Deplase done ak aplikasyon yo nan nwaj la prezante yon nouvo defi pou SOC antrepriz yo, ki pa toujou pare pou kontwole enfrastrikti lòt moun. Dapre Netoskope, antrepriz an mwayèn (aparamman nan peyi Etazini an) sèvi ak 1246 sèvis nwaj diferan, ki se 22% plis pase yon ane de sa. 1246 sèvis nwaj!!! 175 nan yo gen rapò ak sèvis HR, 170 yo gen rapò ak maketing, 110 yo nan domèn kominikasyon ak 76 yo nan finans ak CRM. Cisco itilize "sèlman" 700 sèvis nwaj ekstèn. Se konsa, mwen se yon ti kras konfonn pa nimewo sa yo. Men, nan nenpòt ka, pwoblèm nan se pa ak yo, men ak lefèt ke nwaj la ap kòmanse itilize byen aktivman pa yon nimewo ogmante nan konpayi ki ta renmen gen menm kapasite yo pou kontwole enfrastrikti nwaj yo kòm nan pwòp rezo yo. Ak tandans sa a ap grandi - dapre Rive 2023, 1200 sant done yo pral fèmen nan peyi Etazini (6250 te deja fèmen). Men, tranzisyon an nan nwaj la se pa sèlman "se pou nou deplase sèvè nou yo nan yon founisè ekstèn." Nouvo IT achitekti, nouvo lojisyèl, nouvo pwosesis, nouvo restriksyon ... Tout bagay sa yo pote chanjman enpòtan nan travay la nan non sèlman IT, men tou, sekirite enfòmasyon. Men, si founisè yo te aprann yon jan kanmenm fè fas ak asire sekirite nan nwaj la tèt li (ererezman gen yon anpil nan rekòmandasyon), Lè sa a, ak siveyans sekirite enfòmasyon nwaj, espesyalman sou tribin SaaS, gen difikilte enpòtan, ki nou pral pale sou.
Ann di konpayi ou te deplase yon pati nan enfrastrikti li nan nwaj la... One Stop. Se pa fason sa a. Si enfrastrikti a te transfere, epi ou sèlman kounye a panse sou ki jan ou pral kontwole li, Lè sa a, ou te deja pèdi. Sòf si li nan Amazon, Google, oswa Microsoft (ak Lè sa a, ak rezèvasyon), pwobableman ou pa pral gen anpil kapasite pou kontwole done ou ak aplikasyon yo. Li bon si yo ba w opòtinite pou travay ak mòso bwa. Pafwa done evènman sekirite yo ap disponib, men ou p ap gen aksè a li. Pou egzanp, Biwo 365. Si ou gen pi bon mache lisans E1, Lè sa a, evènman sekirite yo pa disponib pou ou ditou. Si ou gen yon lisans E3, done ou yo estoke pou sèlman 90 jou, epi sèlman si ou gen yon lisans E5, dire a nan mòso bwa yo disponib pou yon ane (sepandan, sa a tou gen nuans pwòp li yo ki gen rapò ak bezwen an separeman. mande yon kantite fonksyon pou travay ak mòso bwa nan sipò Microsoft). By wout la, lisans E3 a pi fèb an tèm de fonksyon siveyans pase Echanj antrepriz. Pou reyalize menm nivo a, ou bezwen yon lisans E5 oswa yon lisans Konfòmite Avanse adisyonèl, ki ka mande lajan anplis ki pa t 'dekonpoze nan modèl finansye ou pou deplase nan enfrastrikti nwaj. Epi sa a se jis yon egzanp souzèstimasyon pwoblèm ki gen rapò ak siveyans sekirite enfòmasyon nwaj yo. Nan atik sa a, san yo pa pretann yo dwe konplè, mwen vle atire atansyon sou kèk nuans ki ta dwe pran an kont lè w ap chwazi yon founisè nwaj soti nan yon pwen de vi sekirite. Ak nan fen atik la, yo pral bay yon lis verifikasyon ki vo ranpli anvan yo konsidere ke pwoblèm nan nan siveyans sekirite enfòmasyon nwaj yo te rezoud.
Gen plizyè pwoblèm tipik ki mennen nan ensidan nan anviwònman nwaj yo, sèvis sekirite enfòmasyon yo pa gen tan reponn oswa yo pa wè yo ditou:
- Jounal sekirite pa egziste. Sa a se yon sitiyasyon jistis komen, espesyalman nan mitan jwè inisyasyon nan mache solisyon nwaj la. Men, ou pa ta dwe abandone yo touswit. Ti jwè yo, espesyalman domestik yo, yo pi sansib a kondisyon kliyan yo epi yo ka byen vit aplike kèk fonksyon obligatwa lè yo chanje plan wout apwouve pou pwodwi yo. Wi, sa a pa pral yon analogue nan GuardDuty soti nan Amazon oswa modil "Proactive Pwoteksyon" nan Bitrix, men omwen yon bagay.
- Sekirite enfòmasyon pa konnen ki kote mòso bwa yo estoke oswa pa gen aksè a yo. Isit la li nesesè antre nan negosyasyon ak founisè sèvis nwaj la - petèt li pral bay enfòmasyon sa yo si li konsidere kliyan an enpòtan pou li. Men, an jeneral, li pa trè bon lè aksè a mòso bwa yo bay "pa desizyon espesyal."
- Li rive tou ke founisè nwaj la gen mòso bwa, men yo bay siveyans limite ak anrejistreman evènman, ki pa ase yo detekte tout ensidan. Pou egzanp, ou ka sèlman resevwa mòso bwa chanjman sou yon sit entènèt oswa mòso bwa tantativ otantifikasyon itilizatè, men se pa lòt evènman, tankou trafik rezo, ki pral kache nan men ou yon kouch antye nan evènman ki karakterize tantativ yo pirate enfrastrikti nwaj ou a.
- Gen mòso bwa, men aksè a yo se difisil a otomatize, ki fòse yo dwe kontwole pa kontinyèlman, men sou yon orè. Men, si ou pa ka telechaje mòso bwa otomatikman, Lè sa a, telechaje mòso bwa, pou egzanp, nan fòma Excel (tankou ak yon kantite founisè domestik solisyon nwaj), ka menm mennen nan yon repiyans nan pati nan sèvis sekirite enfòmasyon antrepriz la brikol ak yo.
- Pa gen siveyans boutèy demi lit. Sa a se petèt rezon ki pi klè pou ensidan sekirite enfòmasyon yo nan anviwònman nwaj yo. Li sanble ke gen mòso bwa, epi li posib otomatize aksè a yo, men pesonn pa fè sa. Poukisa?
Konsèp sekirite nwaj pataje
Tranzisyon an nan nwaj la se toujou yon rechèch pou yon balans ant dezi a kenbe kontwòl sou enfrastrikti a ak transfere li nan men yo ki pi pwofesyonèl nan yon founisè nwaj ki espesyalize nan kenbe li. Ak nan jaden an nan sekirite nwaj, balans sa a dwe chèche tou. Anplis, tou depann de modèl livrezon sèvis nwaj yo itilize (IaaS, PaaS, SaaS), balans sa a pral diferan tout tan. Nan nenpòt ka, nou dwe sonje ke tout founisè nwaj jodi a swiv sa yo rele responsablite pataje ak modèl sekirite enfòmasyon pataje. Nwaj la responsab pou kèk bagay, ak pou lòt kliyan an responsab, mete done li yo, aplikasyon li yo, machin vityèl li yo ak lòt resous nan nwaj la. Li ta ensousyan atann ke lè nou ale nan nwaj la, nou pral chanje tout responsablite bay founisè a. Men, li la tou saj yo bati tout sekirite a tèt ou lè w ap deplase nan nwaj la. Yon balans nesesè, ki pral depann de anpil faktè: - estrateji jesyon risk, modèl menas, mekanis sekirite ki disponib pou founisè nwaj la, lejislasyon, elatriye.
