کاربران بیشتر و بیشتری کل زیرساخت فناوری اطلاعات خود را به ابر عمومی می آورند. با این حال، اگر کنترل آنتی ویروس در زیرساخت مشتری ناکافی باشد، خطرات سایبری جدی ایجاد می شود. تمرین نشان می دهد که تا 80٪ از ویروس های موجود در یک محیط مجازی کاملاً زندگی می کنند. در این پست در مورد نحوه محافظت از منابع IT در ابر عمومی و اینکه چرا آنتی ویروس های سنتی کاملاً برای این اهداف مناسب نیستند صحبت خواهیم کرد.
برای شروع، ما به شما خواهیم گفت که چگونه به این ایده رسیدیم که ابزارهای معمول محافظت از آنتی ویروس برای ابر عمومی مناسب نیستند و رویکردهای دیگری برای محافظت از منابع مورد نیاز است.
اول، ارائه دهندگان به طور کلی اقدامات لازم را برای اطمینان از محافظت از پلت فرم های ابری در سطح بالایی ارائه می دهند. به عنوان مثال، در #CloudMTS ما تمام ترافیک شبکه را تجزیه و تحلیل میکنیم، گزارشهای سیستمهای امنیتی ابر خود را نظارت میکنیم و به طور منظم پنتستها را انجام میدهیم. بخشهای ابری اختصاص داده شده به مشتریان فردی نیز باید به طور ایمن محافظت شوند.
در مرحله دوم، گزینه کلاسیک برای مبارزه با خطرات سایبری شامل نصب یک آنتی ویروس و ابزارهای مدیریت آنتی ویروس بر روی هر ماشین مجازی است. با این حال، با تعداد زیادی ماشینهای مجازی، این عمل میتواند بیاثر باشد و به منابع محاسباتی قابلتوجهی نیاز داشته باشد، در نتیجه زیرساخت مشتری را بارگذاری کرده و عملکرد کلی ابر را کاهش میدهد. این به یک پیش نیاز کلیدی برای جستجوی رویکردهای جدید برای ایجاد محافظت موثر ضد ویروس برای ماشین های مجازی مشتری تبدیل شده است.
علاوه بر این، اکثر راه حل های آنتی ویروس موجود در بازار برای حل مشکلات حفاظت از منابع IT در یک محیط ابر عمومی سازگار نیستند. به عنوان یک قاعده، آنها راه حل های سنگین وزن EPP (پلتفرم های محافظت نقطه پایانی) هستند، که علاوه بر این، سفارشی سازی لازم را در سمت مشتری ارائه دهنده ابر ارائه نمی دهند.
بدیهی است که راه حل های آنتی ویروس سنتی برای کار در فضای ابری مناسب نیستند، زیرا آنها به طور جدی زیرساخت مجازی را در حین به روز رسانی و اسکن بارگیری می کنند و همچنین سطوح لازم مدیریت و تنظیمات مبتنی بر نقش را ندارند. در مرحله بعد، ما به تفصیل تجزیه و تحلیل خواهیم کرد که چرا ابر به رویکردهای جدیدی برای محافظت در برابر ویروس نیاز دارد.
