Dan lagi tentang melindungi infrastruktur virtual

Dalam postingan ini, kami akan mencoba membimbing pembaca kami keluar dari kesalahpahaman umum mengenai keamanan server virtual dan memberi tahu kami cara melindungi cloud sewaan mereka dengan benar di akhir tahun 2019. Artikel ini ditujukan terutama untuk klien baru dan calon klien kami, lebih khusus lagi bagi mereka yang baru saja membeli atau ingin membeli server virtual RUVDS, namun belum terlalu berpengalaman dalam masalah keamanan siber dan pengoperasian VPS. Kami berharap pengguna yang berpengetahuan akan merasakan manfaatnya.

Empat Pendekatan yang Salah terhadap Keamanan Cloud

Ada pendapat yang cukup umum di kalangan pemilik dan manajer bisnis (kami menyorotnya dengan huruf tebal), yaitu memastikan keamanan siber pada layanan cloud merupakan hal yang tidak perlu, karena awan aman (1), atau ini adalah tugas penyedia cloud: Saya membayar untuk VPS - yang berarti semuanya harus dikonfigurasi, aman, dan berfungsi tanpa masalah (2). Ada juga pendapat ketiga, yang umum bagi pakar keamanan informasi dan pengusaha: awan berbahaya! Tidak ada alat keamanan yang dikenal dapat memberikan perlindungan yang memadai untuk lingkungan virtual (3) — para pemimpin bisnis yang menggunakan pendekatan ini meninggalkan teknologi cloud karena ketidakpercayaan atau kesalahpahaman terhadap perbedaan antara alat keamanan tradisional dan khusus (lebih lanjut tentangnya di bawah). Warga kategori keempat percaya akan hal itu ya, Anda harus melindungi infrastruktur cloud Anda, karena ada antivirus standar (4).

Keempat pendekatan ini salah - mereka dapat membawa kerugian (kecuali mungkin pendekatan tidak menggunakan server virtual sama sekali, tetapi bahkan di sini Anda tidak boleh mengabaikan postulat bisnis “kehilangan keuntungan juga merupakan kerugian”). Untuk mengilustrasikan statistik tersebut sampai batas tertentu, berikut adalah kutipan dari laporan pakar dukungan penjualan korporat Kaspersky Lab, Vladimir Ostroverkhov, yang kami diterbitkan pada musim panas 2017. Saat itu, Kaspersky melakukan survei terhadap lima ribu perusahaan dari 25 negara - ini adalah perusahaan besar dengan setidaknya satu setengah ribu karyawan. 75% dari mereka menggunakan virtualisasi tetapi tidak berinvestasi pada keamanan. Masalahnya tidak kehilangan relevansinya saat ini:

“Sekitar setengah dari perusahaan [besar] tidak menggunakan perlindungan apa pun untuk mesin virtual, dan separuh lainnya percaya bahwa antivirus standar apa pun sudah cukup. Semua perusahaan ini [masing-masing] menghabiskan hampir rata-rata juta dolar [per tahun] untuk pemulihan setelah insiden: untuk investigasi, untuk pemulihan sistem, untuk kompensasi biaya, untuk kompensasi kerugian dari satu peretasan... Berapa biaya yang akan mereka keluarkan jika mereka berkompromi? Kerugian langsung untuk restorasi, penggantian peralatan, perangkat lunak... Kerugian tidak langsung - reputasi... Kerugian untuk kompensasi klien mereka, termasuk reputasi... Dan juga investigasi insiden, penggantian sebagian infrastruktur, karena sudah membahayakan dirinya sendiri, ini adalah dialog dengan pemerintah, dialog dengan perusahaan asuransi, dialog dengan pelanggan yang harus membayar kompensasi.”

