Cada cop són més els usuaris que porten tota la seva infraestructura informàtica al núvol públic. Tanmateix, si el control antivirus és insuficient a la infraestructura del client, sorgeixen seriosos riscos cibernètics. La pràctica demostra que fins a un 80% dels virus existents viuen perfectament en un entorn virtual. En aquest post parlarem de com protegir els recursos informàtics al núvol públic i per què els antivirus tradicionals no són del tot adequats per a aquests propòsits.
Per començar, us explicarem com hem arribat a la idea que les eines de protecció antivirus habituals no són adequades per al núvol públic i que calen altres enfocaments per protegir els recursos.
En primer lloc, els proveïdors generalment proporcionen les mesures necessàries per garantir que les seves plataformes al núvol estiguin protegides a un alt nivell. Per exemple, a #CloudMTS analitzem tot el trànsit de xarxa, supervisem els registres dels sistemes de seguretat del nostre núvol i realitzem pentests periòdicament. Els segments de núvol assignats a clients individuals també s'han de protegir de manera segura.
En segon lloc, l'opció clàssica per combatre els riscos cibernètics passa per instal·lar un antivirus i eines de gestió antivirus a cada màquina virtual. Tanmateix, amb un gran nombre de màquines virtuals, aquesta pràctica pot ser ineficaç i requerir quantitats importants de recursos informàtics, carregant així encara més la infraestructura del client i reduint el rendiment global del núvol. Això s'ha convertit en un requisit previ clau per buscar nous enfocaments per crear una protecció antivirus efectiva per a les màquines virtuals dels clients.
A més, la majoria de solucions antivirus del mercat no estan adaptades per resoldre els problemes de protecció dels recursos informàtics en un entorn de núvol públic. Com a regla general, són solucions EPP de gran pes (Endpoint Protection Platforms), que, a més, no proporcionen la personalització necessària al costat del client del proveïdor de núvol.
Es fa obvi que les solucions antivirus tradicionals no són adequades per treballar al núvol, ja que carreguen seriosament la infraestructura virtual durant les actualitzacions i les exploracions i, a més, no tenen els nivells necessaris de gestió i configuració basada en rols. A continuació, analitzarem en detall per què el núvol necessita nous enfocaments per a la protecció antivirus.
Què hauria de ser capaç de fer un antivirus en un núvol públic
Per tant, prestem atenció a les especificitats de treballar en un entorn virtual:
Eficàcia de les actualitzacions i exploracions massives programades. Si un nombre important de màquines virtuals que utilitzen un antivirus tradicional inicien una actualització al mateix temps, es produirà una anomenada "tempesta" d'actualitzacions al núvol. La potència d'un amfitrió ESXi que allotja diverses màquines virtuals pot ser que no sigui suficient per gestionar la pluja de tasques similars que s'executen de manera predeterminada. Des del punt de vista del proveïdor de núvol, aquest problema pot comportar càrregues addicionals en diversos amfitrions ESXi, que en última instància provocarà una caiguda del rendiment de la infraestructura virtual del núvol. Això pot, entre altres coses, afectar el rendiment de les màquines virtuals d'altres clients del núvol. Es pot produir una situació similar en llançar una exploració massiva: el processament simultani per part del sistema de disc de moltes sol·licituds similars de diferents usuaris afectarà negativament el rendiment de tot el núvol. Amb un alt grau de probabilitat, una disminució del rendiment del sistema d'emmagatzematge afectarà tots els clients. Aquestes càrregues abruptes no agraden ni al proveïdor ni als seus clients, ja que afecten els "veïns" del núvol. Des d'aquest punt de vista, l'antivirus tradicional pot suposar un gran problema.
Quarantena segura. Si al sistema es detecta un fitxer o document potencialment infectat amb un virus, s'envia a quarantena. Per descomptat, un fitxer infectat es pot suprimir immediatament, però això sovint no és acceptable per a la majoria de les empreses. Els antivirus empresarials corporatius que no estan adaptats per funcionar al núvol del proveïdor, per regla general, tenen una zona de quarantena comuna: tots els objectes infectats hi cauen. Per exemple, els que es troben als ordinadors dels usuaris de l'empresa. Els clients del proveïdor de núvol "viuen" als seus propis segments (o llogaters). Aquests segments són opacs i aïllats: els clients no es coneixen entre ells i, per descomptat, no veuen què allotgen els altres al núvol. Evidentment, la quarantena general, a la qual accediran tots els usuaris d'antivirus al núvol, podria incloure un document que contingui informació confidencial o un secret comercial. Això és inacceptable per al proveïdor i els seus clients. Per tant, només hi pot haver una solució: la quarantena personal per a cada client del seu segment, on ni el proveïdor ni els altres clients tenen accés.
