Sempre più utilizatori portanu tutta a so infrastruttura IT in u cloud publicu. In ogni casu, se u cuntrollu anti-virus hè insufficiente in l'infrastruttura di u cliente, i risichi cyber serii sorgianu. A pratica mostra chì finu à u 80% di i virus esistenti vivenu perfettamente in un ambiente virtuale. In questu post parlemu di cumu prutegge e risorse di l'IT in u nuvulu publicu è perchè l'antivirus tradiziunali ùn sò micca adattati per questi scopi.
Per principià, vi diceremu cumu avemu ghjuntu à l'idea chì i soliti strumenti di prutezzione anti-virus ùn sò micca adattati per u nuvulu publicu è chì altri approcci di prutezzione di risorse sò necessarii.
Prima, i fornituri generalmente furniscenu e misure necessarie per assicurà chì e so plataforme di nuvola sò prutetti à un altu livellu. Per esempiu, in #CloudMTS analizemu tuttu u trafficu di a rete, monitoremu i logs di i nostri sistemi di sicurità di u nuvulu, è realicemu regularmente pentests. I segmenti di nuvola attribuiti à i clienti individuali anu ancu esse prutetti in modu sicuru.
Siconda, l'opzione classica per cumbatte i risichi cibernetici implica installà un antivirus è strumenti di gestione antivirus in ogni macchina virtuale. In ogni casu, cù un gran numaru di macchine virtuali, sta pratica pò esse inefficace è esige quantità significativa di risorse di computing, cusì carichendu più l'infrastruttura di u cliente è riducendu u rendiment generale di u nuvulu. Questu hè diventatu un prerequisitu chjave per a ricerca di novi approcci per custruisce una prutezzione antivirus efficace per e macchine virtuali di i clienti.
Inoltre, a maiò parte di e soluzioni antivirus in u mercatu ùn sò micca adattati per risolve i prublemi di prutezzione di e risorse IT in un ambiente di nuvola publica. In regula, sò suluzioni EPP pesante (Plataforma di Proteczione Endpoint), chì, in più, ùn furnisce micca a persunalizazione necessaria à u cliente di u fornitore di nuvola.
Diventa ovviamente chì e soluzioni antivirus tradiziunali ùn sò micca adattati per travaglià in u nuvulu, postu chì caricanu seriamente l'infrastruttura virtuale durante l'aghjurnamenti è i scans, è ùn anu micca ancu i livelli necessarii di gestione è paràmetri basati in u rolu. In seguitu, analizzeremu in dettu perchè u nuvulu hà bisognu di novi approcci per a prutezzione antivirus.
Ciò chì un antivirus in una nuvola publica deve esse capace di fà
Dunque, facemu attente à e specificità di travaglià in un ambiente virtuale:
Efficienza di l'aghjurnamenti è scans di massa programati. Se un numeru significativu di macchine virtuali chì utilizanu un antivirus tradiziunale inizianu una aghjurnazione à u stessu tempu, una cusì chjamata "tempesta" d'aghjurnamenti accadirà in u nuvulu. U putere di un host ESXi chì ospitu parechje macchine virtuale pò esse micca abbastanza per trattà a barrage di tarei simili in esecuzione per automaticamente. Da u puntu di vista di u fornitore di nuvola, un tali prublema pò purtà à carichi supplementari nantu à una quantità di ospiti ESXi, chì ultimamente portanu à una caduta in u rendiment di l'infrastruttura virtuale nuvola. Questu pò, frà altre cose, affettà u rendiment di e macchine virtuali di altri clienti di nuvola. Una situazione simili pò accade quandu si lancia una scansione di massa: u prucessu simultaneo da u sistema di discu di parechje richieste simili da diversi utilizatori affettanu negativamente u rendiment di u nuvulu tutale. Cù un altu gradu di probabilità, una diminuzione di u rendiment di u sistema di almacenamentu affettarà tutti i clienti. Tali carichi abrupte ùn piace micca nè u fornitore nè i so clienti, postu chì affettanu i "vicini" in u nuvulu. Da questu puntu di vista, l'antivirus tradiziunale pò esse un grande prublema.
