Í þessari færslu munum við reyna að leiðbeina lesendum okkar út úr algengum misskilningi varðandi öryggi sýndarþjóna og segja okkur hvernig eigi að vernda leiguskýin þeirra almennilega í lok árs 2019. Greinin er aðallega ætluð nýjum og væntanlegum viðskiptavinum okkar, nánar tiltekið þeim sem eru nýbúnir að kaupa eða vilja kaupa , en eru ekki enn vel að sér í netöryggismálum og rekstri VPS. Við vonum að fróðir notendur geti notið þess að einhverju leyti.
Fjórar rangar aðferðir við skýjaöryggi
Það eru skoðanir, nokkuð algengar meðal fyrirtækjaeigenda og stjórnenda (við auðkennum þær feitletruð), að að tryggja netöryggi skýjaþjónustu er annað hvort fyrirfram óþarfi, þar sem ský eru örugg (1), eða þetta er verkefni skýjaveitunnar: Ég borgaði fyrir VPS - sem þýðir að allt ætti að vera stillt, öruggt og virka án vandræða (2). Það er líka þriðja álitið, sameiginlegt fyrir bæði upplýsingaöryggissérfræðinga og kaupsýslumenn: ský eru hættuleg! Engin þekkt öryggisverkfæri geta veitt fullnægjandi vernd fyrir sýndarumhverfi (3) — Leiðtogar fyrirtækja með þessa nálgun yfirgefa skýjatækni vegna vantrausts eða misskilnings á muninum á hefðbundnum og sérhæfðum öryggisverkfærum (meira um þau hér að neðan). Fjórði flokkur borgara telur það já, þú ættir að vernda skýjainnviðina þína, því það eru til staðlaðar vírusvörn (4).
Allar þessar fjórar aðferðir eru rangar - þær geta leitt til taps (fyrir utan þá nálgun að nota alls ekki sýndarþjóna, en jafnvel hér ættir þú ekki að vanrækja viðskiptayfirlýsinguna „tapaður hagnaður er líka tap“). Til að sýna tölfræðina að einhverju leyti er hér tilvitnun í skýrslu Kaspersky Lab fyrirtækjasölustuðningssérfræðings Vladimir Ostroverkhov, sem við sumarið 2017. Á þeim tíma gerði Kaspersky könnun meðal fimm þúsund fyrirtækja frá 25 löndum - þetta eru stór fyrirtæki með að minnsta kosti eitt og hálft þúsund starfsmenn. 75% þeirra nota sýndarvæðingu en fjárfesta ekki í öryggi. Vandamálið hefur ekki tapað mikilvægi sínu í dag:
„Um það bil helmingur [stórra] fyrirtækja notar enga vörn fyrir sýndarvélar og hinn helmingurinn telur að allir venjulegir vírusvörn muni duga. Öll þessi fyrirtæki eyða að meðaltali næstum milljón dollara [á ári] fyrir endurheimt eftir atvik: vegna rannsókna, til kerfisendurheimtar, til bóta á kostnaði, til skaðabóta vegna tjóns af einu innbroti... Hver verða útgjöld þeirra ef þeir gefa sjálfum sér í hættu? Beint tap vegna endurreisnar, endurnýjunar á búnaði, hugbúnaðar... Óbeint tap - orðspor... Skaðabótatap fyrir viðskiptavini sína, þar með talið orðspor... Og einnig rannsókn á atvikum, endurnýjun að hluta til innviða, vegna þess að það hefur þegar komið sér í hættu, þetta eru viðræður við stjórnvöld, þetta viðræður við tryggingafélög, viðræður við viðskiptavini sem þurfa að greiða bætur.“
Hvers vegna þessar aðferðir virka ekki
