Gero eta erabiltzaile gehiagok beren IT azpiegitura osoa hodei publikora eramaten dute. Hala ere, birusen aurkako kontrola bezeroaren azpiegituran nahikoa ez bada, ziber-arrisku larriak sortzen dira. Praktikak erakusten du lehendik dauden birusen %80a ezin hobeto bizi dela ingurune birtualean. Argitalpen honetan hodei publikoan IT baliabideak nola babestu eta antibirus tradizionalak zergatik ez diren guztiz egokiak helburu horietarako hitz egingo dugu.
Hasteko, esango dizugu nola sortu ginen birusen aurkako ohiko babes tresnak ez direla egokiak hodei publikorako eta baliabideak babesteko beste ikuspegi batzuk behar direla.
Lehenik eta behin, hornitzaileek, oro har, beharrezko neurriak ematen dituzte hodeiko plataformak maila altuan babestuta daudela ziurtatzeko. Adibidez, #CloudMTSn sareko trafiko guztia aztertzen dugu, gure hodeiko segurtasun sistemen erregistroak kontrolatzen ditugu eta aldian-aldian pentestak egiten ditugu. Banakako bezeroei esleitutako hodei-segmentuak ere modu seguruan babestu behar dira.
Bigarrenik, ziber-arriskuei aurre egiteko aukera klasikoak makina birtual bakoitzean birusen aurkako eta birusen aurkako kudeaketa tresnak instalatzea dakar. Hala ere, makina birtualen kopuru handiarekin, praktika hau ez da eraginkorra izan eta baliabide informatiko kopuru handiak behar ditu, horrela bezeroaren azpiegitura gehiago kargatzen du eta hodeiaren errendimendu orokorra murrizten du. Hau ezinbesteko baldintza bihurtu da bezeroen makina birtualen birusen aurkako babes eraginkorra eraikitzeko ikuspegi berriak bilatzeko.
Gainera, merkatuan dauden birusen aurkako irtenbide gehienak ez daude egokituta hodei publikoko ingurune batean IT baliabideak babesteko arazoak konpontzeko. Oro har, pisu handiko EPP irtenbideak (Endpoint Protection Platforms) dira, eta, gainera, ez dute beharrezko pertsonalizaziorik eskaintzen hodeiko hornitzailearen bezero aldean.
Bistakoa da birusen aurkako soluzio tradizionalak ez direla hodeian lan egiteko oso egokiak, eguneratze eta eskaneatu bitartean azpiegitura birtuala serio kargatzen baitute eta, gainera, ez dute roletan oinarritutako kudeaketa eta ezarpenak behar diren mailarik. Ondoren, zehatz-mehatz aztertuko dugu hodeiak birusen aurkako babeserako ikuspegi berriak zergatik behar dituen.
Hodei publiko batean antibirus batek egin beharko lukeena
Beraz, errepara diezaiegun ingurune birtualean lan egitearen berezitasunei:
Eguneratzeen eta programatutako eskaneatu masiboen eraginkortasuna. Antibirus tradizional bat erabiltzen duten makina birtual kopuru esanguratsu batek eguneraketa bat hasten badu aldi berean, eguneratzeen "ekaitza" deritzona gertatuko da hodeian. Hainbat makina birtual hartzen dituen ESXi ostalari baten boterea agian ez da nahikoa lehenespenez exekutatzen diren antzeko zereginen barra-barra kudeatzeko. Hodei-hornitzailearen ikuspuntutik, horrelako arazo batek ESXi ostalari batzuen karga gehigarriak ekar ditzake, eta horrek, azken finean, hodeiko azpiegitura birtualaren errendimendua jaitsiko du. Horrek, besteak beste, hodeiko beste bezero batzuen makina birtualen errendimenduan eragina izan dezake. Antzeko egoera bat sor daiteke eskaneatu masibo bat abiarazten denean: disko sistemak erabiltzaile ezberdinen antzeko eskaera askoren aldi berean prozesatzeak hodei osoaren errendimenduari eragin negatiboa izango du. Probabilitate handiarekin, biltegiratze sistemaren errendimenduaren murrizketak bezero guztiei eragingo die. Halako karga bapatekoek ez dute ez hornitzailea ez bere bezeroak atsegin, hodeiko "bizilagunei" eragiten baitiete. Ikuspegi honetatik, birusen aurkako tradizionalak arazo handia sor dezake.