Pou egzanp, klasifikasyon done ki anime nan nwaj la se toujou responsablite kliyan an. Yon founisè nwaj oswa yon founisè sèvis ekstèn ka ede l sèlman ak zouti ki pral ede make done nan nwaj la, idantifye vyolasyon, efase done ki vyole lwa a, oswa maske yo lè l sèvi avèk yon metòd oswa yon lòt. Nan lòt men an, sekirite fizik se toujou responsablite nan founisè nwaj la, ki li pa ka pataje ak kliyan yo. Men, tout bagay ki ant done ak enfrastrikti fizik se jisteman sijè a nan diskisyon nan atik sa a. Pou egzanp, disponiblite nwaj la se responsablite founisè a, epi mete règleman firewall oswa pèmèt chifreman se responsablite kliyan an. Nan atik sa a nou pral eseye gade nan ki mekanis siveyans sekirite enfòmasyon yo bay jodi a pa plizyè founisè nwaj popilè nan Larisi, ki karakteristik yo ki nan itilizasyon yo, ak ki lè li vo gade nan direksyon pou solisyon ekstèn kouvri (pa egzanp, Cisco E- Sekirite lapòs) ki elaji kapasite nwaj ou an an tèm de cybersecurity. Nan kèk ka, sitou si w ap swiv yon estrateji milti-nwaj, ou p ap gen okenn chwa men sèvi ak solisyon ekstèn siveyans sekirite enfòmasyon nan plizyè anviwònman nwaj alafwa (pa egzanp, Cisco CloudLock oswa Cisco Stealthwatch Cloud). Oke, nan kèk ka ou pral reyalize ke founisè nwaj ou te chwazi a (oswa enpoze sou ou) pa ofri okenn kapasite siveyans sekirite enfòmasyon ditou. Sa a se dezagreyab, men tou, pa yon ti kras, paske li pèmèt ou byen evalye nivo risk ki asosye ak travay ak nwaj sa a.
Siveyans Siveyans Sekirite Cloud Lifecycle
Pou kontwole sekirite nwaj ou itilize yo, ou gen sèlman twa opsyon:
- konte sou zouti founisè nwaj ou bay yo,
- sèvi ak solisyon twazyèm pati ki pral kontwole platfòm IaaS, PaaS oswa SaaS ou itilize yo,
- konstwi pwòp enfrastrikti siveyans nwaj ou a (sèlman pou platfòm IaaS/PaaS).
Ann wè ki karakteristik chak nan opsyon sa yo genyen. Men, anvan, nou bezwen konprann fondasyon an jeneral ki pral itilize lè siveyans platfòm nwaj yo. Mwen ta mete aksan sou 6 eleman prensipal nan pwosesis siveyans sekirite enfòmasyon an nan nwaj la:
- Preparasyon enfrastrikti. Detèmine aplikasyon ki nesesè yo ak enfrastrikti pou kolekte evènman enpòtan pou sekirite enfòmasyon nan depo.
- Koleksyon. Nan etap sa a, evènman sekirite yo rasanble nan divès sous pou transmisyon ki vin apre pou pwosesis, depo ak analiz.
- Tretman. Nan etap sa a, done yo transfòme ak anrichi pou fasilite analiz ki vin apre yo.
- Depo. Eleman sa a responsab pou depo kout tèm ak alontèm nan kolekte done trete ak anvan tout koreksyon.
- Analiz. Nan etap sa a, ou gen kapasite pou detekte ensidan epi reponn a yo otomatikman oswa manyèlman.
- Rapòte. Etap sa a ede fòmile endikatè kle pou moun ki gen enterè (jesyon, oditè, founisè nwaj, kliyan, elatriye) ki ede nou pran sèten desizyon, pou egzanp, chanje yon founisè oswa ranfòse sekirite enfòmasyon.
Konprann eleman sa yo pral pèmèt ou byen vit deside nan lavni an kisa ou ka pran nan men founisè ou a, ak sa ou pral gen pou fè tèt ou oswa ak patisipasyon nan konsiltan ekstèn.
Sèvis nwaj entegre
Mwen deja ekri pi wo a ke anpil sèvis nwaj jodi a pa bay okenn kapasite siveyans sekirite enfòmasyon. An jeneral, yo pa peye anpil atansyon sou sijè a nan sekirite enfòmasyon. Pou egzanp, youn nan sèvis yo popilè Ris pou voye rapò bay ajans gouvènman yo atravè entènèt la (mwen pa pral espesyalman mansyone non li). Seksyon an antye sou sekirite sèvis sa a vire sou itilizasyon CIPF sètifye. Seksyon sekirite enfòmasyon yon lòt sèvis nwaj domestik pou jesyon dokiman elektwonik pa diferan. Li pale sou sètifika kle piblik, kriptografi ki sètifye, elimine vilnerabilite entènèt, pwoteksyon kont atak DDoS, lè l sèvi avèk firewall, sovgad, e menm regilye odit sekirite enfòmasyon. Men, pa gen yon mo sou siveyans, ni sou posibilite pou jwenn aksè nan evènman sekirite enfòmasyon ki ka enterese kliyan nan founisè sèvis sa a.
An jeneral, nan fason founisè nwaj la dekri pwoblèm sekirite enfòmasyon sou sit entènèt li yo ak nan dokiman li yo, ou ka konprann ki jan seryezman li pran pwoblèm sa a. Pou egzanp, si ou li manyèl yo pou pwodwi "My Office" yo, pa gen yon mo sou sekirite ditou, men nan dokiman an pou pwodwi separe "My Office. KS3", ki fèt pou pwoteje kont aksè san otorizasyon, gen yon lis nòmal nan pwen nan lòd 17yèm nan FSTEC a, ki "My Office.KS3" aplike, men li pa dekri kijan li aplike li epi, sa ki pi enpòtan, ki jan yo. entegre mekanis sa yo ak sekirite enfòmasyon antrepriz. Petèt dokiman sa yo egziste, men mwen pa t jwenn li nan domèn piblik, sou sit entènèt "Biwo mwen an". Malgre ke petèt mwen jis pa gen aksè a enfòmasyon sekrè sa a?...
Pou Bitrix, sitiyasyon an pi bon anpil. Dokimantasyon an dekri fòma mòso bwa evènman yo ak, sa ki enteresan, mòso bwa a entrizyon, ki gen evènman ki gen rapò ak potansyèl menas pou platfòm nwaj la. Soti nan la ou ka rale IP, itilizatè oswa non envite, sous evènman, tan, Ajan itilizatè, kalite evènman, elatriye. Se vre, ou ka travay ak evènman sa yo swa nan panèl la kontwòl nan nwaj la tèt li, oswa Upload done nan fòma MS Excel. Kounye a li difisil pou otomatize travay ak mòso bwa Bitrix epi w ap oblije fè kèk nan travay la manyèlman (telechaje rapò a epi chaje l nan SIEM ou). Men, si nou sonje ke jiska relativman dènyèman yon opòtinite konsa pa t egziste, Lè sa a, sa a se gwo pwogrè. An menm tan an, mwen ta renmen sonje ke anpil founisè nwaj etranje ofri fonksyonalite menm jan an "pou débutan" - swa gade mòso bwa yo ak je ou atravè panèl kontwòl la, oswa telechaje done yo nan tèt ou (sepandan, pifò telechaje done nan . fòma csv, pa Excel).
