Eta berriro azpiegitura birtualak babesteari buruz

Argitalpen honetan, gure irakurleak zerbitzari birtualen segurtasunari buruzko uste okerrak gidatzen saiatuko gara eta 2019aren amaieran alokatutako hodeiak behar bezala nola babestu esaten digu. Artikulua gure bezero berriei eta potentzialei zuzenduta dago batez ere, zehazki erosi berri dutenei edo erosi nahi dutenei RUVDS zerbitzari birtualak, baina oraindik ez dakite zibersegurtasun gaietan eta VPSen funtzionamenduan. Espero dugu erabiltzaile adituek zertxobait erabilgarria izatea.

Hodeiaren segurtasunari buruzko lau ikuspegi oker

Badira iritziak, nahiko ohikoak enpresa jabeen eta kudeatzaileen artean (lodiz nabarmentzen ditugu), hori hodeiko zerbitzuen zibersegurtasuna bermatzea a priori alferrikako gauza da, hodeiak seguru daudenez (1), edo hau da hodeiko hornitzailearen zeregina: VPS bat ordaindu dut, hau da, dena konfiguratu, seguru eta arazorik gabe funtzionatu behar da (2). Hirugarren iritzi bat ere badago, bai informazio-segurtasuneko espezialistentzat bai enpresaburuentzat komuna: hodeiak arriskutsuak dira! Ezagutzen diren segurtasun-tresnek ezin dute ingurune birtualei babes egokia eman (3) — Ikuspegi hau duten negozio-buruek hodeiko teknologiak alde batera uzten dituzte segurtasun-tresn tradizionalen eta espezializatuen arteko desberdintasunarekiko mesfidantza edo gaizki-ulertzeagatik (behean gehiago). Herritarren laugarren kategoriak hori uste du bai, zure hodeiko azpiegitura babestu beharko zenuke, antibirus estandarrak daudelako (4).

Lau ikuspegi hauek guztiak okerrak dira - galerak ekar ditzakete (agian zerbitzari birtualak ez erabiltzeko planteamendua izan ezik, baina hemen ere ez duzu alde batera utzi behar "irabaziak galtzea ere galera bat da") negozioaren postulatua. Estatistikak neurri batean ilustratzeko, hona hemen Vladimir Ostroverkhov Kaspersky Lab enpresako salmenta-laguntzarako adituaren txostenaren aipamen bat, zeina argitaratua 2017ko udan. Garai hartan, Kaspersky-k inkesta bat egin zuen 25 herrialdetako bost mila enpresen artean - gutxienez mila eta erdi langile dituzten enpresa handiak dira. Horien %75ek birtualizazioa erabiltzen dute baina ez dute segurtasunean inbertitzen. Arazoak ez du gaurko garrantzia galdu:

"Enpresen [handi] erdiek ez dute inolako babesik erabiltzen makina birtualetarako, eta beste erdiak uste du edozein antibirus estandar nahikoa izango dela. Enpresa horiek guztiek [bakoitzak] gastatzen dute batez beste ia milioi dolar [urtean] istiluen ondoren berreskuratzeko: ikerketarako, sistema berrezartzeko, kostuen konpentsaziorako, hack bakar baten galerak konpentsatzeko... Zein izango dira haien gastuak arriskuan jartzen badira? Berreskuratzeko zuzeneko galerak, ekipoak ordezkatzeko, softwarea... Zeharkako galerak - ospea... Beren bezeroen kalte-ordainengatiko galerak, ospea barne... Eta baita gertakariak ikertzea, azpiegitura partzialki ordezkatzea, jadanik bere burua arriskuan jarri duelako. horiek gobernuekin elkarrizketak dira, hau aseguru etxeekin elkarrizketak, kalte-ordainak ordaindu behar dituzten bezeroekin elkarrizketak».