کاری که یک آنتی ویروس در یک ابر عمومی باید بتواند انجام دهد
بنابراین، بیایید به ویژگی های کار در یک محیط مجازی توجه کنیم:
کارایی به روز رسانی ها و اسکن های انبوه برنامه ریزی شده. اگر تعداد قابل توجهی از ماشینهای مجازی با استفاده از یک آنتی ویروس سنتی بهروزرسانی را همزمان آغاز کنند، به اصطلاح «طوفان» بهروزرسانیها در ابر رخ میدهد. قدرت یک هاست ESXi که میزبان چندین ماشین مجازی است ممکن است برای مدیریت رگبار کارهای مشابه که به طور پیش فرض اجرا می شوند کافی نباشد. از دیدگاه ارائه دهنده ابر، چنین مشکلی می تواند منجر به بارهای اضافی بر روی تعدادی از هاست های ESXi شود که در نهایت منجر به افت عملکرد زیرساخت مجازی ابری خواهد شد. این ممکن است، در میان چیزهای دیگر، بر عملکرد ماشینهای مجازی سایر مشتریان ابری تأثیر بگذارد. وضعیت مشابهی ممکن است هنگام راهاندازی یک اسکن انبوه ایجاد شود: پردازش همزمان بسیاری از درخواستهای مشابه از کاربران مختلف توسط سیستم دیسک بر عملکرد کل ابر تأثیر منفی میگذارد. با احتمال زیاد، کاهش عملکرد سیستم ذخیره سازی بر همه مشتریان تأثیر می گذارد. چنین بارهای ناگهانی نه ارائه دهنده و نه مشتریان او را خوشحال نمی کند، زیرا بر "همسایگان" در ابر تأثیر می گذارد. از این منظر آنتی ویروس سنتی می تواند مشکل بزرگی ایجاد کند.
قرنطینه ایمن اگر فایل یا سندی که به طور بالقوه آلوده به ویروس است در سیستم شناسایی شود، به قرنطینه فرستاده می شود. البته، یک فایل آلوده را می توان بلافاصله حذف کرد، اما این اغلب برای اکثر شرکت ها قابل قبول نیست. آنتی ویروس های شرکتی که برای کار در ابر ارائه دهنده سازگار نیستند، به عنوان یک قاعده، دارای یک منطقه قرنطینه مشترک هستند - همه اشیاء آلوده در آن قرار می گیرند. به عنوان مثال، مواردی که در رایانه های کاربران شرکت یافت می شوند. مشتریان ارائهدهنده ابر در بخشهای خود (یا مستاجران) «زندگی» میکنند. این بخشها غیرشفاف و مجزا هستند: مشتریان از یکدیگر اطلاعی ندارند و البته نمیبینند که دیگران چه چیزی را در فضای ابری میزبانی میکنند. بدیهی است که قرنطینه عمومی، که برای همه کاربران آنتی ویروس در فضای ابری قابل دسترسی خواهد بود، به طور بالقوه می تواند شامل یک سند حاوی اطلاعات محرمانه یا یک اسرار تجاری باشد. این برای ارائه دهنده و مشتریان آن غیرقابل قبول است. بنابراین، تنها یک راه حل می تواند وجود داشته باشد - قرنطینه شخصی برای هر مشتری در بخش خود، جایی که نه ارائه دهنده و نه سایر مشتریان دسترسی ندارند.
سیاست های امنیتی فردی هر مشتری در فضای ابری یک شرکت جداگانه است که بخش فناوری اطلاعات آن سیاست های امنیتی خود را تعیین می کند. به عنوان مثال، مدیران قوانین اسکن را تعریف می کنند و اسکن های ضد ویروس را برنامه ریزی می کنند. بر این اساس، هر سازمان باید مرکز کنترل خود را برای پیکربندی سیاست های آنتی ویروس داشته باشد. در عین حال، تنظیمات مشخص شده نباید بر سایر کلاینت های ابری تأثیر بگذارد و ارائه دهنده باید بتواند تأیید کند که به عنوان مثال، به روز رسانی آنتی ویروس به طور معمول برای همه ماشین های مجازی مشتری انجام می شود.
سازمان صدور صورت حساب و صدور مجوز. مدل ابری با انعطاف پذیری مشخص می شود و شامل پرداخت تنها برای مقدار منابع IT است که توسط مشتری استفاده شده است. اگر به عنوان مثال به دلیل فصلی بودن نیاز باشد، می توان به سرعت مقدار منابع را افزایش یا کاهش داد - همه اینها بر اساس نیازهای فعلی برای قدرت محاسباتی است. آنتی ویروس سنتی چندان انعطاف پذیر نیست - به عنوان یک قاعده، مشتری مجوز یک سال را برای تعداد از پیش تعیین شده سرور یا ایستگاه های کاری خریداری می کند. کاربران ابری به طور مرتب ماشین های مجازی اضافی را بسته به نیازهای فعلی خود قطع و وصل می کنند - بر این اساس، مجوزهای آنتی ویروس باید از همان مدل پشتیبانی کنند.
