Hieltyd mear brûkers bringe har hiele IT-ynfrastruktuer nei de iepenbiere wolk. As anty-firuskontrôle lykwols net genôch is yn 'e ynfrastruktuer fan 'e klant, ûntsteane serieuze cyberrisiko's. De praktyk lit sjen dat oant 80% fan besteande firussen perfekt libje yn in firtuele omjouwing. Yn dit post sille wy prate oer hoe't jo IT-boarnen kinne beskermje yn 'e iepenbiere wolk en wêrom tradisjonele antiviruses net folslein geskikt binne foar dizze doelen.
Om te begjinnen, sille wy jo fertelle hoe't wy oan it idee kamen dat de gewoane anty-firusbeskermingsynstruminten net geskikt binne foar de iepenbiere wolk en dat oare oanpak foar it beskermjen fan boarnen nedich binne.
As earste leverje providers oer it algemien de nedige maatregels om te soargjen dat har wolkplatfoarms op in heech nivo wurde beskerme. Bygelyks, by #CloudMTS analysearje wy alle netwurkferkear, kontrolearje logs fan 'e feiligenssystemen fan ús wolk en fiere regelmjittich pentests út. Wolksegminten tawiisd oan yndividuele kliïnten moatte ek feilich beskerme wurde.
Twad, de klassike opsje foar it bestriden fan cyberrisiko's omfettet it ynstallearjen fan anty-firus- en anty-firusbehearynstruminten op elke firtuele masine. Mei in grut oantal firtuele masines kin dizze praktyk lykwols net effektyf wêze en signifikante hoemannichten komputerboarnen fereaskje, dêrmei de ynfrastruktuer fan 'e klant fierder te laden en de algemiene prestaasjes fan' e wolk te ferminderjen. Dit is in wichtige betingst wurden foar it sykjen nei nije oanpakken foar it bouwen fan effektive anty-firusbeskerming foar firtuele masines fan klanten.
Derneist binne de measte antivirus-oplossingen op 'e merke net oanpast om de problemen op te lossen fan it beskermjen fan IT-boarnen yn in iepenbiere wolkomjouwing. Yn 'e regel binne se swiergewicht EPP-oplossingen (Endpoint Protection Platforms), dy't boppedat net de nedige oanpassing leverje oan' e kliïntkant fan 'e wolkprovider.
It wurdt dúdlik dat tradisjonele antivirus-oplossingen net geskikt binne foar wurkjen yn 'e wolk, om't se de firtuele ynfrastruktuer serieus laden tidens updates en scans, en hawwe ek net de nedige nivo's fan rol-basearre behear en ynstellingen. Folgjende sille wy yn detail analysearje wêrom't de wolk nije oanpak nedich is foar anty-firusbeskerming.
Wat in antyvirus yn in iepenbiere wolk kin dwaan
Dat, lit ús omtinken jaan oan de spesifiken fan wurkjen yn in firtuele omjouwing:
Effisjinsje fan updates en plande massascans. As in signifikant oantal firtuele masines dy't in tradysjonele antivirus brûke, tagelyk in fernijing inisjearje, sil in saneamde "stoarm" fan updates foarkomme yn 'e wolk. De krêft fan in ESXi-host dy't ferskate firtuele masines host, is miskien net genôch om it barrage fan ferlykbere taken te behanneljen dy't standert rinne. Ut it eachpunt fan 'e wolk provider, sa'n probleem kin liede ta ekstra loads op in oantal ESXi hosts, dat sil úteinlik liede ta in drop yn de prestaasjes fan de wolk firtuele ynfrastruktuer. Dit kin ûnder oare ynfloed hawwe op de prestaasjes fan firtuele masines fan oare wolkkliïnten. In ferlykbere situaasje kin ûntstean by it starten fan in massa scan: simultane ferwurking troch it skiifsysteem fan in protte ferlykbere oanfragen fan ferskate brûkers sil negatyf beynfloedzje de prestaasjes fan 'e heule wolk. Mei in hege graad fan kâns sil in fermindering fan prestaasjes fan opslachsysteem alle kliïnten beynfloedzje. Sokke abrupte loads befredigje de provider noch syn klanten net, om't se de "buorlju" yn 'e wolk beynfloedzje. Ut dit eachpunt kin tradisjoneel antivirus in grut probleem foarstelle.
