ProHoster > Blog > uprava > Sigurnosni nadzor u oblaku

Sigurnosni nadzor u oblaku

Premještanje podataka i aplikacija u oblak predstavlja novi izazov za korporativne SOC-ove, koji nisu uvijek spremni nadzirati tuđu infrastrukturu. Prema Netoskopeu, prosječno poduzeće (navodno u SAD-u) koristi 1246 različitih usluga u oblaku, što je 22% više nego prije godinu dana. 1246 usluga u oblaku!!! Od toga se 175 odnosi na HR usluge, 170 na marketing, 110 na područje komunikacija te 76 na financije i CRM. Cisco koristi “samo” 700 vanjskih usluga u oblaku. Pa sam malo zbunjen ovim brojevima. No, u svakom slučaju, problem nije u njima, već u činjenici da se oblak počinje prilično aktivno koristiti od strane sve većeg broja tvrtki koje bi željele imati iste mogućnosti praćenja cloud infrastrukture kao u vlastitoj mreži. I taj trend raste – prema prema Američkoj računskoj komori Do 2023. godine u Sjedinjenim Američkim Državama bit će zatvoreno 1200 podatkovnih centara (6250 ih je već zatvoreno). Ali prijelaz na oblak nije samo "premjestimo svoje poslužitelje vanjskom pružatelju usluga." Nova IT arhitektura, novi softver, novi procesi, nova ograničenja... Sve to donosi značajne promjene u radu ne samo informatičke, već i informacijske sigurnosti. A ako su se pružatelji naučili nekako nositi s osiguranjem sigurnosti samog oblaka (srećom, ima puno preporuka), onda s nadzorom sigurnosti informacija u oblaku, posebno na SaaS platformama, postoje značajne poteškoće o kojima ćemo govoriti.

Sigurnosni nadzor u oblaku

Recimo da je vaša tvrtka preselila dio svoje infrastrukture u oblak... Stanite. Ne ovim putem. Ako je infrastruktura prenesena, a vi tek sada razmišljate kako ćete je nadzirati, onda ste već izgubili. Osim ako se ne radi o Amazonu, Googleu ili Microsoftu (i onda s rezervom), vjerojatno nećete imati puno mogućnosti nadzirati svoje podatke i aplikacije. Dobro je ako vam se pruži prilika da radite s trupcima. Ponekad će podaci o sigurnosnim događajima biti dostupni, ali im nećete imati pristup. Primjerice, Office 365. Ako imate najjeftiniju E1 licencu, tada vam sigurnosni događaji uopće nisu dostupni. Ako imate licencu E3, vaši se podaci pohranjuju samo 90 dana, a samo ako imate licencu E5, trajanje zapisa dostupno je godinu dana (međutim, to također ima svoje nijanse vezane uz potrebu zasebnog zatražite niz funkcija za rad s zapisima od Microsoftove podrške). Usput, E3 licenca je puno slabija u smislu nadzornih funkcija od korporativne Exchange. Da biste postigli istu razinu, potrebna vam je licenca E5 ili dodatna licenca Advanced Compliance, što može zahtijevati dodatni novac koji nije uračunat u vaš financijski model za prelazak na infrastrukturu u oblaku. A ovo je samo jedan primjer podcjenjivanja pitanja vezanih uz nadzor sigurnosti informacija u oblaku. U ovom članku, bez pretvaranja da sam potpun, želim skrenuti pozornost na neke nijanse koje treba uzeti u obzir pri odabiru pružatelja usluga oblaka sa sigurnosne točke gledišta. A na kraju članka bit će dan popis za provjeru koji vrijedi ispuniti prije nego što se smatra da je problem praćenja sigurnosti informacija u oblaku riješen.

Postoji nekoliko tipičnih problema koji dovode do incidenata u cloud okruženjima, na koje službe informacijske sigurnosti nemaju vremena odgovoriti ili ih uopće ne vide:

  • Sigurnosni zapisnici ne postoje. Ovo je prilično česta situacija, osobito među igračima početnicima na tržištu rješenja u oblaku. Ali ne biste trebali odmah odustati od njih. Mali igrači, posebice domaći, osjetljiviji su na zahtjeve kupaca i mogu brzo implementirati neke potrebne funkcije promjenom odobrenog plana za svoje proizvode. Da, ovo neće biti analog GuardDuty iz Amazona ili modula "Proactive Protection" iz Bitrixa, ali barem nešto.
  • Informacijska sigurnost ne zna gdje su zapisnici pohranjeni ili im nema pristupa. Ovdje je potrebno ući u pregovore s pružateljem usluga u oblaku - možda će on dati takve informacije ako smatra da mu je klijent značajan. Ali općenito, nije baš dobro kada je pristup zapisima omogućen "posebnom odlukom".
  • Također se događa da cloud provider ima zapise, ali oni pružaju ograničen nadzor i snimanje događaja, koji nisu dovoljni za otkrivanje svih incidenata. Na primjer, možete primati samo zapisnike promjena na web stranici ili zapisnike pokušaja autentifikacije korisnika, ali ne i druge događaje, kao što je mrežni promet, koji će od vas sakriti cijeli sloj događaja koji karakteriziraju pokušaje hakiranja vaše infrastrukture u oblaku.
  • Dnevnici postoje, ali je pristup njima teško automatizirati, što ih prisiljava da se ne prate kontinuirano, već prema rasporedu. A ako ne možete preuzeti zapisnike automatski, tada preuzimanje zapisnika, na primjer, u Excel formatu (kao kod brojnih domaćih pružatelja rješenja za oblak), može čak dovesti do nevoljkosti službe za korporativnu informacijsku sigurnost da petlja s njima.
  • Nema praćenja dnevnika. Ovo je možda najnejasniji razlog za pojavu incidenata informacijske sigurnosti u cloud okruženjima. Čini se da postoje zapisnici i da je moguće automatizirati pristup njima, ali to nitko ne radi. Zašto?

Koncept dijeljene sigurnosti u oblaku

Prijelaz na oblak uvijek je potraga za ravnotežom između želje da se zadrži kontrola nad infrastrukturom i njezinog prijenosa u profesionalnije ruke pružatelja usluga oblaka koji je specijaliziran za njezino održavanje. I u području sigurnosti u oblaku također se mora tražiti ta ravnoteža. Štoviše, ovisno o korištenom modelu isporuke usluge u oblaku (IaaS, PaaS, SaaS), ta će ravnoteža biti različita cijelo vrijeme. U svakom slučaju, moramo imati na umu da svi pružatelji usluga oblaka danas slijede model tzv. podijeljene odgovornosti i zajedničke informacijske sigurnosti. Oblak je odgovoran za neke stvari, a za druge je odgovoran klijent koji svoje podatke, svoje aplikacije, svoje virtualne strojeve i druge resurse stavlja u oblak. Bilo bi nepromišljeno očekivati ​​da ćemo odlaskom u oblak svu odgovornost prebaciti na pružatelja. Ali također nije mudro sami izgraditi svu sigurnost kada prelazite na oblak. Potrebna je ravnoteža koja će ovisiti o mnogim čimbenicima: - strategiji upravljanja rizikom, modelu prijetnji, sigurnosnim mehanizmima dostupnim pružatelju usluga oblaka, zakonodavstvu itd.

