Getdikcə daha çox istifadəçi bütün İT infrastrukturunu ictimai buluda gətirir. Bununla belə, müştərinin infrastrukturunda antivirus nəzarəti kifayət deyilsə, ciddi kiber risklər yaranır. Təcrübə göstərir ki, mövcud virusların 80%-ə qədəri virtual mühitdə mükəmməl yaşayır. Bu yazıda biz ictimai buludda İT resurslarını necə qorumaq və ənənəvi antivirusların niyə bu məqsədlər üçün tamamilə uyğun olmadığı barədə danışacağıq.
Başlamaq üçün sizə adi antivirus mühafizə vasitələrinin ictimai bulud üçün uyğun olmadığı və resursları qorumaq üçün başqa yanaşmaların tələb olunduğu fikrinə necə gəldiyimizi söyləyəcəyik.
Birincisi, provayderlər ümumiyyətlə bulud platformalarının yüksək səviyyədə qorunmasını təmin etmək üçün lazımi tədbirləri təmin edirlər. Məsələn, #CloudMTS-də biz bütün şəbəkə trafikini təhlil edirik, buludumuzun təhlükəsizlik sistemlərinin qeydlərinə nəzarət edirik və mütəmadi olaraq pentestlər həyata keçiririk. Fərdi müştərilərə ayrılmış bulud seqmentləri də etibarlı şəkildə qorunmalıdır.
İkincisi, kiber risklərlə mübarizənin klassik variantı hər bir virtual maşında antivirus və antivirus idarəetmə vasitələrinin quraşdırılmasını nəzərdə tutur. Bununla belə, çox sayda virtual maşınla bu təcrübə səmərəsiz ola bilər və əhəmiyyətli miqdarda hesablama resursları tələb edir, bununla da müştərinin infrastrukturunu daha da yükləyir və buludun ümumi performansını azaldır. Bu, müştəri virtual maşınları üçün effektiv antivirus müdafiəsi yaratmaq üçün yeni yanaşmaların axtarışı üçün əsas şərt oldu.
Bundan əlavə, bazarda olan əksər antivirus həlləri ictimai bulud mühitində İT resurslarının qorunması problemlərini həll etmək üçün uyğunlaşdırılmayıb. Bir qayda olaraq, bunlar ağır çəkili EPP həlləridir (Endpoint Protection Platforms), üstəlik bulud provayderinin müştəri tərəfində lazımi fərdiləşdirməni təmin etmir.
Aydın olur ki, ənənəvi antivirus həlləri buludda işləmək üçün uyğun deyil, çünki yeniləmələr və skanlar zamanı virtual infrastrukturu ciddi şəkildə yükləyirlər, həmçinin rol əsaslı idarəetmə və parametrlərin lazımi səviyyələrinə malik deyillər. Sonra, buludun nə üçün anti-virus qorunması üçün yeni yanaşmalara ehtiyacı olduğunu ətraflı təhlil edəcəyik.
İctimai buludda olan bir antivirus nə edə bilməlidir
Beləliklə, virtual mühitdə işləməyin xüsusiyyətlərinə diqqət yetirək:
Yeniləmələrin və planlaşdırılan kütləvi skanların səmərəliliyi. Ənənəvi antivirusdan istifadə edən əhəmiyyətli sayda virtual maşın eyni vaxtda yeniləməyə başlasa, buludda yenilənmələrin "fırtınası" meydana gələcək. Bir neçə virtual maşına sahib olan ESXi hostunun gücü standart olaraq işləyən oxşar tapşırıqların qarşısını almaq üçün kifayət etməyə bilər. Bulud provayderinin nöqteyi-nəzərindən belə bir problem bir sıra ESXi hostlarında əlavə yüklənmələrə səbəb ola bilər ki, bu da son nəticədə bulud virtual infrastrukturunun performansının aşağı düşməsinə səbəb olacaq. Bu, digər şeylərlə yanaşı, digər bulud müştərilərinin virtual maşınlarının işinə təsir göstərə bilər. Kütləvi skan etməyə başladıqda oxşar vəziyyət yarana bilər: müxtəlif istifadəçilərin bir çox oxşar sorğularının disk sistemi tərəfindən eyni vaxtda işlənməsi bütün buludun işinə mənfi təsir göstərəcəkdir. Yüksək dərəcədə ehtimalla, saxlama sisteminin performansının azalması bütün müştərilərə təsir edəcəkdir. Bu cür qəfil yüklər nə provayderi, nə də onun müştərilərini sevindirmir, çünki onlar buluddakı “qonşulara” təsir edir. Bu baxımdan ənənəvi antivirus böyük problem yarada bilər.
