Semakin banyak pengguna yang membawa seluruh infrastruktur TI mereka ke cloud publik. Namun, jika pengendalian anti-virus di infrastruktur pelanggan tidak mencukupi, risiko dunia maya yang serius akan muncul. Praktek menunjukkan bahwa hingga 80% virus yang ada hidup sempurna di lingkungan virtual. Dalam postingan ini kita akan membahas tentang cara melindungi sumber daya TI di cloud publik dan mengapa antivirus tradisional tidak sepenuhnya cocok untuk tujuan ini.
Untuk memulainya, kami akan memberi tahu Anda bagaimana kami sampai pada gagasan bahwa alat perlindungan anti-virus yang biasa tidak cocok untuk cloud publik dan diperlukan pendekatan lain untuk melindungi sumber daya.
Pertama, penyedia layanan umumnya memberikan langkah-langkah yang diperlukan untuk memastikan bahwa platform cloud mereka terlindungi pada tingkat tinggi. Misalnya, di #CloudMTS kami menganalisis semua lalu lintas jaringan, memantau log sistem keamanan cloud kami, dan secara rutin melakukan pentest. Segmen cloud yang dialokasikan untuk masing-masing klien juga harus dilindungi dengan aman.
Kedua, opsi klasik untuk memerangi risiko dunia maya melibatkan pemasangan antivirus dan alat manajemen antivirus di setiap mesin virtual. Namun, dengan jumlah mesin virtual yang besar, praktik ini bisa menjadi tidak efektif dan memerlukan sumber daya komputasi dalam jumlah besar, sehingga semakin membebani infrastruktur pelanggan dan mengurangi kinerja cloud secara keseluruhan. Hal ini telah menjadi prasyarat utama untuk mencari pendekatan baru dalam membangun perlindungan anti-virus yang efektif untuk mesin virtual pelanggan.
Selain itu, sebagian besar solusi antivirus di pasaran tidak disesuaikan untuk memecahkan masalah perlindungan sumber daya TI di lingkungan cloud publik. Biasanya, ini adalah solusi EPP kelas berat (Platform Perlindungan Titik Akhir), yang, terlebih lagi, tidak memberikan penyesuaian yang diperlukan di sisi klien penyedia cloud.
Jelas terlihat bahwa solusi antivirus tradisional tidak cocok untuk bekerja di cloud, karena solusi tersebut memuat infrastruktur virtual secara serius selama pembaruan dan pemindaian, dan juga tidak memiliki tingkat manajemen dan pengaturan berbasis peran yang diperlukan. Selanjutnya, kami akan menganalisis secara detail mengapa cloud memerlukan pendekatan baru untuk perlindungan anti-virus.
Apa yang seharusnya bisa dilakukan oleh antivirus di cloud publik
Jadi, mari kita perhatikan secara spesifik bekerja di lingkungan virtual:
Efisiensi pembaruan dan pemindaian massal terjadwal. Jika sejumlah besar mesin virtual yang menggunakan antivirus tradisional memulai pembaruan pada saat yang sama, apa yang disebut “badai” pembaruan akan terjadi di cloud. Kekuatan host ESXi yang menampung beberapa mesin virtual mungkin tidak cukup untuk menangani rentetan tugas serupa yang dijalankan secara default. Dari sudut pandang penyedia cloud, masalah seperti itu dapat menyebabkan beban tambahan pada sejumlah host ESXi, yang pada akhirnya akan menyebabkan penurunan kinerja infrastruktur virtual cloud. Hal ini mungkin, antara lain, mempengaruhi kinerja mesin virtual klien cloud lainnya. Situasi serupa mungkin muncul saat meluncurkan pemindaian massal: pemrosesan simultan oleh sistem disk atas banyak permintaan serupa dari pengguna berbeda akan berdampak negatif pada kinerja seluruh cloud. Dengan tingkat kemungkinan yang tinggi, penurunan kinerja sistem penyimpanan akan mempengaruhi semua klien. Pemuatan mendadak seperti itu tidak menyenangkan penyedia atau pelanggannya, karena berdampak pada “tetangga” di cloud. Dari sudut pandang ini, antivirus tradisional dapat menimbulkan masalah besar.
