Nagkadaghan ang mga tiggamit nga nagdala sa ilang tibuuk nga imprastraktura sa IT sa publiko nga panganod. Bisan pa, kung ang pagpugong sa anti-virus dili igo sa imprastraktura sa kustomer, ang mga seryoso nga peligro sa cyber motungha. Gipakita sa praktis nga hangtod sa 80% sa naglungtad nga mga virus hingpit nga nagpuyo sa usa ka virtual nga palibot. Sa kini nga post maghisgot kami kung giunsa pagpanalipod ang mga kapanguhaan sa IT sa publiko nga panganod ug ngano nga ang mga tradisyonal nga antivirus dili hingpit nga angay alang niini nga mga katuyoan.
Sa pagsugod, sultihan ka namo kung giunsa namo pag-abot sa ideya nga ang naandang anti-virus nga mga himan sa pagpanalipod dili angay alang sa publikong panganod ug gikinahanglan ang ubang mga paagi sa pagpanalipod sa mga kahinguhaan.
Una, ang mga provider sa kasagaran naghatag sa gikinahanglan nga mga lakang aron masiguro nga ang ilang mga cloud platform mapanalipdan sa taas nga lebel. Pananglitan, sa #CloudMTS among analisa ang tanan nga trapiko sa network, bantayan ang mga log sa mga sistema sa seguridad sa among panganod, ug kanunay nga maghimo mga pentest. Ang mga bahin sa panganod nga gigahin sa indibidwal nga mga kliyente kinahanglan usab nga luwas nga mapanalipdan.
Ikaduha, ang klasiko nga kapilian alang sa pagsukol sa mga peligro sa cyber naglangkit sa pag-install sa usa ka antivirus ug mga himan sa pagdumala sa antivirus sa matag virtual machine. Bisan pa, sa daghang gidaghanon sa mga virtual machine, kini nga praktis mahimo’g dili epektibo ug nanginahanglan daghang kantidad sa mga kapanguhaan sa pag-compute, sa ingon dugang nga pagkarga sa imprastraktura sa kustomer ug pagkunhod sa kinatibuk-ang pasundayag sa panganod. Nahimo kini nga hinungdanon nga kinahanglanon alang sa pagpangita alang sa mga bag-ong pamaagi sa pagtukod og epektibo nga proteksyon sa anti-virus alang sa mga virtual machine sa kustomer.
Dugang pa, kadaghanan sa mga solusyon sa antivirus sa merkado wala gipasibo aron masulbad ang mga problema sa pagpanalipod sa mga kapanguhaan sa IT sa usa ka palibot sa publiko nga panganod. Ingon sa usa ka lagda, sila mga bug-at nga solusyon sa EPP (Endpoint Protection Platforms), nga, dugang pa, wala maghatag sa gikinahanglan nga pag-customize sa bahin sa kliyente sa cloud provider.
Nahimong klaro nga ang tradisyonal nga mga solusyon sa antivirus dili angay alang sa pagtrabaho sa panganod, tungod kay seryoso nilang gikarga ang virtual nga imprastraktura sa panahon sa mga pag-update ug pag-scan, ug wala usab kinahanglan nga lebel sa pagdumala ug mga setting nga gibase sa papel. Sunod, among analisahon sa detalye kung ngano nga ang panganod nanginahanglan mga bag-ong pamaagi sa pagpanalipod sa anti-virus.
