Hodeiko Segurtasunaren Monitorizazioa

Datuak eta aplikazioak hodeira eramateak erronka berri bat dakar SOC korporatiboentzat, ez baitaude beti prest beste pertsonen azpiegitura monitorizatzeko. Netoskoperen arabera, batez besteko enpresak (itxuraz AEBetan) 1246 hodeiko zerbitzu ezberdin erabiltzen ditu, hau da, duela urtebete baino % 22 gehiago. 1246 hodeiko zerbitzuak!!! Horietatik 175 HR zerbitzuei dagozkie, 170 marketinari dagozkio, 110 komunikazioen alorrean eta 76 finantza eta CRM arlokoak. Ciscok kanpoko 700 hodeiko zerbitzu "soilik" erabiltzen ditu. Beraz, pixka bat nahastuta nago zenbaki hauekin. Baina, edonola ere, arazoa ez dago haiengan, baizik eta hodeia nahiko aktiboki erabiltzen hasten ari direla gero eta gehiago eta gero eta enpresa gehiagok, hodeiko azpiegiturak kontrolatzeko gaitasun berdinak izan nahiko luketen sare propioan. Eta joera hau hazten ari da - arabera Ameriketako Kontuen Ganberaren arabera 2023rako, 1200 datu-zentro itxiko dira Estatu Batuetan (6250 itxita daude dagoeneko). Baina hodeirako trantsizioa ez da soilik "eraman ditzagun gure zerbitzariak kanpoko hornitzaile batera". IT arkitektura berria, software berria, prozesu berriak, murrizketa berriak... Horrek guztiak aldaketa nabarmenak dakartza informatika ez ezik, informazioaren segurtasunaren lanetan. Eta hornitzaileek hodeiaren beraren segurtasuna bermatzeari nolabait aurre egiten ikasi badute (zorionez gomendio asko daude), orduan hodeiko informazioaren segurtasunaren monitorizazioarekin, batez ere SaaS plataformetan, zailtasun handiak daude, eta horietaz hitz egingo dugu.

Demagun zure enpresak bere azpiegituraren zati bat hodeira eraman duela... Gelditu. Ez horrela. Azpiegitura transferitu bada, eta orain bakarrik pentsatzen ari bazara nola kontrolatuko duzun, orduan galdu duzu dagoeneko. Amazon, Google edo Microsoft ez bada (eta gero erreserbak), ziurrenik ez duzu gaitasun handirik izango zure datuak eta aplikazioak kontrolatzeko. Ona da erregistroekin lan egiteko aukera ematen bazaizu. Batzuetan, segurtasun-gertaeren datuak eskuragarri egongo dira, baina ez duzu horretarako sarbiderik izango. Adibidez, Office 365. E1 lizentzia merkeena baduzu, segurtasun-gertaerak ez dituzu batere erabilgarri. E3 lizentzia baduzu, zure datuak 90 egunez soilik gordetzen dira, eta E5 lizentzia baduzu soilik, erregistroen iraupena urtebeterako dago eskuragarri (hala ere, honek bere ñabardurak ere baditu bereizita egin beharrarekin lotutakoak). erregistroekin lan egiteko hainbat funtzio eskatu Microsoft-en laguntzari). Bide batez, E3 lizentzia askoz ere ahulagoa da monitorizazio funtzioei dagokienez, Exchange korporatiboa baino. Maila bera lortzeko, E5 lizentzia edo betetze aurreratua lizentzia gehigarri bat behar duzu, eta horrek hodeiko azpiegiturara pasatzeko zure finantza-ereduan kontuan hartu ez den diru gehigarria behar izan dezake. Eta hau hodeiko informazioaren segurtasunaren monitorizazioari lotutako gaiak gutxiestearen adibide bat besterik ez da. Artikulu honetan, osorik itxuratu gabe, segurtasunaren ikuspuntutik hodei-hornitzaile bat aukeratzeko orduan kontuan hartu beharreko ñabardura batzuei arreta jarri nahi diet. Eta artikuluaren amaieran, hodeiko informazioaren segurtasunaren jarraipenaren arazoa konponduta dagoela kontuan hartu aurretik osatzea merezi duen kontrol-zerrenda bat emango da.

Hodei-inguruneetan gorabeherak sortzen dituzten hainbat arazo tipiko daude, eta informazio-segurtasun zerbitzuek ez dute erantzuteko denborarik edo ez dituzte batere ikusten:

• Segurtasun-erregistroak ez dira existitzen. Egoera nahiko ohikoa da, batez ere hodeiko soluzioen merkatuko jokalari hasiberrien artean. Baina ez diezue berehala amore eman behar. Jokalari txikiak, batez ere etxekoak, sentikorragoak dira bezeroen eskakizunekiko eta beharrezko funtzio batzuk azkar inplementatu ditzakete euren produktuentzako onartutako bide-orria aldatuz. Bai, hau ez da Amazon-en GuardDuty-ren edo Bitrix-en "Proactive Protection" modulua, baina gutxienez zerbait.
• Informazioaren segurtasunak ez daki erregistroak non gordetzen diren edo ez dago haietarako sarbiderik. Hemen beharrezkoa da hodeiko zerbitzu hornitzailearekin negoziazioak egitea - agian informazio hori emango du bezeroa esanguratsutzat jotzen badu. Baina, oro har, ez da oso ona erregistroetarako sarbidea "erabaki bereziz" ematen denean.
• Gertatzen da hodeiko hornitzaileak erregistroak dituela ere, baina jarraipena eta gertaeren grabaketa mugatua eskaintzen dute, ez baita nahikoa gorabehera guztiak detektatzeko. Adibidez, baliteke webgune batean aldaketen erregistroak edo erabiltzaileak autentifikatzeko saiakeren erregistroak jasotzea, baina ez beste gertaerarik, sareko trafikoa adibidez, zure hodeiko azpiegitura pirateatzeko saiakerak ezaugarritzen dituzten gertaera-geruza osoa ezkutatuko dizuna.
• Erregistroak badaude, baina haietarako sarbidea automatizatzea zaila da, eta horrek ez etengabe kontrolatzera behartzen du, egutegi batean baizik. Eta erregistroak automatikoki deskargatu ezin badituzu, erregistroak deskargatzeak, adibidez, Excel formatuan (hodei-hodeiko soluzio hornitzaile nazional batzuek bezala), informazio korporatiboaren segurtasun-zerbitzuaren errezeloa ere ekar dezake haiekin aldatzeko.
• Ez dago erregistroen jarraipena. Hau da, beharbada, hodei-inguruneetan informazioaren segurtasuneko gorabeherak agertzearen arrazoirik argiena. Badirudi erregistroak daudela, eta horietarako sarbidea automatizatzea posible dela, baina inork ez du hori egiten. Zergatik?

Partekatutako hodeiko segurtasun kontzeptua

Hodeirako trantsizioa beti da oreka bilatzea azpiegituraren gaineko kontrola mantentzeko nahiaren eta hura mantentzen espezializatutako hodei-hornitzaile baten esku profesionalenetara transferitzea. Eta hodeiaren segurtasunaren arloan ere oreka hori bilatu behar da. Gainera, erabilitako hodeiko zerbitzuak emateko ereduaren arabera (IaaS, PaaS, SaaS), oreka hori desberdina izango da denbora guztian. Nolanahi ere, gogoratu behar dugu gaur egun hodeiko hornitzaile guztiek erantzukizun partekatua eta partekatutako informazioaren segurtasun eredua jarraitzen dutela. Hodeia gauza batzuen arduraduna da, eta beste batzuen arduraduna bezeroa, bere datuak, bere aplikazioak, bere makina birtualak eta beste baliabide batzuk hodeian jarriz. Zuhurtziagabekeria litzateke hodeira joanez ardura guztia hornitzailearen esku utziko dugula espero izatea. Baina, era berean, ez da komeni segurtasun guztia zuek eraikitzea hodeira mugitzean. Oreka bat behar da, faktore askoren araberakoa izango dena: - arriskuak kudeatzeko estrategia, mehatxu eredua, hodeiko hornitzaileak eskura dituen segurtasun mekanismoak, legedia, etab.

