يقوم المزيد والمزيد من المستخدمين بإحضار البنية التحتية لتكنولوجيا المعلومات الخاصة بهم بالكامل إلى السحابة العامة. ومع ذلك، إذا كانت مكافحة الفيروسات غير كافية في البنية التحتية للعميل، تنشأ مخاطر إلكترونية خطيرة. تظهر الممارسة أن ما يصل إلى 80٪ من الفيروسات الموجودة تعيش بشكل مثالي في بيئة افتراضية. سنتحدث في هذا المنشور عن كيفية حماية موارد تكنولوجيا المعلومات في السحابة العامة ولماذا لا تكون برامج مكافحة الفيروسات التقليدية مناسبة تمامًا لهذه الأغراض.
في البداية، سنخبرك كيف توصلنا إلى فكرة أن أدوات الحماية المعتادة من الفيروسات ليست مناسبة للسحابة العامة وأن هناك حاجة إلى أساليب أخرى لحماية الموارد.
أولاً، يوفر مقدمو الخدمات عمومًا التدابير اللازمة لضمان حماية منصاتهم السحابية على مستوى عالٍ. على سبيل المثال، في #CloudMTS، نقوم بتحليل كل حركة مرور الشبكة، ومراقبة سجلات أنظمة الأمان السحابية لدينا، وإجراء اختبارات الاختراق بانتظام. يجب أيضًا حماية قطاعات السحابة المخصصة للعملاء الفرديين بشكل آمن.
ثانيًا، يتضمن الخيار الكلاسيكي لمكافحة المخاطر السيبرانية تثبيت أدوات مكافحة الفيروسات وإدارة مكافحة الفيروسات على كل جهاز افتراضي. ومع ذلك، مع وجود عدد كبير من الأجهزة الافتراضية، يمكن أن تكون هذه الممارسة غير فعالة وتتطلب كميات كبيرة من موارد الحوسبة، وبالتالي تحميل البنية التحتية للعميل بشكل أكبر وتقليل الأداء العام للسحابة. لقد أصبح هذا شرطًا أساسيًا للبحث عن أساليب جديدة لبناء حماية فعالة ضد الفيروسات للأجهزة الافتراضية للعملاء.
بالإضافة إلى ذلك، فإن معظم حلول مكافحة الفيروسات المتوفرة في السوق غير مهيأة لحل مشكلات حماية موارد تكنولوجيا المعلومات في بيئة سحابية عامة. كقاعدة عامة، فهي حلول EPP ثقيلة الوزن (منصات حماية نقطة النهاية)، والتي، علاوة على ذلك، لا توفر التخصيص اللازم من جانب العميل لموفر السحابة.
يصبح من الواضح أن حلول مكافحة الفيروسات التقليدية ليست مناسبة للعمل في السحابة، لأنها تقوم بتحميل البنية التحتية الافتراضية بشكل خطير أثناء التحديثات والمسح، كما أنها لا تحتوي على المستويات اللازمة من الإدارة والإعدادات القائمة على الأدوار. بعد ذلك، سنحلل بالتفصيل سبب احتياج السحابة إلى أساليب جديدة للحماية من الفيروسات.
