Ja jällegi virtuaalse infrastruktuuri kaitsmise kohta

Selles postituses püüame selgitada mõningaid levinud väärarusaamu virtuaalserveri turvalisuse kohta ja seda, kuidas oma renditud pilveteenuseid 2019. aasta lõppedes õigesti kaitsta. See artikkel on mõeldud peamiselt meie uutele ja potentsiaalsetele klientidele, eriti neile, kes on just ostnud või kaaluvad ostmist. RUVDS virtuaalserverid, kuid nad pole veel küberturvalisuse ja VPS-i toimimisega hästi kursis. Loodame, et see osutub kasulikuks ka teadlikele kasutajatele.

Neli ekslikku lähenemist pilve turvalisusele

Ettevõtete omanike ja juhtide seas on üsna levinud arvamused (tõstame need esile paksus kirjas), et Pilveteenuste küberturvalisuse tagamine on kas a priori ebavajalik, kuna pilved on ohutud (1), või on see pilveteenuse pakkuja ülesanneMaksin VPS-i eest – see tähendab, et kõik peaks olema konfigureeritud, turvaline ja probleemideta töötama (2). On ka kolmas arvamus, mis on levinud nii infoturbe spetsialistide kui ka ettevõtete omanike seas: Pilveteenused on ohtlikud! Ükski teadaolev turvatööriist ei paku virtuaalsete keskkondade jaoks piisavat kaitset. (3) – selle lähenemisviisiga ettevõtete juhid lükkavad pilvetehnoloogiad tagasi umbusalduse või traditsiooniliste ja spetsialiseeritud turvavahendite erinevuse mõistmise puudumise tõttu (sellest lähemalt allpool). Neljas kodanike kategooria usub, et Jah, peaksite oma pilveinfrastruktuuri kaitsma, kuid on olemas standardsed viirusetõrjeprogrammid. (4).

Kõik need neli lähenemisviisi on valed – need võivad põhjustada kahjumit (välja arvatud ehk lähenemisviis, kus virtuaalservereid üldse ei kasutata, kuid isegi siin ei tohiks me ignoreerida ärimaksiimi „kaotatud kasum on ka kahjum“). Statistika illustreerimiseks tsiteerime Kaspersky Labi ettevõtete müügitoe eksperdi Vladimir Ostroverhovi aruannet, mille me... avaldatud 2017. aasta suvel viis Kaspersky läbi uuringu 5000 ettevõtte seas 25 riigist – need olid suured ettevõtted, kus töötas vähemalt 1500 inimest. 75% neist kasutab virtualiseerimist, kuid ei investeeri turvalisusse. Probleem on tänapäevalgi aktuaalne:

„Umbes pooled [suurtest] ettevõtetest ei kasuta virtuaalsete masinate jaoks mingit kaitset ja teine ​​pool usub, et iga tavaline viirusetõrje on piisav. Kõik need ettevõtted [igaüks] kulutavad keskmiselt peaaegu miljon dollarit [aastas] intsidentide taastamiseks: uurimiseks, süsteemi taastamiseks, kulude hüvitamiseks, ühe häkkimisega seotud kahjude hüvitamiseks... Millised on nende kulud, kui nad satuvad ohtu? Otsesed kahjud taastamise, seadmete ja tarkvara asendamise eest... Kaudsed kahjud – maine... Kahjud klientide hüvitiste, sealhulgas maine osas... Ja siis on veel intsidentide uurimine, infrastruktuuri osaline asendamine, kuna see on juba ohustatud, need on dialoogid valitsustega, need on dialoogid kindlustusseltsidega, dialoogid klientidega, kes peavad hüvitist maksma."