Feilige karantine. As in bestân of dokumint dat potinsjeel ynfektearre is mei in firus op it systeem wurdt ûntdutsen, wurdt it nei karantine stjoerd. Fansels kin in besmette triem daliks wiske wurde, mar dit is faaks net akseptabel foar de measte bedriuwen. Corporate enterprise antiviruses dy't net oanpast binne om te wurkjen yn 'e wolk fan' e provider, hawwe yn 'e regel in mienskiplike karantinesône - alle ynfekteare objekten falle deryn. Bygelyks, dy fûn op 'e kompjûters fan bedriuw brûkers. Klanten fan 'e wolkprovider "libje" yn har eigen segminten (as hierders). Dizze segminten binne ûntrochsichtich en isolearre: kliïnten witte net oer elkoar en sjogge fansels net wat oaren yn 'e wolk hostje. Fansels kin de algemiene karantine, dy't tagong sil wurde troch alle antivirus-brûkers yn 'e wolk, mooglik in dokumint omfetsje mei fertroulike ynformaasje as in hannelsgeheim. Dit is net akseptabel foar de provider en syn klanten. Dêrom kin d'r mar ien oplossing wêze - persoanlike karantine foar elke klant yn syn segmint, wêr't noch de provider noch oare kliïnten tagong hawwe.
Yndividueel feiligens belied. Elke klant yn 'e wolk is in apart bedriuw, waans IT-ôfdieling syn eigen feiligensbelied stelt. Behearders definiearje bygelyks scanregels en planne anty-firusscans. Dêrnjonken moat elke organisaasje in eigen kontrôlesintrum hawwe om antyvirusbelied te konfigurearjen. Tagelyk moatte de opjûne ynstellings gjin ynfloed hawwe op oare wolkkliïnten, en de provider moat kinne ferifiearje dat, bygelyks, antivirus-updates wurde útfierd as normaal foar alle firtuele masines fan kliïnten.
Organisaasje fan fakturearring en fergunningferliening. It wolkmodel wurdt karakterisearre troch fleksibiliteit en omfettet allinich beteljen foar it bedrach fan IT-boarnen dy't waarden brûkt troch de klant. As d'r needsaak is, bygelyks troch seizoensferoaring, dan kin de hoemannichte boarnen fluch ferhege of fermindere wurde - allegear basearre op 'e hjoeddeistige behoeften foar kompjûterkrêft. Tradisjoneel antivirus is net sa fleksibel - yn 'e regel keapet de kliïnt in lisinsje foar in jier foar in foarbepaald oantal servers of wurkstasjons. Wolke-brûkers ferbrekke en ferbine geregeld ekstra firtuele masines ôfhinklik fan har hjoeddeistige behoeften - dêrom moatte antyviruslisinsjes itselde model stypje.
De twadde fraach is wat de lisinsje krekt sil dekke. Tradisjoneel antivirus wurdt lisinsje jûn troch it oantal tsjinners of wurkstasjons. Lisinsjes basearre op it oantal beskerme firtuele masines binne net folslein geskikt binnen it wolkmodel. De kliïnt kin in oantal firtuele masines meitsje dy't foar him handich binne fan 'e beskikbere boarnen, bygelyks fiif of tsien masines. Dit nûmer is net konstant foar de measte kliïnten; it is net mooglik foar ús, as provider, om syn feroarings te folgjen. D'r is gjin technyske mooglikheid om te fergunningen troch CPU: kliïnten krije firtuele processors (vCPU's), dy't moatte wurde brûkt foar lisinsje. Sa moat it nije anty-firusbeskermingsmodel de mooglikheid omfetsje foar de klant om it fereaske oantal vCPU's te bepalen wêrfoar hy anty-firuslisinsjes sil ûntfange.
Neilibjen fan wetjouwing. In wichtich punt, om't de brûkte oplossingen moatte soargje foar neilibjen fan 'e easken fan' e tafersjochhâlder. Bygelyks, wolk "ynwenners" faak wurkje mei persoanlike gegevens. Yn dit gefal moat de provider in apart sertifisearre wolksegment hawwe dat folslein foldocht oan 'e easken fan' e wet foar persoanlike gegevens. Dan hoege bedriuwen net selsstannich it hiele systeem te "bouwen" foar it wurkjen mei persoanlike gegevens: keapje sertifisearre apparatuer, ferbine en konfigurearje it, en ûndergean sertifikaasje. Foar cyberbeskerming fan 'e ISPD fan sokke kliïnten moat it antyvirus ek foldwaan oan de easken fan Russyske wetjouwing en in FSTEC-sertifikaat hawwe.