Quarantena sicura. Se un schedariu o documentu potenzialmente infettatu da un virus hè rilevatu in u sistema, hè mandatu in quarantena. Di sicuru, un schedariu infettatu pò esse sguassatu immediatamente, ma questu hè spessu micca accettatu per a maiò parte di l'imprese. L'antivirus di l'impresa corporativa chì ùn sò micca adattati per travaglià in u nuvulu di u fornitore, in regula, anu una zona di quarantena cumuna - tutti l'ogetti infettati cadenu in questu. Per esempiu, quelli truvati in l'urdinatori di l'utilizatori di a cumpagnia. I clienti di u fornitore di nuvola "vive" in i so propri segmenti (o inquilini). Questi segmenti sò opachi è isolati: i clienti ùn sanu micca di l'altri è, sicuru, ùn vedenu micca ciò chì l'altri ospitu in u nuvulu. Ovviamente, a quarantena generale, chì serà accessu da tutti l'utilizatori di l'antivirus in u nuvulu, puderia include un documentu chì cuntene infurmazione cunfidenziale o un sicretu cummerciale. Questu hè inacceptable per u fornitore è i so clienti. Dunque, pò esse solu una solu suluzione - a quarantena persunale per ogni cliente in u so segmentu, induve nè u fornitore nè altri clienti anu accessu.
Politiche di sicurezza individuale. Ogni cliente in u nuvulu hè una cumpagnia separata, chì u dipartimentu di l'IT stabilisce e so pulitiche di sicurità. Per esempiu, l'amministratori definiscenu e regule di scanning è pianificate scans antivirus. Per quessa, ogni urganizazione deve avè u so propiu centru di cuntrollu per cunfigurà e pulitiche antivirus. À u listessu tempu, i paràmetri specificati ùn deve micca affettà à l'altri clienti di nuvola, è u fornitore deve esse capace di verificà chì, per esempiu, l'aghjurnamenti antivirus sò realizati cum'è normale per tutti i clienti virtual machines.
Urganizazione di fattura è licenze. U mudellu di nuvola hè carattarizatu da a flessibilità è implica pagà solu per a quantità di risorse IT chì anu utilizatu da u cliente. Se ci hè un bisognu, per esempiu, per via di a staghjunalità, allura a quantità di risorse pò esse rapidamente aumentata o ridutta - tuttu basatu nantu à i bisogni attuali per a putenza di l'informatica. L'antivirus tradiziunale ùn hè micca cusì flexible - in regula, u cliente compra una licenza per un annu per un numeru predeterminatu di servitori o stazioni di travagliu. L'utilizatori di nuvola disconnettenu regularmente è cunnette e macchine virtuali supplementari sicondu i so bisogni attuali - per quessa, licenze antivirus devenu sustene u listessu mudellu.
A seconda quistione hè ciò chì esattamente a licenza copre. L'antivirus tradiziunale hè licenziatu da u numeru di servitori o stazioni di travagliu. Licenze basate nantu à u numeru di macchine virtuali protetti ùn sò micca cumpletamente adattati in u mudellu di nuvola. U cliente pò creà ogni quantità di macchine virtuale cunvene per ellu da e risorse dispunibili, per esempiu, cinque o dece macchine. Stu numeru ùn hè micca custante per a maiò parte di i clienti; ùn hè micca pussibule per noi, cum'è fornitore, di seguità i so cambiamenti. Ùn ci hè micca una pussibilità tecnica di licenza da CPU: i clienti ricevenu processori virtuali (vCPU), chì deve esse usatu per licenze. Cusì, u novu mudellu di prutezzione anti-virus deve include a capacità per u cliente di determinà u numeru necessariu di vCPU per quale ellu riceve licenze anti-virus.
Cunfurmità cù a legislazione. Un puntu impurtante, postu chì e suluzione aduprate deve assicurà u rispettu di i requisiti di u regulatore. Per esempiu, i "residenti" nuvola spessu travaglianu cù dati persunali. In questu casu, u fornitore deve avè un segmentu nuvola certificatu separatu chì cumpleta cumplettamente cù i requisiti di a Legge di Dati Personali. Allora l'imprese ùn anu micca bisognu di "custruisce" indipindentamente u sistema tutale per travaglià cù e dati persunali: cumprà l'equipaggiu certificatu, cunnette è cunfigurà, è sottumette a certificazione. Per a prutezzione cibernetica di l'ISPD di tali clienti, l'antivirus deve ancu rispettà i requisiti di a legislazione russa è avè un certificatu FSTEC.