سوال دوم این است که مجوز دقیقا شامل چه مواردی می شود. آنتی ویروس سنتی بر اساس تعداد سرورها یا ایستگاه های کاری مجوز می گیرد. مجوزهای مبتنی بر تعداد ماشین های مجازی محافظت شده کاملاً در مدل ابری مناسب نیستند. مشتری می تواند از منابع موجود هر تعداد ماشین مجازی مناسب برای او ایجاد کند، به عنوان مثال، پنج یا ده ماشین. این عدد برای اکثر مشتریان ثابت نیست؛ ما به عنوان یک ارائه دهنده امکان ردیابی تغییرات آن را نداریم. هیچ امکان فنی برای مجوز توسط CPU وجود ندارد: مشتریان پردازنده های مجازی (vCPU) را دریافت می کنند که باید برای صدور مجوز استفاده شوند. بنابراین، مدل جدید حفاظت ضد ویروس باید شامل توانایی مشتری برای تعیین تعداد مورد نیاز VCPU باشد که برای آنها مجوزهای ضد ویروس دریافت می کند.
انطباق با قانون. یک نکته مهم، زیرا راه حل های مورد استفاده باید از انطباق با الزامات تنظیم کننده اطمینان حاصل کنند. به عنوان مثال، "ساکنان" ابر اغلب با داده های شخصی کار می کنند. در این مورد، ارائه دهنده باید یک بخش ابری تایید شده جداگانه داشته باشد که به طور کامل با الزامات قانون داده های شخصی مطابقت داشته باشد. سپس شرکت ها نیازی به "ساخت" مستقل کل سیستم برای کار با داده های شخصی ندارند: تجهیزات تایید شده را خریداری کنید، آن را متصل و پیکربندی کنید و تحت گواهینامه قرار بگیرید. برای محافظت سایبری از ISPD چنین مشتریانی، آنتی ویروس باید با الزامات قوانین روسیه مطابقت داشته باشد و دارای گواهی FSTEC باشد.
ما معیارهای اجباری را بررسی کردیم که محافظت از آنتی ویروس در ابر عمومی باید رعایت کند. در مرحله بعد، ما تجربه خود را در تطبیق یک راه حل آنتی ویروس برای کار در ابر ارائه دهنده به اشتراک خواهیم گذاشت.
چگونه می توانید بین آنتی ویروس و ابر دوست پیدا کنید؟
همانطور که تجربه ما نشان داده است، انتخاب یک راه حل بر اساس توضیحات و مستندات یک چیز است، اما پیاده سازی آن در عمل در یک محیط ابری که قبلاً کار می کند، از نظر پیچیدگی یک کار کاملاً متفاوت است. ما به شما خواهیم گفت که در عمل چه کردیم و چگونه آنتی ویروس را برای کار در ابر عمومی ارائه دهنده تطبیق دادیم. فروشنده راه حل ضد ویروس Kaspersky بود که مجموعه آن شامل راه حل های محافظت ضد ویروس برای محیط های ابری است. ما روی "Kaspersky Security for Virtualization" (عامل نور) قرار گرفتیم.
این شامل یک کنسول مرکز امنیتی Kaspersky است. عامل نور و ماشین های مجازی امنیتی (SVM، ماشین مجازی امنیتی) و سرور یکپارچه سازی KSC.
پس از مطالعه معماری راه حل کسپرسکی و انجام اولین آزمایشات به همراه مهندسان فروشنده، این سوال در مورد ادغام سرویس در فضای ابری مطرح شد. اولین پیاده سازی به طور مشترک در سایت ابری مسکو انجام شد. و این چیزی است که ما متوجه شدیم.
