Όλο και περισσότεροι χρήστες φέρνουν ολόκληρη την υποδομή πληροφορικής τους στο δημόσιο cloud. Ωστόσο, εάν ο έλεγχος προστασίας από ιούς είναι ανεπαρκής στην υποδομή του πελάτη, προκύπτουν σοβαροί κίνδυνοι στον κυβερνοχώρο. Η πρακτική δείχνει ότι έως και το 80% των υπαρχόντων ιών ζουν τέλεια σε ένα εικονικό περιβάλλον. Σε αυτήν την ανάρτηση θα μιλήσουμε για το πώς να προστατεύσουμε τους πόρους IT στο δημόσιο cloud και γιατί τα παραδοσιακά antivirus δεν είναι απολύτως κατάλληλα για αυτούς τους σκοπούς.
Αρχικά, θα σας πούμε πώς καταλήξαμε στην ιδέα ότι τα συνήθη εργαλεία προστασίας από ιούς δεν είναι κατάλληλα για το δημόσιο cloud και ότι απαιτούνται άλλες προσεγγίσεις για την προστασία των πόρων.
Πρώτον, οι πάροχοι παρέχουν γενικά τα απαραίτητα μέτρα για να διασφαλίσουν ότι οι πλατφόρμες cloud τους προστατεύονται σε υψηλό επίπεδο. Για παράδειγμα, στο #CloudMTS αναλύουμε όλη την κίνηση δικτύου, παρακολουθούμε τα αρχεία καταγραφής των συστημάτων ασφαλείας του cloud μας και εκτελούμε τακτικά pentests. Τα τμήματα cloud που εκχωρούνται σε μεμονωμένους πελάτες πρέπει επίσης να προστατεύονται με ασφάλεια.
Δεύτερον, η κλασική επιλογή για την καταπολέμηση των κινδύνων στον κυβερνοχώρο περιλαμβάνει την εγκατάσταση εργαλείων προστασίας από ιούς και διαχείρισης ιών σε κάθε εικονική μηχανή. Ωστόσο, με μεγάλο αριθμό εικονικών μηχανών, αυτή η πρακτική μπορεί να είναι αναποτελεσματική και να απαιτεί σημαντικές ποσότητες υπολογιστικών πόρων, φορτώνοντας έτσι περαιτέρω την υποδομή του πελάτη και μειώνοντας τη συνολική απόδοση του cloud. Αυτό έχει γίνει βασική προϋπόθεση για την αναζήτηση νέων προσεγγίσεων για τη δημιουργία αποτελεσματικής προστασίας από ιούς για εικονικές μηχανές πελατών.
Επιπλέον, οι περισσότερες λύσεις προστασίας από ιούς στην αγορά δεν είναι προσαρμοσμένες για να λύσουν τα προβλήματα προστασίας των πόρων πληροφορικής σε ένα δημόσιο περιβάλλον cloud. Κατά κανόνα, είναι βαριές λύσεις EPP (Endpoint Protection Platforms), οι οποίες, επιπλέον, δεν παρέχουν την απαραίτητη προσαρμογή στην πλευρά του πελάτη του παρόχου cloud.
Γίνεται προφανές ότι οι παραδοσιακές λύσεις προστασίας από ιούς δεν είναι κατάλληλες για εργασία στο cloud, καθώς φορτώνουν σοβαρά την εικονική υποδομή κατά τη διάρκεια ενημερώσεων και σαρώσεων και επίσης δεν διαθέτουν τα απαραίτητα επίπεδα διαχείρισης και ρυθμίσεων βάσει ρόλων. Στη συνέχεια, θα αναλύσουμε λεπτομερώς γιατί το cloud χρειάζεται νέες προσεγγίσεις για την προστασία από ιούς.