Karantina yang aman. Jika file atau dokumen yang berpotensi terinfeksi virus terdeteksi di sistem, file atau dokumen tersebut akan dikirim ke karantina. Tentu saja, file yang terinfeksi dapat segera dihapus, tetapi hal ini sering kali tidak dapat diterima oleh sebagian besar perusahaan. Antivirus perusahaan korporat yang tidak disesuaikan untuk bekerja di cloud penyedia, biasanya, memiliki zona karantina yang sama - semua objek yang terinfeksi masuk ke dalamnya. Misalnya saja yang terdapat pada komputer pengguna perusahaan. Klien penyedia cloud “hidup” di segmen (atau penyewa) mereka sendiri. Segmen ini buram dan terisolasi: klien tidak mengetahui satu sama lain dan, tentu saja, tidak melihat apa yang dihosting orang lain di cloud. Tentu saja, karantina umum yang akan diakses oleh semua pengguna antivirus di cloud berpotensi menyertakan dokumen yang berisi informasi rahasia atau rahasia dagang. Hal ini tidak dapat diterima oleh penyedia dan pelanggannya. Oleh karena itu, hanya ada satu solusi - karantina pribadi untuk setiap klien di segmennya, di mana penyedia maupun klien lain tidak memiliki akses.
Kebijakan keamanan individu. Setiap klien di cloud adalah perusahaan terpisah, yang departemen TI-nya menetapkan kebijakan keamanannya sendiri. Misalnya, administrator menentukan aturan pemindaian dan menjadwalkan pemindaian anti-virus. Oleh karena itu, setiap organisasi harus memiliki pusat kendali sendiri untuk mengonfigurasi kebijakan antivirus. Pada saat yang sama, pengaturan yang ditentukan tidak akan mempengaruhi klien cloud lainnya, dan penyedia harus dapat memverifikasi bahwa, misalnya, pembaruan antivirus dilakukan seperti biasa untuk semua mesin virtual klien.
Organisasi penagihan dan perizinan. Model cloud bersifat fleksibel dan hanya membayar sejumlah sumber daya TI yang digunakan oleh pelanggan. Jika ada kebutuhan, misalnya karena musim, maka jumlah sumber daya dapat dengan cepat ditambah atau dikurangi - semuanya berdasarkan kebutuhan daya komputasi saat ini. Antivirus tradisional tidak begitu fleksibel - sebagai aturan, klien membeli lisensi selama satu tahun untuk jumlah server atau stasiun kerja yang telah ditentukan. Pengguna cloud secara teratur memutus dan menghubungkan mesin virtual tambahan tergantung pada kebutuhan mereka saat ini - oleh karena itu, lisensi antivirus harus mendukung model yang sama.
Pertanyaan kedua adalah apa sebenarnya yang dicakup oleh lisensi tersebut. Antivirus tradisional dilisensikan berdasarkan jumlah server atau workstation. Lisensi berdasarkan jumlah mesin virtual yang dilindungi tidak sepenuhnya sesuai dengan model cloud. Klien dapat membuat sejumlah mesin virtual yang nyaman baginya dari sumber daya yang tersedia, misalnya lima atau sepuluh mesin. Jumlah ini tidak konstan untuk sebagian besar klien; tidak mungkin bagi kami, sebagai penyedia, untuk melacak perubahannya. Tidak ada kemungkinan teknis untuk melisensikan berdasarkan CPU: klien menerima prosesor virtual (vCPU), yang harus digunakan untuk pelisensian. Oleh karena itu, model perlindungan anti-virus yang baru harus mencakup kemampuan bagi pelanggan untuk menentukan jumlah vCPU yang diperlukan agar ia dapat menerima lisensi anti-virus.