Adibidez, hodeian ostatatutako datuen sailkapena beti bezeroaren ardura da. Hodeiko hornitzaile batek edo kanpoko zerbitzu hornitzaile batek hodeian datuak markatzen, urraketak identifikatzen, legea urratzen duten datuak ezabatzen edo metodo bat edo beste erabiliz ezabatu lagunduko dioten tresnekin soilik lagundu diezaioke. Bestalde, segurtasun fisikoa hodeiko hornitzailearen ardura da beti, bezeroekin partekatu ezin duena. Baina datuen eta azpiegitura fisikoaren artean dagoen guztia da, hain zuzen, artikulu honetan eztabaidagai. Adibidez, hodeiaren erabilgarritasuna hornitzailearen ardura da, eta suebakiaren arauak ezartzea edo enkriptatzea gaitzea bezeroaren ardura da. Artikulu honetan Errusiako hodei-hornitzaile ezagunek gaur egun informazioaren segurtasuna kontrolatzeko zein mekanismo eskaintzen dituzten aztertzen saiatuko gara, zeintzuk diren haien erabileraren ezaugarriak eta noiz merezi duen kanpoko gainjartze-konponbideetara begiratzea (adibidez, Cisco E- posta Segurtasuna) zure hodeiaren ahalmenak zabaltzen dituzten zibersegurtasunari dagokionez. Zenbait kasutan, batez ere hodei anitzeko estrategia jarraitzen ari bazara, ez duzu kanpoko informazioaren segurtasuna monitorizatzeko irtenbideak aldi berean erabiltzea hodeiko hainbat ingurunetan (adibidez, Cisco CloudLock edo Cisco Stealthwatch Cloud). Bada, kasu batzuetan konturatuko zara aukeratu duzun (edo inposatu dizun hodeiko hornitzaileak) ez duela informazioaren segurtasuna kontrolatzeko gaitasunik eskaintzen. Hau desatsegina da, baina ez da gutxi, hodei honekin lan egitearekin lotutako arrisku maila behar bezala ebaluatzeko aukera ematen baitu.

Hodeiko Segurtasunaren Jarraipenaren Bizi-zikloa

Erabiltzen dituzun hodeien segurtasuna kontrolatzeko, hiru aukera baino ez dituzu:

• fidatu zure hodeiko hornitzaileak emandako tresnetan,
• Erabili erabiltzen dituzun IaaS, PaaS edo SaaS plataformen jarraipena egingo duten hirugarrenen soluzioak,
• eraiki zure hodeiko monitorizazio azpiegitura (IaaS/PaaS plataformetarako soilik).

Ikus dezagun zer ezaugarri dituen aukera horietako bakoitzak. Baina lehenik eta behin, hodeiko plataformak monitorizatzerakoan erabiliko den esparru orokorra ulertu behar dugu. Hodeian informazioaren segurtasuna kontrolatzeko prozesuaren 6 osagai nagusi nabarmenduko nituzke:

• Azpiegiturak prestatzea. Informazioaren segurtasunerako garrantzitsuak diren gertaerak biltegiratzeko beharrezko aplikazioak eta azpiegiturak zehaztea.
• Bilduma. Fase honetan, segurtasun-gertaerak hainbat iturritatik batzen dira gero prozesatzeko, biltegiratzeko eta aztertzeko transmisiorako.
• Tratamendua. Fase honetan, datuak eraldatzen eta aberasten dira, ondorengo azterketa errazteko.
• Biltegiratzea. Osagai hau bildutako datu prozesatu eta gordinak epe laburreko eta epe luzerako biltegiratzeaz arduratzen da.
• Analisia. Fase honetan, gorabeherak detektatzeko eta automatikoki edo eskuz erantzuteko gaitasuna duzu.
• Txostenak ematea. Etapa honek erabaki jakin batzuk hartzen laguntzen dizkiguten eragileentzako (kudeaketa, auditoreak, hodeiko hornitzailea, bezeroak, etab.) funtsezko adierazleak formulatzen laguntzen du, adibidez, hornitzaile bat aldatzea edo informazioaren segurtasuna indartzea.

Osagai hauek ulertzeak etorkizunean azkar erabakiko duzu zure hornitzailetik zer hartu dezakezun, eta zuk zeuk edo kanpoko aholkularien inplikazioarekin zer egin beharko duzun.

Hodeiko zerbitzuak integratuak

Lehenago idatzi nuen hodeiko zerbitzu askok gaur egun ez dutela informazioaren segurtasuna kontrolatzeko gaitasunik eskaintzen. Orokorrean, ez diote arreta handirik jartzen informazioaren segurtasunaren gaiari. Adibidez, Internet bidez gobernu agentziei txostenak bidaltzeko Errusiako zerbitzu ezagunetako bat (ez dut bere izena aipatuko). Zerbitzu honen segurtasunari buruzko atal osoa CIPF ziurtatua erabiltzearen inguruan dago. Dokumentu elektronikoen kudeaketarako etxeko hodeiko beste zerbitzu baten informazioaren segurtasunaren atala ez da desberdina. Gako publikoaren ziurtagiriei, kriptografia ziurtatuari, web ahulguneak ezabatzeari, DDoS erasoen aurkako babesari, suebakiak erabiltzeari, babeskopiei buruz eta baita informazioaren segurtasunaren ohiko auditoriak ere hitz egiten du. Baina ez dago hitzik monitorizazioari buruz, ezta zerbitzu-hornitzaile honen bezeroentzat interesgarriak izan daitezkeen informazio-segurtasuneko ekitaldietara sartzeko aukerari buruz ere.

Oro har, hodeiko hornitzaileak informazioaren segurtasun-arazoak bere webgunean eta bere dokumentazioan deskribatzen dituen moduan, arazo hau zein seriotasunez hartzen duen uler dezakezu. Adibidez, "My Office" produktuen eskuliburuak irakurtzen badituzu, ez dago segurtasunari buruzko hitzik batere, baina "My Office. KS3", baimenik gabeko sarbideetatik babesteko diseinatua, FSTEC-en 17. ordenako puntuen zerrenda ohikoa dago, "My Office.KS3" inplementatzen duena, baina ez da deskribatzen nola inplementatzen duen eta, batez ere, nola inplementatzen duen. mekanismo horiek informazio korporatiboaren segurtasunarekin integratzea. Agian horrelako dokumentazioa existitzen da, baina ez dut aurkitu domeinu publikoan, "My Office" webgunean. Agian informazio sekretu honetarako sarbidea ez daukadan arren?...

Bitrixentzat, egoera askoz hobea da. Dokumentazioak gertaeren erregistroen formatuak deskribatzen ditu eta, interesgarria da, intrusioen erregistroa, hodeiko plataformaren mehatxu potentzialekin lotutako gertaerak biltzen dituena. Hortik IP, erabiltzailearen edo gonbidatuaren izena, gertaeren iturburua, ordua, Erabiltzaile-agentea, gertaera mota, etab atera ditzakezu. Egia da, gertaera hauekin lan egin dezakezu hodeiko kontrol paneletik bertatik, edo datuak MS Excel formatuan igo ditzakezu. Orain zaila da Bitrix erregistroekin lana automatizatzea eta lan batzuk eskuz egin beharko dituzu (txostena igo eta SIEM-en kargatu). Baina orain dela gutxi arte horrelako aukerarik ez zegoela gogoratzen badugu, aurrerapen handia da hau. Aldi berean, ohartu nahi nuke atzerriko hodei hornitzaile askok antzeko funtzionalitateak eskaintzen dituztela "hasiberrientzat" - edo begiratu erregistroak begiekin kontrol panelaren bidez, edo datuak zeure buruari kargatu (hala ere, datu gehienak kargatzen dituzte . csv formatuan, ez Excel).