Τι πρέπει να μπορεί να κάνει ένα antivirus σε ένα δημόσιο σύννεφο
Λοιπόν, ας δώσουμε προσοχή στις ιδιαιτερότητες της εργασίας σε ένα εικονικό περιβάλλον:
Αποτελεσματικότητα ενημερώσεων και προγραμματισμένων μαζικών σαρώσεων. Εάν ένας σημαντικός αριθμός εικονικών μηχανών που χρησιμοποιούν ένα παραδοσιακό πρόγραμμα προστασίας από ιούς ξεκινήσουν μια ενημέρωση ταυτόχρονα, θα εμφανιστεί μια λεγόμενη «θύελλα» ενημερώσεων στο cloud. Η ισχύς ενός κεντρικού υπολογιστή ESXi που φιλοξενεί πολλές εικονικές μηχανές μπορεί να μην είναι αρκετή για να χειριστεί τον καταιγισμό παρόμοιων εργασιών που εκτελούνται από προεπιλογή. Από την πλευρά του παρόχου cloud, ένα τέτοιο πρόβλημα μπορεί να οδηγήσει σε πρόσθετα φορτία σε έναν αριθμό κεντρικών υπολογιστών ESXi, κάτι που τελικά θα οδηγήσει σε πτώση της απόδοσης της εικονικής υποδομής cloud. Αυτό μπορεί, μεταξύ άλλων, να επηρεάσει την απόδοση των εικονικών μηχανών άλλων υπολογιστών-πελατών cloud. Μια παρόμοια κατάσταση μπορεί να προκύψει κατά την εκκίνηση μιας μαζικής σάρωσης: η ταυτόχρονη επεξεργασία από το σύστημα δίσκου πολλών παρόμοιων αιτημάτων από διαφορετικούς χρήστες θα επηρεάσει αρνητικά την απόδοση ολόκληρου του νέφους. Με υψηλό βαθμό πιθανότητας, μια μείωση στην απόδοση του συστήματος αποθήκευσης θα επηρεάσει όλους τους πελάτες. Τέτοια απότομα φορτία δεν ευχαριστούν ούτε τον πάροχο ούτε τους πελάτες του, καθώς επηρεάζουν τους «γείτονες» στο cloud. Από αυτή την άποψη, το παραδοσιακό πρόγραμμα προστασίας από ιούς μπορεί να δημιουργήσει μεγάλο πρόβλημα.
Ασφαλής καραντίνα. Εάν ένα αρχείο ή ένα έγγραφο που ενδέχεται να έχει μολυνθεί από ιό εντοπιστεί στο σύστημα, αποστέλλεται σε καραντίνα. Φυσικά, ένα μολυσμένο αρχείο μπορεί να διαγραφεί αμέσως, αλλά αυτό συχνά δεν είναι αποδεκτό για τις περισσότερες εταιρείες. Τα εταιρικά εταιρικά προγράμματα προστασίας από ιούς που δεν είναι προσαρμοσμένα να λειτουργούν στο νέφος του παρόχου, κατά κανόνα, έχουν μια κοινή ζώνη καραντίνας - όλα τα μολυσμένα αντικείμενα πέφτουν σε αυτήν. Για παράδειγμα, αυτά που βρίσκονται σε υπολογιστές χρηστών της εταιρείας. Οι πελάτες του παρόχου cloud «ζουν» στα δικά τους τμήματα (ή ενοικιαστές). Αυτά τα τμήματα είναι αδιαφανή και απομονωμένα: οι πελάτες δεν γνωρίζουν ο ένας για τον άλλον και, φυσικά, δεν βλέπουν τι φιλοξενούν οι άλλοι στο cloud. Προφανώς, η γενική καραντίνα, στην οποία θα έχουν πρόσβαση όλοι οι χρήστες προστασίας από ιούς στο cloud, θα μπορούσε ενδεχομένως να περιλαμβάνει ένα έγγραφο που περιέχει εμπιστευτικές πληροφορίες ή ένα εμπορικό μυστικό. Αυτό είναι απαράδεκτο για τον πάροχο και τους πελάτες του. Επομένως, μπορεί να υπάρξει μόνο μία λύση - προσωπική καραντίνα για κάθε πελάτη στο τμήμα του, όπου ούτε ο πάροχος ούτε άλλοι πελάτες έχουν πρόσβαση.
Ατομικές πολιτικές ασφάλειας. Κάθε πελάτης στο cloud είναι μια ξεχωριστή εταιρεία, της οποίας το τμήμα IT ορίζει τις δικές του πολιτικές ασφαλείας. Για παράδειγμα, οι διαχειριστές ορίζουν κανόνες σάρωσης και προγραμματίζουν σαρώσεις κατά των ιών. Αντίστοιχα, κάθε οργανισμός πρέπει να έχει το δικό του κέντρο ελέγχου για τη διαμόρφωση των πολιτικών προστασίας από ιούς. Ταυτόχρονα, οι καθορισμένες ρυθμίσεις δεν θα πρέπει να επηρεάζουν άλλους υπολογιστές-πελάτες cloud και ο πάροχος θα πρέπει να μπορεί να επαληθεύει ότι, για παράδειγμα, οι ενημερώσεις προστασίας από ιούς πραγματοποιούνται κανονικά για όλες τις εικονικές μηχανές πελατών.