Berrogeialdi segurua. Sisteman birus batekin kutsatuta egon daitekeen fitxategi edo dokumentu bat hautematen bada, berrogeialdira bidaliko da. Jakina, kutsatutako fitxategi bat berehala ezabatu daiteke, baina hori askotan ez da onargarria enpresa gehienentzat. Hornitzailearen hodeian lan egiteko egokituta ez dauden enpresen antibirus korporatiboek, oro har, berrogei-eremu komun bat dute - infektatutako objektu guztiak bertan erortzen dira. Adibidez, enpresako erabiltzaileen ordenagailuetan aurkitzen direnak. Hodei-hornitzailearen bezeroak beren segmentuetan (edo maizterrak) "bizi" dira. Segmentu hauek opakuak eta isolatuak dira: bezeroek ez dakite elkarren berri eta, noski, ez dute ikusten besteek hodeian zer ostatu hartzen duten. Jakina, hodeian birusen aurkako erabiltzaile guztiek sartuko duten berrogeialdi orokorrak informazio konfidentziala edo sekretu komertziala duen dokumentu bat sar dezake. Hau onartezina da hornitzailearentzat eta bere bezeroentzat. Hori dela eta, irtenbide bakarra egon daiteke: bere segmentuko bezero bakoitzarentzako berrogei pertsonala, non hornitzaileak ez beste bezeroek sarbiderik ez duten.
Segurtasun-politika indibidualak. Hodeiko bezero bakoitza enpresa bereizia da, eta bere IT sailak bere segurtasun-politikak ezartzen ditu. Adibidez, administratzaileek eskaneatzeko arauak definitzen dituzte eta birusen aurkako azterketak programatzen dituzte. Horren arabera, erakunde bakoitzak bere kontrol-zentroa izan behar du birusen aurkako politikak konfiguratzeko. Aldi berean, zehaztutako ezarpenek ez lukete hodeiko beste bezeroei eragin behar, eta hornitzaileak egiaztatu ahal izan beharko luke, adibidez, birusen aurkako eguneraketak normaltasunez egiten direla bezeroen makina birtual guztietan.
Fakturazio eta lizentzien antolaketa. Hodei-ereduak malgutasuna du ezaugarri eta bezeroak erabiltzen zituen baliabide informatikoen kopurua soilik ordaintzea dakar. Beharra badago, adibidez, urtaroaren ondorioz, baliabideen kopurua azkar handitu edo murriztu daiteke - guztia konputazio-potentziaren egungo beharren arabera. Antibirus tradizionala ez da hain malgua - normalean, bezeroak urtebeterako lizentzia bat erosten du zerbitzari edo lan-estazio kopuru baterako. Hodeiko erabiltzaileek aldizka deskonektatu eta konektatzen dituzte makina birtual osagarriak, unean uneko beharren arabera; horren arabera, birusen aurkako lizentziek eredu bera onartu behar dute.
Bigarren galdera da lizentziak zer estaliko duen zehazki. Antibirus tradizionalak zerbitzari edo lan-estazio kopuruaren araberako lizentzia du. Babestutako makina birtualen kopuruan oinarritutako lizentziak ez dira guztiz egokiak hodeiko ereduan. Bezeroak edozein makina birtual sor ditzake erabilgarri dauden baliabideetatik, adibidez, bost edo hamar makina. Zenbaki hau ez da etengabea bezero gehienentzat; ezin dugu hornitzaile gisa bere aldaketen jarraipena egin. Ez dago PUZaren bidez lizentziak emateko aukera teknikorik: bezeroek prozesadore birtualak (vCPU) jasotzen dituzte, lizentziak emateko erabili behar direnak. Horrela, birusen aurkako babes-eredu berriak bezeroak birusen aurkako lizentziak jasoko dituen behar den vCPU kopurua zehazteko gaitasuna barne hartu beharko luke.
Legeria betetzea. Puntu garrantzitsu bat, erabilitako soluzioek erregulatzailearen eskakizunak betetzen direla ziurtatu behar baitute. Adibidez, hodeiko "egoiliarrek" datu pertsonalekin lan egiten dute maiz. Kasu honetan, hornitzaileak hodei-segmentu bereizi bat izan behar du, Datu Pertsonalen Legearen eskakizunak guztiz betetzen dituena. Orduan, enpresek ez dute datu pertsonalekin lan egiteko sistema osoa modu independentean "eraiki" beharrik: ekipo ziurtatuak erosi, konektatu eta konfiguratu eta ziurtagiria jaso. Bezero horien ISPD ziber babesteko, antibirusak Errusiako legediaren baldintzak ere bete behar ditu eta FSTEC ziurtagiria izan behar du.