Miks need lähenemisviisid ei toimi

Lähenemisviis 1: Pilveteenused on turvalised ja neid pole vaja kaitstaPilves levib iga päev umbes 240 000 pahavaraüksust: alates koolilapse kirjutatud ja internetti postitatud lihtsast koodist (mis tähendab, et see võib potentsiaalselt andmeid kahjustada) kuni keerukate sihitud rünnakuteni, mis on välja töötatud spetsiaalselt konkreetsetele organisatsioonidele, juhtumitele ja olukordadele ning mis on väga osavad mitte ainult andmete häkkimises ja varastamises, vaid ka enda peitmises. Häkkeritele pakub huvi ka virtuaalne infrastruktuur: seda on palju lihtsam häkkida ja saada juurdepääs kõigile oma virtuaalsetele masinatele ja andmetele korraga, kui proovida häkkida iga füüsilist serverit eraldi. Lisaks tasub arvestada, et pahatahtlik kood levib virtuaalses infrastruktuuris uskumatult kiiresti – kümneid tuhandeid masinaid saab nakatuda kümnete minutitega, mis on samaväärne epideemiaga (vt eelpool mainitud aruanne). Pahavara ja lunavara rünnakud, mis hõlbustavad ettevõtte andmete lekkimist, moodustavad ligikaudu 27% kõigist pilveohtudest. Pilve kõige haavatavamad alad – ebaturvalised liidesed ja volitamata juurdepääs – moodustavad ligikaudu 80% kõigist ohtudest (uuringu kohaselt). Pilveturvalisuse aruanne 2019 (toetab Check Point Software Technologies Ltd., mis on juhtiv küberturvalisuse lahenduste pakkuja valitsustele ja ettevõtetele kogu maailmas). 

Pilveturvalisuse aruanne 2019

Lähenemisviis 2: Pilveinfrastruktuuri turvamine on VPS-teenuse pakkuja vastutusel. See on osaliselt tõsi, kuna virtuaalserveri pakkuja tagab oma süsteemide stabiilse toimimise ja piisavalt kõrgetasemelise kaitse peamistele pilvekomponentidele: serveritele, salvestusruumile, võrkudele ja virtualiseerimisele (reguleeritud teenusetaseme lepinguga ehk SLA-ga). Siiski ei tohiks ta muretseda kliendi pilveinfrastruktuuris tekkida võivate sisemiste ja väliste ohtude ennetamise pärast. Kasutame siin hambaravianaloogiat. Olles maksnud hea implantaadi eest märkimisväärse summa, isegi kui see maksab varanduse, mõistab klient, et proteesi nõuetekohane toimimine sõltub suuresti kliendist endast. Hambaarst on omalt poolt teinud kõik vajaliku ohutuse tagamiseks: valinud kvaliteetsed materjalid, kinnitanud implantaadi kindlalt, säilitanud õige hambumuse, ravinud igemeid pärast operatsiooni jne. Ja kui kasutaja hiljem ei järgi hügieeninõudeid, näiteks avab hammastega metallpudelikorke või teeb muid sarnaseid ohtlikke toiminguid, siis on uue hamba nõuetekohast toimimist võimatu garanteerida. Sama kehtib ka pakkujalt renditud VPS-ide 100% pilveturvalisuse tagamise kohta. Pilveteenuse pakkujal puudub jurisdiktsioon kliendi andmete ja rakenduste kaitse üle; see on nende isiklik vastutus.

Lähenemisviis 3: Ükski turvatööriist ei suuda virtuaalsetele keskkondadele piisavat kaitset pakkuda. Sugugi mitte. On olemas spetsiaalsed pilvepõhised turvalahendused, mida arutame selle artikli viimases osas.

4. lähenemisviis: standardse viirusetõrje kasutamine (traditsiooniline kaitse). Oluline on märkida, et traditsioonilised turvatööriistad, mida kõik on harjunud kohalikes arvutites kasutama, ei ole lihtsalt loodud hajutatud virtuaalsete keskkondade jaoks (need ei "näe", kuidas virtuaalsete masinate vahel toimub suhtlus) ega kaitse sisemist virtuaalset infrastruktuuri sisemiste häkkimiskatsete eest. Lihtsamalt öeldes ei tööta traditsiooniline viirusetõrjetarkvara pilves peaaegu üldse. Samal ajal, igale pilvemasinale installituna, tarbivad need viiruskontrolli ja värskenduste ajal tohutult kogu virtuaalse ökosüsteemi ressursse, vähendades võrgu ribalaiust ja aeglustades ettevõtte tegevust, saavutades samal ajal oma põhifunktsioonis peaaegu nullilähedase efektiivsuse.

