Immer mehr Anwender verlagern ihre gesamte IT-Infrastruktur in die Public Cloud. Wenn die Virenschutzkontrolle in der Infrastruktur des Kunden jedoch unzureichend ist, entstehen ernsthafte Cyberrisiken. Die Praxis zeigt, dass bis zu 80 % der vorhandenen Viren perfekt in einer virtuellen Umgebung leben. In diesem Beitrag sprechen wir darüber, wie man IT-Ressourcen in der Public Cloud schützt und warum herkömmliche Antivirenprogramme für diese Zwecke nicht ganz geeignet sind.
Zunächst verraten wir Ihnen, wie wir zu der Erkenntnis kamen, dass die üblichen Virenschutz-Tools nicht für die Public Cloud geeignet sind und andere Ansätze zum Schutz der Ressourcen erforderlich sind.
Erstens stellen Anbieter im Allgemeinen die notwendigen Maßnahmen bereit, um sicherzustellen, dass ihre Cloud-Plattformen auf einem hohen Niveau geschützt sind. Bei #CloudMTS analysieren wir beispielsweise den gesamten Netzwerkverkehr, überwachen Protokolle der Sicherheitssysteme unserer Cloud und führen regelmäßig Pentests durch. Auch die einzelnen Clients zugeordneten Cloud-Segmente müssen sicher geschützt werden.
Zweitens besteht die klassische Möglichkeit zur Bekämpfung von Cyber-Risiken darin, auf jeder virtuellen Maschine ein Antiviren- und Antiviren-Verwaltungstool zu installieren. Bei einer großen Anzahl virtueller Maschinen kann diese Vorgehensweise jedoch ineffektiv sein und erhebliche Mengen an Rechenressourcen erfordern, wodurch die Infrastruktur des Kunden weiter belastet und die Gesamtleistung der Cloud verringert wird. Dies ist zu einer wichtigen Voraussetzung für die Suche nach neuen Ansätzen zum Aufbau eines wirksamen Virenschutzes für virtuelle Kundenmaschinen geworden.
Darüber hinaus sind die meisten Antivirenlösungen auf dem Markt nicht dafür geeignet, die Probleme beim Schutz von IT-Ressourcen in einer öffentlichen Cloud-Umgebung zu lösen. In der Regel handelt es sich um schwergewichtige EPP-Lösungen (Endpoint Protection Platforms), die darüber hinaus nicht die nötige Individualisierung auf der Client-Seite des Cloud-Anbieters bieten.
Es zeigt sich, dass herkömmliche Antivirenlösungen für die Arbeit in der Cloud schlecht geeignet sind, da sie die virtuelle Infrastruktur bei Updates und Scans stark belasten und zudem nicht über die notwendigen rollenbasierten Verwaltungs- und Einstellungsmöglichkeiten verfügen. Als nächstes analysieren wir im Detail, warum die Cloud neue Ansätze für den Virenschutz benötigt.
Was ein Antivirenprogramm in einer öffentlichen Cloud können sollte
Achten wir also auf die Besonderheiten der Arbeit in einer virtuellen Umgebung:
Effizienz von Updates und geplanten Massenscans. Wenn eine erhebliche Anzahl virtueller Maschinen, die ein herkömmliches Antivirenprogramm verwenden, gleichzeitig ein Update initiiert, kommt es in der Cloud zu einem sogenannten „Sturm“ von Updates. Die Leistung eines ESXi-Hosts, der mehrere virtuelle Maschinen hostet, reicht möglicherweise nicht aus, um die Flut ähnlicher Aufgaben zu bewältigen, die standardmäßig ausgeführt werden. Aus Sicht des Cloud-Anbieters kann ein solches Problem zu einer zusätzlichen Belastung mehrerer ESXi-Hosts führen, was letztendlich zu einem Leistungsabfall der virtuellen Cloud-Infrastruktur führt. Dies kann unter anderem Auswirkungen auf die Leistung virtueller Maschinen anderer Cloud-Clients haben. Eine ähnliche Situation kann beim Starten eines Massenscans auftreten: Die gleichzeitige Verarbeitung vieler ähnlicher Anfragen verschiedener Benutzer durch das Festplattensystem wirkt sich negativ auf die Leistung der gesamten Cloud aus. Mit hoher Wahrscheinlichkeit wird sich ein Leistungsabfall des Speichersystems auf alle Clients auswirken. Solche abrupten Belastungen erfreuen weder den Anbieter noch seine Kunden, da sie die „Nachbarn“ in der Cloud beeinträchtigen. Aus dieser Sicht können herkömmliche Antivirenprogramme ein großes Problem darstellen.
