Bulud Təhlükəsizlik Monitorinqi

Məlumatların və tətbiqlərin buludlara köçürülməsi digər insanların infrastrukturunu izləməyə həmişə hazır olmayan korporativ SOC-lar üçün yeni problem yaradır. Netoskope görə, orta müəssisə (görünür, ABŞ-da) 1246 müxtəlif bulud xidmətindən istifadə edir ki, bu da bir il əvvəllə müqayisədə 22% çoxdur. 1246 bulud xidməti!!! Onlardan 175-i HR xidmətləri, 170-i marketinq, 110-u rabitə, 76-sı isə maliyyə və CRM sahəsinə aiddir. Cisco “yalnız” 700 xarici bulud xidmətindən istifadə edir. Ona görə də bu rəqəmlər məni bir az çaşdırır. Ancaq hər halda, problem onlarda deyil, bulud infrastrukturunu öz şəbəkələrində olduğu kimi izləmək üçün eyni imkanlara sahib olmaq istəyən getdikcə daha çox şirkətlər tərəfindən kifayət qədər aktiv şəkildə istifadə olunmağa başlamasıdır. Və bu tendensiya artır - görə Amerika Hesablama Palatasına görə 2023-cü ilə qədər ABŞ-da 1200 məlumat mərkəzi bağlanacaq (6250-si artıq bağlanıb). Lakin buluda keçid sadəcə “serverlərimizi xarici provayderə köçürək” deyil. Yeni İT arxitekturası, yeni proqram təminatı, yeni proseslər, yeni məhdudiyyətlər... Bütün bunlar təkcə İT-nin deyil, həm də informasiya təhlükəsizliyinin işinə əhəmiyyətli dəyişikliklər gətirir. Əgər provayderlər buludun özünün təhlükəsizliyini necə təmin etməyi öyrəniblərsə (xoşbəxtlikdən çoxlu tövsiyələr var), onda bulud məlumat təhlükəsizliyinin monitorinqi ilə, xüsusən də SaaS platformalarında, haqqında danışacağımız əhəmiyyətli çətinliklər var.

Tutaq ki, şirkətiniz öz infrastrukturunun bir hissəsini bulud sisteminə köçürüb... Dayan. Bu şəkildə deyil. Əgər infrastruktur köçürülübsə və siz indi ona necə nəzarət edəcəyinizi düşünürsünüzsə, deməli siz artıq itirmisiniz. Əgər bu Amazon, Google və ya Microsoft (və sonra rezervasiyalarla) olmasa, məlumatlarınızı və proqramlarınızı izləmək üçün çox güman ki, imkanınız olmayacaq. Sizə loglarla işləmək imkanı verilsə yaxşıdır. Bəzən təhlükəsizlik hadisəsi datası əlçatan olacaq, lakin sizin ona girişiniz olmayacaq. Məsələn, Office 365. Ən ucuz E1 lisenziyanız varsa, o zaman təhlükəsizlik tədbirləri sizin üçün ümumiyyətlə mövcud deyil. E3 lisenziyanız varsa, məlumatlarınız yalnız 90 gün saxlanılır və yalnız E5 lisenziyanız varsa, qeydlərin müddəti bir il ərzində mövcuddur (lakin bunun da ayrıca ehtiyacla bağlı öz nüansları var. Microsoft dəstəyindən loglarla işləmək üçün bir sıra funksiyalar tələb edin). Yeri gəlmişkən, E3 lisenziyası monitorinq funksiyaları baxımından korporativ birja ilə müqayisədə xeyli zəifdir. Eyni səviyyəyə çatmaq üçün sizə E5 lisenziyası və ya əlavə Qabaqcıl Uyğunluq lisenziyası lazımdır ki, bu da bulud infrastrukturuna keçmək üçün maliyyə modelinizdə nəzərə alınmayan əlavə pul tələb edə bilər. Və bu, bulud informasiya təhlükəsizliyi monitorinqi ilə bağlı məsələlərin düzgün qiymətləndirilməməsinin yalnız bir nümunəsidir. Bu yazıda tam olduğunu iddia etmədən təhlükəsizlik baxımından bulud provayderi seçərkən nəzərə alınmalı olan bəzi nüanslara diqqət çəkmək istəyirəm. Məqalənin sonunda bulud məlumat təhlükəsizliyinin monitorinqi məsələsinin həll olunduğunu nəzərə almadan əvvəl doldurmağa dəyər bir yoxlama siyahısı veriləcəkdir.

Bulud mühitlərində insidentlərə səbəb olan bir neçə tipik problem var ki, bunlara informasiya təhlükəsizliyi xidmətləri cavab verməyə vaxt tapmır və ya onları ümumiyyətlə görmür:

• Təhlükəsizlik qeydləri mövcud deyil. Bu, xüsusilə bulud həlləri bazarında təcrübəsiz oyunçular arasında olduqca yaygın bir vəziyyətdir. Ancaq onlardan dərhal imtina etməməlisiniz. Kiçik oyunçular, xüsusən yerli oyunçular, müştərilərin tələblərinə daha həssasdırlar və məhsulları üçün təsdiq edilmiş yol xəritəsini dəyişdirərək bəzi tələb olunan funksiyaları tez bir zamanda həyata keçirə bilərlər. Bəli, bu Amazon-dan GuardDuty-nin analoqu və ya Bitrix-dən “Proaktiv Qoruma” modulu olmayacaq, amma heç olmasa bir şey.
• İnformasiya təhlükəsizliyi jurnalların harada saxlandığını bilmir və ya onlara giriş yoxdur. Burada bulud xidməti təminatçısı ilə danışıqlara başlamaq lazımdır - bəlkə də o, müştərini onun üçün əhəmiyyətli hesab edərsə, bu cür məlumat verəcəkdir. Ancaq ümumiyyətlə, qeydlərə giriş "xüsusi qərarla" təmin edildikdə çox yaxşı deyil.
• Həm də olur ki, bulud provayderində qeydlər var, lakin onlar məhdud monitorinq və hadisələrin qeydini təmin edir, bu da bütün hadisələri aşkar etmək üçün kifayət deyil. Məsələn, siz yalnız vebsaytdakı dəyişikliklər jurnallarını və ya istifadəçinin autentifikasiyası cəhdlərinin qeydlərini ala bilərsiniz, lakin bulud infrastrukturunuzu sındırmaq cəhdlərini xarakterizə edən bütün hadisələr təbəqəsini sizdən gizlədəcək şəbəkə trafiki kimi digər hadisələri deyil.
• Qeydlər var, lakin onlara girişi avtomatlaşdırmaq çətindir, bu da onları davamlı yox, qrafik üzrə izləməyə məcbur edir. Əgər siz logları avtomatik yükləyə bilmirsinizsə, jurnalların, məsələn, Excel formatında (bir sıra yerli bulud həlli provayderlərində olduğu kimi) yükləmək hətta korporativ informasiya təhlükəsizliyi xidmətinin onlarla işləmək istəməməsinə səbəb ola bilər.
• Log monitorinqi yoxdur. Bulud mühitlərində informasiya təhlükəsizliyi insidentlərinin baş verməsinin bəlkə də ən qeyri-müəyyən səbəbi budur. Belə görünür ki, loglar var və onlara girişi avtomatlaşdırmaq mümkündür, lakin bunu heç kim etmir. Niyə?

Paylaşılan bulud təhlükəsizliyi konsepsiyası

Buluda keçid həmişə infrastruktur üzərində nəzarəti saxlamaq istəyi ilə onu saxlamaqda ixtisaslaşan bulud provayderinin daha peşəkar əllərinə ötürmək istəyi arasında tarazlıq axtarışıdır. Bulud təhlükəsizliyi sahəsində də bu balans axtarılmalıdır. Üstəlik, istifadə olunan bulud xidmətinin çatdırılması modelindən (IaaS, PaaS, SaaS) asılı olaraq, bu balans hər zaman fərqli olacaq. Hər halda yadda saxlamalıyıq ki, bu gün bütün bulud provayderləri sözdə ortaq məsuliyyət və ortaq informasiya təhlükəsizliyi modelinə əməl edirlər. Bulud bəzi şeylərə görə cavabdehdir, digərləri üçün isə müştəri öz məlumatlarını, proqramlarını, virtual maşınlarını və digər resursları buludda yerləşdirərək cavabdehdir. Buluda keçməklə bütün məsuliyyəti provayderin üzərinə atacağımızı gözləmək ehtiyatsızlıq olardı. Ancaq buluda keçərkən bütün təhlükəsizliyi özünüz qurmaq da ağılsızlıqdır. Bir çox amillərdən asılı olacaq tarazlıq tələb olunur: - risklərin idarə edilməsi strategiyası, təhlükə modeli, bulud provayderində mövcud olan təhlükəsizlik mexanizmləri, qanunvericilik və s.