Οργάνωση τιμολόγησης και αδειοδότησης. Το μοντέλο cloud χαρακτηρίζεται από ευελιξία και περιλαμβάνει πληρωμή μόνο για το ποσό των πόρων πληροφορικής που χρησιμοποιήθηκαν από τον πελάτη. Εάν υπάρχει ανάγκη, για παράδειγμα, λόγω εποχικότητας, τότε η ποσότητα των πόρων μπορεί να αυξηθεί ή να μειωθεί γρήγορα - όλα με βάση τις τρέχουσες ανάγκες για υπολογιστική ισχύ. Το παραδοσιακό πρόγραμμα προστασίας από ιούς δεν είναι τόσο ευέλικτο - κατά κανόνα, ο πελάτης αγοράζει άδεια χρήσης για ένα χρόνο για έναν προκαθορισμένο αριθμό διακομιστών ή σταθμών εργασίας. Οι χρήστες του cloud αποσυνδέουν και συνδέουν τακτικά πρόσθετες εικονικές μηχανές ανάλογα με τις τρέχουσες ανάγκες τους - κατά συνέπεια, οι άδειες προστασίας από ιούς πρέπει να υποστηρίζουν το ίδιο μοντέλο.
Το δεύτερο ερώτημα είναι τι ακριβώς θα καλύπτει η άδεια. Τα παραδοσιακά προγράμματα προστασίας από ιούς αδειοδοτούνται από τον αριθμό των διακομιστών ή των σταθμών εργασίας. Οι άδειες που βασίζονται στον αριθμό των προστατευμένων εικονικών μηχανών δεν είναι απολύτως κατάλληλες στο μοντέλο cloud. Ο πελάτης μπορεί να δημιουργήσει οποιονδήποτε αριθμό εικονικών μηχανών κατάλληλες για αυτόν από τους διαθέσιμους πόρους, για παράδειγμα, πέντε ή δέκα μηχανές. Αυτός ο αριθμός δεν είναι σταθερός για τους περισσότερους πελάτες· δεν είναι δυνατό για εμάς, ως πάροχο, να παρακολουθήσουμε τις αλλαγές του. Δεν υπάρχει τεχνική δυνατότητα αδειοδότησης ανά CPU: οι πελάτες λαμβάνουν εικονικούς επεξεργαστές (vCPU), οι οποίοι θα πρέπει να χρησιμοποιούνται για την αδειοδότηση. Έτσι, το νέο μοντέλο προστασίας κατά των ιών θα πρέπει να περιλαμβάνει τη δυνατότητα του πελάτη να προσδιορίζει τον απαιτούμενο αριθμό vCPU για τις οποίες θα λάβει άδειες προστασίας από ιούς.
Συμμόρφωση με τη νομοθεσία. Ένα σημαντικό σημείο, καθώς οι λύσεις που χρησιμοποιούνται πρέπει να διασφαλίζουν τη συμμόρφωση με τις απαιτήσεις του ρυθμιστή. Για παράδειγμα, οι «κάτοικοι» του cloud συχνά εργάζονται με προσωπικά δεδομένα. Σε αυτήν την περίπτωση, ο πάροχος πρέπει να διαθέτει ξεχωριστό πιστοποιημένο τμήμα cloud που συμμορφώνεται πλήρως με τις απαιτήσεις του Νόμου για τα Προσωπικά Δεδομένα. Στη συνέχεια, οι εταιρείες δεν χρειάζεται να «χτίσουν» ανεξάρτητα ολόκληρο το σύστημα εργασίας με προσωπικά δεδομένα: αγοράστε πιστοποιημένο εξοπλισμό, συνδέστε τον και διαμορφώστε τον και υποβληθείτε σε πιστοποίηση. Για την προστασία στον κυβερνοχώρο του ISPD τέτοιων πελατών, το πρόγραμμα προστασίας από ιούς πρέπει επίσης να συμμορφώνεται με τις απαιτήσεις της ρωσικής νομοθεσίας και να διαθέτει πιστοποιητικό FSTEC.
