Plis ak plis itilizatè ap pote tout enfrastrikti IT yo nan nwaj piblik la. Sepandan, si kontwòl anti-viris pa ase nan enfrastrikti kliyan an, gwo risk cyber rive. Pratike montre ke jiska 80% nan viris ki egziste deja viv parfe nan yon anviwònman vityèl. Nan pòs sa a nou pral pale sou fason pou pwoteje resous IT nan nwaj piblik la ak poukisa antivirus tradisyonèl yo pa totalman apwopriye pou rezon sa yo.
Pou kòmanse, nou pral di w ki jan nou te rive nan lide ke zouti abityèl pwoteksyon anti-viris yo pa apwopriye pou nwaj piblik la e ke lòt apwòch pou pwoteje resous yo nesesè.
Premyèman, founisè yo jeneralman bay mezi ki nesesè yo asire ke platfòm nwaj yo pwoteje nan yon wo nivo. Pou egzanp, nan #CloudMTS nou analize tout trafik rezo a, kontwole mòso sistèm sekirite nwaj nou yo, epi regilyèman fè pentests. Segman nwaj yo atribye ba kliyan endividyèl yo dwe pwoteje tou an sekirite.
Dezyèmman, opsyon klasik pou konbat risk cyber enplike enstale yon antivirus ak zouti jesyon antivirus sou chak machin vityèl. Sepandan, ak yon gwo kantite machin vityèl, pratik sa a ka efikas epi mande pou yon kantite siyifikatif resous enfòmatik, kidonk plis chaje enfrastrikti kliyan an ak diminye pèfòmans jeneral nwaj la. Sa a te vin tounen yon avantou kle pou chèche nouvo apwòch pou konstwi efikas pwoteksyon anti-viris pou machin vityèl kliyan yo.
Anplis de sa, pifò solisyon antivirus sou mache a pa adapte pou rezoud pwoblèm yo nan pwoteje resous IT nan yon anviwònman nwaj piblik. Kòm yon règ, yo se solisyon EPP pwa lou (Platform Pwoteksyon Endpoint), ki, Anplis, pa pèmèt personnalisation ki nesesè sou bò kliyan nan founisè nwaj la.
Li vin evidan ke solisyon antivirus tradisyonèl yo mal adapte pou travay nan nwaj la, paske yo seryezman chaje enfrastrikti vityèl la pandan mizajou ak analiz, epi tou yo pa gen nivo ki nesesè nan jesyon ki baze sou wòl ak anviwònman. Apre sa, nou pral analize an detay poukisa nwaj la bezwen nouvo apwòch nan pwoteksyon anti-viris.
Ki sa ki yon antivirus nan yon nwaj piblik ta dwe kapab fè
Se konsa, se pou nou peye atansyon sou spesifik yo nan travay nan yon anviwònman vityèl:
Efikasite nan mizajou ak pwograme analiz mas. Si yon kantite siyifikatif nan machin vityèl ki itilize yon antivirus tradisyonèl kòmanse yon aktyalizasyon an menm tan an, yon sa yo rele "tanpèt" nan mizajou pral rive nan nwaj la. Pouvwa a nan yon lame ESXi ki gen tout pouvwa a plizyè machin vityèl ka pa ase pou okipe baraj la nan travay ki sanble kouri pa default. Soti nan pwen de vi founisè nwaj la, tankou yon pwoblèm ka mennen nan chaj adisyonèl sou yon kantite lame ESXi, ki pral finalman mennen nan yon gout nan pèfòmans nan enfrastrikti nan nwaj vityèl. Sa a ka, pami lòt bagay, afekte pèfòmans nan machin vityèl nan lòt kliyan nwaj yo. Yon sitiyasyon ki sanble ka parèt lè yo lanse yon eskanè mas: pwosesis similtane pa sistèm nan disk nan anpil demann ki sanble soti nan itilizatè diferan pral afekte pèfòmans nan tout nwaj la. Avèk yon wo degre de pwobabilite, yon diminisyon nan pèfòmans sistèm depo pral afekte tout kliyan yo. Chaj sa yo bridsoukou pa tanpri ni founisè a oswa kliyan li yo, menm jan yo afekte "vwazen yo" nan nwaj la. Soti nan pwen de vi sa a, antivirus tradisyonèl ka poze yon gwo pwoblèm.