Unsa ang mahimo sa usa ka antivirus sa usa ka publiko nga panganod
Busa, atong hatagan ug pagtagad ang mga detalye sa pagtrabaho sa usa ka virtual nga palibot:
Episyente sa mga update ug naka-iskedyul nga mass scan. Kung ang usa ka mahinungdanong gidaghanon sa mga virtual machine nga naggamit sa usa ka tradisyonal nga antivirus magsugod sa usa ka update sa samang higayon, usa ka gitawag nga "bagyo" sa mga update ang mahitabo sa panganod. Ang gahum sa usa ka host sa ESXi nga nag-host sa daghang mga virtual nga makina mahimong dili igo aron madumala ang mga barrage sa parehas nga mga buluhaton nga nagdagan nga default. Gikan sa punto sa panglantaw sa cloud provider, ang maong problema mahimong mosangpot sa dugang nga load sa usa ka gidaghanon sa mga ESXi hosts, nga sa katapusan mosangpot ngadto sa usa ka drop sa performance sa cloud virtual infrastructure. Mahimo kini, taliwala sa ubang mga butang, makaapekto sa paghimo sa mga virtual nga makina sa ubang mga kliyente sa panganod. Ang usa ka susama nga sitwasyon mahimong motumaw sa dihang maglunsad og mass scan: ang dungan nga pagproseso sa disk system sa daghang susama nga mga hangyo gikan sa lain-laing mga tiggamit negatibong makaapekto sa performance sa tibuok panganod. Uban sa usa ka taas nga ang-ang sa kalagmitan, ang pagkunhod sa pasundayag sa sistema sa pagtipig makaapekto sa tanan nga mga kliyente. Ang ingon nga kalit nga pagkarga dili makapahimuot sa provider o sa iyang mga kustomer, tungod kay kini makaapekto sa "mga silingan" sa panganod. Gikan sa kini nga punto sa pagtan-aw, ang tradisyonal nga antivirus mahimong hinungdan sa usa ka dako nga problema.
Luwas nga quarantine. Kung ang usa ka file o dokumento nga posible nga nataptan sa usa ka virus nakit-an sa sistema, kini ipadala sa quarantine. Siyempre, ang usa ka nataptan nga file mahimong mapapas dayon, apan kini sa kasagaran dili madawat sa kadaghanan sa mga kompanya. Ang mga antivirus sa korporasyon sa negosyo nga wala gipasibo aron magtrabaho sa panganod sa provider, ingon nga usa ka lagda, adunay usa ka komon nga quarantine zone - ang tanan nga nataptan nga mga butang nahulog niini. Pananglitan, kadtong makita sa mga kompyuter sa mga tiggamit sa kompanya. Ang mga kliyente sa cloud provider "nagpuyo" sa ilang kaugalingong mga bahin (o mga saop). Kini nga mga bahin dili klaro ug nahimulag: ang mga kliyente wala makaila sa usag usa ug, siyempre, dili makita kung unsa ang gi-host sa uban sa panganod. Dayag nga, ang kinatibuk-ang quarantine, nga ma-access sa tanan nga tiggamit sa antivirus sa panganod, mahimo’g maglakip sa usa ka dokumento nga adunay kompidensyal nga kasayuran o sekreto sa pamatigayon. Dili kini madawat sa provider ug sa mga kustomer niini. Busa, adunay usa lamang ka solusyon - personal nga quarantine alang sa matag kliyente sa iyang bahin, diin walay access ang provider o ubang mga kliyente.
Indibidwal nga mga palisiya sa seguridad. Ang matag kliyente sa panganod usa ka bulag nga kompanya, kansang departamento sa IT nagtakda sa kaugalingon nga mga palisiya sa seguridad. Pananglitan, gihubit sa mga tagdumala ang mga lagda sa pag-scan ug pag-iskedyul sa mga pag-scan sa anti-virus. Tungod niini, ang matag organisasyon kinahanglan adunay kaugalingon nga sentro sa pagkontrol aron ma-configure ang mga palisiya sa antivirus. Sa parehas nga oras, ang gitakda nga mga setting kinahanglan dili makaapekto sa ubang mga kliyente sa panganod, ug ang taghatag kinahanglan nga mapamatud-an nga, pananglitan, ang mga pag-update sa antivirus gihimo ingon normal alang sa tanan nga mga virtual machine sa kliyente.
Organisasyon sa pagsingil ug paglilisensya. Ang modelo sa panganod gihulagway pinaagi sa pagka-flexible ug naglakip sa pagbayad lamang sa kantidad sa mga kapanguhaan sa IT nga gigamit sa kustomer. Kung adunay usa ka panginahanglan, pananglitan, tungod sa seasonality, nan ang gidaghanon sa mga kahinguhaan mahimong dali nga madugangan o mapakunhod - ang tanan base sa kasamtangan nga mga panginahanglan alang sa gahum sa pag-compute. Ang tradisyonal nga antivirus dili kaayo flexible - isip usa ka lagda, ang kliyente mopalit og lisensya sulod sa usa ka tuig alang sa gitakda nang daan nga gidaghanon sa mga server o workstation. Ang mga tiggamit sa cloud kanunay nga nagdiskonekta ug nagkonektar sa dugang nga mga virtual machine depende sa ilang mga panginahanglanon karon - sumala niana, ang mga lisensya sa antivirus kinahanglan nga mosuporta sa parehas nga modelo.