Εξετάσαμε τα υποχρεωτικά κριτήρια που πρέπει να πληροί η προστασία από ιούς στο δημόσιο cloud. Στη συνέχεια, θα μοιραστούμε τη δική μας εμπειρία στην προσαρμογή μιας λύσης προστασίας από ιούς ώστε να λειτουργεί στο cloud του παρόχου.
Πώς μπορείτε να κάνετε φίλους μεταξύ προστασίας από ιούς και cloud;
Όπως έχει δείξει η εμπειρία μας, η επιλογή μιας λύσης με βάση την περιγραφή και την τεκμηρίωση είναι ένα πράγμα, αλλά η εφαρμογή της στην πράξη σε ένα ήδη λειτουργικό περιβάλλον cloud είναι μια εντελώς διαφορετική εργασία από άποψη πολυπλοκότητας. Θα σας πούμε τι κάναμε στην πράξη και πώς προσαρμόσαμε το πρόγραμμα προστασίας από ιούς για να λειτουργεί στο δημόσιο cloud του παρόχου. Ο προμηθευτής της λύσης προστασίας από ιούς ήταν η Kaspersky, το χαρτοφυλάκιο της οποίας περιλαμβάνει λύσεις προστασίας από ιούς για περιβάλλοντα cloud. Καταλήξαμε στο "Kaspersky Security for Virtualization" (Light Agent).
Περιλαμβάνει μια ενιαία κονσόλα Kaspersky Security Center. Εικονικές μηχανές Light agent και ασφάλειας (SVM, Security Virtual Machine) και διακομιστής ενοποίησης KSC.
Αφού μελετήσαμε την αρχιτεκτονική της λύσης Kaspersky και πραγματοποιήσαμε τις πρώτες δοκιμές μαζί με τους μηχανικούς του πωλητή, προέκυψε το ερώτημα σχετικά με την ενσωμάτωση της υπηρεσίας στο cloud. Η πρώτη υλοποίηση πραγματοποιήθηκε από κοινού στην τοποθεσία cloud της Μόσχας. Και αυτό καταλάβαμε.
Προκειμένου να ελαχιστοποιηθεί η κίνηση του δικτύου, αποφασίστηκε να τοποθετηθεί ένα SVM σε κάθε κεντρικό υπολογιστή ESXi και να «δέσει» το SVM με τους κεντρικούς υπολογιστές ESXi. Σε αυτήν την περίπτωση, οι πράκτορες φωτός προστατευμένων εικονικών μηχανών έχουν πρόσβαση στο SVM του ακριβούς κεντρικού υπολογιστή ESXi στον οποίο εκτελούνται. Επιλέχθηκε ξεχωριστός διοικητικός μισθωτής για την κύρια KSC. Ως αποτέλεσμα, τα υφιστάμενα KSC βρίσκονται στους μισθωτές κάθε μεμονωμένου πελάτη και απευθύνονται στην ανώτερη KSC που βρίσκεται στο τμήμα διαχείρισης. Αυτό το σχέδιο σάς επιτρέπει να επιλύετε γρήγορα προβλήματα που προκύπτουν στους ενοικιαστές πελατών.
Εκτός από τα προβλήματα με την αύξηση των στοιχείων της ίδιας της λύσης προστασίας από ιούς, αντιμετωπίσαμε το καθήκον της οργάνωσης της αλληλεπίδρασης δικτύου μέσω της δημιουργίας πρόσθετων VxLAN. Και παρόλο που η λύση προοριζόταν αρχικά για εταιρικούς πελάτες με ιδιωτικά σύννεφα, με τη βοήθεια της τεχνογνωσίας και της τεχνολογικής ευελιξίας του NSX Edge μπορέσαμε να λύσουμε όλα τα προβλήματα που σχετίζονται με τον διαχωρισμό των ενοικιαστών και την αδειοδότηση.