Aðferð 1: Ský eru örugg, þarf ekki að vernda. Um 240 þúsund stykki af spilliforritum sem birtast daglega lifa fullkomlega inni í skýjunum: allt frá einföldum kóða sem skólabarn skrifaði og settur á internetið (sem þýðir að hann getur hugsanlega skemmt gögn) til flókinna markvissa árása sem eru þróaðar sérstaklega fyrir tilteknar stofnanir, tilvik og aðstæður sem eru mjög góðir í að brjóta og stela gögnum, heldur líka að „fela“ sig. Sýndarinnviðir eru líka áhugaverðir fyrir tölvuþrjóta: það er miklu auðveldara að hakka inn og fá aðgang að öllum sýndarvélum þínum og gögnum í einu, frekar en að reyna að hakka hvern líkamlegan netþjón fyrir sig. Auk þess er þess virði að íhuga að inni í sýndarinnviðum dreifist illgjarn kóða á gríðarlegum hraða - tugir þúsunda véla geta smitast á tíu mínútum, sem jafngildir faraldri (sjá ofangreint ). Illgjarn forrit og lausnarhugbúnaður sem stuðlar að gagnaleka fyrirtækisins eru um það bil 27% af heildarfjölda skýja "hættum". Mest varnarleysi í skýinu: óvarið viðmót og óviðkomandi aðgangur - um 80% alls (samkvæmt rannsóknum með stuðningi frá Check Point Software Technologies Ltd. er leiðandi veitandi netöryggislausna fyrir stjórnvöld og fyrirtæki um allan heim.
Aðferð 2: Að tryggja skýjainnviðina er á ábyrgð VPS veitunnar. Þetta er að hluta til satt, vegna þess að sýndarmiðlaranum er annt um stöðugleika kerfa sinna og nægilega mikið verndarstig fyrir helstu þætti skýsins: netþjóna, geymslutæki, netkerfi, sýndarvæðingu (stjórnað af þjónustustigssamningi, SLA) . En hann þarf ekki að hafa áhyggjur af því að koma í veg fyrir innri og ytri ógnir sem geta komið upp í skýjainnviði viðskiptavinarins. Leyfum okkur hér tannlæknalíkingu. Eftir að hafa borgað jafnvel mikið fé fyrir góða ígræðslu, skilur viðskiptavinur tannlæknastofu að rétt aðgerð gervilimsins veltur að miklu leyti á honum sjálfum (skjólstæðingnum). Bæklunartannlæknirinn gerði fyrir sitt leyti allt sem þurfti í öryggismálum: hann valdi hágæða efni, „festi“ vefjalyfið á áreiðanlegan hátt, truflaði ekki bitið, læknaði tannholdið eftir aðgerð o.s.frv. Og ef notandinn fylgir ekki hreinlætisreglum í framtíðinni, mun það verða, til dæmis, , opna málmflöskulok með tönnunum og framkvæma aðrar svipaðar óöruggar aðgerðir, það verður ómögulegt að tryggja góða virkni nýju tönnarinnar. Sama saga á við um að tryggja 100% skýjaöryggi á VPS sem er leigt frá þjónustuaðila. „Utan lögsögu“ skýjaþjónustuveitunnar er verndun gagna og forrita viðskiptavinarins persónulega á hans ábyrgð.
Aðferð 3: Engin öryggisverkfæri geta veitt fullnægjandi vernd fyrir sýndarumhverfi. Alls ekki. Það eru sérhæfðar skýjaöryggislausnir sem við munum fjalla um í síðasta hluta greinarinnar.
Aðferð 4: Notkun venjulegs vírusvarnar (hefðbundin vörn). Hér er mikilvægt að vita að hefðbundin öryggistól sem allir eru vanir að nota á staðbundnum tölvum eru einfaldlega ekki hönnuð fyrir dreifð sýndarumhverfi (þau „sjá“ ekki hvernig samskipti eiga sér stað milli sýndarvéla) og vernda ekki innri sýndarinnviði frá innri tilraunir til innbrots. Einfaldlega sagt, hefðbundinn vírusvarnarhugbúnaður virkar varla í skýinu. Á sama tíma, uppsett á hverri WM, eyða þeir gríðarlegu magni af auðlindum alls sýndarvistkerfisins þegar þeir leita að vírusum og uppfærslum, „sóa“ netinu og hægja á vinnu fyrirtækisins, en þar af leiðandi gefa þeir næstum núll skilvirkni í aðalstarfi sínu.
