Fleiri og fleiri notendur eru að koma með allan upplýsingatækniinnviði sína í almenningsskýið. Hins vegar, ef vírusvarnareftirlit er ófullnægjandi í innviðum viðskiptavinarins, skapast alvarleg netáhætta. Æfingin sýnir að allt að 80% núverandi vírusa lifa fullkomlega í sýndarumhverfi. Í þessari færslu munum við tala um hvernig á að vernda upplýsingatækniauðlindir í almenningsskýinu og hvers vegna hefðbundin vírusvörn hentar ekki alveg í þessum tilgangi.
Til að byrja með munum við segja þér hvernig við komumst að þeirri hugmynd að venjuleg vírusvarnarverkfæri henti ekki almenningsskýinu og að aðrar aðferðir til að vernda auðlindir séu nauðsynlegar.
Í fyrsta lagi veita veitendur almennt nauðsynlegar ráðstafanir til að tryggja að skýjapallar þeirra séu verndaðir á háu stigi. Til dæmis, á #CloudMTS greinum við alla netumferð, fylgjumst með skrám yfir öryggiskerfi skýsins okkar og gerum reglulega próf. Skýhlutar sem úthlutað er til einstakra viðskiptavina verða einnig að vera tryggilega verndaðir.
Í öðru lagi felur hinn klassíski valkostur til að berjast gegn netáhættu í sér að setja upp vírusvarnar- og vírusstjórnunarverkfæri á hverri sýndarvél. Hins vegar, með miklum fjölda sýndarvéla, getur þessi framkvæmd verið árangurslaus og krefst verulegs magns af tölvuauðlindum, og hleður þannig enn frekar innviði viðskiptavinarins og dregið úr heildarafköstum skýsins. Þetta er orðin lykilforsenda þess að leita að nýjum aðferðum til að byggja upp skilvirka vírusvörn fyrir sýndarvélar viðskiptavina.
Að auki eru flestar vírusvarnarlausnir á markaðnum ekki aðlagaðar til að leysa vandamálin við að vernda upplýsingatækniauðlindir í opinberu skýjaumhverfi. Að jafnaði eru þetta þungavigtar EPP lausnir (Endpoint Protection Platforms), sem að auki veita ekki nauðsynlega aðlögun viðskiptavinarhliðar skýjaveitunnar.
Það verður augljóst að hefðbundnar vírusvarnarlausnir henta ekki til að vinna í skýinu, þar sem þær hlaða verulega á sýndarinnviðina við uppfærslur og skannanir, og hafa ekki nauðsynlega hlutverkatengda stjórnun og stillingar. Næst munum við greina í smáatriðum hvers vegna skýið þarfnast nýrra aðferða við vírusvörn.
Það sem vírusvarnarefni í almenningsskýi ætti að geta gert
Svo, við skulum borga eftirtekt til sérstöðu þess að vinna í sýndarumhverfi:
Skilvirkni uppfærslur og áætlaðar fjöldaskannanir. Ef umtalsverður fjöldi sýndarvéla sem nota hefðbundið vírusvarnarefni kemur af stað uppfærslu á sama tíma mun svokallaður „stormur“ uppfærslu koma upp í skýinu. Kraftur ESXi hýsingaraðila sem hýsir nokkrar sýndarvélar gæti ekki verið nóg til að takast á við fjölda svipaðra verkefna sem keyra sjálfgefið. Frá sjónarhóli skýjaveitunnar getur slíkt vandamál leitt til viðbótarálags á fjölda ESXi gestgjafa, sem mun að lokum leiða til lækkunar á frammistöðu sýndarinnviða skýsins. Þetta getur meðal annars haft áhrif á frammistöðu sýndarvéla annarra skýjabiðlara. Svipað ástand getur komið upp þegar fjöldaskönnun er sett af stað: samtímis vinnsla diskakerfisins á mörgum svipuðum beiðnum frá mismunandi notendum mun hafa neikvæð áhrif á afköst alls skýsins. Með miklum líkum mun lækkun á afköstum geymslukerfisins hafa áhrif á alla viðskiptavini. Slík skyndileg álag þóknast hvorki þjónustuveitunni né viðskiptavinum hans, þar sem þau hafa áhrif á „nágranna“ í skýinu. Frá þessu sjónarhorni getur hefðbundið vírusvarnarefni valdið miklu vandamáli.