Sichere Quarantäne. Wenn eine möglicherweise mit einem Virus infizierte Datei oder ein Dokument auf dem System entdeckt wird, wird sie in die Quarantäne verschoben. Natürlich kann eine infizierte Datei sofort gelöscht werden, was für die meisten Unternehmen jedoch oft nicht akzeptabel ist. Unternehmensantivirenprogramme, die nicht für die Arbeit in der Cloud des Anbieters geeignet sind, verfügen in der Regel über eine gemeinsame Quarantänezone – alle infizierten Objekte fallen in diese Zone. Beispielsweise solche, die auf den Computern von Firmenbenutzern gefunden werden. Kunden des Cloud-Anbieters „leben“ in ihren eigenen Segmenten (oder Mandanten). Diese Segmente sind undurchsichtig und isoliert: Kunden wissen nichts voneinander und sehen natürlich nicht, was andere in der Cloud hosten. Offensichtlich könnte die allgemeine Quarantäne, auf die alle Antiviren-Benutzer in der Cloud zugreifen, möglicherweise ein Dokument enthalten, das vertrauliche Informationen oder ein Geschäftsgeheimnis enthält. Dies ist für den Anbieter und seine Kunden nicht akzeptabel. Daher kann es nur eine Lösung geben – die persönliche Quarantäne für jeden Kunden in seinem Segment, zu der weder der Anbieter noch andere Kunden Zugang haben.
Individuelle Sicherheitsrichtlinien. Jeder Client in der Cloud ist ein separates Unternehmen, dessen IT-Abteilung seine eigenen Sicherheitsrichtlinien festlegt. Administratoren definieren beispielsweise Scanregeln und planen Antivirenscans. Dementsprechend muss jede Organisation über ein eigenes Kontrollzentrum verfügen, um Antivirenrichtlinien zu konfigurieren. Gleichzeitig sollten die festgelegten Einstellungen keine Auswirkungen auf andere Cloud-Clients haben und der Anbieter sollte überprüfen können, dass beispielsweise Antiviren-Updates für alle virtuellen Client-Maschinen wie gewohnt durchgeführt werden.
Organisation der Abrechnung und Lizenzierung. Das Cloud-Modell zeichnet sich durch Flexibilität aus und beinhaltet, dass nur für die Menge der IT-Ressourcen bezahlt wird, die der Kunde auch in Anspruch genommen hat. Besteht beispielsweise aufgrund der Saisonalität ein Bedarf, kann die Menge der Ressourcen schnell erhöht oder reduziert werden – je nach aktuellem Bedarf an Rechenleistung. Herkömmliche Antivirenprogramme sind nicht so flexibel – in der Regel kauft der Kunde eine Lizenz für ein Jahr für eine vorgegebene Anzahl von Servern oder Workstations. Cloud-Nutzer trennen und verbinden je nach aktuellem Bedarf regelmäßig weitere virtuelle Maschinen – dementsprechend müssen Antiviren-Lizenzen das gleiche Modell unterstützen.
Die zweite Frage ist, was genau die Lizenz abdecken wird. Herkömmliche Antivirenprogramme werden nach der Anzahl der Server oder Workstations lizenziert. Lizenzen, die auf der Anzahl der geschützten virtuellen Maschinen basieren, sind im Cloud-Modell nicht vollständig geeignet. Der Kunde kann aus den verfügbaren Ressourcen beliebig viele für ihn geeignete virtuelle Maschinen erstellen, beispielsweise fünf oder zehn Maschinen. Bei den meisten Kunden ist diese Zahl nicht konstant, es ist für uns als Anbieter nicht möglich, deren Veränderungen nachzuvollziehen. Es besteht keine technische Möglichkeit einer CPU-Lizenzierung: Clients erhalten virtuelle Prozessoren (vCPUs), die für die Lizenzierung genutzt werden sollen. Daher sollte das neue Antiviren-Schutzmodell die Möglichkeit beinhalten, dass der Kunde die erforderliche Anzahl an vCPUs bestimmen kann, für die er Antiviren-Lizenzen erhält.