Erregistrorik gabeko aukera kontuan hartu gabe, hodeiko hornitzaileek normalean hiru aukera eskaintzen dizkizute segurtasun-gertaerak kontrolatzeko: aginte-panelak, datuen igoera eta API sarbidea. Lehenengoak arazo asko konpontzen dizkizula dirudi, baina hori ez da guztiz egia - hainbat aldizkari badituzu, pantaila batetik bestera aldatu behar duzu, irudi orokorra galduz. Horrez gain, hodeiko hornitzaileak nekez emango dizu segurtasun-gertaerak erlazionatzeko eta, oro har, segurtasun-ikuspegitik aztertzeko gaitasuna (normalean datu gordinarekin ari zara, zuk zeuk ulertu behar dituzun). Salbuespenak daude eta horietaz gehiago hitz egingo dugu. Azkenik, komeni da zure hodeiko hornitzaileak zer gertakari erregistratzen dituen galdetzea, zein formatutan eta nola dagozkion zure informazioaren segurtasunaren monitorizazio prozesuarekin? Adibidez, erabiltzaileen eta gonbidatuen identifikazioa eta autentifikazioa. Bitrix berak aukera ematen dizu, gertaera horietan oinarrituta, gertaeraren data eta ordua, erabiltzailearen edo gonbidatuaren izena («Web Analytics» modulua baldin baduzu), atzitutako objektua eta webgune baterako ohiko beste elementu batzuk. . Baina informazio korporatiboaren segurtasun-zerbitzuek erabiltzaileak gailu fidagarri batetik hodeira atzitu duen ala ez jakiteko informazioa behar dute (adibidez, sare korporatibo batean Cisco ISEk inplementatzen du zeregin hori). Zer gertatzen da geo-IP funtzioa bezalako zeregin sinple batekin, hodeiko zerbitzuko erabiltzaile kontu bat lapurtu den ala ez zehazten lagunduko duena? Eta hodeiko hornitzaileak ematen dizun arren, hau ez da nahikoa. Cisco CloudLock berak ez du geokokapena aztertzen soilik, baizik eta horretarako ikaskuntza automatikoa erabiltzen du eta erabiltzaile bakoitzaren datu historikoak aztertzen ditu eta identifikazio eta autentifikazio saiakeretan hainbat anomalia kontrolatzen ditu. MS Azure-k bakarrik ditu antzeko funtzionalitateak (harpidetza egokia baduzu).

Beste zailtasun bat dago: hodeiko hornitzaile askorentzat informazioaren segurtasunaren monitorizazioa jorratzen hasi berri diren gai berria denez, etengabe ari dira zerbait aldatzen beren soluzioetan. Gaur APIaren bertsio bat dute, bihar beste bat, etzi hirugarrena. Horretarako ere prestatuta egon behar duzu. Gauza bera gertatzen da funtzionaltasunarekin, alda daitezkeenak, zure informazioaren segurtasuna kontrolatzeko sisteman kontuan hartu beharrekoak. Esaterako, Amazonek hasiera batean hodeiko gertaeren jarraipena egiteko zerbitzu bereiziak zituen: AWS CloudTrail eta AWS CloudWatch. Orduan, informazioaren segurtasun-gertaerak kontrolatzeko zerbitzu bereizi bat agertu zen - AWS GuardDuty. Denbora pixka bat igaro ondoren, Amazonek kudeaketa sistema berri bat jarri zuen martxan, Amazon Security Hub, GuardDuty, Amazon Inspector, Amazon Macie eta beste hainbatengandik jasotako datuen azterketa barne hartzen duena. Beste adibide bat da Azure log integratzeko tresna SIEM - AzLog-rekin. SIEM saltzaile askok aktiboki erabili zuten, harik eta 2018an Microsoft-ek bere garapena eta euskarria bertan behera utzi zuela iragarri zuen arte, eta horrek tresna hau erabiltzen zuten bezero askori arazo batekin aurre egin zien (geroago hitz egingo dugu nola konpondu zen).

Hori dela eta, kontrolatu arretaz zure hodeiko hornitzaileak eskaintzen dizkizun jarraipen-eginbide guztiak. Edo fidatu zure SOC eta kontrolatu nahi duzun hodeiaren arteko bitartekari gisa jardungo duten kanpoko irtenbide hornitzaileengan. Bai, garestiagoa izango da (nahiz eta ez beti), baina ardura guztia beste baten sorbaldetara eramango duzu. Edo dena ez?... Gogora dezagun segurtasun partekatuaren kontzeptua eta uler dezagun ezin dugula ezer aldatu; modu independentean ulertu beharko dugu hodeiko hornitzaile ezberdinek zure datuen, aplikazioen, makina birtualen eta beste baliabide batzuen informazioaren segurtasunaren jarraipena nola ematen duten. hodeian ostatatuta. Eta Amazonek eskaintzen duenarekin hasiko gara zati honetan.

Adibidea: Informazioaren segurtasunaren monitorizazioa IaaS-n AWSn oinarrituta

Bai, bai, ulertzen dut Amazon ez dela adibiderik onena zerbitzu amerikarra delako eta blokeatu egin daitekeela muturreko borrokaren eta Errusian debekatuta dagoen informazioaren zabalkundearen baitan. Baina argitalpen honetan erakutsi nahiko nuke hodeiko plataforma desberdinak informazioaren segurtasuna kontrolatzeko gaitasunetan eta zertan arreta jarri behar duzun zure funtsezko prozesuak hodeietara transferitzean segurtasunaren ikuspuntutik. Beno, hodeiko soluzioen garatzaile errusiar batzuek beren kabuz baliagarria den zerbait ikasten badute, hori bikaina izango da.

Esan beharrekoa da Amazon ez dela gotorleku sarezin bat. Bere bezeroei hainbat gertakari gertatzen zaizkie aldian-aldian. Esaterako, 198 milioi hautesleren izenak, helbideak, jaiotze datak eta telefono zenbakiak lapurtu zituzten Deep Root Analytics-etik. Israelgo Nice Systems konpainiak Verizoneko harpidedunen 14 milioi erregistro lapurtu zituen. Hala eta guztiz ere, AWS-ren barne-gaitasunei esker, gorabehera ugari detektatzeko aukera ematen dizu. Adibidez:

• Azpiegituretan eragina (DDoS)
• nodo-konpromisoa (komando-injekzioa)
• kontua arriskuan jarri eta baimenik gabeko sarbidea
• konfigurazio okerrak eta ahuleziak
• interfaze eta API seguruak.

Desadostasun hori, gorago jakin dugunez, bezeroa bera baita bezeroaren datuen segurtasunaren arduraduna delako. Eta babes-mekanismoak pizten ez bazituen eta monitorizazio-tresnak pizten ez bazituen, orduan komunikabideetatik edo bezeroengandik bakarrik ikasiko du gertakariaren berri.

Gorabeherak identifikatzeko, Amazon-ek garatutako jarraipen-zerbitzu ezberdin ugari erabil ditzakezu (nahiz eta horiek askotan kanpoko tresnekin osatu ohi diren, hala nola osquery). Beraz, AWS-en, erabiltzaileen ekintza guztiak kontrolatzen dira, nola gauzatzen diren kontuan hartu gabe: kudeaketa-kontsolaren, komando-lerroaren, SDKren edo AWSko beste zerbitzu batzuen bidez. AWS kontu bakoitzaren jardueraren erregistro guztiak (erabiltzaile-izena, ekintza, zerbitzua, jarduera-parametroak eta emaitza barne) eta APIaren erabileraren erregistro guztiak daude eskuragarri AWS CloudTrail-en bidez. Gertaera hauek (adibidez, AWS IAM kontsolaren saio-hasierak) CloudTrail kontsolatik ikus ditzakezu, Amazon Athena erabiliz analizatu edo kanpoko soluzioetara "kontratatu" ditzakezu, hala nola Splunk, AlienVault, etab. AWS CloudTrail erregistroak zure AWS S3 ontzian jartzen dira.

AWSko beste bi zerbitzuek beste monitorizazio gaitasun garrantzitsu batzuk eskaintzen dituzte. Lehenik eta behin, Amazon CloudWatch AWS baliabideen eta aplikazioen jarraipen-zerbitzua da, besteak beste, zure hodeian hainbat anomalia identifikatzea ahalbidetzen duena. AWS barneko zerbitzu guztiek, hala nola Amazon Elastic Compute Cloud (zerbitzariak), Amazon Relational Database Service (datu-baseak), Amazon Elastic MapReduce (datuen analisia) eta Amazoneko beste 30 zerbitzuk, Amazon CloudWatch erabiltzen dute beren erregistroak gordetzeko. Garatzaileek Amazon CloudWatch-eko API irekia erabil dezakete erregistroen jarraipena egiteko funtzionaltasuna gehitzeko aplikazio eta zerbitzu pertsonalizatuei, gertaeren analisiaren esparrua segurtasun-testuinguru batean zabaltzeko aukera emanez.

