Mae mwy a mwy o ddefnyddwyr yn dod â'u seilwaith TG cyfan i'r cwmwl cyhoeddus. Fodd bynnag, os yw rheolaeth gwrth-feirws yn annigonol yn seilwaith y cwsmer, mae risgiau seiber difrifol yn codi. Mae ymarfer yn dangos bod hyd at 80% o feirysau presennol yn byw'n berffaith mewn amgylchedd rhithwir. Yn y swydd hon byddwn yn siarad am sut i ddiogelu adnoddau TG yn y cwmwl cyhoeddus a pham nad yw gwrthfeirysau traddodiadol yn gwbl addas at y dibenion hyn.
I ddechrau, byddwn yn dweud wrthych sut y daethom i'r syniad nad yw'r offer amddiffyn gwrth-firws arferol yn addas ar gyfer y cwmwl cyhoeddus a bod angen dulliau eraill o ddiogelu adnoddau.
Yn gyntaf, mae darparwyr yn gyffredinol yn darparu'r mesurau angenrheidiol i sicrhau bod eu llwyfannau cwmwl yn cael eu diogelu ar lefel uchel. Er enghraifft, yn #CloudMTS rydym yn dadansoddi'r holl draffig rhwydwaith, yn monitro logiau o systemau diogelwch ein cwmwl, ac yn perfformio pentests yn rheolaidd. Rhaid diogelu segmentau cwmwl a ddyrennir i gleientiaid unigol yn ddiogel hefyd.
Yn ail, mae'r opsiwn clasurol ar gyfer brwydro yn erbyn risgiau seiber yn cynnwys gosod offer rheoli gwrthfeirws a gwrthfeirws ar bob peiriant rhithwir. Fodd bynnag, gyda nifer fawr o beiriannau rhithwir, gall yr arfer hwn fod yn aneffeithiol a gofyn am lawer iawn o adnoddau cyfrifiadurol, a thrwy hynny lwytho seilwaith y cwsmer ymhellach a lleihau perfformiad cyffredinol y cwmwl. Mae hyn wedi dod yn rhagofyniad allweddol ar gyfer chwilio am ddulliau newydd o adeiladu amddiffyniad gwrth-feirws effeithiol ar gyfer peiriannau rhithwir cwsmeriaid.
Yn ogystal, nid yw'r rhan fwyaf o atebion gwrthfeirws ar y farchnad yn cael eu haddasu i ddatrys problemau diogelu adnoddau TG mewn amgylchedd cwmwl cyhoeddus. Fel rheol, maent yn atebion EPP pwysau trwm (Llwyfannau Amddiffyn Endpoint), nad ydynt, ar ben hynny, yn darparu'r addasiad angenrheidiol ar ochr cleient y darparwr cwmwl.
Mae'n dod yn amlwg nad yw datrysiadau gwrthfeirws traddodiadol yn addas ar gyfer gweithio yn y cwmwl, gan eu bod yn llwytho'r seilwaith rhithwir o ddifrif yn ystod diweddariadau a sganiau, ac nid oes ganddynt hefyd y lefelau angenrheidiol o reolaeth a gosodiadau ar sail rôl. Nesaf, byddwn yn dadansoddi'n fanwl pam mae angen dulliau newydd o amddiffyn gwrth-firws ar y cwmwl.
Yr hyn y dylai gwrthfeirws mewn cwmwl cyhoeddus allu ei wneud
Felly, gadewch i ni dalu sylw i fanylion gweithio mewn amgylchedd rhithwir:
Effeithlonrwydd diweddariadau a sganiau torfol wedi'u hamserlennu. Os bydd nifer sylweddol o beiriannau rhithwir sy'n defnyddio gwrthfeirws traddodiadol yn cychwyn diweddariad ar yr un pryd, bydd "storm" o ddiweddariadau fel y'i gelwir yn digwydd yn y cwmwl. Efallai na fydd pŵer gwesteiwr ESXi sy'n cynnal sawl peiriant rhithwir yn ddigon i drin y morglawdd o dasgau tebyg sy'n rhedeg yn ddiofyn. O safbwynt darparwr y cwmwl, gall problem o'r fath arwain at lwythi ychwanegol ar nifer o westeion ESXi, a fydd yn y pen draw yn arwain at ostyngiad ym mherfformiad seilwaith rhithwir y cwmwl. Gall hyn, ymhlith pethau eraill, effeithio ar berfformiad peiriannau rhithwir cleientiaid cwmwl eraill. Gall sefyllfa debyg godi wrth lansio sgan màs: bydd prosesu llawer o geisiadau tebyg gan wahanol ddefnyddwyr ar yr un pryd gan y system ddisg yn effeithio'n negyddol ar berfformiad y cwmwl cyfan. Gyda lefel uchel o debygolrwydd, bydd gostyngiad ym mherfformiad y system storio yn effeithio ar bob cleient. Nid yw llwythi sydyn o'r fath yn plesio'r darparwr na'i gwsmeriaid, gan eu bod yn effeithio ar y “cymdogion” yn y cwmwl. O'r safbwynt hwn, gall gwrthfeirws traddodiadol achosi problem fawr.
