Kula da Tsaro na Cloud

Matsar da bayanai da aikace-aikace zuwa gajimare suna ba da sabon ƙalubale ga SOCs na kamfanoni, waɗanda ba koyaushe suke shirye don saka idanu kan abubuwan more rayuwa na mutane ba. A cewar Netoskope, matsakaicin kasuwancin (a fili a cikin Amurka) yana amfani da sabis na girgije daban-daban na 1246, wanda shine 22% fiye da shekara guda da ta gabata. 1246 sabis na girgije !!! 175 daga cikinsu suna da alaƙa da sabis na HR, 170 suna da alaƙa da tallace-tallace, 110 suna cikin fagen sadarwa kuma 76 suna cikin kuɗi da CRM. Cisco yana amfani da sabis na girgije 700 na waje "kawai". Don haka na dan rude da wadannan lambobin. Amma a kowane hali, matsalar ba ta tare da su ba, amma tare da gaskiyar cewa girgijen ya fara yin amfani da shi sosai ta hanyar karuwar kamfanonin da ke son samun damar da za su iya kula da kayan aikin girgije kamar yadda suke cikin hanyar sadarwar su. Kuma wannan yanayin yana girma - bisa ga a cewar Cibiyar Asusun Amurka Nan da 2023, za a rufe cibiyoyin bayanai 1200 a Amurka (6250 sun riga sun rufe). Amma sauyi zuwa gajimare ba kawai "bari mu matsar da sabar mu zuwa mai bada waje ba." Sabbin gine-ginen IT, sabon software, sababbin matakai, sababbin ƙuntatawa ... Duk wannan yana kawo canje-canje masu mahimmanci ga aikin ba kawai IT ba, har ma da tsaro na bayanai. Kuma idan masu samarwa sun koyi ko ta yaya su jimre da tabbatar da tsaro na girgijen kanta (abin farin ciki akwai shawarwari da yawa), to, tare da kulawar tsaro na bayanan girgije, musamman a kan dandamali na SaaS, akwai matsaloli masu mahimmanci, wanda za mu yi magana game da su.

Bari mu ce kamfanin ku ya matsar da wani ɓangare na kayan aikin sa zuwa gajimare... Dakata. Ba haka ba. Idan an canza kayan aikin, kuma kawai yanzu kuna tunanin yadda za ku saka idanu, to kun riga kun yi hasara. Sai dai idan Amazon, Google, ko Microsoft ne (sannan tare da ajiyar kuɗi), mai yiwuwa ba za ku sami iko mai yawa don saka idanu akan bayananku da aikace-aikacenku ba. Yana da kyau idan an ba ku damar yin aiki tare da logins. Wani lokaci bayanan taron tsaro zai kasance akwai, amma ba za ku sami damar yin amfani da su ba. Misali, Office 365. Idan kuna da lasisin E1 mafi arha, to, abubuwan tsaro ba su samuwa a gare ku kwata-kwata. Idan kuna da lasisin E3, ana adana bayanan ku na kwanaki 90 kawai, kuma idan kuna da lasisin E5, ana samun tsawon lokacin rajistan ayyukan na shekara guda (duk da haka, wannan kuma yana da nasa nuances dangane da buƙatar daban. Neman ayyuka da yawa don aiki tare da rajistan ayyukan daga tallafin Microsoft). Af, lasisin E3 ya fi rauni sosai dangane da ayyukan sa ido fiye da Musanya kamfani. Don cimma wannan matakin, kuna buƙatar lasisin E5 ko ƙarin lasisin Ci gaba mai Ci gaba, wanda zai iya buƙatar ƙarin kuɗi waɗanda ba a ƙididdige su a cikin tsarin kuɗin ku don ƙaura zuwa kayan aikin girgije. Kuma wannan misali ɗaya ne kawai na rashin ƙima na batutuwan da suka shafi sa ido kan tsaro na bayanan girgije. A cikin wannan labarin, ba tare da yin riya kamar cikakke ba, Ina so in jawo hankali ga wasu nuances waɗanda ya kamata a yi la'akari da su lokacin zabar mai samar da girgije daga ra'ayi na tsaro. Kuma a ƙarshen labarin, za a ba da jerin abubuwan da ya dace a kammala kafin yin la'akari da cewa an warware matsalar sa ido kan tsaron bayanan gajimare.

Akwai matsaloli da yawa na yau da kullun waɗanda ke haifar da abubuwan da suka faru a cikin yanayin girgije, waɗanda sabis ɗin tsaro na bayanai ba su da lokacin amsawa ko ba sa ganin su kwata-kwata:

• Babu rajistan ayyukan tsaro. Wannan lamari ne na gama gari, musamman a tsakanin novice ƴan wasa a cikin kasuwar mafita ga girgije. Amma bai kamata ku yi watsi da su nan da nan ba. Ƙananan ƴan wasa, musamman na cikin gida, sun fi kula da buƙatun abokin ciniki kuma suna iya aiwatar da wasu ayyukan da ake buƙata cikin sauri ta canza taswirar da aka amince da samfuran su. Ee, wannan ba zai zama kwatankwacin GuardDuty daga Amazon ba ko tsarin “Kariya mai Kariya” daga Bitrix, amma aƙalla wani abu.
• Tsaron bayanai bai san inda aka adana rajistan ayyukan ba ko kuma babu damar shiga su. Anan ya zama dole don shiga tattaunawa tare da mai ba da sabis na girgije - watakila zai ba da irin wannan bayanin idan ya ɗauki abokin ciniki mahimmanci a gare shi. Amma gabaɗaya, ba shi da kyau sosai lokacin da aka ba da damar shiga rajistan ayyukan "ta hanyar yanke shawara ta musamman."
• Hakanan yana faruwa cewa mai ba da girgije yana da rajistan ayyukan, amma suna ba da iyakancewar kulawa da rikodin taron, waɗanda basu isa ba don gano duk abubuwan da suka faru. Misali, ƙila kawai ku karɓi rajistan ayyukan canje-canje akan gidan yanar gizo ko rajistan ayyukan yunƙurin tabbatar da mai amfani, amma ba wasu abubuwan da suka faru ba, kamar zirga-zirgar hanyar sadarwa, waɗanda za su ɓoye muku gabaɗayan al'amuran da ke nuna yunƙurin hacking na kayan aikin girgijen ku.
• Akwai rajistan ayyukan, amma samun damar yin amfani da su yana da wahala a sarrafa su, wanda ke tilasta musu a sa ido ba a ci gaba ba, amma akan jadawali. Kuma idan ba za ku iya zazzage rajistan ayyukan ta atomatik ba, sannan zazzage rajistan ayyukan, alal misali, a cikin tsarin Excel (kamar yadda yake tare da yawancin masu samar da mafita na girgije), na iya haifar da ƙin yarda daga ɓangaren sabis ɗin tsaro na bayanan kamfanoni don yin tinker tare da su.
• Babu saka idanu log. Wataƙila wannan shine dalilin da ba a sani ba na faruwar al'amuran tsaro na bayanai a cikin mahallin girgije. Da alama akwai rajistan ayyukan, kuma yana yiwuwa a yi amfani da su ta atomatik, amma ba wanda ke yin wannan. Me yasa?

Ra'ayin tsaro na girgije da aka raba

Sauye-sauye zuwa gajimare shine ko da yaushe neman ma'auni tsakanin sha'awar kula da kayan aiki da kuma canja shi zuwa ga mafi yawan ƙwararrun masu sana'a na mai samar da girgije wanda ya ƙware wajen kiyaye shi. Kuma a fagen tsaro na girgije, wannan ma'auni kuma dole ne a nemi shi. Bugu da ƙari, dangane da samfurin isar da sabis na girgije da aka yi amfani da shi (IaaS, PaaS, SaaS), wannan ma'auni zai bambanta kowane lokaci. A kowane hali, dole ne mu tuna cewa duk masu samar da girgije a yau suna bin abin da ake kira alhakin da aka raba da kuma tsarin tsaro na bayanai. Girgijen yana da alhakin wasu abubuwa, kuma ga wasu abokin ciniki yana da alhakin, sanya bayanansa, aikace-aikacensa, na'urori masu mahimmanci da sauran albarkatu a cikin gajimare. Zai zama rashin hankali don tsammanin cewa ta hanyar zuwa ga gajimare, za mu matsa duk wani nauyi ga mai bayarwa. Amma kuma ba hikima ba ne don gina duk tsaro da kanku lokacin motsi zuwa gajimare. Ana buƙatar ma'auni, wanda zai dogara da dalilai da yawa: - dabarun sarrafa haɗari, samfurin barazana, hanyoyin tsaro da ake samu ga mai samar da girgije, doka, da dai sauransu.