Einhaltung der Gesetzgebung. Ein wichtiger Punkt, da die eingesetzten Lösungen die Einhaltung der Anforderungen der Regulierungsbehörde gewährleisten müssen. Beispielsweise arbeiten Cloud-„Bewohner“ häufig mit personenbezogenen Daten. In diesem Fall muss der Anbieter über ein separates zertifiziertes Cloud-Segment verfügen, das die Anforderungen des Gesetzes über personenbezogene Daten vollständig erfüllt. Dann müssen Unternehmen nicht das gesamte System für die Arbeit mit personenbezogenen Daten selbstständig „aufbauen“: zertifizierte Geräte kaufen, anschließen und konfigurieren und sich einer Zertifizierung unterziehen. Für den Cyberschutz des ISPD solcher Clients muss das Antivirenprogramm außerdem den Anforderungen der russischen Gesetzgebung entsprechen und über ein FSTEC-Zertifikat verfügen.
Wir haben uns die zwingenden Kriterien angesehen, die der Virenschutz in der Public Cloud erfüllen muss. Als nächstes werden wir unsere eigenen Erfahrungen bei der Anpassung einer Antivirenlösung für den Betrieb in der Cloud des Anbieters teilen.
Wie können Sie Antivirus und Cloud miteinander verbinden?
Wie unsere Erfahrung zeigt, ist die Auswahl einer Lösung anhand der Beschreibung und Dokumentation eine Sache, die praktische Umsetzung in einer bereits funktionierenden Cloud-Umgebung jedoch eine ganz andere Aufgabe hinsichtlich der Komplexität. Wir erzählen Ihnen, was wir in der Praxis gemacht haben und wie wir das Antivirenprogramm an die öffentliche Cloud des Anbieters angepasst haben. Anbieter der Antivirenlösung war Kaspersky, zu dessen Portfolio auch Antivirenschutzlösungen für Cloud-Umgebungen gehören. Wir haben uns für „Kaspersky Security for Virtualization“ (Light Agent) entschieden.
Es umfasst eine einzelne Kaspersky Security Center-Konsole. Light Agent und virtuelle Sicherheitsmaschinen (SVM, Security Virtual Machine) und KSC-Integrationsserver.
Nachdem wir die Architektur der Kaspersky-Lösung untersucht und gemeinsam mit den Ingenieuren des Anbieters erste Tests durchgeführt hatten, stellte sich die Frage nach der Integration des Dienstes in die Cloud. Die erste Implementierung wurde gemeinsam am Moskauer Cloud-Standort durchgeführt. Und das ist uns klar geworden.
Um den Netzwerkverkehr zu minimieren, wurde beschlossen, auf jedem ESXi-Host eine SVM zu platzieren und die SVM an die ESXi-Hosts zu „binden“. In diesem Fall greifen Light Agents geschützter virtueller Maschinen auf die SVM genau des ESXi-Hosts zu, auf dem sie ausgeführt werden. Für den Haupt-KSC wurde ein separater Verwaltungsmieter ausgewählt. Dadurch sind untergeordnete KSCs in den Mietern jedes einzelnen Mandanten angesiedelt und adressieren die übergeordneten KSCs im Managementsegment. Mit diesem Schema können Sie Probleme, die bei Kundenmietern auftreten, schnell lösen.
Zusätzlich zu den Problemen bei der Erhöhung der Komponenten der Antivirenlösung selbst standen wir vor der Aufgabe, die Netzwerkinteraktion durch die Schaffung zusätzlicher VxLANs zu organisieren. Und obwohl die Lösung ursprünglich für Unternehmenskunden mit privaten Clouds gedacht war, konnten wir mithilfe des technischen Know-hows und der technologischen Flexibilität von NSX Edge alle Probleme lösen, die mit der Trennung von Mandanten und Lizenzierung verbunden sind.
Wir haben eng mit den Kaspersky-Ingenieuren zusammengearbeitet. So wurde bei der Analyse der Lösungsarchitektur im Hinblick auf die Netzwerkinteraktion zwischen Systemkomponenten festgestellt, dass neben dem Zugriff von Light Agents auf SVM auch Feedback erforderlich ist – von SVM auf Light Agents. Diese Netzwerkkonnektivität ist in einer Umgebung mit mehreren Mandanten nicht möglich, da möglicherweise identische Netzwerkeinstellungen virtueller Maschinen in verschiedenen Cloud-Mandanten vorliegen. Daher haben Kollegen des Anbieters auf unseren Wunsch hin den Mechanismus der Netzwerkinteraktion zwischen dem Light Agent und der SVM überarbeitet, um die Notwendigkeit einer Netzwerkkonnektivität von der SVM zu den Light Agents zu beseitigen.
Nachdem die Lösung am Moskauer Cloud-Standort bereitgestellt und getestet wurde, haben wir sie auf andere Standorte repliziert, einschließlich des zertifizierten Cloud-Segments. Der Dienst ist mittlerweile in allen Regionen des Landes verfügbar.