Cwarantîn diogel. Os canfyddir ffeil neu ddogfen a allai fod wedi'i heintio â firws ar y system, caiff ei hanfon i gwarantîn. Wrth gwrs, gellir dileu ffeil heintiedig ar unwaith, ond yn aml nid yw hyn yn dderbyniol i'r rhan fwyaf o gwmnïau. Mae gan wrthfeirysau menter gorfforaethol nad ydynt wedi'u haddasu i weithio yng nghwmwl y darparwr, fel rheol, barth cwarantîn cyffredin - mae pob gwrthrych heintiedig yn syrthio iddo. Er enghraifft, y rhai a geir ar gyfrifiaduron defnyddwyr cwmni. Mae cleientiaid darparwr y cwmwl yn “byw” yn eu segmentau (neu denantiaid) eu hunain. Mae'r segmentau hyn yn afloyw ac yn ynysig: nid yw cleientiaid yn gwybod am ei gilydd ac, wrth gwrs, nid ydynt yn gweld yr hyn y mae eraill yn ei gynnal yn y cwmwl. Yn amlwg, gallai'r cwarantîn cyffredinol, y bydd pob defnyddiwr gwrthfeirws yn y cwmwl yn ei gyrchu, o bosibl gynnwys dogfen sy'n cynnwys gwybodaeth gyfrinachol neu gyfrinach fasnachol. Mae hyn yn annerbyniol i'r darparwr a'i gwsmeriaid. Felly, dim ond un ateb all fod - cwarantîn personol ar gyfer pob cleient yn ei gylchran, lle nad oes gan y darparwr na chleientiaid eraill fynediad.
Polisïau diogelwch unigol. Mae pob cleient yn y cwmwl yn gwmni ar wahân, y mae ei adran TG yn gosod ei bolisïau diogelwch ei hun. Er enghraifft, mae gweinyddwyr yn diffinio rheolau sganio ac yn trefnu sganiau gwrth-feirws. Yn unol â hynny, rhaid i bob sefydliad gael ei ganolfan reoli ei hun i ffurfweddu polisïau gwrthfeirws. Ar yr un pryd, ni ddylai'r gosodiadau penodedig effeithio ar gleientiaid cwmwl eraill, a dylai'r darparwr allu gwirio, er enghraifft, bod diweddariadau gwrthfeirws yn cael eu cynnal fel arfer ar gyfer holl beiriannau rhithwir cleientiaid.
Trefniant bilio a thrwyddedu. Nodweddir model y cwmwl gan hyblygrwydd ac mae'n golygu talu dim ond am faint o adnoddau TG a ddefnyddiwyd gan y cwsmer. Os oes angen, er enghraifft, oherwydd natur dymhorol, yna gellir cynyddu neu leihau swm yr adnoddau yn gyflym - i gyd yn seiliedig ar yr anghenion presennol ar gyfer pŵer cyfrifiadurol. Nid yw gwrthfeirws traddodiadol mor hyblyg - fel rheol, mae'r cleient yn prynu trwydded am flwyddyn ar gyfer nifer a bennwyd ymlaen llaw o weinyddion neu weithfannau. Mae defnyddwyr cwmwl yn datgysylltu ac yn cysylltu peiriannau rhithwir ychwanegol yn rheolaidd yn dibynnu ar eu hanghenion presennol - yn unol â hynny, rhaid i drwyddedau gwrthfeirws gefnogi'r un model.