San yo pa konsidere opsyon ki pa gen mòso bwa a, founisè nwaj yo anjeneral ofri w twa opsyon pou kontwole evènman sekirite - tablodbò, telechaje done ak aksè API. Premye a sanble rezoud anpil pwoblèm pou ou, men sa a se pa totalman vre - si ou gen plizyè magazin, ou gen chanje ant ekran yo montre yo, pèdi foto an jeneral. Anplis de sa, founisè nwaj la pa fasil pou bay ou kapasite pou korel evènman sekirite epi jeneralman analize yo nan yon pwen de vi sekirite (anjeneral ou ap fè fas ak done anvan tout koreksyon, ki ou bezwen konprann tèt ou). Gen eksepsyon epi nou pral pale sou yo pi lwen. Finalman, li vo mande ki evènman yo anrejistre pa founisè nwaj ou a, nan ki fòma, ak ki jan yo koresponn ak pwosesis siveyans sekirite enfòmasyon ou a? Pou egzanp, idantifikasyon ak otantifikasyon itilizatè yo ak envite. Menm Bitrix la pèmèt ou, ki baze sou evènman sa yo, anrejistre dat ak lè evènman an, non itilizatè a oswa envite (si ou gen modil "Web Analytics"), objè a jwenn aksè ak lòt eleman tipik pou yon sit entènèt. . Men, sèvis sekirite enfòmasyon antrepriz yo ka bezwen enfòmasyon sou si wi ou non itilizatè a jwenn aksè nan nwaj la nan yon aparèy ou fè konfyans (pa egzanp, nan yon rezo antrepriz travay sa a se aplike pa Cisco ISE). Ki sa ki sou yon travay ki senp tankou fonksyon an geo-IP, ki pral ede detèmine si yo te vòlè yon kont itilizatè sèvis nwaj? E menm si founisè nwaj la ba ou li, sa pa ase. Menm Cisco CloudLock a pa jis analize jeolokalizasyon, men li sèvi ak aprantisaj machin pou sa a epi analize done istorik pou chak itilizatè ak kontwole divès kalite anomali nan tantativ idantifikasyon ak otantifikasyon. Se sèlman MS Azure ki gen fonksyonalite ki sanble (si ou gen abònman ki apwopriye a).
Gen yon lòt difikilte - depi pou anpil founisè nwaj siveyans sekirite enfòmasyon se yon nouvo sijè ke yo jis kòmanse fè fas ak yo, yo toujou ap chanje yon bagay nan solisyon yo. Jodi a yo gen yon vèsyon API a, demen yon lòt, apre demen yon twazyèm. Ou bezwen tou prepare pou sa. Menm bagay la tou se vre ak fonctionnalités, ki ka chanje, ki dwe pran an konsiderasyon nan sistèm siveyans sekirite enfòmasyon ou. Pou egzanp, okòmansman Amazon te gen sèvis siveyans evènman nwaj separe—AWS CloudTrail ak AWS CloudWatch. Lè sa a, yon sèvis separe pou kontwole evènman sekirite enfòmasyon te parèt - AWS GuardDuty. Apre kèk tan, Amazon te lanse yon nouvo sistèm jesyon, Amazon Security Hub, ki gen ladan analiz done yo resevwa nan men GuardDuty, Amazon Inspector, Amazon Macie ak plizyè lòt. Yon lòt egzanp se zouti entegrasyon Azure log ak SIEM - AzLog. Li te aktivman itilize pa anpil fournisseurs SIEM, jouk nan 2018 Microsoft te anonse sispann nan devlopman li yo ak sipò, ki te konfwonte anpil kliyan ki te itilize zouti sa a ak yon pwoblèm (nou pral pale sou ki jan li te rezoud pita).
Se poutèt sa, ak anpil atansyon kontwole tout karakteristik siveyans ke founisè nwaj ou a ofri ou. Oswa konte sou founisè solisyon ekstèn ki pral aji kòm entèmedyè ant SOC ou a ak nwaj ou vle kontwole a. Wi, li pral pi chè (byenke pa toujou), men ou pral chanje tout responsablite a sou zepòl yon lòt moun. Oswa se pa tout li? .. Ann sonje konsèp sekirite pataje epi konprann ke nou pa ka chanje anyen - nou pral oblije konprann poukont fason diferan founisè nwaj yo bay siveyans sekirite enfòmasyon ou yo, aplikasyon yo, machin vityèl yo ak lòt resous. òganize nan nwaj la. Epi nou pral kòmanse ak sa Amazon ofri nan pati sa a.
Egzanp: Siveyans sekirite enfòmasyon nan IaaS ki baze sou AWS
Wi, wi, mwen konprann ke Amazon se pa pi bon egzanp akòz lefèt ke sa a se yon sèvis Ameriken epi li ka bloke kòm yon pati nan batay la kont ekstrèm ak difizyon nan enfòmasyon entèdi nan Larisi. Men, nan piblikasyon sa a mwen ta jis renmen montre ki jan diferan platfòm nwaj yo diferan nan kapasite siveyans sekirite enfòmasyon yo ak sa ou ta dwe peye atansyon sou lè transfere pwosesis kle ou nan nwaj yo soti nan yon pwen de vi sekirite. Oke, si kèk nan devlopè Ris yo nan solisyon nwaj yo aprann yon bagay itil pou tèt yo, Lè sa a, sa a pral gwo.
Premye bagay yo di se ke Amazon se pa yon fò inpénétrabl. Ensidan divès kalite rive regilyèman kliyan li yo. Pa egzanp, non, adrès, dat nesans, ak nimewo telefòn 198 milyon votè yo te vòlè nan Deep Root Analytics. Konpayi Izraelyen Nice Systems te vòlè 14 milyon dosye sou abònen Verizon. Sepandan, kapasite entegre AWS yo pèmèt ou detekte yon pakèt ensidan. Pa egzanp:
- enpak sou enfrastrikti (DDoS)
- konpwomi ne (piki kòmand)
- konpwomi kont ak aksè san otorizasyon
- konfigirasyon kòrèk ak frajilite
- koòdone ensekirite ak API.
Diferans sa a se akòz lefèt ke, jan nou te jwenn pi wo a, kliyan an tèt li responsab pou sekirite done kliyan yo. Men, si li pa t 'anmède vire sou mekanis pwoteksyon epi li pa t' vire sou zouti siveyans, Lè sa a, li pral sèlman aprann sou ensidan an nan medya yo oswa nan men kliyan li yo.
Pou idantifye ensidan, ou ka itilize yon pakèt sèvis siveyans diferan Amazon devlope (byenke sa yo souvan konplete pa zouti ekstèn tankou osquery). Se konsa, nan AWS, tout aksyon itilizatè yo kontwole, kèlkeswa fason yo te fè - atravè konsole jesyon an, liy lòd, SDK oswa lòt sèvis AWS. Tout dosye aktivite chak kont AWS (ki gen ladan non itilizatè, aksyon, sèvis, paramèt aktivite, ak rezilta) ak itilizasyon API yo disponib atravè AWS CloudTrail. Ou ka wè evènman sa yo (tankou koneksyon konsole AWS IAM) nan konsole CloudTrail la, analize yo lè l sèvi avèk Amazon Athena, oswa "konfye" yo nan solisyon ekstèn tankou Splunk, AlienVault, elatriye. Yo mete mòso bwa AWS CloudTrail yo nan bokit AWS S3 ou a.
De lòt sèvis AWS bay yon kantite lòt kapasite siveyans enpòtan. Premyèman, Amazon CloudWatch se yon sèvis siveyans pou resous AWS ak aplikasyon ki, pami lòt bagay, pèmèt ou idantifye divès kalite anomali nan nwaj ou a. Tout sèvis AWS entegre, tankou Amazon Elastic Compute Cloud (sèvè), Amazon Relational Database Service (baz done), Amazon Elastic MapReduce (analiz done), ak 30 lòt sèvis Amazon, sèvi ak Amazon CloudWatch pou estoke mòso bwa yo. Devlopè yo ka itilize API ouvè ki soti nan Amazon CloudWatch pou ajoute fonksyon siveyans boutèy demi lit nan aplikasyon ak sèvis koutim, sa ki pèmèt yo elaji sijè ki abòde analiz evènman yo nan yon kontèks sekirite.