Misali, rarraba bayanan da aka shirya a cikin gajimare koyaushe alhakin abokin ciniki ne. Mai ba da girgije ko mai ba da sabis na waje zai iya taimaka masa da kayan aikin da za su taimaka alamar bayanai a cikin gajimare, gano take hakki, share bayanan da suka saba wa doka, ko rufe shi ta hanyar amfani da wata hanya ko wata. A gefe guda, tsaro na jiki koyaushe shine alhakin mai samar da girgije, wanda ba zai iya rabawa tare da abokan ciniki ba. Amma duk abin da ke tsakanin bayanai da kayan aikin jiki shine ainihin batun tattaunawa a cikin wannan labarin. Misali, samuwar gajimare alhaki ne na mai bayarwa, kuma kafa ka'idojin Tacewar zaɓi ko ba da damar ɓoyewa alhakin abokin ciniki ne. A cikin wannan labarin, za mu yi ƙoƙari mu dubi abin da hanyoyin sa ido kan bayanan tsaro ke samarwa a yau ta hanyar shahararrun masu samar da girgije a Rasha, menene fasalulluka na amfani da su, kuma yaushe ne ya cancanci neman hanyoyin warware matsalar waje (misali, Cisco E- mail Security) wanda ke faɗaɗa damar girgijen ku ta fuskar tsaro ta yanar gizo. A wasu lokuta, musamman idan kuna bin dabarun girgije da yawa, ba za ku sami zaɓi ba illa yin amfani da hanyoyin sa ido kan tsaro na bayanan waje a cikin mahallin girgije da yawa lokaci ɗaya (misali, Cisco CloudLock ko Cisco Stealthwatch Cloud). Da kyau, a wasu lokuta za ku gane cewa mai ba da girgije da kuka zaɓa (ko sanya ku) ba ya ba da damar sa ido kan tsaro kwata-kwata. Wannan ba shi da daɗi, amma kuma ba kaɗan ba ne, tun da yake yana ba ku damar kimanta ƙimar haɗarin da ke tattare da aiki tare da wannan girgije.

Cloud Security Monitoring Lifecycle

Don saka idanu akan tsaro na gajimare da kuke amfani da su, kuna da zaɓuɓɓuka guda uku kawai:

• dogara ga kayan aikin da mai samar da girgijen ku,
• yi amfani da mafita daga ɓangare na uku waɗanda za su saka idanu akan dandamali na IaaS, PaaS ko SaaS da kuke amfani da su,
• gina kayan aikin sa ido na girgije (kawai don dandamali na IaaS/PaaS).

Bari mu ga abubuwan da kowane ɗayan waɗannan zaɓuɓɓuka yake da su. Amma da farko, muna buƙatar fahimtar tsarin gaba ɗaya wanda za a yi amfani da shi lokacin sa ido kan dandamalin girgije. Zan haskaka manyan sassa 6 na tsarin sa ido kan tsaro na bayanai a cikin gajimare:

• Shirye-shiryen abubuwan more rayuwa. Ƙayyadaddun aikace-aikace masu mahimmanci da kayan aiki don tattara abubuwan da ke da mahimmanci don tsaro na bayanai a cikin ajiya.
• Tarin. A wannan mataki, ana tattara abubuwan tsaro daga wurare daban-daban don watsawa na gaba don sarrafawa, ajiya da bincike.
• Magani. A wannan matakin, ana canza bayanan kuma ana wadatar da su don sauƙaƙe bincike na gaba.
• Adana. Wannan bangaren yana da alhakin adana ɗan gajeren lokaci da na dogon lokaci na tattara bayanan da aka sarrafa da ɗanyen bayanai.
• Bincike. A wannan mataki, kuna da ikon gano abubuwan da suka faru da amsa su ta atomatik ko da hannu.
• Rahoto. Wannan mataki yana taimakawa wajen tsara mahimman alamomi ga masu ruwa da tsaki (gudanarwa, masu dubawa, mai ba da girgije, abokan ciniki, da sauransu) waɗanda ke taimaka mana yin wasu yanke shawara, misali, canza mai bayarwa ko ƙarfafa tsaro na bayanai.

Fahimtar waɗannan sassan zai ba ku damar yanke shawara da sauri a nan gaba abin da za ku iya ɗauka daga mai ba ku, da abin da za ku yi da kanku ko tare da haɗin gwiwar masu ba da shawara na waje.

Gina-ginen sabis na girgije

Na riga na rubuta a sama cewa yawancin sabis na girgije a yau ba sa samar da duk wani damar sa ido kan tsaro na bayanai. Gabaɗaya, ba sa mai da hankali sosai ga batun tsaro na bayanai. Alal misali, ɗaya daga cikin shahararrun sabis na Rasha don aika rahotanni zuwa hukumomin gwamnati ta hanyar Intanet (Ba zan ambaci sunansa ba). Gabaɗayan sashe game da tsaron wannan sabis ɗin ya ta'allaka ne akan amfani da bokan CIPF. Sashin tsaro na bayanai na wani sabis na girgije na gida don sarrafa takaddun lantarki ba shi da bambanci. Yana magana game da takaddun maɓalli na jama'a, ƙwararrun cryptography, kawar da raunin yanar gizo, kariya daga hare-haren DDoS, ta amfani da wutan wuta, madogara, har ma da binciken tsaro na yau da kullun. Amma babu wata kalma game da sa ido, ko game da yuwuwar samun damar yin amfani da abubuwan tsaro na bayanan da ka iya zama sha'awa ga abokan cinikin wannan mai bada sabis.

Gabaɗaya, ta hanyar da mai ba da girgije ya bayyana batutuwan tsaro na bayanai akan gidan yanar gizon sa da kuma cikin takaddun sa, zaku iya fahimtar yadda yake ɗaukar wannan batun. Alal misali, idan kun karanta littafin jagorar samfuran "My Office", babu wata kalma game da tsaro kwata-kwata, amma a cikin takaddun samfuran "My Office". KS3”, wanda aka tsara don karewa daga shiga ba tare da izini ba, akwai jerin abubuwan da aka saba da su na tsari na 17 na FSTEC, wanda “My Office.KS3” ke aiwatarwa, amma ba a bayyana yadda ake aiwatar da shi ba kuma, mafi mahimmanci, yadda ake aiwatar da shi. haɗa waɗannan hanyoyin tare da tsaron bayanan kamfanoni. Wataƙila akwai irin waɗannan takaddun, amma ban same su a cikin jama'a ba, akan gidan yanar gizon "My Office". Ko da yake watakila ba ni da damar yin amfani da wannan bayanin sirri?...

Ga Bitrix, yanayin ya fi kyau. Takaddun sun bayyana nau'ikan rajistan ayyukan taron da kuma, abin sha'awa, log ɗin kutsawa, wanda ya ƙunshi abubuwan da suka shafi yuwuwar barazanar ga dandalin girgije. Daga can zaku iya fitar da IP, mai amfani ko sunan baƙo, tushen taron, lokaci, Wakilin mai amfani, nau'in taron, da sauransu. Gaskiya, zaku iya aiki tare da waɗannan abubuwan ko dai daga sashin kula da girgijen kanta, ko loda bayanai a cikin tsarin MS Excel. Yanzu yana da wahala a sarrafa aiki ta atomatik tare da rajistan ayyukan Bitrix kuma dole ne ku yi wasu ayyukan da hannu (ɗora rahoton da loda shi cikin SIEM ɗin ku). Amma idan muka tuna cewa har zuwa kwanan nan irin wannan damar ba ta wanzu ba, to wannan babban ci gaba ne. A lokaci guda, Ina so in lura cewa yawancin masu samar da girgije na ƙasashen waje suna ba da irin wannan ayyuka "don masu farawa" - ko dai ku kalli rajistan ayyukan da idanunku ta hanyar sarrafawa, ko loda bayanan zuwa kanku (duk da haka, yawancin loda bayanai a cikin . csv, ba Excel ba).