Selle artikli kahes järgmises osas loetleme ohud, mis võivad tekkida ettevõtte pilvedes (privaatsed, avalikud, hübriidsed) tegutsemisel, ning selgitame, kuidas neid ohte saab ja tuleks õigesti ennetada.

Pilveteenuste pidevad ohud

▍Kaugvõrgu rünnakud

See on mitmesugused hävitavad inforünnakud hajusarvutussüsteemi vastu, mida rakendatakse programmiliselt sidekanalite kaudu erinevate eesmärkide saavutamiseks. Kõige levinumad neist on:

• DDoS rünnak (Distributed Denial of Service). Serverile tohutu hulga teabenõuete saatmine on mõeldud rünnatud süsteemi ressursside või ribalaiuse tarbimiseks, seeläbi sihtsüsteemi töö katkestamiseks ja ettevõttele kahju tekitamiseks. Konkurendid, väljapressijad, poliitilised aktivistid ja valitsused kasutavad seda tasulise teenusena poliitiliste dividendide saamiseks. Selliseid rünnakuid viiakse läbi botneti abil – see on arvutite võrgustik, kuhu on installitud botid (tarkvara, mis võib sisaldada viirusi, arvuti kaugjuhtimisprogramme ja tööriistu operatsioonisüsteemi eest peitmiseks), mida häkkerid kasutavad rämpsposti ja lunavara levitamiseks eemalt. Loe lähemalt meie postitusest. DDoS: rünnakut juhivad IT-maniakid.
• Pingi üleujutus - põhjustada liini ülekoormust. 
• Surma ping - põhjustada süsteemi hangumist, taaskäivitumist ja krahhi.
• Rakenduskihi rünnakud — juurdepääsu saamiseks arvutile, mis lubab rakendustel töötada kindla (privilegeeritud süsteemi) konto jaoks.
• Andmete fragmenteerimine — põhjustada süsteemi krahhi tarkvarapuhvri ületäitumise tõttu.
• Autorooterid — häkkimisprotsessi automatiseerimiseks, skannides lühikese aja jooksul tohutul hulgal süsteeme rootkit'i installimise abil.
• Nuusutamine — kanali kuulamiseks.
• Imposantsed pakendid - teiste arvutite vahel loodud ühenduse vahetamiseks teie arvutiga.
• Pakettide pealtkuulamine ruuteril - kasutajaparoolide ja teabe saamiseks e-posti teel.
• IP võltsimine – nii et häkker, olgu siis võrgu sees või väljas, saaks teeselda usaldusväärset arvutit. See saavutatakse IP-aadressi võltsimise teel.
• Jõurünnakud Jõurünnakuid kasutatakse parooli äraarvamiseks erinevate kombinatsioonide proovimise teel. Need kasutavad ära RDP ja SSH haavatavusi.
• Smurf — vähendada sidekanali läbilaskevõimet ja/või rünnatud võrk täielikult isoleerida.
• DNS tüssamine — DNS-süsteemi andmete terviklikkuse kahjustamine DNS-vahemälu saastamise teel. 
• Usaldusväärse hosti asendamine — et oleks võimalik usaldusväärse hosti nimel serveriga seanssi pidada. 
• TCP SYN-i üleujutus - serveri mälu ületäitumiseks.
• Man-in-the-middle — teabe varastamiseks, edastatud andmete moonutamiseks, teenusetõkestusrünnakute läbiviimiseks, käimasoleva sideseansi häkkimiseks, et pääseda ligi privaatvõrgu ressurssidele, ning liikluse analüüsimiseks, et saada teavet võrgu ja selle kasutajate kohta.
• Võrgu intelligentsus — uurida teavet võrgu ja hostidel töötavate rakenduste kohta enne rünnakut.
• Pordi ümbersuunamine — rünnakutüüp, mis kasutab ohustatud hosti liikluse suunamiseks läbi tulemüüri. Näiteks kui tulemüür on ühendatud kolme hostiga (üks välisküljel, üks sisemisel küljel ja üks avalike teenuste segmendis), saab väline host sisemise hostiga suhelda, suunates avalike teenuste hosti porte ümber.
• Usalduse ärakasutamine — rünnakud, mis toimuvad siis, kui keegi kasutab ära võrgus olevaid usaldussuhteid. Näiteks ühe süsteemi häkkimine ettevõtte võrgus (HTTP, DNS, SMTP serverid) võib viia teiste süsteemide häkkimiseni. 