Avemu vistu i criterii obligatorii chì a prutezzione antivirus in u nuvulu publicu deve risponde. Dopu, sparteremu a nostra propria sperienza in l'adattazione di una soluzione antivirus per travaglià in u nuvulu di u fornitore.
Cumu pudete fà amici trà antivirus è cloud?
Comu a nostra sperienza hà dimustratu, a scelta di una soluzione basata nantu à a descrizzione è a documentazione hè una cosa, ma l'implementazione in pratica in un ambiente di nuvola chì travaglia hè un compitu completamente diversu in termini di cumplessità. Vi diceremu ciò chì avemu fattu in pratica è cumu avemu adattatu l'antivirus per travaglià in u cloud publicu di u fornitore. U venditore di a suluzione anti-virus era Kaspersky, chì a so cartera include suluzioni di prutezzione anti-virus per l'ambienti cloud. Avemu stabilitu nantu à "Kaspersky Security for Virtualization" (Light Agent).
Include una sola cunsola Kaspersky Security Center. Agente di luce è macchine virtuali di sicurità (SVM, Security Virtual Machine) è server d'integrazione KSC.
Dopu avè studiatu l'architettura di a suluzione Kaspersky è realizatu i primi testi inseme cù l'ingegneri di u venditore, a quistione hè stata di l'integrazione di u serviziu in u nuvulu. A prima implementazione hè stata realizata cumuna in u situ di nuvola di Mosca. È hè ciò chì avemu capitu.
Per minimizzà u trafficu di a rete, hè statu decisu di mette un SVM in ogni host ESXi è "attacà" l'SVM à l'ospiti ESXi. In questu casu, l'agenti ligeri di e macchine virtuali protetti accede à l'SVM di l'ospiti ESXi esatta nantu à quale sò in esecuzione. Un inquilanu amministrativu separatu hè statu sceltu per u KSC principale. In u risultatu, i KSC subordinati sò situati in l'inquilini di ogni cliente individuale è indirizzanu u KSC superiore situatu in u segmentu di gestione. Stu schema permette di risolve rapidamente i prublemi chì si sviluppanu in l'inquilini di i clienti.
In più di prublemi cù l'elevazione di i cumpunenti di a suluzione anti-virus stessu, avemu statu affruntatu cù u compitu di urganizà l'interazzione di a rete per mezu di a creazione di VxLAN supplementari. E ancu s'è a suluzione hè stata urigginariamente destinata à i clienti di l'imprese cù nuvuli privati, cù l'aiutu di l'ingegneria savvy è a flessibilità tecnologica di NSX Edge avemu pussutu risolve tutti i prublemi assuciati cù a separazione di inquilini è licenze.
Avemu travagliatu strettamente cù ingegneri Kaspersky. Cusì, in u prucessu di analizà l'architettura di suluzione in quantu à l'interazzione di a rete trà i cumpunenti di u sistema, hè stata trovata chì, in più di l'accessu da l'agenti di luce à SVM, u feedback hè ancu necessariu - da SVM à l'agenti di luce. Questa cunnessione di a rete ùn hè micca pussibule in un ambiente multitenant per via di a pussibilità di paràmetri di rete identica di macchine virtuali in diversi inquilini di nuvola. Per quessa, à a nostra dumanda, i culleghi di u venditore anu riformulatu u mecanismu di l'interazzione di a rete trà l'agente di luce è SVM in quantu à eliminà a necessità di a cunnessione di a rete da SVM à l'agenti di luce.
Dopu chì a suluzione hè stata implementata è pruvata nantu à u situ di a nuvola di Mosca, l'avemu replicata à altri siti, cumpresu u segmentu di nuvola certificata. U serviziu hè avà dispunibule in tutte e regioni di u paese.