Συνεργαστήκαμε στενά με τους μηχανικούς της Kaspersky. Έτσι, κατά τη διαδικασία ανάλυσης της αρχιτεκτονικής λύσης όσον αφορά την αλληλεπίδραση δικτύου μεταξύ των στοιχείων του συστήματος, διαπιστώθηκε ότι, εκτός από την πρόσβαση από ελαφρούς παράγοντες στο SVM, είναι επίσης απαραίτητη η ανατροφοδότηση - από το SVM στους ελαφρούς παράγοντες. Αυτή η συνδεσιμότητα δικτύου δεν είναι δυνατή σε περιβάλλον πολλαπλών μισθωτών λόγω της δυνατότητας πανομοιότυπων ρυθμίσεων δικτύου εικονικών μηχανών σε διαφορετικούς μισθωτές cloud. Ως εκ τούτου, κατόπιν αιτήματός μας, συνάδελφοι από τον προμηθευτή επεξεργάστηκαν ξανά τον μηχανισμό αλληλεπίδρασης δικτύου μεταξύ του παράγοντα φωτός και του SVM όσον αφορά την εξάλειψη της ανάγκης για συνδεσιμότητα δικτύου από το SVM στους πράκτορες φωτός.
Αφού η λύση αναπτύχθηκε και δοκιμάστηκε στον ιστότοπο cloud της Μόσχας, την αναπαράγαμε σε άλλους ιστότοπους, συμπεριλαμβανομένου του πιστοποιημένου τμήματος cloud. Η υπηρεσία είναι πλέον διαθέσιμη σε όλες τις περιοχές της χώρας.
Αρχιτεκτονική λύσης ασφάλειας πληροφοριών στο πλαίσιο μιας νέας προσέγγισης
Το γενικό σχήμα λειτουργίας μιας λύσης προστασίας από ιούς σε ένα δημόσιο περιβάλλον cloud έχει ως εξής:
Σχέδιο λειτουργίας μιας λύσης προστασίας από ιούς σε δημόσιο περιβάλλον cloud #CloudMTS
Ας περιγράψουμε τα χαρακτηριστικά της λειτουργίας μεμονωμένων στοιχείων της λύσης στο σύννεφο:
• Μια ενιαία κονσόλα που επιτρέπει στους πελάτες να διαχειρίζονται κεντρικά το σύστημα προστασίας: εκτέλεση σαρώσεων, έλεγχος ενημερώσεων και παρακολούθηση ζωνών καραντίνας. Είναι δυνατό να διαμορφώσετε μεμονωμένες πολιτικές ασφαλείας στο τμήμα σας.
Θα πρέπει να σημειωθεί ότι παρόλο που είμαστε πάροχος υπηρεσιών, δεν παρεμβαίνουμε στις ρυθμίσεις που ορίζονται από τους πελάτες. Το μόνο που μπορούμε να κάνουμε είναι να επαναφέρουμε τις πολιτικές ασφαλείας σε τυπικές, εάν είναι απαραίτητη η επαναδιαμόρφωση. Για παράδειγμα, αυτό μπορεί να είναι απαραίτητο εάν ο πελάτης τα έσφιξε κατά λάθος ή τα αποδυνάμωσε σημαντικά. Μια εταιρεία μπορεί πάντα να λάβει ένα κέντρο ελέγχου με προεπιλεγμένες πολιτικές, τις οποίες στη συνέχεια μπορεί να διαμορφώσει ανεξάρτητα. Το μειονέκτημα του Kaspersky Security Center είναι ότι η πλατφόρμα είναι προς το παρόν διαθέσιμη μόνο για το λειτουργικό σύστημα της Microsoft. Αν και οι ελαφροί πράκτορες μπορούν να λειτουργήσουν τόσο με μηχανήματα Windows όσο και με Linux. Ωστόσο, η Kaspersky Lab υπόσχεται ότι στο εγγύς μέλλον η KSC θα λειτουργεί υπό Linux OS. Μία από τις σημαντικές λειτουργίες του KSC είναι η ικανότητα διαχείρισης της καραντίνας. Κάθε εταιρεία πελάτη στο cloud μας έχει μια προσωπική. Αυτή η προσέγγιση εξαλείφει καταστάσεις όπου ένα έγγραφο που έχει μολυνθεί από ιό γίνεται κατά λάθος ορατό στο κοινό, όπως θα μπορούσε να συμβεί στην περίπτωση ενός κλασικού εταιρικού antivirus με γενική καραντίνα.