Architektur einer Informationssicherheitslösung im Rahmen eines neuen Ansatzes
Das allgemeine Funktionsschema einer Antivirenlösung in einer öffentlichen Cloud-Umgebung ist wie folgt:
Funktionsschema einer Antivirenlösung in einer öffentlichen Cloud-Umgebung #CloudMTS
Beschreiben wir die Merkmale des Betriebs einzelner Elemente der Lösung in der Cloud:
• Eine einzige Konsole, mit der Kunden das Schutzsystem zentral verwalten können: Scans ausführen, Updates steuern und Quarantänezonen überwachen. Es ist möglich, individuelle Sicherheitsrichtlinien innerhalb Ihres Segments zu konfigurieren.
Es ist zu beachten, dass wir, obwohl wir ein Dienstleister sind, nicht in die von Kunden vorgenommenen Einstellungen eingreifen. Das Einzige, was wir tun können, ist, die Sicherheitsrichtlinien auf die Standardrichtlinien zurückzusetzen, wenn eine Neukonfiguration erforderlich ist. Dies kann beispielsweise erforderlich sein, wenn der Kunde sie versehentlich festgezogen oder erheblich geschwächt hat. Ein Unternehmen kann jederzeit ein Kontrollzentrum mit Standardrichtlinien erhalten, die es dann selbstständig konfigurieren kann. Der Nachteil von Kaspersky Security Center besteht darin, dass die Plattform derzeit nur für das Microsoft-Betriebssystem verfügbar ist. Obwohl Lightweight-Agenten sowohl mit Windows- als auch mit Linux-Rechnern arbeiten können. Kaspersky Lab verspricht jedoch, dass KSC in naher Zukunft unter dem Linux-Betriebssystem laufen wird. Eine der wichtigen Funktionen des KSC ist die Fähigkeit, die Quarantäne zu verwalten. Jedes Kundenunternehmen in unserer Cloud hat ein persönliches. Dieser Ansatz verhindert Situationen, in denen ein mit einem Virus infiziertes Dokument versehentlich öffentlich sichtbar wird, wie es bei einem klassischen Unternehmens-Antivirenprogramm mit allgemeiner Quarantäne der Fall sein könnte.
• Milde Wirkstoffe. Im Rahmen des neuen Modells wird auf jeder virtuellen Maschine ein schlanker Kaspersky Security-Agent installiert. Dadurch entfällt die Notwendigkeit, die Antiviren-Datenbank auf jeder VM zu speichern, was den erforderlichen Speicherplatz reduziert. Der Dienst ist in die Cloud-Infrastruktur integriert und funktioniert über SVM, was die Dichte virtueller Maschinen auf dem ESXi-Host und die Leistung des gesamten Cloud-Systems erhöht. Der Light Agent erstellt für jede virtuelle Maschine eine Warteschlange mit Aufgaben: Überprüfen des Dateisystems, des Speichers usw. Aber die SVM ist für die Durchführung dieser Vorgänge verantwortlich, worüber wir später sprechen werden. Der Agent fungiert auch als Firewall, kontrolliert Sicherheitsrichtlinien, schickt infizierte Dateien in die Quarantäne und überwacht den allgemeinen „Zustand“ des Betriebssystems, auf dem er installiert ist. All dies kann über die bereits erwähnte Einzelkonsole verwaltet werden.
• Virtuelle Sicherheitsmaschine. Alle ressourcenintensiven Aufgaben (Updates der Antiviren-Datenbanken, geplante Scans) werden von einer separaten Security Virtual Machine (SVM) ausgeführt. Sie ist für den Betrieb einer vollwertigen Antiviren-Engine und der dazugehörigen Datenbanken verantwortlich. Die IT-Infrastruktur eines Unternehmens kann mehrere SVMs umfassen. Dieser Ansatz erhöht die Zuverlässigkeit des Systems – wenn eine Maschine ausfällt und dreißig Sekunden lang nicht antwortet, beginnen Agenten automatisch mit der Suche nach einer anderen.
• KSC-Integrationsserver. Eine der Komponenten des Haupt-KSC, die ihre SVMs gemäß dem in ihren Einstellungen angegebenen Algorithmus Light Agents zuweist und auch die Verfügbarkeit von SVMs steuert. Somit sorgt dieses Softwaremodul für einen Lastausgleich über alle SVMs der Cloud-Infrastruktur.