Sigurnosni nadzor u oblaku

Na primjer, klasifikacija podataka smještenih u oblaku uvijek je odgovornost korisnika. Pružatelj usluga oblaka ili vanjski pružatelj usluga može mu pomoći samo s alatima koji će pomoći u označavanju podataka u oblaku, identificiranju kršenja, brisanju podataka koji krše zakon ili maskiranju na ovu ili onu metodu. S druge strane, fizička sigurnost uvijek je odgovornost pružatelja usluga oblaka, koju ne može dijeliti s klijentima. Ali sve što je između podataka i fizičke infrastrukture upravo je predmet rasprave u ovom članku. Na primjer, dostupnost oblaka odgovornost je pružatelja usluga, a postavljanje pravila vatrozida ili omogućavanje enkripcije odgovornost je klijenta. U ovom ćemo članku pokušati sagledati koje mehanizme nadzora informacijske sigurnosti danas pružaju razni popularni pružatelji usluga oblaka u Rusiji, koje su značajke njihove upotrebe i kada se isplati okrenuti vanjskim rješenjima preklapanja (na primjer, Cisco E- mail Security) koji proširuju mogućnosti vašeg oblaka u smislu kibernetičke sigurnosti. U nekim slučajevima, osobito ako slijedite strategiju s više oblaka, nećete imati drugog izbora nego koristiti vanjska rješenja za nadzor informacijske sigurnosti u nekoliko okruženja oblaka odjednom (na primjer, Cisco CloudLock ili Cisco Stealthwatch Cloud). Pa, u nekim ćete slučajevima shvatiti da pružatelj oblaka kojeg ste odabrali (ili koji vam je nametnut) ne nudi nikakve mogućnosti nadzora informacijske sigurnosti. To je neugodno, ali nije malo, jer vam omogućuje da adekvatno procijenite razinu rizika povezanu s radom s ovim oblakom.

Životni ciklus praćenja sigurnosti u oblaku

Za praćenje sigurnosti oblaka koje koristite imate samo tri mogućnosti:

  • oslonite se na alate koje pruža vaš pružatelj usluga oblaka,
  • koristiti rješenja trećih strana koja će nadzirati IaaS, PaaS ili SaaS platforme koje koristite,
  • izgradite vlastitu infrastrukturu za praćenje oblaka (samo za IaaS/PaaS platforme).

Pogledajmo koje značajke ima svaka od ovih opcija. Ali prvo moramo razumjeti opći okvir koji će se koristiti pri praćenju platformi u oblaku. Istaknuo bih 6 glavnih komponenti procesa praćenja informacijske sigurnosti u oblaku:

  • Priprema infrastrukture. Određivanje potrebnih aplikacija i infrastrukture za prikupljanje događaja važnih za informacijsku sigurnost u pohranu.
  • Kolekcija. U ovoj se fazi sigurnosni događaji skupljaju iz različitih izvora za naknadni prijenos za obradu, pohranu i analizu.
  • Liječenje. U ovoj fazi podaci se transformiraju i obogaćuju kako bi se olakšala naknadna analiza.
  • Skladištenje. Ova komponenta je zadužena za kratkoročno i dugoročno pohranjivanje prikupljenih obrađenih i neobrađenih podataka.
  • Analiza. U ovoj fazi imate mogućnost otkrivanja incidenata i reagiranja na njih automatski ili ručno.
  • Izvještavanje. Ova faza pomaže u formuliranju ključnih pokazatelja za dionike (menadžment, revizore, pružatelja usluga oblaka, klijente itd.) koji nam pomažu u donošenju određenih odluka, na primjer, promjenu pružatelja ili jačanje informacijske sigurnosti.

Razumijevanje ovih komponenti omogućit će vam da u budućnosti brzo odlučite što možete uzeti od svog pružatelja usluga, a što ćete morati učiniti sami ili uz uključivanje vanjskih konzultanata.

Ugrađene usluge u oblaku

Već sam gore napisao da mnoge današnje usluge u oblaku ne pružaju nikakve mogućnosti nadzora informacijske sigurnosti. Općenito, ne pridaju veliku pažnju temi informacijske sigurnosti. Na primjer, jedan od popularnih ruskih servisa za slanje izvješća državnim agencijama putem interneta (neću posebno spominjati njegovo ime). Cijeli odjeljak o sigurnosti ove usluge vrti se oko upotrebe certificiranog CIPF-a. Odjeljak o informacijskoj sigurnosti još jedne domaće usluge u oblaku za elektroničko upravljanje dokumentima nije drugačiji. Govori o certifikatima javnih ključeva, certificiranoj kriptografiji, uklanjanju web ranjivosti, zaštiti od DDoS napada, korištenju vatrozida, sigurnosnim kopijama, pa čak i redovitim revizijama sigurnosti informacija. Ali nema ni riječi o nadzoru, kao ni o mogućnosti pristupa informacijsko-sigurnosnim događajima koji bi mogli biti zanimljivi klijentima ovog pružatelja usluga.

Općenito, po načinu na koji pružatelj usluge oblaka opisuje pitanja sigurnosti informacija na svojoj web stranici i u svojoj dokumentaciji, možete razumjeti koliko ozbiljno shvaća ovo pitanje. Na primjer, ako čitate priručnike za proizvode “Moj ured”, nema ni riječi o sigurnosti, ali u dokumentaciji za zasebni proizvod “Moj ured. KS3”, osmišljen za zaštitu od neovlaštenog pristupa, postoji uobičajeni popis točaka 17. reda FSTEC-a, koje “My Office.KS3” implementira, ali nije opisano kako to implementira i, što je najvažnije, kako integrirati ove mehanizme s korporativnom informacijskom sigurnošću. Možda takva dokumentacija i postoji, ali je nisam našao u javnoj domeni, na web stranici “Moj ured”. Iako možda jednostavno nemam pristup tim tajnim podacima?..

Sigurnosni nadzor u oblaku

Za Bitrix je situacija puno bolja. U dokumentaciji su opisani formati zapisnika događaja i, zanimljivo, dnevnika upada koji sadrži događaje povezane s potencijalnim prijetnjama platformi u oblaku. Odatle možete izvući IP, ime korisnika ili gosta, izvor događaja, vrijeme, korisničkog agenta, vrstu događaja itd. Istina, s tim događajima možete raditi ili s upravljačke ploče samog oblaka ili učitati podatke u MS Excel formatu. Sada je teško automatizirati rad s Bitrix zapisima i morat ćete dio posla obaviti ručno (prijenos izvješća i učitavanje u svoj SIEM). Ali ako se sjetimo da do relativno nedavno takva mogućnost nije postojala, onda je to veliki napredak. Istodobno, želio bih napomenuti da mnogi strani pružatelji usluga oblaka nude sličnu funkcionalnost "za početnike" - ili gledajte zapise svojim očima kroz upravljačku ploču ili učitajte podatke sebi (međutim, većina učitava podatke u . csv format, ne Excel).