Məsələn, buludda yerləşdirilən məlumatların təsnifatı həmişə müştərinin məsuliyyətindədir. Bulud provayderi və ya xarici xidmət provayderi ona yalnız buludda məlumatları qeyd etməyə, pozuntuları müəyyən etməyə, qanunu pozan məlumatları silməyə və ya bu və ya digər üsuldan istifadə edərək onu maskalamağa kömək edəcək alətlərlə kömək edə bilər. Digər tərəfdən, fiziki təhlükəsizlik həmişə bulud provayderinin üzərinə düşür və bunu müştərilərlə bölüşə bilməz. Lakin məlumat və fiziki infrastruktur arasında olan hər şey məhz bu məqalədə müzakirə mövzusudur. Məsələn, buludun mövcudluğu provayderin, təhlükəsizlik duvarı qaydalarının yaradılması və ya şifrələmənin aktivləşdirilməsi isə müştərinin məsuliyyətidir. Bu yazıda biz bu gün Rusiyada müxtəlif məşhur bulud provayderləri tərəfindən hansı informasiya təhlükəsizliyi monitorinq mexanizmlərinin təmin edildiyinə, onlardan istifadənin xüsusiyyətləri nələr olduğuna və xarici örtük həllərinə nə vaxt baxmağa dəyər olduğuna baxmağa çalışacağıq (məsələn, Cisco E- poçt Təhlükəsizliyi) kibertəhlükəsizlik baxımından buludunuzun imkanlarını genişləndirir. Bəzi hallarda, xüsusən çoxlu bulud strategiyasına əməl edirsinizsə, eyni anda bir neçə bulud mühitində (məsələn, Cisco CloudLock və ya Cisco Stealthwatch Cloud) xarici informasiya təhlükəsizliyi monitorinq həllərindən istifadə etməkdən başqa seçiminiz olmayacaq. Yaxşı, bəzi hallarda seçdiyiniz (və ya sizə tətbiq etdiyiniz) bulud provayderinin ümumiyyətlə heç bir məlumat təhlükəsizliyi monitorinqi imkanları təklif etmədiyini başa düşəcəksiniz. Bu xoşagəlməzdir, həm də az deyil, çünki bu buludla işləmək ilə əlaqəli risk səviyyəsini adekvat qiymətləndirməyə imkan verir.

Bulud Təhlükəsizliyi Monitorinqinin Həyat Dövrü

İstifadə etdiyiniz buludların təhlükəsizliyinə nəzarət etmək üçün yalnız üç seçiminiz var:

• bulud provayderinizin təqdim etdiyi alətlərə etibar edin,
• istifadə etdiyiniz IaaS, PaaS və ya SaaS platformalarına nəzarət edəcək üçüncü tərəflərin həllərindən istifadə edin,
• öz bulud monitorinq infrastrukturunuzu qurun (yalnız IaaS/PaaS platformaları üçün).

Bu seçimlərin hər birinin hansı xüsusiyyətlərə malik olduğunu görək. Ancaq əvvəlcə bulud platformalarının monitorinqi zamanı istifadə ediləcək ümumi çərçivəni başa düşməliyik. Buludda informasiya təhlükəsizliyinin monitorinqi prosesinin 6 əsas komponentini qeyd edərdim:

• İnfrastrukturun hazırlanması. İnformasiya təhlükəsizliyi üçün vacib olan hadisələrin anbara toplanması üçün lazımi tətbiqlərin və infrastrukturun müəyyən edilməsi.
• Kolleksiya. Bu mərhələdə təhlükəsizlik hadisələri emal, saxlama və təhlil üçün sonradan ötürülmək üçün müxtəlif mənbələrdən toplanır.
• Müalicə. Bu mərhələdə məlumatlar sonrakı təhlili asanlaşdırmaq üçün çevrilir və zənginləşdirilir.
• Saxlama. Bu komponent toplanmış işlənmiş və xam məlumatların qısamüddətli və uzunmüddətli saxlanmasına cavabdehdir.
• Təhlil. Bu mərhələdə siz hadisələri aşkar etmək və onlara avtomatik və ya əl ilə cavab vermək qabiliyyətiniz var.
• Hesabat. Bu mərhələ maraqlı tərəflər (rəhbərlik, auditorlar, bulud provayderi, müştərilər və s.) üçün müəyyən qərarlar qəbul etməyimizə, məsələn, provayderin dəyişdirilməsi və ya informasiya təhlükəsizliyinin gücləndirilməsinə kömək edən əsas göstəriciləri formalaşdırmağa kömək edir.

Bu komponentləri başa düşmək sizə gələcəkdə provayderinizdən nə ala biləcəyinizi və özünüz və ya kənar məsləhətçilərin cəlb edilməsi ilə nə etməli olduğunuzu tez bir zamanda qərar verməyə imkan verəcək.

Daxili bulud xidmətləri

Artıq yuxarıda yazmışdım ki, bu gün bir çox bulud xidmətləri heç bir informasiya təhlükəsizliyinin monitorinqi imkanlarını təmin etmir. Ümumiyyətlə, informasiya təhlükəsizliyi mövzusuna o qədər də əhəmiyyət vermirlər. Məsələn, İnternet vasitəsilə dövlət orqanlarına hesabatların göndərilməsi üçün məşhur rus xidmətlərindən biri (onun adını xüsusi qeyd etməyəcəyəm). Bu xidmətin təhlükəsizliyi ilə bağlı bütün bölmə sertifikatlaşdırılmış CIPF-in istifadəsi ətrafında fırlanır. Elektron sənəd idarəetməsi üçün başqa bir yerli bulud xidmətinin informasiya təhlükəsizliyi bölməsi də fərqli deyil. Açıq açar sertifikatları, sertifikatlaşdırılmış kriptoqrafiya, veb zəifliklərinin aradan qaldırılması, DDoS hücumlarından qorunma, firewalllardan istifadə, ehtiyat nüsxələr və hətta müntəzəm informasiya təhlükəsizliyi auditlərindən bəhs edir. Ancaq monitorinq haqqında, nə də bu xidmət provayderinin müştəriləri üçün maraqlı ola biləcək informasiya təhlükəsizliyi hadisələrinə çıxış əldə etmək imkanları haqqında bir söz yoxdur.

Ümumiyyətlə, bulud provayderinin öz saytında və sənədlərində informasiya təhlükəsizliyi məsələlərini təsvir etdiyi kimi, onun bu məsələyə nə qədər ciddi yanaşdığını başa düşə bilərsiniz. Məsələn, "Mənim Ofisim" məhsulları üçün təlimatları oxusanız, təhlükəsizlik haqqında ümumiyyətlə bir söz yoxdur, lakin ayrıca məhsulun sənədlərində "Mənim Ofisim. KS3”, icazəsiz girişdən qorunmaq üçün hazırlanmışdır, FSTEC-in 17-ci sırasının adi siyahısı var, “Mənim Ofisim.KS3” tətbiq edir, lakin onu necə həyata keçirməsi və ən əsası, necə həyata keçirildiyi təsvir edilmir. bu mexanizmləri korporativ informasiya təhlükəsizliyi ilə inteqrasiya etmək. Ola bilsin ki, belə sənədlər var, amma mən bunu ictimai sahədə, “Mənim Ofisim” saytında tapmadım. Baxmayaraq ki, bəlkə mənim bu məxfi məlumatlara çıxışım yoxdur?..

Bitrix üçün vəziyyət daha yaxşıdır. Sənədlər hadisə qeydlərinin formatlarını və maraqlısı odur ki, bulud platforması üçün potensial təhlükələrlə bağlı hadisələri ehtiva edən müdaxilə jurnalını təsvir edir. Oradan IP, istifadəçi və ya qonaq adı, hadisə mənbəyi, vaxt, İstifadəçi Agenti, hadisə növü və s. çıxara bilərsiniz. Doğrudur, bu hadisələrlə ya buludun idarəetmə panelindən işləyə bilərsiniz, ya da məlumatları MS Excel formatında yükləyə bilərsiniz. İndi Bitrix qeydləri ilə işi avtomatlaşdırmaq çətindir və siz işin bir hissəsini əl ilə etməli olacaqsınız (hesabatı yükləmək və SIEM-ə yükləmək). Amma xatırlasaq ki, nisbətən yaxın vaxtlara qədər belə bir imkan yox idi, deməli, bu, böyük irəliləyişdir. Eyni zamanda, qeyd etmək istərdim ki, bir çox xarici bulud provayderləri "yeni başlayanlar üçün" oxşar funksionallığı təklif edir - ya idarəetmə panelindən gözlərinizlə qeydlərə baxın, ya da məlumatları özünüzə yükləyin (lakin, məlumatların əksəriyyəti . csv formatı, Excel deyil).