Kepatuhan terhadap peraturan perundang-undangan. Hal yang penting, karena solusi yang digunakan harus memastikan kepatuhan terhadap persyaratan regulator. Misalnya, “penghuni” cloud sering kali bekerja dengan data pribadi. Dalam hal ini, penyedia harus memiliki segmen cloud tersertifikasi terpisah yang sepenuhnya mematuhi persyaratan Undang-Undang Data Pribadi. Maka perusahaan tidak perlu secara mandiri “membangun” seluruh sistem untuk bekerja dengan data pribadi: membeli peralatan bersertifikat, menghubungkan dan mengkonfigurasinya, dan menjalani sertifikasi. Untuk perlindungan cyber ISPD klien tersebut, antivirus juga harus mematuhi persyaratan undang-undang Rusia dan memiliki sertifikat FSTEC.
Kami melihat kriteria wajib yang harus dipenuhi oleh perlindungan antivirus di cloud publik. Selanjutnya, kami akan berbagi pengalaman kami dalam mengadaptasi solusi antivirus agar berfungsi di cloud penyedia.
Bagaimana cara berteman antara antivirus dan cloud?
Pengalaman kami menunjukkan bahwa memilih solusi berdasarkan deskripsi dan dokumentasi adalah satu hal, tetapi menerapkannya dalam praktik di lingkungan cloud yang sudah berfungsi adalah tugas yang sangat berbeda dalam hal kompleksitas. Kami akan memberi tahu Anda apa yang kami lakukan dalam praktiknya dan bagaimana kami mengadaptasi antivirus agar berfungsi di cloud publik penyedia. Vendor solusi anti-virus adalah Kaspersky, yang portofolionya mencakup solusi perlindungan anti-virus untuk lingkungan cloud. Kami memilih “Kaspersky Security for Virtualization” (Light Agent).
Ini mencakup satu konsol Kaspersky Security Center. Agen ringan dan mesin virtual keamanan (SVM, Mesin Virtual Keamanan) dan server integrasi KSC.
Setelah kami mempelajari arsitektur solusi Kaspersky dan melakukan pengujian pertama bersama dengan para insinyur vendor, muncul pertanyaan tentang mengintegrasikan layanan ke dalam cloud. Implementasi pertama dilakukan bersama di situs cloud Moskow. Dan itulah yang kami sadari.
Untuk meminimalkan lalu lintas jaringan, diputuskan untuk menempatkan SVM pada setiap host ESXi dan “mengikat” SVM ke host ESXi. Dalam hal ini, agen ringan dari mesin virtual yang dilindungi mengakses SVM dari host ESXi yang sama yang menjalankannya. Penyewa administratif terpisah dipilih untuk KSC utama. Akibatnya, KSC bawahan berlokasi di penyewa masing-masing klien individu dan menangani KSC superior yang berlokasi di segmen manajemen. Skema ini memungkinkan Anda dengan cepat menyelesaikan masalah yang muncul pada penyewa klien.
Selain masalah peningkatan komponen solusi anti-virus itu sendiri, kami dihadapkan pada tugas mengatur interaksi jaringan melalui pembuatan VxLAN tambahan. Dan meskipun solusi ini awalnya ditujukan untuk klien perusahaan dengan cloud pribadi, dengan bantuan keahlian teknik dan fleksibilitas teknologi NSX Edge kami mampu menyelesaikan semua masalah yang terkait dengan pemisahan penyewa dan perizinan.
Kami bekerja sama dengan para insinyur Kaspersky. Jadi, dalam proses menganalisis arsitektur solusi dalam hal interaksi jaringan antar komponen sistem, ditemukan bahwa selain akses dari light agent ke SVM, umpan balik juga diperlukan - dari SVM ke light agent. Konektivitas jaringan ini tidak dimungkinkan dalam lingkungan multipenyewa karena kemungkinan pengaturan jaringan mesin virtual yang identik di penyewa cloud yang berbeda. Oleh karena itu, atas permintaan kami, rekan dari vendor mengerjakan ulang mekanisme interaksi jaringan antara light agent dan SVM dalam hal menghilangkan kebutuhan konektivitas jaringan dari SVM ke light agent.