Sigurnosni nadzor u oblaku

Bez razmatranja opcije bez zapisivanja, pružatelji usluga oblaka obično vam nude tri opcije za praćenje sigurnosnih događaja - nadzorne ploče, prijenos podataka i API pristup. Čini se da vam prvi rješava mnoge probleme, ali to nije sasvim točno - ako imate nekoliko časopisa, morate se prebacivati ​​između zaslona koji ih prikazuju, čime se gubi cjelokupna slika. Osim toga, pružatelj usluge oblaka vjerojatno vam neće pružiti mogućnost povezivanja sigurnosnih događaja i općenito njihove analize sa sigurnosnog gledišta (obično imate posla s neobrađenim podacima, koje morate sami razumjeti). Postoje iznimke i o njima ćemo dalje govoriti. Konačno, vrijedi se zapitati koje događaje bilježi vaš pružatelj usluga oblaka, u kojem formatu i kako oni odgovaraju vašem procesu nadzora informacijske sigurnosti? Na primjer, identifikacija i autentifikacija korisnika i gostiju. Isti Bitrix vam omogućuje da na temelju tih događaja zabilježite datum i vrijeme događaja, ime korisnika ili gosta (ako imate modul "Web analitika"), objekt kojem se pristupa i druge elemente tipične za web stranicu . No službe za korporativnu informacijsku sigurnost mogu trebati informacije o tome je li korisnik pristupio oblaku s pouzdanog uređaja (na primjer, u korporativnoj mreži ovaj zadatak implementira Cisco ISE). Što je s tako jednostavnim zadatkom kao što je geo-IP funkcija, koja će pomoći utvrditi je li korisnički račun usluge oblaka ukraden? Čak i ako vam pružatelj usluga u oblaku to pruži, to nije dovoljno. Isti Cisco CloudLock ne analizira samo geolokaciju, već za to koristi strojno učenje i analizira povijesne podatke za svakog korisnika te prati razne anomalije u pokušajima identifikacije i autentifikacije. Samo MS Azure ima sličnu funkcionalnost (ako imate odgovarajuću pretplatu).

Sigurnosni nadzor u oblaku

Postoji još jedna poteškoća – budući da je za mnoge cloud providere nadzor informacijske sigurnosti nova tema kojom se tek počinju baviti, stalno nešto mijenjaju u svojim rješenjima. Danas imaju jednu verziju API-ja, sutra drugu, prekosutra treću. Na ovo također morate biti spremni. Isto vrijedi i za funkcionalnost, koja se može promijeniti, što morate uzeti u obzir u svom sustavu nadzora informacijske sigurnosti. Na primjer, Amazon je u početku imao zasebne usluge praćenja događaja u oblaku — AWS CloudTrail i AWS CloudWatch. Zatim se pojavila zasebna usluga za praćenje događaja informacijske sigurnosti - AWS GuardDuty. Nakon nekog vremena Amazon je lansirao novi sustav upravljanja, Amazon Security Hub, koji uključuje analizu podataka dobivenih od GuardDuty, Amazon Inspector, Amazon Macie i nekoliko drugih. Drugi primjer je alat za integraciju dnevnika Azure sa SIEM-om - AzLog. Aktivno su ga koristili mnogi dobavljači SIEM-a, sve dok 2018. godine Microsoft nije najavio prestanak njegovog razvoja i podrške, što je mnoge klijente koji su koristili ovaj alat suočilo s problemom (kasnije ćemo o tome kako je to riješeno).

Stoga pažljivo pratite sve značajke nadzora koje vam pruža pružatelj usluga u oblaku. Ili se oslonite na vanjske pružatelje rješenja koji će djelovati kao posrednici između vašeg SOC-a i oblaka koji želite nadzirati. Da, bit će skuplje (iako ne uvijek), ali ćete svu odgovornost prebaciti na tuđa pleća. Ili ne sve?.. Sjetimo se koncepta zajedničke sigurnosti i shvatimo da ne možemo ništa promijeniti - morat ćemo neovisno razumjeti kako različiti pružatelji usluga oblaka osiguravaju nadzor informacijske sigurnosti vaših podataka, aplikacija, virtualnih strojeva i drugih resursa hostiran u oblaku. A mi ćemo početi s onim što Amazon nudi u ovom dijelu.

Primjer: Nadzor informacijske sigurnosti u IaaS-u temeljen na AWS-u

Da, da, razumijem da Amazon nije najbolji primjer jer je ovo američki servis i može biti blokiran u sklopu borbe protiv ekstremizma i širenja informacija zabranjenih u Rusiji. No, u ovoj publikaciji samo bih želio pokazati koliko se različite platforme u oblaku razlikuju u svojim mogućnostima nadzora informacijske sigurnosti i na što biste trebali obratiti pozornost prilikom prijenosa ključnih procesa u oblake sa sigurnosne točke gledišta. Pa, ako netko od ruskih programera cloud rješenja nauči nešto korisno za sebe, onda će to biti super.

Sigurnosni nadzor u oblaku

Prvo što treba reći je da Amazon nije neprobojna tvrđava. Njegovim se klijentima redovito događaju razni incidenti. Na primjer, imena, adrese, datumi rođenja i telefonski brojevi 198 milijuna glasača ukradeni su iz Deep Root Analyticsa. Izraelska tvrtka Nice Systems ukrala je 14 milijuna podataka o pretplatnicima Verizona. Međutim, ugrađene mogućnosti AWS-a omogućuju vam otkrivanje širokog raspona incidenata. Na primjer:

  • utjecaj na infrastrukturu (DDoS)
  • kompromis čvora (injekcija naredbe)
  • kompromitacija računa i neovlašteni pristup
  • neispravna konfiguracija i ranjivosti
  • nesigurna sučelja i API-je.

Do ovog odstupanja dolazi zbog činjenice da je, kao što smo gore saznali, sam kupac odgovoran za sigurnost svojih podataka. A ako se nije potrudio uključiti zaštitne mehanizme i nije uključio alate za nadzor, onda će o incidentu doznati samo iz medija ili od svojih klijenata.

Za prepoznavanje incidenata možete koristiti širok raspon različitih usluga nadzora koje je razvio Amazon (iako su oni često nadopunjeni vanjskim alatima kao što je osquery). Dakle, u AWS-u se prate sve radnje korisnika, neovisno o tome kako se provode - putem upravljačke konzole, naredbenog retka, SDK-a ili drugih AWS servisa. Svi zapisi aktivnosti svakog AWS računa (uključujući korisničko ime, radnju, uslugu, parametre aktivnosti i rezultat) i korištenje API-ja dostupni su putem AWS CloudTraila. Možete vidjeti te događaje (kao što su prijave na AWS IAM konzolu) s CloudTrail konzole, analizirati ih pomoću Amazon Athene ili ih "outsourcati" vanjskim rješenjima kao što su Splunk, AlienVault itd. Sami AWS CloudTrail zapisi smješteni su u vašu AWS S3 kantu.

Sigurnosni nadzor u oblaku

Dvije druge AWS usluge pružaju niz drugih važnih mogućnosti praćenja. Prvo, Amazon CloudWatch je servis za nadzor AWS resursa i aplikacija koji vam, između ostalog, omogućuje prepoznavanje raznih anomalija u vašem oblaku. Sve ugrađene AWS usluge, kao što su Amazon Elastic Compute Cloud (poslužitelji), Amazon Relational Database Service (baze podataka), Amazon Elastic MapReduce (analiza podataka) i 30 drugih Amazon usluga, koriste Amazon CloudWatch za pohranu svojih zapisa. Programeri mogu koristiti otvoreni API iz Amazon CloudWatcha za dodavanje funkcije praćenja dnevnika prilagođenim aplikacijama i uslugama, što im omogućuje da prošire opseg analize događaja unutar sigurnosnog konteksta.