No-logs seçimini nəzərə almadan, bulud provayderləri adətən sizə təhlükəsizlik hadisələrinin monitorinqi üçün üç variant təklif edirlər - tablosuna, məlumatların yüklənməsinə və API girişinə. Birincisi sizin üçün bir çox problemləri həll edir, lakin bu tamamilə doğru deyil - bir neçə jurnalınız varsa, ümumi mənzərəni itirərək onları göstərən ekranlar arasında keçid etməlisiniz. Bundan əlavə, bulud provayderi çətin ki, sizə təhlükəsizlik hadisələrini əlaqələndirmək və ümumiyyətlə onları təhlükəsizlik baxımından təhlil etmək imkanı verəcək (adətən siz özünüz başa düşməli olduğunuz xam məlumatlarla məşğul olursunuz). İstisnalar var və biz onlar haqqında daha ətraflı danışacağıq. Nəhayət, bulud provayderiniz tərəfindən hansı hadisələrin qeydə alındığını, hansı formatda olduğunu və məlumat təhlükəsizliyinin monitorinqi prosesinizə necə uyğun olduğunu soruşmağa dəyər? Məsələn, istifadəçilərin və qonaqların identifikasiyası və autentifikasiyası. Eyni Bitrix sizə bu hadisələr əsasında hadisənin tarixini və vaxtını, istifadəçinin və ya qonağın adını (“Veb Analitika” modulunuz varsa), əldə edilən obyekti və vebsayt üçün xarakterik olan digər elementləri qeyd etməyə imkan verir. . Lakin korporativ informasiya təhlükəsizliyi xidmətləri istifadəçinin etibarlı cihazdan buludlara daxil olub-olmaması barədə məlumat tələb edə bilər (məsələn, korporativ şəbəkədə bu vəzifə Cisco ISE tərəfindən həyata keçirilir). Bulud xidməti istifadəçi hesabının oğurlandığını müəyyən etməyə kömək edəcək geo-IP funksiyası kimi sadə tapşırıq haqqında nə demək olar? Bulud provayderi bunu sizə təqdim etsə belə, bu kifayət deyil. Eyni Cisco CloudLock sadəcə geolokasiyanı təhlil etmir, bunun üçün maşın öyrənməsindən istifadə edir və hər bir istifadəçi üçün tarixi məlumatları təhlil edir və identifikasiya və autentifikasiya cəhdlərində müxtəlif anomaliyaları izləyir. Yalnız MS Azure oxşar funksiyaya malikdir (əgər müvafiq abunəliyiniz varsa).

Başqa bir çətinlik var - bir çox bulud provayderləri üçün məlumat təhlükəsizliyinin monitorinqi yeni məşğul olmağa başladıqları yeni mövzu olduğundan, onlar daim öz həllərində nəyisə dəyişirlər. Bu gün onlar API-nin bir versiyasına sahibdirlər, sabah başqa, o biri gün üçüncü. Siz də buna hazır olmalısınız. Eyni şey dəyişə bilən funksionallığa da aiddir, bu da informasiya təhlükəsizliyi monitorinq sisteminizdə nəzərə alınmalıdır. Məsələn, Amazon ilkin olaraq ayrıca bulud hadisələrinin monitorinqi xidmətlərinə malik idi - AWS CloudTrail və AWS CloudWatch. Sonra informasiya təhlükəsizliyi hadisələrinin monitorinqi üçün ayrıca bir xidmət ortaya çıxdı - AWS GuardDuty. Bir müddət sonra Amazon, GuardDuty, Amazon Inspector, Amazon Macie və bir neçə başqa şirkətdən alınan məlumatların təhlilini özündə əks etdirən Amazon Security Hub adlı yeni idarəetmə sistemini işə saldı. Başqa bir nümunə SIEM - AzLog ilə Azure log inteqrasiya alətidir. 2018-ci ilə qədər Microsoft bu alətdən istifadə edən bir çox müştəri ilə problemlə üzləşən (bunun necə həll edildiyi barədə daha sonra danışacağıq) XNUMX-ci ilə qədər bir çox SIEM təchizatçıları tərəfindən fəal şəkildə istifadə edildi.

Buna görə də, bulud provayderinizin sizə təklif etdiyi bütün monitorinq xüsusiyyətlərini diqqətlə izləyin. Və ya SOC və nəzarət etmək istədiyiniz bulud arasında vasitəçi kimi çıxış edəcək xarici həll təminatçılarına etibar edin. Bəli, daha bahalı olacaq (həmişə olmasa da), ancaq bütün məsuliyyəti başqasının çiyninə atacaqsınız. Yoxsa hamısı deyil?.. Gəlin paylaşılan təhlükəsizlik konsepsiyasını xatırlayaq və başa düşək ki, biz heç nəyi dəyişdirə bilmərik – biz müstəqil olaraq müxtəlif bulud provayderlərinin məlumatlarınızın, proqramlarınızın, virtual maşınlarınızın və digər resurslarınızın informasiya təhlükəsizliyinin monitorinqini necə təmin etdiyini başa düşməliyik. buludda yerləşdirilib. Və biz bu hissədə Amazonun təklif etdikləri ilə başlayacağıq.

Nümunə: AWS əsasında IaaS-də məlumat təhlükəsizliyi monitorinqi

Bəli, bəli, başa düşürəm ki, Amazon ən yaxşı nümunə deyil, çünki bu, Amerika xidmətidir və ekstremizmlə mübarizə və Rusiyada qadağan olunmuş məlumatların yayılması ilə mübarizə çərçivəsində bloklana bilər. Amma bu nəşrdə mən sadəcə olaraq müxtəlif bulud platformalarının informasiya təhlükəsizliyinin monitorinqi imkanlarında necə fərqləndiyini və təhlükəsizlik baxımından əsas prosesləri buludlara köçürərkən nələrə diqqət etməli olduğunuzu göstərmək istərdim. Yaxşı, bəzi rusiyalı bulud həlləri tərtibatçıları özləri üçün faydalı bir şey öyrənsələr, bu, əla olar.

İlk deyim odur ki, Amazon keçilməz qala deyil. Müştərilərinin başına müntəzəm olaraq müxtəlif hadisələr baş verir. Məsələn, Deep Root Analytics-dən 198 milyon seçicinin adları, ünvanları, doğum tarixləri və telefon nömrələri oğurlanıb. İsrailin Nice Systems şirkəti Verizon abunəçilərinin 14 milyon qeydini oğurlayıb. Bununla belə, AWS-in daxili imkanları geniş spektrli insidentləri aşkarlamağa imkan verir. Misal üçün:

• infrastruktura təsir (DDoS)
• node kompromisi (komanda yeridilməsi)
• hesabın pozulması və icazəsiz giriş
• səhv konfiqurasiya və zəifliklər
• etibarlı olmayan interfeyslər və API-lər.

Bu uyğunsuzluq, yuxarıda aşkar etdiyimiz kimi, müştəri məlumatlarının təhlükəsizliyinə müştərinin özü cavabdeh olması ilə əlaqədardır. Əgər o, qoruyucu mexanizmləri işə salmaqdan əziyyət çəkməyibsə və monitorinq alətlərini işə salmayıbsa, o zaman hadisəni yalnız mediadan və ya müştərilərindən öyrənəcək.

Hadisələri müəyyən etmək üçün siz Amazon tərəfindən hazırlanmış geniş çeşidli müxtəlif monitorinq xidmətlərindən istifadə edə bilərsiniz (baxmayaraq ki, bunlar tez-tez osquery kimi xarici alətlərlə tamamlanır). Beləliklə, AWS-də istifadəçinin bütün hərəkətləri necə həyata keçirildiyindən asılı olmayaraq nəzarət edilir - idarəetmə konsolu, komanda xətti, SDK və ya digər AWS xidmətləri vasitəsilə. Hər bir AWS hesabının fəaliyyəti (istifadəçi adı, fəaliyyət, xidmət, fəaliyyət parametrləri və nəticə daxil olmaqla) və API istifadəsinin bütün qeydləri AWS CloudTrail vasitəsilə mövcuddur. Siz bu hadisələrə (məsələn, AWS IAM konsoluna girişlər) CloudTrail konsolundan baxa, Amazon Athena istifadə edərək onları təhlil edə və ya Splunk, AlienVault və s. kimi xarici həllər üçün “outsource” edə bilərsiniz. AWS CloudTrail qeydlərinin özləri AWS S3 qutunuza yerləşdirilir.

Digər iki AWS xidməti bir sıra digər mühüm monitorinq imkanlarını təmin edir. Birincisi, Amazon CloudWatch AWS resursları və tətbiqləri üçün monitorinq xidmətidir ki, bu da başqa şeylərlə yanaşı buludunuzdakı müxtəlif anomaliyaları müəyyən etməyə imkan verir. Amazon Elastic Compute Cloud (serverlər), Amazon Relational Database Service (verilənlər bazaları), Amazon Elastic MapReduce (məlumatların təhlili) və 30 digər Amazon xidmətləri kimi bütün daxili AWS xidmətləri qeydlərini saxlamaq üçün Amazon CloudWatch-dan istifadə edir. Tərtibatçılar Amazon CloudWatch-dan açıq API-dən istifadə edərək, onlara təhlükəsizlik kontekstində hadisələrin təhlilinin əhatə dairəsini genişləndirməyə imkan verən xüsusi proqram və xidmətlərə log monitorinqi funksiyasını əlavə edə bilərlər.