Yr ail gwestiwn yw beth yn union y bydd y drwydded yn ei gynnwys. Mae gwrthfeirws traddodiadol wedi'i drwyddedu gan nifer y gweinyddwyr neu weithfannau. Nid yw trwyddedau sy'n seiliedig ar nifer y peiriannau rhithwir gwarchodedig yn gwbl addas o fewn y model cwmwl. Gall y cleient greu unrhyw nifer o beiriannau rhithwir sy'n gyfleus iddo o'r adnoddau sydd ar gael, er enghraifft, pump neu ddeg peiriant. Nid yw'r rhif hwn yn gyson ar gyfer y rhan fwyaf o gleientiaid; nid yw'n bosibl i ni, fel darparwr, olrhain ei newidiadau. Nid oes unrhyw bosibilrwydd technegol i drwyddedu gan CPU: mae cleientiaid yn derbyn proseswyr rhithwir (vCPUs), y dylid eu defnyddio ar gyfer trwyddedu. Felly, dylai'r model amddiffyn gwrth-feirws newydd gynnwys y gallu i'r cwsmer bennu'r nifer gofynnol o vCPUs y bydd yn derbyn trwyddedau gwrth-firws ar eu cyfer.
Cydymffurfio â deddfwriaeth. Pwynt pwysig, gan fod yn rhaid i'r atebion a ddefnyddir sicrhau cydymffurfiaeth â gofynion y rheolydd. Er enghraifft, mae “preswylwyr” cwmwl yn aml yn gweithio gyda data personol. Yn yr achos hwn, rhaid bod gan y darparwr segment cwmwl ardystiedig ar wahân sy'n cydymffurfio'n llawn â gofynion y Gyfraith Data Personol. Yna nid oes angen i gwmnïau “adeiladu” yn annibynnol y system gyfan ar gyfer gweithio gyda data personol: prynu offer ardystiedig, ei gysylltu a'i ffurfweddu, a chael ardystiad. Er mwyn amddiffyn seiber ISPD cleientiaid o'r fath, rhaid i'r gwrthfeirws hefyd gydymffurfio â gofynion deddfwriaeth Rwsia a chael tystysgrif FSTEC.
Gwnaethom edrych ar y meini prawf gorfodol y mae'n rhaid i amddiffyniad gwrthfeirws yn y cwmwl cyhoeddus eu bodloni. Nesaf, byddwn yn rhannu ein profiad ein hunain o addasu datrysiad gwrthfeirws i weithio yng nghwmwl y darparwr.
Sut allwch chi wneud ffrindiau rhwng gwrthfeirws a cwmwl?
Fel y mae ein profiad wedi dangos, mae dewis datrysiad yn seiliedig ar ddisgrifiad a dogfennaeth yn un peth, ond mae ei weithredu'n ymarferol mewn amgylchedd cwmwl sydd eisoes yn gweithio yn dasg hollol wahanol o ran cymhlethdod. Byddwn yn dweud wrthych beth a wnaethom yn ymarferol a sut y gwnaethom addasu'r gwrthfeirws i weithio yng nghwmwl cyhoeddus y darparwr. Gwerthwr yr ateb gwrth-firws oedd Kaspersky, y mae ei bortffolio yn cynnwys atebion amddiffyn gwrth-firws ar gyfer amgylcheddau cwmwl. Fe wnaethom setlo ar “Diogelwch Kaspersky ar gyfer Rhithwiroli” (Asiant Ysgafn).
Mae'n cynnwys un consol Canolfan Ddiogelwch Kaspersky. Asiant ysgafn a pheiriannau rhithwir diogelwch (SVM, Security Virtual Machine) a gweinydd integreiddio KSC.
Ar ôl i ni astudio pensaernïaeth datrysiad Kaspersky a chynnal y profion cyntaf ynghyd â pheirianwyr y gwerthwr, cododd y cwestiwn ynghylch integreiddio'r gwasanaeth i'r cwmwl. Cynhaliwyd y gweithrediad cyntaf ar y cyd ar safle cwmwl Moscow. A dyna beth wnaethon ni sylweddoli.