Ikuspegi hauek zergatik ez duten funtzionatzen

1. Planteamendua: Hodeiak seguruak dira, ez dute babestu beharrik. Egunero agertzen diren 240 mila malware inguru hodeien barruan ezin hobeto bizi dira: eskola-ume batek idatzitako eta Interneten argitaratutako kode soiletik (horrek esan nahi du datuak kaltetu ditzakeela), erakunde, kasu eta egoera zehatzetarako bereziki garatutako helburuzko eraso konplexuetaraino. oso onak dira datuak apurtzen eta lapurtzen ez ezik, euren burua "ezkutatzen" ere. Azpiegitura birtuala ere interesgarria da hackerrentzat: askoz errazagoa da zure makina birtual eta datu guztiak aldi berean hackeatzea eta atzitzea, zerbitzari fisiko bakoitza bereizita hackeatzen saiatzea baino. Gainera, kontuan hartu behar da azpiegitura birtualean kode gaiztoa abiadura izugarrian hedatzen dela - hamar minututan hamarnaka makina kutsa daitezke, epidemia baten parekoa dena (ikus goian aipatutakoa). txostena). Enpresaren datuen ihesari eragiten dioten programa gaiztoek eta ransomware jarduerak hodeiko "arriskuen" kopuru osoaren % 27 inguru dira. Hodeian dauden ahultasun handienak: babesik gabeko interfazeak eta baimenik gabeko sarbidea - guztira % 80 inguru (ikerketen arabera Hodeiko Segurtasun Txostena 2019 Check Point Software Technologies Ltd-ren laguntzarekin. mundu osoko gobernu eta enpresen zibersegurtasun irtenbideen hornitzaile nagusia da. 

Hodeiko Segurtasun Txostena 2019

2. ikuspegia: hodeiko azpiegitura ziurtatzea VPS hornitzailearen ardura da. Hori neurri batean egia da, zerbitzari birtualaren hornitzaileak bere sistemen egonkortasuna eta hodeiko osagai nagusien babes maila nahiko altua zaintzen duelako: zerbitzariak, biltegiratze gailuak, sareak, birtualizazioa (zerbitzu-maila-hitzarmen batek araututa, SLA). . Baina ez du kezkatu behar bezeroaren hodeiko azpiegituran sor daitezkeen barne eta kanpoko mehatxuak saihesteko. Onar dezagun hortz analogia bat. Inplante on batengatik diru asko ordainduta, hortz klinika bateko bezeroak ulertzen du protesiaren funtzionamendu zuzena bere buruaren (bezeroaren) menpe dagoela neurri handi batean. Odontologo ortopedikoak, bere aldetik, segurtasunari dagokionez behar zen guztia egiten zuen: kalitate handiko materialak hautatu zituen, inplantea modu fidagarrian "lotu" zuen, ez zuen ziztada trabarik ematen, oietakoak kirurgia ondoren sendatzen zituen, etab. Eta erabiltzaileak baldin bazuen. Etorkizunean ez ditu higiene-arauak betetzen, adibidez, metalezko botilen tapoiak hortzekin ireki eta antzeko beste ekintza arriskutsu batzuk egingo ditu, ezinezkoa izango da hortz berriaren funtzionamendu ona bermatzea. Istorio bera aplikatzen da hornitzaile bati alokatutako VPS-n hodeiko % 100eko segurtasuna bermatzeko. Hodeiko zerbitzu hornitzailearen "jurisdikziotik kanpo", bezeroaren datuak eta aplikazioak babestea bere erantzukizun pertsonala da.

3. planteamendua: segurtasun-tresnek ezin dute ingurune birtualei babes egokia eman. Inola ere ez. Hodeiko segurtasun irtenbide espezializatuak daude, artikuluaren azken zatian eztabaidatuko ditugunak.

4. ikuspegia: antibirus estandar bat erabiltzea (ohiko babesa). Garrantzitsua da hemen jakitea denek tokiko ordenagailuetan erabiltzen ohi dituzten segurtasun tresna tradizionalak ez daudela ingurune birtualetan banatuta diseinatuta (ez dute "ikusten" nola gertatzen den makina birtualen arteko komunikazioa) eta ez dute barne azpiegitura birtuala babesten. barneko hacking saiakerak. Besterik gabe, birusen aurkako ohiko softwareak apenas funtzionatzen du hodeian. Aldi berean, WM bakoitzean instalatuta, ekosistema birtual osoko baliabide kopuru handia kontsumitzen dute birusak eta eguneraketak egiaztatzean, sarea "xahutzen" eta konpainiaren lana motelduz, baina ondorioz, ia emanez. zero eraginkortasuna euren lan nagusian.