İkincisi, VPC Flow Logs xidməti AWS serverləriniz (xarici və ya daxili), həmçinin mikroservislər arasında göndərilən və ya qəbul edilən şəbəkə trafikini təhlil etməyə imkan verir. AWS VPC resurslarınızdan hər hansı biri şəbəkə ilə qarşılıqlı əlaqədə olduqda, VPC Flow Logs şəbəkə trafiki haqqında təfərrüatları, o cümlədən mənbə və təyinat şəbəkə interfeysini, həmçinin IP ünvanlarını, portlarını, protokolunu, bayt sayını və istifadə etdiyiniz paketlərin sayını qeyd edir. gördüm. Yerli şəbəkə təhlükəsizliyi ilə bağlı təcrübəsi olanlar bunu mövzuların analoqu kimi tanıyacaqlar NetFlow, açarlar, marşrutlaşdırıcılar və müəssisə səviyyəli firewalllar tərəfindən yaradıla bilər. Bu qeydlər informasiya təhlükəsizliyinin monitorinqi məqsədləri üçün vacibdir, çünki istifadəçi və tətbiq hərəkətləri ilə bağlı hadisələrdən fərqli olaraq, onlar AWS virtual şəxsi bulud mühitində şəbəkə qarşılıqlı əlaqəsini qaçırmamağa imkan verir.

Xülasə, bu üç AWS xidməti – AWS CloudTrail, Amazon CloudWatch və VPC Flow Logs – birlikdə hesabınızdan istifadə, istifadəçi davranışı, infrastrukturun idarə edilməsi, tətbiq və xidmət fəaliyyəti və şəbəkə fəaliyyəti haqqında kifayət qədər güclü fikir təmin edir. Məsələn, onlar aşağıdakı anomaliyaları aşkar etmək üçün istifadə edilə bilər:

• Saytı skan etmək, arxa qapıları axtarmaq, “404 səhvləri” partlaması vasitəsilə zəiflikləri axtarmaq cəhdləri.
• "500 səhv" partlayışları vasitəsilə injection hücumları (məsələn, SQL injection).
• Tanınmış hücum alətləri sqlmap, nikto, w3af, nmap və s. İstifadəçi Agent sahəsinin təhlili vasitəsilə.

Amazon Web Services bir çox başqa problemləri həll etməyə imkan verən kibertəhlükəsizlik məqsədləri üçün digər xidmətlər də inkişaf etdirmişdir. Məsələn, AWS siyasət və konfiqurasiyaları yoxlamaq üçün daxili xidmətə malikdir - AWS Config. Bu xidmət AWS resurslarınızın və onların konfiqurasiyalarının davamlı auditini təmin edir. Sadə bir nümunə götürək: Tutaq ki, siz istifadəçi parollarının bütün serverlərinizdə deaktiv edildiyinə və girişin yalnız sertifikatlar əsasında mümkün olduğuna əmin olmaq istəyirsiniz. AWS Config bunu bütün serverləriniz üçün yoxlamağı asanlaşdırır. Bulud serverlərinizə tətbiq edilə bilən başqa siyasətlər də var: “Heç bir server 22-ci portdan istifadə edə bilməz”, “Yalnız administratorlar firewall qaydalarını dəyişə bilər” və ya “Yalnız istifadəçi İvaşko yeni istifadəçi hesabları yarada bilər və o bunu yalnız çərşənbə axşamı günləri edə bilər. " 2016-cı ilin yayında AWS Config xidməti hazırlanmış siyasətlərin pozulmasının aşkar edilməsini avtomatlaşdırmaq üçün genişləndirildi. AWS Konfiqurasiya Qaydaları əsasən istifadə etdiyiniz Amazon xidmətləri üçün davamlı konfiqurasiya sorğularıdır və müvafiq siyasətlər pozulduqda hadisələr yaradır. Məsələn, virtual serverdəki bütün disklərin şifrələndiyini yoxlamaq üçün vaxtaşırı AWS Config sorğularını yerinə yetirmək əvəzinə, AWS Konfiqurasiya Qaydaları bu şərtin yerinə yetirildiyinə əmin olmaq üçün server disklərini davamlı olaraq yoxlamaq üçün istifadə edilə bilər. Və ən əsası, bu nəşrin kontekstində hər hansı pozuntular informasiya təhlükəsizliyi xidmətiniz tərəfindən təhlil edilə bilən hadisələr yaradır.

AWS, həmçinin təhlil edə biləcəyiniz və etməli olduğunuz təhlükəsizlik hadisələrini yaradan ənənəvi korporativ məlumat təhlükəsizliyi həllərinə ekvivalentinə malikdir:

• Müdaxilənin aşkarlanması - AWS GuardDuty
• Məlumat sızmasına nəzarət - AWS Macie
• EDR (baxmayaraq ki, buluddakı son nöqtələr haqqında bir az qəribə danışır) - AWS Cloudwatch + açıq mənbə sorğusu və ya GRR həlləri
• Netflow təhlili - AWS Cloudwatch + AWS VPC Flow
• DNS təhlili - AWS Cloudwatch + AWS Route53
• AD - AWS Directory Service
• Hesabın İdarə Edilməsi - AWS IAM
• SSO - AWS SSO
• təhlükəsizlik təhlili - AWS Müfəttişi
• konfiqurasiya idarəetməsi - AWS Config
• WAF - AWS WAF.

İnformasiya təhlükəsizliyi kontekstində faydalı ola biləcək bütün Amazon xidmətlərini ətraflı təsvir etməyəcəyəm. Əsas odur ki, başa düşmək lazımdır ki, onların hamısı bizim informasiya təhlükəsizliyi kontekstində təhlil edə biləcəyimiz və etməli olduğumuz hadisələri yarada bilər, bu məqsədlə həm Amazon-un özünün daxili imkanlarından, həm də xarici həllərdən, məsələn, SIEM-dən istifadə edir. təhlükəsizlik hadisələrini monitorinq mərkəzinizə aparın və onları digər bulud xidmətlərindən və ya daxili infrastrukturdan, perimetrdən və ya mobil cihazlardan hadisələrlə birlikdə orada təhlil edin.

Hər halda, hər şey sizi informasiya təhlükəsizliyi hadisələri ilə təmin edən məlumat mənbələrindən başlayır. Bu mənbələrə aşağıdakılar daxildir, lakin bunlarla məhdudlaşmır:

• CloudTrail - API İstifadəsi və İstifadəçi Fəaliyyətləri
• Etibarlı Məsləhətçi - ən yaxşı təcrübələrə qarşı təhlükəsizlik yoxlanışı
• Config - hesabların və xidmət parametrlərinin inventarlaşdırılması və konfiqurasiyası
• VPC Flow Logs - virtual interfeyslərə qoşulmalar
• IAM - identifikasiya və autentifikasiya xidməti
• ELB Giriş Qeydləri - Yük balanslaşdırıcısı
• Müfəttiş - proqram zəiflikləri
• S3 - fayl saxlama
• CloudWatch - Tətbiq Fəaliyyəti
• SNS bildiriş xidmətidir.

Amazon, onların yaradılması üçün belə bir sıra hadisə mənbələri və alətləri təklif etsə də, məlumat təhlükəsizliyi kontekstində toplanmış məlumatları təhlil etmək imkanlarında çox məhduddur. Mövcud qeydləri müstəqil şəkildə öyrənməli, onlarda müvafiq kompromis göstəricilərini axtarmalı olacaqsınız. Amazonun yaxınlarda istifadəyə verdiyi AWS Security Hub, AWS üçün bulud SIEM-ə çevrilərək bu problemi həll etməyi hədəfləyir. Ancaq indiyə qədər o, yalnız səyahətinin başlanğıcındadır və həm işlədiyi mənbələrin sayı, həm də Amazonun özünün arxitekturası və abunəliyi ilə müəyyən edilmiş digər məhdudiyyətlərlə məhdudlaşır.

Nümunə: Azure əsasında IaaS-də məlumat təhlükəsizliyi monitorinqi

Üç bulud provayderindən (Amazon, Microsoft və ya Google) hansının daha yaxşı olduğu barədə uzun mübahisəyə girmək istəmirəm (xüsusilə onların hər birinin hələ də özünəməxsus xüsusiyyətləri var və öz problemlərini həll etmək üçün uyğundur); Bu oyunçuların təmin etdiyi informasiya təhlükəsizliyi monitorinqi imkanlarına diqqət yetirək. Etiraf etmək lazımdır ki, Amazon AWS bu seqmentdə ilklərdən biri idi və buna görə də məlumat təhlükəsizliyi funksiyaları baxımından ən uzağa getdi (baxmayaraq ki, çoxları onlardan istifadənin çətin olduğunu etiraf edir). Lakin bu, Microsoft və Google-un bizə təqdim etdiyi imkanlara məhəl qoymayacağımız anlamına gəlmir.