Hodei publikoan birusen aurkako babesak bete behar dituen derrigorrezko irizpideak aztertu ditugu. Ondoren, gure esperientzia partekatuko dugu birusen aurkako irtenbide bat hornitzailearen hodeian lan egiteko egokitzeko.
Nola egin ditzakezu lagunak birusen eta hodeiaren artean?
Gure esperientziak erakutsi duenez, deskribapenean eta dokumentazioan oinarritutako irtenbide bat aukeratzea gauza bat da, baina dagoeneko lanean ari den hodei-ingurunean praktikan ezartzea guztiz bestelako zeregina da konplexutasunaren aldetik. Praktikan zer egin genuen eta hornitzailearen hodei publikoan funtzionatzeko antibirusa nola egokitu genuen kontatuko dizugu. Birusen aurkako irtenbidearen saltzailea Kaspersky izan zen, eta haren zorroak hodeiko inguruneetarako birusen aurkako babeserako irtenbideak ditu. "Kaspersky Security for Virtualization" (Argi Agentea) ezarri genuen.
Kaspersky Security Center kontsola bakarra barne hartzen du. Agente argia eta segurtasun makina birtualak (SVM, Security Virtual Machine) eta KSC integrazio zerbitzaria.
Kaspersky irtenbidearen arkitektura aztertu eta lehen probak saltzaileen ingeniariekin batera egin ondoren, zerbitzua hodeian integratzeari buruzko galdera sortu zen. Lehen ezarpena elkarrekin egin zen Moskuko hodei gunean. Eta horretaz konturatu ginen.
Sareko trafikoa minimizatzeko, ESXi ostalari bakoitzean SVM bat jartzea eta SVM ESXi ostalariekin "lotzea" erabaki zen. Kasu honetan, babestutako makina birtualen agente argiak exekutatzen ari diren ESXi ostalari zehatzaren SVMra sartzen dira. KSC nagusirako administrazio maizter bereizi bat hautatu zen. Ondorioz, menpeko KSCak banakako bezero bakoitzaren maizterretan kokatzen dira eta kudeaketa-segmentuan kokatutako goi mailako KSCra zuzentzen dira. Eskema honek bezeroen maizterrengan sortzen diren arazoak azkar konpontzeko aukera ematen du.
Birusen aurkako konponbidearen beraren osagaiak planteatzeko arazoez gain, sareko interakzioa antolatzeko zeregina izan genuen VxLAN osagarrien sorreraren bidez. Eta hasiera batean irtenbidea hodei pribatudun enpresa-bezeroentzat pentsatua bazen ere, NSX Edge-ren ingeniaritza adituaren eta malgutasun teknologikoaren laguntzarekin maizterrak eta lizentziak bereiztearekin lotutako arazo guztiak konpondu ahal izan genituen.
Kaspersky ingeniariekin elkarlanean aritu gara. Horrela, soluzio-arkitektura sistemaren osagaien arteko sare-interakzioari dagokionez aztertzeko prozesuan, argi-agenteetatik SVMrako sarbideaz gain, feedbacka ere beharrezkoa dela ikusi zen -SVMtik argi-eragileetara-. Sare-konektibitate hau ez da posible maizter anitzeko ingurune batean, hodeiko maizter desberdinetan makina birtualen sare-ezarpen berdinak izateko aukera dagoelako. Hori dela eta, gure eskaeraren arabera, saltzaileko lankideek argi-agentearen eta SVMren arteko sare-interakzioaren mekanismoa birplanteatu zuten, SVMtik agente argietara sare-konektibitatearen beharra ezabatzeko.
Irtenbidea Moskuko hodei gunean zabaldu eta probatu ondoren, beste gune batzuetan errepikatu dugu, hodei-segmentu ziurtatua barne. Zerbitzua orain herrialdeko eskualde guztietan dago eskuragarri.