Í næstu tveimur köflum greinarinnar munum við telja upp hvaða hættur geta skapast þegar fyrirtæki starfar í skýjunum (einka, opinber, blendingur) og sagt frá því hvernig hægt er og ætti að koma í veg fyrir þessar hættur á réttan hátt.
Hætturnar sem stöðugt ógna skýjaþjónustu
▍ Fjarnetárásir
Þetta er margs konar eyðileggjandi áhrif upplýsinga á dreift tölvukerfi, framkvæmt forritunarlega í gegnum samskiptaleiðir til að ná mismunandi markmiðum. Algengustu þeirra:
- DDoS árás (). Mikil sending upplýsingabeiðna til netþjónsins með það að markmiði að nýta tilföng eða bandbreidd á kerfinu sem ráðist er á til að slökkva á markkerfinu og valda þar með tjóni á fyrirtækinu. Notað af samkeppnisaðilum sem sérþjónustu, fjárkúgara, pólitískum aðgerðarsinnum og stjórnvöldum til að fá pólitískan arð. Slíkar árásir eru gerðar með því að nota botnet - net tölva með vélmenni uppsett á þeim (hugbúnaður sem getur innihaldið vírusa, forrit fyrir fjarstýringu tölvu og tól til að fela sig fyrir stýrikerfinu), sem eru notuð af tölvuþrjótum til að dreifa ruslpósti og lausnarhugbúnaði. . Lestu meira í færslunni okkar .
- Ping flóð - til að valda ofhleðslu á línu.
- Ping dauðans - til að valda frystingu, endurræsingu og kerfishrun.
- Árásir á umsóknarstigi — til að fá aðgang að tölvu sem gerir kleift að opna forrit fyrir tiltekinn (forréttindakerfis)reikning.
- Gagnabrot — fyrir lokun neyðarkerfis vegna yfirflæðis í biðminni í hugbúnaði.
- Autorooters — til að gera innbrotsferlið sjálfvirkt með því að skanna gríðarlegan fjölda kerfa á stuttum tíma með því að setja upp rootkit.
- Snökt — til að hlusta á rásina.
- Álagning pakka - til að skipta yfir í tölvuna þína tengingu sem komið er á milli annarra tölva.
- Pakkahlerun á beini - til að fá notendalykilorð og upplýsingar úr tölvupósti.
- IP skopstæling - þannig að tölvuþrjóti innan eða utan netkerfisins geti líkt eftir tölvu sem hægt er að treysta. Þetta er gert með IP-tölu skopstæling.
- Hrottalegar árásir (brute force) - til að velja lykilorð með því að prófa samsetningar. Þeir nýta sér veikleika í RDP og SSH.
- Smurf — til að draga úr afköstum samskiptarásarinnar og/eða til að einangra algerlega árásarnetið.
- DNS fölsun — að skemma heilleika gagna í DNS kerfinu með því að „eitra“ DNS skyndiminni.
- Traustur gestgjafi skopstæling — til að geta haldið fundi með þjóninum fyrir hönd trausts gestgjafa.
- TCP SYN flóð — til að flæða yfir minni miðlarans.
- Maður í miðjunni — fyrir þjófnað á upplýsingum, röskun á sendum gögnum, DoS árásir, innbrot á núverandi samskiptalotu til að fá aðgang að einkanetsauðlindum, umferðargreiningu til að fá upplýsingar um netið og notendur þess.
- Netgreind — til að kanna upplýsingar um netið og forrit sem keyra á vélum fyrir árás.
- Tilvísun hafnar er tegund árásar sem notar hýsil sem er í hættu til að koma umferð í gegnum eldvegg. Til dæmis, ef eldveggur er tengdur þremur hýslum (ytri, innri og opinberri þjónustuhluta), þá getur ytri hýsilinn átt samskipti við innri hýsilinn með því að framsenda höfn á hýsingaraðila hins opinbera.