Ba tare da la'akari da zaɓin rajistar rajista ba, masu samar da girgije yawanci suna ba ku zaɓuɓɓuka uku don saka idanu abubuwan tsaro - dashboards, loda bayanai da samun damar API. Na farko da alama zai warware muku matsaloli da yawa, amma wannan ba gaskiya bane - idan kuna da mujallu da yawa, dole ne ku canza tsakanin allon da ke nuna su, rasa cikakken hoto. Bugu da ƙari, mai ba da girgije ba shi yiwuwa ya ba ku damar daidaita abubuwan tsaro da kuma nazarin su gabaɗaya daga mahangar tsaro (yawanci kuna hulɗa da danyen bayanai, waɗanda kuke buƙatar fahimtar kanku). Akwai keɓancewa kuma za mu ƙara yin magana game da su. A ƙarshe, yana da kyau a tambayi abin da abubuwan da suka faru na mai samar da girgijen ku ke yin rikodin, a cikin wane tsari, kuma ta yaya suka dace da tsarin sa ido kan bayanan ku? Misali, tantancewa da tantance masu amfani da baƙi. Bitrix iri ɗaya yana ba ku damar, dangane da waɗannan abubuwan da suka faru, don yin rikodin kwanan wata da lokacin taron, sunan mai amfani ko baƙo (idan kuna da tsarin “Web Analytics”), abin da aka isa da sauran abubuwan da suka dace don gidan yanar gizo. . Amma sabis na tsaro na bayanan kamfanoni na iya buƙatar bayani game da ko mai amfani ya sami dama ga gajimare daga amintaccen na'ura (misali, a cikin hanyar sadarwa na kamfani Cisco ISE ne ke aiwatar da wannan aikin). Menene game da irin wannan aiki mai sauƙi kamar aikin geo-IP, wanda zai taimaka wajen ƙayyade ko an sace asusun mai amfani da sabis na girgije? Kuma ko da mai samar da girgije ya ba ku, wannan bai isa ba. Cisco CloudLock iri ɗaya ba wai kawai yana nazarin yanayin ƙasa ba, amma yana amfani da koyan injin don wannan kuma yana nazarin bayanan tarihi ga kowane mai amfani da sa ido kan abubuwan da ba su dace ba a cikin ganowa da yunƙurin tabbatarwa. MS Azure kawai yana da irin wannan ayyuka (idan kuna da biyan kuɗin da ya dace).

Akwai wata wahala - tun da yawancin masu samar da girgije bayanan tsaro sa ido sabon abu ne da suke fara tuntuɓar su, koyaushe suna canza wani abu a cikin hanyoyin su. Yau suna da sigar API ɗaya, gobe wani, jibi na uku. Hakanan kuna buƙatar yin shiri don wannan. Haka abin yake tare da ayyuka, wanda zai iya canzawa, wanda dole ne a yi la'akari da shi a cikin tsarin sa ido na tsaro na bayanan ku. Misali, Amazon da farko yana da ayyuka daban-daban na sa ido kan taron girgije-AWS CloudTrail da AWS CloudWatch. Daga nan sai wani sabis na daban don sa ido kan abubuwan tsaro na bayanai ya bayyana - AWS GuardDuty. Bayan wani lokaci, Amazon ya ƙaddamar da wani sabon tsarin gudanarwa, Amazon Security Hub, wanda ya haɗa da nazarin bayanan da aka karɓa daga GuardDuty, Amazon Inspector, Amazon Macie da wasu da dama. Wani misali shine kayan haɗin haɗin log na Azure tare da SIEM - AzLog. Yawancin masu siyar da SIEM sun yi amfani da shi sosai, har sai a cikin 2018 Microsoft ya sanar da dakatar da haɓakawa da tallafinsa, wanda ya fuskanci yawancin abokan ciniki waɗanda suka yi amfani da wannan kayan aiki tare da matsala (za mu yi magana game da yadda aka warware shi daga baya).

Sabili da haka, a hankali saka idanu duk fasalulluka na sa ido waɗanda mai samar da girgijen ku ke ba ku. Ko dogara ga masu samar da mafita na waje waɗanda za su yi aiki azaman masu shiga tsakani tsakanin SOC ɗin ku da gajimaren da kuke son saka idanu. Ee, zai fi tsada (ko da yake ba koyaushe ba), amma za ku matsar da duk alhakin a kan kafadun wani. Ko ba duka ba? .. Bari mu tuna da manufar tsaro ta raba kuma mu fahimci cewa ba za mu iya canza wani abu ba - dole ne mu fahimci kanmu yadda masu samar da girgije daban-daban ke ba da kulawar bayanan bayanan ku, aikace-aikacen, injina da sauran albarkatu. wanda aka shirya a cikin gajimare. Kuma za mu fara da abin da Amazon ke bayarwa a wannan bangare.

Misali: Sa ido kan tsaro na bayanai a cikin IaaS bisa AWS

Haka ne, a, na fahimci cewa Amazon ba shine mafi kyawun misali ba saboda gaskiyar cewa wannan sabis na Amurka ne kuma ana iya toshe shi a matsayin wani ɓangare na yaki da tsattsauran ra'ayi da yada bayanan da aka haramta a Rasha. Amma a cikin wannan ɗaba'ar zan so in nuna yadda dandamali daban-daban na girgije ya bambanta a cikin damar sa ido kan bayanan bayanan su da abin da ya kamata ku mai da hankali kan lokacin canja wurin mahimman hanyoyin ku zuwa gajimare daga mahangar tsaro. To, idan wasu daga cikin masu haɓakawa na Rasha na mafitacin girgije sun koyi wani abu mai amfani da kansu, to hakan zai zama mai girma.

Abu na farko da za a ce shi ne cewa Amazon ba sansanin soja ba ne. Abubuwa iri-iri suna faruwa akai-akai ga abokan cinikinsa. Misali, an sace sunaye, adireshi, ranar haihuwa, da lambobin wayar masu jefa kuri’a miliyan 198 daga Deep Root Analytics. Kamfanin Nice Systems na Isra'ila ya saci rikodin miliyan 14 na masu biyan kuɗin Verizon. Koyaya, ginanniyar damar AWS tana ba ku damar gano abubuwan da suka faru da yawa. Misali:

• tasiri akan abubuwan more rayuwa (DDoS)
• node compromise (umarni allura)
• daidaita asusun asusu da shiga mara izini
• daidaitaccen tsari da lahani
• musaya mara tsaro da APIs.

Wannan bambance-bambancen shine saboda gaskiyar cewa, kamar yadda muka gano a sama, abokin ciniki da kansa yana da alhakin tsaro na bayanan abokin ciniki. Kuma idan bai damu da kunna hanyoyin kariya ba kuma bai kunna kayan aikin sa ido ba, to zai koyi abin da ya faru ne kawai daga kafofin watsa labarai ko kuma daga abokan cinikinsa.

Don gano abubuwan da suka faru, za ku iya amfani da sabis na saka idanu daban-daban da Amazon ya haɓaka (ko da yake waɗannan sau da yawa ana haɗa su da kayan aikin waje irin su osquery). Don haka, a cikin AWS, ana lura da duk ayyukan mai amfani, ba tare da la'akari da yadda ake aiwatar da su ba - ta hanyar na'ura mai sarrafa kwamfuta, layin umarni, SDK ko wasu sabis na AWS. Duk bayanan ayyukan kowane asusun AWS (ciki har da sunan mai amfani, aiki, sabis, sigogin ayyuka, da sakamako) da kuma amfani da API suna samuwa ta hanyar AWS CloudTrail. Kuna iya duba waɗannan abubuwan da suka faru (kamar AWS IAM console logins) daga na'urar wasan bidiyo na CloudTrail, bincika su ta amfani da Amazon Athena, ko "fitar da su" zuwa mafita na waje kamar Splunk, AlienVault, da sauransu. Ana sanya rajistan ayyukan AWS CloudTrail da kansu a cikin guga na AWS S3.

Wasu sabis na AWS guda biyu suna ba da adadin wasu mahimman damar sa ido. Na farko, Amazon CloudWatch sabis ne na saka idanu don albarkatun AWS da aikace-aikacen da, a tsakanin sauran abubuwa, yana ba ku damar gano abubuwan da ba su da kyau a cikin girgijen ku. Duk ayyukan AWS da aka gina a ciki, kamar Amazon Elastic Compute Cloud (servers), Amazon Relational Database Service (databases), Amazon Elastic MapReduce (binciken bayanai), da 30 sauran sabis na Amazon, suna amfani da Amazon CloudWatch don adana rajistan ayyukan su. Masu haɓakawa za su iya amfani da API na buɗewa daga Amazon CloudWatch don ƙara ayyukan saka idanu na log zuwa aikace-aikacen da ayyuka na al'ada, ba su damar faɗaɗa iyakokin binciken abubuwan da suka faru a cikin mahallin tsaro.