Wy seagen de ferplichte kritearia dy't antivirusbeskerming yn 'e iepenbiere wolk moat foldwaan. Folgjende sille wy ús eigen ûnderfining diele yn it oanpassen fan in antivirus-oplossing om te wurkjen yn 'e wolk fan' e provider.
Hoe kinne jo freonen meitsje tusken antyvirus en wolk?
Lykas ús ûnderfining hat sjen litten, is it kiezen fan in oplossing basearre op beskriuwing en dokumintaasje ien ding, mar it útfieren fan it yn 'e praktyk yn in al wurkjende wolkomjouwing is in folslein oare taak yn termen fan kompleksiteit. Wy sille jo fertelle wat wy yn 'e praktyk dien hawwe en hoe't wy it antyvirus oanpast hawwe om te wurkjen yn' e iepenbiere wolk fan 'e provider. De ferkeaper fan 'e anty-firus-oplossing wie Kaspersky, waans portfolio anty-firusbeskermingsoplossingen foar wolkomjouwings omfettet. Wy fêstigen ús op "Kaspersky Security for Virtualization" (Light Agent).
It omfettet in inkele Kaspersky Security Center-konsole. Light agint en feiligens firtuele masines (SVM, Security Virtual Machine) en KSC yntegraasje tsjinner.
Nei't wy de arsjitektuer fan 'e Kaspersky-oplossing studearre en de earste testen útfierden tegearre mei de yngenieurs fan' e ferkeaper, ûntstie de fraach oer it yntegrearjen fan de tsjinst yn 'e wolk. De earste ymplemintaasje waard tegearre útfierd op 'e Moskou wolkeside. En dat hawwe wy realisearre.
Om it netwurkferkear te minimalisearjen, waard besletten om in SVM op elke ESXi-host te pleatsen en de SVM oan 'e ESXi-hosts te "binne". Yn dit gefal, ljocht aginten fan beskerme firtuele masines tagong ta de SVM fan de krekte ESXi host op dêr't se rinne. In aparte bestjoerlike hierder waard selektearre foar de wichtichste KSC. As gefolch, ûndergeskikte KSC's lizze yn 'e hierders fan elke yndividuele klant en adressearje de superieure KSC dy't yn it behearsegment leit. Dit skema kinne jo fluch oplosse problemen dy't ûntsteane yn kliïnt hierders.
Neist problemen mei it ferheegjen fan de komponinten fan 'e anty-firus-oplossing sels, waarden wy konfrontearre mei de taak om netwurkynteraksje te organisearjen troch it oanmeitsjen fan ekstra VxLAN's. En hoewol de oplossing oarspronklik bedoeld wie foar ûndernimmingskliïnten mei partikuliere wolken, mei help fan 'e yngenieur-savvy en technologyske fleksibiliteit fan NSX Edge kinne wy alle problemen oplosse dy't ferbûn binne mei de skieding fan hierders en fergunningferliening.
Wy wurken nau gear mei Kaspersky-yngenieurs. Sa, yn it proses fan it analysearjen fan de oplossing arsjitektuer yn termen fan netwurk ynteraksje tusken systeem ûnderdielen, waard fûn dat, neist tagong fan ljocht aginten nei SVM, feedback is ek nedich - fan SVM nei ljocht aginten. Dizze netwurkferbining is net mooglik yn in multitenant-omjouwing fanwegen de mooglikheid fan identike netwurkynstellingen fan firtuele masines yn ferskate wolkehierders. Dêrom hawwe kollega's fan 'e ferkeaper op ús fersyk it meganisme fan netwurkynteraksje tusken de ljochtagent en SVM opnij bewurke yn termen fan it eliminearjen fan de needsaak foar netwurkferbining fan SVM nei ljochtaginten.
Neidat de oplossing waard ynset en hifke op de Moskou wolk site, wy replicated it nei oare siden, ynklusyf de sertifisearre wolk segment. De tsjinst is no beskikber yn alle regio's fan it lân.