Dezyèmman, sèvis VPC Flow Logs la pèmèt ou analize trafik rezo a voye oswa resevwa pa sèvè AWS ou yo (ekstèn oswa anndan), osi byen ke ant mikwosèvis yo. Lè nenpòt nan resous AWS VPC ou yo kominike avèk rezo a, VPC Flow Logs anrejistre detay sou trafik rezo a, ki gen ladan koòdone rezo sous ak destinasyon, ansanm ak adrès IP, pò, pwotokòl, kantite byte, ak kantite pake ou. wè. Moun ki gen eksperyans ak sekirite rezo lokal yo pral rekonèt sa a kòm analogue ak fil , ki ka kreye pa switch, routeurs ak firewall antrepriz-klas. Jounal sa yo enpòtan pou rezon siveyans sekirite enfòmasyon paske, kontrèman ak evènman sou aksyon itilizatè yo ak aplikasyon yo, yo tou pèmèt ou pa rate entèraksyon rezo nan anviwònman an AWS vityèl nwaj prive.
An rezime, twa sèvis AWS sa yo—AWS CloudTrail, Amazon CloudWatch, ak VPC Flow Logs—ansanm bay yon bon konprann sou itilizasyon kont ou, konpòtman itilizatè, jesyon enfrastrikti, aktivite aplikasyon ak sèvis, ak aktivite rezo. Pou egzanp, yo ka itilize yo detekte anomali sa yo:
- Tantativ pou eskane sit la, rechèch pou backdoor, rechèch pou frajilite nan eklat "404 erè".
- Atak piki (pa egzanp, SQL piki) nan eklat "500 erè".
- Zouti atak li te ye yo se sqlmap, nikto, w3af, nmap, elatriye. atravè analiz jaden Itilizatè Ajan an.
Amazon Web Services te devlope tou lòt sèvis pou rezon cybersecurity ki pèmèt ou rezoud anpil lòt pwoblèm. Pou egzanp, AWS gen yon sèvis entegre pou odit politik ak konfigirasyon - AWS Config. Sèvis sa a bay odit kontinyèl resous AWS ou yo ak konfigirasyon yo. Ann pran yon egzanp senp: Ann di ou vle asire w ke modpas itilizatè yo enfim sou tout sèvè ou yo epi ke aksè se sèlman posib ki baze sou sètifika. AWS Config fè li fasil pou tcheke sa a pou tout sèvè ou yo. Gen lòt règleman ki ka aplike nan sèvè nwaj ou yo: "Okenn sèvè pa ka itilize pò 22", "Sèlman administratè yo ka chanje règ firewall" oswa "Sèlman itilizatè Ivashko ka kreye nouvo kont itilizatè, epi li ka fè Se sèlman nan madi. " Nan ete 2016 la, yo te elaji sèvis AWS Config pou otomatize deteksyon vyolasyon politik devlope yo. Règ AWS Config se esansyèlman demann konfigirasyon kontinyèl pou sèvis Amazon ou itilize yo, ki jenere evènman si règleman korespondan yo vyole. Pa egzanp, olye pou yo kouri detanzantan demann AWS Config pou verifye ke tout disk sou yon sèvè vityèl yo ankripte, yo ka itilize Règ AWS Config pou kontinyèlman tcheke disk sèvè pou asire ke kondisyon sa a satisfè. Epi, sa ki pi enpòtan, nan kontèks piblikasyon sa a, nenpòt vyolasyon jenere evènman ki ka analize pa sèvis sekirite enfòmasyon ou a.
AWS tou gen ekivalan li a solisyon tradisyonèl sekirite enfòmasyon antrepriz, ki tou jenere evènman sekirite ke ou ka epi ou ta dwe analize:
- Deteksyon entrizyon - AWS GuardDuty
- Kontwòl koule enfòmasyon - AWS Macie
- EDR (byenke li pale sou pwen final nan nwaj la yon ti kras etranj) - AWS Cloudwatch + Open Source Osquery oswa solisyon GRR
- Netflow analiz - AWS Cloudwatch + AWS VPC Flow
- DNS analiz - AWS Cloudwatch + AWS Route53
- AD - Sèvis Anyè AWS
- Kont Jesyon - AWS IAM
- SSO - AWS SSO
- analiz sekirite - AWS Enspektè
- jesyon konfigirasyon - AWS Config
- WAF la vle di AWS WAF.
Mwen pa pral dekri an detay tout sèvis Amazon ki ka itil nan yon kontèks sekirite enfòmasyon. Bagay pwensipal lan se konprann ke tout nan yo ka jenere evènman ke nou ka epi nou ta dwe analize nan yon kontèks sekirite enfòmasyon, lè l sèvi avèk pou objektif sa a tou de kapasite yo bati-an nan Amazon tèt li ak solisyon ekstèn, pou egzanp, SIEM, ki ka. pran evènman sekirite nan sant siveyans ou a epi analize yo la ansanm ak evènman ki soti nan lòt sèvis nwaj oswa nan enfrastrikti entèn, perimèt oswa aparèy mobil.
Nan nenpòt ka, li tout kòmanse ak sous done yo ki bay ou ak evènman sekirite enfòmasyon. Sous sa yo enkli, men se pa sa sèlman:
- CloudTrail - Itilizasyon API ak aksyon itilizatè yo
- Trusted Advisor - tcheke sekirite kont pi bon pratik
- Config - envantè ak konfigirasyon kont ak anviwònman sèvis yo
- VPC Flow Logs - koneksyon ak entèfas vityèl
- IAM - sèvis idantifikasyon ak otantifikasyon
- ELB Aksè Logs - Load Balancer
- Enspektè - frajilite aplikasyon yo
- S3 - depo dosye
- CloudWatch - Aktivite aplikasyon
- SNS se yon sèvis notifikasyon.
Amazon, pandan y ap ofri tankou yon seri de sous evènman ak zouti pou jenerasyon yo, trè limite nan kapasite li pou analize done yo kolekte nan yon kontèks sekirite enfòmasyon. Ou pral oblije etidye endepandamman mòso bwa yo ki disponib, kap chèche endikatè ki enpòtan nan konpwomi nan yo. AWS Security Hub, ki Amazon te lanse dènyèman, vize pou rezoud pwoblèm sa a lè li vin tounen yon SIEM nwaj pou AWS. Men, byen lwen tèlman li se sèlman nan kòmansman an nan vwayaj li yo ak limite tou de pa kantite sous ak ki li travay ak pa lòt restriksyon ki etabli pa achitekti a ak abònman nan Amazon tèt li.
Egzanp: Siveyans sekirite enfòmasyon nan IaaS ki baze sou Azure
Mwen pa vle antre nan yon deba long sou kilès nan twa founisè yo nwaj (Amazon, Microsoft oswa Google) ki pi bon (sitou paske chak nan yo toujou gen espesifik espesifik pwòp li yo epi li apwopriye pou rezoud pwoblèm pwòp li yo); Ann konsantre sou kapasite siveyans sekirite enfòmasyon jwè sa yo bay. Li dwe admèt ke Amazon AWS se te youn nan premye nan segman sa a ak Se poutèt sa li te avanse pi lwen an tèm de fonksyon sekirite enfòmasyon li yo (byenke anpil admèt ke yo difisil pou itilize). Men, sa pa vle di ke nou pral inyore opòtinite yo ke Microsoft ak Google bay nou.
Pwodwi Microsoft yo te toujou distenge pa "ouvèti" yo ak nan Azure sitiyasyon an se menm jan an. Pou egzanp, si AWS ak GCP toujou soti nan konsèp nan "sa ki pa pèmèt yo entèdi," Lè sa a, Azure gen apwòch la egzak opoze. Pou egzanp, lè w ap kreye yon rezo vityèl nan nwaj la ak yon machin vityèl ladan l, tout pò ak pwotokòl yo louvri epi yo pèmèt pa default. Se poutèt sa, ou pral oblije depanse yon ti kras plis efò sou konfigirasyon inisyal la nan sistèm nan kontwòl aksè nan nwaj la soti nan Microsoft. Ak sa a tou enpoze kondisyon pi sevè sou ou an tèm de aktivite siveyans nan nwaj Azure la.