Sigurnosni nadzor u oblaku

Drugo, usluga VPC Flow Logs omogućuje vam analizu mrežnog prometa koji šalju ili primaju vaši AWS poslužitelji (eksterno ili interno), kao i između mikroservisa. Kada bilo koji od vaših AWS VPC resursa stupi u interakciju s mrežom, VPC Flow Logs bilježi pojedinosti o mrežnom prometu, uključujući izvorno i odredišno mrežno sučelje, kao i IP adrese, portove, protokol, broj bajtova i broj paketa koje pila. Oni koji imaju iskustva sa sigurnošću lokalne mreže prepoznat će ovo kao analogno nitima NetFlow, koji mogu stvoriti preklopnici, usmjerivači i vatrozidi razine poduzeća. Ti su zapisnici važni za potrebe nadzora informacijske sigurnosti jer, za razliku od događaja o radnjama korisnika i aplikacija, oni vam također omogućuju da ne propustite mrežne interakcije u okruženju AWS virtualnog privatnog oblaka.

Sigurnosni nadzor u oblaku

Ukratko, ove tri AWS usluge — AWS CloudTrail, Amazon CloudWatch i VPC Flow Logs — zajedno pružaju prilično moćan uvid u korištenje vašeg računa, ponašanje korisnika, upravljanje infrastrukturom, aktivnost aplikacija i usluga te mrežnu aktivnost. Na primjer, mogu se koristiti za otkrivanje sljedećih anomalija:

  • Pokušaji skeniranja stranice, traženje stražnjih vrata, traženje ranjivosti kroz nizove "404 pogreške".
  • Injekcioni napadi (na primjer, SQL injekcija) kroz nizove "500 pogrešaka".
  • Poznati alati za napad su sqlmap, nikto, w3af, nmap itd. analizom polja korisničkog agenta.

Amazon Web Services također je razvio druge usluge za potrebe kibernetičke sigurnosti koje vam omogućuju rješavanje mnogih drugih problema. Na primjer, AWS ima ugrađenu uslugu za reviziju politika i konfiguracija - AWS Config. Ova usluga pruža kontinuiranu reviziju vaših AWS resursa i njihovih konfiguracija. Uzmimo jednostavan primjer: Recimo da želite biti sigurni da su korisničke lozinke onemogućene na svim vašim poslužiteljima i da je pristup moguć samo na temelju certifikata. AWS Config olakšava provjeru ovoga za sve vaše poslužitelje. Postoje i druga pravila koja se mogu primijeniti na vaše poslužitelje u oblaku: “Nijedan poslužitelj ne može koristiti priključak 22”, “Samo administratori mogu mijenjati pravila vatrozida” ili “Samo korisnik Ivashko može kreirati nove korisničke račune, a on to može učiniti samo utorkom. " U ljeto 2016. usluga AWS Config proširena je za automatizirano otkrivanje kršenja razvijenih pravila. AWS Config Rules su u biti kontinuirani konfiguracijski zahtjevi za usluge Amazona koje koristite, koji generiraju događaje ako se prekrše odgovarajuća pravila. Na primjer, umjesto povremenog pokretanja AWS Config upita za provjeru jesu li svi diskovi na virtualnom poslužitelju šifrirani, AWS Config Rules se mogu koristiti za kontinuiranu provjeru diskova poslužitelja kako bi se osiguralo da je ovaj uvjet ispunjen. I što je najvažnije, u kontekstu ove publikacije, sva kršenja generiraju događaje koje vaša služba za informacijsku sigurnost može analizirati.

Sigurnosni nadzor u oblaku

AWS također ima svoj ekvivalent tradicionalnim rješenjima za korporativnu informacijsku sigurnost, koja također generiraju sigurnosne događaje koje možete i trebate analizirati:

  • Detekcija upada - AWS GuardDuty
  • Kontrola curenja informacija - AWS Macie
  • EDR (iako malo čudno govori o krajnjim točkama u oblaku) - AWS Cloudwatch + open source osquery ili GRR rješenja
  • Netflow analiza - AWS Cloudwatch + AWS VPC Flow
  • DNS analiza - AWS Cloudwatch + AWS Route53
  • AD - AWS imenička usluga
  • Upravljanje računima - AWS IAM
  • SSO - AWS SSO
  • sigurnosna analiza - AWS Inspector
  • upravljanje konfiguracijom - AWS Config
  • WAF - AWS WAF.

Neću detaljno opisivati ​​sve Amazonove usluge koje mogu biti korisne u kontekstu informacijske sigurnosti. Glavno je razumjeti da svi oni mogu generirati događaje koje možemo i trebamo analizirati u kontekstu informacijske sigurnosti, koristeći u tu svrhu i ugrađene mogućnosti samog Amazona i vanjska rješenja, na primjer, SIEM, koji mogu prenesite sigurnosne događaje u svoj nadzorni centar i analizirajte ih tamo zajedno s događajima iz drugih usluga u oblaku ili iz interne infrastrukture, perimetra ili mobilnih uređaja.

Sigurnosni nadzor u oblaku

U svakom slučaju, sve počinje s izvorima podataka koji vam pružaju informacijske sigurnosne događaje. Ovi izvori uključuju, ali nisu ograničeni na:

  • CloudTrail - korištenje API-ja i radnje korisnika
  • Pouzdani savjetnik - sigurnosna provjera prema najboljim praksama
  • Config - popis i konfiguracija računa i postavki usluga
  • VPC Flow Logs - veze s virtualnim sučeljima
  • IAM - usluga identifikacije i autentifikacije
  • Zapisnici pristupa ELB-u - Balancer opterećenja
  • Inspector - ranjivosti aplikacije
  • S3 - pohrana datoteka
  • CloudWatch - Aktivnost aplikacije
  • SNS je usluga obavijesti.

Amazon, iako nudi toliki raspon izvora događaja i alata za njihovo generiranje, vrlo je ograničen u svojoj mogućnosti analiziranja prikupljenih podataka u kontekstu informacijske sigurnosti. Morat ćete samostalno proučiti dostupne zapisnike tražeći u njima relevantne pokazatelje kompromitacije. AWS Security Hub, koji je Amazon nedavno pokrenuo, ima za cilj riješiti ovaj problem tako što će postati cloud SIEM za AWS. Ali zasad je tek na početku svog puta i ograničen je kako brojem izvora s kojima radi, tako i drugim ograničenjima koja postavljaju arhitektura i pretplate samog Amazona.

Primjer: Nadzor informacijske sigurnosti u IaaS-u temeljen na Azureu

Ne želim ulaziti u dugu raspravu o tome koji je od tri pružatelja usluga oblaka (Amazon, Microsoft ili Google) bolji (pogotovo jer svaki od njih ipak ima svoje specifičnosti i prikladan je za rješavanje svojih problema); Usredotočimo se na mogućnosti nadzora informacijske sigurnosti koje ovi igrači pružaju. Mora se priznati da je Amazon AWS bio jedan od prvih u ovom segmentu, pa je i najdalje odmakao što se tiče funkcija informacijske sigurnosti (iako mnogi priznaju da ih je teško koristiti). Ali to ne znači da ćemo zanemariti mogućnosti koje nam pružaju Microsoft i Google.

Microsoftove proizvode oduvijek je odlikovala njihova “otvorenost”, au Azureu je slična situacija. Na primjer, ako AWS i GCP uvijek polaze od koncepta "ono što nije dopušteno je zabranjeno", tada Azure ima potpuno suprotan pristup. Na primjer, kada stvarate virtualnu mrežu u oblaku i virtualni stroj u njoj, svi portovi i protokoli su otvoreni i dopušteni prema zadanim postavkama. Stoga ćete morati potrošiti malo više truda na početno postavljanje sustava kontrole pristupa u oblaku od Microsofta. A ovo vam također nameće strože zahtjeve u pogledu nadgledanja aktivnosti u oblaku Azure.