Bigarrenik, VPC Flow Logs zerbitzuak zure AWS zerbitzariek bidalitako edo jasotako sareko trafikoa aztertzeko aukera ematen dizu (kanpotik edo barrutik), baita mikrozerbitzuen artean ere. Zure AWS VPC baliabideren batek sarearekin elkarreragiten duenean, VPC Flow Logs-ek sareko trafikoari buruzko xehetasunak erregistratzen ditu, iturburu eta helmuga sareko interfazea barne, baita IP helbideak, portuak, protokoloa, byte kopurua eta pakete kopurua ere. zerra. Sare lokalen segurtasunarekin esperientzia dutenek harien antzekoa dela aitortuko dute NetFlow, etengailu, bideratzaile eta enpresa-mailako suebakiek sor dezaketena. Erregistro hauek garrantzitsuak dira informazioaren segurtasunaren jarraipena egiteko, izan ere, erabiltzaileen eta aplikazioen ekintzei buruzko gertakariek ez bezala, sareko interakzioak ez galtzeko aukera ematen baitute AWS hodei pribatu birtualeko ingurunean.

Laburbilduz, hiru AWS zerbitzu hauek —AWS CloudTrail, Amazon CloudWatch eta VPC Flow Logs— elkarrekin zure kontuaren erabilerari, erabiltzaileen portaerari, azpiegituren kudeaketari, aplikazio eta zerbitzuen jarduerari eta sareko jarduerei buruzko informazio nahiko indartsua eskaintzen dute. Adibidez, honako anomaliak detektatzeko erabil daitezke:

• Gunea eskaneatu, atzeko ateak bilatu, ahultasunak bilatu "404 erroreen" eztandaren bidez.
• Injekzio erasoak (adibidez, SQL injekzioa) "500 errore" leherketen bidez.
• Eraso tresna ezagunak sqlmap, nikto, w3af, nmap, etab. Erabiltzaile Agentearen eremuaren analisiaren bidez.

Amazon Web Services-ek beste zerbitzu batzuk ere garatu ditu zibersegurtasun helburuetarako, beste arazo asko konpontzeko aukera ematen dutenak. Esate baterako, AWS-k zerbitzu bat dauka politikak eta konfigurazioak ikuskatzeko - AWS Config. Zerbitzu honek zure AWS baliabideen eta haien konfigurazioen etengabeko auditoria eskaintzen du. Har dezagun adibide sinple bat: demagun ziurtatu nahi duzula erabiltzaileen pasahitzak zure zerbitzari guztietan desgaituta daudela eta sarbidea ziurtagirietan oinarrituta soilik posible dela. AWS Config-ek zure zerbitzari guztietan egiaztatzea errazten du. Zure hodeiko zerbitzariei aplika dakizkiekeen beste politika batzuk: "Zerbitzariak ezin du 22 ataka erabili", "Administratzaileek soilik alda ditzakete suebaki-arauak" edo "Ivashko erabiltzaileak soilik sor ditzake erabiltzaile-kontu berriak, eta berak egin dezake astearteetan bakarrik. " 2016ko udan, AWS Config zerbitzua zabaldu zen garatutako politiken urraketen detekzioa automatizatzeko. AWS Config Arauak, funtsean, erabiltzen dituzun Amazon zerbitzuetarako etengabeko konfigurazio-eskaerak dira, eta gertaerak sortzen dituzte dagozkien politikak urratzen badira. Adibidez, AWS Config kontsultak aldian-aldian exekutatu ordez zerbitzari birtualeko disko guztiak enkriptatuta daudela egiaztatzeko, AWS Config Arauak erabil daitezke zerbitzariaren diskoak etengabe egiaztatzeko baldintza hori betetzen dela ziurtatzeko. Eta, garrantzitsuena, argitalpen honen testuinguruan, edozein urratzek zure informazioaren segurtasun zerbitzuak aztertu ditzakeen gertaerak sortzen ditu.

AWS-k informazio korporatiboko segurtasun-soluzio tradizionalen baliokidea ere badu, eta horiek ere aztertu ditzakezun eta aztertu behar dituzun segurtasun-gertaerak sortzen dituzte:

• Intrusioen detekzioa - AWS GuardDuty
• Informazio ihesen kontrola - AWS Macie
• EDR (hodeiko amaierako puntuei buruz hitz egiten duen arren) - AWS Cloudwatch + kode irekiko osquery edo GRR irtenbideak
• Netflow azterketa - AWS Cloudwatch + AWS VPC Flow
• DNS azterketa - AWS Cloudwatch + AWS Route53
• AD - AWS Direktorio Zerbitzua
• Kontuen kudeaketa - AWS IAM
• SSO - AWS SSO
• segurtasun-analisia - AWS Inspector
• konfigurazio kudeaketa - AWS Config
• WAF - AWS WAF.

Ez ditut xehetasunez deskribatuko informazioaren segurtasunaren testuinguruan erabilgarriak izan daitezkeen Amazon zerbitzu guztiak. Gauza nagusia ulertzea da horiek guztiek informazio-segurtasunaren testuinguruan aztertu ditzakegun eta aztertu behar ditugun gertaerak sor ditzaketela, horretarako Amazonen beraren gaitasun integratuak zein kanpoko irtenbideak erabiliz, adibidez, SIEM, eraman segurtasun-gertaerak zure monitorizazio-zentrora eta aztertu bertan hodeiko beste zerbitzu batzuetako edo barne-azpiegitura, perimetro edo gailu mugikorretako gertaerekin batera.

Edonola ere, informazioaren segurtasuneko gertaerak eskaintzen dizkizuten datu iturrietatik hasten da guztia. Iturri hauek honako hauek dira, baina ez dira horretara mugatzen:

• CloudTrail - APIaren erabilera eta erabiltzaileen ekintzak
• Trusted Advisor - praktika onen aurkako segurtasun-egiaztapena
• Config - kontuen eta zerbitzuen ezarpenen inbentarioa eta konfigurazioa
• VPC Flow Logs - interfaze birtualetarako konexioak
• IAM - identifikazio eta autentifikazio zerbitzua
• ELB Access Logs - Load Balancer
• Inspector - aplikazioaren ahultasunak
• S3 - fitxategiak biltegiratzea
• CloudWatch - Aplikazio-jarduera
• SNS jakinarazpen-zerbitzu bat da.

Amazonek, haien sorkuntzarako gertaeren iturri eta tresna sorta bat eskaintzen duen arren, oso mugatua du bildutako datuak informazioaren segurtasunaren testuinguruan aztertzeko duen gaitasuna. Eskuragarri dauden erregistroak modu independentean aztertu beharko dituzu, haietan konpromisoaren adierazle garrantzitsuak bilatuz. Amazonek duela gutxi abian jarri duen AWS Security Hub-ek arazo hau konpontzea du helburu AWSrako hodeiko SIEM bihurtuz. Baina orain arte bere ibilbidearen hasieran baino ez dago eta mugatuta dago bai lan egiten duen iturri kopuruagatik, bai Amazonen beraren arkitekturak eta harpidetzak ezarritako beste murrizketengatik.

Adibidea: Azure-n oinarritutako IaaS-n informazioaren segurtasunaren monitorizazioa

Ez dut eztabaida luze batean sartu nahi hiru hodeiko hornitzaileetatik (Amazon, Microsoft edo Google) zein den hobea (batez ere horietako bakoitzak oraindik bere berezitasun zehatzak dituelako eta bere arazoak konpontzeko egokia den); Zentratu gaitezen jokalari hauek eskaintzen dituzten informazioaren segurtasuna kontrolatzeko gaitasunetan. Onartu beharra dago Amazon AWS segmentu honetako lehenetarikoa izan zela eta, hortaz, informazio-segurtasun-funtzioei dagokienez gehien aurreratu dela (nahiz eta askok onartzen zailak direla erabiltzeko). Baina horrek ez du esan nahi Microsoft-ek eta Google-k eskaintzen dizkiguten aukerak alde batera utziko ditugunik.