Abu na biyu, sabis na Flow Logs na VPC yana ba ku damar yin nazarin zirga-zirgar hanyar sadarwa da aka aiko ko karɓa ta sabar AWS ɗin ku (a waje ko a ciki), da kuma tsakanin microservices. Lokacin da kowane albarkatun AWS VPC ɗin ku ke hulɗa tare da hanyar sadarwar, VPC Flow Logs yana yin rikodin cikakkun bayanai game da zirga-zirgar hanyar sadarwa, gami da tushen hanyar sadarwa da mahallin cibiyar sadarwa, da adiresoshin IP, tashar jiragen ruwa, yarjejeniya, adadin bytes, da adadin fakitin ku. gani. Waɗanda suka ƙware da tsaron cibiyar sadarwar gida za su gane wannan a matsayin kwatankwacin zaren zaren NetFlow, wanda za a iya ƙirƙira ta masu sauyawa, na'urori masu amfani da hanyoyin sadarwa da kuma tacewar wuta na kamfani. Waɗannan rajistan ayyukan suna da mahimmanci don dalilai na saka idanu na tsaro saboda, sabanin abubuwan da suka faru game da mai amfani da ayyukan aikace-aikacen, suna kuma ba ku damar rasa hulɗar cibiyar sadarwa a cikin yanayin girgije mai zaman kansa na AWS.

A taƙaice, waɗannan ayyukan AWS guda uku-AWS CloudTrail, Amazon CloudWatch, da VPC Flow Logs-tare suna ba da haske mai ƙarfi game da amfani da asusun ku, halayen mai amfani, sarrafa kayan more rayuwa, aikace-aikace da ayyukan sabis, da ayyukan cibiyar sadarwa. Alal misali, ana iya amfani da su don gano abubuwan da ba su da kyau:

• Ƙoƙarin bincika rukunin yanar gizon, bincika bayan gida, bincika raunin rauni ta hanyar fashewar "kurakurai 404".
• Hare-haren allura (misali, allurar SQL) ta hanyar fashewar “kurakurai 500”.
• Sanannun kayan aikin hari sune sqlmap, nikto, w3af, nmap, da sauransu. ta hanyar nazarin filin Agent User.

Sabis na Yanar Gizo na Amazon kuma ya haɓaka wasu ayyuka don dalilai na tsaro na yanar gizo waɗanda ke ba ku damar magance wasu matsaloli da yawa. Misali, AWS yana da ginanniyar sabis don duba manufofi da daidaitawa - AWS Config. Wannan sabis ɗin yana ba da ci gaba da duba albarkatun AWS ɗin ku da tsarin su. Bari mu ɗauki misali mai sauƙi: Bari mu ce kuna son tabbatar da cewa an kashe kalmar sirrin mai amfani akan duk sabar ku kuma samun dama yana yiwuwa ne kawai bisa takaddun shaida. AWS Config yana sauƙaƙe duba wannan don duk sabar ku. Akwai wasu manufofin da za a iya amfani da su a kan sabar gajimare: "Babu uwar garken da zai iya amfani da tashar jiragen ruwa 22", "Mai gudanarwa kawai za su iya canza dokokin wuta" ko "Ivashko mai amfani ne kawai zai iya ƙirƙirar sababbin asusun mai amfani, kuma zai iya yin hakan a ranar Talata kawai. " A cikin lokacin rani na 2016, an faɗaɗa sabis na Config na AWS don yin aiki da kai ga gano take hakki na manufofin da aka haɓaka. Dokokin AWS Config sune ainihin buƙatun daidaitawa don ayyukan Amazon da kuke amfani da su, waɗanda ke haifar da abubuwan da suka faru idan an keta manufofin da suka dace. Misali, maimakon gudanar da tambayoyin AWS Config lokaci-lokaci don tabbatar da cewa duk fayafai a kan uwar garken kama-da-wane an rufaffen su, AWS Config Dokokin za a iya amfani da su don ci gaba da bincika diski na uwar garke don tabbatar da cewa an cika wannan yanayin. Kuma, mafi mahimmanci, a cikin mahallin wannan ɗaba'ar, duk wani cin zarafi yana haifar da abubuwan da ma'aikatan tsaron bayananku za su iya tantance su.

Hakanan AWS yana da daidai daidai da hanyoyin tsaro na bayanan kamfanoni na gargajiya, waɗanda kuma ke haifar da abubuwan tsaro waɗanda zaku iya kuma yakamata kuyi nazari:

• Gano Kutse - AWS GuardDuty
• Ikon Leak na Bayani - AWS Macie
• EDR (kodayake yana magana game da ƙarshen gajimare a ɗan ban mamaki) - AWS Cloudwatch + tushen osquery ko mafita na GRR
• Binciken Netflow - AWS Cloudwatch + AWS VPC Flow
• Binciken DNS - AWS Cloudwatch + AWS Route53
• AD - AWS Directory Sabis
• Gudanar da Asusu - AWS IAM
• SSO - AWS SSO
• bincike na tsaro - AWS Inspector
• Gudanarwar Kanfigareshan - Saitin AWS
• WAF - AWS WAF.

Ba zan bayyana dalla-dalla duk ayyukan Amazon waɗanda zasu iya zama masu amfani a cikin yanayin tsaro na bayanai ba. Babban abu shine fahimtar cewa dukkanin su na iya haifar da abubuwan da za mu iya kuma ya kamata su yi nazari a cikin yanayin tsaro na bayanai, ta yin amfani da wannan dalili duka abubuwan da aka gina na Amazon kanta da mafita na waje, misali, SIEM, wanda zai iya. kai abubuwan tsaro zuwa cibiyar sa ido kuma bincika su a can tare da abubuwan da suka faru daga wasu ayyukan girgije ko daga abubuwan more rayuwa na ciki, kewaye ko na'urorin hannu.

A kowane hali, duk yana farawa da tushen bayanan da ke ba ku abubuwan tsaro na bayanai. Waɗannan kafofin sun haɗa da, amma ba'a iyakance ga:

• CloudTrail - API Amfani da Ayyukan Mai Amfani
• Amintaccen Mashawarci - duba tsaro daga mafi kyawun ayyuka
• Config - ƙira da daidaita asusu da saitunan sabis
• VPC Flow Logs - haɗin kai zuwa musaya mai kama-da-wane
• IAM - sabis na tantancewa da tantancewa
• ELB Access Logs - Load Balancer
• Inspector - raunin aikace-aikacen
• S3 - ajiyar fayil
• CloudWatch - Ayyukan Aikace-aikacen
• SNS sabis ne na sanarwa.

Amazon, yayin da yake ba da irin wannan nau'in tushen abubuwan da suka faru da kayan aiki ga tsararrakin su, yana da iyakacin iyaka don nazarin bayanan da aka tattara a cikin yanayin tsaro na bayanai. Dole ne ku yi nazarin rajistan ayyukan da ake da su da kan ku, kuna neman alamun sasantawa a cikinsu. AWS Tsaro Hub, wanda Amazon ya ƙaddamar da kwanan nan, yana da nufin magance wannan matsala ta zama SIEM na girgije don AWS. Amma ya zuwa yanzu shi ne kawai a farkon tafiyarsa kuma an iyakance shi duka ta hanyar adadin hanyoyin da yake aiki da kuma wasu ƙuntatawa da aka kafa ta hanyar gine-gine da biyan kuɗi na Amazon kanta.

Misali: Sa ido kan tsaro na bayanai a cikin IaaS bisa Azure

Ba na so in shiga wata doguwar muhawara game da wanne daga cikin masu samar da girgije guda uku (Amazon, Microsoft ko Google) ya fi kyau (musamman tun da kowannensu har yanzu yana da nasa ƙayyadaddun ƙayyadaddun bayanai kuma ya dace da magance matsalolinsa); Bari mu mai da hankali kan iyawar sa ido kan tsaro bayanan da waɗannan 'yan wasan ke bayarwa. Dole ne a yarda cewa Amazon AWS yana ɗaya daga cikin na farko a cikin wannan ɓangaren kuma saboda haka ya ci gaba da ci gaba a cikin ayyukan tsaro na bayanai (ko da yake mutane da yawa sun yarda cewa suna da wuya a yi amfani da su). Amma wannan ba yana nufin za mu yi watsi da damar da Microsoft da Google ke ba mu ba.

Samfuran Microsoft koyaushe ana bambanta su ta “buɗewa” kuma a cikin Azure yanayin yana kama da haka. Misali, idan AWS da GCP koyaushe suna ci gaba daga manufar "abin da ba a yarda da shi ba haramun ne," to Azure yana da madaidaicin kishiyar hanya. Misali, lokacin ƙirƙirar hanyar sadarwa mai kama-da-wane a cikin gajimare da injin kama-da-wane a cikinsa, duk tashoshin jiragen ruwa da ka'idoji suna buɗe kuma suna ba da izini ta tsohuwa. Don haka, dole ne ku ƙara ɗan ƙaramin ƙoƙari akan saitin farko na tsarin sarrafa shiga cikin gajimare daga Microsoft. Kuma wannan kuma yana ƙaddamar da ƙarin buƙatu masu tsauri akan ku dangane da ayyukan sa ido a cikin girgijen Azure.

