቀም ከሆነ እና በአንድ የደመና አቅራቢ ብቻ የተገደበ ካልሆነ፣ ከላይ የተገለጹት የመረጃ ደህንነት ቁጥጥር አቅሞች፣ Cisco Stealthwatch Cloudን መጠቀም የተዋሃደ የክትትል ስብስብ ለማግኘት ጥሩ አማራጭ ነው ማለት እንችላለን። ለዋና የደመና ተጫዋቾች ችሎታዎች - Amazon , Microsoft እና Google. በጣም የሚያስደንቀው ነገር የStealthwatch Cloud ዋጋዎችን በAWS፣ Azure ወይም GCP ውስጥ ለመረጃ ደህንነት ክትትል ከላቁ ፍቃዶች ጋር ካነጻጸሩ የሲስኮ መፍትሄ ከአማዞን ፣ ማይክሮሶፍት አብሮ ከተሰራው አቅም የበለጠ ርካሽ ሊሆን ይችላል ። እና Google መፍትሄዎች. አያዎ (ፓራዶክሲካል) ነው, ግን እውነት ነው. እና ብዙ ደመናዎች እና ችሎታዎቻቸው በተጠቀሙበት መጠን የተጠናከረ መፍትሄ ጥቅሙ ይበልጥ ግልጽ ይሆናል።

በተጨማሪም Stealthwatch Cloud በድርጅትዎ ውስጥ የተሰማሩ የግል ደመናዎችን መከታተል ይችላል ለምሳሌ በ Kubernetes ኮንቴይነሮች ላይ በመመስረት ወይም የኔትዎር ፍሰት ፍሰትን ወይም የኔትወርክ ትራፊክን በመከታተል በኔትወርክ መሳሪያዎች (በአገር ውስጥም የተሰራ) በማንፀባረቅ የሚቀበሉትን የ AD ዳታ ወይም የዲኤንኤስ አገልጋይ እና የመሳሰሉትን መከታተል ይችላል። ይህ ሁሉ መረጃ በአለም ትልቁ መንግስታዊ ያልሆነ የሳይበር ደህንነት ስጋት ተመራማሪዎች በሲስኮ ታሎስ በተሰበሰበ የዛቻ ኢንተለጀንስ መረጃ የበለፀገ ይሆናል።

ይህ ኩባንያዎ ሊጠቀምበት ለሚችለው ለሁለቱም ይፋዊ እና ድብልቅ ደመናዎች የተዋሃደ የክትትል ስርዓትን እንዲተገብሩ ያስችልዎታል። የተሰበሰበው መረጃ በStealthwatch Cloud አብሮ የተሰራውን አቅም በመጠቀም ሊተነተን ወይም ወደ የእርስዎ SIEM (Splunk፣ ELK፣ SumoLogic እና ሌሎች በርካታ በነባሪ ይደገፋሉ)።

በዚህ የጽሁፉን የመጀመሪያ ክፍል እናጠናቅቃለን የ IaaS/PaaS መድረኮች የመረጃ ደህንነትን ለመከታተል አብሮ የተሰሩ እና ውጫዊ መሳሪያዎችን የገመገምኩ ሲሆን ይህም በደመና አካባቢዎች ውስጥ ለሚከሰቱ ክስተቶች በፍጥነት እንድናውቅ እና ምላሽ እንድንሰጥ ያስችለናል ። የእኛ ድርጅት መርጧል. በሁለተኛው ክፍል ርዕሱን እንቀጥላለን እና የSalesforce እና Dropbox ምሳሌን በመጠቀም የSaaS መድረኮችን የመከታተል አማራጮችን እንመለከታለን እንዲሁም ለተለያዩ የደመና አቅራቢዎች የተዋሃደ የመረጃ ደህንነት ቁጥጥር ስርዓት በመፍጠር ሁሉንም ነገር ለማጠቃለል እና ለማጣመር እንሞክራለን ።

ምንጭ: hab.com