ما الذي يجب أن يكون برنامج مكافحة الفيروسات في السحابة العامة قادرًا على فعله؟
لذا، دعونا ننتبه إلى تفاصيل العمل في بيئة افتراضية:
كفاءة التحديثات وعمليات الفحص الشامل المجدولة. إذا قام عدد كبير من الأجهزة الافتراضية التي تستخدم برنامج مكافحة فيروسات تقليديًا ببدء التحديث في نفس الوقت، فسيحدث ما يسمى بـ "عاصفة" التحديثات في السحابة. قد لا تكون قوة مضيف ESXi الذي يستضيف العديد من الأجهزة الافتراضية كافية للتعامل مع مجموعة كبيرة من المهام المماثلة التي يتم تشغيلها افتراضيًا. من وجهة نظر موفر السحابة، يمكن أن تؤدي مثل هذه المشكلة إلى تحميل إضافي على عدد من مضيفي ESXi، الأمر الذي سيؤدي في النهاية إلى انخفاض أداء البنية التحتية الافتراضية السحابية. قد يؤثر هذا، من بين أمور أخرى، على أداء الأجهزة الافتراضية لعملاء السحابة الآخرين. قد ينشأ موقف مماثل عند بدء فحص جماعي: المعالجة المتزامنة بواسطة نظام القرص للعديد من الطلبات المماثلة من مستخدمين مختلفين ستؤثر سلبًا على أداء السحابة بأكملها. مع وجود درجة عالية من الاحتمال، سيؤثر انخفاض أداء نظام التخزين على جميع العملاء. مثل هذه الأحمال المفاجئة لا ترضي المزود ولا عملائه، لأنها تؤثر على "الجيران" في السحابة. من وجهة النظر هذه، يمكن أن تشكل برامج مكافحة الفيروسات التقليدية مشكلة كبيرة.
الحجر الصحي الآمن. إذا تم اكتشاف ملف أو مستند يحتمل أن يكون مصابًا بفيروس على النظام، فسيتم إرساله إلى الحجر الصحي. وبطبيعة الحال، يمكن حذف الملف المصاب على الفور، ولكن هذا غالبا ما يكون غير مقبول بالنسبة لمعظم الشركات. عادةً ما تحتوي برامج مكافحة الفيروسات الخاصة بمؤسسات الشركات، والتي لم يتم تكييفها للعمل في سحابة الموفر، على منطقة عزل مشتركة - حيث تقع جميع الكائنات المصابة فيها. على سبيل المثال، تلك الموجودة على أجهزة الكمبيوتر الخاصة بمستخدمي الشركة. عملاء مزود السحابة "يعيشون" في قطاعاتهم الخاصة (أو المستأجرين). هذه الأجزاء مبهمة ومعزولة: لا يعرف العملاء شيئًا عن بعضهم البعض، وبالطبع لا يرون ما يستضيفه الآخرون في السحابة. من الواضح أن الحجر الصحي العام، والذي سيتم الوصول إليه من قبل جميع مستخدمي برامج مكافحة الفيروسات في السحابة، يمكن أن يتضمن مستندًا يحتوي على معلومات سرية أو سرًا تجاريًا. وهذا أمر غير مقبول بالنسبة للمزود وعملائه. لذلك، لا يمكن أن يكون هناك سوى حل واحد - الحجر الصحي الشخصي لكل عميل في فئته، حيث لا يستطيع المزود ولا العملاء الآخرون الوصول إليه.
السياسات الأمنية الفردية. كل عميل في السحابة هو شركة منفصلة، حيث يقوم قسم تكنولوجيا المعلومات الخاص بها بوضع سياسات الأمان الخاصة به. على سبيل المثال، يقوم المسؤولون بتحديد قواعد الفحص وجدولة عمليات الفحص لمكافحة الفيروسات. وبناءً على ذلك، يجب أن يكون لكل مؤسسة مركز تحكم خاص بها لتكوين سياسات مكافحة الفيروسات. وفي الوقت نفسه، يجب ألا تؤثر الإعدادات المحددة على عملاء السحابة الآخرين، ويجب أن يكون الموفر قادرًا على التحقق من أنه، على سبيل المثال، يتم تنفيذ تحديثات مكافحة الفيروسات كالمعتاد لجميع الأجهزة الافتراضية للعملاء.
تنظيم الفواتير والترخيص. يتميز النموذج السحابي بالمرونة ويتضمن الدفع فقط مقابل مقدار موارد تكنولوجيا المعلومات التي استخدمها العميل. إذا كانت هناك حاجة، على سبيل المثال، بسبب الموسمية، فيمكن زيادة أو تقليل كمية الموارد بسرعة - كل ذلك بناءً على الاحتياجات الحالية لقوة الحوسبة. برامج مكافحة الفيروسات التقليدية ليست مرنة للغاية - كقاعدة عامة، يشتري العميل ترخيصًا لمدة عام لعدد محدد مسبقًا من الخوادم أو محطات العمل. يقوم مستخدمو السحابة بفصل الأجهزة الافتراضية الإضافية وتوصيلها بانتظام وفقًا لاحتياجاتهم الحالية - وبالتالي، يجب أن تدعم تراخيص مكافحة الفيروسات نفس النموذج.