Təhlükəsiz karantin. Sistemdə potensial olaraq virusa yoluxmuş fayl və ya sənəd aşkar edilərsə, o, karantinə göndərilir. Əlbəttə ki, yoluxmuş fayl dərhal silinə bilər, lakin bu, əksər şirkətlər üçün qəbuledilməzdir. Provayderin buludunda işləmək üçün uyğunlaşdırılmayan korporativ müəssisə antivirusları, bir qayda olaraq, ümumi karantin zonasına malikdir - bütün yoluxmuş obyektlər ona düşür. Məsələn, şirkət istifadəçilərinin kompüterlərində tapılanlar. Bulud provayderinin müştəriləri öz seqmentlərində (və ya icarəçilərində) “yaşayırlar”. Bu seqmentlər qeyri-şəffaf və təcrid olunur: müştərilər bir-birləri haqqında bilmirlər və təbii ki, başqalarının buludda nə yerləşdirdiyini görmürlər. Aydındır ki, buludda olan bütün antivirus istifadəçilərinin əldə edə biləcəyi ümumi karantin potensial olaraq məxfi məlumatları və ya kommersiya sirrini ehtiva edən sənədi əhatə edə bilər. Bu provayder və onun müştəriləri üçün qəbuledilməzdir. Buna görə də, yalnız bir həll ola bilər - nə provayderin, nə də digər müştərilərin çıxışı olmadığı seqmentində hər bir müştəri üçün şəxsi karantin.
Fərdi təhlükəsizlik siyasəti. Buluddakı hər bir müştəri İT departamenti öz təhlükəsizlik siyasətlərini təyin edən ayrıca şirkətdir. Məsələn, administratorlar skan etmə qaydalarını müəyyən edir və antivirus taramalarını planlaşdırırlar. Müvafiq olaraq, hər bir təşkilatın antivirus siyasətlərini konfiqurasiya etmək üçün öz nəzarət mərkəzi olmalıdır. Eyni zamanda, göstərilən parametrlər digər bulud müştərilərinə təsir etməməlidir və provayder, məsələn, antivirus yeniləmələrinin bütün müştəri virtual maşınları üçün normal şəkildə həyata keçirildiyini yoxlaya bilməlidir.
Billinq və lisenziyalaşdırmanın təşkili. Bulud modeli çeviklik ilə xarakterizə olunur və yalnız müştərinin istifadə etdiyi İT resurslarının məbləğinin ödənilməsini nəzərdə tutur. Ehtiyac varsa, məsələn, mövsümiliyə görə, o zaman resursların miqdarı tez bir zamanda artırıla və ya azaldıla bilər - hamısı hesablama gücünə cari ehtiyaclara əsaslanır. Ənənəvi antivirus o qədər də çevik deyil - bir qayda olaraq, müştəri əvvəlcədən müəyyən edilmiş sayda server və ya iş stansiyaları üçün bir il müddətinə lisenziya alır. Bulud istifadəçiləri cari ehtiyaclarından asılı olaraq əlavə virtual maşınları müntəzəm olaraq ayırır və qoşurlar - müvafiq olaraq antivirus lisenziyaları eyni modeli dəstəkləməlidir.