Setelah solusi diterapkan dan diuji di situs cloud Moskow, kami mereplikasinya ke situs lain, termasuk segmen cloud tersertifikasi. Layanan ini sekarang tersedia di seluruh wilayah negara.
Arsitektur solusi keamanan informasi dalam kerangka pendekatan baru
Skema umum pengoperasian solusi antivirus di lingkungan cloud publik adalah sebagai berikut:
Skema pengoperasian solusi antivirus di lingkungan cloud publik #CloudMTS
Mari kita jelaskan fitur pengoperasian masing-masing elemen solusi di cloud:
• Sebuah konsol tunggal yang memungkinkan klien mengelola sistem perlindungan secara terpusat: menjalankan pemindaian, mengontrol pembaruan, dan memantau zona karantina. Dimungkinkan untuk mengonfigurasi kebijakan keamanan individual dalam segmen Anda.
Perlu dicatat bahwa meskipun kami adalah penyedia layanan, kami tidak mengganggu pengaturan yang ditetapkan oleh klien. Satu-satunya hal yang dapat kami lakukan adalah menyetel ulang kebijakan keamanan ke kebijakan standar jika konfigurasi ulang diperlukan. Misalnya, hal ini mungkin diperlukan jika klien secara tidak sengaja mengencangkannya atau melemahkannya secara signifikan. Perusahaan selalu dapat menerima pusat kendali dengan kebijakan default, yang kemudian dapat dikonfigurasi secara mandiri. Kekurangan Kaspersky Security Center adalah platform tersebut saat ini hanya tersedia untuk sistem operasi Microsoft. Meskipun agen ringan dapat bekerja dengan mesin Windows dan Linux. Namun Kaspersky Lab berjanji dalam waktu dekat KSC akan bekerja di OS Linux. Salah satu fungsi penting KSC adalah kemampuan mengelola karantina. Setiap perusahaan klien di cloud kami memiliki perusahaan pribadi. Pendekatan ini menghilangkan situasi di mana dokumen yang terinfeksi virus secara tidak sengaja terlihat oleh publik, seperti yang dapat terjadi pada kasus antivirus korporat klasik dengan karantina umum.
• Agen ringan. Sebagai bagian dari model baru, agen Kaspersky Security yang ringan diinstal pada setiap mesin virtual. Hal ini menghilangkan kebutuhan untuk menyimpan database anti-virus di setiap VM, sehingga mengurangi jumlah ruang disk yang diperlukan. Layanan ini terintegrasi dengan infrastruktur cloud dan bekerja melalui SVM, yang meningkatkan kepadatan mesin virtual pada host ESXi dan kinerja seluruh sistem cloud. Agen ringan membuat antrian tugas untuk setiap mesin virtual: memeriksa sistem file, memori, dll. Namun SVM bertanggung jawab untuk melakukan operasi ini, yang akan kita bicarakan nanti. Agen juga berfungsi sebagai firewall, mengontrol kebijakan keamanan, mengirim file yang terinfeksi ke karantina, dan memantau “kesehatan” keseluruhan sistem operasi tempat agen tersebut diinstal. Semua ini dapat dikelola menggunakan konsol tunggal yang telah disebutkan.
• Keamanan Mesin Virtual. Semua tugas intensif sumber daya (pembaruan basis data anti-virus, pemindaian terjadwal) ditangani oleh Mesin Virtual Keamanan (SVM) terpisah. Dia bertanggung jawab atas pengoperasian mesin anti-virus yang lengkap dan database untuknya. Infrastruktur TI suatu perusahaan mungkin mencakup beberapa SVM. Pendekatan ini meningkatkan keandalan sistem - jika satu mesin gagal dan tidak merespons selama tiga puluh detik, agen secara otomatis mulai mencari mesin lain.
• Server integrasi KSC. Salah satu komponen KSC utama, yang menugaskan SVM-nya ke agen ringan sesuai dengan algoritma yang ditentukan dalam pengaturannya, dan juga mengontrol ketersediaan SVM. Dengan demikian, modul perangkat lunak ini menyediakan penyeimbangan beban di semua SVM infrastruktur cloud.
