Ƙarin masu amfani suna kawo dukkan kayan aikin su na IT zuwa ga girgijen jama'a. Koyaya, idan kula da rigakafin ƙwayoyin cuta bai isa ba a cikin kayan aikin abokin ciniki, haɗarin cyber mai tsanani ya taso. Aiki ya nuna cewa kusan kashi 80% na ƙwayoyin cuta da ke wanzu suna rayuwa daidai a cikin yanayin kama-da-wane. A cikin wannan sakon za mu yi magana game da yadda ake kare albarkatun IT a cikin gajimare na jama'a da kuma dalilin da yasa riga-kafi na gargajiya ba su dace da waɗannan dalilai ba.
Da farko, za mu gaya muku yadda muka zo ga ra'ayin cewa kayan aikin kariya na rigakafi na yau da kullun ba su dace da gajimare na jama'a ba kuma ana buƙatar sauran hanyoyin kare albarkatu.
Na farko, masu samarwa gabaɗaya suna ba da matakan da suka dace don tabbatar da cewa an kare dandamalin girgijen su a babban matakin. Misali, a #CloudMTS muna nazarin duk zirga-zirgar hanyar sadarwa, saka idanu kan rajistan ayyukan tsarin tsaro na gajimaren mu, kuma muna yin pentests akai-akai. Hakanan dole ne a kiyaye sassan Cloud da aka kebe ga kowane abokin ciniki.
Na biyu, zaɓin gargajiya don yaƙar haɗarin yanar gizo ya haɗa da shigar da kayan aikin riga-kafi da kayan sarrafa riga-kafi akan kowace injin kama-da-wane. Duk da haka, tare da adadi mai yawa na inji mai mahimmanci, wannan aikin na iya zama maras amfani kuma yana buƙatar albarkatun ƙididdiga masu yawa, don haka ya kara ɗora kayan aikin abokin ciniki da rage yawan aikin girgije. Wannan ya zama babban abin da ake buƙata don nemo sabbin hanyoyin gina ingantacciyar kariya ta rigakafin ƙwayoyin cuta don injunan kwastomomi.
Bugu da ƙari, yawancin maganin rigakafi a kasuwa ba a daidaita su don magance matsalolin kare albarkatun IT a cikin yanayin girgije na jama'a. A matsayinka na mai mulki, sune mafita na EPP masu nauyi (Tsarin Kariya na Ƙarshen), wanda, haka kuma, ba sa samar da gyare-gyaren da ake bukata a gefen abokin ciniki na mai samar da girgije.
Ya zama a bayyane cewa mafita na riga-kafi na gargajiya ba su dace da aiki a cikin gajimare ba, tunda suna ɗaukar nauyin kayan aikin kama-da-wane yayin sabuntawa da dubawa, kuma ba su da matakan da suka dace na gudanarwa da saiti na tushen rawar. Na gaba, za mu bincika daki-daki dalilin da ya sa girgijen ke buƙatar sabbin hanyoyin kariya na rigakafin ƙwayoyin cuta.
Abin da riga-kafi a cikin gajimare ya kamata ya iya yi
Don haka, bari mu mai da hankali ga ƙayyadaddun aiki a cikin yanayin kama-da-wane:
Ingantacciyar sabuntawa da duban taro da aka tsara. Idan adadi mai yawa na injunan kama-da-wane ta amfani da riga-kafi na gargajiya sun fara sabuntawa a lokaci guda, abin da ake kira "guguwa" na sabuntawa zai faru a cikin gajimare. Ƙarfin rundunar ESXi mai ɗaukar nauyin injuna da yawa maiyuwa ba zai isa ya ɗauki nauyin ɗawainiya iri ɗaya da ke gudana ta tsohuwa ba. Daga ra'ayi na mai samar da girgije, irin wannan matsala na iya haifar da ƙarin kaya a kan yawan rundunonin ESXi, wanda a ƙarshe zai haifar da raguwa a cikin ayyukan kayan aikin girgije. Wannan na iya, a tsakanin wasu abubuwa, yana shafar aikin injuna na sauran abokan cinikin girgije. Irin wannan yanayi na iya tasowa lokacin ƙaddamar da babban binciken: aiki tare ta tsarin faifai na buƙatun iri ɗaya da yawa daga masu amfani daban-daban zai yi mummunan tasiri ga ayyukan girgije duka. Tare da babban matakin yuwuwar, raguwar aikin tsarin ajiya zai shafi duk abokan ciniki. Irin waɗannan abubuwan ba zato ba tsammani ba sa faranta wa mai bayarwa ko abokan cinikinsa daɗi, saboda suna shafar “maƙwabta” a cikin gajimare. Daga wannan ra'ayi, riga-kafi na gargajiya na iya haifar da babbar matsala.