Arsjitektuer fan in oplossing foar ynformaasjefeiligens yn it ramt fan in nije oanpak
It algemiene skema fan wurking fan in antivirus-oplossing yn in iepenbiere wolkomjouwing is as folget:
Skema fan wurking fan in antivirus-oplossing yn in iepenbiere wolkomjouwing #CloudMTS
Lit ús beskriuwe de funksjes fan de wurking fan yndividuele eleminten fan de oplossing yn 'e wolk:
• In inkele konsole wêrtroch kliïnten it beskermingsysteem sintraal beheare kinne: scans útfiere, fernijings kontrolearje en quarantaine-sônes kontrolearje. It is mooglik om yndividuele feiligensbelied te konfigurearjen binnen jo segmint.
It moat opmurken wurde dat hoewol wy in tsjinstferliener binne, wy net bemuoie mei de ynstellingen ynsteld troch kliïnten. It iennichste wat wy kinne dwaan is it befeiligingsbelied weromsette nei standert as rekonfiguraasje nedich is. Dit kin bygelyks nedich wêze as de kliïnt se by ûngelok oanskerpe of signifikant ferswakke. In bedriuw kin altyd in kontrôlesintrum krije mei standertbelied, dat it dan selsstannich ynstelle kin. It neidiel fan Kaspersky Security Center is dat it platfoarm op it stuit allinnich beskikber is foar it Microsoft bestjoeringssysteem. Hoewol ljochtgewicht aginten kinne wurkje mei sawol Windows- as Linux-masines. Kaspersky Lab belooft lykwols dat KSC yn 'e heine takomst sil wurkje ûnder Linux OS. Ien fan 'e wichtige funksjes fan KSC is de mooglikheid om karantine te behearjen. Elk klantbedriuw yn ús wolk hat in persoanlike. Dizze oanpak elimineert situaasjes wêrby't in dokumint dat is ynfekteare mei in firus by ûngelok iepenbier sichtber wurdt, lykas koe barre yn it gefal fan in klassyk bedriuwsantivirus mei algemiene karantine.
• Light aginten. As ûnderdiel fan it nije model is in lichtgewicht Kaspersky Security-agint ynstalleare op elke firtuele masine. Dit elimineert de needsaak om de anty-firus databank op elke VM op te slaan, wat de hoemannichte skyfromte nedich is. De tsjinst is yntegrearre mei de wolk ynfrastruktuer en wurket fia SVM, dy't fergruttet de tichtheid fan firtuele masines op de ESXi host en de prestaasjes fan de hiele wolk systeem. De ljochtagent bout in wachtrige fan taken foar elke firtuele masine: kontrolearje it bestânsysteem, ûnthâld, ensfh. Mar de SVM is ferantwurdlik foar it útfieren fan dizze operaasjes, dêr't wy letter oer prate. De agint fungearret ek as firewall, kontrolearret feiligensbelied, stjoert ynfekteare bestannen nei karantine en kontrolearret de algemiene "sûnens" fan it bestjoeringssysteem wêrop it is ynstalleare. Dit alles kin wurde beheard mei de al neamde single konsole.
• Feiligens Virtual Machine. Alle boarne-yntinsive taken (fernijings fan anty-firus databank, plande scans) wurde behannele troch in aparte Security Virtual Machine (SVM). Se is ferantwurdlik foar de eksploitaasje fan in folweardige anty-firusmotor en databases dêrfoar. De IT-ynfrastruktuer fan in bedriuw kin ferskate SVM's omfetsje. Dizze oanpak fergruttet de betrouberens fan it systeem - as ien masine mislearret en tritich sekonden net reagearret, begjinne aginten automatysk nei in oare te sykjen.
• KSC yntegraasje tsjinner. Ien fan 'e komponinten fan' e haad KSC, dy't har SVM's tawize oan ljocht-aginten yn oerienstimming mei it algoritme spesifisearre yn har ynstellings, en ek de beskikberens fan SVM's kontrolearret. Sa, dizze software module jout load balancing oer alle SVM's fan 'e wolk ynfrastruktuer.