Microsoft-eko produktuak "irekitasuna"gatik bereizi izan dira beti eta Azuren egoera antzekoa da. Adibidez, AWS eta GCP beti "baimendutakoa debekatuta dago" kontzeptutik abiatuz gero, Azure-k guztiz kontrako ikuspegia du. Esaterako, hodeian sare birtual bat eta bertan makina birtual bat sortzean, ataka eta protokolo guztiak irekita daude eta lehenespenez onartzen dira. Hori dela eta, ahalegin apur bat gehiago egin beharko duzu Microsoft-en hodeian sarbide-kontrol sistemaren hasierako konfigurazioan. Eta horrek, gainera, eskakizun zorrotzagoak ezartzen dizkizu Azure hodeiko jardueraren jarraipenari dagokionez.

AWS-k berezitasun bat du zure baliabide birtualak kontrolatzen dituzunean, eskualde ezberdinetan kokatzen badira, gertaera guztiak eta haien analisi bateratua konbinatzeko zailtasunak dituzula, hainbat trikimailutara jo behar dituzun kentzeko, hala nola. Sortu zure kodea AWS Lambdarako, gertaerak eskualdeen artean garraiatzeko. Azure-k ez du arazo hau - bere jarduera-erregistroaren mekanismoak erakunde osoko jarduera guztien jarraipena egiten du murrizketarik gabe. Gauza bera gertatzen da Amazon-ek duela gutxi garatu duen AWS Security Hub-ekin, segurtasun-funtzio asko segurtasun-zentro bakar batean finkatzeko, baina bere eskualdean soilik, eta hori, ordea, ez da garrantzitsua Errusiarentzat. Azure-k bere Segurtasun Zentroa du, eskualdeko murrizketekin loturik ez dagoena, hodeiko plataformaren segurtasun-eginbide guztietarako sarbidea eskaintzen duena. Gainera, tokiko talde ezberdinentzat bere babes-gaitasun multzoa eskain dezake, haiek kudeatutako segurtasun-gertaerak barne. AWS Security Hub oraindik ere Azure Security Center-en antzekoa izateko bidean da. Baina merezi du euli bat ukenduan gehitzea - ​​Azure-tik lehen AWS-n deskribatutako asko atera ditzakezu, baina hori erosoena Azure AD, Azure Monitor eta Azure Security Center-entzat bakarrik egiten da. Azure segurtasun-mekanismo guztiak, segurtasun-gertaeren azterketa barne, ez dira oraindik modurik erosoenean kudeatzen. Arazoa neurri batean konpontzen du APIak, Microsoft Azure zerbitzu guztiak barne hartzen dituena, baina honek zure hodeia zure SOC-arekin integratzeko eta espezialista kualifikatuen presentzia eskatuko du (hain zuzen ere, lan egiten duen beste edozein SIEMrekin bezala). hodeiko APIak). Geroago eztabaidatuko diren SIEM batzuek dagoeneko onartzen dute Azure eta kontrolatzeko zeregina automatiza dezakete, baina bere zailtasunak ere baditu - denek ezin dituzte Azure-k dituen erregistro guztiak bildu.

Gertaeren bilketa eta jarraipena Azuren Azure Monitor zerbitzua erabiliz eskaintzen da, hau da, Microsoft hodeian eta bere baliabideetan datuak biltzeko, gordetzeko eta aztertzeko tresna nagusia - Git biltegiak, edukiontziak, makina birtualak, aplikazioak, etab. Azure Monitor-ek bildutako datu guztiak bi kategoriatan banatzen dira: neurketak, denbora errealean bilduak eta Azure hodeiaren errendimendu-adierazle nagusiak deskribatzen dituztenak, eta erregistroak, Azure baliabide eta zerbitzuen jardueraren zenbait alderdi bereizten dituzten erregistroetan antolatutako datuak. Horrez gain, Data Collector APIa erabiliz, Azure Monitor zerbitzuak edozein REST iturburutako datuak bil ditzake bere monitorizazio eszenatokiak eraikitzeko.

Hona hemen Azure-k eskaintzen dizkizun segurtasun-gertaeren iturri batzuk eta Azure Portal, CLI, PowerShell edo REST APIaren bidez atzi ditzakezun (eta batzuk Azure Monitor/Insight APIaren bidez soilik):

• Jardueren erregistroak - erregistro honek hodeiko baliabideetan edozein idazketa-eragiketari buruz (JARRI, POST, DELETE) "nor", "zer" eta "noiz" galdera klasikoei erantzuten die. Irakurtzeko sarbidearekin (GET) erlazionatutako gertaerak ez dira erregistro honetan sartzen, beste hainbat bezala.
• Diagnostiko-erregistroak - zure harpidetzan sartutako baliabide jakin bat duten eragiketen datuak ditu.
• Azure AD txostenak: taldeen eta erabiltzaileen kudeaketarekin lotutako erabiltzailearen jarduerak eta sistemaren jarduerak ditu.
• Windows Event Log eta Linux Syslog - hodeian ostatatutako makina birtualetako gertaerak ditu.
• Metrikak - zure hodeiko zerbitzu eta baliabideen errendimendu eta osasun egoerari buruzko telemetria dauka. Minutu bakoitzean neurtu eta gordeta. 30 eguneko epean.
• Network Security Group Flow Logs - Network Watcher zerbitzua eta sare mailan baliabideen monitorizazioa erabiliz bildutako sareko segurtasun-gertaeiei buruzko datuak ditu.
• Biltegiratze-erregistroak - biltegiratze-instalazioetarako sarbidearekin lotutako gertaerak ditu.

Jarraipenerako, kanpoko SIEM edo Azure Monitor integratua eta bere luzapenak erabil ditzakezu. Informazioaren segurtasuneko gertaerak kudeatzeko sistemei buruz hitz egingo dugu aurrerago, baina, oraingoz, ikus dezagun zer eskaintzen digun Azurek berak segurtasunaren testuinguruan datuak aztertzeko. Azure Monitor-en segurtasunarekin zerikusia duen guztiaren pantaila nagusia Log Analytics Security and Audit Panel da (doako bertsioak astebetez soilik gertaeren biltegiratze kopuru mugatua onartzen du). Arbel hau erabiltzen ari zaren hodei-ingurunean gertatzen ari denaren laburpen estatistikak bistaratzen dituzten 5 eremu nagusitan banatuta dago:

• Segurtasun Domeinuak - informazioaren segurtasunarekin lotutako adierazle kuantitatibo nagusiak - gorabehera kopurua, arriskuan dauden nodo kopurua, adabakirik gabeko nodoak, sareko segurtasun-gertaerak, etab.
• Arazo nabarmenak - informazioaren segurtasun-arazo aktiboen kopurua eta garrantzia erakusten du
• Detekzioak - zure aurka erabilitako erasoen ereduak bistaratzen ditu
• Threat Intelligence - erasotzen ari zaren kanpoko nodoen informazio geografikoa erakusten du
• Segurtasun-kontsulta arruntak - zure informazioaren segurtasuna hobeto kontrolatzen lagunduko dizuten ohiko kontsultak.

Azure Monitorearen luzapenen artean daude Azure Key Vault (gako kriptografikoen babesa hodeian), Malware Assessment (makina birtualetan kode maltzurren aurkako babesaren analisia), Azure Application Gateway Analytics (besteak beste, hodeiko suebakien erregistroen analisia), etab. . Tresna hauek, gertaerak prozesatzeko arau batzuekin aberastuta, hodeiko zerbitzuen jardueraren hainbat alderdi ikus ditzakezu, segurtasuna barne, eta funtzionamendutik desbideratze batzuk identifikatzea. Baina, askotan gertatzen den bezala, funtzionalitate gehigarri batek dagokion ordaindutako harpidetza behar du, eta horrek dagozkion finantza-inbertsioak eskatuko ditu, aldez aurretik planifikatu behar dituzunak.