Keɓe masu aminci. Idan an gano fayil ko takarda mai yuwuwar kamuwa da ƙwayar cuta akan tsarin, ana aika shi zuwa keɓe. Tabbas, ana iya share fayil ɗin da ya kamu da cutar nan da nan, amma wannan sau da yawa ba a yarda da shi ga yawancin kamfanoni. Kamfanonin riga-kafi na kamfanoni waɗanda ba a daidaita su don aiki a cikin gajimare na masu samarwa, a matsayin mai mulkin, suna da yankin keɓe na gama gari - duk abubuwan da suka kamu da cutar sun fada cikinsa. Misali, wadanda aka samu akan kwamfutocin masu amfani da kamfani. Abokan ciniki na mai ba da girgije suna "rayuwa" a cikin sassan nasu (ko masu haya). Waɗannan ɓangarorin ba su da fa'ida kuma sun keɓe: abokan ciniki ba su san juna ba kuma, ba shakka, ba sa ganin abin da wasu ke ɗauka a cikin gajimare. Babu shakka, keɓewar gabaɗaya, wanda duk masu amfani da riga-kafi a cikin gajimare za su iya shiga, na iya haɗawa da daftarin aiki mai ɗauke da bayanan sirri ko sirrin kasuwanci. Wannan ba abin karɓa ba ne ga mai bayarwa da abokan cinikinsa. Saboda haka, za a iya samun mafita guda ɗaya kawai - keɓe kai ga kowane abokin ciniki a cikin sashinsa, inda mai ba da sabis ko sauran abokan ciniki ba su da damar shiga.
Manufofin tsaro na mutum ɗaya. Kowane abokin ciniki a cikin gajimare wani kamfani ne daban, wanda sashen IT ya tsara manufofin tsaro. Misali, masu gudanarwa suna ayyana ka'idojin dubawa da tsara tsarin sikanin rigakafin ƙwayoyin cuta. Saboda haka, dole ne kowace ƙungiya ta sami cibiyar sarrafa kanta don tsara manufofin riga-kafi. A lokaci guda, ƙayyadaddun saitunan bai kamata su shafi sauran abokan cinikin girgije ba, kuma mai samarwa yakamata ya iya tabbatar da cewa, alal misali, ana aiwatar da sabuntawar riga-kafi azaman al'ada ga duk injunan kama-da-wane na abokin ciniki.
Ƙungiya na lissafin kuɗi da lasisi. Samfurin girgije yana da alaƙa da sassauci kuma ya haɗa da biyan kuɗi kawai don adadin albarkatun IT da abokin ciniki yayi amfani da su. Idan akwai buƙata, alal misali, saboda yanayin yanayi, to ana iya ƙara yawan albarkatun da sauri ko rage - duk bisa ga bukatun yau da kullun na ikon sarrafa kwamfuta. riga-kafi na al'ada ba shi da sassauƙa sosai - a matsayin mai mulkin, abokin ciniki yana siyan lasisi na shekara guda don adadin adadin sabar ko wuraren aiki. Masu amfani da gajimare akai-akai suna cire haɗin kai da haɗa ƙarin injunan kama-da-wane dangane da buƙatun su na yanzu - saboda haka, lasisin riga-kafi dole ne ya goyi bayan ƙirar iri ɗaya.