▍Sotsiaalne manipuleerimine

• Andmepüük — konfidentsiaalse teabe (paroolide, pangakaardi numbrite jms) saamiseks tuntud organisatsioonide ja pankade nimel posti teel.
• Pakettide nuusutamine Pakettide nuhkijaid kasutatakse kriitilise teabe, sealhulgas paroolide, kättesaamiseks. Need on edukad peamiselt seetõttu, et kasutajad kasutavad sageli oma kasutajanime ja parooli uuesti erinevatele rakendustele ja süsteemidele juurdepääsuks. See võimaldab häkkeril pääseda juurde süsteemi kasutajakontole ja luua selle abil uue konto, mis võimaldab neil igal ajal võrgule ja selle ressurssidele juurde pääseda.
• Ettekääne — stsenaariumipõhine rünnak, mis kasutab häälsidet ja mille eesmärk on sundida ohvrit tegutsema. 
• Trooja hobune — tehnika, mis põhineb ohvri emotsioonidel: hirmul, uudishimul. Pahavara leidub tavaliselt e-kirja manuses.
• Vastutasuks (quid pro quo, teenus teenuse eest) on kurjategija poolt ettevõtte telefoni või e-posti teel esitatud päring, milles ta teeskleb end tehnilise toe esindajana, teatades ohvri arvuti probleemidest ja pakkudes lahendust. Eesmärk on installida tarkvara ja käivitada ohvri arvutis pahatahtlikke käske.
• Reisiõun — nakatunud füüsiliste salvestusseadmete paigutamine ettevõtte avalikesse ruumidesse (mälupulk tualettruumi, ketas lifti), mis on märgistatud uudishimu äratavate siltidega. 
• Sotsiaalvõrgustikest teabe kogumine.

▍Ärakasutamised

Iga ebaseaduslikku või volitamata rünnakut, mille eesmärk on andmete hankimine, süsteemi funktsionaalsuse häirimine või süsteemi kontrolli haaramine, nimetatakse ärakasutamiseks. Need on põhjustatud tarkvaraarenduse vigadest, mis põhjustavad tarkvara turvasüsteemis haavatavusi, mida küberkurjategijad saavad edukalt ära kasutada, et saada piiramatu juurdepääs programmile endale ja selle kaudu kogu arvutile ning seejärel kogu masinate võrgule.

▍Konto ohtu sattumine

Ettevõtte töötaja konto häkkimine volitamata isiku poolt kaitstud teabele juurdepääsu saamiseks: alates teabe (sh heli) ja võtmete pealtkuulamisest pahavara abil kuni füüsilisele andmekandjale juurdepääsuni.

▍Repositooriumide kompromiteerimine

Tarkvara installifaile, värskendusi ja teeke talletavate serverite nakatumine.

▍Ettevõtte sisemised riskid

See hõlmab ettevõtte enda töötajate põhjustatud infolekkeid. See võib olla lihtne hooletus või tahtlik pahatahtlik tegevus: alates administratiivsete turvapoliitikate tahtlikust saboteerimisest kuni konfidentsiaalse teabe müümiseni kolmandatele isikutele. See hõlmab ka volitamata juurdepääsu, ebaturvalisi liideseid, pilveplatvormide valet seadistamist ja volitamata rakenduste installimist/kasutamist.

Nüüd vaatame, kuidas seda ulatuslikku (ja kaugeltki mitte täielikku) pilveturbeprobleemide loendit vältida.