Azure-k mehatxuak kontrolatzeko gaitasun ugari ditu, Azure AD, Azure Monitor eta Azure Security Center-en integratuta daudenak. Horien artean, adibidez, makina birtualen interakzioa detektatzea maltzurren IP ezagunekin (Microsoft-en Threat Intelligence zerbitzuekin integrazioaren presentzia dela eta), hodeiko azpiegituran malwarea detektatzea hodeian ostatatutako makina birtualen alarmak jasoz, pasahitza. erasoak asmatzea ” makina birtualetan, erabiltzaileak identifikatzeko sistemaren konfigurazioan dauden ahultasunak, sisteman saio anonimoetatik edo kutsatutako nodoetatik sartzea, kontuen ihesak, sisteman saioa ezohiko kokapenetatik, etab. Gaur egun, Azure Threat Intelligence gaitasunak barneratuta eskaintzen dizun hodeiko hornitzaile bakanetako bat da bildutako informazioaren segurtasun-gertaerak aberasteko.

Arestian esan bezala, segurtasun-funtzionalitatea eta, ondorioz, horrek sortutako segurtasun-gertaerak ez daude erabiltzaile guztientzat berdin erabilgarri, baina harpidetza jakin bat behar da, behar duzun funtzionaltasuna barne hartzen duena, eta horrek informazioaren segurtasunaren jarraipena egiteko gertakari egokiak sortzen ditu. Adibidez, kontuetako anomaliak kontrolatzeko aurreko paragrafoan deskribatutako funtzio batzuk Azure AD zerbitzurako P2 premium lizentzian soilik daude eskuragarri. Hori gabe, zuk, AWS-ren kasuan bezala, bildutako segurtasun-gertaerak "eskuz" aztertu beharko dituzu. Eta, gainera, Azure AD lizentzia motaren arabera, gertaera guztiak ez dira aztertzeko erabilgarri egongo.

Azure atarian, zure intereseko erregistroen bilaketa-kontsultak kudea ditzakezu eta aginte-panelak konfigura ditzakezu informazio-segurtasun-adierazle nagusiak ikusteko. Horrez gain, bertan Azure Monitorearen luzapenak hauta ditzakezu, eta horri esker, Azure Monitoreko erregistroen funtzionaltasuna zabaltzeko eta gertaeren azterketa sakonagoa lortzeko segurtasunaren ikuspuntutik.

Erregistroekin lan egiteko gaitasuna ez ezik, zure Azure hodeiko plataformarako segurtasun-zentro integral bat behar baduzu, informazio-segurtasun politiken kudeaketa barne, orduan hitz egin dezakezu Azure Security Center-ekin lan egin beharrari buruz, funtzio erabilgarri gehienak. diru batzuen truke eskuragarri daude, adibidez, mehatxuak hautematea, Azure-tik kanpoko monitorizazioa, betetze-ebaluazioa, etab. (doako bertsioan, segurtasun-ebaluazioa eta identifikatutako arazoak ezabatzeko gomendioak bakarrik eskura ditzakezu). Segurtasun-arazo guztiak leku bakarrean finkatzen ditu. Izan ere, Azure Monitorek eskaintzen dizun informazio-segurtasun maila handiagoaz hitz egin dezakegu, kasu honetan zure hodeiko fabrikan zehar bildutako datuak iturri asko erabiliz aberasten baitira, hala nola Azure, Office 365, Microsoft CRM online, Microsoft Dynamics AX. , outlook .com, MSN.com, Microsoft Digital Crimes Unit (DCU) eta Microsoft Security Response Center (MSRC), zeinetan ikaskuntza automatikoen eta portaeraren analisiaren algoritmo sofistikatu ezberdinak gainjartzen diren, azken finean mehatxuak detektatzeko eta haiei erantzuteko eraginkortasuna hobetu beharko luketenak. .

Azure-k bere SIEM ere badu - 2019aren hasieran agertu zen. Hau Azure Sentinel da, Azure Monitoreko datuetan oinarritzen dena eta horrekin batera integra daitekeena. kanpoko segurtasun irtenbideak (adibidez, NGFW edo WAF), eta horien zerrenda etengabe hazten ari da. Horrez gain, Microsoft Graph Security APIaren integrazioaren bidez, zure Threat Intelligence jarioak Sentinel-era konektatzeko gaitasuna duzu, eta horrek zure Azure hodeiko gorabeherak aztertzeko gaitasunak aberasten ditu. Esan daiteke Azure Sentinel hodeiko hornitzaileetatik agertu zen lehen SIEM "jatorrizkoa" dela (Splunk edo ELK bera, hodeian ostata daitezkeenak, adibidez, AWS, oraindik ez dira hodeiko zerbitzu-hornitzaile tradizionalek garatu). Azure Sentinel and Security Center SOC deitu liteke Azure hodeirako eta horietara mugatu daiteke (erreserba jakin batzuekin) jada ez baduzu azpiegiturarik eta zure baliabide informatiko guztiak hodeira transferitzen badituzu eta Microsoft hodeia Azure izango litzateke.

Baina Azure-ren gaitasun integratuak (nahiz eta Sentinel-en harpidetza izan) sarritan nahikoak ez direnez informazioaren segurtasuna kontrolatzeko eta prozesu hau segurtasun-gertaeren beste iturri batzuekin (hodeiko zein barneko) integratzeko, badago bildutako datuak kanpoko sistemetara esportatu behar dira, SIEM barne. Hau APIa erabiliz eta luzapen bereziak erabiliz egiten da, gaur egun ofizialki eskuragarri dauden SIEM hauek bakarrik: Splunk (Azure Monitor Add-On for Splunk), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight eta ELK. Duela gutxi arte, horrelako SIEM gehiago zeuden, baina 1ko ekainaren 2019etik aurrera, Microsoft-ek Azure Log Integration Tool (AzLog) onartzen utzi zuen, Azureren existentziaren hasieran eta erregistroekin lan egiteko normalizazio normalik ezean (Azure). Monitorea oraindik existitzen ez zen) kanpoko SIEM Microsoft hodeiarekin integratzea erraztu zuen. Orain egoera aldatu da eta Microsoft-ek Azure Event Hub plataforma gomendatzen du beste SIEM batzuen integrazio tresna nagusi gisa. Askok dagoeneko inplementatu dute integrazio hori, baina kontuz ibili: agian ez dituzte Azure erregistro guztiak harrapatzen, batzuk baizik (begiratu zure SIEMren dokumentazioan).

Azure-ra txango labur bat amaitzean, hodeiko zerbitzu honi buruzko gomendio orokor bat eman nahiko nuke - Azure-ko informazioaren segurtasuna kontrolatzeko funtzioei buruz ezer esan baino lehen, kontu handiz konfiguratu beharko zenuke eta dokumentazioan idatzitako moduan funtzionatzen dutela egiaztatu beharko zenuke. aholkulariek Microsoft-i esan dizuten bezala (eta baliteke Azure funtzioen funtzionalitateari buruzko ikuspegi desberdinak izatea). Baliabide ekonomikoak badituzu, Azure-ren informazio baliagarri asko atera dezakezu informazioaren segurtasunaren monitorizazioari dagokionez. Zure baliabideak mugatuak badira, orduan, AWS-ren kasuan bezala, zure indarretan eta Azure Monitor-ek eskaintzen dizkizun datu gordinan bakarrik fidatu beharko duzu. Eta gogoratu monitorizazio-funtzio askok dirua balio dutela eta hobe dela prezioen politika aldez aurretik ezagutzea. Esate baterako, doan, 31 eguneko datuak gorde ditzakezu gehienez 5 GB bezero bakoitzeko; balio horiek gainditzeko, diru gehiago atera beharko duzu (gutxi gorabehera $2+ bezeroaren GB gehigarri bakoitza gordetzeko eta $0,1). Hilabete gehigarri bakoitzean 1 GB gordez). Aplikazioen telemetria eta neurketarekin lan egiteak funts gehigarriak ere behar ditu, baita alerta eta jakinarazpenekin lan egitea ere (muga jakin bat doan dago eskuragarri, eta baliteke zure beharretarako nahikoa ez izatea).