İkinci sual, lisenziyanın tam olaraq nəyi əhatə edəcəyidir. Ənənəvi antivirus serverlərin və ya iş stansiyalarının sayına görə lisenziyalaşdırılır. Qorunan virtual maşınların sayına əsaslanan lisenziyalar bulud modeli daxilində tamamilə uyğun deyil. Müştəri mövcud resurslardan ona uyğun istənilən sayda virtual maşın yarada bilər, məsələn, beş və ya on maşın. Bu rəqəm əksər müştərilər üçün sabit deyil, bizim provayder olaraq onun dəyişikliklərini izləmək mümkün deyil. CPU tərəfindən lisenziyalaşdırmanın texniki imkanı yoxdur: müştərilər lisenziyalaşdırma üçün istifadə edilməli olan virtual prosessorlar (vCPU) alırlar. Beləliklə, yeni antivirus mühafizə modeli müştərinin antivirus lisenziyalarını alacağı lazımi sayda vCPU-ları müəyyən etmək qabiliyyətini özündə ehtiva etməlidir.
Qanunvericiliyə uyğunluq. Əhəmiyyətli bir məqam, çünki istifadə olunan həllər tənzimləyicinin tələblərinə uyğunluğu təmin etməlidir. Məsələn, bulud "sakinləri" çox vaxt şəxsi məlumatlarla işləyir. Bu halda, provayder Fərdi Məlumatlar haqqında Qanunun tələblərinə tam cavab verən ayrıca sertifikatlaşdırılmış bulud seqmentinə malik olmalıdır. Sonra şirkətlərə fərdi məlumatlar ilə işləmək üçün bütün sistemi müstəqil şəkildə "qurmağa" ehtiyac yoxdur: sertifikatlaşdırılmış avadanlıq almaq, qoşulmaq və konfiqurasiya etmək və sertifikatlaşdırmadan keçmək. Belə müştərilərin ISPD-nin kiber müdafiəsi üçün antivirus həm də Rusiya qanunvericiliyinin tələblərinə cavab verməli və FSTEC sertifikatına malik olmalıdır.
İctimai buludda antivirus qorunmasının cavab verməli olduğu məcburi meyarlara baxdıq. Sonra, provayderin buludunda işləmək üçün antivirus həllini uyğunlaşdırmaqda öz təcrübəmizi bölüşəcəyik.
Antivirus və bulud arasında necə dostluq etmək olar?
Təcrübəmizin göstərdiyi kimi, təsvir və sənədləşdirmə əsasında həll variantının seçilməsi bir şeydir, lakin artıq işləyən bulud mühitində onun praktikada tətbiqi mürəkkəblik baxımından tamamilə fərqli bir vəzifədir. Biz sizə praktikada nə etdiyimizi və provayderin ictimai buludunda işləmək üçün antivirusu necə uyğunlaşdırdığımızı söyləyəcəyik. Antivirus həllinin satıcısı Kaspersky idi, onun portfelinə bulud mühitləri üçün antivirus müdafiəsi həlləri daxildir. Biz “Kaspersky Security for Virtualization” (Light Agent) üzərində qərarlaşdıq.
Buraya tək Kaspersky Security Center konsolu daxildir. Light agent və təhlükəsizlik virtual maşınları (SVM, Security Virtual Machine) və KSC inteqrasiya serveri.
Kaspersky həllinin arxitekturasını öyrəndikdən və satıcının mühəndisləri ilə birlikdə ilk sınaqları keçirdikdən sonra xidməti buludla inteqrasiya etmək barədə sual yarandı. İlk tətbiq Moskva bulud saytında birgə həyata keçirilib. Və bunu başa düşdük.