Sigurnosni nadzor u oblaku

AWS ima posebnost povezanu s činjenicom da kada nadzirete svoje virtualne resurse, ako se nalaze u različitim regijama, tada imate poteškoća u kombiniranju svih događaja i njihovoj unificiranoj analizi, da biste ih eliminirali, morate pribjeći raznim trikovima, kao npr. Napravite vlastiti kod za AWS Lambda koji će prenositi događaje između regija. Azure nema taj problem - njegov mehanizam dnevnika aktivnosti prati sve aktivnosti u cijeloj organizaciji bez ograničenja. Isto se odnosi i na AWS Security Hub, koji je nedavno razvio Amazon za konsolidaciju mnogih sigurnosnih funkcija unutar jednog sigurnosnog centra, ali samo unutar svoje regije, što, međutim, nije relevantno za Rusiju. Azure ima vlastiti sigurnosni centar, koji nije vezan regionalnim ograničenjima, pružajući pristup svim sigurnosnim značajkama platforme u oblaku. Štoviše, za različite lokalne timove može pružiti vlastiti skup zaštitnih mogućnosti, uključujući sigurnosne događaje kojima oni upravljaju. AWS Security Hub još uvijek je na putu da postane sličan Azure Security Centeru. Ali vrijedi dodati muhu u mast - iz Azurea možete istisnuti puno onoga što je prethodno opisano u AWS-u, ali to je najprikladnije učiniti samo za Azure AD, Azure Monitor i Azure Security Center. Svim ostalim Azure sigurnosnim mehanizmima, uključujući analizu sigurnosnih događaja, još se ne upravlja na najprikladniji način. Problem je djelomično riješen API-jem, koji prožima sve Microsoft Azure usluge, ali to će od vas zahtijevati dodatne napore da integrirate svoj oblak s vašim SOC-om i prisutnost kvalificiranih stručnjaka (zapravo, kao i s bilo kojim drugim SIEM-om koji radi s oblakom Apis). Neki SIEM-ovi, o kojima će biti riječi kasnije, već podržavaju Azure i mogu automatizirati zadatak njegovog nadzora, ali također ima svoje poteškoće - ne mogu svi prikupiti sve zapise koje Azure ima.

Sigurnosni nadzor u oblaku

Prikupljanje i praćenje događaja u Azureu omogućeno je korištenjem usluge Azure Monitor koja je glavni alat za prikupljanje, pohranu i analizu podataka u Microsoftovom oblaku i njegovim resursima – Git repozitorijima, spremnicima, virtualnim strojevima, aplikacijama itd. Svi podaci koje prikuplja Azure Monitor podijeljeni su u dvije kategorije - metrika, prikupljena u stvarnom vremenu i koja opisuje ključne pokazatelje performansi Azure oblaka, i zapisnici, koji sadrže podatke organizirane u zapise koji karakteriziraju određene aspekte aktivnosti Azure resursa i usluga. Osim toga, pomoću Data Collector API-ja, usluga Azure Monitor može prikupljati podatke iz bilo kojeg REST izvora za izradu vlastitih scenarija praćenja.

Sigurnosni nadzor u oblaku

Evo nekoliko izvora sigurnosnih događaja koje vam nudi Azure i kojima možete pristupiti putem Azure portala, CLI-ja, PowerShell-a ili REST API-ja (a nekima samo putem Azure Monitor/Insight API-ja):

  • Dnevnici aktivnosti - ovaj dnevnik odgovara na klasična pitanja "tko", "što" i "kada" u vezi s bilo kojom operacijom pisanja (PUT, POST, DELETE) na resursima u oblaku. Događaji koji se odnose na pristup čitanju (GET) nisu uključeni u ovaj zapisnik, kao i mnogi drugi.
  • Dijagnostički zapisnici - sadrže podatke o operacijama s određenim resursom uključenim u vašu pretplatu.
  • Azure AD izvješćivanje - sadrži aktivnosti korisnika i aktivnosti sustava povezane s upravljanjem grupama i korisnicima.
  • Windows Event Log i Linux Syslog - sadrži događaje s virtualnih računala smještenih u oblaku.
  • Mjerni podaci - sadrži telemetriju o izvedbi i zdravstvenom statusu vaših usluga i resursa u oblaku. Mjeri se svake minute i pohranjuje. u roku od 30 dana.
  • Zapisnici protoka grupe za mrežnu sigurnost - sadrži podatke o mrežnim sigurnosnim događajima prikupljene korištenjem usluge Network Watcher i nadzora resursa na razini mreže.
  • Dnevnici pohrane - sadrži događaje vezane uz pristup skladišnim prostorima.

Sigurnosni nadzor u oblaku

Za nadzor možete koristiti vanjske SIEM-ove ili ugrađeni Azure Monitor i njegova proširenja. Kasnije ćemo govoriti o sustavima za upravljanje događajima u informacijskoj sigurnosti, ali za sada pogledajmo što nam Azure nudi za analizu podataka u kontekstu sigurnosti. Glavni zaslon za sve što je povezano sa sigurnošću u Azure Monitoru je Nadzorna ploča za sigurnost i reviziju Log Analyticsa (besplatna verzija podržava ograničenu količinu pohrane događaja za samo jedan tjedan). Ova nadzorna ploča podijeljena je u 5 glavnih područja koja vizualiziraju sažetak statistike onoga što se događa u okruženju oblaka koje koristite:

  • Sigurnosne domene - ključni kvantitativni pokazatelji vezani uz informacijsku sigurnost - broj incidenata, broj kompromitiranih čvorova, nezakrpanih čvorova, mrežnih sigurnosnih događaja itd.
  • Značajni problemi - prikazuje broj i važnost aktivnih problema informacijske sigurnosti
  • Detekcije - prikazuje obrasce napada korištenih protiv vas
  • Threat Intelligence - prikazuje geografske informacije o vanjskim čvorovima koji vas napadaju
  • Uobičajeni sigurnosni upiti - tipični upiti koji će vam pomoći da bolje nadzirete svoju informacijsku sigurnost.

Sigurnosni nadzor u oblaku

Proširenja Azure Monitora uključuju Azure Key Vault (zaštita kriptografskih ključeva u oblaku), Malware Assessment (analiza zaštite od zlonamjernog koda na virtualnim strojevima), Azure Application Gateway Analytics (analiza, između ostalog, zapisnika vatrozida u oblaku) itd. . Ovi alati, obogaćeni određenim pravilima za obradu događaja, omogućuju vizualizaciju različitih aspekata aktivnosti usluga u oblaku, uključujući sigurnost, te prepoznavanje određenih odstupanja od rada. Ali, kao što se često događa, svaka dodatna funkcionalnost zahtijeva odgovarajuću plaćenu pretplatu, što će od vas zahtijevati odgovarajuća financijska ulaganja, koja morate planirati unaprijed.

Sigurnosni nadzor u oblaku

Azure ima niz ugrađenih mogućnosti praćenja prijetnji koje su integrirane u Azure AD, Azure Monitor i Azure Security Center. Među njima, na primjer, otkrivanje interakcije virtualnih strojeva s poznatim zlonamjernim IP-ovima (zbog prisutnosti integracije s Microsoftovim uslugama obavještavanja o prijetnjama), otkrivanje zlonamjernog softvera u infrastrukturi oblaka primanjem alarma s virtualnih strojeva hostiranih u oblaku, lozinka napadi pogađanja ” na virtualne strojeve, ranjivosti u konfiguraciji sustava za identifikaciju korisnika, prijava u sustav iz anonimizatora ili zaraženih čvorova, curenje računa, prijava u sustav s neobičnih lokacija itd. Azure je danas jedan od rijetkih pružatelja usluga oblaka koji vam nudi ugrađene mogućnosti Threat Intelligence za obogaćivanje prikupljenih događaja o sigurnosti informacija.