San danje karantèn. Si yo detekte yon dosye oswa dokiman ki kapab enfekte ak yon viris sou sistèm nan, yo voye l nan karantèn. Natirèlman, yon dosye ki enfekte ka efase imedyatman, men sa a souvan pa akseptab pou pifò konpayi yo. Antiviris antrepriz antrepriz ki pa adapte pou travay nan nwaj founisè a, kòm yon règ, gen yon zòn karantèn komen - tout objè ki enfekte tonbe nan li. Pou egzanp, sa yo jwenn sou òdinatè yo nan itilizatè konpayi yo. Kliyan founisè nwaj yo "ap viv" nan pwòp segman yo (oswa lokatè yo). Segman sa yo opak ak izole: kliyan pa konnen youn sou lòt epi, nan kou, pa wè sa lòt moun ap òganize nan nwaj la. Li evidan, karantèn jeneral la, ki pral jwenn aksè pa tout itilizatè antivirus nan nwaj la, ta ka potansyèlman gen ladan yon dokiman ki gen enfòmasyon konfidansyèl oswa yon sekrè komès. Sa a se akseptab pou founisè a ak kliyan li yo. Se poutèt sa, kapab genyen sèlman yon solisyon - karantèn pèsonèl pou chak kliyan nan segman li a, kote ni founisè a ni lòt kliyan pa gen aksè.
Règleman sekirite endividyèl yo. Chak kliyan nan nwaj la se yon konpayi separe, ki gen depatman IT mete pwòp règleman sekirite li yo. Pou egzanp, administratè yo defini règ analiz ak pwograme analiz anti-viris. An konsekans, chak òganizasyon dwe gen pwòp sant kontwòl li pou configure politik antivirus. An menm tan an, paramèt yo espesifye pa ta dwe afekte lòt kliyan nwaj yo, epi founisè a ta dwe kapab verifye ke, pou egzanp, mizajou antivirus yo te pote kòm nòmal pou tout machin vityèl kliyan yo.
Òganizasyon nan bòdwo ak lisans. Modèl nwaj la karakterize pa fleksibilite epi li enplike peye sèlman pou kantite resous IT ke kliyan an te itilize. Si gen yon bezwen, pou egzanp, akòz sezon an, Lè sa a, kantite resous yo ka byen vit ogmante oswa redwi - tout baze sou bezwen aktyèl yo pou pouvwa informatique. Antivirus tradisyonèl yo pa tèlman fleksib - kòm yon règ, kliyan an achte yon lisans pou yon ane pou yon kantite predetèmine nan serveurs oswa estasyon travay. Itilizatè nwaj yo regilyèman dekonekte epi konekte lòt machin vityèl selon bezwen aktyèl yo - kòmsadwa, lisans antivirus yo dwe sipòte menm modèl la.
Dezyenm kestyon se ki egzakteman sa lisans pou kouver. Antivirus tradisyonèl yo gen lisans pa kantite sèvè oswa estasyon travay. Lisans ki baze sou kantite machin vityèl ki pwoteje yo pa totalman apwopriye nan modèl nwaj la. Kliyan an ka kreye nenpòt ki kantite machin vityèl pratik pou l 'soti nan resous ki disponib yo, pou egzanp, senk oswa dis machin. Nimewo sa a pa konstan pou pifò kliyan li pa posib pou nou, kòm yon founisè, swiv chanjman li yo. Pa gen okenn posibilite teknik pou lisans pa CPU: kliyan resevwa processeurs vityèl (vCPUs), ki ta dwe itilize pou lisans. Kidonk, nouvo modèl pwoteksyon anti-viris la ta dwe gen ladan kapasite pou kliyan an detèmine kantite vCPU ki nesesè pou li pral resevwa lisans anti-viris.