AWS yana da alaƙa da ke da alaƙa da gaskiyar cewa lokacin da kuke saka idanu akan albarkatun ku, idan suna cikin yankuna daban-daban, to kuna da matsaloli wajen haɗa duk abubuwan da suka faru da kuma nazarin haɗin gwiwa, don kawar da abin da kuke buƙatar yin amfani da dabaru daban-daban, kamar su. Ƙirƙiri lambar ku don AWS Lambda wanda zai jigilar abubuwan da ke faruwa tsakanin yankuna. Azure ba shi da wannan matsalar - na'urar sa ta Log ɗin Ayyukan tana bin duk ayyuka a cikin ƙungiyar gaba ɗaya ba tare da hani ba. Hakanan ya shafi AWS Tsaro Hub, wanda Amazon ya haɓaka kwanan nan don ƙarfafa ayyukan tsaro da yawa a cikin cibiyar tsaro guda ɗaya, amma a cikin yankinta kawai, wanda, duk da haka, bai dace da Rasha ba. Azure yana da Cibiyar Tsaro ta kansa, wanda ba a haɗa shi da ƙuntatawa na yanki ba, yana ba da damar yin amfani da duk abubuwan tsaro na dandalin girgije. Bugu da ƙari, ga ƙungiyoyin gida daban-daban yana iya samar da nasa ikon kariya, gami da abubuwan tsaro da suke gudanarwa. Cibiyar Tsaro ta AWS har yanzu tana kan hanyarta ta zama kama da Cibiyar Tsaro ta Azure. Amma yana da daraja ƙara gardama a cikin maganin shafawa - zaku iya matsewa daga Azure da yawa daga cikin abubuwan da aka bayyana a baya a cikin AWS, amma wannan shine mafi dacewa don Azure AD, Azure Monitor da Cibiyar Tsaro ta Azure. Duk sauran hanyoyin tsaro na Azure, gami da nazarin taron tsaro, har yanzu ba a sarrafa su ta hanya mafi dacewa ba. API ɗin yana warware matsalar wani ɓangare, wanda ke mamaye duk ayyukan Microsoft Azure, amma wannan yana buƙatar ƙarin ƙoƙari daga gare ku don haɗa girgijenku tare da SOC ɗin ku da kasancewar ƙwararrun ƙwararrun ƙwararrun ƙwararrun (a zahiri, kamar kowane SIEM da ke aiki tare da gajimare). APIs). Wasu SIEMs, waɗanda za a tattauna daga baya, sun riga sun goyi bayan Azure kuma suna iya sarrafa aikin sa ido, amma kuma yana da nasa matsalolin - ba duka ba ne ke iya tattara duk rajistan ayyukan da Azure ke da su.

Ana ba da tarin abubuwa da saka idanu a cikin Azure ta hanyar amfani da sabis na Kula da Azure, wanda shine babban kayan aiki don tattarawa, adanawa da kuma nazarin bayanai a cikin girgijen Microsoft da albarkatunsa - Ma'ajiyar Git, kwantena, injina, aikace-aikace, da sauransu. Duk bayanan da Azure Monitor ya tattara sun kasu kashi biyu - ma'auni, waɗanda aka tattara a ainihin lokacin kuma suna bayyana mahimmin alamun aikin girgijen Azure, da rajistan ayyukan, waɗanda ke ɗauke da bayanan da aka tsara cikin bayanan da ke nuna wasu fannoni na ayyukan albarkatun Azure da sabis. Bugu da kari, ta amfani da API mai tattara bayanai, sabis na Kula da Azure na iya tattara bayanai daga kowane tushen REST don gina yanayin sa ido.

Anan akwai 'yan tushen abubuwan tsaro waɗanda Azure ke ba ku kuma zaku iya shiga ta hanyar Azure Portal, CLI, PowerShell, ko REST API (kuma wasu ta hanyar Azure Monitor/Insight API):

• Rubutun Ayyuka - wannan log ɗin yana amsa tambayoyin al'ada na "wane," "mene," da "lokacin" game da kowane aiki na rubutu (PUT, POST, DELETE) akan albarkatun girgije. Abubuwan da suka shafi samun damar karatu (GET) ba a haɗa su cikin wannan log ɗin ba, kamar adadin wasu.
• Maganganun bincike - ya ƙunshi bayanai kan ayyuka tare da takamaiman kayan aiki da aka haɗa a cikin kuɗin ku.
• Rahoton Azure AD - ya ƙunshi duka ayyukan mai amfani da ayyukan tsarin da suka shafi ƙungiya da sarrafa mai amfani.
• Windows Event Log da Linux Syslog - ya ƙunshi abubuwan da suka faru daga injunan kama-da-wane da aka shirya a cikin gajimare.
• Ma'auni - ya ƙunshi telemetry game da aiki da matsayin kiwon lafiya na ayyukan girgije da albarkatun ku. Ana auna kowane minti kuma a adana shi. cikin kwanaki 30.
• Rukunin Gudanarwar Ƙungiyar Tsaro ta hanyar sadarwa - yana ƙunshe da bayanai kan abubuwan da suka faru na tsaro na cibiyar sadarwa da aka tattara ta amfani da sabis na Watcher na hanyar sadarwa da sa ido kan albarkatu a matakin cibiyar sadarwa.
• Rajistar Ma'aji - ya ƙunshi abubuwan da suka shafi samun damar wuraren ajiya.

Don saka idanu, zaku iya amfani da SIEMs na waje ko ginanniyar Azure Monitor da kari. Za mu yi magana game da tsarin kula da taron tsaro na bayanai daga baya, amma a yanzu bari mu ga abin da Azure da kanta ke ba mu don nazarin bayanai a cikin mahallin tsaro. Babban allo don duk abin da ke da alaƙa da tsaro a cikin Azure Monitor shine Tsaron Bincike na Log da Dashboard na Audit (siffar kyauta tana goyan bayan ƙayyadaddun adadin abubuwan ajiya na mako guda kawai). An raba wannan dashboard zuwa manyan wurare guda 5 waɗanda ke hango taƙaitaccen kididdiga na abin da ke faruwa a cikin yanayin gajimare da kuke amfani da su:

• Domain Tsaro - maɓalli masu ƙididdigewa masu alaƙa da tsaro na bayanai - adadin abubuwan da suka faru, adadin ƙofofin da ba a daidaita su ba, nodes marasa faci, abubuwan tsaro na cibiyar sadarwa, da sauransu.
• Sanannen Batutuwa - yana nuna lamba da mahimmancin abubuwan tsaro na bayanai masu aiki
• Ganewa - yana nuna alamun harin da aka yi amfani da ku
• Hankali na Barazana - yana nuna bayanan yanki akan kumburin waje waɗanda ke kai hari
• Tambayoyin tsaro na gama-gari - tambayoyin na yau da kullun waɗanda zasu taimaka muku mafi kyawun saka idanu akan amincin bayanan ku.

Azure Monitor ya haɗa da Azure Key Vault (kariyar maɓallan sirri a cikin gajimare), Binciken Malware (nazarin kariya daga lambar ɓarna akan injunan kama-da-wane), Binciken Ƙofar Aikace-aikacen Azure (binciken, a tsakanin sauran abubuwa, rajistan ayyukan tacewar girgije), da sauransu. . Waɗannan kayan aikin, waɗanda aka wadatar da wasu ƙa'idodi don sarrafa abubuwan da suka faru, suna ba ku damar hangen nesa daban-daban na ayyukan sabis na girgije, gami da tsaro, da gano wasu karkace daga aiki. Amma, kamar yadda sau da yawa yakan faru, duk wani ƙarin aiki yana buƙatar biyan kuɗin da aka biya daidai, wanda zai buƙaci madaidaicin saka hannun jari na kuɗi daga gare ku, wanda kuke buƙatar tsarawa a gaba.