Informazioaren segurtasun irtenbide baten arkitektura ikuspegi berri baten esparruan
Hodei publikoko ingurune batean birusen aurkako irtenbide baten funtzionamendu eskema orokorra honako hau da:
Birusen aurkako irtenbide baten funtzionamendu eskema hodei publikoko ingurune batean #CloudMTS
Deskriba ditzagun soluzioaren elementu indibidualen funtzionamenduaren ezaugarriak hodeian:
β’ Kontsola bakarra, bezeroei babes-sistema zentralki kudeatzea ahalbidetzen diena: azterketak egin, eguneraketak kontrolatu eta berrogei-eremuak kontrolatu. Zure segmentuan segurtasun-politika indibidualak konfiguratu daitezke.
Kontuan izan behar da zerbitzu hornitzaile bat garen arren, ez ditugula bezeroek ezarritako ezarpenak oztopatzen. Egin dezakegun gauza bakarra segurtasun-politikak estandarrekin berrezartzea da, birkonfigurazioa beharrezkoa bada. Adibidez, hori beharrezkoa izan daiteke bezeroak ustekabean estutu baditu edo nabarmen ahuldu baditu. Enpresa batek beti jaso dezake politika lehenetsiak dituen kontrol-zentro bat, eta gero modu independentean konfigura dezake. Kaspersky Security Center-en desabantaila da gaur egun plataforma Microsoft sistema eragilerako soilik dagoela erabilgarri. Agente arinak Windows zein Linux makinekin lan egin dezaketen arren. Hala ere, Kaspersky Lab-ek etorkizun hurbilean KSC Linux OS pean lan egingo duela agintzen du. KSCren funtzio garrantzitsuenetako bat berrogeialdia kudeatzeko gaitasuna da. Gure hodeiko bezero-enpresa bakoitzak pertsonala du. Ikuspegi honek birus batek kutsatutako dokumentu bat ustekabean publikoki ikusgai bihurtzen diren egoerak ezabatzen ditu, berrogeialdi orokorra duen antibirus korporatibo klasiko baten kasuan gerta daitekeen bezala.
β’ Eragile leunak. Eredu berriaren baitan, Kaspersky Security agente arin bat instalatzen da makina birtual bakoitzean. Horrek birusen aurkako datu-basea VM bakoitzean gordetzeko beharra ezabatzen du, eta horrek behar den diskoko espazioa murrizten du. Zerbitzua hodeiko azpiegiturarekin integratuta dago eta SVM bidez funtzionatzen du, eta horrek ESXi ostalariaren makina birtualen dentsitatea eta hodeiko sistema osoaren errendimendua areagotzen du. Agente argiak makina birtual bakoitzeko ataza-ilara bat eraikitzen du: fitxategi-sistema, memoria, etab egiaztatu. Baina SVM arduratzen da eragiketa hauek egiteaz, eta horietaz gero hitz egingo dugu. Agenteak suebaki gisa ere funtzionatzen du, segurtasun-politikak kontrolatzen ditu, kutsatutako fitxategiak berrogeialdira bidaltzen ditu eta instalatuta dagoen sistema eragilearen "osasuna" orokorra kontrolatzen du. Hori guztia lehen aipatutako kontsola bakarra erabiliz kudeatu daiteke.
β’ Segurtasun Makina Birtuala. Baliabide intentsiboko zeregin guztiak (birusen aurkako datu-basearen eguneraketak, programatutako azterketak) Segurtasun Makina Birtual (SVM) bereizi batek kudeatzen ditu. Bera da birusen aurkako motor oso baten eta horren datu-baseen funtzionamenduaren arduraduna. Enpresa baten IT azpiegiturak hainbat SVM izan ditzake. Planteamendu honek sistemaren fidagarritasuna areagotzen du: makina batek huts egiten badu eta hogeita hamar segundotan erantzuten ez badu, agenteak automatikoki beste baten bila hasten dira.
β’ KSC integrazio zerbitzaria. KSC nagusiaren osagaietako bat, bere SVM-ak agente argiei esleitzen dizkiena bere ezarpenetan zehaztutako algoritmoaren arabera, eta SVM-en erabilgarritasuna ere kontrolatzen du. Horrela, software modulu honek karga orekatzea eskaintzen du hodeiko azpiegiturako SVM guztietan.