Microsoft məhsulları həmişə "açıqlığı" ilə seçilib və Azure-da vəziyyət oxşardır. Məsələn, AWS və GCP həmişə “icazə verilməyən qadağandır” anlayışından irəli gəlirsə, Azure tam əks yanaşmaya malikdir. Məsələn, buludda virtual şəbəkə və onun içindəki virtual maşın yaratarkən, bütün portlar və protokollar açıqdır və standart olaraq icazə verilir. Buna görə də, Microsoft-dan buludda girişə nəzarət sisteminin ilkin qurulmasına bir az daha çox səy göstərməli olacaqsınız. Bu, həmçinin Azure buludunda fəaliyyətin monitorinqi baxımından sizə daha sərt tələblər qoyur.

AWS-in bir özəlliyi var ki, virtual resurslarınıza nəzarət edərkən, əgər onlar müxtəlif regionlarda yerləşirlərsə, o zaman bütün hadisələri və onların vahid təhlilini birləşdirməkdə çətinlik çəkirsiniz, bunu aradan qaldırmaq üçün müxtəlif fəndlərə əl atmalı olursunuz, məsələn: Hadisələri bölgələr arasında daşıyacaq AWS Lambda üçün öz kodunuzu yaradın. Azure-da bu problem yoxdur - onun Fəaliyyət Girişi mexanizmi məhdudiyyətsiz bütün təşkilat üzrə bütün fəaliyyəti izləyir. Eyni şey, bir çox təhlükəsizlik funksiyalarını vahid təhlükəsizlik mərkəzi daxilində birləşdirmək üçün Amazon tərəfindən bu yaxınlarda hazırlanmış AWS Security Hub-a aiddir, lakin bu, Rusiya üçün əhəmiyyət kəsb etmir. Azure bulud platformasının bütün təhlükəsizlik xüsusiyyətlərinə çıxışı təmin edən regional məhdudiyyətlərlə bağlı olmayan öz Təhlükəsizlik Mərkəzinə malikdir. Üstəlik, müxtəlif yerli komandalar üçün, onlar tərəfindən idarə olunan təhlükəsizlik tədbirləri də daxil olmaqla, öz qoruyucu imkanlarını təmin edə bilər. AWS Security Hub hələ də Azure Təhlükəsizlik Mərkəzinə bənzəmək yolundadır. Ancaq məlhəmə bir milçək əlavə etməyə dəyər - əvvəllər AWS-də təsvir edilənlərin çoxunu Azure-dan sıxışdıra bilərsiniz, lakin bu, ən rahat şəkildə yalnız Azure AD, Azure Monitor və Azure Təhlükəsizlik Mərkəzi üçün edilir. Təhlükəsizlik hadisələrinin təhlili daxil olmaqla, bütün digər Azure təhlükəsizlik mexanizmləri hələ ən rahat şəkildə idarə olunmur. Problem qismən bütün Microsoft Azure xidmətlərini əhatə edən API tərəfindən həll edilir, lakin bu, buludunuzu SOC ilə inteqrasiya etmək üçün sizdən əlavə səy və ixtisaslı mütəxəssislərin mövcudluğunu tələb edəcək (əslində, buludla işləyən hər hansı digər SIEM-də olduğu kimi). API-lər). Daha sonra müzakirə olunacaq bəzi SIEM-lər artıq Azure-u dəstəkləyir və onun monitorinqi vəzifəsini avtomatlaşdıra bilir, lakin onun da öz çətinlikləri var – onların hamısı Azure-da olan bütün qeydləri toplaya bilmir.

Azure-da hadisələrin toplanması və monitorinqi Microsoft buludunda və onun resurslarında məlumatların toplanması, saxlanması və təhlili üçün əsas alət olan Azure Monitor xidmətindən istifadə etməklə həyata keçirilir - Git depoları, konteynerlər, virtual maşınlar, proqramlar və s. Azure Monitor tərəfindən toplanan bütün məlumatlar iki kateqoriyaya bölünür - real vaxt rejimində toplanan və Azure buludunun əsas performans göstəricilərini təsvir edən ölçülər və Azure resurslarının və xidmətlərinin fəaliyyətinin müəyyən aspektlərini xarakterizə edən qeydlərə təşkil edilmiş məlumatları ehtiva edən jurnallar. Bundan əlavə, Data Collector API istifadə edərək, Azure Monitor xidməti öz monitorinq ssenarilərini qurmaq üçün istənilən REST mənbəyindən məlumat toplaya bilər.

Azure Portalı, CLI, PowerShell və ya REST API (və bəziləri yalnız Azure Monitor/Insight API vasitəsilə) vasitəsilə Azure Portalı, CLI, PowerShell və ya REST API vasitəsilə daxil ola biləcəyiniz Azure-un sizə təklif etdiyi bir neçə təhlükəsizlik hadisəsi mənbələri bunlardır:

• Fəaliyyət Qeydləri - bu jurnal bulud resurslarında hər hansı bir yazma əməliyyatı (PUT, POST, DELETE) ilə bağlı "kim", "nə" və "nə vaxt" kimi klassik suallara cavab verir. Oxu girişi (GET) ilə bağlı hadisələr bir sıra digərləri kimi bu jurnala daxil edilmir.
• Diaqnostik qeydlər - abunəliyinizə daxil edilmiş xüsusi resursla əməliyyatlar haqqında məlumatları ehtiva edir.
• Azure AD hesabatı - həm istifadəçi fəaliyyətini, həm də qrup və istifadəçi idarəçiliyi ilə bağlı sistem fəaliyyətini ehtiva edir.
• Windows Event Log və Linux Syslog - buludda yerləşdirilən virtual maşınların hadisələrini ehtiva edir.
• Metriklər - bulud xidmətlərinizin və resurslarınızın performansı və sağlamlıq vəziyyəti haqqında telemetriyanı ehtiva edir. Hər dəqiqə ölçülür və saxlanılır. 30 gün ərzində.
• Şəbəkə Təhlükəsizliyi Qrupu Akış Qeydləri - Şəbəkə İzləyicisi xidmətindən istifadə edərək toplanmış şəbəkə təhlükəsizliyi hadisələri və şəbəkə səviyyəsində resurs monitorinqi haqqında məlumatları ehtiva edir.
• Saxlama qeydləri - saxlama obyektlərinə girişlə bağlı hadisələri ehtiva edir.

Monitorinq üçün siz xarici SIEM-lərdən və ya daxili Azure Monitor və onun genişləndirmələrindən istifadə edə bilərsiniz. İnformasiya təhlükəsizliyi hadisələrinin idarə edilməsi sistemləri haqqında daha sonra danışacağıq, lakin hələlik Azure-un təhlükəsizlik kontekstində məlumatların təhlili üçün bizə nə təklif etdiyini görək. Azure Monitor-da təhlükəsizliklə bağlı hər şey üçün əsas ekran Log Analytics Təhlükəsizlik və Audit İdarə Panelidir (pulsuz versiya cəmi bir həftə ərzində məhdud miqdarda hadisə yaddaşını dəstəkləyir). Bu idarə paneli istifadə etdiyiniz bulud mühitində baş verənlərin ümumi statistikasını vizuallaşdıran 5 əsas sahəyə bölünür:

• Təhlükəsizlik Domenləri - informasiya təhlükəsizliyi ilə bağlı əsas kəmiyyət göstəriciləri - insidentlərin sayı, pozulmuş qovşaqların sayı, yamaqsız qovşaqlar, şəbəkə təhlükəsizliyi hadisələri və s.
• Görkəmli məsələlər - aktiv informasiya təhlükəsizliyi məsələlərinin sayını və əhəmiyyətini göstərir
• Aşkarlamalar - sizə qarşı istifadə edilən hücumların nümunələrini göstərir
• Threat Intelligence - sizə hücum edən xarici qovşaqlar haqqında coğrafi məlumatları göstərir
• Ümumi təhlükəsizlik sorğuları - informasiya təhlükəsizliyinizə daha yaxşı nəzarət etməyə kömək edəcək tipik sorğular.

Azure Monitor genişləndirmələrinə Azure Açar Vault (buludda kriptoqrafik açarların mühafizəsi), Zərərli Proqramın Qiymətləndirilməsi (virtual maşınlarda zərərli kodlardan qorunmanın təhlili), Azure Application Gateway Analytics (digər şeylər arasında bulud firewall jurnallarının təhlili) və s. daxildir. . Hadisələrin işlənməsi üçün müəyyən qaydalarla zənginləşdirilmiş bu alətlər təhlükəsizlik də daxil olmaqla bulud xidmətlərinin fəaliyyətinin müxtəlif aspektlərini vizuallaşdırmağa və əməliyyatdan müəyyən kənarlaşmaları müəyyən etməyə imkan verir. Ancaq tez-tez olduğu kimi, hər hansı bir əlavə funksionallıq əvvəlcədən planlaşdırmalı olduğunuz müvafiq maliyyə sərmayələrini tələb edən müvafiq ödənişli abunə tələb edir.