AWS gen yon karakteristik ki asosye ak lefèt ke lè ou kontwole resous vityèl ou yo, si yo sitiye nan diferan rejyon, Lè sa a, ou gen difikilte nan konbine tout evènman ak analiz inifye yo, elimine ki ou bezwen ale nan ke trik nouvèl divès kalite, tankou Kreye pwòp kòd ou pou AWS Lambda ki pral transpòte evènman ant rejyon yo. Azure pa gen pwoblèm sa a - mekanis Activity Log li yo swiv tout aktivite atravè tout òganizasyon an san restriksyon. Menm bagay la tou aplike pou AWS Security Hub, ki te fèk devlope pa Amazon pou konsolide anpil fonksyon sekirite nan yon sèl sant sekirite, men sèlman nan rejyon li a, ki, sepandan, pa enpòtan pou Larisi. Azure gen pwòp Sant Sekirite li, ki pa oblije restriksyon rejyonal yo, ki bay aksè a tout karakteristik sekirite platfòm nwaj la. Anplis, pou diferan ekip lokal li ka bay pwòp seri kapasite pwoteksyon li yo, ki gen ladan evènman sekirite yo jere. AWS Security Hub toujou sou wout pou l vin sanble ak Azure Security Center. Men, li vo ajoute yon mouch nan pomad la - ou ka peze soti nan Azure yon anpil nan sa ki te deja dekri nan AWS, men sa a se pi bon fè sèlman pou Azure AD, Azure Monitor ak Azure Security Center. Tout lòt mekanis sekirite Azure, ki gen ladan analiz evènman sekirite, yo poko jere nan fason ki pi pratik. Pwoblèm nan rezoud an pati pa API a, ki anvayi tout sèvis Microsoft Azure, men sa pral mande plis efò nan men ou pou entegre nwaj ou a ak SOC ou a ak prezans espesyalis kalifye (an reyalite, menm jan ak nenpòt lòt SIEM ki travay ak API nwaj yo). Gen kèk SIEM, ki pral diskite pita, deja sipòte Azure epi yo ka otomatize travay la nan siveyans li, men li tou gen difikilte pwòp li yo - se pa tout nan yo ka kolekte tout mòso bwa ke Azure genyen.
Koleksyon evènman ak siveyans nan Azure yo bay lè l sèvi avèk sèvis Azure Monitor, ki se zouti prensipal la pou kolekte, estoke ak analize done nan nwaj Microsoft la ak resous li yo - depo Git, resipyan, machin vityèl, aplikasyon, elatriye. Tout done ki kolekte pa Azure Monitor divize an de kategori - mezi, kolekte an tan reyèl epi ki dekri endikatè pèfòmans kle nan nwaj Azure, ak mòso bwa, ki gen done òganize nan dosye ki karakterize sèten aspè nan aktivite a nan resous Azure ak sèvis yo. Anplis de sa, lè l sèvi avèk Data Collector API, sèvis Azure Monitor ka kolekte done ki sòti nan nenpòt sous REST pou konstwi pwòp senaryo siveyans li yo.
Men kèk sous evènman sekirite Azure ofri w epi ou ka jwenn aksè atravè Azure Portal, CLI, PowerShell, oswa REST API (ak kèk sèlman atravè Azure Monitor/Insight API):
- Jounal Aktivite - Log sa a reponn kesyon klasik "ki," "ki," ak "kilè" konsènan nenpòt operasyon ekri (METE, POST, EFASE) sou resous nwaj yo. Evènman ki gen rapò ak aksè lekti (GET) yo pa enkli nan jounal sa a, tankou yon kantite lòt.
- Jounal dyagnostik - gen done sou operasyon ak yon resous patikilye ki enkli nan abònman ou.
- Rapò Azure AD - gen tou de aktivite itilizatè ak aktivite sistèm ki gen rapò ak jesyon gwoup ak itilizatè.
- Windows Event Log ak Linux Syslog - gen evènman ki soti nan machin vityèl ki anime nan nwaj la.
- Metrics - gen telemetrik sou pèfòmans ak eta sante sèvis ak resous nwaj ou yo. Mezire chak minit epi estoke. nan lespas 30 jou.
- Rezo Sekirite Gwoup Flow Logs - gen done sou evènman sekirite rezo yo kolekte lè l sèvi avèk sèvis Network Watcher ak siveyans resous nan nivo rezo a.
- Depo mòso bwa - gen evènman ki gen rapò ak aksè nan enstalasyon depo.
Pou siveyans, ou ka itilize SIEM ekstèn oswa Azure Monitor entegre ak ekstansyon li yo. Nou pral pale sou sistèm jesyon evènman sekirite enfòmasyon pita, men pou kounye a, ann wè ki sa Azure tèt li ofri nou pou analiz done nan yon kontèks sekirite. Ekran prensipal la pou tout bagay ki gen rapò ak sekirite nan Azure Monitor se Log Analytics Security and Audit Dashboard (vèsyon gratis la sipòte yon kantite limite nan depo evènman pou jis yon semèn). Dashboard sa a divize an 5 domèn prensipal ki vizyalize estatistik rezime sa k ap pase nan anviwònman nwaj w ap itilize a:
- Domèn Sekirite - kle endikatè quantitative ki gen rapò ak sekirite enfòmasyon - kantite ensidan an, kantite nœuds konpwomèt, nœuds san patch, evènman sekirite rezo, elatriye.
- Pwoblèm remakab - montre kantite ak enpòtans pwoblèm sekirite enfòmasyon aktif yo
- Deteksyon - montre modèl atak yo itilize kont ou
- Entèlijans menas - montre enfòmasyon jeyografik sou nœuds ekstèn k ap atake w
- Rekèt sekirite komen - rekèt tipik ki pral ede w pi byen kontwole sekirite enfòmasyon ou yo.
Ekstansyon Azure Monitor gen ladan Azure Key Vault (pwoteksyon kle kriptografik nan nwaj la), Evalyasyon malveyan (analiz pwoteksyon kont move kòd sou machin vityèl), Azure Application Gateway Analytics (analiz, pami lòt bagay, mòso bwa firewall nwaj), elatriye. . Zouti sa yo, ki rich ak sèten règ pou trete evènman yo, pèmèt ou vizyalize divès aspè nan aktivite sèvis nwaj yo, ki gen ladan sekirite, epi idantifye sèten devyasyon nan operasyon. Men, jan sa rive souvan, nenpòt fonksyonalite adisyonèl mande pou yon abònman peye korespondan, ki pral mande pou korespondan envestisman finansye nan men ou, ke ou bezwen planifye davans.
Azure gen yon kantite kapasite siveyans menas entegre ki entegre nan Azure AD, Azure Monitor, ak Azure Security Center. Pami yo, pou egzanp, deteksyon nan entèraksyon nan machin vityèl ak IP move li te ye (akòz nan prezans nan entegrasyon ak sèvis entèlijans menas soti nan Microsoft), deteksyon nan malveyan nan enfrastrikti nwaj la pa resevwa alam nan machin vityèl ki anime nan nwaj la, modpas. atak devine ” sou machin vityèl, frajilite nan konfigirasyon sistèm idantifikasyon itilizatè a, antre nan sistèm nan soti nan anonimize oswa nœuds ki enfekte, fwit kont, konekte nan sistèm nan soti nan kote dwòl, elatriye. Azure jodi a se youn nan kèk founisè nwaj ki ofri w kapasite entèlijans menas entegre pou anrichi evènman sekirite enfòmasyon yo kolekte.