Adibidea: Informazioaren segurtasunaren jarraipena IaaSn, Google Cloud Platform-en oinarrituta

Google Cloud Platform gazte bat dirudi AWS eta Azurerekin alderatuta, baina neurri batean ona da. AWSk ez bezala, bere gaitasunak handitu zituen, segurtasunak barne, pixkanaka, zentralizazioarekin arazoak izaten; GCP, Azure bezala, askoz hobeto kudeatzen da zentralki, eta horrek akatsak eta ezarpen-denbora murrizten ditu enpresa osoan. Segurtasunaren ikuspuntutik, GCP, bitxia bada ere, AWS eta Azureren artean dago. Antolakuntza osorako ekitaldi bakarreko izen-ematea ere badu, baina osatu gabe dago. Funtzio batzuk beta moduan daude oraindik, baina pixkanaka gabezia hori ezabatu beharko litzateke eta GCP plataforma helduagoa bihurtuko da informazioaren segurtasunaren monitorizazioari dagokionez.

GCP-n gertaerak erregistratzeko tresna nagusia Stackdriver Logging da (Azure Monitor-en antzekoa), zure hodeiko azpiegitura osoan gertaerak biltzeko aukera ematen duena (baita AWStik ere). GCP-n segurtasunaren ikuspegitik, erakunde, proiektu edo karpeta bakoitzak lau erregistro ditu:

• Admin Jarduerak - administrazio-sarbidearekin lotutako gertaera guztiak biltzen ditu, adibidez, makina birtual bat sortzea, sarbide-eskubideak aldatzea, etab. Erregistro hau beti idazten da, zure nahia edozein dela ere, eta bere datuak gordetzen ditu 400 egunez.
• Datuetarako sarbidea - hodeiko erabiltzaileek datuekin lan egitearekin lotutako gertaera guztiak biltzen ditu (sorkuntza, aldaketa, irakurketa, etab.). Lehenespenez, erregistro hau ez da idazten, bere bolumena oso azkar hazten baita. Horregatik, bere iraupena 30 egunekoa da. Gainera, aldizkari honetan dena ez dago idatzita. Adibidez, erabiltzaile guztientzat publikoki eskuragarri dauden baliabideekin edo GCPn saioa hasi gabe eskura daitezkeen baliabideekin erlazionatutako gertaerak ez dira bertan idazten.
• Sistemaren gertaera - erabiltzaileekin zerikusirik ez duten sistemaren gertaerak edo hodeiko baliabideen konfigurazioa aldatzen duen administratzaile baten ekintzak ditu. Beti idatzi eta gordetzen da 400 egunez.
• Sarbide-gardentasuna zure azpiegituran sartzen diren Google-ko langileen ekintza guztiak jasotzen dituen erregistro baten adibide paregabea da (baina oraindik ez GCP zerbitzu guztietarako) beren lan-eginkizunen barruan. Erregistro hau 400 egunez gordetzen da eta ez dago erabilgarri GCP bezero guztientzat, baina baldintza batzuk betetzen badira (Urrezko edo Platinozko mailako laguntza, edo mota jakin bateko 4 rol egotea enpresaren laguntzaren parte gisa). Antzeko funtzio bat ere eskuragarri dago, adibidez, Office 365 - Lockbox-en.

Erregistroaren adibidea: Sartu Gardentasuna

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Erregistro hauetarako sarbidea hainbat modutan posible da (aurrez hitz egin dugun Azure eta AWSren modu berean): Log Viewer interfazearen bidez, APIaren bidez, Google Cloud SDK bidez edo zure proiektuko jarduera-orriaren bidez. ekitaldietan interesatuta daude. Modu berean, kanpoko soluzioetara esportatu daitezke azterketa osagarriak egiteko. Azken hau erregistroak BigQuery edo Cloud Pub/Sub biltegiratzera esportatzen dira.

Stackdriver Logging-ez gain, GCP plataformak Stackdriver Monitoring funtzionaltasuna ere eskaintzen du, hodeiko zerbitzu eta aplikazioen neurketa gakoak (errendimendua, MTBF, osasun orokorra, etab.) kontrolatzeko aukera ematen duena. Prozesatu eta ikusitako datuek zure hodeiko azpiegituran arazoak aurkitzea erraztu dezakete, baita segurtasunaren testuinguruan ere. Baina kontuan izan behar da funtzionalitate hori ez dela oso aberatsa izango informazioaren segurtasunaren testuinguruan, gaur egun GCPk ez baitu AWS GuardDuty beraren analogorik eta ezin ditu identifikatu txarrak erregistratutako gertaera guztien artean (Google-k Gertaeren Mehatxuen Detekzioa garatu du, baina oraindik garatzen ari da beta-n eta goizegi da bere erabilgarritasunaz hitz egiteko). Stackdriver Monitoring anomaliak antzemateko sistema gisa erabil liteke, eta gero ikertuko litzateke haien agerraldiaren arrazoiak aurkitzeko. Baina merkatuan GCP informazioaren segurtasunaren arloan kualifikatutako langilerik ez dagoela ikusita, zeregin honek zaila dirudi gaur egun.

Gainera, merezi du zure GCP hodeian erabil daitezkeen informazioaren segurtasun-modulu batzuen zerrenda ematea, eta AWS-k eskaintzen duenaren antzekoak direnak:

• Cloud Security Command Center AWS Security Hub eta Azure Security Center-en analogoa da.
• Cloud DLP - Hodeian ostatatutako datuen aurkikuntza eta edizio automatikoa (adibidez, maskaratzea) aurrez zehaztutako 90 sailkapen-politika baino gehiago erabiliz.
• Cloud Scanner App Engine, Compute Engine eta Google Kubernetes-en ahultasun ezagunen (XSS, Flash Injection, adabaki gabeko liburutegiak, etab.) eskaner bat da.
• Cloud IAM - Kontrolatu GCP baliabide guztietarako sarbidea.
• Cloud Identity - Kudeatu GCP erabiltzaile, gailu eta aplikazio kontuak kontsola bakar batetik.
• Cloud HSM - gako kriptografikoen babesa.
• Cloud Key Management Service - gako kriptografikoen kudeaketa GCPn.
• VPC Zerbitzuaren Kontrola - Sortu perimetro seguru bat zure GCP baliabideen inguruan filtrazioetatik babesteko.
• Titan Security Key - phishing-aren aurkako babesa.

Modulu horietako askok BigQuery biltegira bidal daitezkeen segurtasun-gertaerak sortzen dituzte aztertzeko edo beste sistemetara esportatzeko, SIEM barne. Goian esan bezala, GCP aktiboki garatzen ari den plataforma bat da eta Google-k bere plataformarako informazio-segurtasun modulu berri batzuk garatzen ari da. Horien artean daude Event Threat Detection (orain beta-n eskuragarri), Stackdriver-en erregistroak eskaneatzen dituena baimenik gabeko jardueraren arrastoen bila (GuardDuty-ren antzekoa AWS-en), edo Policy Intelligence (alfa-n eskuragarri), politika adimendunak garatzeko aukera emango duena. GCP baliabideetarako sarbidea.

Hodeiko plataforma ezagunetan integratutako monitorizazio gaitasunen ikuspegi labur bat egin nuen. Baina ba al dituzu IaaS hornitzaileen erregistro "gordinak" lan egiteko gai diren espezialistak (guztiak ez daude prest AWS edo Azure edo Google-ren gaitasun aurreratuak erosteko)? Horrez gain, askok ezagutzen dute segurtasunaren arloan inoiz baino egiazkoagoa den “konfiantza, baina egiaztatu” esamoldea. Zenbateraino fidatzen zara informazioaren segurtasun-gertaerak bidaltzen dizkizuten hodeiko hornitzailearen gaitasun integratuak? Zenbat arreta jartzen dute informazioaren segurtasunean?

Batzuetan, merezi du hodeiko azpiegitura gainjarrietarako monitorizazio irtenbideak aztertzea, hodeian integratutako segurtasuna osatu dezaketenak, eta, batzuetan, horrelako irtenbideak dira hodeian ostatatutako datuen eta aplikazioen segurtasuna ezagutzeko aukera bakarra. Horrez gain, erosoagoak dira, hodeiko hornitzaile ezberdinen hodei-zerbitzu ezberdinek sortutako beharrezko erregistroak aztertzeko zeregin guztiak hartzen baitituzte. Gainjartze-soluzio horren adibide bat Cisco Stealthwatch Cloud da, zeregin bakarrera bideratzen dena: hodeiko inguruneetan informazioaren segurtasunaren anomaliak monitorizatzea, Amazon AWS, Microsoft Azure eta Google Cloud Platform ez ezik, hodei pribatuak ere barne.