Algoritme foar wurkjen yn 'e wolk: ferminderjen fan de lading op' e ynfrastruktuer
Yn 't algemien kin it antyvirusalgoritme as folget wurde fertsjintwurdige. De agint tagong ta it bestân op 'e firtuele masine en kontrolearret it. It resultaat fan 'e ferifikaasje wurdt opslein yn in mienskiplike sintralisearre SVM-beoardielingsdatabase (neamd Shared Cache), elke yngong wêryn in unyk bestânsprobe identifisearret. Dizze oanpak lit jo derfoar soargje dat itselde bestân net ferskate kearen op in rige wurdt skansearre (bygelyks as it waard iepene op ferskate firtuele masines). It bestân wurdt allinich opnij scand as der feroaringen yn makke binne of as de scan mei de hân begon is.
Implementaasje fan in antivirus-oplossing yn 'e wolk fan' e provider
De ôfbylding lit in algemien diagram sjen fan 'e ymplemintaasje fan' e oplossing yn 'e wolk. De wichtichste Kaspersky Security Center wurdt ynset yn de kontrôle sône fan 'e wolk, en in yndividuele SVM wurdt ynset op elke ESXi host mei help fan de KSC yntegraasje tsjinner (elke ESXi host hat syn eigen SVM taheakke mei spesjale ynstellings op VMware vCenter Server). Klanten wurkje yn har eigen wolkesegmenten, wêr't firtuele masines mei aginten lizze. Se wurde beheard fia yndividuele KSC-tsjinners ûndergeskikt oan 'e wichtichste KSC. As it nedich is om in lyts oantal firtuele masines te beskermjen (oant 5), kin de kliïnt tagong krije ta de firtuele konsole fan in spesjale tawijd KSC-tsjinner. Netwurk ynteraksje tusken client KSCs en de wichtichste KSC, likegoed as ljocht aginten en SVMs, wurdt útfierd mei help fan NAT fia EdgeGW client firtuele routers.
Neffens ús rûzings en de resultaten fan tests fan kollega's by de ferkeaper, ferminderet Light Agent de lêst op 'e firtuele ynfrastruktuer fan kliïnten mei sawat 25% (as ferlike mei in systeem mei tradisjonele anty-firussoftware). Benammen de standert Kaspersky Endpoint Security (KES) antivirus foar fysike omjouwings konsumearret hast twa kear safolle server CPU tiid (2,95%) as in lichtgewicht agent-basearre virtualisaasje oplossing (1,67%).
CPU load ferliking chart
In ferlykbere situaasje wurdt waarnommen mei de frekwinsje fan disk-skriuwtagongen: foar in klassike antivirus is it 1011 IOPS, foar in wolk antivirus is it 671 IOPS.
Skiif tagong rate ferliking grafyk
It prestaasjefoardiel lit jo ynfrastruktuerstabiliteit behâlde en komputerkrêft effisjinter brûke. Troch oan te passen oan it wurk yn in iepenbiere wolkomjouwing, ferminderet de oplossing gjin wolkprestaasjes: it kontrolearret sintraal bestannen en downloadt updates, ferspriedt de lading. Dit betsjut dat, oan 'e iene kant, bedrigingen dy't relevant binne foar de wolkynfrastruktuer net mist wurde, oan' e oare kant sille de boarne easken foar firtuele masines wurde fermindere troch in gemiddelde fan 25% yn ferliking mei in tradisjonele antivirus.
Wat funksjonaliteit oanbelanget, binne beide oplossingen heul gelyk oan elkoar: hjirûnder is in fergelikingstabel. Lykwols, yn 'e wolk, lykas de testresultaten hjirboppe sjen litte, is it noch altyd optimaal om in oplossing te brûken foar firtuele omjouwings.
Oer tariven yn it ramt fan de nije oanpak. Wy besletten om in model te brûken wêrmei wy lisinsjes kinne krije op basis fan it oantal vCPU's. Dit betsjut dat it oantal lisinsjes gelyk wêze sil oan it oantal vCPU's. Jo kinne jo antivirus testen troch in fersyk efter te litten .
Yn it folgjende artikel oer wolke ûnderwerpen sille wy prate oer de evolúsje fan wolk WAF's en wat is better om te kiezen: hardware, software of wolk.
De tekst waard taret troch meiwurkers fan 'e wolkprovider #CloudMTS: Denis Myagkov, liedende arsjitekt en Alexey Afanasyev, produktûntwikkelingsmanager foar ynformaasjefeiligens.
Boarne: www.habr.com