Mengapa pendekatan ini tidak berhasil

Pendekatan 1: Awan aman, tidak perlu dilindungi. Sekitar 240 ribu keping malware yang muncul setiap hari hidup dengan sempurna di dalam awan: mulai dari kode sederhana yang ditulis oleh anak sekolah dan diposting di Internet (yang berarti berpotensi merusak data) hingga serangan bertarget kompleks yang dikembangkan khusus untuk organisasi, kasus, dan situasi tertentu yang sangat pandai tidak hanya dalam memecahkan dan mencuri data, tetapi juga “menyembunyikan” diri mereka sendiri. Infrastruktur virtual juga menarik bagi para peretas: jauh lebih mudah untuk meretas dan mendapatkan akses ke semua mesin virtual dan data Anda sekaligus, daripada mencoba meretas setiap server fisik secara terpisah. Selain itu, patut dipertimbangkan bahwa di dalam infrastruktur virtual, kode berbahaya menyebar dengan kecepatan luar biasa - puluhan ribu mesin dapat terinfeksi dalam sepuluh menit, yang setara dengan epidemi (lihat penjelasan di atas laporan). Program berbahaya dan aktivitas ransomware yang berkontribusi terhadap kebocoran data perusahaan menyumbang sekitar 27% dari total jumlah “bahaya” cloud. Kerentanan terbanyak di cloud: antarmuka tidak terlindungi dan akses tidak sah - totalnya sekitar 80% (menurut penelitian Laporan Keamanan Cloud 2019 dengan dukungan dari Check Point Software Technologies Ltd. adalah penyedia solusi keamanan siber terkemuka bagi pemerintah dan perusahaan di seluruh dunia. 

Laporan Keamanan Cloud 2019

Pendekatan 2: Mengamankan infrastruktur cloud adalah tanggung jawab penyedia VPS. Hal ini sebagian benar karena penyedia server virtual peduli dengan stabilitas sistemnya dan tingkat perlindungan yang cukup tinggi untuk komponen utama cloud: server, perangkat penyimpanan, jaringan, virtualisasi (diatur oleh perjanjian tingkat layanan, SLA) . Namun dia tidak perlu khawatir untuk mencegah ancaman internal dan eksternal yang mungkin muncul pada infrastruktur cloud klien. Mari kita berikan analogi gigi di sini. Setelah membayar banyak uang untuk mendapatkan implan yang bagus, klien klinik gigi memahami bahwa pengoperasian prostesis yang benar sangat bergantung pada dirinya sendiri (klien). Dokter gigi ortopedi, pada bagiannya, melakukan semua yang diperlukan dalam hal keamanan: ia memilih bahan berkualitas tinggi, “memasang” implan dengan andal, tidak mengganggu gigitan, menyembuhkan gusi setelah operasi, dll. Dan jika pengguna tidak mengikuti aturan kebersihan di kemudian hari, misalnya membuka tutup botol logam dengan gigi dan melakukan tindakan tidak aman serupa lainnya, tidak mungkin menjamin berfungsinya gigi baru dengan baik. Kisah yang sama berlaku untuk memastikan keamanan cloud 100% pada VPS yang disewa dari penyedia. “Di luar yurisdiksi” penyedia layanan cloud, melindungi data dan aplikasi klien adalah tanggung jawab pribadinya.

Pendekatan 3: Tidak ada alat keamanan yang dapat memberikan perlindungan memadai untuk lingkungan virtual. Sama sekali tidak. Ada solusi keamanan cloud khusus, yang akan kita bahas di bagian terakhir artikel.

Pendekatan 4: Menggunakan antivirus standar (perlindungan tradisional). Penting untuk diketahui di sini bahwa alat keamanan tradisional yang biasa digunakan semua orang di komputer lokal tidak dirancang untuk lingkungan virtual terdistribusi (alat tersebut tidak “melihat” bagaimana komunikasi terjadi antar mesin virtual) dan tidak melindungi infrastruktur virtual internal dari upaya peretasan internal. Sederhananya, perangkat lunak antivirus konvensional hampir tidak berfungsi di cloud. Pada saat yang sama, ketika diinstal pada setiap WM, mereka menghabiskan sejumlah besar sumber daya dari seluruh ekosistem virtual saat memeriksa virus dan pembaruan, “membuang-buang” jaringan dan memperlambat kerja perusahaan, tetapi sebagai hasilnya, memberikan hampir efisiensi nol dalam pekerjaan utama mereka.