Sigurnosni nadzor u oblaku

Kao što je već spomenuto, sigurnosna funkcionalnost i, kao posljedica toga, sigurnosni događaji koje ona generira nisu dostupni svim korisnicima jednako, već zahtijevaju određenu pretplatu koja uključuje funkcionalnost koju trebate, a koja generira odgovarajuće događaje za nadzor informacijske sigurnosti. Na primjer, neke od funkcija opisanih u prethodnom odlomku za praćenje anomalija u računima dostupne su samo u P2 premium licenci za uslugu Azure AD. Bez njega ćete, kao u slučaju AWS-a, morati analizirati prikupljene sigurnosne događaje “ručno”. Također, ovisno o vrsti Azure AD licence, neće svi događaji biti dostupni za analizu.

Na Azure portalu možete upravljati i upitima za pretraživanje za dnevnike koji vas zanimaju i postaviti nadzorne ploče za vizualizaciju ključnih pokazatelja sigurnosti informacija. Osim toga, tamo možete odabrati ekstenzije Azure Monitora, koje vam omogućuju da proširite funkcionalnost zapisnika Azure Monitora i dobijete dublju analizu događaja sa sigurnosne točke gledišta.

Sigurnosni nadzor u oblaku

Ako ne trebate samo sposobnost rada s zapisima, već i sveobuhvatni sigurnosni centar za svoju Azure platformu u oblaku, uključujući upravljanje politikom sigurnosti informacija, tada možete razgovarati o potrebi rada s Azure Security Centerom, od kojih većina korisnih funkcija dostupni su za nešto novca, na primjer, otkrivanje prijetnji, nadzor izvan Azure, procjena usklađenosti itd. (u besplatnoj verziji imate pristup samo sigurnosnoj procjeni i preporukama za otklanjanje identificiranih problema). Konsolidira sva sigurnosna pitanja na jednom mjestu. Zapravo, možemo govoriti o višoj razini informacijske sigurnosti nego što vam pruža Azure Monitor, budući da su u ovom slučaju podaci prikupljeni u vašoj tvornici oblaka obogaćeni korištenjem mnogih izvora, kao što su Azure, Office 365, Microsoft CRM online, Microsoft Dynamics AX , outlook .com, MSN.com, Microsoft Digital Crimes Unit (DCU) i Microsoft Security Response Center (MSRC), na koje su superponirani razni sofisticirani algoritmi strojnog učenja i bihevioralne analitike koji bi u konačnici trebali poboljšati učinkovitost detekcije i odgovora na prijetnje .

Azure također ima svoj SIEM - pojavio se početkom 2019. Ovo je Azure Sentinel, koji se oslanja na podatke s Azure Monitora i s kojim se također može integrirati. vanjska sigurnosna rješenja (na primjer, NGFW ili WAF), čiji se popis stalno povećava. Osim toga, kroz integraciju Microsoft Graph Security API-ja, imate mogućnost povezivanja vlastitih feedova Threat Intelligence sa Sentinelom, što obogaćuje mogućnosti za analizu incidenata u vašem Azure oblaku. Može se tvrditi da je Azure Sentinel prvi "nativni" SIEM koji se pojavio od pružatelja usluga oblaka (isti Splunk ili ELK, koji se mogu nalaziti u oblaku, na primjer, AWS, još uvijek nisu razvijeni od strane tradicionalnih pružatelja usluga oblaka). Azure Sentinel i Security Center mogli bi se zvati SOC za Azure oblak i mogli bi biti ograničeni na njih (uz određene rezerve) ako više nemate nikakvu infrastrukturu i sve svoje računalne resurse prebacite u oblak i to bi bio Microsoftov oblak Azure.

Sigurnosni nadzor u oblaku

Ali budući da ugrađene mogućnosti Azurea (čak i ako imate pretplatu na Sentinel) često nisu dovoljne za potrebe praćenja informacijske sigurnosti i integracije ovog procesa s drugim izvorima sigurnosnih događaja (i oblaka i internih), postoji potreba za izvozom prikupljenih podataka u vanjske sustave, koji mogu uključivati ​​SIEM. To se radi i pomoću API-ja i pomoću posebnih proširenja, koja su trenutno službeno dostupna samo za sljedeće SIEM-ove - Splunk (Azure Monitor Add-On za Splunk), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight i ELK. Donedavno je bilo više takvih SIEM-ova, no od 1. lipnja 2019. Microsoft je prestao podržavati Azure Log Integration Tool (AzLog), koji je u osvit postojanja Azurea i u nedostatku normalne standardizacije rada s zapisima (Azure) Monitor još nije ni postojao) olakšao je integraciju vanjskog SIEM-a s Microsoftovim oblakom. Sada se situacija promijenila i Microsoft preporučuje platformu Azure Event Hub kao glavni integracijski alat za druge SIEM-ove. Mnogi su već implementirali takvu integraciju, ali budite oprezni - možda neće uhvatiti sve Azure zapisnike, već samo neke (pogledajte u dokumentaciji za svoj SIEM).

Završavajući kratku ekskurziju u Azure, želio bih dati opću preporuku o ovoj usluzi u oblaku - prije nego što kažete bilo što o funkcijama nadzora informacijske sigurnosti u Azureu, trebali biste ih vrlo pažljivo konfigurirati i testirati rade li kako je napisano u dokumentaciji i kao što su vam konzultanti rekli Microsoftu (i oni mogu imati različite stavove o funkcionalnosti Azure funkcija). Ako imate financijskih sredstava, iz Azurea možete izvući puno korisnih informacija u smislu nadzora informacijske sigurnosti. Ako su vaši resursi ograničeni, tada ćete se, kao u slučaju AWS-a, morati osloniti samo na vlastite snage i sirove podatke koje vam Azure Monitor pruža. I zapamtite da mnoge funkcije nadzora koštaju i bolje je unaprijed se upoznati s politikom cijena. Na primjer, besplatno možete pohraniti 31 dan podataka do maksimalno 5 GB po korisniku - prekoračenje ovih vrijednosti zahtijevat će vam dodatni novac (otprilike 2 USD+ za pohranu svakog dodatnog GB od korisnika i 0,1 USD za pohranjivanje 1 GB svakog dodatnog mjeseca). Rad s telemetrijom i metrikom aplikacije također može zahtijevati dodatna sredstva, kao i rad s upozorenjima i obavijestima (određeno ograničenje dostupno je besplatno, što možda neće biti dovoljno za vaše potrebe).

Primjer: Nadzor informacijske sigurnosti u IaaS-u na temelju Google Cloud Platforme

Google Cloud Platform izgleda kao mlađi u usporedbi s AWS-om i Azureom, ali to je djelomično dobro. Za razliku od AWS-a koji je svoje mogućnosti, uključujući sigurnosne, povećavao postupno, imajući problema s centralizacijom; GCP-om se, kao i Azureom, mnogo bolje upravlja centralno, što smanjuje pogreške i vrijeme implementacije u cijelom poduzeću. Sa sigurnosne točke gledišta, GCP je, čudno, između AWS-a i Azurea. Također ima jedinstvenu prijavu događaja za cijelu organizaciju, ali je nepotpuna. Neke funkcije su još uvijek u beta modu, no postupno bi se taj nedostatak trebao otkloniti i GCP će postati zrelija platforma u smislu nadzora informacijske sigurnosti.