Konfòmite ak lejislasyon an. Yon pwen enpòtan, depi solisyon yo itilize yo dwe asire konfòmite ak kondisyon regilatè a. Pou egzanp, nwaj "rezidan" souvan travay ak done pèsonèl. Nan ka sa a, founisè a dwe gen yon segman nwaj ki sètifye separe ki konplètman konfòme ak egzijans Lwa sou Done Pèsonèl la. Lè sa a, konpayi yo pa bezwen poukont yo "konstwi" tout sistèm nan pou travay ak done pèsonèl: achte ekipman sètifye, konekte ak konfigirasyon li, epi sibi sètifikasyon. Pou pwoteksyon cyber nan ISPD a nan kliyan sa yo, antivirus la dwe tou konfòme yo ak kondisyon ki nan lejislasyon Ris epi yo gen yon sètifika FSTEC.
Nou te gade kritè obligatwa ke pwoteksyon antivirus nan nwaj piblik la dwe satisfè. Apre sa, nou pral pataje pwòp eksperyans nou nan adapte yon solisyon antivirus pou travay nan nwaj founisè a.
Ki jan ou ka fè zanmi ant antivirus ak nwaj?
Kòm eksperyans nou te montre, chwazi yon solisyon ki baze sou deskripsyon ak dokimantasyon se yon sèl bagay, men aplike li an pratik nan yon anviwònman nwaj ki deja ap travay se yon travay konplètman diferan an tèm de konpleksite. Nou pral di w sa nou te fè an pratik ak kijan nou adapte antivirus la pou travay nan nwaj piblik founisè a. Vandè a nan solisyon an anti-viris se Kaspersky, ki gen pòtfolyo gen ladan solisyon pwoteksyon anti-viris pou anviwònman nwaj yo. Nou te etabli sou "Kaspersky Security for Virtualization" (Ajan Limyè).
Li gen ladann yon sèl konsole Kaspersky Security Center. Ajan limyè ak machin vityèl sekirite (SVM, Sekirite Virtual Machine) ak sèvè entegrasyon KSC.
Apre nou te etidye achitekti solisyon Kaspersky a epi nou te fè premye tès yo ansanm ak enjenyè vandè a, kesyon an te poze sou entegre sèvis la nan nwaj la. Premye aplikasyon an te fèt ansanm sou sit nwaj Moskou a. E se sa nou reyalize.
Yo nan lòd yo minimize trafik rezo a, li te deside mete yon SVM sou chak lame ESXi ak "mare" SVM a ak lame ESXi yo. Nan ka sa a, ajan limyè nan machin vityèl pwoteje jwenn aksè nan SVM nan lame egzak ESXi kote yo ap kouri. Yo te chwazi yon lokatè administratif separe pou KSC prensipal la. Kòm yon rezilta, KSC sibòdone yo sitiye nan lokatè yo nan chak kliyan endividyèl epi yo adrese KSC siperyè ki sitiye nan segman nan jesyon. Konplo sa a pèmèt ou byen vit rezoud pwoblèm ki parèt nan lokatè kliyan yo.
Anplis de pwoblèm ak ogmante eleman yo nan solisyon an anti-viris tèt li, nou te fè fas ak travay la nan òganize entèraksyon rezo atravè kreyasyon an VxLAN adisyonèl. Ak byenke solisyon an te okòmansman fèt pou kliyan antrepriz ki gen nyaj prive, avèk èd nan konesans nan jeni ak fleksibilite teknoloji nan NSX Edge nou te kapab rezoud tout pwoblèm ki asosye ak separasyon an nan lokatè ak lisans.
Nou te travay kole kole ak enjenyè Kaspersky. Se konsa, nan pwosesis pou analize achitekti solisyon an an tèm de entèraksyon rezo ant eleman sistèm, li te jwenn ke, nan adisyon a aksè nan ajan limyè SVM, fidbak nesesè tou - soti nan SVM nan ajan limyè. Koneksyon rezo sa a pa posib nan yon anviwonman plizyè lokatè akòz posiblite pou anviwònman rezo ki idantik nan machin vityèl nan diferan lokatè nwaj yo. Se poutèt sa, nan demann nou an, kòlèg nan vandè a retravay mekanis nan entèraksyon rezo ant ajan limyè a ak SVM an tèm de elimine nesesite pou koneksyon rezo soti nan SVM nan ajan limyè.
Apre solisyon an te deplwaye ak teste sou sit la nwaj Moskou, nou repwodui li nan lòt sit, ki gen ladan segman nan nwaj sètifye. Sèvis la disponib kounye a nan tout rejyon nan peyi a.