Er mwyn lleihau traffig rhwydwaith, penderfynwyd gosod SVM ar bob gwesteiwr ESXi a “chlymu” yr SVM i'r gwesteiwyr ESXi. Yn yr achos hwn, mae asiantau ysgafn peiriannau rhithwir gwarchodedig yn cyrchu SVM yr union westeiwr ESXi y maent yn rhedeg arno. Dewiswyd tenant gweinyddol ar wahân ar gyfer y prif KSC. O ganlyniad, mae is-KSCs wedi'u lleoli yn y tenantiaid pob cleient unigol ac yn mynd i'r afael â'r KSC uwchraddol lleoli yn y segment rheoli. Mae'r cynllun hwn yn eich galluogi i ddatrys problemau sy'n codi mewn tenantiaid cleient yn gyflym.
Yn ogystal â materion yn ymwneud â chodi cydrannau'r datrysiad gwrth-firws ei hun, roeddem yn wynebu'r dasg o drefnu rhyngweithio rhwydwaith trwy greu VxLANs ychwanegol. Ac er bod yr ateb wedi'i fwriadu'n wreiddiol ar gyfer cleientiaid menter gyda chymylau preifat, gyda chymorth peirianneg ddeallus a hyblygrwydd technolegol NSX Edge roeddem yn gallu datrys yr holl broblemau sy'n gysylltiedig â gwahanu tenantiaid a thrwyddedu.
Buom yn gweithio'n agos gyda pheirianwyr Kaspersky. Felly, yn y broses o ddadansoddi pensaernïaeth yr ateb o ran rhyngweithio rhwydwaith rhwng cydrannau'r system, canfuwyd, yn ogystal â mynediad o gyfryngau ysgafn i SVM, bod angen adborth hefyd - o SVM i asiantau ysgafn. Nid yw'r cysylltedd rhwydwaith hwn yn bosibl mewn amgylchedd aml-denant oherwydd y posibilrwydd o osodiadau rhwydwaith union yr un fath o beiriannau rhithwir mewn gwahanol denantiaid cwmwl. Felly, ar ein cais ni, ail-weithiodd cydweithwyr o'r gwerthwr y mecanwaith rhyngweithio rhwydwaith rhwng yr asiant golau a SVM o ran dileu'r angen am gysylltedd rhwydwaith o SVM i asiantau ysgafn.
Ar ôl i'r datrysiad gael ei ddefnyddio a'i brofi ar safle cwmwl Moscow, fe wnaethom ei ailadrodd i wefannau eraill, gan gynnwys y segment cwmwl ardystiedig. Mae'r gwasanaeth bellach ar gael ym mhob rhan o'r wlad.
Pensaernïaeth datrysiad diogelwch gwybodaeth o fewn fframwaith dull newydd
Mae cynllun gweithredu cyffredinol datrysiad gwrthfeirws mewn amgylchedd cwmwl cyhoeddus fel a ganlyn:
Cynllun gweithredu datrysiad gwrthfeirws mewn amgylchedd cwmwl cyhoeddus #CloudMTS
Gadewch i ni ddisgrifio nodweddion gweithrediad elfennau unigol o'r datrysiad yn y cwmwl:
• Consol sengl sy'n caniatáu i gleientiaid reoli'r system amddiffyn yn ganolog: rhedeg sganiau, rheoli diweddariadau a monitro parthau cwarantîn. Mae'n bosibl ffurfweddu polisïau diogelwch unigol o fewn eich segment.
Dylid nodi, er ein bod yn ddarparwr gwasanaeth, nad ydym yn ymyrryd â'r gosodiadau a osodir gan gleientiaid. Yr unig beth y gallwn ei wneud yw ailosod y polisïau diogelwch i rai safonol os oes angen ailgyflunio. Er enghraifft, efallai y bydd hyn yn angenrheidiol pe bai'r cleient yn eu tynhau'n ddamweiniol neu'n eu gwanhau'n sylweddol. Gall cwmni bob amser dderbyn canolfan reoli gyda pholisïau rhagosodedig, y gall wedyn eu ffurfweddu'n annibynnol. Anfantais Canolfan Ddiogelwch Kaspersky yw mai dim ond ar gyfer system weithredu Microsoft y mae'r platfform ar gael ar hyn o bryd. Er y gall asiantau ysgafn weithio gyda pheiriannau Windows a Linux. Fodd bynnag, mae Kaspersky Lab yn addo y bydd KSC yn gweithio o dan Linux OS yn y dyfodol agos. Un o swyddogaethau pwysig KSC yw'r gallu i reoli cwarantîn. Mae gan bob cwmni cleient yn ein cwmwl un personol. Mae'r dull hwn yn dileu sefyllfaoedd lle mae dogfen sydd wedi'i heintio â firws yn ddamweiniol yn dod yn weladwy i'r cyhoedd, fel y gallai ddigwydd yn achos gwrthfeirws corfforaethol clasurol gyda chwarantîn cyffredinol.