Dalam dua bagian artikel berikutnya, kami akan mencantumkan bahaya apa saja yang dapat timbul ketika sebuah perusahaan beroperasi di cloud (swasta, publik, hybrid) dan memberi tahu Anda bagaimana bahaya ini dapat dan harus dicegah dengan benar.

Bahaya yang terus-menerus mengancam layanan cloud

▍Serangan jaringan jarak jauh

Ini adalah berbagai jenis dampak destruktif informasi pada sistem komputasi terdistribusi, yang dilakukan secara terprogram melalui saluran komunikasi untuk mencapai berbagai tujuan. Yang paling umum adalah:

• serangan DDoS (Distributed Denial of Service). Pengiriman permintaan informasi secara besar-besaran ke server dengan tujuan menghabiskan sumber daya atau bandwidth pada sistem yang diserang guna menonaktifkan sistem target sehingga menimbulkan kerugian pada perusahaan. Digunakan oleh pesaing sebagai jasa adat, pemeras, aktivis politik dan pemerintah untuk memperoleh keuntungan politik. Serangan semacam itu dilakukan menggunakan botnet - jaringan komputer dengan bot yang diinstal di dalamnya (perangkat lunak yang mungkin berisi virus, program untuk kontrol komputer jarak jauh, dan alat untuk bersembunyi dari OS), yang digunakan oleh peretas dari jarak jauh untuk mendistribusikan spam dan ransomware . Baca selengkapnya di postingan kami DDoS: Para maniak IT berada di garis depan serangan.
• Banjir Ping - menyebabkan kelebihan saluran. 
• ping kematian - menyebabkan pembekuan, boot ulang, dan kerusakan sistem.
• Serangan tingkat aplikasi — untuk mendapatkan akses ke komputer yang memungkinkan aplikasi diluncurkan untuk akun tertentu (sistem istimewa).
• Fragmentasi data — untuk mematikan sistem darurat karena buffer overflow perangkat lunak.
• Rooter otomatis — untuk mengotomatiskan proses peretasan dengan memindai sejumlah besar sistem dalam waktu singkat dengan menginstal rootkit.
• Mengendus — untuk mendengarkan saluran.
• Pengenaan paket - untuk beralih ke komputer Anda koneksi yang dibuat antara komputer lain.
• Intersepsi paket di router - untuk menerima kata sandi pengguna dan informasi dari email.
• Pemalsuan IP - sehingga hacker di dalam atau di luar jaringan dapat menyamar sebagai komputer yang dapat dipercaya. Ini dilakukan melalui spoofing alamat IP.
• Serangan kekerasan (brute force) - untuk memilih kata sandi dengan mencoba kombinasi. Mereka mengeksploitasi kerentanan di RDP dan SSH.
• smurf — untuk mengurangi throughput saluran komunikasi dan/atau mengisolasi jaringan yang diserang sepenuhnya.
• DNS spoofing — untuk merusak integritas data dalam sistem DNS melalui “meracuni” cache DNS. 
• Spoofing host tepercaya — untuk dapat melakukan sesi dengan server atas nama host tepercaya. 
• TCP SYN Banjir — untuk meluapkan memori server.
• Man-in-the-middle — untuk pencurian informasi, distorsi data yang dikirimkan, serangan DoS, peretasan sesi komunikasi saat ini untuk mendapatkan akses ke sumber daya jaringan pribadi, analisis lalu lintas untuk memperoleh informasi tentang jaringan dan penggunanya.
• kecerdasan jaringan — untuk mempelajari informasi tentang jaringan dan aplikasi yang berjalan pada host sebelum serangan.
• Pengalihan port adalah jenis serangan yang menggunakan host yang disusupi untuk meneruskan lalu lintas melalui firewall. Misalnya, jika firewall dihubungkan ke tiga host (layanan eksternal, internal, dan publik), maka host eksternal dapat berkomunikasi dengan host internal dengan meneruskan port pada host layanan publik tersebut.
• Eksploitasi kepercayaan - serangan yang terjadi ketika seseorang memanfaatkan hubungan tepercaya dalam suatu jaringan. Misalnya, meretas satu sistem dalam jaringan perusahaan (server HTTP, DNS, SMTP) dapat menyebabkan peretasan sistem lain. 