Sigurnosni nadzor u oblaku

Glavni alat za bilježenje događaja u GCP-u je Stackdriver Logging (slično Azure Monitoru), koji vam omogućuje prikupljanje događaja u cijeloj infrastrukturi oblaka (kao i iz AWS-a). Iz sigurnosne perspektive u GCP-u, svaka organizacija, projekt ili mapa ima četiri zapisa:

  • Aktivnost administratora - sadrži sve događaje vezane uz administrativni pristup, na primjer, stvaranje virtualnog stroja, promjena prava pristupa itd. Ovaj dnevnik se uvijek upisuje, bez obzira na vašu želju, i čuva svoje podatke 400 dana.
  • Pristup podacima - sadrži sve događaje vezane uz rad korisnika oblaka s podacima (izrada, izmjena, čitanje itd.). Prema zadanim postavkama, ovaj se zapisnik ne piše jer se njegov volumen vrlo brzo povećava. Iz tog razloga rok trajanja mu je samo 30 dana. Osim toga, u ovom časopisu nije sve napisano. Na primjer, događaji koji se odnose na resurse koji su javno dostupni svim korisnicima ili koji su dostupni bez prijave u GCP ne upisuju se u njega.
  • Događaj sustava - sadrži događaje sustava koji nisu povezani s korisnicima ili radnje administratora koji mijenja konfiguraciju resursa oblaka. Uvijek se piše i čuva 400 dana.
  • Transparentnost pristupa jedinstven je primjer dnevnika koji bilježi sve radnje Googleovih zaposlenika (ali još ne za sve GCP usluge) koji pristupaju vašoj infrastrukturi kao dio svojih radnih dužnosti. Ovaj se zapisnik pohranjuje 400 dana i nije dostupan svakom GCP klijentu, već samo ako su ispunjeni brojni uvjeti (bilo zlatna ili platinasta razina podrške, ili prisutnost 4 uloge određene vrste kao dio korporativne podrške). Slična funkcija je također dostupna, na primjer, u Office 365 - Lockbox.

Primjer zapisnika: Transparentnost pristupa

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Pristup ovim zapisnicima moguć je na nekoliko načina (uglavnom na isti način kao što je prethodno bilo riječi o Azureu i AWS-u) - putem sučelja Log Viewer, putem API-ja, putem Google Cloud SDK-a ili putem stranice aktivnosti vašeg projekta za koji ste zanimaju događaji. Na isti način mogu se eksportirati u vanjska rješenja za dodatnu analizu. Potonje se radi izvozom zapisa u BigQuery ili Cloud Pub/Sub pohranu.

Uz Stackdriver Logging, GCP platforma također nudi Stackdriver Monitoring funkcionalnost, koja vam omogućuje praćenje ključnih metrika (performanse, MTBF, sveukupno zdravlje itd.) usluga i aplikacija u oblaku. Obrađeni i vizualizirani podaci mogu olakšati pronalaženje problema u vašoj infrastrukturi oblaka, uključujući i u kontekstu sigurnosti. Ali treba napomenuti da ova funkcionalnost neće biti jako bogata u kontekstu informacijske sigurnosti, budući da danas GCP nema analogiju istog AWS GuardDutyja i ne može identificirati loše među svim registriranim događajima (Google je razvio Event Threat Detection, ali je još uvijek u beta fazi razvoja i prerano je govoriti o njegovoj korisnosti). Stackdriver Monitoring mogao bi se koristiti kao sustav za otkrivanje anomalija, koje bi se zatim istraživale kako bi se pronašli uzroci njihovog nastanka. Ali s obzirom na nedostatak osoblja kvalificiranog u području GCP informacijske sigurnosti na tržištu, ovaj zadatak trenutno izgleda težak.

Sigurnosni nadzor u oblaku

Također je vrijedno navesti popis nekih modula informacijske sigurnosti koji se mogu koristiti unutar vašeg GCP oblaka, a koji su slični onome što nudi AWS:

  • Cloud Security Command Center analogan je AWS Security Hubu i Azure Security Centeru.
  • Cloud DLP - Automatsko otkrivanje i uređivanje (npr. maskiranje) podataka smještenih u oblaku pomoću više od 90 unaprijed definiranih pravila klasifikacije.
  • Cloud Scanner je skener za poznate ranjivosti (XSS, Flash Injection, nezakrpane biblioteke itd.) u App Engineu, Compute Engineu i Google Kubernetesu.
  • Cloud IAM - Kontrolirajte pristup svim GCP resursima.
  • Cloud Identity - Upravljajte GCP računima korisnika, uređaja i aplikacija s jedne konzole.
  • Cloud HSM - zaštita kriptografskih ključeva.
  • Cloud Key Management Service - upravljanje kriptografskim ključevima u GCP-u.
  • Kontrola VPC usluge - stvorite siguran perimetar oko svojih GCP resursa kako biste ih zaštitili od curenja.
  • Sigurnosni ključ Titan - zaštita od krađe identiteta.

Sigurnosni nadzor u oblaku

Mnogi od ovih modula generiraju sigurnosne događaje koji se mogu poslati u BigQuery pohranu za analizu ili izvoz u druge sustave, uključujući SIEM. Kao što je gore spomenuto, GCP je platforma koja se aktivno razvija i Google sada razvija niz novih modula za sigurnost informacija za svoju platformu. Među njima su Event Threat Detection (sada dostupan u beta verziji), koji skenira Stackdriverove zapisnike u potrazi za tragovima neovlaštene aktivnosti (analogno GuardDutyju u AWS-u), ili Policy Intelligence (dostupan u alfa verziji), koji će vam omogućiti da razvijete inteligentne politike za pristup GCP resursima.

Napravio sam kratak pregled ugrađenih mogućnosti nadzora u popularnim platformama u oblaku. Ali imate li stručnjake koji su u stanju raditi sa "sirovim" IaaS zapisnicima pružatelja (nisu svi spremni kupiti napredne mogućnosti AWS-a ili Azurea ili Googlea)? Osim toga, mnogi su upoznati s izrekom “vjeruj, ali provjeri”, koja je istinitija nego ikad u području sigurnosti. Koliko vjerujete ugrađenim mogućnostima pružatelja usluga oblaka koji vam šalje događaje informacijske sigurnosti? Koliko se uopće fokusiraju na informacijsku sigurnost?

Ponekad je vrijedno pogledati rješenja za nadgledanje preklopne infrastrukture u oblaku koja mogu nadopuniti ugrađenu sigurnost u oblaku, a ponekad su takva rješenja jedina opcija za dobivanje uvida u sigurnost vaših podataka i aplikacija smještenih u oblaku. Osim toga, jednostavno su praktičniji jer preuzimaju sve zadatke analize potrebnih zapisa koje generiraju različite usluge u oblaku od različitih pružatelja usluga u oblaku. Primjer takvog preklapajućeg rješenja je Cisco Stealthwatch Cloud, koji je fokusiran na jedan zadatak - praćenje anomalija informacijske sigurnosti u okruženjima oblaka, uključujući ne samo Amazon AWS, Microsoft Azure i Google Cloud Platform, već i privatne oblake.