Hodeian lan egiteko algoritmoa: azpiegituraren karga murriztea
Oro har, birusen aurkako algoritmoa honela irudikatu daiteke. Agenteak makina birtualeko fitxategira sartzen du eta egiaztatzen du. Egiaztapenaren emaitza SVM epaien datu-base zentralizatu komun batean gordetzen da (Shared Cache izenekoa), eta sarrera bakoitzak fitxategi-lagin bakarra identifikatzen du. Ikuspegi honek fitxategi bera hainbat aldiz jarraian eskaneatzen ez dela ziurtatzeko aukera ematen du (adibidez, makina birtual ezberdinetan ireki bazen). Fitxategia berriro aztertzen da aldaketak egin badira edo eskaneatzea eskuz hasi bada soilik.
Hornitzailearen hodeian birusen aurkako irtenbide bat ezartzea
Irudiak hodeian irtenbidearen ezarpenaren diagrama orokorra erakusten du. Kaspersky Security Center nagusia hodeiko kontrol-eremuan zabaltzen da, eta ESXi ostalari bakoitzean SVM indibidual bat zabaltzen da KSC integrazio-zerbitzaria erabiliz (ESXi ostalari bakoitzak bere SVM du VMware vCenter Server ezarpen bereziekin erantsita). Bezeroek beren hodeiko segmentuetan lan egiten dute, non agenteak dituzten makina birtualak dauden. KSC nagusiaren menpe dauden KSC zerbitzari indibidualen bidez kudeatzen dira. Makina birtual kopuru txiki bat babestea beharrezkoa bada (gehienez 5), bezeroari KSC zerbitzari berezi baten kontsola birtualerako sarbidea eman ahal izango zaio. Bezeroen KSCen eta KSC nagusien arteko sareko interakzioa, baita agente argien eta SVMen artean, NAT erabiliz egiten da EdgeGW bezeroaren bideratzaile birtualen bidez.
Gure kalkuluen eta saltzaileko lankideen proben emaitzen arabera, Light Agent-ek bezeroen azpiegitura birtualen karga % 25 gutxi gorabehera murrizten du (birusen aurkako software tradizionala erabiltzen duen sistema batekin alderatuta). Bereziki, ingurune fisikoetarako Kaspersky Endpoint Security (KES) antibirus estandarrak zerbitzariaren CPU denbora ia bikoitza (% 2,95) kontsumitzen du agenteetan oinarritutako birtualizazio irtenbide arin batek baino (% 1,67).
CPU kargaren konparazio taula
Antzeko egoera ikusten da diskoaren idazketa sarbideen maiztasunarekin: antibirus klasiko batentzat 1011 IOPS da, hodeiko antibirusarentzat 671 IOPS.
Diskoaren sarbide-tasaren konparazio grafikoa
Errendimendu onurak azpiegituren egonkortasuna mantentzea eta konputazio-potentzia eraginkorrago erabiltzea ahalbidetzen du. Hodei publikoko ingurune batean lan egiteko egokituz, irtenbideak ez du hodeiaren errendimendua murrizten: fitxategiak zentralki egiaztatzen ditu eta eguneraketak deskargatzen ditu, karga banatuz. Horrek esan nahi du, alde batetik, hodeiko azpiegiturari dagozkion mehatxuak ez direla galduko, bestetik, makina birtualen baliabide-eskakizunak batez beste %25 murriztuko dira ohiko antibirus batekin alderatuta.
Funtzionalitateari dagokionez, bi soluzioak elkarren oso antzekoak dira: behean konparazio taula bat dago. Hala ere, hodeian, goiko proben emaitzek erakusten dutenez, oraindik ere optimoa da ingurune birtualetarako irtenbide bat erabiltzea.
Planteamendu berriaren esparruko tarifei buruz. vCPU kopuruaren arabera lizentziak lortzeko aukera ematen digun eredu bat erabiltzea erabaki genuen. Horrek esan nahi du lizentzia kopurua vCPU kopuruaren berdina izango dela. Zure antibirusa probatu dezakezu eskaera bat utzita .
Hodeiko gaiei buruzko hurrengo artikuluan, hodeiko WAFen bilakaerari buruz hitz egingo dugu eta zer den hobe aukeratzea: hardwarea, softwarea edo hodeia.
Testua #CloudMTS hodeiko hornitzailearen langileek prestatu dute: Denis Myagkov, arkitekto nagusia eta Alexey Afanasyev, informazio-segurtasun produktuen garapeneko arduraduna.
Iturria: www.habr.com