Azure Azure AD, Azure Monitor və Azure Təhlükəsizlik Mərkəzinə inteqrasiya olunmuş bir sıra daxili təhlükə monitorinqi imkanlarına malikdir. Onların arasında, məsələn, virtual maşınların məlum zərərli İP-lərlə qarşılıqlı əlaqəsinin aşkarlanması (Microsoft-un Threat Intelligence xidmətləri ilə inteqrasiyanın olması səbəbindən), buludda yerləşdirilən virtual maşınlardan həyəcan siqnalları almaqla bulud infrastrukturunda zərərli proqramların aşkarlanması, parol. virtual maşınlara hücumların təxmin edilməsi, istifadəçi identifikasiyası sisteminin konfiqurasiyasındakı boşluqlar, anonimləşdiricilərdən və ya yoluxmuş qovşaqlardan sistemə daxil olmaq, hesab sızması, qeyri-adi yerlərdən sistemə daxil olmaq və s. Azure bu gün toplanmış məlumat təhlükəsizliyi hadisələrini zənginləşdirmək üçün sizə daxili Təhdid Kəşfiyyatı imkanlarını təklif edən bir neçə bulud provayderindən biridir.

Yuxarıda qeyd edildiyi kimi, təhlükəsizlik funksionallığı və nəticədə onun yaratdığı təhlükəsizlik hadisələri bütün istifadəçilər üçün bərabər şəkildə mövcud deyil, lakin informasiya təhlükəsizliyinin monitorinqi üçün müvafiq hadisələri yaradan sizə lazım olan funksionallığı özündə birləşdirən müəyyən abunə tələb edir. Məsələn, hesablardakı anomaliyaların monitorinqi üçün əvvəlki paraqrafda təsvir edilən bəzi funksiyalar yalnız Azure AD xidməti üçün P2 premium lisenziyasında mövcuddur. Onsuz, AWS vəziyyətində olduğu kimi, toplanmış təhlükəsizlik hadisələrini "əl ilə" təhlil etməli olacaqsınız. Həmçinin, Azure AD lisenziyasının növündən asılı olaraq, bütün hadisələr təhlil üçün əlçatan olmayacaq.

Azure portalında siz sizi maraqlandıran qeydlər üçün həm axtarış sorğularını idarə edə, həm də əsas informasiya təhlükəsizliyi göstəricilərini vizuallaşdırmaq üçün idarə panelləri qura bilərsiniz. Bundan əlavə, orada siz Azure Monitor qeydlərinin funksionallığını genişləndirməyə və təhlükəsizlik baxımından hadisələrin daha dərin təhlilini əldə etməyə imkan verən Azure Monitor genişləndirmələrini seçə bilərsiniz.

Əgər sizə təkcə jurnallarla işləmək bacarığına deyil, həm də məlumat təhlükəsizliyi siyasətinin idarə edilməsi daxil olmaqla, Azure bulud platformanız üçün hərtərəfli təhlükəsizlik mərkəzinə ehtiyacınız varsa, onda siz Azure Təhlükəsizlik Mərkəzi ilə işləməyin zərurəti haqqında danışa bilərsiniz. bəzi pullar üçün mövcuddur, məsələn, təhlükənin aşkarlanması, Azure xaricində monitorinq, uyğunluğun qiymətləndirilməsi və s. (pulsuz versiyada yalnız təhlükəsizlik qiymətləndirməsinə və müəyyən edilmiş problemlərin aradan qaldırılması üçün tövsiyələrə çıxışınız var). Bütün təhlükəsizlik məsələlərini bir yerdə birləşdirir. Əslində, biz Azure Monitor sizə təqdim etdiyindən daha yüksək səviyyədə informasiya təhlükəsizliyi haqqında danışa bilərik, çünki bu halda bulud fabrikinizdə toplanmış məlumatlar Azure, Office 365, Microsoft CRM online, Microsoft Dynamics AX kimi bir çox mənbələrdən istifadə etməklə zənginləşdirilir. , outlook .com, MSN.com, Microsoft Rəqəmsal Cinayətlər Bölməsi (DCU) və Microsoft Təhlükəsizlik Müdaxilə Mərkəzi (MSRC), burada müxtəlif mürəkkəb maşın öyrənməsi və davranış analitikası alqoritmləri quraşdırılmışdır ki, bu da son nəticədə təhdidlərin aşkarlanması və onlara cavab verilməsinin səmərəliliyini artırmalıdır. .

Azure-un da öz SIEM-i var - o, 2019-cu ilin əvvəlində ortaya çıxdı. Bu, Azure Monitor məlumatlarına əsaslanan və həmçinin inteqrasiya edə bilən Azure Sentinel-dir. siyahısı daim böyüyən xarici təhlükəsizlik həlləri (məsələn, NGFW və ya WAF). Bundan əlavə, Microsoft Graph Security API-nin inteqrasiyası vasitəsilə siz Azure buludunuzdakı insidentləri təhlil etmək imkanlarını zənginləşdirən öz Təhdid Kəşfiyyatı lentlərinizi Sentinel-ə qoşmaq imkanı əldə edirsiniz. Azure Sentinel-in bulud provayderlərindən ortaya çıxan ilk “doğma” SIEM olduğunu iddia etmək olar (buludda yerləşdirilə bilən eyni Splunk və ya ELK, məsələn, AWS, hələ də ənənəvi bulud xidməti təminatçıları tərəfindən hazırlanmayıb). Azure Sentinel və Təhlükəsizlik Mərkəzi Azure bulud üçün SOC adlandırıla bilər və əgər sizin artıq heç bir infrastrukturunuz yoxdursa və bütün hesablama resurslarınızı buluda köçürürsünüzsə və bu, Microsoft bulud Azure olacaqsa, onlarla (müəyyən rezervasiyalarla) məhdudlaşdırıla bilər.

Lakin Azure-un daxili imkanları (sizin Sentinel-ə abunə olsanız belə) informasiya təhlükəsizliyinin monitorinqi və bu prosesi digər təhlükəsizlik hadisələri mənbələri (həm bulud, həm də daxili) ilə inteqrasiya etmək üçün çox vaxt kifayət etmədiyi üçün toplanmış məlumatları SIEM daxil ola biləcək xarici sistemlərə ixrac etmək lazımdır. Bu, həm API-dən istifadə etməklə, həm də hazırda rəsmi olaraq yalnız aşağıdakı SIEM-lər üçün mövcud olan xüsusi genişləndirmələrdən istifadə etməklə həyata keçirilir - Splunk (Splunk üçün Azure Monitor Add-On), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight və ELK. Son vaxtlara qədər belə SIEM-lər daha çox idi, lakin 1-cu il iyunun 2019-dən Microsoft Azure-un mövcud olduğu vaxtda və loglarla işləmək üçün normal standartlaşma olmadığı halda (Azure) Azure Log Integration Tool-u (AzLog) dəstəkləməyi dayandırdı. Monitor hələ mövcud deyildi) xarici SIEM-i Microsoft buluduna asanlıqla inteqrasiya etdi. İndi vəziyyət dəyişib və Microsoft digər SIEM-lər üçün əsas inteqrasiya vasitəsi kimi Azure Event Hub platformasını tövsiyə edir. Çoxları bu cür inteqrasiyanı artıq həyata keçirib, lakin ehtiyatlı olun - onlar bütün Azure qeydlərini tutmaya bilər, ancaq bəzilərini (SIEM-iniz üçün sənədlərə baxın).

Azure-a qısa ekskursiyaya yekun vuraraq, mən bu bulud xidməti haqqında ümumi tövsiyə vermək istərdim - Azure-da informasiya təhlükəsizliyinin monitorinqi funksiyaları haqqında heç nə deməzdən əvvəl, siz onları çox diqqətlə konfiqurasiya etməli və sənədlərdə yazılan kimi işlədiyini yoxlamalısınız. məsləhətçilərin sizə Microsoft-a dediyi kimi (və onların Azure funksiyalarının funksionallığına fərqli baxışları ola bilər). Əgər maliyyə resurslarınız varsa, məlumat təhlükəsizliyinin monitorinqi baxımından Azure-dan çoxlu faydalı məlumatları sıxışdıra bilərsiniz. Əgər resurslarınız məhduddursa, AWS-də olduğu kimi, siz yalnız öz gücünüzə və Azure Monitorun sizə təqdim etdiyi xam məlumatlara etibar etməli olacaqsınız. Unutmayın ki, bir çox monitorinq funksiyası pula başa gəlir və qiymət siyasəti ilə əvvəlcədən tanış olmaq daha yaxşıdır. Məsələn, hər bir müştəri üçün maksimum 31 GB-a qədər 5 günlük məlumatı pulsuz saxlaya bilərsiniz - bu dəyərləri aşmaq sizdən əlavə pul ayırmağınızı tələb edəcək (müştəridən hər əlavə GB saxlamaq üçün təxminən $2+ və $0,1 üçün) hər əlavə ayda 1 GB saxlama). Tətbiq telemetriyası və ölçüləri ilə işləmək, həmçinin xəbərdarlıqlar və bildirişlərlə işləmək üçün əlavə vəsait tələb edə bilər (müəyyən limit pulsuzdur, ehtiyaclarınız üçün kifayət etməyə bilər).