Architettura di una suluzione di sicurità di l'infurmazioni in u quadru di un novu approcciu
U schema generale di u funziunamentu di una suluzione antivirus in un ambiente di nuvola publica hè u seguente:
Schema di funziunamentu di una suluzione antivirus in un ambiente di nuvola publica #CloudMTS
Descrivimu e caratteristiche di l'operazione di elementi individuali di a suluzione in u nuvulu:
• Una sola cunsola chì permette à i clienti di gestisce in modu cintrali u sistema di prutezzione: eseguite scans, cuntrole l'aghjurnamenti è monitorà e zone di quarantena. Hè pussibule cunfigurà pulitiche di sicurità individuali in u vostru segmentu.
Si deve esse nutatu chì, ancu s'è simu un fornitore di servizii, ùn interferiscenu micca cù i paràmetri stabiliti da i clienti. L'unicu ciò chì pudemu fà hè resettate e pulitiche di sicurezza à quelli standard se a ricunfigurazione hè necessaria. Per esempiu, questu pò esse necessariu s'ellu u cliente hà strettu accidentalmente o debilitatu significativamente. Una cumpagnia pò sempre riceve un centru di cuntrollu cù e pulitiche predeterminate, chì poi pò cunfigurà indipindente. U svantaghju di Kaspersky Security Center hè chì a piattaforma hè attualmente dispunibule solu per u sistema operatore Microsoft. Ancu l'agenti ligeri ponu travaglià cù e macchine Windows è Linux. Tuttavia, Kaspersky Lab prumetti chì in un futuru vicinu KSC travaglià sottu Linux OS. Una di e funzioni impurtanti di KSC hè a capacità di gestisce a quarantena. Ogni cumpagnia cliente in u nostru nuvulu hà una persunale. Stu approcciu elimina situazioni induve un documentu infettatu da un virus diventa accidentalmente visibile publicamente, cum'è puderia accade in u casu di un antivirus corporativu classicu cù quarantena generale.
• Agenti di luce. Comu parte di u novu mudellu, un agentu ligeru di Kaspersky Security hè stallatu nantu à ogni macchina virtuale. Questu elimina a necessità di almacenà a basa di dati antivirus in ogni VM, chì reduce a quantità di spaziu di discu cunsumata. U serviziu hè integratu cù l'infrastruttura di nuvola è travaglia attraversu SVM, chì aumenta a densità di macchine virtuali nantu à l'host ESXi è u rendiment di tuttu u sistema di nuvola. L'agente di luce crea una fila di attività per ogni macchina virtuale: verificate u sistema di fugliale, memoria, etc. Ma l'SVM hè rispunsevuli di eseguisce queste operazioni, chì avemu da parlà dopu. L'agente funziona ancu cum'è un firewall, cuntrolla e pulitiche di sicurezza, manda i fugliali infettati in quarantena è monitora a "salute" generale di u sistema operatore nantu à quale hè stallatu. Tuttu chistu pò esse gestitu cù a cunsola unica digià citata.
• Security Virtual Machine. Tutti i travaglii intensivi di risorse (aghjurnamenti di basa di dati anti-virus, scans pianificati) sò trattati da una Machine Virtual Security (SVM) separata. Hè rispunsevuli di u funziunamentu di un mutore antivirus cumpletu è di basa di dati per questu. L'infrastruttura IT di una cumpagnia pò include parechje SVM. Stu approcciu aumenta l'affidabilità di u sistema - se una macchina falla è ùn risponde micca per trenta seconde, l'agenti cumincianu automaticamente à circà un altru.
• Servitore di integrazione KSC. Unu di i cumpunenti di u KSC principali, chì attribuisce i so SVM à l'agenti di luce in cunfurmità cù l'algoritmu specificatu in i so paràmetri, è ancu cuntrolla a dispunibilità di SVM. Cusì, stu modulu di software furnisce l'equilibriu di carica in tutti i SVM di l'infrastruttura nuvola.