Kaasaegsed ja spetsialiseeritud pilveturbelahendused

Iga pilveinfrastruktuur vajab põhjalikku ja mitmekihilist turvalisust. Allpool kirjeldatud meetodid aitavad teil mõista, mida peaks pilve turvalisuse tagamiseks hõlmama põhjalik meetmete kogum.

▍Viirusetõrjevahendid

Oluline on meeles pidada, et pilve turvalisuse tagamiseks ei ole ükski traditsiooniline viirusetõrjelahendus usaldusväärne. Kasutada tuleb spetsiaalselt virtuaalsete ja pilvekeskkondade jaoks loodud lahendust ning ka selle installimisel on omad spetsiifilised nõuded. Tänapäeval on pilve turvalisuse tagamiseks kaks võimalust, kasutades uusimaid tehnoloogiaid kasutades välja töötatud spetsiaalseid mitmekomponendilisi viirusetõrjelahendusi: agendivaba kaitse ja kerge agendikaitse.

Agendita kaitse. VMware'i poolt välja töötatud ja ainult VMware'i lahendustes saadaval olev lähenemisviis toetab kahte täiendavat virtuaalmasinat (VM), mis on juurutatud virtuaalmasinaid majutavale füüsilisele serverile: turvaserver (SVM) ja võrgurünnakute blokeerija (NAB). Kummagi sisse pole midagi installitud. SVM, mis on spetsiaalne turvaseade, sisaldab ainult viirusetõrjemootorit. NAB-is vastutab see komponent ainult virtuaalsete masinate ja ökosüsteemi vahelise suhtluse skannimise eest (ja suhtluse eest NSX-tehnoloogiaga). See SVM skannib kogu füüsilisse serverisse saabuvat liiklust. See haldab otsuste kogumit, millele on kõigile SVM-idele juurdepääs jagatud otsuste vahemälu kaudu. Iga SVM pääseb kõigepealt juurde sellele kogumile, selle asemel et skannida kogu süsteemi – see põhimõte vähendab ressursikasutust ja kiirendab ökosüsteemi toimimist. 

Kaitse valgusvahendiga. Kaspersky loodud SVM kõrvaldab VMware'i piirangud. Sarnaselt agendivaba kaitsega sisaldab SVM viirusetõrjemootorit, kuid erinevalt agendivabast kaitsest sisaldab see ka igasse WM-i installitud kerget agenti. Agent ei teosta mingeid skaneeringuid, vaid jälgib iseõppiva võrgutehnoloogia abil kõike, mis natiivses WM-is toimub. See tehnoloogia mäletab rakenduste toimingute õiget järjestust; kui see leiab WM-is rakenduste toimingute järjestuses vea, blokeerib see selle. 

Rohkem infot Virtuaalsete keskkondade turvalisuse kohta leiate teavet arendaja veebisaidilt.ja kuidas oma virtuaalserverisse kerge agendiga viirusetõrjet installida, loe meie juhendist (Lehe allosas on 24/7 tehnilise toe kontaktandmed juhuks, kui teil peaks tekkima küsimusi). 

▍Integratsioon teenustega, mis aitavad ennetada või lahendada pilveturvalisuse probleeme

• Muutuste juhtimise platvormid. Need on tõestatud teenused, mis toetavad ettevõtte põhilisi ITSM-protsesse, sealhulgas IT-turvalisust ja intsidentide haldamist. Näideteks on ServiceNow, Remedy ja JIRA.
• Turvaskaneerimise tööriistad. Näiteks Rapid7, Qualys, Tenable.
• Konfiguratsioonihalduse tööriistad. Need tööriistad võimaldavad teil automatiseerida serverioperatsioone, lihtsustades seeläbi kümnete, sadade või isegi tuhandete üle maailma hajutatud serverite seadistamist ja hooldust. Näideteks on TrueSight Server Automation, IBM BigFix, TrueSight Vulnerability Manager, Chef ja Puppet.
• Turvalised häirete haldamise tööriistad. Võimaldab pidevat teenuse osutamist ja pidevat jälgimist intsidentide ajal, tagades pädeva toe telefoni integreerimiseks, sõnumside ja e-posti jaoks (Cisco andmetel oli 2019. aasta juulis üle 85% e-kirjadest rämpspost, mis potentsiaalselt sisaldas pahavara, andmepüügikatseid jne. Praegu saadetakse pahavara sageli "tavaliste" manuste kaudu: kõige levinumad pahatahtlikud manused e-kirjades on Microsoft Office'i failid. Lisateavet leiate jaotisest Cisco 2019. aasta juuni e-posti turvalisuse aruanneNäiteks OpsGenie võiks saada selliseks tööriistaks.