Şəbəkə trafikini minimuma endirmək üçün hər bir ESXi hostunda SVM yerləşdirmək və SVM-ni ESXi hostlarına “bağlamaq” qərara alındı. Bu halda, qorunan virtual maşınların yüngül agentləri işlədikləri dəqiq ESXi hostunun SVM-inə daxil olurlar. Əsas KSC üçün ayrıca inzibati icarəçi seçildi. Nəticədə, tabeli KSC-lər hər bir fərdi müştərinin kirayəçilərində yerləşir və idarəetmə seqmentində yerləşən üstün KSC-yə müraciət edirlər. Bu sxem müştəri icarəçilərində yaranan problemləri tez həll etməyə imkan verir.
Antivirus həllinin özünün komponentlərinin artırılması ilə bağlı problemlərdən əlavə, əlavə VxLAN-ların yaradılması yolu ilə şəbəkə qarşılıqlı əlaqəsini təşkil etmək vəzifəsi ilə qarşılaşdıq. Həll əvvəlcə şəxsi buludları olan müəssisə müştəriləri üçün nəzərdə tutulsa da, NSX Edge-in mühəndislik fərasəti və texnoloji çevikliyi ilə biz kirayəçilərin ayrılması və lisenziyalaşdırma ilə bağlı bütün problemləri həll edə bildik.
Biz Kaspersky mühəndisləri ilə sıx əməkdaşlıq etdik. Beləliklə, sistem komponentləri arasında şəbəkə qarşılıqlı əlaqəsi baxımından həll arxitekturasının təhlili prosesində məlum oldu ki, işıq agentlərindən SVM-ə daxil olmaqdan əlavə, əks əlaqə də zəruridir - SVM-dən işıq agentlərinə. Müxtəlif bulud icarəçilərində virtual maşınların eyni şəbəkə parametrlərinin mümkünlüyü səbəbindən bu şəbəkə bağlantısı çox kirayəçi mühitdə mümkün deyil. Buna görə də, bizim xahişimizə əsasən, satıcıdan olan həmkarlar SVM-dən işıq agentlərinə şəbəkə bağlantısı ehtiyacını aradan qaldırmaq baxımından işıq agenti və SVM arasında şəbəkə qarşılıqlı əlaqə mexanizmini yenidən işləyiblər.
Həll Moskva bulud saytında yerləşdirildikdən və sınaqdan keçirildikdən sonra biz onu digər saytlara, o cümlədən sertifikatlaşdırılmış bulud seqmentinə təkrarladıq. Xidmət artıq ölkənin bütün bölgələrində mövcuddur.
Yeni yanaşma çərçivəsində informasiya təhlükəsizliyi həllinin arxitekturası
Ümumi bulud mühitində antivirus həllinin ümumi işləmə sxemi aşağıdakı kimidir:
#CloudMTS ictimai bulud mühitində antivirus həllinin işləmə sxemi
Buludda həllin ayrı-ayrı elementlərinin işləmə xüsusiyyətlərini təsvir edək:
• Müştərilərə mühafizə sistemini mərkəzləşdirilmiş şəkildə idarə etməyə imkan verən tək konsol: skanları yerinə yetirmək, yeniləmələrə nəzarət etmək və karantin zonalarına nəzarət etmək. Seqmentinizdə fərdi təhlükəsizlik siyasətlərini konfiqurasiya etmək mümkündür.
Qeyd edək ki, biz xidmət təminatçısı olsaq da, müştərilər tərəfindən qoyulan parametrlərə müdaxilə etmirik. Yenidən konfiqurasiya lazımdırsa, edə biləcəyimiz yeganə şey təhlükəsizlik siyasətlərini standart olanlara sıfırlamaqdır. Məsələn, müştəri təsadüfən onları sıxıb və ya əhəmiyyətli dərəcədə zəiflətdisə, bu lazım ola bilər. Şirkət həmişə defolt siyasətləri olan bir nəzarət mərkəzi ala bilər, sonra müstəqil olaraq konfiqurasiya edə bilər. Kaspersky Security Center-in dezavantajı platformanın hazırda yalnız Microsoft əməliyyat sistemi üçün əlçatan olmasıdır. Baxmayaraq ki, yüngül agentlər həm Windows, həm də Linux maşınları ilə işləyə bilər. Bununla belə, Kaspersky Laboratoriyası yaxın gələcəkdə KSC-nin Linux ƏS altında işləyəcəyini vəd edir. KSC-nin mühüm funksiyalarından biri karantini idarə etmək bacarığıdır. Buludumuzdakı hər bir müştəri şirkətinin şəxsi şirkəti var. Bu yanaşma, ümumi karantinli klassik korporativ antivirus vəziyyətində baş verə biləcəyi kimi, virusa yoluxmuş sənədin təsadüfən ictimaiyyətə göründüyü halları aradan qaldırır.