- Traustnýting - árásir sem eiga sér stað þegar einhver nýtir sér traust sambönd innan nets. Til dæmis, að hakka eitt kerfi innan fyrirtækjanets (HTTP, DNS, SMTP netþjóna) getur leitt til reiðhestur á önnur kerfi.
▍ Félagsverkfræði
- Vefveiðar — að fá trúnaðarupplýsingar (lykilorð, bankakortanúmer o.s.frv.) með póstsendingum fyrir hönd þekktra stofnana og banka.
- Pakkaþef (Packet sniffers) - til að fá aðgang að mikilvægum upplýsingum, þar á meðal lykilorðum. Það skilar árangri að miklu leyti vegna þess að notendur endurnota oft notendanafn sitt og lykilorð til að fá aðgang að ýmsum forritum og kerfum. Þannig getur tölvuþrjótur fengið aðgang að kerfisnotendareikningi og búið til nýjan aðgang í gegnum hann til að hafa aðgang að netinu og auðlindum þess hvenær sem er.
- Ásakanir - skrifuð árás með raddsamskiptum, tilgangur hennar er að þvinga fórnarlambið til að framkvæma aðgerð.
- trójuhestur - tækni sem byggir á tilfinningum fórnarlambsins: ótta, forvitni. Spilliforrit er venjulega að finna sem viðhengi í tölvupósti.
- Quid um quo (þá fyrir þetta, quid pro quo) - árásarmaður hefur samband við þig í gegnum fyrirtækjasíma eða tölvupóst undir yfirskini starfsmanns tækniaðstoðar, tilkynnir um vandamál í tölvu fórnarlambsins og býðst til að leysa þau. Markmiðið er að setja upp hugbúnað og framkvæma skaðlegar skipanir á þessari tölvu.
- Vegaepli — gróðursetja sýkta líkamlega geymslumiðla á opinberum stöðum fyrirtækja (flassdrif í salerni, diskur í lyftu), búin áletrunum sem vekja forvitni.
- Að safna upplýsingum frá samfélagsnetum.
▍Nýtir
Allar ólöglegar og óleyfilegar árásir sem miða annað hvort að því að afla gagna, trufla virkni kerfis eða ná yfirráðum yfir kerfi eru kallaðar hetjudáð. Þær stafa af villum í hugbúnaðarþróunarferlinu, þar af leiðandi koma upp veikleikar í forritaverndarkerfinu, sem eru notaðir með góðum árangri af netglæpamönnum til að fá ótakmarkaðan aðgang að forritinu sjálfu og í gegnum það að allri tölvunni og áfram til a. net véla.
▍ Málamiðlun reikninga
Innbrot á reikning starfsmanns fyrirtækisins af utanaðkomandi aðila til að fá aðgang að vernduðum upplýsingum: allt frá því að hlera upplýsingar (þar á meðal hljóð) og lykla með spilliforritum til að komast í gegnum líkamlega geymslu upplýsingaberans.
▍ Málamiðlun á geymslum
Sýking á geymsluþjónum fyrir hugbúnaðaruppsetningar, uppfærslur og bókasöfn.
▍ Innri áhættu fyrirtækisins
Þar á meðal er upplýsingaleki vegna sök starfsmanna fyrirtækisins sjálfra. Þetta getur verið einfalt gáleysi eða vísvitandi illgjarnar aðgerðir: allt frá vísvitandi skemmdarverkum á stjórnsýsluöryggisstefnu til sölu á trúnaðarupplýsingum til þriðja aðila. Þetta getur einnig falið í sér óheimilan aðgang, óörugg viðmót, rangstillingar á skýjapöllum og uppsetningu/notkun óviðkomandi forrita.
Nú skulum við skoða hvernig þú getur komið í veg fyrir svo umfangsmikinn (og langt frá því að vera tæmandi) lista yfir öryggisvandamál í skýinu.