Ang ikaduha nga pangutana kung unsa gyud ang sakup sa lisensya. Ang tradisyonal nga antivirus lisensyado sa gidaghanon sa mga server o workstation. Ang mga lisensya base sa gidaghanon sa giprotektahan nga virtual machine dili hingpit nga angay sulod sa cloud model. Ang kliyente makahimo sa bisan unsang gidaghanon sa mga virtual nga makina nga kombenyente alang kaniya gikan sa anaa nga mga kapanguhaan, pananglitan, lima o napulo ka mga makina. Kini nga numero dili kanunay alang sa kadaghanan sa mga kliyente; dili mahimo alang kanamo, ingon usa ka tighatag, nga masubay ang mga pagbag-o niini. Walay teknikal nga posibilidad nga maglisensya pinaagi sa CPU: ang mga kliyente makadawat og virtual processors (vCPUs), nga kinahanglang gamiton alang sa paglilisensya. Busa, ang bag-ong modelo sa pagpanalipod sa anti-virus kinahanglan nga maglakip sa katakus alang sa kustomer sa pagtino sa gikinahanglan nga gidaghanon sa mga vCPU diin siya makadawat og mga lisensya nga anti-virus.
Pagsunod sa balaod. Usa ka hinungdanon nga punto, tungod kay ang mga solusyon nga gigamit kinahanglan nga masiguro ang pagsunod sa mga kinahanglanon sa regulator. Pananglitan, ang "mga residente" sa panganod kanunay nga nagtrabaho sa personal nga datos. Sa kini nga kaso, ang provider kinahanglan adunay usa ka bulag nga certified cloud segment nga hingpit nga nagsunod sa mga kinahanglanon sa Personal nga Data Law. Unya ang mga kompanya dili kinahanglan nga independente nga "pagtukod" sa tibuuk nga sistema alang sa pagtrabaho sa personal nga datos: pagpalit sa mga sertipikadong kagamitan, pagkonektar ug pag-configure niini, ug pag-agi sa sertipikasyon. Alang sa pagpanalipod sa cyber sa ISPD sa ingon nga mga kliyente, ang antivirus kinahanglan usab nga motuman sa mga kinahanglanon sa balaod sa Russia ug adunay sertipiko sa FSTEC.
Gitan-aw namon ang mandatory nga pamatasan nga kinahanglan matuman sa proteksyon sa antivirus sa publiko nga panganod. Sunod, among ipaambit ang among kaugalingon nga kasinatian sa pagpahiangay sa usa ka solusyon sa antivirus aron magtrabaho sa panganod sa provider.
Giunsa nimo paghimo mga higala tali sa antivirus ug cloud?
Sama sa gipakita sa among kasinatian, ang pagpili sa usa ka solusyon base sa paghulagway ug dokumentasyon usa ka butang, apan ang pagpatuman niini sa praktis sa usa ka nagtrabaho na nga cloud environment usa ka hingpit nga lahi nga buluhaton sa mga termino sa pagkakomplikado. Isulti namo kanimo kung unsa ang among gibuhat sa praktis ug kung giunsa namon gipahiangay ang antivirus aron molihok sa publiko nga panganod sa provider. Ang tigbaligya sa solusyon sa anti-virus mao ang Kaspersky, kansang portfolio naglakip sa mga solusyon sa pagpanalipod sa anti-virus alang sa mga cloud environment. Naghusay kami sa "Kaspersky Security for Virtualization" (Light Agent).
Naglakip kini sa usa ka console sa Kaspersky Security Center. Ang light agent ug security virtual machines (SVM, Security Virtual Machine) ug KSC integration server.