• Φωτιστικοί παράγοντες. Ως μέρος του νέου μοντέλου, εγκαθίσταται ένας ελαφρύς πράκτορας Kaspersky Security σε κάθε εικονική μηχανή. Αυτό εξαλείφει την ανάγκη αποθήκευσης της βάσης δεδομένων προστασίας από ιούς σε κάθε VM, γεγονός που μειώνει τον απαιτούμενο χώρο στο δίσκο. Η υπηρεσία είναι ενσωματωμένη στην υποδομή cloud και λειτουργεί μέσω SVM, το οποίο αυξάνει την πυκνότητα των εικονικών μηχανών στον κεντρικό υπολογιστή ESXi και την απόδοση ολόκληρου του συστήματος cloud. Ο πράκτορας φωτός δημιουργεί μια ουρά εργασιών για κάθε εικονική μηχανή: ελέγξτε το σύστημα αρχείων, τη μνήμη κ.λπ. Αλλά το SVM είναι υπεύθυνο για την εκτέλεση αυτών των λειτουργιών, για τις οποίες θα μιλήσουμε αργότερα. Ο πράκτορας λειτουργεί επίσης ως τείχος προστασίας, ελέγχει τις πολιτικές ασφαλείας, στέλνει μολυσμένα αρχεία σε καραντίνα και παρακολουθεί τη συνολική «υγεία» του λειτουργικού συστήματος στο οποίο είναι εγκατεστημένο. Όλα αυτά μπορούν να διαχειριστούν χρησιμοποιώντας την ήδη αναφερθείσα ενιαία κονσόλα.
• Εικονική μηχανή ασφαλείας. Όλες οι εργασίες έντασης πόρων (ενημερώσεις βάσης δεδομένων κατά των ιών, προγραμματισμένες σαρώσεις) αντιμετωπίζονται από μια ξεχωριστή Εικονική Μηχανή Ασφαλείας (SVM). Είναι υπεύθυνη για τη λειτουργία μιας πλήρους μηχανής προστασίας από ιούς και βάσεων δεδομένων για αυτήν. Η υποδομή πληροφορικής μιας εταιρείας μπορεί να περιλαμβάνει πολλά SVM. Αυτή η προσέγγιση αυξάνει την αξιοπιστία του συστήματος - εάν ένα μηχάνημα αποτύχει και δεν ανταποκριθεί για τριάντα δευτερόλεπτα, οι πράκτορες αρχίζουν αυτόματα να αναζητούν ένα άλλο.
• Διακομιστής ενοποίησης KSC. Ένα από τα στοιχεία του κύριου KSC, το οποίο εκχωρεί τα SVM του σε φωτεινούς παράγοντες σύμφωνα με τον αλγόριθμο που καθορίζεται στις ρυθμίσεις του και ελέγχει επίσης τη διαθεσιμότητα των SVM. Έτσι, αυτή η ενότητα λογισμικού παρέχει εξισορρόπηση φορτίου σε όλα τα SVM της υποδομής cloud.
Αλγόριθμος για εργασία στο cloud: μείωση του φόρτου στην υποδομή
Γενικά, ο αλγόριθμος προστασίας από ιούς μπορεί να αναπαρασταθεί ως εξής. Ο πράκτορας έχει πρόσβαση στο αρχείο στην εικονική μηχανή και το ελέγχει. Το αποτέλεσμα της επαλήθευσης αποθηκεύεται σε μια κοινή κεντρική βάση δεδομένων ετυμηγοριών SVM (που ονομάζεται Shared Cache), κάθε καταχώρηση στην οποία προσδιορίζει ένα μοναδικό δείγμα αρχείου. Αυτή η προσέγγιση σάς επιτρέπει να διασφαλίσετε ότι το ίδιο αρχείο δεν σαρώνεται πολλές φορές στη σειρά (για παράδειγμα, εάν είχε ανοίξει σε διαφορετικές εικονικές μηχανές). Το αρχείο σαρώνεται εκ νέου μόνο εάν έχουν γίνει αλλαγές σε αυτό ή η σάρωση έχει ξεκινήσει με μη αυτόματο τρόπο.