Nútíma sérhæfðar skýjaöryggislausnir
Sérhver skýjainnviði krefst alhliða, margra laga öryggi. Aðferðirnar sem lýst er hér að neðan munu hjálpa þér að skilja hvað skýjaöryggispakki ætti að samanstanda af.
▍Verusvörn
Það er mikilvægt að muna að hefðbundin vírusvörn verður ekki áreiðanleg þegar reynt er að veita skýjaöryggi. Þú þarft að nota lausn sem er sérstaklega hönnuð fyrir sýndar- og skýjaumhverfi og uppsetning hennar hefur einnig sínar eigin reglur í þessu tilfelli. Í dag eru tvær leiðir til að tryggja skýjaöryggi með því að nota sérhæfða fjölþátta vírusvörn sem eru þróuð með nýjustu tækni: umboðslausa vörn og ljósavörn.
Umboðslaus vernd. Þróað af VMware og aðeins mögulegt með lausnum þess. Tvær sýndarvélar til viðbótar eru notaðar á líkamlegum netþjóni með sýndarvélum: Öryggisþjónninn (SVM) og netárásarvörnin (NAB). Ekkert er sett inn í hvorn þeirra. Aðeins vírusvarnarkjarninn er settur upp í SVM - sérstakt öryggistæki. Í NAB vél er þessi hluti aðeins ábyrgur fyrir að sannreyna samskipti milli sýndarvéla og það sem er að gerast í vistkerfinu (og fyrir samskipti við NSX tækni). Þetta SVM athugar alla umferð sem kemur á líkamlega netþjóninn. Það myndar safn dóma, sem er aðgengilegt öllum sýndarvélum öryggis í gegnum sameiginlegt skyndiminni. Sérhver öryggi sýndarvél fær fyrst aðgang að þessari laug, í stað þess að skanna allt kerfið - þessi meginregla gerir þér kleift að draga úr auðlindakostnaði og flýta fyrir rekstri vistkerfisins.
Vörn með ljósaefni. Hannað af Kaspersky og hefur engar VMware takmarkanir. Eins og í umboðslausri vörn er vírusvarnarvél sett upp á SVM, en ólíkt henni er líka léttur umboðsmaður uppsettur inni í hverjum WM. Umboðsmaðurinn framkvæmir ekki athuganir, heldur fylgist aðeins með öllu sem gerist inni í innfæddum WM sem byggir á sjálflærandi nettækni. Þessi tækni man rétta röð forrita; Þegar það stendur frammi fyrir þeirri staðreynd að röð aðgerða forritsins inni í WM er ekki að gerast rétt, hindrar það það.
Meira um , en um hvernig á að setja upp vírusvörn með léttum umboðsmanni fyrir sýndarþjóninn þinn, (neðst á síðunni eru tengiliðir fyrir tæknilega aðstoð allan sólarhringinn ef þú hefur einhverjar spurningar).
▍ Samþætting við þjónustu til að koma í veg fyrir eða leiðrétta öryggisvandamál í skýi
- Breyta stjórnunarvettvangi. Þetta eru sannreyndar þjónustur sem styðja við kjarna ITSM ferla fyrirtækisins, þar á meðal eins og upplýsingatækniöryggi og atvik. Til dæmis, ServiceNow, Remedy, JIRA.
- Öryggisskönnunartæki. Til dæmis, Rapid7, Qualys, Tenable.
- Verkfæri fyrir stillingarstjórnun. Þeir gera þér kleift að gera sjálfvirkan rekstur netþjóna og einfalda þar með uppsetningu og viðhald á tugum, hundruðum og jafnvel þúsundum netþjóna sem hægt er að dreifa um allan heiminn. Til dæmis TrueSight Server Automation, IBM BigFix, TrueSight Vulnerability Manager, Chef, Puppet.