Azure yana da adadin ginanniyar damar sa ido na barazanar da aka haɗa cikin Azure AD, Azure Monitor, da Cibiyar Tsaro ta Azure. Daga cikin su, alal misali, gano ma'amala na injina tare da sanannun IPs masu cutarwa (saboda kasancewar haɗin kai tare da ayyukan Intelligence na Barazana daga Microsoft), gano malware a cikin kayan aikin girgije ta hanyar karɓar ƙararrawa daga injunan kama-da-wane da aka shirya a cikin gajimare, kalmar sirri. Hasashen hare-hare "akan injunan kama-da-wane, lahani a cikin tsarin tsarin gano mai amfani, shiga cikin tsarin daga masu ɓoye ko kamuwa da cutar, leaks na asusu, shiga cikin tsarin daga wuraren da ba a saba gani ba, da sauransu. Azure a yau yana ɗaya daga cikin ƴan masu samar da gajimare waɗanda ke ba ku ginanniyar ƙarfin Sirrin Barazana don wadatar da abubuwan tsaro da aka tattara.

Kamar yadda aka ambata a sama, aikin tsaro da, a sakamakon haka, abubuwan tsaro da aka samar da shi ba su samuwa ga duk masu amfani daidai, amma suna buƙatar wani biyan kuɗi wanda ya haɗa da ayyukan da kuke buƙata, wanda ke haifar da abubuwan da suka dace don sa ido kan tsaro na bayanai. Misali, wasu ayyukan da aka siffanta a cikin sakin layi na baya don sa ido kan abubuwan da ba su dace ba a cikin asusu suna samuwa ne kawai a cikin lasisin ƙimar P2 don sabis na Azure AD. Idan ba tare da shi ba, ku, kamar yadda yake a cikin AWS, dole ne ku bincika abubuwan tsaro da aka tattara "da hannu". Kuma, kuma, dangane da nau'in lasisin Azure AD, ba duk abubuwan da suka faru ba ne za su kasance don bincike.

A kan tashar tashar Azure, zaku iya sarrafa tambayoyin bincike guda biyu don rakodin sha'awa a gare ku kuma saita dashboards don hango alamun tsaro na mahimman bayanai. Bugu da ƙari, a can za ku iya zaɓar abubuwan haɓakawa na Azure Monitor, wanda ke ba ku damar faɗaɗa ayyukan Azure Monitor logs kuma ku sami zurfin nazarin abubuwan da suka faru daga yanayin tsaro.

Idan kuna buƙatar ba kawai ikon yin aiki tare da rajistan ayyukan ba, amma cikakkiyar cibiyar tsaro don dandamalin girgijen ku na Azure, gami da sarrafa manufofin tsaro na bayanai, to zaku iya magana game da buƙatar yin aiki tare da Cibiyar Tsaro ta Azure, galibin ayyuka masu amfani waɗanda ke da amfani. ana samunsu don wasu kuɗi, misali, gano barazanar, saka idanu a wajen Azure, ƙimar yarda, da sauransu. (a cikin sigar kyauta, kawai kuna da damar yin amfani da ƙimar tsaro da shawarwari don kawar da matsalolin da aka gano). Yana tattara dukkan lamuran tsaro wuri guda. A zahiri, zamu iya magana game da matakin tsaro mafi girma fiye da Azure Monitor yana ba ku, tunda a wannan yanayin ana wadatar bayanan da aka tattara a cikin masana'antar girgije ku ta amfani da tushe da yawa, kamar Azure, Office 365, Microsoft CRM akan layi, Microsoft Dynamics AX , outlook .com, MSN.com, Microsoft Digital Crimes Unit (DCU) da Microsoft Security Response Center (MSRC), wanda daban-daban na zamani koyo da kuma nazarin halaye algorithms aka sanya, wanda ya kamata a karshe inganta ingancin ganowa da kuma mayar da martani ga barazana. .

Hakanan Azure yana da SIEM ɗin sa - ya bayyana a farkon 2019. Wannan Azure Sentinel ne, wanda ya dogara da bayanai daga Azure Monitor kuma yana iya haɗawa da shi. hanyoyin tsaro na waje (misali, NGFW ko WAF), jerin waɗanda ke haɓaka koyaushe. Bugu da ƙari, ta hanyar haɗin Microsoft Graph Security API, kuna da ikon haɗa abubuwan da ke ba da bayanan Barazana zuwa Sentinel, wanda ke wadatar da damar yin nazarin abubuwan da suka faru a cikin girgijen ku na Azure. Ana iya jayayya cewa Azure Sentinel shine farkon "'yan ƙasa" SIEM wanda ya bayyana daga masu samar da girgije (Slunk iri ɗaya ko ELK, wanda za'a iya shirya shi a cikin girgije, alal misali, AWS, har yanzu ba a haɓaka ta hanyar masu ba da sabis na girgije na gargajiya). Azure Sentinel da Cibiyar Tsaro za a iya kiran su SOC don girgijen Azure kuma ana iya iyakance su (tare da wasu wuraren ajiya) idan ba ku da wani kayan aiki kuma kun canza duk albarkatun lissafin ku zuwa gajimare kuma zai zama Microsoft girgije Azure.

Amma tun da ginanniyar damar Azure (ko da kuna da biyan kuɗi zuwa Sentinel) sau da yawa ba su isa ba don dalilai na sa ido kan amincin bayanan da haɗa wannan tsari tare da sauran hanyoyin abubuwan tsaro (duka gajimare da na ciki), akwai buƙatar fitarwa bayanan da aka tattara zuwa tsarin waje, wanda zai iya haɗawa da SIEM. Ana yin wannan duka ta amfani da API kuma ta amfani da kari na musamman, waɗanda a halin yanzu ana samun su kawai don SIEM masu zuwa - Splunk (Azure Monitor Add-On for Splunk), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight da ELK. Har zuwa kwanan nan, akwai ƙarin irin waɗannan SIEMs, amma daga Yuni 1, 2019, Microsoft ya daina tallafawa kayan aikin haɗin kai na Azure Log (AzLog), wanda a farkon kasancewar Azure kuma idan babu daidaitaccen daidaitaccen aiki tare da rajistan ayyukan (Azure). Mai saka idanu bai wanzu ba tukuna) ya sauƙaƙe haɗa SIEM na waje tare da girgijen Microsoft. Yanzu yanayin ya canza kuma Microsoft yana ba da shawarar dandalin Azure Event Hub a matsayin babban kayan aikin haɗin kai don sauran SIEMs. Mutane da yawa sun riga sun aiwatar da irin wannan haɗin kai, amma ku yi hankali - ƙila ba za su kama duk rajistan ayyukan Azure ba, amma wasu kawai (duba cikin takaddun SIEM ɗin ku).

Ƙarshe taƙaitaccen balaguron balaguro zuwa Azure, Ina so in ba da cikakkiyar shawara game da wannan sabis ɗin girgije - kafin ku ce komai game da ayyukan sa ido kan tsaro a cikin Azure, ya kamata ku tsara su sosai kuma ku gwada cewa suna aiki kamar yadda aka rubuta a cikin takaddun. kamar yadda masu ba da shawara suka gaya muku Microsoft (kuma suna iya samun ra'ayi daban-daban akan ayyukan ayyukan Azure). Idan kuna da albarkatun kuɗi, zaku iya fitar da bayanai masu amfani da yawa daga Azure dangane da sa ido kan tsaro na bayanai. Idan albarkatun ku sun iyakance, to, kamar yadda yake a cikin AWS, dole ne ku dogara kawai da ƙarfin ku da albarkatun da Azure Monitor ke ba ku. Kuma ku tuna cewa yawancin ayyukan saka idanu suna kashe kuɗi kuma yana da kyau ku san kanku da manufofin farashi a gaba. Misali, kyauta zaku iya adana bayanan kwanaki 31 har zuwa matsakaicin 5 GB ga kowane abokin ciniki - wuce waɗannan ƙimar zai buƙaci ku fitar da ƙarin kuɗi (kimanin $2+ don adana kowane ƙarin GB daga abokin ciniki da $ 0,1 don adana 1 GB kowane ƙarin wata). Yin aiki tare da aikace-aikacen telemetry da ma'auni na iya buƙatar ƙarin kuɗi, da kuma aiki tare da faɗakarwa da sanarwa (akwai ƙayyadaddun iyaka don kyauta, wanda ƙila bai isa ga bukatunku ba).

Misali: Sa ido kan tsaro na bayanai a cikin IaaS bisa tushen Google Cloud Platform

Google Cloud Platform yayi kama da matashi idan aka kwatanta da AWS da Azure, amma wannan bangare ne mai kyau. Ba kamar AWS ba, wanda ya ƙara ƙarfinsa, ciki har da na tsaro, a hankali, yana da matsaloli tare da tsakiya; GCP, kamar Azure, an fi sarrafa shi sosai a tsakiya, wanda ke rage kurakurai da lokacin aiwatarwa a cikin kasuwancin. Daga ra'ayi na tsaro, GCP, abin ban mamaki ne, tsakanin AWS da Azure. Hakanan yana da rajista guda ɗaya ga ƙungiyar gaba ɗaya, amma bai cika ba. Wasu ayyuka har yanzu suna cikin yanayin beta, amma sannu a hankali yakamata a kawar da wannan rashi kuma GCP zai zama babban dandamali dangane da sa ido kan tsaro na bayanai.