به منظور به حداقل رساندن ترافیک شبکه، تصمیم گرفته شد که یک SVM روی هر میزبان ESXi قرار داده شود و SVM را به هاست های ESXi گره بزنیم. در این حالت، عوامل نوری ماشینهای مجازی محافظتشده به SVM میزبان ESXi دقیقی که روی آن در حال اجرا هستند دسترسی پیدا میکنند. یک مستأجر اداری جداگانه برای KSC اصلی انتخاب شد. در نتیجه، KSCهای تابعه در مستاجران هر مشتری قرار دارند و به KSC برتر واقع در بخش مدیریت آدرس می دهند. این طرح به شما امکان می دهد تا به سرعت مشکلاتی را که در مستاجران مشتری ایجاد می شود حل کنید.
علاوه بر مشکلات مربوط به افزایش اجزای خود راه حل ضد ویروس، ما با وظیفه سازماندهی تعامل شبکه از طریق ایجاد VxLAN های اضافی روبرو بودیم. و اگرچه این راه حل در ابتدا برای مشتریان سازمانی با ابرهای خصوصی در نظر گرفته شده بود، با کمک هوش مهندسی و انعطاف پذیری فناوری NSX Edge ما توانستیم تمام مشکلات مربوط به جداسازی مستاجران و صدور مجوز را حل کنیم.
ما از نزدیک با مهندسان کسپرسکی کار کردیم. بنابراین، در فرآیند تجزیه و تحلیل معماری راه حل از نظر تعامل شبکه بین اجزای سیستم، مشخص شد که علاوه بر دسترسی از عوامل نور به SVM، بازخورد نیز ضروری است - از SVM به عوامل نور. این اتصال شبکه در یک محیط چند مستاجر به دلیل امکان تنظیمات شبکه یکسان ماشین های مجازی در مستاجران مختلف ابری امکان پذیر نیست. بنابراین، به درخواست ما، همکاران فروشنده مکانیسم تعامل شبکه بین عامل نور و SVM را از نظر حذف نیاز به اتصال شبکه از SVM به عوامل نور، دوباره کار کردند.
پس از استقرار و آزمایش راه حل در سایت ابری مسکو، ما آن را به سایت های دیگر، از جمله بخش ابری تایید شده، تکرار کردیم. این سرویس در حال حاضر در تمام مناطق کشور در دسترس است.
معماری یک راه حل امنیت اطلاعات در چارچوب یک رویکرد جدید
طرح کلی عملکرد یک راه حل آنتی ویروس در یک محیط ابر عمومی به شرح زیر است:
طرح عملکرد یک راه حل آنتی ویروس در یک محیط ابر عمومی #CloudMTS
اجازه دهید ویژگی های عملکرد عناصر منفرد راه حل در ابر را شرح دهیم:
• یک کنسول واحد که به مشتریان اجازه می دهد تا سیستم حفاظتی را به صورت مرکزی مدیریت کنند: اسکن ها را اجرا کنند، به روز رسانی ها را کنترل کنند و مناطق قرنطینه را نظارت کنند. پیکربندی سیاست های امنیتی فردی در بخش خود امکان پذیر است.
لازم به ذکر است که اگرچه ما یک ارائه دهنده خدمات هستیم، اما در تنظیمات تنظیم شده توسط مشتریان تداخلی نداریم. تنها کاری که میتوانیم انجام دهیم این است که در صورت نیاز به پیکربندی مجدد، سیاستهای امنیتی را به استانداردهای استاندارد بازنشانی کنیم. برای مثال، اگر مشتری به طور تصادفی آنها را سفت کرده یا به طور قابل توجهی آنها را ضعیف کرده باشد، ممکن است این کار ضروری باشد. یک شرکت همیشه میتواند یک مرکز کنترل با خطمشیهای پیشفرض دریافت کند، که سپس میتواند به طور مستقل پیکربندی کند. نقطه ضعف Kaspersky Security Center این است که این پلتفرم در حال حاضر فقط برای سیستم عامل مایکروسافت در دسترس است. اگرچه عوامل سبک وزن می توانند هم با ماشین های ویندوز و هم با لینوکس کار کنند. با این حال، آزمایشگاه کسپرسکی قول داده است که در آینده نزدیک KSC تحت سیستم عامل لینوکس کار خواهد کرد. یکی از وظایف مهم KSC توانایی مدیریت قرنطینه است. هر شرکت مشتری در ابر ما یک شرکت شخصی دارد. این رویکرد موقعیتهایی را که در آن سند آلوده به ویروس به طور تصادفی در معرض دید عموم قرار میگیرد، حذف میکند، همانطور که در مورد یک آنتیویروس کلاسیک شرکتی با قرنطینه عمومی اتفاق میافتد.