Nümunə: Google Bulud Platforması əsasında IaaS-də məlumat təhlükəsizliyi monitorinqi

Google Bulud Platforması AWS və Azure ilə müqayisədə gənc kimi görünür, lakin bu qismən yaxşıdır. Öz imkanlarını, o cümlədən təhlükəsizlik imkanlarını tədricən artıran AWS-dən fərqli olaraq, mərkəzləşdirmə ilə bağlı problemlər yaranır; GCP, Azure kimi, mərkəzdən daha yaxşı idarə olunur ki, bu da müəssisə üzrə səhvləri və icra müddətini azaldır. Təhlükəsizlik baxımından GCP, qəribə də olsa, AWS və Azure arasındadır. O, həmçinin bütün təşkilat üçün vahid tədbir qeydiyyatına malikdir, lakin bu, natamamdır. Bəzi funksiyalar hələ də beta rejimindədir, lakin tədricən bu çatışmazlıq aradan qaldırılmalıdır və GCP informasiya təhlükəsizliyinin monitorinqi baxımından daha yetkin platformaya çevriləcəkdir.

GCP-də hadisələri qeyd etmək üçün əsas alət bütün bulud infrastrukturunuzda (həmçinin AWS-dən) hadisələri toplamağa imkan verən Stackdriver Logging-dir (Azure Monitor-a bənzər). GCP-də təhlükəsizlik baxımından hər bir təşkilat, layihə və ya qovluqda dörd qeyd var:

• Admin Fəaliyyəti - inzibati girişlə əlaqəli bütün hadisələri ehtiva edir, məsələn, virtual maşın yaratmaq, giriş hüquqlarının dəyişdirilməsi və s. Bu jurnal sizin istəyinizdən asılı olmayaraq həmişə yazılır və məlumatlarını 400 gün saxlayır.
• Data Access - bulud istifadəçilərinin məlumatlarla işləməsi ilə bağlı bütün hadisələri (yaratma, dəyişdirmə, oxuma və s.) ehtiva edir. Varsayılan olaraq, bu jurnal yazılmır, çünki həcmi çox tez şişir. Bu səbəbdən onun saxlama müddəti cəmi 30 gündür. Bundan əlavə, bu jurnalda hər şey yazılmır. Məsələn, bütün istifadəçilər üçün açıq olan və ya GCP-yə daxil olmadan əlçatan olan resurslarla bağlı hadisələr ona yazılmır.
• Sistem hadisəsi - istifadəçilərlə əlaqəli olmayan sistem hadisələrini və ya bulud resurslarının konfiqurasiyasını dəyişdirən administratorun hərəkətlərini ehtiva edir. Həmişə yazılır və 400 gün saxlanılır.
• Giriş Şəffaflığı öz iş vəzifələrinin bir hissəsi kimi infrastrukturunuza daxil olan Google işçilərinin (lakin hələ bütün GCP xidmətləri üçün deyil) bütün hərəkətlərini tutan jurnalın unikal nümunəsidir. Bu jurnal 400 gün saxlanılır və hər bir GCP müştərisi üçün əlçatan deyil, ancaq bir sıra şərtlər yerinə yetirildikdə (ya Gold və ya Platinum səviyyəli dəstək, ya da korporativ dəstəyin bir hissəsi kimi müəyyən növdə 4 rolun olması). Bənzər bir funksiya, məsələn, Office 365 - Lockbox-da da mövcuddur.

Giriş nümunəsi: Şəffaflığa giriş

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Bu qeydlərə giriş bir neçə yolla mümkündür (əvvəllər müzakirə olunmuş Azure və AWS ilə eyni şəkildə) - Log Viewer interfeysi, API vasitəsilə, Google Cloud SDK vasitəsilə və ya layihənizin Fəaliyyət səhifəsi vasitəsilə. hadisələrlə maraqlanırlar. Eyni şəkildə, onlar əlavə təhlil üçün xarici həllərə ixrac edilə bilər. Sonuncu, logları BigQuery və ya Cloud Pub/Sub yaddaşına ixrac etməklə həyata keçirilir.

Stackdriver Logging ilə yanaşı, GCP platforması bulud xidmətləri və tətbiqlərinin əsas göstəricilərinə (performans, MTBF, ümumi sağlamlıq və s.) nəzarət etməyə imkan verən Stackdriver Monitoring funksionallığını da təklif edir. İşlənmiş və vizuallaşdırılmış məlumatlar bulud infrastrukturunuzda, o cümlədən təhlükəsizlik kontekstində problemlərin tapılmasını asanlaşdıra bilər. Ancaq qeyd etmək lazımdır ki, bu funksionallıq informasiya təhlükəsizliyi kontekstində çox zəngin olmayacaq, çünki bu gün GCP-nin eyni AWS GuardDuty analoqu yoxdur və bütün qeydə alınmış hadisələr arasında pis olanları müəyyən edə bilmir (Google Hadisə Təhlükəsinin Aşkarlanması, lakin o, hələ beta-da inkişaf mərhələsindədir və onun faydalılığı haqqında danışmaq hələ tezdir). Stackdriver Monitoring anomaliyaları aşkar etmək üçün bir sistem kimi istifadə edilə bilər, sonra onların baş vermə səbəblərini tapmaq üçün araşdırılacaqdır. Lakin bazarda GCP informasiya təhlükəsizliyi sahəsində ixtisaslı kadrların çatışmazlığını nəzərə alsaq, bu vəzifə hazırda çətin görünür.

GCP buludunuzda istifadə oluna bilən və AWS-in təklif etdiyinə bənzər bəzi informasiya təhlükəsizliyi modullarının siyahısını təqdim etməyə dəyər:

• Cloud Security Command Center AWS Security Hub və Azure Security Center-in analoqudur.
• Cloud DLP - 90-dan çox əvvəlcədən təyin edilmiş təsnifat siyasətindən istifadə edərək buludda yerləşdirilən məlumatların avtomatik aşkarlanması və redaktəsi (məsələn, maskalanması).
• Cloud Scanner App Engine, Compute Engine və Google Kubernetes-də məlum boşluqlar (XSS, Flash Injection, yamaqsız kitabxanalar və s.) üçün skanerdir.
• Cloud IAM - Bütün GCP resurslarına girişi idarə edin.
• Cloud Identity - GCP istifadəçi, cihaz və proqram hesablarını bir konsoldan idarə edin.
• Cloud HSM - kriptoqrafik açarların qorunması.
• Bulud Açar İdarəetmə Xidməti - GCP-də kriptoqrafik açarların idarə edilməsi.
• VPC Xidmətinə Nəzarət - GCP resurslarınızı sızmalardan qorumaq üçün onların ətrafında təhlükəsiz perimetr yaradın.
• Titan Təhlükəsizlik Açarı - fişinqdən qorunma.

Bu modulların çoxu SIEM daxil olmaqla təhlil və ya digər sistemlərə ixrac üçün BigQuery yaddaşına göndərilə bilən təhlükəsizlik hadisələri yaradır. Yuxarıda qeyd edildiyi kimi, GCP fəal inkişaf edən platformadır və Google hazırda öz platforması üçün bir sıra yeni informasiya təhlükəsizliyi modulları hazırlayır. Onların arasında icazəsiz fəaliyyətin izlərini (AWS-də GuardDuty-nin analoqu) axtarmaq üçün Stackdriver jurnallarını skan edən Hadisə Təhlükəsinin Aşkarlanması (hazırda beta versiyada mövcuddur) və ya Siyasət Kəşfiyyatı (alfa-da mövcuddur), bu proqramlar üçün ağıllı siyasətlər hazırlamağa imkan verəcəkdir. GCP resurslarına giriş.

Populyar bulud platformalarında quraşdırılmış monitorinq imkanlarına qısa nəzər saldım. Bəs sizin “xam” IaaS provayder qeydləri ilə işləməyi bacaran mütəxəssisləriniz varmı (hamı AWS, Azure və ya Google-un qabaqcıl imkanlarını almağa hazır deyil)? Bundan əlavə, çoxları təhlükəsizlik sahəsində həmişəkindən daha doğru olan “güvən, amma yoxla” məsəli ilə tanışdır. Sizə məlumat təhlükəsizliyi hadisələri göndərən bulud provayderinin daxili imkanlarına nə dərəcədə etibar edirsiniz? Ümumiyyətlə, onlar informasiya təhlükəsizliyinə nə dərəcədə diqqət yetirirlər?

Bəzən daxili bulud təhlükəsizliyini tamamlaya bilən üst-üstə düşən bulud infrastrukturunun monitorinqi həllərinə baxmağa dəyər və bəzən belə həllər buludda yerləşdirilən məlumatların və proqramların təhlükəsizliyinə dair fikir əldə etmək üçün yeganə seçimdir. Bundan əlavə, onlar sadəcə olaraq daha rahatdırlar, çünki müxtəlif bulud provayderlərinin müxtəlif bulud xidmətləri tərəfindən yaradılan zəruri qeydləri təhlil etmək üçün bütün vəzifələri öz üzərinə götürürlər. Belə üst-üstə düşmə həllinə misal olaraq, tək bir vəzifəyə yönəlmiş Cisco Stealthwatch Cloud-u göstərmək olar - bulud mühitlərində, o cümlədən təkcə Amazon AWS, Microsoft Azure və Google Cloud Platformu deyil, həm də şəxsi buludlar da daxil olmaqla, informasiya təhlükəsizliyi anomaliyalarının monitorinqi.