Human namo tun-an ang arkitektura sa solusyon sa Kaspersky ug gipahigayon ang unang mga pagsulay uban sa mga inhenyero sa vendor, mitungha ang pangutana mahitungod sa paghiusa sa serbisyo ngadto sa panganod. Ang una nga pagpatuman gihimo nga hiniusa sa Moscow cloud site. Ug kana ang among naamgohan.
Aron mamenosan ang trapiko sa network, nakahukom nga magbutang ug SVM sa matag host sa ESXi ug "ihigot" ang SVM sa mga host sa ESXi. Sa kini nga kaso, ang mga light agent sa giprotektahan nga virtual nga mga makina maka-access sa SVM sa eksaktong ESXi host diin sila nagdagan. Usa ka bulag nga administratibo nga tenant ang gipili alang sa panguna nga KSC. Ingon usa ka sangputanan, ang mga subordinate nga KSC nahimutang sa mga saop sa matag indibidwal nga kliyente ug gitubag ang labaw nga KSC nga nahimutang sa bahin sa pagdumala. Kini nga laraw nagtugot kanimo nga dali nga masulbad ang mga problema nga motumaw sa mga saop sa kliyente.
Dugang pa sa mga isyu sa pagpataas sa mga sangkap sa anti-virus nga solusyon mismo, nag-atubang kami sa tahas sa pag-organisar sa interaksyon sa network pinaagi sa paghimo og dugang nga mga VxLAN. Ug bisan kung ang solusyon orihinal nga gituyo alang sa mga kliyente sa negosyo nga adunay pribado nga mga panganod, sa tabang sa kabatid sa engineering ug pagka-flexible sa teknolohiya sa NSX Edge nasulbad namon ang tanan nga mga problema nga may kalabotan sa pagbulag sa mga saop ug paglilisensya.
Nagtrabaho kami pag-ayo sa mga inhenyero sa Kaspersky. Busa, sa proseso sa pag-analisar sa arkitektura sa solusyon sa mga termino sa interaksyon sa network tali sa mga sangkap sa sistema, nakit-an nga, dugang sa pag-access gikan sa mga light agent ngadto sa SVM, gikinahanglan usab ang feedback - gikan sa SVM ngadto sa light agent. Kini nga koneksyon sa network dili mahimo sa usa ka multitenant nga palibot tungod sa posibilidad sa parehas nga mga setting sa network sa mga virtual nga makina sa lainlaing mga saop sa panganod. Busa, sa among hangyo, ang mga kauban gikan sa vendor nag-rework sa mekanismo sa network interaction tali sa light agent ug SVM sa mga termino sa pagwagtang sa panginahanglan alang sa network connectivity gikan sa SVM ngadto sa light agents.
Human ma-deploy ug masulayan ang solusyon sa Moscow cloud site, gisundog namo kini sa ubang mga site, lakip ang certified cloud segment. Ang serbisyo anaa na karon sa tanang rehiyon sa nasod.
Ang arkitektura sa usa ka solusyon sa seguridad sa kasayuran sulod sa balangkas sa usa ka bag-ong pamaagi
Ang kinatibuk-ang laraw sa operasyon sa usa ka antivirus nga solusyon sa usa ka publiko nga panganod nga palibot mao ang mga musunud:
Scheme sa operasyon sa usa ka antivirus nga solusyon sa usa ka publikong panganod nga palibot #CloudMTS
Atong ihulagway ang mga bahin sa operasyon sa indibidwal nga mga elemento sa solusyon sa panganod:
• Usa ka console nga nagtugot sa mga kliyente sa pagdumala sa sentral nga sistema sa proteksyon: pagpadagan sa mga scan, pagkontrol sa mga update ug pag-monitor sa mga quarantine zone. Posible nga i-configure ang indibidwal nga mga palisiya sa seguridad sa sulod sa imong bahin.