Tambaya ta biyu ita ce menene ainihin lasisin zai rufe. An ba da lasisin riga-kafi na gargajiya ta adadin sabar ko wuraren aiki. Lasisi dangane da adadin injunan kama-da-wane da aka kayyade ba su dace gaba ɗaya ba a cikin ƙirar gajimare. Abokin ciniki zai iya ƙirƙirar kowane adadin injunan kama-da-wane da suka dace da shi daga albarkatun da ake da su, misali, injuna biyar ko goma. Wannan lambar ba ta dawwama ga yawancin abokan ciniki; ba zai yuwu a gare mu, a matsayin mai bayarwa, mu bi diddigin canje-canjensa ba. Babu yuwuwar fasaha don lasisi ta CPU: abokan ciniki suna karɓar na'urori masu sarrafawa (vCPUs), waɗanda yakamata a yi amfani da su don lasisi. Don haka, sabon tsarin kariya na rigakafin cutar ya kamata ya haɗa da ikon abokin ciniki don tantance adadin da ake buƙata na vCPUs wanda zai karɓi lasisin rigakafin cutar.
Yarda da doka. Wani muhimmin batu, tun da mafita da aka yi amfani da su dole ne su tabbatar da biyan bukatun mai gudanarwa. Alal misali, "mazauna" girgije yakan yi aiki tare da bayanan sirri. A wannan yanayin, dole ne mai bada sabis ya sami keɓantaccen ɓangaren gajimare wanda ya cika cikakkiyar buƙatun Dokar Bayanan Bayanai. Sa'an nan kamfanoni ba sa buƙatar "gina" da kansa gabaɗayan tsarin don aiki tare da bayanan sirri: siyan ingantattun kayan aiki, haɗawa da daidaita shi, da samun takaddun shaida. Don kariyar cyber na ISPD na irin waɗannan abokan ciniki, riga-kafi dole ne kuma ya bi ka'idodin dokokin Rasha kuma yana da takardar shaidar FSTEC.
Mun duba ka'idojin wajibi wanda kariya ta riga-kafi a cikin gajimaren jama'a dole ne ya cika. Na gaba, za mu raba namu gwaninta wajen daidaita maganin riga-kafi don yin aiki a cikin gajimaren mai bayarwa.
Ta yaya za ku iya yin abokai tsakanin riga-kafi da gajimare?
Kamar yadda kwarewarmu ta nuna, zabar mafita dangane da bayanin da takaddun abu abu ɗaya ne, amma aiwatar da shi a aikace a cikin yanayin girgije mai aiki da ya riga ya kasance aiki ne daban-daban dangane da rikitarwa. Za mu gaya muku abin da muka yi a aikace da kuma yadda muka daidaita riga-kafi don aiki a cikin gajimare na jama'a na mai bayarwa. Mai siyar da maganin rigakafin cutar shine Kaspersky, wanda fayil ɗinsa ya haɗa da hanyoyin kariya na rigakafin ƙwayoyin cuta don yanayin girgije. Mun zauna a kan "Kaspersky Security for Virtualization" (Agent Light).
Ya haɗa da na'ura mai kwakwalwa ta Kaspersky Security Center guda ɗaya. Wakilin haske da injina na tsaro (SVM, Injin Tsaro na Tsaro) da uwar garken haɗin KSC.
Bayan da muka yi nazarin tsarin gine-gine na Kaspersky bayani kuma mun gudanar da gwaje-gwaje na farko tare da injiniyoyin masu sayarwa, tambaya ta taso game da haɗa sabis a cikin girgije. An aiwatar da aiwatarwa na farko tare da haɗin gwiwa a wurin girgijen Moscow. Kuma abin da muka gane ke nan.