Polítiques de seguretat individuals. Cada client del núvol és una empresa independent, el departament informàtic de la qual estableix les seves pròpies polítiques de seguretat. Per exemple, els administradors defineixen regles d'exploració i programen exploracions antivirus. En conseqüència, cada organització ha de tenir el seu propi centre de control per configurar les polítiques antivirus. Al mateix temps, la configuració especificada no hauria d'afectar altres clients del núvol, i el proveïdor hauria de poder verificar que, per exemple, les actualitzacions d'antivirus es realitzen amb normalitat per a totes les màquines virtuals del client.
Organització de la facturació i llicència. El model de núvol es caracteritza per la flexibilitat i implica pagar només per la quantitat de recursos informàtics utilitzats pel client. Si hi ha una necessitat, per exemple, a causa de l'estacionalitat, la quantitat de recursos es pot augmentar o reduir ràpidament, tot en funció de les necessitats actuals de potència de càlcul. L'antivirus tradicional no és tan flexible: per regla general, el client compra una llicència durant un any per a un nombre predeterminat de servidors o estacions de treball. Els usuaris del núvol es desconnecten i connecten regularment màquines virtuals addicionals en funció de les seves necessitats actuals; per tant, les llicències antivirus han de suportar el mateix model.
La segona pregunta és què cobrirà exactament la llicència. L'antivirus tradicional té llicència segons el nombre de servidors o estacions de treball. Les llicències basades en el nombre de màquines virtuals protegides no són del tot adequades dins del model de núvol. El client pot crear qualsevol nombre de màquines virtuals que li convingui a partir dels recursos disponibles, per exemple, cinc o deu màquines. Aquesta xifra no és constant per a la majoria de clients; no és possible que nosaltres, com a proveïdor, fem un seguiment dels seus canvis. No hi ha cap possibilitat tècnica de llicència per CPU: els clients reben processadors virtuals (vCPU), que s'han d'utilitzar per a la llicència. Així, el nou model de protecció antivirus hauria d'incloure la capacitat del client de determinar el nombre necessari de vCPU per les quals rebrà llicències antivirus.
Compliment de la legislació. Un punt important, ja que les solucions utilitzades han de garantir el compliment dels requisits del regulador. Per exemple, els "residents" del núvol sovint treballen amb dades personals. En aquest cas, el proveïdor ha de tenir un segment de núvol certificat separat que compleixi totalment els requisits de la Llei de dades personals. Aleshores, les empreses no necessiten "construir" de manera independent tot el sistema per treballar amb dades personals: comprar equips certificats, connectar-los i configurar-los i sotmetre's a la certificació. Per a la ciberprotecció de l'ISPD d'aquests clients, l'antivirus també ha de complir els requisits de la legislació russa i tenir un certificat FSTEC.
Hem analitzat els criteris obligatoris que ha de complir la protecció antivirus al núvol públic. A continuació, compartirem la nostra pròpia experiència en l'adaptació d'una solució antivirus perquè funcioni al núvol del proveïdor.
Com pots fer amics entre l'antivirus i el núvol?
Com ha demostrat la nostra experiència, triar una solució basada en la descripció i la documentació és una cosa, però implementar-la a la pràctica en un entorn de núvol que ja funciona és una tasca completament diferent pel que fa a la complexitat. T'expliquem què hem fet a la pràctica i com hem adaptat l'antivirus per funcionar al núvol públic del proveïdor. El proveïdor de la solució antivirus va ser Kaspersky, la cartera de la qual inclou solucions de protecció antivirus per a entorns en núvol. Ens vam decidir per "Kaspersky Security for Virtualization" (Light Agent).
Inclou una única consola de Kaspersky Security Center. Agent lleuger i màquines virtuals de seguretat (SVM, Security Virtual Machine) i servidor d'integració KSC.
Després d'estudiar l'arquitectura de la solució de Kaspersky i de realitzar les primeres proves juntament amb els enginyers del proveïdor, va sorgir la pregunta sobre la integració del servei al núvol. La primera implementació es va dur a terme conjuntament al lloc del núvol de Moscou. I això és el que ens vam adonar.