Artikuluaren hurrengo bi ataletan, enpresa batek hodeietan jarduten duenean zer arrisku sor daitezkeen zerrendatuko dugu (pribatua, publikoa, hibridoa) eta arrisku horiek nola prebenitu daitezkeen eta nola saihestu behar diren esango dugu.

Hodeiko zerbitzuak etengabe mehatxatzen dituzten arriskuak

▍Urrutiko sareko erasoak

Hau informazio suntsitzaile mota bat da banatutako sistema informatiko batean, komunikazio kanalen bidez programatikoki gauzatzen dena, helburu desberdinak lortzeko. Horietatik ohikoenak:

• DDoS erasoa (Zerbitzu ukatzea banatua). Zerbitzariari informazio eskaerak bidaltzea masiboki erasotutako sistemaren baliabideak edo banda-zabalera erabiltzeko helburuarekin, xede-sistema desgaitzeko, eta, ondorioz, enpresari kalteak eraginez. Lehiakideek zerbitzu pertsonalizatu gisa erabiltzen dute, estortsiogileek, aktibista politikoek eta gobernuek dibidendu politikoak lortzeko. Erasoak botnet bat erabiliz egiten dira: bot-ak instalatuta dituzten ordenagailuen sarea (birusak izan ditzakeen softwarea, urruneko ordenagailua kontrolatzeko programak eta OStik ezkutatzeko tresnak), hackerrek urrunetik spama eta ransomwarea banatzeko erabiltzen dituztenak. . Irakurri gehiago gure mezuan DDoS: IT maniakoak erasoaren abangoardian.
• Ping Flooding - Linearen gainkarga eragitea. 
• Heriotzaren Ping - izoztea, berrabiaraztea eta sistemaren hutsegitea eragiteko.
• Aplikazio mailako erasoak — Kontu jakin baterako (sistema pribilegiatua) aplikazioak abiarazteko aukera ematen duen ordenagailu batera sartzeko.
• Datuen zatiketa — larrialdi-sistema itzaltzeko, software-buffer gainezka dela eta.
• Autorooters — Hacking-prozesua automatizatzea, sistema kopuru handi bat eskaneatzea denbora gutxian rootkit bat instalatuz.
• Usaina — kanala entzuteko.
• Pakete inposaketa - zure ordenagailura beste ordenagailuen artean ezarritako konexioa aldatzeko.
• Paketeen atzematea bideratzailean - erabiltzaileen pasahitzak eta informazioa posta elektronikotik jasotzeko.
• IP spoofing - sare barruko edo kanpoko hacker batek fidagarria izan daitekeen ordenagailu baten ordez egin dezan. Hau IP helbidea spoofing bidez egiten da.
• Indar gordinaren erasoak (indar gordina) - pasahitz bat hautatzeko konbinazioak probatuz. RDP eta SSH ahultasunak ustiatzen dituzte.
• Smurf — komunikazio-kanalaren abiadura murrizteko eta/edo erasotutako sarea guztiz isolatzeko.
• DNS spoofing — DNS sistemako datuen osotasuna kaltetzea DNS cachea “pozoituz”. 
• Ostalari fidagarria suplantatzea — Ostalari fidagarri baten izenean zerbitzariarekin saio bat egin ahal izateko. 
• TCP SYN Flood — zerbitzariaren memoria gainezka egiteko.
• Gizon-erdian — Informazioa lapurtzeagatik, transmititutako datuak desitxuratzeagatik, DoS erasoengatik, egungo komunikazio-saio bat pirateatzeko sare pribatuko baliabideetara sartzeko, trafikoaren azterketa sareari eta erabiltzaileei buruzko informazioa lortzeko.
• Sareko adimena — Eraso baten aurretik ostalarietan exekutatzen diren sareari eta aplikazioei buruzko informazioa aztertzeko.
• Portuaren birbideratzea trafikoa suebaki batetik pasatzeko ostalari arriskutsu bat erabiltzen duen eraso mota bat da. Adibidez, suebaki bat hiru ostalari (kanpoko, barneko eta zerbitzu publikoetara) konektatuta badago, kanpoko ostalaria barneko ostalariarekin komunikatzeko gai da zerbitzu publikoen ostalariaren atakak birbidaltzeko.
• Konfiantza-esplotazioa - Norbaitek sare baten barruan konfiantzazko harremanez baliatzen direnean gertatzen diren erasoak. Adibidez, sare korporatibo bateko sistema bat pirateatzea (HTTP, DNS, SMTP zerbitzariak) beste sistema batzuk pirateatzea ekar dezake. 