▍ Rekayasa sosial

• Phishing — untuk menerima informasi rahasia (kata sandi, nomor kartu bank, dll.) melalui surat atas nama organisasi dan bank terkenal.
• Mengendus paket (Packet sniffers) - untuk mendapatkan akses ke informasi penting, termasuk kata sandi. Hal ini berhasil sebagian besar karena fakta bahwa pengguna sering menggunakan kembali nama pengguna dan kata sandi mereka untuk mendapatkan akses ke berbagai aplikasi dan sistem. Dengan cara ini, seorang peretas dapat memperoleh akses ke akun pengguna sistem dan membuat akun baru melalui akun tersebut untuk memiliki akses ke jaringan dan sumber dayanya kapan saja.
• Berpura-pura - serangan tertulis menggunakan komunikasi suara, yang tujuannya adalah memaksa korban untuk melakukan suatu tindakan. 
• kuda Troya - teknik berdasarkan emosi korban: ketakutan, rasa ingin tahu. Malware biasanya ditemukan sebagai lampiran email.
• Quid tentang quo (maka untuk ini, quid pro quo) - penyerang menghubungi Anda melalui telepon atau email perusahaan dengan menyamar sebagai karyawan dukungan teknis, melaporkan masalah pada komputer korban dan menawarkan untuk menyelesaikannya. Tujuannya adalah untuk menginstal perangkat lunak dan menjalankan perintah berbahaya di komputer ini.
• Apel jalan — menanam media penyimpanan fisik yang terinfeksi di tempat umum perusahaan (flash drive di toilet, disk di lift), dilengkapi dengan tulisan yang menggugah rasa ingin tahu. 
• Mengumpulkan informasi dari jejaring sosial.

▍ Eksploitasi

Setiap serangan ilegal dan tidak sah yang ditujukan untuk memperoleh data, mengganggu fungsi sistem, atau merebut kendali sistem disebut eksploitasi. Hal ini disebabkan oleh kesalahan dalam proses pengembangan perangkat lunak, yang mengakibatkan munculnya kerentanan dalam sistem perlindungan program, yang berhasil digunakan oleh penjahat dunia maya untuk mendapatkan akses tak terbatas ke program itu sendiri, dan melaluinya ke seluruh komputer dan selanjutnya ke a jaringan mesin.

▍Kompromi akun

Peretasan akun karyawan perusahaan oleh pihak luar untuk mendapatkan akses ke informasi yang dilindungi: mulai dari mencegat informasi (termasuk audio) dan kunci dengan malware hingga menembus penyimpanan fisik pembawa informasi.

▍Kompromi repositori

Infeksi server penyimpanan untuk penginstal perangkat lunak, pembaruan, dan perpustakaan.

▍Risiko internal perusahaan

Termasuk kebocoran informasi karena kesalahan karyawan perusahaan itu sendiri. Ini bisa berupa kelalaian sederhana atau tindakan jahat yang disengaja: mulai dari sabotase yang disengaja terhadap kebijakan keamanan administratif hingga penjualan informasi rahasia kepada pihak ketiga. Hal ini juga dapat mencakup akses tidak sah, antarmuka tidak aman, kesalahan konfigurasi platform cloud, dan pemasangan/penggunaan aplikasi tidak sah.

Sekarang mari kita lihat bagaimana Anda dapat mencegah daftar masalah keamanan cloud yang begitu luas (dan masih jauh dari lengkap).