السؤال الثاني هو ما الذي سيغطيه الترخيص بالضبط. يتم ترخيص برامج مكافحة الفيروسات التقليدية حسب عدد الخوادم أو محطات العمل. التراخيص المستندة إلى عدد الأجهزة الافتراضية المحمية ليست مناسبة تمامًا ضمن النموذج السحابي. يمكن للعميل إنشاء أي عدد من الأجهزة الافتراضية التي تناسبه من الموارد المتاحة، على سبيل المثال، خمسة أو عشرة أجهزة. هذا الرقم ليس ثابتًا بالنسبة لمعظم العملاء، ولا يمكننا، كمزود، تتبع تغييراته. لا توجد إمكانية فنية للترخيص بواسطة وحدة المعالجة المركزية: يتلقى العملاء معالجات افتراضية (vCPUs)، والتي يجب استخدامها للترخيص. وبالتالي، يجب أن يتضمن نموذج الحماية من الفيروسات الجديد قدرة العميل على تحديد العدد المطلوب من وحدات المعالجة المركزية الافتراضية (vCPUs) التي سيحصل من أجلها على تراخيص مكافحة الفيروسات.
الامتثال للتشريعات. نقطة مهمة، حيث أن الحلول المستخدمة يجب أن تضمن الامتثال لمتطلبات الجهة التنظيمية. على سبيل المثال، غالبًا ما يعمل "المقيمون" في السحابة مع البيانات الشخصية. في هذه الحالة، يجب أن يكون لدى المزود شريحة سحابية معتمدة منفصلة تتوافق تمامًا مع متطلبات قانون البيانات الشخصية. ثم لا تحتاج الشركات إلى "بناء" النظام بأكمله للعمل مع البيانات الشخصية بشكل مستقل: شراء معدات معتمدة، وتوصيلها وتكوينها، والحصول على الشهادة. بالنسبة للحماية السيبرانية لـ ISPD لهؤلاء العملاء، يجب أن يتوافق برنامج مكافحة الفيروسات أيضًا مع متطلبات التشريع الروسي وأن يكون لديه شهادة FSTEC.
لقد نظرنا إلى المعايير الإلزامية التي يجب أن تستوفيها الحماية من الفيروسات في السحابة العامة. بعد ذلك، سنشارك تجربتنا الخاصة في تكييف حل مكافحة الفيروسات للعمل في سحابة الموفر.
كيف يمكنك تكوين صداقات بين برامج مكافحة الفيروسات والسحابة؟
كما أظهرت تجربتنا، فإن اختيار الحل بناءً على الوصف والوثائق هو شيء واحد، ولكن تنفيذه عمليًا في بيئة سحابية عاملة بالفعل هو مهمة مختلفة تمامًا من حيث التعقيد. سنخبرك بما فعلناه عمليًا وكيف قمنا بتكييف برنامج مكافحة الفيروسات للعمل في السحابة العامة للموفر. كان بائع حلول مكافحة الفيروسات هو Kaspersky، الذي تشتمل محفظته على حلول الحماية من الفيروسات للبيئات السحابية. لقد استقرنا على "Kaspersky Security for Virtualization" (Light Agent).
يتضمن وحدة تحكم Kaspersky Security Center واحدة. الأجهزة الافتراضية للوكيل الخفيف والأمان (SVM، Security Virtual Machine) وخادم تكامل KSC.
بعد أن درسنا بنية حل Kaspersky وأجرينا الاختبارات الأولى مع مهندسي البائع، ظهر السؤال حول دمج الخدمة في السحابة. تم تنفيذ التنفيذ الأول بشكل مشترك في الموقع السحابي في موسكو. وهذا ما أدركناه.