Kinahanglan nga hinumdoman nga bisan kung kami usa ka tighatag sa serbisyo, wala kami manghilabot sa mga setting nga gitakda sa mga kliyente. Ang bugtong butang nga mahimo namon mao ang pag-reset sa mga palisiya sa seguridad sa mga sumbanan kung gikinahanglan ang pag-configure. Pananglitan, kini mahimong gikinahanglan kon ang kliyente aksidenteng mipahugot kanila o makapaluya kanila. Ang usa ka kompanya kanunay makadawat usa ka sentro sa pagkontrol nga adunay mga default nga palisiya, nga mahimo’g i-configure nga independente. Ang disbentaha sa Kaspersky Security Center mao nga ang plataporma sa pagkakaron anaa lamang sa Microsoft operating system. Bisan kung ang mga lightweight nga ahente mahimo’g magtrabaho kauban ang mga makina sa Windows ug Linux. Bisan pa, ang Kaspersky Lab nagsaad nga sa umaabot nga KSC magtrabaho sa ilawom sa Linux OS. Usa sa mga importanteng gimbuhaton sa KSC mao ang abilidad sa pagdumala sa quarantine. Ang matag kompanya sa kliyente sa among panganod adunay usa ka personal. Kini nga pamaagi nagwagtang sa mga sitwasyon diin ang usa ka dokumento nga nataptan sa usa ka virus aksidenteng makita sa publiko, sama sa mahitabo sa kaso sa usa ka classic corporate antivirus nga adunay general quarantine.
• Malumo nga mga ahente. Isip bahin sa bag-ong modelo, usa ka gaan nga ahente sa Kaspersky Security ang gi-install sa matag virtual nga makina. Giwagtang niini ang panginahanglan sa pagtipig sa database sa anti-virus sa matag VM, nga nagpamenos sa gidaghanon sa gikinahanglan nga espasyo sa disk. Ang serbisyo gisagol sa imprastraktura sa panganod ug naglihok pinaagi sa SVM, nga nagdugang sa densidad sa mga virtual machine sa ESXi host ug ang pasundayag sa tibuuk nga sistema sa panganod. Ang light agent nagtukod ug pila sa mga buluhaton alang sa matag virtual machine: susiha ang file system, memorya, ug uban pa. Apan ang SVM ang responsable sa paghimo niini nga mga operasyon, nga atong hisgutan sa ulahi. Ang ahente naglihok usab ingon usa ka firewall, nagkontrol sa mga palisiya sa seguridad, nagpadala sa mga nataptan nga file sa kwarentina ug gimonitor ang kinatibuk-ang "panglawas" sa operating system diin kini na-install. Kining tanan mahimong madumala gamit ang nahisgotan na nga single console.
• Security Virtual Machine. Ang tanan nga mga resource-intensive nga buluhaton (anti-virus database updates, scheduled scans) gidumala sa usa ka bulag nga Security Virtual Machine (SVM). Siya ang responsable sa operasyon sa usa ka hingpit nga anti-virus nga makina ug mga database alang niini. Ang imprastraktura sa IT sa usa ka kompanya mahimong maglakip sa daghang mga SVM. Kini nga pamaagi nagdugang sa pagkakasaligan sa sistema - kung ang usa ka makina mapakyas ug dili motubag sulod sa katloan ka segundo, ang mga ahente awtomatikong magsugod sa pagpangita sa lain.
• KSC integration server. Usa sa mga sangkap sa panguna nga KSC, nga nag-assign sa mga SVM niini sa mga light agent subay sa algorithm nga gitakda sa mga setting niini, ug nagkontrol usab sa pagkaanaa sa mga SVM. Busa, kini nga software module naghatag og load balancing sa tanang SVM sa cloud infrastructure.
Algorithm sa pagtrabaho sa panganod: pagkunhod sa load sa imprastraktura
Sa kinatibuk-an, ang antivirus algorithm mahimong irepresentar sa mosunod. Gi-access sa ahente ang file sa virtual machine ug gisusi kini. Ang resulta sa pag-verify gitipigan sa usa ka komon nga sentralisadong database sa hukom sa SVM (gitawag nga Shared Cache), ang matag entry diin nagpaila sa usa ka talagsaon nga sample sa file. Kini nga pamaagi nagtugot kanimo sa pagsiguro nga ang parehas nga file dili ma-scan sa daghang beses sa usa ka laray (pananglitan, kung giablihan kini sa lainlaing mga virtual machine). Ang file gi-rescan lamang kung ang mga pagbag-o gihimo niini o ang pag-scan gisugdan sa mano-mano.