Achitekti yon solisyon sekirite enfòmasyon nan kad yon nouvo apwòch
Konplo jeneral operasyon yon solisyon antivirus nan yon anviwònman nwaj piblik se jan sa a:
Plan operasyon yon solisyon antivirus nan yon anviwònman nwaj piblik #CloudMTS
Ann dekri karakteristik yo ki nan operasyon an nan eleman endividyèl nan solisyon an nan nwaj la:
• Yon sèl konsole ki pèmèt kliyan yo jere sistèm pwoteksyon santralman: kouri analiz, kontwole mizajou ak kontwole zòn karantèn yo. Li posib pou konfigirasyon politik sekirite endividyèl yo nan segman ou a.
Li ta dwe remake ke byenke nou se yon founisè sèvis, nou pa entèfere ak anviwònman yo mete pa kliyan yo. Sèl bagay nou ka fè se Reyajiste règleman sekirite yo nan règleman estanda si rekonfigirasyon nesesè. Pou egzanp, sa a ka nesesè si kliyan an aksidantèlman sere boulon yo oswa siyifikativman febli yo. Yon konpayi ka toujou resevwa yon sant kontwòl ak règleman default, ki li ka Lè sa a, konfigirasyon poukont li. Dezavantaj Kaspersky Security Center se ke platfòm la disponib kounye a sèlman pou sistèm opere Microsoft la. Malgre ke ajan ki lejè ka travay ak tou de Windows ak Linux machin. Sepandan, Kaspersky Lab pwomèt ke nan fiti prè KSC pral travay anba Linux OS. Youn nan fonksyon enpòtan KSC se kapasite pou jere karantèn. Chak konpayi kliyan nan nwaj nou an gen yon sèl pèsonèl. Apwòch sa a elimine sitiyasyon kote yon dokiman ki enfekte ak yon viris aksidantèlman vin vizib piblikman, jan sa ka rive nan ka a nan yon antivirus antrepriz klasik ak karantèn jeneral.
• Ajan limyè. Kòm yon pati nan nouvo modèl la, yon ajan Kaspersky Security ki lejè enstale sou chak machin vityèl. Sa a elimine nesesite pou estoke baz done anti-viris la sou chak VM, sa ki diminye kantite espas disk konsome. Sèvis la entegre ak enfrastrikti nwaj la epi li travay atravè SVM, ki ogmante dansite machin vityèl sou lame ESXi a ak pèfòmans tout sistèm nwaj la. Ajan limyè a bati yon keu nan travay pou chak machin vityèl: tcheke sistèm nan dosye, memwa, elatriye. Men, SVM a responsab pou fè operasyon sa yo, ki nou pral pale sou pita. Ajan an fonksyone tou kòm yon firewall, kontwole politik sekirite, voye dosye ki enfekte nan karantèn epi kontwole "sante" an jeneral nan sistèm operasyon an sou kote li enstale. Tout bagay sa a ka jere lè l sèvi avèk yon sèl konsole deja mansyone.
• Sekirite Virtual Machine. Tout travay ki gen anpil resous (mizajou baz done anti-viris, analiz pwograme) yo okipe pa yon machin Sekirite Virtual (SVM) separe. Li responsab pou operasyon an nan yon motè anti-viris plen véritable ak baz done pou li. Enfrastrikti IT yon konpayi ka genyen plizyè SVM. Apwòch sa a ogmante fyab nan sistèm nan - si yon machin echwe epi li pa reponn pou trant segonn, ajan otomatikman kòmanse chèche yon lòt.
• Sèvè entegrasyon KSC. Youn nan eleman yo nan KSC prensipal la, ki asiyen SVM li yo nan ajan limyè an akò ak algorithm ki espesifye nan anviwònman li yo, epi tou li kontwole disponiblite SVM yo. Kidonk, modil lojisyèl sa a bay balans chaj atravè tout SVM nan enfrastrikti nwaj la.