Algoritma untuk bekerja di cloud: mengurangi beban pada infrastruktur
Secara umum algoritma antivirus dapat direpresentasikan sebagai berikut. Agen mengakses file di mesin virtual dan memeriksanya. Hasil verifikasi disimpan dalam database putusan SVM terpusat yang umum (disebut Shared Cache), setiap entri mengidentifikasi sampel file unik. Pendekatan ini memastikan bahwa file yang sama tidak dipindai beberapa kali berturut-turut (misalnya, jika dibuka di mesin virtual yang berbeda). File dipindai ulang hanya jika ada perubahan atau pemindaian telah dimulai secara manual.
Implementasi solusi antivirus di cloud penyedia
Gambar menunjukkan diagram umum implementasi solusi di cloud. Pusat Keamanan Kaspersky utama diterapkan di zona kontrol cloud, dan SVM individual diterapkan pada setiap host ESXi menggunakan server integrasi KSC (setiap host ESXi memiliki SVM sendiri yang terpasang dengan pengaturan khusus pada VMware vCenter Server). Klien bekerja di segmen cloud mereka sendiri, tempat mesin virtual dengan agen berada. Mereka dikelola melalui server KSC individual yang berada di bawah KSC utama. Jika perlu untuk melindungi sejumlah kecil mesin virtual (hingga 5), klien dapat diberikan akses ke konsol virtual dari server KSC khusus khusus. Interaksi jaringan antara KSC klien dan KSC utama, serta agen ringan dan SVM, dilakukan menggunakan NAT melalui router virtual klien EdgeGW.
Menurut perkiraan kami dan hasil pengujian rekan-rekan di vendor, Light Agent mengurangi beban pada infrastruktur virtual klien sekitar 25% (bila dibandingkan dengan sistem yang menggunakan perangkat lunak anti-virus tradisional). Secara khusus, antivirus Kaspersky Endpoint Security (KES) standar untuk lingkungan fisik menghabiskan waktu CPU server hampir dua kali lebih banyak (2,95%) dibandingkan solusi virtualisasi ringan berbasis agen (1,67%).
Bagan perbandingan beban CPU
Situasi serupa diamati dengan frekuensi akses tulis disk: untuk antivirus klasik adalah 1011 IOPS, untuk antivirus cloud adalah 671 IOPS.
Grafik perbandingan tingkat akses disk
Manfaat kinerja memungkinkan Anda menjaga stabilitas infrastruktur dan menggunakan daya komputasi dengan lebih efisien. Dengan beradaptasi untuk bekerja di lingkungan cloud publik, solusi ini tidak mengurangi kinerja cloud: solusi ini memeriksa file secara terpusat dan mengunduh pembaruan, serta mendistribusikan beban. Artinya, di satu sisi, ancaman yang terkait dengan infrastruktur cloud tidak akan terlewatkan, di sisi lain, kebutuhan sumber daya untuk mesin virtual akan berkurang rata-rata 25% dibandingkan dengan antivirus tradisional.
Dalam hal fungsionalitas, kedua solusi sangat mirip satu sama lain: di bawah ini adalah tabel perbandingan. Namun, di cloud, seperti yang ditunjukkan oleh hasil pengujian di atas, penggunaan solusi untuk lingkungan virtual masih optimal.
Tentang tarif dalam kerangka pendekatan baru. Kami memutuskan untuk menggunakan model yang memungkinkan kami memperoleh lisensi berdasarkan jumlah vCPU. Artinya jumlah lisensi akan sama dengan jumlah vCPU. Anda dapat menguji antivirus Anda dengan meninggalkan permintaan .
Pada artikel berikutnya tentang topik cloud, kita akan membahas tentang evolusi WAF cloud dan mana yang lebih baik untuk dipilih: perangkat keras, perangkat lunak, atau cloud.
Teks disiapkan oleh karyawan penyedia cloud #CloudMTS: Denis Myagkov, arsitek terkemuka dan Alexei Afanasyev, manajer pengembangan produk keamanan informasi.
Sumber: www.habr.com