• Yüngül agentlər. Yeni modelin bir hissəsi olaraq hər bir virtual maşında yüngül Kaspersky Security agenti quraşdırılıb. Bu, hər bir VM-də anti-virus verilənlər bazasını saxlamaq ehtiyacını aradan qaldırır ki, bu da tələb olunan disk sahəsinin miqdarını azaldır. Xidmət bulud infrastrukturu ilə inteqrasiya olunub və SVM vasitəsilə işləyir ki, bu da ESXi hostunda virtual maşınların sıxlığını və bütün bulud sisteminin işini artırır. İşıq agenti hər bir virtual maşın üçün tapşırıqlar növbəsini qurur: fayl sistemini, yaddaşı və s. Lakin SVM bu əməliyyatları yerinə yetirmək üçün məsuliyyət daşıyır, bu barədə daha sonra danışacağıq. Agent həmçinin təhlükəsizlik divarı kimi fəaliyyət göstərir, təhlükəsizlik siyasətlərinə nəzarət edir, yoluxmuş faylları karantinə göndərir və quraşdırıldığı əməliyyat sisteminin ümumi “sağlamlığına” nəzarət edir. Bütün bunları artıq qeyd olunan tək konsoldan istifadə etməklə idarə etmək olar.
• Təhlükəsizlik Virtual Maşın. Bütün resurs tələb edən tapşırıqlar (antivirus verilənlər bazası yeniləmələri, planlaşdırılmış skanlar) ayrıca Təhlükəsizlik Virtual Maşını (SVM) tərəfindən idarə olunur. O, tam hüquqlu antivirus mühərrikinin və bunun üçün verilənlər bazalarının işinə cavabdehdir. Şirkətin İT infrastrukturuna bir neçə SVM daxil ola bilər. Bu yanaşma sistemin etibarlılığını artırır - əgər bir maşın sıradan çıxsa və otuz saniyə ərzində cavab vermirsə, agentlər avtomatik olaraq digərini axtarmağa başlayır.
• KSC inteqrasiya serveri. Əsas KSC-nin komponentlərindən biri, SVM-lərini parametrlərində göstərilən alqoritmə uyğun olaraq yüngül agentlərə təyin edir və həmçinin SVM-lərin mövcudluğuna nəzarət edir. Beləliklə, bu proqram modulu bulud infrastrukturunun bütün SVM-lərində yük balansını təmin edir.
Buludda işləmək üçün alqoritm: infrastruktura yükün azaldılması
Ümumiyyətlə, antivirus alqoritmini aşağıdakı kimi təqdim etmək olar. Agent virtual maşındakı fayla daxil olur və onu yoxlayır. Yoxlamanın nəticəsi ümumi mərkəzləşdirilmiş SVM hökmü verilənlər bazasında (Paylaşılan Keş adlanır) saxlanılır, hər bir giriş unikal fayl nümunəsini müəyyən edir. Bu yanaşma eyni faylın ardıcıl olaraq bir neçə dəfə skan edilməməsini təmin etməyə imkan verir (məsələn, müxtəlif virtual maşınlarda açılıbsa). Fayl yalnız ona dəyişikliklər edildikdə və ya skan əl ilə başladıldıqda yenidən skan edilir.