من أجل تقليل حركة مرور الشبكة، تقرر وضع SVM على كل مضيف ESXi و"ربط" SVM بمضيفي ESXi. في هذه الحالة، يصل الوكلاء الخفيفون للأجهزة الافتراضية المحمية إلى SVM الخاص بمضيف ESXi المحدد الذي يتم تشغيلهم عليه. تم اختيار مستأجر إداري منفصل لشركة KSC الرئيسية. ونتيجة لذلك، تقع الشركات المساهمة المشتركة التابعة في المستأجرين لكل عميل على حدة وتخاطب الشركة المساهمة المشتركة الرئيسية الموجودة في قطاع الإدارة. يتيح لك هذا المخطط حل المشكلات التي تنشأ لدى المستأجرين العملاء بسرعة.
بالإضافة إلى المشكلات المتعلقة برفع مكونات حل مكافحة الفيروسات نفسه، واجهنا مهمة تنظيم تفاعل الشبكة من خلال إنشاء شبكات VxLAN إضافية. وعلى الرغم من أن الحل كان مخصصًا في الأصل لعملاء المؤسسات الذين لديهم سحابات خاصة، إلا أنه بمساعدة الخبرة الهندسية والمرونة التكنولوجية لـ NSX Edge، تمكنا من حل جميع المشكلات المرتبطة بفصل المستأجرين والترخيص.
لقد عملنا بشكل وثيق مع مهندسي Kaspersky. وبالتالي، في عملية تحليل بنية الحل من حيث تفاعل الشبكة بين مكونات النظام، وجد أنه بالإضافة إلى الوصول من الوكلاء الخفيفين إلى SVM، فإن التعليقات ضرورية أيضًا - من SVM إلى الوكلاء الخفيفين. اتصال الشبكة هذا غير ممكن في بيئة متعددة المستأجرين بسبب إمكانية وجود إعدادات شبكة متطابقة للأجهزة الافتراضية في مستأجرين سحابيين مختلفين. لذلك، بناءً على طلبنا، قام الزملاء من البائع بإعادة صياغة آلية تفاعل الشبكة بين الوكيل الخفيف وSVM من حيث إلغاء الحاجة إلى اتصال الشبكة من SVM إلى الوكلاء الخفيفين.
بعد نشر الحل واختباره على موقع السحابة في موسكو، قمنا بتكراره على مواقع أخرى، بما في ذلك قطاع السحابة المعتمد. الخدمة متاحة الآن في جميع مناطق الدولة.
هندسة حل أمن المعلومات في إطار نهج جديد
المخطط العام لتشغيل حل مكافحة الفيروسات في بيئة سحابية عامة هو كما يلي:
مخطط تشغيل حل مكافحة الفيروسات في بيئة سحابية عامة #CloudMTS
دعونا نصف ميزات تشغيل العناصر الفردية للحل في السحابة:
• وحدة تحكم واحدة تسمح للعملاء بإدارة نظام الحماية مركزيًا: إجراء عمليات الفحص والتحكم في التحديثات ومراقبة مناطق العزل. من الممكن تكوين سياسات الأمان الفردية داخل القطاع الخاص بك.
تجدر الإشارة إلى أنه على الرغم من كوننا مزود خدمة، إلا أننا لا نتدخل في الإعدادات التي يحددها العملاء. الشيء الوحيد الذي يمكننا فعله هو إعادة تعيين سياسات الأمان إلى السياسات القياسية إذا كانت إعادة التكوين ضرورية. على سبيل المثال، قد يكون ذلك ضروريًا إذا قام العميل بتشديدها عن طريق الخطأ أو إضعافها بشكل كبير. يمكن للشركة دائمًا الحصول على مركز تحكم يحتوي على سياسات افتراضية، والتي يمكنها بعد ذلك تكوينه بشكل مستقل. عيب Kaspersky Security Center هو أن النظام الأساسي متاح حاليًا لنظام التشغيل Microsoft فقط. على الرغم من أن الوكلاء خفيفي الوزن يمكنهم العمل مع كل من أجهزة Windows وLinux. ومع ذلك، تعد شركة Kaspersky Lab بأن شركة KSC ستعمل في المستقبل القريب ضمن نظام التشغيل Linux. إحدى الوظائف المهمة لـ KSC هي القدرة على إدارة الحجر الصحي. كل شركة عميلة في السحابة الخاصة بنا لديها شركة شخصية. يزيل هذا الأسلوب المواقف التي يصبح فيها المستند المصاب بفيروس عن طريق الخطأ مرئيًا للعامة، كما يمكن أن يحدث في حالة برنامج مكافحة الفيروسات الكلاسيكي الخاص بالشركة مع العزل العام.