Domin rage yawan zirga-zirgar hanyar sadarwa, an yanke shawarar sanya SVM akan kowane mai masaukin ESXi da kuma “ƙulla” SVM ga rundunonin ESXi. A wannan yanayin, ma'aikatan haske na injunan kama-da-wane masu kariya suna samun damar SVM na ainihin rundunar ESXi da suke gudana. An zaɓi wani ɗan haya na daban don babban KSC. Sakamakon haka, ƙananan KSCs suna cikin masu haya na kowane abokin ciniki kuma suna magance mafi girman KSC da ke cikin sashin gudanarwa. Wannan makirci yana ba ku damar magance matsalolin da ke tasowa a cikin masu haya na abokin ciniki.
Baya ga al'amurran da suka shafi haɓaka abubuwan da ke cikin maganin rigakafin cutar kansa, mun fuskanci aikin tsara hulɗar hanyar sadarwa ta hanyar ƙirƙirar ƙarin VxLANs. Kuma ko da yake an yi niyya da farko don abokan ciniki na kasuwanci tare da gizagizai masu zaman kansu, tare da taimakon ƙwararren injiniya da sassaucin fasaha na NSX Edge mun sami damar magance duk matsalolin da ke tattare da rabuwa na masu haya da lasisi.
Mun yi aiki tare da injiniyoyin Kaspersky. Don haka, a cikin aiwatar da nazarin tsarin gine-ginen mafita dangane da hulɗar hanyar sadarwa tsakanin sassan tsarin, an gano cewa, ban da samun dama daga ma'aikatan haske zuwa SVM, ra'ayi yana da mahimmanci - daga SVM zuwa masu haske. Wannan haɗin yanar gizon ba zai yiwu ba a cikin mahalli masu yawa saboda yuwuwar saitunan cibiyar sadarwa iri ɗaya na injunan kama-da-wane a cikin masu hayar girgije daban-daban. Sabili da haka, a buƙatarmu, abokan aiki daga mai siyar sun sake yin aikin hanyar sadarwa ta hanyar sadarwa tsakanin ma'aikacin haske da SVM dangane da kawar da buƙatar haɗin yanar gizo daga SVM zuwa masu haske.
Bayan da aka ƙaddamar da maganin kuma an gwada shi a kan shafin yanar gizon Moscow, mun sake maimaita shi zuwa wasu shafuka, ciki har da ɓangaren girgijen da aka tabbatar. Ana samun sabis ɗin a duk yankuna na ƙasar.
Gine-ginen hanyar tsaro na bayanai a cikin tsarin sabuwar hanya
Babban tsarin aiki na maganin riga-kafi a cikin yanayin girgije na jama'a shine kamar haka:
Tsarin aiki na maganin riga-kafi a cikin yanayin girgije na jama'a #CloudMTS
Bari mu bayyana fasalulluka na aiki na abubuwa guda ɗaya na mafita a cikin gajimare:
• Na'urar wasan bidiyo guda ɗaya wanda ke ba abokan ciniki damar sarrafa tsarin kariya a tsakiya: gudanar da bincike, sarrafa ɗaukakawa da saka idanu wuraren keɓe. Yana yiwuwa a saita manufofin tsaro guda ɗaya a cikin ɓangaren ku.