Nümunə: Stealthwatch Cloud istifadə edərək İnformasiya Təhlükəsizliyi Monitorinqi

AWS çevik hesablama platforması təmin edir, lakin bu çeviklik şirkətlərin təhlükəsizlik problemlərinə səbəb olan səhvlərə yol verməsini asanlaşdırır. Və paylaşılan informasiya təhlükəsizliyi modeli yalnız buna kömək edir. Buludda naməlum zəiflikləri olan proqram təminatının işlədilməsi (məlum olanlarla, məsələn, AWS Inspector və ya GCP Cloud Scanner tərəfindən mübarizə aparıla bilər), zəif parollar, yanlış konfiqurasiyalar, insayderlər və s. Və bütün bunlar informasiya təhlükəsizliyinin monitorinqi və hücumların aşkarlanması sistemi olan Cisco Stealthwatch Cloud tərəfindən izlənilə bilən bulud resurslarının davranışında əks olunur. ictimai və şəxsi buludlar.

Cisco Stealthwatch Cloud-un əsas xüsusiyyətlərindən biri obyektləri modelləşdirmək qabiliyyətidir. Bununla siz bulud resurslarınızın hər birinin proqram modelini (yəni real vaxta yaxın simulyasiya) yarada bilərsiniz (onun AWS, Azure, GCP və ya başqa bir şey olmasının fərqi yoxdur). Bunlara serverlər və istifadəçilər, həmçinin təhlükəsizlik qrupları və avtomatik miqyaslı qruplar kimi bulud mühitinizə xas resurs növləri daxil ola bilər. Bu modellər giriş kimi bulud xidmətləri tərəfindən təmin edilən strukturlaşdırılmış məlumat axınlarından istifadə edir. Məsələn, AWS üçün bunlar VPC Flow Logs, AWS CloudTrail, AWS CloudWatch, AWS Config, AWS Inspector, AWS Lambda və AWS IAM olacaq. Müəssisə modelləşdirməsi hər hansı bir resursunuzun rolunu və davranışını avtomatik aşkar edir (bütün bulud fəaliyyətinin profilləşdirilməsi haqqında danışa bilərsiniz). Bu rollara Android və ya Apple mobil cihazı, Citrix PVS serveri, RDP serveri, poçt şlüzü, VoIP müştərisi, terminal serveri, domen nəzarətçisi və s. daxildir. Daha sonra riskli və ya təhlükəsizliyə təhlükə yaradan davranışın nə vaxt baş verdiyini müəyyən etmək üçün onların davranışlarına davamlı olaraq nəzarət edir. Siz parol təxminlərini, DDoS hücumlarını, məlumat sızmasını, qeyri-qanuni uzaqdan girişi, zərərli kod fəaliyyətini, zəifliyin skan edilməsini və digər təhlükələri müəyyən edə bilərsiniz. Məsələn, təşkilatınız üçün qeyri-adi bir ölkədən (Cənubi Koreya) SSH vasitəsilə Kubernetes klasterinə uzaqdan giriş cəhdinin aşkarlanması belə görünür:

Postgress verilənlər bazasından əvvəllər qarşılıqlı əlaqədə olmadığımız bir ölkəyə məlumat sızması belə görünür:

Nəhayət, xarici uzaq cihazdan Çin və İndoneziyadan edilən çoxlu uğursuz SSH cəhdləri belə görünür:

Və ya fərz edək ki, VPC-dəki server nümunəsi siyasətə görə heç vaxt uzaqdan giriş yeri olmayacaq. Bundan əlavə, fərz edək ki, bu kompüter firewall qaydaları siyasətində səhv dəyişiklik səbəbindən uzaqdan daxil olub. Müəssisə Modelləşdirmə xüsusiyyəti yaxın real vaxt rejimində bu fəaliyyəti (“Qeyri-adi Uzaqdan Giriş”) aşkar edəcək və hesabat verəcək və xüsusi AWS CloudTrail, Azure Monitor və ya GCP Stackdriver Logging API çağırışına işarə edəcək (istifadəçi adı, tarix və vaxt, digər detallar daxil olmaqla) BTİ qaydasına dəyişiklik edilməsinə səbəb oldu. Və sonra bu məlumat təhlil üçün SIEM-ə göndərilə bilər.

Oxşar imkanlar Cisco Stealthwatch Cloud tərəfindən dəstəklənən istənilən bulud mühiti üçün həyata keçirilir:

Müəssisə modelləşdirməsi işçiləriniz, prosesləriniz və ya texnologiyanızla əvvəllər məlum olmayan problemi aşkarlaya bilən təhlükəsizlik avtomatlaşdırılmasının unikal formasıdır. Məsələn, o, digər şeylərlə yanaşı, aşağıdakı kimi təhlükəsizlik problemlərini aşkar etməyə imkan verir:

• Kimsə istifadə etdiyimiz proqram təminatında arxa qapı aşkar edibmi?
• Buludumuzda üçüncü tərəf proqramı və ya cihazı varmı?
• Səlahiyyətli istifadəçi imtiyazlardan sui-istifadə edirmi?
• Uzaqdan girişə və ya resursların digər məqsədsiz istifadəsinə icazə verən konfiqurasiya xətası olubmu?
• Serverlərimizdən məlumat sızması varmı?
• Kimsə bizə qeyri-adi coğrafi məkandan qoşulmağa çalışırdı?
• Buludumuz zərərli kodla yoluxmuşdur?

Aşkar edilmiş informasiya təhlükəsizliyi hadisəsi Slack, Cisco Spark, PagerDuty insidentlərin idarə edilməsi sisteminə müvafiq bilet şəklində göndərilə bilər, həmçinin Splunk və ya ELK daxil olmaqla müxtəlif SIEM-lərə göndərilə bilər. Xülasə etmək üçün deyə bilərik ki, əgər şirkətiniz çoxlu bulud strategiyasından istifadə edirsə və hər hansı bir bulud provayderi ilə məhdudlaşmırsa, yuxarıda təsvir edilən məlumat təhlükəsizliyinin monitorinqi imkanları, o zaman Cisco Stealthwatch Cloud-dan istifadə vahid monitorinq dəsti əldə etmək üçün yaxşı seçimdir. aparıcı bulud oyunçuları üçün imkanlar - Amazon , Microsoft və Google. Ən maraqlısı odur ki, Stealthwatch Cloud-un qiymətlərini AWS, Azure və ya GCP-də məlumat təhlükəsizliyi monitorinqi üçün qabaqcıl lisenziyalarla müqayisə etsəniz, Cisco həllinin Amazon, Microsoft-un daxili imkanlarından daha ucuz olacağı ortaya çıxa bilər. və Google həlləri. Bu paradoksaldır, lakin bu, doğrudur. Və nə qədər çox bulud və onların imkanlarından istifadə etsəniz, birləşdirilmiş həllin üstünlüyü bir o qədər aydın olacaq.

Bundan əlavə, Stealthwatch Cloud təşkilatınızda yerləşdirilən şəxsi buludları, məsələn, Kubernetes konteynerləri əsasında və ya şəbəkə avadanlığında (hətta yerli istehsalda), AD məlumatlarında və ya DNS serverlərində və s. əks etdirmə yolu ilə alınan Netflow axınlarını və ya şəbəkə trafikini izləməklə izləyə bilər. Bütün bu məlumatlar dünyanın ən böyük qeyri-hökumət təşkilatı kibertəhlükəsizlik təhdidləri tədqiqatçıları qrupu olan Cisco Talos tərəfindən toplanan Threat Intelligence məlumatları ilə zənginləşdiriləcək.

Bu, şirkətinizin istifadə edə biləcəyi həm ictimai, həm də hibrid buludlar üçün vahid monitorinq sistemini tətbiq etməyə imkan verir. Toplanmış məlumat daha sonra Stealthwatch Cloud-un daxili imkanlarından istifadə etməklə təhlil edilə bilər və ya SIEM-ə göndərilə bilər (Splunk, ELK, SumoLogic və bir neçə başqaları standart olaraq dəstəklənir).

Bununla, bulud mühitlərində baş verən hadisələri tez bir zamanda aşkar etməyə və onlara cavab verməyə imkan verən IaaS/PaaS platformalarının informasiya təhlükəsizliyinin monitorinqi üçün daxili və xarici alətləri nəzərdən keçirdiyim məqalənin birinci hissəsini tamamlayacağıq. bizim müəssisə seçdi. İkinci hissədə biz mövzunu davam etdirəcəyik və Salesforce və Dropbox nümunəsindən istifadə edərək SaaS platformalarının monitorinqi variantlarına baxacağıq, həmçinin müxtəlif bulud provayderləri üçün vahid informasiya təhlükəsizliyi monitorinqi sistemi yaratmaqla hər şeyi ümumiləşdirməyə və bir araya gətirməyə çalışacağıq.

Mənbə: www.habr.com