▍Ärakasutamise kaitse

Kuna rünnakud tulenevad tarkvara haavatavustest, on tarkvaraarendajate kohustus oma toodetes olevad vead parandada. Kasutajad vastutavad hoolduspakettide ja paranduste viivitamatu installimise eest niipea, kui need välja antakse. Automaatse värskenduste otsingu ja installimise tööriista või selle funktsiooniga rakenduste halduri kasutamine aitab tagada, et te ei jää värskendustest ilma. Automaatne rünnakukaitse on ülalkirjeldatud rakendusse sisse ehitatud. Kaspersky Security for Virtualization Light Agent. 

▍Tulemüür

Tulemüür. Filtreerib ja kontrollib võrguliiklust vastavalt eelkonfigureeritud reeglitele. Tulemüüri võib pidada filtrite jadaks, mis töötleb võrguliiklust. Õigesti konfigureeritud tulemüürid on tõhusad toore jõu rünnakute vastu. Saate lubada RDP- või SSH-ühendusi ainult serveri omaniku teatud IP-aadressidelt ja kaitsta serverit parooliga toore jõu rünnakute eest. Tulemüürid on saadaval kõigis kaasaegsetes operatsioonisüsteemides. Lisaks pakub RUVDS-i isiklik konto järgmist: tasuta tulemüür Võrguseadmete tasandil. See takistab soovimatu võrguliikluse jõudmist virtuaalmasinasse ja filtreerib selle hoopis andmekeskuse tasandil. Mugavuse huvides on tulemüüri liidesesse lisatud kõige sagedamini kasutatavad filtreerimisreeglid. Kui IP-aadress muutub, saab klient lihtsalt oma isiklikule kontole sisse logida ja reeglit muuta ilma serverile juurdepääsuta.

▍DDoS-rünnakute kaitse

Lisateenuse saab osta aadressilt 
Virtuaalsete (ja füüsiliste) serverite pakkuja. See põhineb võrguliikluse analüüsi tehnoloogiatel, näiteks RUVDS-i omadel, mida kasutatakse ööpäevaringselt, ja selle kaitse võimaldab stabiilset läbilaskevõimet kuni 1500 Gbps. Maksate ainult vajaliku liikluse eest. Nüüd müügil RUVDS-is esimene kuu tasuta 0.5 Mbps, seejärel alates 400 rubla kuus.

▍Regulatiivsete nõuete väljatöötamine ja nende järgimine

Kirjalikud ja rakendatud kasutajapoliitikad ja taastamispoliitikad (küberturvalisuse intsidendile reageerimise plaan) mängivad olulist rolli pilveturvalisuses inimfaktori vaatenurgast, sealhulgas sotsiaalse manipuleerimise rünnakute puhul. See hõlmab töötajate juurdepääsu piiramist, ettevõtte peamiste pilverakenduste määratlemist (muid rakendusi peale selle "valge nimekirja" olevate ei tohi installida), ettevõttes pilveinfrastruktuuriga suhtlemiseks kasutatavate mobiilseadmete turvalisuse tagamist ja seadmete kontrolli, mis jõustab välise meedia kasutamise poliitikaid.

Loodame, et see artikkel oli abiks. Nagu ikka, oleme teretulnud konstruktiivsetele kommentaaridele, uuele teabele, huvitavatele arvamustele ja teadetele materjali ebatäpsuste kohta. 

Allikas: www.habr.com