Kòm mansyone pi wo a, fonksyonalite sekirite a ak, kòm yon rezilta, evènman sekirite ki te pwodwi pa li yo pa disponib pou tout itilizatè yo egalman, men mande pou yon abònman sèten ki gen ladan fonksyonalite ou bezwen an, ki jenere evènman ki apwopriye yo pou siveyans sekirite enfòmasyon. Pou egzanp, kèk nan fonksyon yo dekri nan paragraf anvan an pou siveyans anomali nan kont yo disponib sèlman nan lisans lan prim P2 pou sèvis Azure AD. San li, ou menm, tankou nan ka AWS, ap gen analize evènman sekirite yo kolekte "manyèlman". Epi tou, tou depann de kalite Azure AD lisans, se pa tout evènman yo ap disponib pou analiz.
Sou pòtal Azure la, ou ka jere tou de demann rechèch pou mòso bwa ki enterese w epi mete tablodbò pou visualize endikatè sekirite enfòmasyon kle yo. Anplis de sa, ou ka chwazi ekstansyon Azure Monitor, ki pèmèt ou elaji fonksyonalite mòso mòso Azure Monitor epi jwenn yon analiz pi fon nan evènman yo nan yon pwen de vi sekirite.
Si ou bezwen pa sèlman kapasite nan travay ak mòso bwa, men yon sant sekirite konplè pou platfòm Azure nwaj ou a, ki gen ladan jesyon politik sekirite enfòmasyon, Lè sa a, ou ka pale sou nesesite pou travay ak Azure Security Center, pi fò nan fonksyon yo itil nan yo. yo disponib pou kèk lajan, pou egzanp, deteksyon menas, siveyans deyò Azure, evalyasyon konfòmite, elatriye. (nan vèsyon an gratis, ou sèlman gen aksè a yon evalyasyon sekirite ak rekòmandasyon pou elimine pwoblèm idantifye). Li konsolide tout pwoblèm sekirite nan yon sèl kote. An reyalite, nou ka pale sou yon nivo sekirite enfòmasyon ki pi wo pase Azure Monitor ba ou a, paske nan ka sa a done yo kolekte nan tout faktori nwaj ou anrichi lè l sèvi avèk anpil sous, tankou Azure, Office 365, Microsoft CRM sou entènèt, Microsoft Dynamics AX. , outlook .com, MSN.com, Microsoft Digital Crimes Unit (DCU) ak Microsoft Security Response Center (MSRC), kote divès kalite sofistike aprantisaj machin ak algoritm analiz konpòtman yo sipèpoze, ki ta dwe finalman amelyore efikasite nan detekte ak reponn a menas. .
Azure tou gen pwòp SIEM li yo - li te parèt nan kòmansman 2019 la. Sa a se Azure Sentinel, ki depann sou done ki soti nan Azure Monitor epi li kapab tou entegre ak. solisyon sekirite ekstèn (pa egzanp, NGFW oswa WAF), lis ki toujou ap grandi. Anplis de sa, atravè entegrasyon Microsoft Graph Security API, ou gen kapasite pou konekte pwòp menas entèlijans ou a Sentinel, ki anrichi kapasite pou analize ensidan nan nwaj Azure ou a. Li ka diskite ke Azure Sentinel se premye "natif" SIEM ki parèt nan founisè nwaj yo (menm Splunk oswa ELK, ki ka anime nan nwaj la, pou egzanp, AWS, yo toujou pa devlope pa founisè sèvis nwaj tradisyonèl yo). Azure Sentinel ak Sant Sekirite yo ta ka rele SOC pou nwaj Azure la epi yo ka limite a yo (ak sèten rezèvasyon) si ou pa gen okenn enfrastrikti ankò epi ou transfere tout resous informatique ou nan nwaj la epi li ta Microsoft nwaj Azure.
Men, piske kapasite entegre Azure (menm si ou gen yon abònman nan Sentinel) souvan pa ase pou bi pou kontwole sekirite enfòmasyon ak entegre pwosesis sa a ak lòt sous evènman sekirite (tou de nwaj ak entèn), gen yon bezwen ekspòte done yo kolekte nan sistèm ekstèn, nan ki ka gen ladan SIEM. Sa fèt tou de lè l sèvi avèk API a ak lè l sèvi avèk ekstansyon espesyal, ki kounye a ofisyèlman disponib sèlman pou SIEM sa yo - Splunk (Azure Monitor Add-On pou Splunk), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight ak ELK. Jiska dènyèman, te gen plis SIEM sa yo, men soti nan 1ye jen 2019, Microsoft sispann sipòte zouti nan Azure Log Integration (AzLog), ki nan dimanch maten byen bonè nan egzistans lan nan Azure ak nan absans normalisation nòmal nan travay ak mòso bwa (AzLog). Monitè pa t 'menm egziste ankò) te fè li fasil entegre ekstèn SIEM ak nwaj Microsoft la. Kounye a sitiyasyon an chanje epi Microsoft rekòmande platfòm Azure Event Hub la kòm zouti entegrasyon prensipal pou lòt SIEM yo. Anpil te deja aplike entegrasyon sa yo, men fè atansyon - yo ka pa pran tout mòso Azure, men sèlman kèk (gade nan dokiman an pou SIEM ou).
Konkli yon ti vwayaj nan Azure, mwen ta renmen bay yon rekòmandasyon jeneral sou sèvis nwaj sa a - anvan ou di anyen sou fonksyon siveyans sekirite enfòmasyon yo nan Azure, ou ta dwe konfigirasyon yo ak anpil atansyon epi teste ke yo travay jan sa ekri nan dokiman an ak jan konsiltan yo te di w Microsoft (epi yo ka gen diferan opinyon sou fonksyonalite Azure fonksyon). Si ou gen resous finansye yo, ou ka peze soti yon anpil nan enfòmasyon itil nan Azure an tèm de siveyans sekirite enfòmasyon. Si resous ou yo limite, lè sa a, tankou nan ka AWS, ou pral gen konte sèlman sou pwòp fòs ou ak done yo anvan tout koreksyon ki Azure Monitor ba ou. Epi sonje ke anpil fonksyon siveyans koute lajan epi li se pi bon familyarize w ak politik pri a davans. Pou egzanp, pou gratis ou ka estoke 31 jou nan done jiska yon maksimòm de 5 GB pou chak kliyan - depase valè sa yo pral mande pou ou fouchèt lajan anplis (apeprè $ 2 + pou estoke chak GB adisyonèl nan men kliyan an ak $ 0,1 pou estoke 1 GB chak mwa adisyonèl). Travay ak telemetri ak mezi aplikasyon an ka mande tou lajan adisyonèl, osi byen ke travay ak alèt ak notifikasyon (yon sèten limit disponib gratis, ki ka pa ase pou bezwen ou).
Egzanp: Siveyans sekirite enfòmasyon nan IaaS ki baze sou Google Cloud Platform
Google Cloud Platform sanble yon jèn konpare ak AWS ak Azure, men sa a se an pati bon. Kontrèman ak AWS, ki te ogmante kapasite li yo, ki gen ladan sekirite, piti piti, gen pwoblèm ak santralizasyon; GCP, tankou Azure, se pi byen jere santralman, ki diminye erè ak tan aplikasyon atravè antrepriz la. Soti nan yon pwen de vi sekirite, GCP se, etranj ase, ant AWS ak Azure. Li gen tou yon sèl enskripsyon evènman pou tout òganizasyon an, men li se enkonplè. Gen kèk fonksyon ki toujou nan mòd beta, men piti piti defisi sa a ta dwe elimine ak GCP ap vin yon platfòm ki gen plis matirite an tèm de siveyans sekirite enfòmasyon.