• Asiantau ysgafn. Fel rhan o'r model newydd, gosodir asiant Diogelwch Kaspersky ysgafn ar bob peiriant rhithwir. Mae hyn yn dileu'r angen i storio'r gronfa ddata gwrth-firws ar bob VM, sy'n lleihau faint o ofod disg sydd ei angen. Mae'r gwasanaeth wedi'i integreiddio â seilwaith y cwmwl ac mae'n gweithio trwy SVM, sy'n cynyddu dwysedd y peiriannau rhithwir ar y gwesteiwr ESXi a pherfformiad y system cwmwl gyfan. Mae'r asiant ysgafn yn adeiladu ciw o dasgau ar gyfer pob peiriant rhithwir: gwiriwch y system ffeiliau, cof, ac ati. Ond yr SVM sy'n gyfrifol am gyflawni'r gweithrediadau hyn, y byddwn yn siarad amdanynt yn nes ymlaen. Mae'r asiant hefyd yn cyflawni swyddogaethau wal dân, yn rheoli polisïau diogelwch, yn anfon ffeiliau heintiedig i gwarantîn ac yn monitro “iechyd” cyffredinol y system weithredu y mae wedi'i gosod arni. Gellir rheoli hyn i gyd gan ddefnyddio'r consol sengl a grybwyllwyd eisoes.
• Peiriant Rhithwir Diogelwch. Ymdrinnir â phob tasg sy'n defnyddio llawer o adnoddau (diweddariadau cronfa ddata gwrth-firws, sganiau wedi'u hamserlennu) gan Beiriant Rhithwir Diogelwch (SVM) ar wahân. Mae hi'n gyfrifol am weithrediad injan gwrth-firws llawn a chronfeydd data ar ei gyfer. Gall seilwaith TG cwmni gynnwys sawl GMB. Mae'r dull hwn yn cynyddu dibynadwyedd y system - os bydd un peiriant yn methu ac nad yw'n ymateb am dri deg eiliad, mae asiantau yn dechrau chwilio am un arall yn awtomatig.
• gweinydd integreiddio KSC. Un o gydrannau'r prif KSC, sy'n aseinio ei SVMs i gyfryngau ysgafn yn unol â'r algorithm a nodir yn ei osodiadau, ac mae hefyd yn rheoli argaeledd SMVs. Felly, mae'r modiwl meddalwedd hwn yn darparu cydbwysedd llwyth ar draws holl SVMs y seilwaith cwmwl.
Algorithm ar gyfer gweithio yn y cwmwl: lleihau'r llwyth ar y seilwaith
Yn gyffredinol, gellir cynrychioli'r algorithm gwrthfeirws fel a ganlyn. Mae'r asiant yn cyrchu'r ffeil ar y peiriant rhithwir ac yn ei wirio. Mae canlyniad y dilysu yn cael ei storio mewn cronfa ddata rheithfarn SVM ganolog gyffredin (a elwir yn Shared Cache), gyda phob cofnod yn nodi sampl ffeil unigryw. Mae'r dull hwn yn caniatáu ichi sicrhau nad yw'r un ffeil yn cael ei sganio sawl gwaith yn olynol (er enghraifft, os cafodd ei hagor ar wahanol beiriannau rhithwir). Mae'r ffeil yn cael ei hailsganio dim ond os oes newidiadau wedi'u gwneud iddi neu fod y sgan wedi'i gychwyn â llaw.