- Örugg viðvörunarstjórnunartæki. Gerir þér kleift að veita stöðuga þjónustu og halda áfram að fylgjast með aðstæðum meðan á atvikum stendur, veita hæfan stuðning við samþættingu síma, skilaboða og tölvupósts (Samkvæmt Cisco voru meira en 85% tölvupóstskeyta ruslpóstur í júlí 2019, sem gæti hugsanlega innihaldið spilliforrit, vefveiðatilraunir o.s.frv. Nú á dögum er spilliforrit oft sendur í gegnum „algengar“ tegundir viðhengja: Algengustu skaðlegu viðhengin í tölvupósti eru Microsoft Office skrár. ). Slíkt tól gæti til dæmis verið OpsGenie.
▍Nýtingarvörn
Þar sem hetjudáð er afleiðing veikleika hugbúnaðar, eru það hugbúnaðarframleiðendur sem verða að leiðrétta villur í vöru sinni. Það er á ábyrgð notenda að setja upp uppfærslupakka og plástra strax eftir útgáfu þeirra. Að nota sjálfvirkt leitar- og uppsetningartól eða forritastjóra með þessum eiginleika hjálpar þér að forðast að uppfærslur vanti. Sjálfvirk nýtingarvörn er innbyggð í forritið sem lýst er hér að ofan .
▍Eldveggur
Eldveggur, eldveggur. Síur og stjórnar netumferð í samræmi við fyrirfram stilltar reglur. Hægt er að tákna eldvegg sem röð sía sem vinna úr netflæði upplýsinga. Rétt uppsetning eldveggs er áhrifarík gegn árásum á grimmd. Þú getur aðeins leyft RDP eða SSH tengingar frá ákveðnum IP tölum miðlaraeigandans og vernda netþjóninn gegn tilraunum til að giska á lykilorð. Eldveggir eru til staðar í öllum nútíma stýrikerfum. Til viðbótar þessu býður RUVDS persónulegur reikningur upp á ókeypis eldvegg á netbúnaðarstigi. Þannig mun óæskileg netumferð ekki ná til sýndarvélarinnar heldur síuð á gagnaverstigi. Til frekari þæginda fyrir viðskiptavini hefur algengustu síunarreglunum verið bætt við viðmót eldveggsins. Ef IP tölunni er breytt getur viðskiptavinurinn einfaldlega farið á persónulegan reikning sinn og breytt reglunni án þess að þurfa að skrá sig inn á netþjóninn.
▍Vörn gegn DDoS árásum
Það er viðbótarþjónusta sem hægt er að kaupa hjá
veitandi sýndar (og líkamlegra) netþjóna. Hún byggir á tækni til að greina netumferð, sem til dæmis í RUVDS fer fram allan sólarhringinn, og vörnin þolir stöðugt allt að 24 Gbit/s. Þú borgar aðeins fyrir þá umferð sem þú þarft. Nú í kynningu hjá RUVDS fyrsti mánuðurinn ókeypis 0.5 Mbit/s, síðan frá 400 nudda. á mánuði.
▍ Að semja og ná fram samræmi við reglur
Skrifaðar og framkvæmdar notendareglur og reglur um endurhæfingaraðgerðir (viðbragðsáætlun netöryggisatvika) hafa umtalsvert vægi í skýjaöryggismálum frá sjónarhóli mannlegs þáttar, þar með talið innbrot með samfélagsverkfræðiaðferðum. Þetta atriði felur í sér að takmarka aðgang starfsmanna, bera kennsl á helstu skýjaforrit fyrirtækisins (ekki hægt að setja upp önnur forrit nema þau fáu sem eru á slíkum „hvítum lista“) og tryggja öryggi fartækja sem hægt er að nota í fyrirtækinu til samskipta. með skýjainnviðum fyrirtækisins, og tækjastýringu, sem ber ábyrgð á stefnum um notkun ytri miðla.
Við vonum að greinin hafi verið gagnleg. Eins og alltaf fögnum við uppbyggilegum athugasemdum, nýjum upplýsingum, áhugaverðum skoðunum, sem og tilkynningum um ónákvæmni í efninu.
Heimild: www.habr.com