Zouti prensipal pou anrejistreman evènman yo nan GCP se Stackdriver Logging (menm jan ak Azure Monitor), ki pèmèt ou kolekte evènman atravè tout enfrastrikti nwaj ou a (menm jan tou nan AWS). Soti nan yon pèspektiv sekirite nan GCP, chak òganizasyon, pwojè oswa katab gen kat mòso bwa:
- Aktivite Admin - gen tout evènman ki gen rapò ak aksè administratif, pou egzanp, kreye yon machin vityèl, chanje dwa aksè, elatriye. Jounal sa a toujou ekri, kèlkeswa dezi ou, epi li estoke done li yo pou 400 jou.
- Aksè Done - gen tout evènman ki gen rapò ak travay ak done pa itilizatè nwaj yo (kreyasyon, modifikasyon, lekti, elatriye). Pa default, boutèy sa a pa ekri, kòm volim li anfle trè vit. Pou rezon sa a, lavi etajè li se sèlman 30 jou. Anplis de sa, se pa tout bagay ki ekri nan magazin sa a. Pou egzanp, evènman ki gen rapò ak resous ki aksesib piblikman pou tout itilizatè oswa ki aksesib san yo pa konekte nan GCP yo pa ekri nan li.
- Evènman Sistèm - gen evènman sistèm ki pa gen rapò ak itilizatè yo, oswa aksyon yon administratè ki chanje konfigirasyon resous nwaj yo. Li toujou ekri ak estoke pou 400 jou.
- Aksè Transparans se yon egzanp inik nan yon jounal ki kaptire tout aksyon anplwaye Google yo (men se pa ankò pou tout sèvis GCP) ki gen aksè nan enfrastrikti ou kòm yon pati nan travay travay yo. Jounal sa a estoke pou 400 jou epi li pa disponib pou chak kliyan GCP, men sèlman si yo satisfè yon kantite kondisyon (swa sipò nivo Gold oswa Platinum, oswa prezans nan 4 wòl nan yon sèten kalite kòm yon pati nan sipò antrepriz). Yon fonksyon menm jan an disponib tou, pou egzanp, nan Office 365 - Lockbox.
Log egzanp: Aksè Transparans
{
insertId: "abcdefg12345"
jsonPayload: {
@type: "type.googleapis.com/google.cloud.audit.TransparencyLog"
location: {
principalOfficeCountry: "US"
principalEmployingEntity: "Google LLC"
principalPhysicalLocationCountry: "CA"
}
product: [
0: "Cloud Storage"
]
reason: [
detail: "Case number: bar123"
type: "CUSTOMER_INITIATED_SUPPORT"
]
accesses: [
0: {
methodName: "GoogleInternal.Read"
resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
}
]
}
logName: "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
operation: {
id: "12345xyz"
}
receiveTimestamp: "2017-12-18T16:06:37.400577736Z"
resource: {
labels: {
project_id: "1234567890"
}
type: "project"
}
severity: "NOTICE"
timestamp: "2017-12-18T16:06:24.660001Z"
}Aksè nan mòso sa yo posib nan plizyè fason (nan menm jan ak Azure ak AWS te diskite deja) - atravè koòdone Log Viewer la, atravè API a, atravè Google Cloud SDK, oswa atravè paj Aktivite nan pwojè w la. yo enterese nan evènman yo. Nan menm fason an, yo ka ekspòte nan solisyon ekstèn pou analiz adisyonèl. Lèt la fè pa ekspòte mòso bwa nan BigQuery oswa Cloud Pub/Sub depo.
Anplis Stackdriver Logging, platfòm GCP ofri tou fonksyonalite Stackdriver Monitoring, ki pèmèt ou kontwole mezi kle (pèfòmans, MTBF, sante jeneral, elatriye) nan sèvis ak aplikasyon nwaj yo. Done trete ak vizyalize yo ka fè li pi fasil pou jwenn pwoblèm nan enfrastrikti nwaj ou a, ki gen ladan nan kontèks sekirite. Men, li ta dwe remake ke fonksyonalite sa a pa pral trè rich nan kontèks sekirite enfòmasyon an, depi jodi a GCP pa gen yon analogue nan menm AWS GuardDuty a epi li pa ka idantifye moun ki move nan mitan tout evènman ki anrejistre (Google te devlope Deteksyon Menas Evènman, men li toujou sou devlopman nan beta epi li twò bonè pou pale sou itilite li). Stackdriver Monitoring ta ka itilize kòm yon sistèm pou detekte anomali, ki ta Lè sa a, dwe envestige pou jwenn kòz yo nan ensidan yo. Men, bay mank de pèsonèl ki kalifye nan domèn sekirite enfòmasyon GCP nan mache a, travay sa a kounye a sanble difisil.
Li vo tou bay yon lis kèk modil sekirite enfòmasyon ki ka itilize nan nwaj GCP ou a, epi ki sanble ak sa AWS ofri:
- Cloud Security Command Center se yon analogue AWS Security Hub ak Azure Security Center.
- Cloud DLP - Dekouvèt otomatik ak koreksyon (egzanp maskin) done ki anime nan nwaj la lè l sèvi avèk plis pase 90 règleman klasifikasyon predefini.
- Cloud Scanner se yon eskanè pou frajilite li te ye (XSS, Flash Injection, bibliyotèk san patch, elatriye) nan App Engine, Compute Engine ak Google Kubernetes.
- Cloud IAM - Kontwole aksè a tout resous GCP.
- Cloud Identity - Jere kont itilizatè, aparèy ak aplikasyon GCP nan yon sèl konsole.
- Cloud HSM - pwoteksyon kle kriptografik.
- Cloud Key Management Service - jesyon kle kriptografik nan GCP.
- Kontwòl Sèvis VPC - Kreye yon perimèt an sekirite alantou resous GCP ou yo pou pwoteje yo kont fwit.
- Titan Security Key - pwoteksyon kont èskrokri.
Anpil nan modil sa yo jenere evènman sekirite ki ka voye nan depo BigQuery pou analiz oswa ekspòtasyon nan lòt sistèm, ki gen ladan SIEM. Kòm mansyone pi wo a, GCP se yon platfòm k ap devlope aktivman e kounye a, Google ap devlope yon kantite nouvo modil sekirite enfòmasyon pou platfòm li a. Pami yo gen Deteksyon Menas Evènman (kounye a disponib nan beta), ki analize mòso Stackdriver pou chèche tras aktivite san otorizasyon (analòg ak GuardDuty nan AWS), oswa Policy Intelligence (disponib nan alpha), ki pral pèmèt ou devlope politik entèlijan pou aksè nan resous GCP.
Mwen te fè yon ti apèsi sou kapasite siveyans entegre nan platfòm nwaj popilè yo. Men, èske ou gen espesyalis ki kapab travay avèk "kri" mòso founisè IaaS (se pa tout moun ki pare pou achte kapasite avanse AWS oswa Azure oswa Google)? Anplis de sa, anpil moun abitye ak pwovèb "fè konfyans, men verifye," ki pi vre pase tout tan nan domèn sekirite. Konbyen ou fè konfyans kapasite entegre nan founisè nwaj la ki voye evènman sekirite enfòmasyon ou yo? Konbyen yo konsantre sou sekirite enfòmasyon ditou?
Pafwa li vo gade solisyon siveyans enfrastrikti nwaj kouvri ki ka konpleman sekirite nwaj entegre, epi pafwa solisyon sa yo se sèl opsyon pou jwenn insight sou sekirite done ou yo ak aplikasyon ki anime nan nwaj la. Anplis de sa, yo tou senpleman pi pratik, depi yo pran sou tout travay yo nan analize mòso bwa ki nesesè yo ki te pwodwi pa sèvis nwaj diferan soti nan founisè nwaj diferan. Yon egzanp tankou yon solisyon kouvri se Cisco Stealthwatch Cloud, ki konsantre sou yon sèl travay - siveyans anomali sekirite enfòmasyon nan anviwònman nwaj, ki gen ladan pa sèlman Amazon AWS, Microsoft Azure ak Google Cloud Platform, men tou, nwaj prive.