Adibidea: Informazioaren segurtasunaren jarraipena Stealthwatch Cloud erabiliz

AWS plataforma informatiko malgu bat eskaintzen du, baina malgutasun horrek erraztu egiten die enpresei segurtasun arazoak eragiten dituzten akatsak egitea. Eta partekatutako informazioaren segurtasun ereduak horretan bakarrik laguntzen du. Hodeian software exekutatzen ahultasun ezezagunekin (ezagunei aurre egin diezaiekete, adibidez, AWS Inspector edo GCP Cloud Scanner-ek), pasahitz ahulak, konfigurazio okerrak, barneko pertsonak, etab. Eta hori guztia hodeiko baliabideen portaeran islatzen da, Cisco Stealthwatch Cloud-ek kontrolatu dezakeena, hau da, informazioaren segurtasuna kontrolatzeko eta erasoak detektatzeko sistema bat. hodei publikoak eta pribatuak.

Cisco Stealthwatch Cloud-en ezaugarri nagusietako bat entitateak modelatzeko gaitasuna da. Harekin, zure hodeiko baliabide bakoitzaren software-eredu bat (hau da, ia denbora errealeko simulazioa) sor dezakezu (berdin du AWS, Azure, GCP edo beste zerbait den). Hauek zerbitzariak eta erabiltzaileak izan ditzakete, baita zure hodeiko inguruneko baliabide motak ere, hala nola, segurtasun taldeak eta eskala automatikoko taldeak. Eredu hauek hodeiko zerbitzuek emandako datu-korronte egituratuak erabiltzen dituzte sarrera gisa. Adibidez, AWSrentzat VPC Flow Logs, AWS CloudTrail, AWS CloudWatch, AWS Config, AWS Inspector, AWS Lambda eta AWS IAM izango lirateke. Entitatearen modelizazioak automatikoki antzematen du zure baliabideen rola eta portaera (hodeiko jarduera guztien profila egiteaz hitz egin dezakezu). Rol hauek Android edo Apple gailu mugikorra, Citrix PVS zerbitzaria, RDP zerbitzaria, posta-atebidea, VoIP bezeroa, terminal zerbitzaria, domeinu-kontrolatzailea, etab. Ondoren, haien portaera etengabe kontrolatzen du, jokabide arriskutsuak edo segurtasunerako arriskuak noiz gertatzen diren zehazteko. Pasahitzak asmatzea, DDoS erasoak, datuen ihesak, urruneko sarbidea ilegala, kode maltzurren jarduera, ahultasunen azterketa eta beste mehatxu batzuk identifikatu ditzakezu. Adibidez, hauxe da zure erakundearentzat (Hego Korea) Kubernetes kluster batera SSH bidez urruneko sarbide saiakera bat detektatzeak:

Eta honelakoa da Postgress datu-basetik aurrez elkarrekintzarik topatu ez dugun herrialde batera egindako ustezko informazioa:

Azkenik, hauxe da Txinatik eta Indonesiatik kanpo urruneko gailu batetik egindako SSH saiakera huts gehiegi:

Edo, demagun VPC-ko zerbitzariaren instantzia, politikaren arabera, ez dela inoiz urruneko saioa hasteko helmuga izango. Demagun, gainera, ordenagailu honek urruneko saio-hasiera bat izan duela suebakiaren arauen gidalerroaren aldaketa oker baten ondorioz. Entitateak modelatzeko funtzioak jarduera hau detektatu eta jakinaraziko du ("Urrutiko sarbidea ezohikoa") ia denbora errealean eta AWS CloudTrail, Azure Monitor edo GCP Stackdriver Logging API dei espezifikora zuzenduko du (erabiltzaile-izena, data eta ordua barne, beste xehetasun batzuen artean). ). horrek ITU arauaren aldaketa bultzatu zuen. Eta, ondoren, informazio hori SIEM-era bidal daiteke aztertzeko.

Cisco Stealthwatch Cloud-ek onartzen duen edozein hodei-ingurunetan antzeko gaitasunak ezartzen dira:

Entitateen modelizazioa segurtasun-automatizazio modu paregabea da, eta aurretik ezezaguna den arazo bat aurki dezake zure pertsonekin, prozesuekin edo teknologiarekin. Adibidez, besteak beste, segurtasun arazoak detektatzeko aukera ematen du:

• Norbaitek aurkitu al du atzeko aterik erabiltzen dugun softwarean?
• Ba al dago hirugarrenen software edo gailurik gure hodeian?
• Baimendutako erabiltzaileak pribilegioak abusatzen ditu?
• Urrutiko sarbidea edo baliabideak nahi gabe erabiltzea ahalbidetzen duen konfigurazio-errorerik egon al da?
• Gure zerbitzarietako datu-isurketarik al dago?
• Norbait kokapen geografiko atipiko batetik gurekin konektatzen saiatzen ari al zen?
• Gure hodeia kode maltzurrez kutsatuta al dago?

Detektaturiko informazioaren segurtasun-gertaera bat dagokion txartel baten moduan bidal daiteke Slack-era, Cisco Spark-era, PagerDuty gertakariak kudeatzeko sistemara, eta hainbat SIEMetara ere bidali daiteke, Splunk edo ELK barne. Laburbilduz, esan dezakegu zure enpresak hodei anitzeko estrategia erabiltzen badu eta ez bada hodeiko hornitzaile bakarrera mugatzen, goian deskribatutako informazioaren segurtasunaren monitorizazio gaitasunak, orduan Cisco Stealthwatch Cloud erabiltzea aukera ona dela monitorizazio multzo bateratu bat lortzeko. Hodeiko jokalari nagusien gaitasunak - Amazon, Microsoft eta Google. Interesgarriena da Stealthwatch Cloud-en prezioak AWS, Azure edo GCP-en informazioaren segurtasuna kontrolatzeko lizentzia aurreratuekin alderatzen badituzu, agian Cisco irtenbidea Amazon, Microsoft-en integratutako gaitasunak baino are merkeagoa izango da. eta Google irtenbideak. Paradoxikoa da, baina egia da. Eta zenbat eta hodei gehiago eta haien gaitasun gehiago erabili, orduan eta nabariagoa izango da irtenbide bateratuaren abantaila.

Gainera, Stealthwatch Cloud-ek zure erakundean inplementatutako hodei pribatuak kontrola ditzake, adibidez, Kubernetes-eko edukiontzietan oinarrituta edo sareko ekipoetan (nahiz ekoitzitako), AD datuetan edo DNS zerbitzarietan eta abarretan jasotako Netflow fluxuen edo sareko trafikoaren jarraipena eginez. Datu horiek guztiak Cisco Talosek, zibersegurtasun mehatxuen ikertzaileen munduko gobernuz kanpoko talderik handienak, bildutako Mehatxuen Adimenaren informazioarekin aberastuko dira.

Horri esker, zure enpresak erabil ditzakeen hodei publiko zein hibridoetarako monitorizazio sistema bateratua ezar dezakezu. Ondoren, bildutako informazioa Stealthwatch Cloud-en integratutako gaitasunak erabiliz aztertu daiteke edo zure SIEMra bidali (Splunk, ELK, SumoLogic eta beste hainbat onartzen dira lehenespenez).

Honekin, artikuluaren lehen zatia osatuko dugu, non IaaS/PaaS plataformen informazioaren segurtasuna kontrolatzeko barneko eta kanpoko tresnak berrikusi ditudanak, hodei-inguruneetan gertatzen diren gorabeherak azkar detektatzeko eta erantzuteko aukera ematen baitute. gure enpresak aukeratu du. Bigarren zatian, gaiarekin jarraituko dugu eta SaaS plataformak monitorizatzeko aukerak aztertuko ditugu Salesforce eta Dropbox-en adibidea erabiliz, eta dena laburtzen eta biltzen ere saiatuko gara hodeiko hornitzaile ezberdinentzako informazio-segurtasunaren monitorizazio sistema bateratua sortuz.

Iturria: www.habr.com