▍Gizarte ingeniaritza

• Phishing — isilpeko informazioa (pasahitza, banku-txartelen zenbakiak, etab.) erakunde eta banku ezagunen izenean posta bidez jasotzeko.
• Pakete sniffing (Packet sniffers) - informazio kritikorako sarbidea lortzeko, pasahitzak barne. Arrakastatsua da, neurri handi batean, erabiltzaileek sarritan erabiltzaile-izena eta pasahitza berrerabiltzen dituztelako hainbat aplikazio eta sistematara sartzeko. Modu honetan, hacker batek sistemaren erabiltzaile-kontu batera sar dezake eta haren bidez kontu berri bat sor dezake sarera eta bere baliabideak edozein unetan sartzeko.
• Aitzakia egitea - Ahots bidezko komunikazioak erabiltzen dituen gidoizko eraso bat, biktima ekintza bat egitera behartzea helburu duena. 
• Troiako zaldia - Biktimen emozioetan oinarritutako teknika: beldurra, jakin-mina. Malwarea normalean posta elektronikoaren eranskin gisa aurkitzen da.
• Quid quo buruz (Ondoren, horretarako, quid pro quo) - erasotzaile bat zurekin harremanetan jartzen da telefono edo posta elektroniko korporatibo baten bidez laguntza teknikoko langile baten itxurapean, biktimaren ordenagailuan arazoak salatzen eta konpontzea eskainiz. Helburua ordenagailu honetan softwarea instalatzea eta komando gaiztoak exekutatzea da.
• Errepideko sagarra — kutsatutako biltegiratze-euskarri fisikoak landatzea toki publiko korporatiboetan (flash drive komunean, diskoa igogailuan), jakin-mina pizten duten inskripzioz hornituak. 
• Sare sozialetatik informazioa biltzea.

▍Ustiaketa

Datuak lortzera, sistema baten funtzionamendua etetera edo sistema baten kontrola bereganatzea helburu duten legez kanpoko eta baimenik gabeko erasoei ustiapenak deritze. Softwarea garatzeko prozesuan izandako akatsen ondorioz sortzen dira, eta, ondorioz, programa babesteko sisteman ahultasunak agertzen dira, ziber-kriminalek arrakastaz erabiltzen dituztenak programara bera, eta haren bidez ordenagailu osora eta, gainera, sarbide mugagabea lortzeko. makinen sarea.

▍Kontuen konpromisoa

Kanpoko batek konpainiako langile baten kontua pirateatzea babestutako informazioa eskuratzeko: informazioa atzematetik (audioa barne) eta malwarearekin giltzak atzematetik informazio-eramailearen biltegiratze fisikoan sartzeraino.

▍Biltegien konpromisoa

Software-instalatzaile, eguneratze eta liburutegietarako biltegiratze-zerbitzarien infekzioa.

▍Enpresaren barne arriskuak

Honen barruan sartzen dira enpresako langileen erruz sortutako informazio-filtrazioak. Hau arduragabekeria sinplea edo nahita asmo gaiztoko ekintza izan daiteke: administrazio-segurtasun politiken nahita sabotajetik hirugarrenei informazio konfidentziala saltzeraino. Honek ere izan ditzake baimenik gabeko sarbidea, interfaze seguruak, hodeiko plataformen konfigurazio okerra eta baimendu gabeko aplikazioen instalazioa/erabilera.

Orain ikus dezagun nola saihestu dezakezun hodeiko segurtasun arazoen zerrenda zabala (eta osotik urrun).