Solusi keamanan cloud khusus yang modern

Setiap infrastruktur cloud memerlukan keamanan yang komprehensif dan berlapis. Metode yang dijelaskan di bawah ini akan membantu Anda memahami apa saja isi paket keamanan cloud.

▍Antivirus

Penting untuk diingat bahwa antivirus tradisional mana pun tidak akan dapat diandalkan saat mencoba memberikan keamanan cloud. Anda perlu menggunakan solusi yang dirancang khusus untuk lingkungan virtual dan cloud, dan pemasangannya juga memiliki aturannya sendiri dalam hal ini. Saat ini, ada dua cara untuk memastikan keamanan cloud menggunakan antivirus multi-komponen khusus yang dikembangkan menggunakan teknologi terbaru: perlindungan tanpa agen dan perlindungan agen ringan.

Perlindungan tanpa agen. Dikembangkan oleh VMware dan hanya mungkin dilakukan dengan solusinya. Dua mesin virtual tambahan disebarkan pada server fisik dengan mesin virtual: Server Keamanan (SVM) dan Pemblokir Serangan Jaringan (NAB). Tidak ada yang ditempatkan di dalamnya masing-masing. Hanya kernel antivirus yang diinstal di SVM - perangkat keamanan khusus. Dalam mesin NAB, komponen ini hanya bertanggung jawab untuk memverifikasi komunikasi antara mesin virtual dan apa yang terjadi di ekosistem (dan untuk komunikasi dengan teknologi NSX). SVM ini memeriksa semua lalu lintas yang datang ke server fisik. Ini merupakan kumpulan putusan, yang tersedia untuk semua mesin virtual keamanan melalui cache putusan umum. Setiap mesin virtual keamanan mengakses kumpulan ini terlebih dahulu, alih-alih memindai seluruh sistem - prinsip ini memungkinkan Anda mengurangi biaya sumber daya dan mempercepat pengoperasian ekosistem. 

Perlindungan dengan agen ringan. Dikembangkan oleh Kaspersky dan tidak memiliki batasan VMware. Seperti dalam perlindungan tanpa agen, mesin antivirus diinstal pada SVM, tetapi tidak seperti itu, ada juga agen ringan yang diinstal di dalam setiap WM. Agen tidak melakukan pemeriksaan, tetapi hanya memantau segala sesuatu yang terjadi di dalam WM asli berdasarkan teknologi jaringan belajar mandiri. Teknologi ini mengingat urutan aplikasi yang benar; Ketika dihadapkan pada kenyataan bahwa urutan tindakan aplikasi di dalam WM tidak terjadi dengan benar, ia memblokirnya. 

Lebih tentang Baca Keamanan untuk lingkungan virtual di situs web pengembang, tetapi tentang cara menginstal perlindungan anti-virus dengan agen ringan untuk server virtual Anda, baca di direktori kami (di bagian bawah halaman terdapat kontak dukungan teknis XNUMX/XNUMX jika Anda memiliki pertanyaan). 

▍Integrasi dengan layanan untuk mencegah atau memperbaiki masalah keamanan cloud

• Platform manajemen perubahan. Ini adalah layanan yang telah terbukti mendukung proses inti ITSM perusahaan, termasuk keamanan dan insiden TI. Misalnya, ServiceNow, Remedy, JIRA.
• Alat pemindaian keamanan. Misalnya Rapid7, Qualys, Tenable.
• Alat manajemen konfigurasi. Mereka memungkinkan Anda mengotomatiskan pengoperasian server dan dengan demikian menyederhanakan pengaturan dan pemeliharaan puluhan, ratusan, dan bahkan ribuan server yang dapat didistribusikan ke seluruh dunia. Misalnya, Otomatisasi Server TrueSight, IBM BigFix, Manajer Kerentanan TrueSight, Chef, Wayang.
• Alat manajemen peringatan yang aman. Memungkinkan Anda memberikan layanan berkelanjutan dan terus memantau situasi jika terjadi insiden, memberikan dukungan kompeten untuk integrasi telepon, perpesanan, dan email (Menurut Cisco, lebih dari 85% pesan email adalah spam pada Juli 2019, yang berpotensi berisi malware, upaya phishing, dll. Saat ini, malware sering kali dikirim melalui jenis lampiran yang “umum”: lampiran email berbahaya yang paling umum adalah file Microsoft Office. Laporan Keamanan Email Cisco Juni 2019). Alat tersebut dapat berupa, misalnya, OpsGenie.