• عوامل خفيفة. كجزء من النموذج الجديد، يتم تثبيت وكيل Kaspersky Security خفيف الوزن على كل جهاز افتراضي. وهذا يلغي الحاجة إلى تخزين قاعدة بيانات مكافحة الفيروسات على كل جهاز افتراضي، مما يقلل من مقدار مساحة القرص المطلوبة. الخدمة متكاملة مع البنية التحتية السحابية وتعمل من خلال SVM، مما يزيد من كثافة الأجهزة الافتراضية على مضيف ESXi وأداء النظام السحابي بأكمله. ينشئ الوكيل الخفيف قائمة انتظار من المهام لكل جهاز افتراضي: التحقق من نظام الملفات والذاكرة وما إلى ذلك. لكن SVM هو المسؤول عن تنفيذ هذه العمليات، والتي سنتحدث عنها لاحقًا. يعمل الوكيل أيضًا كجدار حماية، ويتحكم في سياسات الأمان، ويرسل الملفات المصابة إلى الحجر الصحي ويراقب "الصحة" العامة لنظام التشغيل المثبت عليه. يمكن إدارة كل هذا باستخدام وحدة التحكم الفردية المذكورة بالفعل.
• الآلة الافتراضية الأمنية. تتم معالجة جميع المهام كثيفة الاستخدام للموارد (تحديثات قاعدة بيانات مكافحة الفيروسات وعمليات الفحص المجدولة) بواسطة جهاز ظاهري أمني منفصل (SVM). وهي مسؤولة عن تشغيل محرك متكامل لمكافحة الفيروسات وقواعد البيانات الخاصة به. قد تتضمن البنية التحتية لتكنولوجيا المعلومات الخاصة بالشركة العديد من أجهزة SVM. يزيد هذا الأسلوب من موثوقية النظام - إذا تعطل أحد الأجهزة ولم يستجب لمدة ثلاثين ثانية، يبدأ الوكلاء تلقائيًا في البحث عن جهاز آخر.
• خادم التكامل KSC. أحد مكونات KSC الرئيسية، التي تقوم بتعيين SVMs الخاصة بها إلى عوامل خفيفة وفقًا للخوارزمية المحددة في إعداداتها، وتتحكم أيضًا في توفر SVMs. وبالتالي، توفر وحدة البرنامج هذه موازنة التحميل عبر جميع أجهزة SVM الخاصة بالبنية التحتية السحابية.
خوارزمية العمل في السحابة: تقليل الحمل على البنية التحتية
بشكل عام، يمكن تمثيل خوارزمية مكافحة الفيروسات على النحو التالي. يصل الوكيل إلى الملف الموجود على الجهاز الظاهري ويتحقق منه. يتم تخزين نتيجة التحقق في قاعدة بيانات حكم SVM مركزية مشتركة (تسمى ذاكرة التخزين المؤقت المشتركة)، حيث يحدد كل إدخال عينة ملف فريدة. يتيح لك هذا الأسلوب التأكد من عدم فحص الملف نفسه عدة مرات متتالية (على سبيل المثال، إذا تم فتحه على أجهزة افتراضية مختلفة). لا تتم إعادة فحص الملف إلا في حالة إجراء تغييرات عليه أو بدء الفحص يدويًا.