Egzanp: Siveyans Sekirite Enfòmasyon Sèvi ak Stealthwatch Cloud
AWS bay yon platfòm enfòmatik fleksib, men fleksibilite sa a fè li pi fasil pou konpayi yo fè erè ki mennen nan pwoblèm sekirite. Ak modèl sekirite enfòmasyon pataje sèlman kontribye nan sa a. Kouri lojisyèl nan nwaj la ak vilnerabilite enkoni (sa yo konnen yo ka konbat, pou egzanp, pa AWS Inspector oswa GCP Cloud Scanner), modpas fèb, konfigirasyon kòrèk, inisye, elatriye. Ak tout bagay sa a se reflete nan konpòtman an nan resous nwaj yo, ki ka kontwole pa Cisco Stealthwatch Cloud, ki se yon siveyans sekirite enfòmasyon ak sistèm deteksyon atak. nyaj piblik ak prive.
Youn nan karakteristik kle yo nan Cisco Stealthwatch Cloud se kapasite nan modèl antite. Avèk li, ou ka kreye yon modèl lojisyèl (ki se, yon simulation prèske an tan reyèl) nan chak nan resous nwaj ou yo (li pa enpòtan si li nan AWS, Azure, GCP, oswa yon lòt bagay). Sa yo ka gen ladan serveurs ak itilizatè yo, osi byen ke kalite resous espesifik nan anviwònman nwaj ou a, tankou gwoup sekirite ak gwoup oto-echèl. Modèl sa yo itilize kouran done estriktire ki bay sèvis nwaj yo kòm opinyon. Pou egzanp, pou AWS sa yo ta dwe VPC Flow Logs, AWS CloudTrail, AWS CloudWatch, AWS Config, AWS Inspector, AWS Lambda, ak AWS IAM. Modèl antite otomatikman dekouvri wòl ak konpòtman nenpòt nan resous ou yo (ou ka pale sou pwofil tout aktivite nwaj). Wòl sa yo enkli aparèy mobil Android oswa Apple, sèvè Citrix PVS, sèvè RDP, pòtay lapòs, kliyan VoIP, sèvè tèminal, kontwolè domèn, elatriye. Lè sa a, li kontinyèlman kontwole konpòtman yo pou detèmine lè konpòtman ki riske oswa ki menase sekirite rive. Ou ka idantifye devine modpas, atak DDoS, fwit done, aksè ilegal aleka, aktivite kòd move, analiz vilnerabilite ak lòt menas. Pou egzanp, sa a se detekte yon tantativ aksè aleka soti nan yon peyi atipik pou òganizasyon w lan (Kore di Sid) nan yon gwoup Kubernetes atravè SSH sanble:
Men, sa a se sa swadizan koule enfòmasyon ki soti nan baz done Postgress nan yon peyi ak ki nou pa te rankontre deja entèraksyon sanble:
Finalman, sa a se sa twòp tantativ SSH echwe soti nan Lachin ak Endonezi soti nan yon aparèy ekstèn aleka sanble:
Oswa, sipoze ke egzanp sèvè a nan VPC a se, dapre règleman, pa janm dwe yon destinasyon koneksyon aleka. Ann sipoze plis ke òdinatè sa a te fè eksperyans yon koneksyon aleka akòz yon chanjman inègza nan règleman firewall la. Karakteristik Entity Modeling la pral detekte ak rapòte aktivite sa a (“Eranjman Aksè Remote”) prèske an tan reyèl epi lonje dwèt sou apèl espesifik AWS CloudTrail, Azure Monitor, oswa GCP Stackdriver Logging API (ki gen ladan non itilizatè, dat ak lè, pami lòt detay). ) ki te pouse chanjman nan règ ITU a. Lè sa a, enfòmasyon sa yo ka voye bay SIEM pou analiz.
Kapasite menm jan an aplike pou nenpòt anviwònman nwaj ki sipòte pa Cisco Stealthwatch Cloud:
Modèl antite se yon fòm inik nan automatisation sekirite ki ka dekouvwi yon pwoblèm deja enkoni ak moun ou, pwosesis oswa teknoloji. Pou egzanp, li pèmèt ou detekte, pami lòt bagay, pwoblèm sekirite tankou:
- Èske gen yon moun dekouvri yon degize nan lojisyèl nou itilize a?
- Èske gen nenpòt lojisyèl oswa aparèy twazyèm pati nan nwaj nou an?
- Èske itilizatè otorize a abize privilèj?
- Èske te gen yon erè konfigirasyon ki pèmèt aksè aleka oswa lòt itilizasyon resous yo pa vle?
- Èske gen yon koule done ki soti nan serveurs nou yo?
- Èske yon moun t ap eseye konekte ak nou nan yon kote jeyografik atipik?
- Èske nwaj nou an enfekte ak kòd move?
Yon evènman sekirite enfòmasyon detekte ka voye nan fòm lan nan yon tikè korespondan nan Slack, Cisco Spark, sistèm nan jesyon ensidan PagerDuty, epi tou voye bay divès SIEMs, ki gen ladan Splunk oswa ELK. Pou rezime, nou ka di ke si konpayi ou itilize yon estrateji milti-nwaj epi li pa limite a nenpòt founisè nwaj, kapasite siveyans sekirite enfòmasyon ki dekri pi wo a, Lè sa a, lè l sèvi avèk Cisco Stealthwatch Cloud se yon bon opsyon pou jwenn yon seri inifye nan siveyans. kapasite pou dirijan jwè nwaj yo - Amazon, Microsoft ak Google. Bagay ki pi enteresan an se ke si ou konpare pri yo pou Stealthwatch Cloud ak lisans avanse pou siveyans sekirite enfòmasyon nan AWS, Azure oswa GCP, li ka vire soti ke solisyon an Cisco pral menm pi bon mache pase kapasite yo bati nan Amazon, Microsoft. ak solisyon Google yo. Se paradoks, men se vre. Ak plis nwaj yo ak kapasite yo ou itilize, plis evidan avantaj nan yon solisyon konsolide yo pral.
Anplis de sa, Stealthwatch Cloud ka kontwole nyaj prive ki deplwaye nan òganizasyon w lan, pou egzanp, ki baze sou kontenè Kubernetes oswa pa kontwole koule Netflow oswa trafik rezo resevwa nan mirwar nan ekipman rezo (menm domestik pwodui), done AD oswa sèvè DNS ak sou sa. Tout done sa yo pral anrichi ak enfòmasyon entèlijans menas yo kolekte pa Cisco Talos, pi gwo gwoup non-gouvènmantal chèchè menas cybersecurity nan mond lan.
Sa a pèmèt ou aplike yon sistèm siveyans inifye pou tou de nwaj piblik ak ibrid ke konpayi ou a ka itilize. Lè sa a, enfòmasyon yo kolekte yo ka analize lè l sèvi avèk kapasite Stealthwatch Cloud entegre oswa voye bay SIEM ou a (Splunk, ELK, SumoLogic ak plizyè lòt yo sipòte pa default).
Avèk sa a, nou pral konplete premye pati nan atik la, kote mwen te revize zouti yo entegre ak ekstèn pou kontwole sekirite enfòmasyon nan platfòm IaaS/PaaS, ki pèmèt nou byen vit detekte epi reponn a ensidan ki rive nan anviwònman nwaj yo. antrepriz nou an te chwazi. Nan dezyèm pati a, nou pral kontinye sijè a epi gade opsyon pou kontwole platfòm SaaS lè l sèvi avèk egzanp Salesforce ak Dropbox, epi nou pral eseye tou rezime epi mete tout bagay ansanm lè nou kreye yon sistèm siveyans sekirite enfòmasyon inifye pou diferan founisè nwaj yo.
Sous: www.habr.com