Babban kayan aiki don shiga abubuwan da ke faruwa a cikin GCP shine Stackdriver Logging (kamar Azure Monitor), wanda ke ba ku damar tattara abubuwan da suka faru a duk faɗin kayan aikin girgijenku (da kuma daga AWS). Daga yanayin tsaro a GCP, kowace ƙungiya, aiki ko babban fayil tana da rajistan ayyukan guda huɗu:

• Ayyukan Gudanarwa - ya ƙunshi duk abubuwan da suka shafi samun damar gudanarwa, misali, ƙirƙirar na'ura mai mahimmanci, canza haƙƙin shiga, da sauransu. Wannan log ɗin koyaushe ana rubuta shi, ba tare da la'akari da sha'awar ku ba, kuma yana adana bayanansa har tsawon kwanaki 400.
• Samun Bayanai - ya ƙunshi duk abubuwan da suka shafi aiki tare da bayanai ta masu amfani da girgije (ƙirƙira, gyarawa, karatu, da sauransu). Ta hanyar tsoho, wannan log ɗin ba a rubuta shi ba, saboda ƙarar sa yana kumbura da sauri. A saboda wannan dalili, ta shiryayye shi ne kawai kwanaki 30. Ƙari ga haka, ba duk abin da aka rubuta a wannan mujallar ba. Misali, abubuwan da suka shafi albarkatu waɗanda ke da damar jama'a ga duk masu amfani ko waɗanda ke da damar shiga ba tare da shiga cikin GCP ba ba a rubuta musu ba.
• Taron Tsarin - ya ƙunshi abubuwan da ba su da alaƙa da masu amfani, ko ayyukan mai gudanarwa wanda ke canza tsarin albarkatun girgije. Kullum ana rubutawa kuma ana adana shi har tsawon kwanaki 400.
• Fassara Haɗin Kai wani misali ne na musamman na log ɗin da ke ɗaukar duk ayyukan ma'aikatan Google (amma ba tukuna don duk ayyukan GCP ba) waɗanda ke samun damar abubuwan more rayuwa a matsayin wani ɓangare na ayyukansu. Ana adana wannan log ɗin har tsawon kwanaki 400 kuma baya samuwa ga kowane abokin ciniki na GCP, amma kawai idan an cika sharuɗɗa da yawa (ko dai tallafin matakin Zinariya ko Platinum, ko kasancewar ayyuka 4 na wani nau'i a matsayin ɓangare na tallafin kamfani). Hakanan ana samun irin wannan aikin, alal misali, a cikin Office 365 - Akwatin Kulle.

Misalin shiga: Haɗin kai

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Samun damar zuwa waɗannan rajistan ayyukan yana yiwuwa ta hanyoyi da yawa (daidai da yadda aka tattauna a baya Azure da AWS) - ta hanyar dubawar Log Viewer, ta API, ta Google Cloud SDK, ko ta hanyar Ayyukan Ayyukan aikin da kuke so. suna sha'awar abubuwan da suka faru. Hakazalika, ana iya fitar da su zuwa mafita na waje don ƙarin bincike. Ana yin na ƙarshe ta hanyar fitar da rajistan ayyukan zuwa BigQuery ko Cloud Pub/Sub ma'aji.

Baya ga Stackdriver Logging, tsarin GCP yana ba da ayyuka na Kula da Stackdriver, wanda ke ba ku damar saka idanu ma'auni mai mahimmanci (aiki, MTBF, lafiyar gaba ɗaya, da sauransu) na sabis na girgije da aikace-aikace. Bayanan da aka sarrafa da gani na iya sauƙaƙa samun matsaloli a cikin kayan aikin girgijen ku, gami da yanayin tsaro. Amma ya kamata a lura cewa wannan aikin ba zai kasance mai wadata sosai a cikin mahallin tsaro na bayanai ba, tunda a yau GCP ba shi da kwatankwacin AWS GuardDuty iri ɗaya kuma ba zai iya gano munanan abubuwa a cikin duk abubuwan da aka yi rajista ba (Google ya haɓaka Ganewar Barazana, amma har yanzu yana kan ci gaba a cikin beta kuma yana da wuri don yin magana game da fa'idarsa). Ana iya amfani da Kulawar Stackdriver azaman tsarin gano abubuwan da ba su da kyau, wanda za'a bincika don gano musabbabin faruwar su. Amma idan aka yi la'akari da rashin ma'aikatan da suka cancanta a fannin tsaro na GCP a kasuwa, wannan aikin yana da wahala a halin yanzu.

Hakanan yana da daraja bayar da jerin wasu samfuran tsaro na bayanai waɗanda za a iya amfani da su a cikin gajimare na GCP, kuma waɗanda suke kama da abin da AWS ke bayarwa:

• Cibiyar Umurnin Tsaro ta Cloud analog ce ta AWS Tsaro Hub da Cibiyar Tsaro ta Azure.
• Cloud DLP - Ganowa ta atomatik da gyarawa (misali masking) na bayanan da aka shirya a cikin gajimare ta amfani da manufofin rarrabuwa sama da 90.
• Cloud Scanner shine na'urar daukar hotan takardu don sanannun raunin (XSS, Flash Injection, dakunan karatu marasa faci, da sauransu) a cikin Injin App, Injin Lissafi da Google Kubernetes.
• Cloud IAM - Sarrafa samun dama ga duk albarkatun GCP.
• Identity Cloud - Sarrafa mai amfani da GCP, na'ura da asusun aikace-aikace daga na'ura mai kwakwalwa guda ɗaya.
• Cloud HSM - kariya na maɓallan sirri.
• Sabis ɗin Gudanar da Maɓalli na Cloud - sarrafa maɓallan sirri a cikin GCP.
• Ikon Sabis na VPC - Ƙirƙiri amintaccen kewaye kewaye da albarkatun GCP ɗin ku don kare su daga yaɗuwa.
• Maɓallin Tsaro na Titan - kariya daga phishing.

Yawancin waɗannan nau'ikan suna haifar da abubuwan tsaro waɗanda za'a iya aikawa zuwa ajiyar BigQuery don bincike ko fitarwa zuwa wasu tsarin, gami da SIEM. Kamar yadda aka ambata a sama, GCP dandamali ne mai haɓakawa kuma Google yanzu yana haɓaka sabbin hanyoyin tsaro na bayanai don dandalin sa. Daga cikin su akwai Ganewar Barazana (yanzu ana cikin beta), wanda ke bincika rajistan ayyukan Stackdriver don neman alamun ayyukan da ba a ba da izini ba (mai kama da GuardDuty a cikin AWS), ko Sirrin Manufofin (akwai a cikin alpha), wanda zai ba ku damar haɓaka manufofin fasaha don haɓakawa. samun dama ga albarkatun GCP.

Na yi ɗan taƙaitaccen bayani game da ginanniyar damar sa ido a cikin shahararrun dandamalin girgije. Amma kuna da ƙwararrun ƙwararrun waɗanda ke da ikon yin aiki tare da rajistan ayyukan masu ba da “raw” IaaS (ba kowa ke shirye don siyan ci-gaba na iyawar AWS ko Azure ko Google ba)? Bugu da kari, mutane da yawa sun saba da karin maganar "amincewa, amma tabbatar," wanda ya fi kowane lokaci gaskiya a fagen tsaro. Nawa kuka amince da ginanniyar damar mai samar da girgije wanda ke aiko muku da abubuwan tsaro na bayanai? Nawa suke mayar da hankali kan tsaron bayanai kwata-kwata?

Wani lokaci yana da kyau a duba hanyoyin sa ido kan ababen more rayuwa masu rufi waɗanda za su iya dacewa da ginanniyar tsaro na girgije, kuma wani lokacin irin waɗannan hanyoyin su ne kawai zaɓi don samun haske game da amincin bayanan ku da aikace-aikacen da aka shirya a cikin gajimare. Bugu da ƙari, sun fi dacewa da sauƙi, tun da yake suna ɗaukar duk ayyuka na nazarin rajistan ayyukan da ayyuka daban-daban suka haifar daga masu samar da girgije daban-daban. Misali na irin wannan bayani mai rufi shine Cisco Stealthwatch Cloud, wanda aka mayar da hankali kan ɗawainiya guda ɗaya - sa ido kan abubuwan tsaro na tsaro a cikin yanayin girgije, gami da ba kawai Amazon AWS, Microsoft Azure da Google Cloud Platform ba, har ma da girgije masu zaman kansu.