• عوامل خفیف. به عنوان بخشی از مدل جدید، یک عامل سبک وزن Kaspersky Security بر روی هر ماشین مجازی نصب شده است. این امر نیاز به ذخیره پایگاه داده آنتی ویروس در هر ماشین مجازی را از بین می برد که باعث کاهش فضای مصرفی دیسک می شود. این سرویس با زیرساخت ابری یکپارچه شده است و از طریق SVM کار می کند، که تراکم ماشین های مجازی را در هاست ESXi و عملکرد کل سیستم ابری را افزایش می دهد. عامل نور برای هر ماشین مجازی یک صف از وظایف ایجاد می کند: سیستم فایل، حافظه و غیره را بررسی کنید. اما SVM مسئول انجام این عملیات است که بعداً در مورد آنها صحبت خواهیم کرد. این عامل همچنین به عنوان یک دیوار آتش عمل می کند، سیاست های امنیتی را کنترل می کند، فایل های آلوده را به قرنطینه می فرستد و بر سلامت کلی سیستم عاملی که روی آن نصب شده است نظارت می کند. همه اینها را می توان با استفاده از کنسول واحدی که قبلا ذکر شد مدیریت کرد.
• ماشین مجازی امنیتی. تمام کارهایی که نیاز به منابع زیادی دارند (به روز رسانی پایگاه داده ضد ویروس، اسکن های برنامه ریزی شده) توسط یک ماشین مجازی امنیتی (SVM) جداگانه انجام می شود. او مسئول عملیات یک موتور ضد ویروس کامل و پایگاه داده برای آن است. زیرساخت فناوری اطلاعات یک شرکت ممکن است شامل چندین SVM باشد. این رویکرد قابلیت اطمینان سیستم را افزایش می دهد - اگر یک ماشین از کار بیفتد و به مدت سی ثانیه پاسخ ندهد، عوامل به طور خودکار شروع به جستجوی دیگری می کنند.
• سرور یکپارچه سازی KSC. یکی از اجزای اصلی KSC که SVM های خود را مطابق با الگوریتم مشخص شده در تنظیمات خود به عوامل نوری اختصاص می دهد و همچنین در دسترس بودن SVM ها را کنترل می کند. بنابراین، این ماژول نرم افزار تعادل بار را در تمام SVM های زیرساخت ابری فراهم می کند.
الگوریتم کار در ابر: کاهش بار روی زیرساخت
به طور کلی، الگوریتم آنتی ویروس را می توان به صورت زیر نشان داد. عامل به فایل موجود در ماشین مجازی دسترسی پیدا می کند و آن را بررسی می کند. نتیجه تأیید در یک پایگاه داده رأی متمرکز SVM (به نام حافظه پنهان مشترک) ذخیره می شود، که هر ورودی در آن یک نمونه فایل منحصر به فرد را شناسایی می کند. این رویکرد به شما امکان می دهد اطمینان حاصل کنید که یک فایل چندین بار پشت سر هم اسکن نمی شود (به عنوان مثال، اگر در ماشین های مجازی مختلف باز شده باشد). فایل فقط در صورتی دوباره اسکن می شود که تغییراتی در آن ایجاد شده باشد یا اسکن به صورت دستی شروع شده باشد.