Ya kamata a lura cewa ko da yake mu masu bada sabis ne, ba ma tsoma baki tare da saitunan da abokan ciniki suka saita. Abin da kawai za mu iya yi shi ne sake saita manufofin tsaro zuwa daidaitattun su idan sake fasalin ya zama dole. Misali, wannan na iya zama dole idan abokin ciniki ya matsa su da gangan ko ya raunana su sosai. Kamfanin koyaushe na iya karɓar cibiyar sarrafawa tare da tsare-tsaren tsare-tsare, wanda zai iya saita kansa. Rashin hasara na Cibiyar Tsaro ta Kaspersky shine cewa dandamali a halin yanzu yana samuwa ga tsarin aiki na Microsoft kawai. Kodayake wakilai masu nauyi na iya aiki tare da na'urorin Windows da Linux. Koyaya, Kaspersky Lab yayi alkawarin cewa nan gaba KSC zai yi aiki a ƙarƙashin Linux OS. Ɗaya daga cikin mahimman ayyukan KSC shine ikon sarrafa keɓewa. Kowane kamfani na abokin ciniki a cikin girgijenmu yana da na sirri. Wannan hanyar tana kawar da yanayi inda takaddar da ta kamu da ƙwayar cuta ta bazata ta zama bayyane a bainar jama'a, kamar yadda zai iya faruwa a yanayin riga-kafi na kamfani tare da keɓe gabaɗaya.
• Masu haske. A matsayin wani ɓangare na sabon ƙirar, an shigar da wakili na Kaspersky Security mai nauyi akan kowace injin kama-da-wane. Wannan yana kawar da buƙatar adana bayanan anti-virus akan kowane VM, wanda ke rage adadin sararin diski da ake buƙata. Sabis ɗin yana haɗawa tare da kayan aikin girgije kuma yana aiki ta hanyar SVM, wanda ke ƙaruwa da yawa na injunan kama-da-wane akan mai masaukin ESXi da kuma aiwatar da duk tsarin girgije. Wakilin haske yana gina jerin ayyuka don kowane injin kama-da-wane: duba tsarin fayil, ƙwaƙwalwar ajiya, da sauransu. Amma SVM ne ke da alhakin aiwatar da waɗannan ayyuka, waɗanda za mu yi magana game da su daga baya. Wakilin kuma yana aiki azaman bangon wuta, yana sarrafa manufofin tsaro, aika fayilolin da suka kamu da cutar zuwa keɓewa da kuma lura da gabaɗayan "lafiya" na tsarin aiki da aka shigar dashi. Ana iya sarrafa duk waɗannan ta amfani da na'ura mai kwakwalwa guda ɗaya da aka ambata.
• Tsaro Virtual Machine. Duk ayyuka masu ƙarfi na albarkatu (sabuwar bayanan anti-virus, shirye-shiryen sikanin da aka tsara) ana sarrafa su ta wani Injin Tsaro na Musamman (SVM). Ita ce ke da alhakin gudanar da cikakken ingin anti-virus da kuma bayanan bayanai don shi. Kayan aikin IT na kamfani na iya haɗawa da SVM da yawa. Wannan tsarin yana ƙara amincin tsarin - idan injin ɗaya ya gaza kuma bai amsa ba tsawon daƙiƙa talatin, wakilai ta atomatik suna fara neman wani.
• KSC uwar garken haɗin kai. Ɗaya daga cikin abubuwan da ke cikin babban KSC, wanda ke ba da SVMs ɗin sa ga masu haske daidai da algorithm da aka ƙayyade a cikin saitunan sa, kuma yana sarrafa samuwa na SVMs. Don haka, wannan ƙirar software tana ba da daidaita nauyi a duk SVMs na kayan aikin girgije.
Algorithm don aiki a cikin gajimare: rage nauyi akan abubuwan more rayuwa
Gabaɗaya, ana iya wakilta algorithm na riga-kafi kamar haka. Wakilin ya isa ga fayil ɗin akan injin kama-da-wane kuma ya duba shi. Ana adana sakamakon tabbatarwa a cikin bayanan shari'a na SVM gama gari (wanda ake kira Shared Cache), kowane shigarwa wanda ke gano samfurin fayil na musamman. Wannan hanya tana ba ku damar tabbatar da cewa ba a bincika fayil iri ɗaya sau da yawa a jere (misali, idan an buɗe shi akan injina daban-daban). Ana sake duba fayil ɗin idan an yi masa canje-canje ko kuma an fara sikanin da hannu.