Algoritmu per travaglià in u nuvulu: riducendu a carica nantu à l'infrastruttura
In generale, l'algoritmu antivirus pò esse rapprisintatu cusì. L'agente accede à u schedariu nantu à a macchina virtuale è verifica. U risultatu di a verificazione hè guardatu in una basa di dati di verdict SVM centralizzata cumuna (chjamata Shared Cache), ogni entrata in quale identifica un sample file unicu. Stu approcciu vi permette di assicurà chì u listessu schedariu ùn hè micca scansatu parechje volte in una fila (per esempiu, s'ellu hè statu apertu in diverse macchine virtuali). U schedariu hè rescanned solu se i cambiamenti sò stati fatti à ellu o a scansione hè stata iniziata manualmente.
Implementazione di una suluzione antivirus in u cloud di u fornitore
L'imaghjina mostra un diagramma generale di l'implementazione di a suluzione in u nuvulu. U Kaspersky Security Center principale hè implementatu in a zona di cuntrollu di u nuvulu, è un SVM individuale hè implementatu nantu à ogni host ESXi utilizendu u servitore d'integrazione KSC (ogni host ESXi hà u so propiu SVM attaccatu cù paràmetri speciali in VMware vCenter Server). I clienti travaglianu in i so segmenti di nuvola, induve si trovanu macchine virtuali cù agenti. Sò gestiti da i servitori KSC individuali subordinati à u KSC principale. Se hè necessariu di prutezzione di un picculu numeru di macchine virtuali (finu à 5), u cliente pò esse furnitu cù accessu à a cunsola virtuale di un servitore KSC dedicatu. L'interazzione di a rete trà i KSC di u cliente è u KSC principale, è ancu l'agenti di luce è SVM, hè realizatu utilizendu NAT attraversu router virtuali di cliente EdgeGW.
Sicondu i nostri stimi è i risultati di e teste di i culleghi à u venditore, Light Agent riduce a carica nantu à l'infrastruttura virtuale di i clienti di circa 25% (quandu paragunatu cù un sistema chì usa software antivirus tradiziunale). In particulare, l'antivirus standard Kaspersky Endpoint Security (KES) per l'ambienti fisici cunsuma quasi duie volte u tempu di CPU di u servitore (2,95%) cum'è una soluzione di virtualizazione ligera basata in agenti (1,67%).
Graficu di paragone di carica di CPU
Una situazione simili hè osservata cù a freccia di l'accessu di scrittura di discu: per un antivirus classicu hè 1011 IOPS, per un antivirus nuvola hè 671 IOPS.
Graficu di paragone di a tarifa di accessu à u discu
U benefiziu di u rendiment vi permette di mantene a stabilità di l'infrastruttura è aduprà a putenza di l'informatica in modu più efficiente. Adupendu à travaglià in un ambiente di nuvola publica, a suluzione ùn riduce micca u rendiment di a nuvola: cuntrolla cintrali i schedari è scarica l'aghjurnamenti, distribuzendu a carica. Questu significa chì, da una banda, i minacce pertinenti à l'infrastruttura di nuvola ùn saranu micca mancati, da l'altra banda, i requisiti di risorse per e macchine virtuali seranu ridotti da una media di 25% cumparatu cù un antivirus tradiziunale.
In termini di funziunalità, e duie suluzioni sò assai simili l'una à l'altru: quì sottu hè una tabella di paragone. In ogni casu, in u nuvulu, cum'è i risultati di a prova sopra mostranu, hè sempre ottimale per utilizà una suluzione per ambienti virtuali.
Circa i tariffi in u quadru di u novu approcciu. Avemu decisu di utilizà un mudellu chì ci permette di ottene licenze basatu annantu à u numeru di vCPU. Questu significa chì u numeru di licenze serà uguali à u numeru di vCPU. Pudete pruvà u vostru antivirus lascendu una dumanda .
In u prossimu articulu nantu à i temi di nuvola, parlemu di l'evoluzione di i WAF di nuvola è ciò chì hè megliu di sceglie: hardware, software o nuvola.
U testu hè statu preparatu da l'impiegati di u fornitore di nuvola #CloudMTS: Denis Myagkov, architettu di punta è Alexey Afanasyev, direttore di sviluppu di produttu di sicurità di l'infurmazioni.
Source: www.habr.com