پیاده سازی راه حل آنتی ویروس در ابر ارائه دهنده
تصویر یک نمودار کلی از پیاده سازی راه حل در فضای ابری را نشان می دهد. مرکز اصلی امنیتی Kaspersky در منطقه کنترل ابر مستقر شده است و یک SVM مجزا بر روی هر میزبان ESXi با استفاده از سرور یکپارچه سازی KSC مستقر می شود (هر میزبان ESXi SVM خود را دارد که با تنظیمات ویژه در سرور VMware vCenter متصل شده است). مشتریان در بخشهای ابری خودشان کار میکنند، جایی که ماشینهای مجازی با نمایندگان در آن قرار دارند. آنها از طریق سرورهای KSC منفرد تابع KSC اصلی مدیریت می شوند. در صورت نیاز به حفاظت از تعداد کمی ماشین مجازی (حداکثر 5 عدد)، می توان دسترسی مشتری به کنسول مجازی یک سرور اختصاصی KSC را فراهم کرد. تعامل شبکه بین مشتری KSC و KSC اصلی، و همچنین عوامل نور و SVM، با استفاده از NAT از طریق روترهای مجازی کلاینت EdgeGW انجام می شود.
طبق برآوردهای ما و نتایج آزمایشهای همکاران در فروشنده، Light Agent بار زیرساخت مجازی مشتریان را تقریباً 25% کاهش میدهد (در مقایسه با سیستمی که از نرمافزار ضد ویروس سنتی استفاده میکند). به طور خاص، آنتی ویروس استاندارد Kaspersky Endpoint Security (KES) برای محیط های فیزیکی تقریباً دو برابر بیشتر از زمان CPU سرور (2,95٪) نسبت به یک راه حل مجازی سازی مبتنی بر عامل سبک وزن (1,67٪) مصرف می کند.
نمودار مقایسه بار پردازنده
وضعیت مشابهی با فرکانس دسترسی های نوشتن دیسک مشاهده می شود: برای یک آنتی ویروس کلاسیک 1011 IOPS، برای یک آنتی ویروس ابری 671 IOPS است.
نمودار مقایسه نرخ دسترسی به دیسک
مزیت عملکرد به شما این امکان را می دهد که پایداری زیرساخت را حفظ کرده و از توان محاسباتی کارآمدتر استفاده کنید. با تطبیق با کار در یک محیط ابری عمومی، راه حل عملکرد ابر را کاهش نمی دهد: به طور متمرکز فایل ها را بررسی می کند و به روز رسانی ها را دانلود می کند و بار را توزیع می کند. این بدان معنی است که از یک طرف تهدیدات مربوط به زیرساخت ابری از دست نخواهند رفت، از طرف دیگر منابع مورد نیاز ماشین های مجازی در مقایسه با یک آنتی ویروس سنتی به طور متوسط 25٪ کاهش می یابد.
از نظر عملکرد، هر دو راه حل بسیار شبیه به یکدیگر هستند: در زیر یک جدول مقایسه وجود دارد. با این حال، همانطور که نتایج تست بالا نشان می دهد، در فضای ابری، همچنان استفاده از یک راه حل برای محیط های مجازی بهینه است.
درباره تعرفه ها در چارچوب رویکرد جدید. ما تصمیم گرفتیم از مدلی استفاده کنیم که به ما اجازه می دهد بر اساس تعداد vCPU ها مجوز دریافت کنیم. این بدان معناست که تعداد مجوزها با تعداد vCPU برابر خواهد بود. با گذاشتن یک درخواست می توانید آنتی ویروس خود را تست کنید .
در مقاله بعدی در مورد موضوعات ابری، در مورد تکامل WAF های ابری و انتخاب بهتر است: سخت افزار، نرم افزار یا ابر صحبت خواهیم کرد.
متن توسط کارمندان ارائه دهنده ابر #CloudMTS تهیه شده است: دنیس میاگکوف، معمار برجسته و الکسی آفاناسیف، مدیر توسعه محصول امنیت اطلاعات.
منبع: www.habr.com