Per tal de minimitzar el trànsit de xarxa, es va decidir col·locar un SVM a cada host ESXi i "lligar" el SVM als amfitrions ESXi. En aquest cas, els agents lleugers de les màquines virtuals protegides accedeixen a l'SVM de l'amfitrió ESXi exacte en què s'executen. Es va seleccionar un inquilí administratiu independent per al KSC principal. Com a resultat, els KSC subordinats es troben als inquilins de cada client individual i es dirigeixen al KSC superior situat al segment de gestió. Aquest esquema permet resoldre ràpidament els problemes que sorgeixen en els inquilins dels clients.
A més dels problemes relacionats amb l'aixecament dels components de la solució antivirus en si, ens vam enfrontar a la tasca d'organitzar la interacció de la xarxa mitjançant la creació de VxLAN addicionals. I encara que originàriament la solució estava pensada per a clients empresarials amb núvols privats, amb l'ajuda de l'expert en enginyeria i la flexibilitat tecnològica de NSX Edge vam poder resoldre tots els problemes associats a la separació d'inquilins i llicències.
Hem treballat estretament amb els enginyers de Kaspersky. Així, en el procés d'anàlisi de l'arquitectura de la solució pel que fa a la interacció de xarxa entre els components del sistema, es va trobar que, a més de l'accés des d'agents lleugers a SVM, també és necessària la retroalimentació -des de SVM a agents lleugers. Aquesta connectivitat de xarxa no és possible en un entorn multiarrendatari a causa de la possibilitat de paràmetres de xarxa idèntics de màquines virtuals en diferents inquilins del núvol. Per tant, a petició nostra, els companys del venedor van reelaborar el mecanisme d'interacció de xarxa entre l'agent lleuger i SVM en termes d'eliminació de la necessitat de connectivitat de xarxa des de SVM als agents lleugers.
Després de desplegar i provar la solució al lloc del núvol de Moscou, la vam replicar a altres llocs, inclòs el segment del núvol certificat. El servei ja està disponible a totes les regions del país.
Arquitectura d'una solució de seguretat de la informació en el marc d'un nou enfocament
L'esquema general de funcionament d'una solució antivirus en un entorn de núvol públic és el següent:
Esquema de funcionament d'una solució antivirus en un entorn de núvol públic #CloudMTS
Anem a descriure les característiques del funcionament d'elements individuals de la solució al núvol:
• Una única consola que permet als clients gestionar de manera centralitzada el sistema de protecció: executar exploracions, controlar actualitzacions i supervisar les zones de quarantena. És possible configurar polítiques de seguretat individuals dins del vostre segment.
Cal tenir en compte que tot i que som un proveïdor de serveis, no interferim amb la configuració establerta pels clients. L'únic que podem fer és restablir les polítiques de seguretat a les estàndards si és necessària una reconfiguració. Per exemple, això pot ser necessari si el client els va estrènyer accidentalment o els va debilitar significativament. Una empresa sempre pot rebre un centre de control amb polítiques per defecte, que després pot configurar de manera independent. El desavantatge de Kaspersky Security Center és que actualment la plataforma només està disponible per al sistema operatiu Microsoft. Tot i que els agents lleugers poden funcionar tant amb màquines Windows com Linux. Tanmateix, Kaspersky Lab promet que en un futur proper KSC funcionarà amb el sistema operatiu Linux. Una de les funcions importants de KSC és la capacitat de gestionar la quarantena. Cada empresa client del nostre núvol en té una de personal. Aquest enfocament elimina les situacions en què un document infectat amb un virus esdevé visible públicament de manera accidental, com podria passar en el cas d'un antivirus corporatiu clàssic amb quarantena general.
• Agents suaus. Com a part del nou model, s'instal·la un agent de Kaspersky Security lleuger a cada màquina virtual. Això elimina la necessitat d'emmagatzemar la base de dades antivirus a cada màquina virtual, la qual cosa redueix la quantitat d'espai de disc necessari. El servei està integrat amb la infraestructura del núvol i funciona mitjançant SVM, que augmenta la densitat de màquines virtuals a l'amfitrió ESXi i el rendiment de tot el sistema de núvol. L'agent lleuger crea una cua de tasques per a cada màquina virtual: comproveu el sistema de fitxers, la memòria, etc. Però l'SVM és l'encarregat de realitzar aquestes operacions, de les quals parlarem més endavant. L'agent també funciona com a tallafoc, controla les polítiques de seguretat, envia fitxers infectats a la quarantena i supervisa la "salut" general del sistema operatiu on està instal·lat. Tot això es pot gestionar mitjançant la consola única ja esmentada.