▍ Memanfaatkan perlindungan

Karena eksploitasi adalah konsekuensi dari kerentanan perangkat lunak, pengembang perangkat lunaklah yang harus memperbaiki kesalahan pada produk mereka. Pengguna bertanggung jawab untuk menginstal paket pembaruan dan patch tepat waktu segera setelah dirilis. Menggunakan alat pencarian dan instalasi otomatis atau manajer aplikasi dengan fitur ini membantu Anda menghindari pembaruan yang hilang. Perlindungan eksploitasi otomatis dibangun ke dalam aplikasi yang dijelaskan di atas Keamanan Kaspersky untuk Virtualisasi Light Agent. 

▍Firewall

Firewall, firewall. Memfilter dan mengontrol lalu lintas jaringan sesuai dengan aturan yang telah dikonfigurasi sebelumnya. Firewall dapat direpresentasikan sebagai rangkaian filter yang memproses aliran informasi jaringan. Konfigurasi firewall yang tepat efektif melawan serangan brute force. Anda dapat mengizinkan koneksi RDP atau SSH hanya dari alamat IP tertentu pemilik server dan melindungi server dari upaya menebak kata sandi. Firewall hadir di semua sistem operasi modern. Selain itu, akun pribadi RUVDS menawarkan firewall gratis pada tingkat peralatan jaringan. Dengan demikian, lalu lintas jaringan yang tidak diinginkan tidak akan mencapai mesin virtual, namun akan disaring di tingkat pusat data. Untuk menambah kenyamanan klien, aturan pemfilteran yang paling umum digunakan telah ditambahkan ke antarmuka firewall. Jika alamat IP diubah, klien cukup masuk ke akun pribadinya dan mengedit aturan tanpa harus masuk ke server.

▍Perlindungan terhadap serangan DDoS

Ada layanan tambahan yang dapat dibeli 
penyedia server virtual (dan fisik). Hal ini didasarkan pada teknologi untuk menganalisis lalu lintas jaringan, yang, misalnya, di RUVDS dilakukan 24/7, dan perlindungannya dapat bertahan secara stabil hingga 1500 Gbit/s. Anda hanya membayar untuk lalu lintas yang Anda butuhkan. Sekarang sedang promosi di RUVDS bulan pertama gratis 0.5 Mbit/s, lalu dari 400 gosok. per bulan.

▍Menyusun dan mencapai kepatuhan terhadap peraturan

Aturan pengguna yang tertulis dan dilaksanakan serta aturan untuk tindakan rehabilitasi (rencana respons insiden keamanan siber) memiliki bobot yang signifikan dalam masalah keamanan cloud dari sudut pandang faktor manusia, termasuk peretasan menggunakan metode rekayasa sosial. Poin ini termasuk membatasi akses karyawan, mengidentifikasi aplikasi cloud utama perusahaan (tidak ada aplikasi lain kecuali beberapa aplikasi yang ada dalam “daftar putih” yang dapat diinstal), dan memastikan keamanan perangkat seluler yang dapat digunakan di perusahaan untuk berinteraksi. dengan infrastruktur cloud perusahaan, dan kontrol perangkat, yang bertanggung jawab atas kebijakan penggunaan media eksternal.

Semoga artikel ini bermanfaat. Seperti biasa, kami menyambut baik komentar yang membangun, informasi baru, opini menarik, serta laporan jika ada ketidakakuratan materi. 

Sumber: www.habr.com