Primjer: Nadzor informacijske sigurnosti pomoću Stealthwatch Clouda

AWS pruža fleksibilnu računalnu platformu, ali ta fleksibilnost olakšava tvrtkama da naprave pogreške koje dovode do sigurnosnih problema. A zajednički model informacijske sigurnosti tome samo pridonosi. Pokretanje softvera u oblaku s nepoznatim ranjivostima (s poznatima se može boriti, na primjer, AWS Inspector ili GCP Cloud Scanner), slabim lozinkama, netočnim konfiguracijama, insajderima itd. A sve se to odražava na ponašanje resursa u oblaku, koje može nadzirati Cisco Stealthwatch Cloud, sustav za nadzor informacijske sigurnosti i otkrivanje napada. javni i privatni oblaci.

Sigurnosni nadzor u oblaku

Jedna od ključnih značajki Cisco Stealthwatch Clouda je mogućnost modeliranja entiteta. Pomoću njega možete izraditi softverski model (odnosno simulaciju u gotovo stvarnom vremenu) svakog od vaših resursa u oblaku (nije bitno je li to AWS, Azure, GCP ili nešto drugo). Oni mogu uključivati ​​poslužitelje i korisnike, kao i vrste resursa specifične za vaše okruženje u oblaku, kao što su sigurnosne grupe i grupe za automatsko skaliranje. Ovi modeli kao ulaz koriste strukturirane tokove podataka koje pružaju usluge u oblaku. Na primjer, za AWS to bi bili VPC Flow Logs, AWS CloudTrail, AWS CloudWatch, AWS Config, AWS Inspector, AWS Lambda i AWS IAM. Modeliranje entiteta automatski otkriva ulogu i ponašanje bilo kojeg od vaših resursa (možete govoriti o profiliranju svih aktivnosti u oblaku). Ove uloge uključuju Android ili Apple mobilni uređaj, Citrix PVS poslužitelj, RDP poslužitelj, mail gateway, VoIP klijent, terminalski poslužitelj, kontroler domene itd. Zatim kontinuirano nadzire njihovo ponašanje kako bi utvrdio kada dolazi do rizičnog ponašanja ili ponašanja koje ugrožava sigurnost. Možete prepoznati pogađanje lozinke, DDoS napade, curenje podataka, ilegalni daljinski pristup, aktivnost zlonamjernog koda, skeniranje ranjivosti i druge prijetnje. Na primjer, ovako izgleda otkrivanje pokušaja daljinskog pristupa iz zemlje koja nije tipična za vašu organizaciju (Južna Koreja) do Kubernetes klastera putem SSH-a:

Sigurnosni nadzor u oblaku

A ovako izgleda navodno curenje informacija iz Postgress baze podataka u zemlju s kojom do sada nismo naišli na interakciju:

Sigurnosni nadzor u oblaku

Konačno, ovako izgleda previše neuspjelih SSH pokušaja iz Kine i Indonezije s vanjskog udaljenog uređaja:

Sigurnosni nadzor u oblaku

Ili, pretpostavimo da instanca poslužitelja u VPC-u, prema politici, nikada ne smije biti udaljeno odredište za prijavu. Nadalje pretpostavimo da je ovo računalo doživjelo daljinsku prijavu zbog pogrešne promjene pravila pravila vatrozida. Značajka Entity Modeling otkrit će i prijaviti ovu aktivnost ("Neuobičajeni udaljeni pristup") u gotovo stvarnom vremenu i usmjeriti na određeni AWS CloudTrail, Azure Monitor ili GCP Stackdriver Logging API poziv (uključujući korisničko ime, datum i vrijeme, između ostalih pojedinosti ).što je potaknulo promjenu ITU pravila. Zatim se te informacije mogu poslati SIEM-u na analizu.

Sigurnosni nadzor u oblaku

Slične mogućnosti implementirane su za svako okruženje oblaka koje podržava Cisco Stealthwatch Cloud:

Sigurnosni nadzor u oblaku

Modeliranje entiteta jedinstven je oblik sigurnosne automatizacije koji može otkriti prethodno nepoznat problem s vašim ljudima, procesima ili tehnologijom. Na primjer, omogućuje vam otkrivanje, između ostalog, sigurnosnih problema kao što su:

  • Je li netko otkrio backdoor u softveru koji koristimo?
  • Postoji li softver ili uređaj treće strane u našem oblaku?
  • Zlorabi li ovlašteni korisnik privilegije?
  • Je li došlo do pogreške u konfiguraciji koja je omogućila daljinski pristup ili drugu nenamjernu upotrebu resursa?
  • Cure li podaci s naših poslužitelja?
  • Je li se netko pokušavao povezati s nama s netipične geografske lokacije?
  • Je li naš oblak zaražen zlonamjernim kodom?

Sigurnosni nadzor u oblaku

Otkriveni informacijski sigurnosni događaj može se poslati u obliku odgovarajuće karte Slacku, Cisco Sparku, sustavu za upravljanje incidentima PagerDuty, a također se može poslati raznim SIEM-ovima, uključujući Splunk ili ELK. Ukratko, možemo reći da ako vaša tvrtka koristi strategiju više oblaka i nije ograničena na jednog pružatelja usluga oblaka, gore opisane mogućnosti nadzora informacijske sigurnosti, tada je korištenje Cisco Stealthwatch Clouda dobra opcija za dobivanje jedinstvenog skupa nadzora mogućnosti za vodeće igrače u oblaku - Amazon, Microsoft i Google. Ono što je najzanimljivije je da ako se cijene za Stealthwatch Cloud usporede s naprednim licencama za nadzor informacijske sigurnosti u AWS-u, Azure-u ili GCP-u, može se pokazati da će Ciscovo rješenje biti još jeftinije od ugrađenih mogućnosti Amazona, Microsofta i Google rješenja. Paradoksalno, ali je istinito. A što više oblaka i njihovih mogućnosti koristite, to će prednost konsolidiranog rješenja biti očitija.

Sigurnosni nadzor u oblaku

Osim toga, Stealthwatch Cloud može nadzirati privatne oblake raspoređene u vašoj organizaciji, na primjer, na temelju Kubernetes spremnika ili praćenjem Netflow tokova ili mrežnog prometa primljenog putem zrcaljenja u mrežnoj opremi (čak i domaće proizvodnje), AD podacima ili DNS poslužiteljima i tako dalje. Svi ovi podaci bit će obogaćeni informacijama Threat Intelligence koje je prikupio Cisco Talos, najveća svjetska nevladina skupina istraživača kibernetičkih prijetnji.

Sigurnosni nadzor u oblaku

To vam omogućuje implementaciju objedinjenog sustava nadzora za javne i hibridne oblake koje vaša tvrtka može koristiti. Prikupljene informacije zatim se mogu analizirati korištenjem ugrađenih mogućnosti Stealthwatch Clouda ili poslati u vaš SIEM (Splunk, ELK, SumoLogic i nekoliko drugih podržani su prema zadanim postavkama).

Ovime ćemo završiti prvi dio članka u kojem sam pregledao ugrađene i eksterne alate za nadzor informacijske sigurnosti IaaS/PaaS platformi koji nam omogućuju brzo otkrivanje i reagiranje na incidente koji se događaju u cloud okruženjima koja naše poduzeće je odabralo. U drugom dijelu nastavit ćemo temu i pogledati mogućnosti nadzora SaaS platformi na primjeru Salesforcea i Dropboxa, a pokušat ćemo sve sažeti i objediniti stvaranjem jedinstvenog sustava nadzora informacijske sigurnosti za različite cloud providere.

Izvor: www.habr.com

Dodajte komentar