Hodeiko segurtasun irtenbide espezializatu modernoak

Hodeiko azpiegitura bakoitzak geruza anitzeko segurtasun integrala behar du. Behean deskribatzen diren metodoek hodeiko segurtasun pakete batek zer izan behar duen ulertzen lagunduko dizu.

▍Antibirusak

Garrantzitsua da gogoratzea ohiko antibirus ez dela fidagarria izango hodeiko segurtasuna eskaintzen saiatzean. Ingurune birtualetarako eta hodeikoetarako bereziki diseinatutako irtenbide bat erabili behar duzu, eta bere instalazioak ere bere arauak ditu kasu honetan. Gaur egun, hodeiko segurtasuna bermatzeko bi modu daude azken teknologiak erabiliz garatutako osagai anitzeko birusen aurkako antibirus espezializatuak erabiliz: agenterik gabeko babesa eta agente argien babesa.

Agenterik gabeko babesa. VMware-k garatua eta bere soluzioekin soilik posiblea. Bi makina birtual gehigarri zabaltzen dira makina birtualak dituen zerbitzari fisiko batean: Security Server (SVM) eta Network Attack Blocker (NAB). Horietako bakoitzaren barruan ez da ezer jartzen. SVMn birusen aurkako nukleoa bakarrik instalatzen da - segurtasun gailu dedikatu bat. NAB makina batean, osagai hau makina birtualen arteko komunikazioak eta ekosisteman gertatzen dena egiaztatzeaz soilik arduratzen da (eta NSX teknologiarekin komunikazioaz). SVM honek zerbitzari fisikora datorren trafiko guztia egiaztatzen du. Epai multzo bat osatzen du, segurtasun-makina birtual guztientzat eskuragarri dagoen epai-cache komun baten bidez. Segurtasun makina birtual bakoitza igerileku honetara sartzen da lehenik, sistema osoa eskaneatu beharrean - printzipio honek baliabideen kostuak murrizteko eta ekosistemaren funtzionamendua bizkortzeko aukera ematen du. 

Babesa agente argi batekin. Kaspersky-k garatu du eta ez du VMware murrizketarik. Agenterik gabeko babesean bezala, birusen aurkako motor bat instalatzen da SVMn, baina ez bezala, WM bakoitzaren barruan agente arin bat ere instalatuta dago. Agenteak ez du egiaztapenik egiten, autoikaskuntzako sare-teknologian oinarritutako jatorrizko WM barruan gertatzen den guztia bakarrik kontrolatzen du. Teknologia honek aplikazioen sekuentzia zuzena gogoratzen du; WM barruan aplikazioaren ekintzen sekuentzia behar bezala gertatzen ez denaren aurrean, blokeatzen du. 

Gehiago buruz Irakurri Segurtasuna ingurune birtualetarako garatzailearen webgunean, baina birusen aurkako babesa nola instalatu zure zerbitzari birtualerako agente argi batekin, irakurri gure direktorioa (orriaren behealdean XNUMX/XNUMX laguntza teknikorako kontaktuak daude, zalantzaren bat izanez gero). 

▍Hodeiko segurtasun-arazoak saihesteko edo zuzentzeko zerbitzuekin integratzea

• Aldaketak kudeatzeko plataformak. Enpresaren oinarrizko ITSM prozesuei eusten dieten frogatutako zerbitzuak dira, besteak beste, IT segurtasuna eta gorabeherak. Adibidez, ServiceNow, Remedy, JIRA.
• Segurtasuna eskaneatzeko tresnak. Adibidez, Rapid7, Qualys, Tenable.
• Konfigurazioa kudeatzeko tresnak. Zerbitzarien funtzionamendua automatizatzeko aukera ematen dute eta, horrela, mundu osoan banatu daitezkeen hamarnaka, ehunka eta baita milaka zerbitzariren konfigurazioa eta mantentzea errazten dute. Adibidez, TrueSight Server Automation, IBM BigFix, TrueSight Vulnerability Manager, Chef, Puppet.
• Alertak kudeatzeko tresna seguruak. Etengabeko zerbitzua eskaintzeko eta istiluetan egoera kontrolatzen jarraitzeko aukera ematen dizu, telefonoa integratzeko, mezularitzarako eta posta elektronikorako laguntza eskudun bat eskaintzeko (Cisco-ren arabera, mezu elektronikoen % 85 baino gehiago spam izan ziren 2019ko uztailean, malwarea izan zezakeen. phishing saiakerak, etab. Gaur egun, malwarea sarritan eranskin mota “ohiko” bidez bidaltzen da: posta elektronikoko eranskin gaizto ohikoenak Microsoft Office fitxategiak dira. Cisco 2019ko ekaineko posta elektronikoaren segurtasun-txostena). Horrelako tresna bat izan daiteke, adibidez, OpsGenie.