Εφαρμογή λύσης προστασίας από ιούς στο cloud του παρόχου
Η εικόνα δείχνει ένα γενικό διάγραμμα της υλοποίησης της λύσης στο cloud. Το κύριο Kaspersky Security Center αναπτύσσεται στη ζώνη ελέγχου του cloud και ένα μεμονωμένο SVM αναπτύσσεται σε κάθε κεντρικό υπολογιστή ESXi χρησιμοποιώντας τον διακομιστή ενοποίησης KSC (κάθε κεντρικός υπολογιστής ESXi έχει το δικό του SVM συνδεδεμένο με ειδικές ρυθμίσεις στον διακομιστή VMware vCenter). Οι πελάτες εργάζονται στα δικά τους τμήματα cloud, όπου βρίσκονται εικονικές μηχανές με πράκτορες. Η διαχείρισή τους γίνεται μέσω μεμονωμένων διακομιστών KSC που υπάγονται στον κύριο KSC. Εάν είναι απαραίτητο να προστατευτεί ένας μικρός αριθμός εικονικών μηχανών (έως 5), ο πελάτης μπορεί να έχει πρόσβαση στην εικονική κονσόλα ενός ειδικού αποκλειστικού διακομιστή KSC. Η αλληλεπίδραση δικτύου μεταξύ των πελατών KSC και του κύριου KSC, καθώς και των ελαφρών πρακτόρων και των SVM, πραγματοποιείται με χρήση NAT μέσω εικονικών δρομολογητών πελάτη EdgeGW.
Σύμφωνα με τις εκτιμήσεις μας και τα αποτελέσματα των δοκιμών των συναδέλφων στον προμηθευτή, το Light Agent μειώνει το φορτίο στην εικονική υποδομή των πελατών κατά περίπου 25% (σε σύγκριση με ένα σύστημα που χρησιμοποιεί παραδοσιακό λογισμικό προστασίας από ιούς). Συγκεκριμένα, το τυπικό antivirus Kaspersky Endpoint Security (KES) για φυσικά περιβάλλοντα καταναλώνει σχεδόν διπλάσιο χρόνο CPU διακομιστή (2,95%) από μια ελαφριά λύση εικονικοποίησης που βασίζεται σε πράκτορες (1,67%).
Διάγραμμα σύγκρισης φορτίου CPU
Μια παρόμοια κατάσταση παρατηρείται με τη συχνότητα των προσβάσεων εγγραφής στο δίσκο: για ένα κλασικό antivirus είναι 1011 IOPS, για ένα antivirus cloud είναι 671 IOPS.
Γράφημα σύγκρισης ρυθμού πρόσβασης δίσκου
Το πλεονέκτημα απόδοσης σάς επιτρέπει να διατηρείτε τη σταθερότητα της υποδομής και να χρησιμοποιείτε την υπολογιστική ισχύ πιο αποτελεσματικά. Με την προσαρμογή για εργασία σε περιβάλλον δημόσιου cloud, η λύση δεν μειώνει την απόδοση του cloud: ελέγχει κεντρικά τα αρχεία και πραγματοποιεί λήψη ενημερώσεων, κατανέμοντας το φορτίο. Αυτό σημαίνει ότι, αφενός, δεν θα χαθούν απειλές που σχετίζονται με την υποδομή cloud, αφετέρου, οι απαιτήσεις πόρων για εικονικές μηχανές θα μειωθούν κατά μέσο όρο κατά 25% σε σύγκριση με ένα παραδοσιακό antivirus.
Όσον αφορά τη λειτουργικότητα, και οι δύο λύσεις είναι πολύ παρόμοιες μεταξύ τους: παρακάτω είναι ένας συγκριτικός πίνακας. Ωστόσο, στο cloud, όπως δείχνουν τα παραπάνω αποτελέσματα δοκιμών, εξακολουθεί να είναι βέλτιστο να χρησιμοποιείται μια λύση για εικονικά περιβάλλοντα.
Σχετικά με τα τιμολόγια στο πλαίσιο της νέας προσέγγισης. Αποφασίσαμε να χρησιμοποιήσουμε ένα μοντέλο που μας επιτρέπει να λαμβάνουμε άδειες βάσει του αριθμού των vCPU. Αυτό σημαίνει ότι ο αριθμός των αδειών χρήσης θα είναι ίσος με τον αριθμό των vCPU. Μπορείτε να δοκιμάσετε το antivirus σας αφήνοντας ένα αίτημα .
Στο επόμενο άρθρο για θέματα cloud, θα μιλήσουμε για την εξέλιξη των cloud WAF και τι είναι καλύτερο να επιλέξετε: υλικό, λογισμικό ή cloud.
Το κείμενο προετοιμάστηκε από υπαλλήλους του παρόχου cloud #CloudMTS: Denis Myagkov, κορυφαίος αρχιτέκτονας και Alexey Afanasyev, διευθυντής ανάπτυξης προϊόντων ασφάλειας πληροφοριών.
Πηγή: www.habr.com