Algorithm pou travay nan nwaj la: diminye chaj la sou enfrastrikti a
An jeneral, algorithm nan antivirus ka reprezante jan sa a. Ajan an jwenn aksè nan dosye a sou machin vityèl la epi tcheke li. Rezilta verifikasyon an estoke nan yon baz done komen santralize vèdik SVM (ki rele Shared Cache), chak antre nan ki idantifye yon echantiyon dosye inik. Apwòch sa a pèmèt ou asire ke menm dosye a pa tcheke plizyè fwa nan yon ranje (pa egzanp, si li te louvri sou diferan machin vityèl). Dosye a resanne sèlman si yo te fè chanjman nan li oswa si eskanè a te kòmanse manyèlman.
Aplikasyon yon solisyon antivirus nan nwaj founisè a
Imaj la montre yon dyagram jeneral aplikasyon solisyon an nan nwaj la. Kaspersky Security Center prensipal la deplwaye nan zòn kontwòl nwaj la, epi yo deplwaye yon SVM endividyèl sou chak lame ESXi lè l sèvi avèk sèvè entegrasyon KSC la (chak lame ESXi gen pwòp SVM li tache ak paramèt espesyal sou sèvè VMware vCenter). Kliyan yo travay nan pwòp segman nwaj yo, kote machin vityèl ak ajan yo ye. Yo jere yo atravè sèvè KSC endividyèl ki sibòdone ak KSC prensipal la. Si li nesesè pou pwoteje yon ti kantite machin vityèl (jiska 5), yo ka bay kliyan an aksè nan konsole vityèl yon sèvè espesyal KSC dedye. Entèraksyon rezo ant kliyan KSC yo ak KSC prensipal la, osi byen ke ajan limyè ak SVM yo, fèt lè l sèvi avèk NAT atravè routeur vityèl kliyan EdgeGW.
Dapre estimasyon nou yo ak rezilta tès kòlèg yo nan vandè a, Light Agent diminye chaj la sou enfrastrikti vityèl kliyan yo apeprè 25% (lè yo konpare ak yon sistèm ki itilize tradisyonèl lojisyèl anti-viris). An patikilye, antivirus estanda Kaspersky Endpoint Security (KES) pou anviwònman fizik konsome prèske de fwa plis tan CPU sèvè (2,95%) kòm yon solisyon virtualizasyon ki lejè ki baze sou ajan (1,67%).
Tablo konparezon chaj CPU
Yon sitiyasyon ki sanble obsève ak frekans nan aksè ekri nan disk: pou yon antivirus klasik li se 1011 IOPS, pou yon antivirus nwaj li se 671 IOPS.
Disk aksè graf konparezon pousantaj
Benefis nan pèfòmans pèmèt ou kenbe estabilite enfrastrikti ak itilize pouvwa informatique pi efikas. Lè yo adapte pou travay nan yon anviwònman nwaj piblik, solisyon an pa diminye pèfòmans nwaj la: li santralman tcheke dosye ak telechaje mizajou, distribye chaj la. Sa vle di ke, sou yon bò, menas ki gen rapò ak enfrastrikti nwaj la pa pral rate, nan lòt men an, kondisyon yo ki resous pou machin vityèl yo pral redwi pa yon mwayèn de 25% konpare ak yon antivirus tradisyonèl yo.
An tèm de fonksyonalite, tou de solisyon yo sanble anpil youn ak lòt: anba a se yon tablo konparezon. Sepandan, nan nwaj la, jan rezilta tès ki anwo yo montre, li toujou pi bon pou itilize yon solisyon pou anviwònman vityèl.
Konsènan tarif yo nan kad nouvo apwòch la. Nou deside sèvi ak yon modèl ki pèmèt nou jwenn lisans ki baze sou kantite vCPU. Sa vle di kantite lisans yo pral egal ak kantite vCPU yo. Ou ka teste antivirus ou a lè w kite yon demann .
Nan pwochen atik la sou sijè nwaj yo, nou pral pale sou evolisyon nan nwaj WAF yo ak sa ki pi bon yo chwazi: pyès ki nan konpitè, lojisyèl oswa nwaj.
Tèks la te prepare pa anplwaye nan founisè nwaj la #CloudMTS: Denis Myagkov, dirijan achitèk ak Alexey Afanasyev, manadjè devlopman pwodwi sekirite enfòmasyon.
Sous: www.habr.com