Gweithredu datrysiad gwrthfeirws yng nghwmwl y darparwr
Mae'r ddelwedd yn dangos diagram cyffredinol o weithredu datrysiad yn y cwmwl. Mae prif Ganolfan Ddiogelwch Kaspersky yn cael ei defnyddio ym mharth rheoli'r cwmwl, ac mae SVM unigol yn cael ei ddefnyddio ar bob gwesteiwr ESXi gan ddefnyddio'r gweinydd integreiddio KSC (mae gan bob gwesteiwr ESXi ei SVM ei hun ynghlwm â gosodiadau arbennig ar VMware vCenter Server). Mae cleientiaid yn gweithio yn eu segmentau cwmwl eu hunain, lle mae peiriannau rhithwir gydag asiantau wedi'u lleoli. Cânt eu rheoli trwy weinyddion KSC unigol sy'n israddol i'r prif KSC. Os oes angen amddiffyn nifer fach o beiriannau rhithwir (hyd at 5), gellir darparu mynediad i'r cleient i gonsol rhithwir gweinydd KSC arbennig. Mae rhyngweithio rhwydwaith rhwng cleientiaid KSCs a'r prif KSC, yn ogystal ag asiantau golau a SBMs, yn cael ei wneud gan ddefnyddio NAT trwy lwybryddion rhithwir cleient EdgeGW.
Yn ôl ein hamcangyfrifon a chanlyniadau profion cydweithwyr yn y gwerthwr, mae Light Agent yn lleihau'r llwyth ar seilwaith rhithwir cleientiaid tua 25% (o'i gymharu â system sy'n defnyddio meddalwedd gwrth-firws traddodiadol). Yn benodol, mae gwrthfeirws safonol Kaspersky Endpoint Security (KES) ar gyfer amgylcheddau ffisegol yn defnyddio bron ddwywaith cymaint o amser CPU gweinydd (2,95%) fel datrysiad rhithwiroli ysgafn yn seiliedig ar asiant (1,67%).
Siart cymharu llwyth CPU
Gwelir sefyllfa debyg gydag amlder mynediadau ysgrifennu disg: ar gyfer gwrthfeirws clasurol mae'n 1011 IOPS, ar gyfer gwrthfeirws cwmwl mae'n 671 IOPS.
Graff cymharu cyfradd mynediad disg
Mae'r budd perfformiad yn eich galluogi i gynnal sefydlogrwydd seilwaith a defnyddio pŵer cyfrifiadurol yn fwy effeithlon. Trwy addasu i weithio mewn amgylchedd cwmwl cyhoeddus, nid yw'r ateb yn lleihau perfformiad cwmwl: mae'n gwirio ffeiliau yn ganolog ac yn lawrlwytho diweddariadau, gan ddosbarthu'r llwyth. Mae hyn yn golygu, ar y naill law, na fydd bygythiadau sy'n berthnasol i seilwaith y cwmwl yn cael eu colli, ar y llaw arall, bydd y gofynion adnoddau ar gyfer peiriannau rhithwir yn cael eu lleihau ar gyfartaledd o 25% o'i gymharu â gwrthfeirws traddodiadol.
O ran ymarferoldeb, mae'r ddau ddatrysiad yn debyg iawn i'w gilydd: isod mae tabl cymhariaeth. Fodd bynnag, yn y cwmwl, fel y dengys canlyniadau'r profion uchod, mae'n dal yn optimaidd defnyddio datrysiad ar gyfer amgylcheddau rhithwir.
Ynglŷn â thariffau o fewn fframwaith y dull newydd. Penderfynasom ddefnyddio model sy'n ein galluogi i gael trwyddedau yn seiliedig ar nifer y vCPUs. Mae hyn yn golygu y bydd nifer y trwyddedau yn gyfartal â nifer y vCPUs. Gallwch chi brofi'ch gwrthfeirws trwy adael cais .
Yn yr erthygl nesaf ar bynciau cwmwl, byddwn yn siarad am esblygiad WAFs cwmwl a beth sy'n well i'w ddewis: caledwedd, meddalwedd neu gwmwl.
Paratowyd y testun gan weithwyr y darparwr cwmwl #CloudMTS: Denis Myagkov, pensaer blaenllaw ac Alexey Afanasyev, rheolwr datblygu cynnyrch diogelwch gwybodaeth.
Ffynhonnell: hab.com