Aiwatar da maganin riga-kafi a cikin gajimaren mai bayarwa
Hoton yana nuna zane na gaba ɗaya na aiwatar da mafita a cikin gajimare. Babban Cibiyar Tsaro ta Kaspersky tana cikin yankin sarrafawa na gajimare, kuma ana tura SVM guda ɗaya akan kowane mai masaukin ESXi ta amfani da sabar haɗin gwiwar KSC (kowane mai masaukin ESXi yana da nasa SVM a haɗe tare da saiti na musamman akan VMware vCenter Server). Abokan ciniki suna aiki a cikin sassan girgijen nasu, inda injinan kama-da-wane tare da wakilai suke. Ana sarrafa su ta hanyar sabar KSC guda ɗaya waɗanda ke ƙarƙashin babban KSC. Idan ya zama dole don kare ƙananan injunan kama-da-wane (har zuwa 5), ana iya ba abokin ciniki damar yin amfani da na'urar wasan bidiyo na sabar KSC ta musamman. Ana gudanar da hulɗar hanyar sadarwa tsakanin abokan ciniki KSCs da babban KSC, da kuma wakilai masu haske da SVMs, ta hanyar amfani da NAT ta hanyar EdgeGW abokin ciniki kama-da-wane.
Dangane da ƙididdigar mu da sakamakon gwaje-gwajen abokan aiki a dillali, Wakilin Haske yana rage nauyi akan ababen more rayuwa na abokan ciniki da kusan 25% (idan aka kwatanta da tsarin amfani da software na rigakafin ƙwayoyin cuta na gargajiya). Musamman ma, daidaitaccen riga-kafi na Kaspersky Endpoint Security (KES) don mahalli na zahiri yana cinye kusan sau biyu yawan lokacin uwar garken CPU (2,95%) azaman mafita na tushen tushen nauyi mai nauyi (1,67%).
ginshiƙi kwatanta nauyin CPU
Ana lura da irin wannan yanayin tare da mitar shigar da rubutun faifai: don riga-kafi na yau da kullun shine 1011 IOPS, don riga-kafi na girgije yana 671 IOPS.
jadawali kwatancen samun damar diski
Amfanin aikin yana ba ku damar kiyaye kwanciyar hankali na ababen more rayuwa da amfani da ikon sarrafa kwamfuta da inganci. Ta hanyar daidaitawa don aiki a cikin yanayin girgije na jama'a, maganin ba zai rage aikin girgije ba: yana bincika fayiloli a tsakiya da kuma zazzagewar sabuntawa, rarraba kaya. Wannan yana nufin cewa, a gefe guda, ba za a rasa barazanar da ta dace da kayan aikin girgije ba, a gefe guda, za a rage buƙatun albarkatun don na'urori masu mahimmanci da matsakaicin 25% idan aka kwatanta da riga-kafi na gargajiya.
Dangane da aiki, duka mafita suna kama da juna sosai: a ƙasa akwai tebur kwatanta. Koyaya, a cikin gajimare, kamar yadda sakamakon gwajin da ke sama ya nuna, har yanzu yana da kyau a yi amfani da mafita don mahallin kama-da-wane.
Game da jadawalin kuɗin fito a cikin tsarin sabuwar hanyar. Mun yanke shawarar yin amfani da ƙirar da ke ba mu damar samun lasisi dangane da adadin vCPUs. Wannan yana nufin cewa adadin lasisi zai zama daidai da adadin vCPUs. Kuna iya gwada riga-kafi ta barin buƙata .
A cikin labarin na gaba game da batutuwan girgije, za mu yi magana game da juyin halittar WAFs na girgije da abin da ya fi dacewa don zaɓar: hardware, software ko girgije.
An shirya rubutun ta hanyar ma'aikatan mai samar da girgije #CloudMTS: Denis Myagkov, manyan gine-gine da kuma Alexey Afanasyev, manajan ci gaban samfurin tsaro na bayanai.
source: www.habr.com