Provayderin buludunda antivirus həllinin tətbiqi
Şəkil buludda həllin tətbiqinin ümumi diaqramını göstərir. Əsas Kaspersky Təhlükəsizlik Mərkəzi buludun idarəetmə zonasında yerləşdirilir və KSC inteqrasiya serverindən istifadə edərək hər bir ESXi hostunda fərdi SVM yerləşdirilir (hər bir ESXi hostunun VMware vCenter Serverində xüsusi parametrlərlə əlavə edilmiş öz SVM-i var). Müştərilər agentləri olan virtual maşınların yerləşdiyi öz bulud seqmentlərində işləyirlər. Onlar əsas KSC-yə tabe olan fərdi KSC serverləri vasitəsilə idarə olunur. Az sayda virtual maşını (5-ə qədər) qorumaq lazımdırsa, müştəriyə xüsusi ayrılmış KSC serverinin virtual konsoluna giriş təmin edilə bilər. Müştəri KSC-ləri və əsas KSC, eləcə də yüngül agentlər və SVM-lər arasında şəbəkə qarşılıqlı əlaqəsi EdgeGW müştəri virtual marşrutlaşdırıcıları vasitəsilə NAT-dan istifadə etməklə həyata keçirilir.
Bizim təxminlərimizə və təchizatçıdakı həmkarlarının sınaqlarının nəticələrinə görə, Light Agent müştərilərin virtual infrastrukturuna yükü təxminən 25% azaldır (ənənəvi antivirus proqramından istifadə edən sistemlə müqayisədə). Xüsusilə, fiziki mühitlər üçün standart Kaspersky Endpoint Security (KES) antivirusu yüngül agent əsaslı virtuallaşdırma həlli (2,95%) ilə müqayisədə server CPU vaxtını (1,67%), demək olar ki, iki dəfə çox sərf edir.
CPU yükünün müqayisə diaqramı
Bənzər bir vəziyyət disk yazma girişlərinin tezliyi ilə müşahidə olunur: klassik antivirus üçün bu 1011 IOPS, bulud antivirusu üçün 671 IOPS-dir.
Disk giriş sürətinin müqayisə qrafiki
Performans faydası sizə infrastrukturun sabitliyini qorumağa və hesablama gücündən daha səmərəli istifadə etməyə imkan verir. İctimai bulud mühitində işləməyə uyğunlaşaraq, həll bulud performansını azaltmır: o, mərkəzləşdirilmiş şəkildə faylları yoxlayır və yeniləmələri yükləyir, yükü paylayır. Bu o deməkdir ki, bir tərəfdən bulud infrastrukturuna aid təhlükələr qaçırılmayacaq, digər tərəfdən virtual maşınlar üçün resurs tələbləri ənənəvi antivirusla müqayisədə orta hesabla 25% azalacaq.
Funksionallıq baxımından hər iki həll bir-birinə çox bənzəyir: aşağıda müqayisə cədvəli verilmişdir. Bununla belə, buludda, yuxarıdakı test nəticələrinin göstərdiyi kimi, virtual mühitlər üçün həll yolu istifadə etmək hələ də optimaldır.
Yeni yanaşma çərçivəsində tariflər haqqında. Biz vCPU-ların sayına əsasən lisenziya əldə etməyə imkan verən modeldən istifadə etmək qərarına gəldik. Bu o deməkdir ki, lisenziyaların sayı vCPU-ların sayına bərabər olacaq. Sorğu buraxaraq antivirusunuzu test edə bilərsiniz .
Bulud mövzularına dair növbəti məqalədə bulud WAF-larının təkamülü və nəyi seçmək daha yaxşıdır: aparat, proqram təminatı və ya bulud haqqında danışacağıq.
Mətn #CloudMTS bulud provayderinin əməkdaşları tərəfindən hazırlanıb: aparıcı memar Denis Myaqkov və informasiya təhlükəsizliyi məhsullarının inkişafı üzrə meneceri Aleksey Afanasyev.
Mənbə: www.habr.com