Pagpatuman sa usa ka solusyon sa antivirus sa panganod sa provider
Ang hulagway nagpakita sa usa ka kinatibuk-ang diagram sa pagpatuman sa solusyon sa panganod. Ang nag-unang Kaspersky Security Center gi-deploy sa control zone sa cloud, ug usa ka indibidwal nga SVM ang gibutang sa matag ESXi host gamit ang KSC integration server (matag ESXi host adunay kaugalingong SVM nga gilakip sa mga espesyal nga setting sa VMware vCenter Server). Ang mga kliyente nagtrabaho sa ilang kaugalingon nga mga bahin sa panganod, diin nahimutang ang mga virtual machine nga adunay mga ahente. Gidumala sila pinaagi sa indibidwal nga mga server sa KSC nga ubos sa panguna nga KSC. Kung gikinahanglan ang pagpanalipod sa usa ka gamay nga gidaghanon sa mga virtual machine (hangtod sa 5), ang kliyente mahimong mahatagan og access sa virtual console sa usa ka espesyal nga gipahinungod nga KSC server. Ang interaksyon sa network tali sa mga KSC sa kliyente ug sa nag-unang KSC, ingon man sa mga light agent ug SVM, gihimo gamit ang NAT pinaagi sa EdgeGW client virtual routers.
Sumala sa among mga banabana ug mga resulta sa mga pagsulay sa mga kauban sa vendor, ang Light Agent nagpamenos sa load sa virtual nga imprastraktura sa mga kliyente sa gibana-bana nga 25% (kon itandi sa usa ka sistema nga naggamit sa tradisyonal nga anti-virus software). Sa partikular, ang standard nga Kaspersky Endpoint Security (KES) antivirus alang sa pisikal nga mga palibot nagkonsumo hapit doble sa oras sa CPU sa server (2,95%) ingon usa ka lightweight nga solusyon nga nakabase sa ahente nga virtualization (1,67%).
tsart sa pagtandi sa load sa CPU
Ang usa ka susama nga sitwasyon naobserbahan uban sa frequency sa disk write access: alang sa usa ka classic antivirus kini mao ang 1011 IOPS, alang sa usa ka cloud antivirus kini mao ang 671 IOPS.
Disk access rate pagtandi graph
Ang benepisyo sa pasundayag nagtugot kanimo sa pagpadayon sa kalig-on sa imprastraktura ug paggamit sa gahum sa pag-compute nga mas episyente. Pinaagi sa pagpahiangay sa pagtrabaho sa usa ka publiko nga cloud environment, ang solusyon dili makapakunhod sa performance sa panganod: kini sentral nga nagsusi sa mga file ug nag-download sa mga update, nag-apod-apod sa load. Kini nagpasabut nga, sa usa ka bahin, ang mga hulga nga may kalabotan sa imprastraktura sa panganod dili makalimtan, sa laing bahin, ang mga kinahanglanon sa kapanguhaan alang sa mga virtual nga makina makunhuran sa usa ka average nga 25% kumpara sa usa ka tradisyonal nga antivirus.
Sa mga termino sa pagpaandar, ang duha nga mga solusyon parehas kaayo sa usag usa: sa ubos usa ka lamesa sa pagtandi. Bisan pa, sa panganod, ingon sa gipakita sa mga resulta sa pagsulay sa ibabaw, labing maayo nga mogamit usa ka solusyon alang sa mga virtual nga palibot.
Mahitungod sa mga taripa sulod sa gambalay sa bag-ong pamaagi. Nakahukom kami nga mogamit ug modelo nga nagtugot kanamo nga makakuha og mga lisensya base sa gidaghanon sa mga vCPU. Kini nagpasabot nga ang gidaghanon sa mga lisensya mahimong katumbas sa gidaghanon sa mga vCPU. Mahimo nimong sulayan ang imong antivirus pinaagi sa pagbilin usa ka hangyo .
Sa sunod nga artikulo sa mga hilisgutan sa panganod, maghisgot kami bahin sa ebolusyon sa mga WAF sa panganod ug kung unsa ang mas maayo nga pilion: hardware, software o panganod.
Ang teksto giandam sa mga empleyado sa cloud provider #CloudMTS: Denis Myagkov, nanguna nga arkitekto ug Alexey Afanasyev, information security product development manager.
Source: www.habr.com