• Màquina virtual de seguretat. Totes les tasques que requereixen molts recursos (actualitzacions de bases de dades antivirus, exploracions programades) es gestionen mitjançant una màquina virtual de seguretat (SVM) independent. És responsable del funcionament d'un motor antivirus complet i de les bases de dades per a aquest. La infraestructura de TI d'una empresa pot incloure diversos SVM. Aquest enfocament augmenta la fiabilitat del sistema: si una màquina falla i no respon durant trenta segons, els agents comencen a buscar-ne una altra automàticament.
• Servidor d'integració KSC. Un dels components del KSC principal, que assigna els seus SVM als agents lleugers d'acord amb l'algorisme especificat a la seva configuració, i també controla la disponibilitat dels SVM. Així, aquest mòdul de programari proporciona un equilibri de càrrega a totes les SVM de la infraestructura del núvol.
Algorisme per treballar al núvol: reducció de la càrrega de la infraestructura
En general, l'algoritme antivirus es pot representar de la següent manera. L'agent accedeix al fitxer a la màquina virtual i el comprova. El resultat de la verificació s'emmagatzema en una base de dades de veredictes SVM centralitzada comuna (anomenada memòria cau compartida), cada entrada en la qual identifica una mostra de fitxer única. Aquest enfocament us permet assegurar-vos que el mateix fitxer no s'escaneja diverses vegades seguides (per exemple, si s'ha obert en màquines virtuals diferents). El fitxer només es torna a analitzar si s'hi han fet canvis o si l'exploració s'ha iniciat manualment.
Implementació d'una solució antivirus al núvol del proveïdor
La imatge mostra un diagrama general de la implementació de la solució al núvol. El Kaspersky Security Center principal es desplega a la zona de control del núvol i un SVM individual es desplega a cada host ESXi mitjançant el servidor d'integració KSC (cada amfitrió ESXi té el seu propi SVM connectat amb una configuració especial a VMware vCenter Server). Els clients treballen en els seus propis segments de núvol, on es troben les màquines virtuals amb agents. Es gestionen mitjançant servidors KSC individuals subordinats al KSC principal. Si cal protegir un nombre reduït de màquines virtuals (fins a 5), es pot proporcionar al client accés a la consola virtual d'un servidor KSC especial dedicat. La interacció de xarxa entre els KSC del client i el KSC principal, així com els agents lleugers i els SVM, es realitza mitjançant NAT mitjançant encaminadors virtuals de client EdgeGW.
Segons les nostres estimacions i els resultats de les proves dels companys del proveïdor, Light Agent redueix la càrrega de la infraestructura virtual dels clients en un 25% aproximadament (en comparació amb un sistema que utilitza programari antivirus tradicional). En particular, l'antivirus estàndard de Kaspersky Endpoint Security (KES) per a entorns físics consumeix gairebé el doble de temps de CPU del servidor (2,95%) que una solució de virtualització lleugera basada en agents (1,67%).
Gràfic de comparació de càrrega de la CPU
Una situació similar s'observa amb la freqüència dels accessos d'escriptura al disc: per a un antivirus clàssic és de 1011 IOPS, per a un antivirus del núvol és de 671 IOPS.
Gràfic de comparació de la taxa d'accés al disc
El benefici de rendiment us permet mantenir l'estabilitat de la infraestructura i utilitzar la potència informàtica de manera més eficient. En adaptar-se per treballar en un entorn de núvol públic, la solució no redueix el rendiment del núvol: verifica de manera centralitzada els fitxers i descarrega actualitzacions, distribuint la càrrega. Això vol dir que, d'una banda, no es passaran a faltar amenaces rellevants per a la infraestructura del núvol, d'altra banda, els requisits de recursos per a les màquines virtuals es reduiran una mitjana del 25% en comparació amb un antivirus tradicional.
Pel que fa a la funcionalitat, ambdues solucions són molt semblants entre elles: a continuació es mostra una taula comparativa. Tanmateix, al núvol, com mostren els resultats de les proves anteriors, encara és òptim utilitzar una solució per a entorns virtuals.
Sobre les tarifes en el marc del nou enfocament. Vam decidir utilitzar un model que ens permeti obtenir llicències en funció del nombre de vCPU. Això vol dir que el nombre de llicències serà igual al nombre de vCPU. Podeu provar el vostre antivirus deixant una sol·licitud .
En el proper article sobre temes del núvol, parlarem de l'evolució dels WAF del núvol i què és millor triar: maquinari, programari o núvol.
El text va ser preparat pels empleats del proveïdor de núvol #CloudMTS: Denis Myagkov, arquitecte líder i Alexey Afanasyev, gerent de desenvolupament de productes de seguretat de la informació.
Font: www.habr.com