▍Ustiatu babesa

Explotazioak softwarearen ahultasunen ondorioak direnez, software garatzaileak dira beren produktuan akatsak zuzendu behar dituztenak. Erabiltzaileen ardura da eguneratze paketeak eta adabakiak kaleratu eta berehala instalatzea. Ezaugarri honekin bilaketa eta instalazio automatikoko tresna bat edo aplikazio-kudeatzailea erabiltzeak eguneratzeak galtzen ez dituzun laguntzen dizu. Ustiapen automatikoaren babesa goian deskribatutako aplikazioan integratuta dago Kaspersky Security for Virtualization Light Agent. 

▍Suebakia

Firewall, suebakia. Sareko trafikoa aldez aurretik konfiguratutako arauen arabera iragazten eta kontrolatzen du. Suebaki bat sareko informazio-fluxua prozesatzen duten iragazkien sekuentzia gisa irudika daiteke. Suebakiaren konfigurazio egokia eraginkorra da indar gordineko erasoen aurka. RDP edo SSH konexioak zerbitzariaren jabearen IP helbide batzuetatik soilik onar ditzakezu eta zerbitzaria pasahitza asmatzeko saiakeretatik babestu. Suebakiak sistema eragile moderno guztietan daude. Honetaz gain, RUVDS kontu pertsonalak eskaintzen ditu doako suebakia sareko ekipoen mailan. Horrela, nahi ez den sareko trafikoa ez da makina birtualera iritsiko, baina datu-zentro mailan iragaziko da. Bezeroaren erosotasun gehiagorako, gehien erabiltzen diren iragazketa-arauak gehitu dira suebakiaren interfazean. IP helbidea aldatzen bada, bezeroak bere kontu pertsonalera joan eta araua edita dezake zerbitzarian saioa hasi beharrik gabe.

▍DDoS erasoen aurkako babesa

Bertatik eros daitekeen zerbitzu gehigarri bat dago 
zerbitzari birtualen (eta fisikoen) hornitzailea. Sareko trafikoa aztertzeko teknologietan oinarritzen da, RUVDSn adibidez 24/7 egiten dena, eta babesak 1500 Gbit/s-ra arte jasan dezake modu egonkorrean. Behar duzun trafikoagatik bakarrik ordaintzen duzu. Orain promozioan RUVDSn lehen hilabetea doan 0.5 Mbit/s, gero 400 igurtzitik aurrera. hilean.

▍Araudia egitea eta betetzea

Idatzitako eta exekutaturiko erabiltzaileen arauek eta birgaitze neurrietarako arauek (zibersegurtasuneko gertakariei erantzuteko plana) pisu handia dute hodeiko segurtasun gaietan giza faktorearen ikuspuntutik, ingeniaritza sozialeko metodoak erabiliz hacking barne. Puntu honek langileen sarbidea mugatzea, konpainiaren hodeiko aplikazio nagusiak identifikatzea (ezin da beste aplikaziorik instalatu "zerrenda zurian" dauden gutxi horiek izan ezik) eta enpresan elkarrekintzarako erabil daitezkeen gailu mugikorren segurtasuna bermatzea. konpainiaren hodeiko azpiegiturarekin, eta gailuen kontrola, kanpoko euskarriak erabiltzeko politikez arduratzen dena.

Artikulua baliagarria izatea espero dugu. Beti bezala, iruzkin eraikitzaileak, informazio berria, iritzi interesgarriak eta materialaren zehaztasunik ezaren berri ematea ongi etorria ematen dizugu. 

Iturria: www.habr.com