تنفيذ حل مكافحة الفيروسات في سحابة الموفر
تُظهر الصورة مخططًا عامًا لتنفيذ الحل في السحابة. يتم نشر مركز Kaspersky Security Center الرئيسي في منطقة التحكم في السحابة، ويتم نشر SVM فردي على كل مضيف ESXi باستخدام خادم تكامل KSC (كل مضيف ESXi لديه SVM خاص به مرفق بإعدادات خاصة على VMware vCenter Server). يعمل العملاء في قطاعات السحابة الخاصة بهم، حيث توجد الأجهزة الافتراضية مع الوكلاء. تتم إدارتها من خلال خوادم KSC الفردية التابعة لـ KSC الرئيسية. إذا كان من الضروري حماية عدد صغير من الأجهزة الافتراضية (حتى 5)، فيمكن تزويد العميل بإمكانية الوصول إلى وحدة التحكم الافتراضية لخادم KSC مخصص خاص. يتم تنفيذ تفاعل الشبكة بين KSCs العميلة وKSC الرئيسية، بالإضافة إلى الوكلاء الخفيفين وSVMs، باستخدام NAT من خلال أجهزة التوجيه الافتراضية لعميل EdgeGW.
وفقًا لتقديراتنا ونتائج اختبارات الزملاء لدى البائع، يقلل Light Agent العبء على البنية التحتية الافتراضية للعملاء بنسبة 25% تقريبًا (عند مقارنته بنظام يستخدم برامج مكافحة الفيروسات التقليدية). على وجه الخصوص، يستهلك برنامج مكافحة الفيروسات القياسي Kaspersky Endpoint Security (KES) للبيئات المادية ما يقرب من ضعف وقت وحدة المعالجة المركزية للخادم (2,95%) مقارنة بحل المحاكاة الافتراضية خفيف الوزن المعتمد على الوكيل (1,67%).
مخطط مقارنة حمل وحدة المعالجة المركزية
لوحظ موقف مماثل مع تكرار عمليات الوصول إلى الكتابة على القرص: بالنسبة لبرنامج مكافحة الفيروسات الكلاسيكي، يبلغ 1011 IOPS، أما بالنسبة لبرنامج مكافحة الفيروسات السحابي فهو 671 IOPS.
الرسم البياني لمقارنة معدل الوصول إلى القرص
تتيح لك ميزة الأداء الحفاظ على استقرار البنية التحتية واستخدام طاقة الحوسبة بشكل أكثر كفاءة. من خلال التكيف مع العمل في بيئة سحابية عامة، لا يقلل الحل من أداء السحابة: فهو يقوم بفحص الملفات مركزيًا وتنزيل التحديثات وتوزيع التحميل. وهذا يعني أنه من ناحية، لن يتم تفويت التهديدات ذات الصلة بالبنية التحتية السحابية، ومن ناحية أخرى، سيتم تقليل متطلبات الموارد للأجهزة الافتراضية بمعدل 25٪ مقارنة ببرامج مكافحة الفيروسات التقليدية.
من حيث الوظيفة، كلا الحلين متشابهان جدًا مع بعضهما البعض: يوجد أدناه جدول مقارنة. ومع ذلك، في السحابة، كما تظهر نتائج الاختبار أعلاه، لا يزال من الأمثل استخدام حل للبيئات الافتراضية.
حول التعريفات في إطار النهج الجديد. قررنا استخدام نموذج يسمح لنا بالحصول على تراخيص بناءً على عدد وحدات المعالجة المركزية الافتراضية (vCPUs). وهذا يعني أن عدد التراخيص سيكون مساويًا لعدد وحدات المعالجة المركزية الافتراضية (vCPUs). يمكنك اختبار برنامج مكافحة الفيروسات الخاص بك عن طريق ترك طلب .
في المقالة التالية حول موضوعات السحابة، سنتحدث عن تطور WAFs السحابية وما هو الأفضل اختياره: الأجهزة أو البرامج أو السحابة.
تم إعداد النص من قبل موظفي مزود السحابة #CloudMTS: دينيس مياكوف، المهندس المعماري الرائد وأليكسي أفاناسييف، مدير تطوير منتجات أمن المعلومات.
المصدر: www.habr.com