Misali: Kula da Tsaron Bayanai Ta Amfani da Cloud Cloud

AWS yana ba da dandamali mai sassaucin ra'ayi, amma wannan sassauci yana sauƙaƙe kamfanoni don yin kuskuren da ke haifar da matsalolin tsaro. Kuma tsarin tsaro na bayanan da aka raba yana ba da gudummawa ga wannan kawai. Software mai gudana a cikin gajimare tare da raunin da ba a sani ba (sanannun ana iya magance su, alal misali, ta AWS Inspector ko GCP Cloud Scanner), kalmomin shiga mara ƙarfi, daidaitawa mara kyau, masu ciki, da sauransu. Kuma duk wannan yana nunawa a cikin halayen albarkatun girgije, wanda Cisco Stealthwatch Cloud zai iya kulawa, wanda shine tsarin kulawa da tsaro na bayanai da kuma gano harin. gizagizai na jama'a da masu zaman kansu.

Ɗaya daga cikin mahimman fasalulluka na Cisco Stealthwatch Cloud shine ikon yin ƙira ga ƙungiyoyi. Tare da shi, zaku iya ƙirƙirar ƙirar software (wato, kwaikwaiyo na kusa-kusa) na kowane albarkatun girgijenku (ba komai ko AWS ne, Azure, GCP, ko wani abu dabam). Waɗannan na iya haɗawa da sabar da masu amfani, da kuma nau'ikan albarkatu na musamman ga yanayin girgijen ku, kamar ƙungiyoyin tsaro da ƙungiyoyin ma'auni na auto. Waɗannan samfuran suna amfani da tsayayyen rafukan bayanan da sabis ɗin girgije ke bayarwa azaman shigarwa. Misali, don AWS waɗannan zasu zama VPC Flow Logs, AWS CloudTrail, AWS CloudWatch, AWS Config, AWS Inspector, AWS Lambda, da AWS IAM. Samfuran mahalli ta atomatik yana gano matsayi da halayen kowane albarkatun ku (zaku iya magana game da bayyana duk ayyukan girgije). Waɗannan ayyuka sun haɗa da na'urar wayar hannu ta Android ko Apple, uwar garken Citrix PVS, uwar garken RDP, ƙofar wasiƙa, abokin ciniki na VoIP, sabar tasha, mai sarrafa yanki, da sauransu. Sannan yana ci gaba da saka idanu akan halayensu don tantance lokacin da haɗari ko halayen haɗari na aminci ya faru. Kuna iya gano tsinkayar kalmar sirri, hare-haren DDoS, leaks bayanai, shiga cikin nesa ba bisa ka'ida ba, ayyukan lambar qeta, duban rauni da sauran barazanar. Misali, wannan shine abin gano ƙoƙarin samun nesa daga wata ƙasa mai kama da ƙungiyar ku (Koriya ta Kudu) zuwa gungu na Kubernetes ta hanyar SSH yayi kama da:

Kuma wannan shi ne abin da ake zargin fitar da bayanai daga ma’adanar bayanai ta Postgress zuwa kasar da a baya ba mu taba yin mu’amala da ita ba kamar haka:

A ƙarshe, wannan shine abin da yunƙurin SSH da yawa suka gaza daga China da Indonesia daga na'urar nesa ta waje kamar:

Ko, a ɗauka cewa misalin uwar garken a cikin VPC, bisa manufa, ba zai zama wurin shiga mai nisa ba. Bari mu ƙara ɗauka cewa wannan kwamfutar ta sami tambarin nesa saboda kuskuren canji a manufofin dokokin Tacewar zaɓi. Siffar Model ɗin Haɗin za ta gano kuma ta ba da rahoton wannan aikin ("Bayanan Samun Nesa na Musamman") a kusa da ainihin lokaci kuma ya nuna takamaiman AWS CloudTrail, Azure Monitor, ko GCP Stackdriver Logging API kiran (ciki har da sunan mai amfani, kwanan wata da lokaci, tsakanin sauran cikakkun bayanai). wanda ya haifar da canji ga tsarin ITU. Sannan ana iya aika wannan bayanin zuwa SIEM don bincike.

Ana aiwatar da irin wannan damar don kowane yanayin girgije wanda Cisco Stealthwatch Cloud ke goyan bayan:

Samfuran mahalli wani nau'i ne na musamman na tsaro mai sarrafa kansa wanda zai iya fallasa wata matsala da ba a taɓa sani ba tare da mutanenka, matakai ko fasaha. Misali, yana ba ka damar gano, a tsakanin sauran abubuwa, matsalolin tsaro kamar:

• Shin wani ya gano kofa a cikin manhajar da muke amfani da ita?
• Shin akwai software ko na'ura na ɓangare na uku a cikin gajimaren mu?
• Shin mai amfani mai izini yana cin zarafin gata?
• Shin akwai kuskuren daidaitawa wanda ya ba da damar shiga nesa ko wasu amfani da albarkatun da ba a yi niyya ba?
• Shin akwai zubewar bayanai daga sabobin mu?
• Shin wani yana ƙoƙarin haɗa mu daga wani wuri mara kyau?
• Shin girgijen mu ya kamu da mugun code?

Ana iya aika taron tsaro na bayanan da aka gano ta hanyar tikitin da ya dace zuwa Slack, Cisco Spark, tsarin gudanarwa na faruwar lamarin PagerDuty, sannan kuma a aika zuwa SIEMs daban-daban, gami da Splunk ko ELK. Don taƙaitawa, zamu iya cewa idan kamfanin ku yana amfani da dabarun girgije da yawa kuma ba'a iyakance shi ga kowane mai samar da girgije ba, damar sa ido kan bayanan tsaro da aka bayyana a sama, sannan ta amfani da Cisco Stealthwatch Cloud shine zaɓi mai kyau don samun haɗin haɗin gwiwar sa ido. iyawa ga manyan 'yan wasan girgije - Amazon , Microsoft da Google. Abu mafi ban sha'awa shi ne cewa idan kun kwatanta farashin Stealthwatch Cloud tare da lasisin ci gaba don sa ido kan tsaro na bayanai a cikin AWS, Azure ko GCP, yana iya zama cewa maganin Cisco zai zama mai rahusa fiye da ginanniyar damar Amazon, Microsoft. da Google Solutions. Yana da paradoxical, amma gaskiya ne. Kuma da yawan gizagizai da ƙarfinsu da kuke amfani da su, mafi ƙaranci fa'idar ingantaccen bayani zai kasance.

Bugu da ƙari, Stealthwatch Cloud na iya sa ido kan gajimare masu zaman kansu da aka tura a cikin ƙungiyar ku, alal misali, dangane da kwantena Kubernetes ko ta hanyar sa ido kan kwararar Netflow ko zirga-zirgar hanyar sadarwa da aka samu ta hanyar madubi a cikin kayan aikin cibiyar sadarwa (har ma da aka samar a cikin gida), bayanan AD ko sabar DNS da sauransu. Duk waɗannan bayanan za a arzuta su da bayanan Barazana da Sisiko Talos, babbar ƙungiyar masu binciken barazanar tsaro ta intanet mai zaman kanta ta duniya.

Wannan yana ba ku damar aiwatar da tsarin sa ido ɗaya don duka jama'a da gizagizai waɗanda kamfanin ku na iya amfani da su. Ana iya yin nazarin bayanan da aka tattara ta amfani da ginanniyar iyawar Stealthwatch Cloud ko aika zuwa SIEM ɗinku (Splunk, ELK, SumoLogic da wasu da yawa ana tallafawa ta tsohuwa).

Tare da wannan, za mu kammala kashi na farko na labarin, wanda na sake nazarin kayan aikin da aka gina da kuma na waje don kula da tsaro na bayanai na dandamali na IaaS / PaaS, wanda ya ba mu damar ganowa da sauri da amsa abubuwan da ke faruwa a cikin yanayin girgije. kasuwancinmu ya zaba. A cikin kashi na biyu, za mu ci gaba da batun kuma mu dubi zaɓuɓɓuka don saka idanu akan dandamali na SaaS ta yin amfani da misalin Salesforce da Dropbox, kuma za mu yi ƙoƙari mu taƙaitawa da kuma haɗa kome da kome ta hanyar samar da tsarin tsaro na tsaro na bayanai ga masu samar da girgije daban-daban.

source: www.habr.com