Algorithmus für das Arbeiten in der Cloud: Entlastung der Infrastruktur
Im Allgemeinen kann der Antivirenalgorithmus wie folgt dargestellt werden. Der Agent greift auf die Datei auf der virtuellen Maschine zu und prüft sie. Das Ergebnis der Überprüfung wird in einer gemeinsamen zentralen SVM-Urteilsdatenbank (genannt Shared Cache) gespeichert, wobei jeder Eintrag eine eindeutige Dateiprobe identifiziert. Mit diesem Ansatz können Sie sicherstellen, dass dieselbe Datei nicht mehrmals hintereinander gescannt wird (z. B. wenn sie auf verschiedenen virtuellen Maschinen geöffnet wurde). Die Datei wird nur dann erneut gescannt, wenn Änderungen daran vorgenommen wurden oder der Scan manuell gestartet wurde.
Implementierung einer Antivirenlösung in der Cloud des Anbieters
Das Bild zeigt ein allgemeines Diagramm der Lösungsimplementierung in der Cloud. Das Hauptkaspersky Security Center wird in der Kontrollzone der Cloud bereitgestellt, und auf jedem ESXi-Host wird mithilfe des KSC-Integrationsservers eine einzelne SVM bereitgestellt (jeder ESXi-Host verfügt über eine eigene SVM mit speziellen Einstellungen auf VMware vCenter Server). Clients arbeiten in ihren eigenen Cloud-Segmenten, in denen sich virtuelle Maschinen mit Agenten befinden. Sie werden über einzelne KSC-Server verwaltet, die dem Haupt-KSC untergeordnet sind. Wenn es notwendig ist, eine kleine Anzahl virtueller Maschinen (bis zu 5) zu schützen, kann dem Client Zugriff auf die virtuelle Konsole eines speziellen dedizierten KSC-Servers gewährt werden. Die Netzwerkinteraktion zwischen Client-KSCs und dem Haupt-KSC sowie Light Agents und SVMs erfolgt mithilfe von NAT über virtuelle EdgeGW-Client-Router.
Nach unseren Schätzungen und den Testergebnissen von Kollegen des Anbieters reduziert Light Agent die Belastung der virtuellen Infrastruktur der Kunden um etwa 25 % (im Vergleich zu einem System, das herkömmliche Antivirensoftware verwendet). Insbesondere das standardmäßige Antivirenprogramm Kaspersky Endpoint Security (KES) für physische Umgebungen verbraucht fast doppelt so viel Server-CPU-Zeit (2,95 %) wie eine schlanke agentenbasierte Virtualisierungslösung (1,67 %).
Vergleichstabelle zur CPU-Auslastung
Eine ähnliche Situation ist bei der Häufigkeit von Schreibzugriffen auf die Festplatte zu beobachten: Bei einem klassischen Antivirus sind es 1011 IOPS, bei einem Cloud-Antivirus sind es 671 IOPS.
Vergleichsdiagramm der Festplattenzugriffsrate
Der Leistungsvorteil ermöglicht es Ihnen, die Stabilität der Infrastruktur aufrechtzuerhalten und die Rechenleistung effizienter zu nutzen. Durch die Anpassung an die Arbeit in einer öffentlichen Cloud-Umgebung verringert die Lösung die Cloud-Leistung nicht: Sie prüft Dateien zentral, lädt Updates herunter und verteilt so die Last. Dies bedeutet, dass einerseits für die Cloud-Infrastruktur relevante Bedrohungen nicht übersehen werden, andererseits wird der Ressourcenbedarf für virtuelle Maschinen im Vergleich zu einem herkömmlichen Antivirenprogramm um durchschnittlich 25 % reduziert.
Hinsichtlich der Funktionalität sind sich beide Lösungen sehr ähnlich: Nachfolgend finden Sie eine Vergleichstabelle. Allerdings ist es in der Cloud, wie die obigen Testergebnisse zeigen, immer noch optimal, eine Lösung für virtuelle Umgebungen zu nutzen.
Über Tarife im Rahmen des neuen Ansatzes. Wir haben uns für ein Modell entschieden, das es uns ermöglicht, Lizenzen basierend auf der Anzahl der vCPUs zu erhalten. Das bedeutet, dass die Anzahl der Lizenzen der Anzahl der vCPUs entspricht. Sie können Ihr Antivirenprogramm testen, indem Sie eine Anfrage hinterlassen .
Im nächsten Artikel zu Cloud-Themen werden wir über die Entwicklung von Cloud-WAFs sprechen und darüber, was besser zu wählen ist: Hardware, Software oder Cloud.
Der Text wurde von Mitarbeitern des Cloud-Anbieters #CloudMTS erstellt: Denis Myagkov, leitender Architekt, und Alexey Afanasyev, Produktentwicklungsmanager für Informationssicherheit.
Source: habr.com