Öruggt sóttkví. Ef skrá eða skjal sem hugsanlega er sýkt af vírus greinist í kerfinu er það sent í sóttkví. Auðvitað er hægt að eyða sýktri skrá strax, en það er oft ekki ásættanlegt fyrir flest fyrirtæki. Veiruvörn fyrirtækja sem ekki eru aðlöguð til að virka í skýi þjónustuveitunnar hafa að jafnaði sameiginlegt sóttkvíarsvæði - allir sýktir hlutir falla inn í það. Til dæmis þær sem finnast á tölvum fyrirtækjanotenda. Viðskiptavinir skýjaveitunnar „búa“ í sínum eigin flokkum (eða leigjendum). Þessir hlutir eru ógagnsæir og einangraðir: viðskiptavinir vita ekki hver af öðrum og sjá auðvitað ekki hvað aðrir hýsa í skýinu. Augljóslega gæti almenna sóttkvíin, sem allir vírusvarnarnotendur í skýinu nálgast, hugsanlega innihaldið skjal sem inniheldur trúnaðarupplýsingar eða viðskiptaleyndarmál. Þetta er óviðunandi fyrir þjónustuveituna og viðskiptavini hans. Þess vegna getur aðeins verið ein lausn - persónuleg sóttkví fyrir hvern viðskiptavin í sínum hluta, þar sem hvorki veitandinn né aðrir viðskiptavinir hafa aðgang.
Einstakar öryggisstefnur. Hver viðskiptavinur í skýinu er sérstakt fyrirtæki, þar sem upplýsingatæknideildin setur sínar eigin öryggisstefnur. Til dæmis skilgreina stjórnendur skönnunarreglur og skipuleggja vírusvarnarskönnun. Samkvæmt því verður hver stofnun að hafa sína eigin stjórnstöð til að stilla vírusvarnarstefnur. Á sama tíma ættu tilgreindar stillingar ekki að hafa áhrif á aðra skýjabiðlara og veitandinn ætti að geta sannreynt að td vírusvarnaruppfærslur séu framkvæmdar eins og venjulega fyrir allar sýndarvélar viðskiptavinarins.
Skipulag innheimtu og leyfisveitingar. Skýlíkanið einkennist af sveigjanleika og felur í sér að einungis er greitt fyrir það magn upplýsingatækniauðlinda sem viðskiptavinurinn notar. Ef þörf er á, til dæmis vegna árstíðarsveiflu, þá er hægt að auka eða draga úr magni auðlinda fljótt - allt miðað við núverandi þarfir fyrir tölvuafl. Hefðbundin vírusvörn er ekki svo sveigjanleg - að jafnaði kaupir viðskiptavinurinn leyfi í eitt ár fyrir fyrirfram ákveðinn fjölda netþjóna eða vinnustöðva. Skýnotendur aftengja og tengja reglulega viðbótar sýndarvélar eftir núverandi þörfum þeirra - í samræmi við það verða vírusvarnarleyfi að styðja sömu gerð.
Önnur spurningin er hvað leyfið mun ná til nákvæmlega. Hefðbundin vírusvörn er með leyfi fyrir fjölda netþjóna eða vinnustöðva. Leyfi sem byggjast á fjölda verndaðra sýndarvéla henta ekki að öllu leyti innan skýjalíkanssins. Viðskiptavinurinn getur búið til hvaða fjölda sýndarvéla sem er sem henta honum úr tiltækum auðlindum, til dæmis fimm eða tíu vélum. Þessi tala er ekki stöðug fyrir flesta viðskiptavini; það er ekki mögulegt fyrir okkur, sem þjónustuaðila, að fylgjast með breytingum þess. Það er enginn tæknilegur möguleiki á að veita leyfi frá örgjörva: viðskiptavinir fá sýndarörgjörva (vCPU), sem ætti að nota til að veita leyfi. Þannig ætti nýja vírusvarnarlíkanið að fela í sér getu viðskiptavinarins til að ákvarða nauðsynlegan fjölda vCPUs sem hann mun fá vírusvarnarleyfi fyrir.
Fylgni við löggjöf. Mikilvægt atriði, þar sem lausnirnar sem notaðar eru verða að tryggja að farið sé að kröfum eftirlitsaðila. Til dæmis vinna „íbúar“ í skýi oft með persónuleg gögn. Í þessu tilviki verður veitandinn að hafa sérstakan vottaða skýjahluta sem uppfyllir að fullu kröfur persónuupplýsingalaga. Þá þurfa fyrirtæki ekki sjálfstætt að „smíða“ allt kerfið til að vinna með persónuupplýsingar: kaupa vottaðan búnað, tengja hann og stilla hann og gangast undir vottun. Til netverndar ISPD slíkra viðskiptavina verður vírusvörnin einnig að uppfylla kröfur rússneskrar löggjafar og hafa FSTEC vottorð.
Við skoðuðum lögboðin skilyrði sem vírusvörn í almenningsskýinu verður að uppfylla. Næst munum við deila eigin reynslu af því að laga vírusvarnarlausn til að virka í skýi veitunnar.
Hvernig geturðu eignast vini á milli vírusvarnar og skýja?
Eins og reynsla okkar hefur sýnt er það eitt að velja lausn byggða á lýsingu og skjölum, en að innleiða hana í reynd í þegar starfandi skýjaumhverfi er allt annað verkefni hvað varðar flókið. Við munum segja þér hvað við gerðum í reynd og hvernig við aðlaguðum vírusvörnina til að virka í almenningsskýi þjónustuveitunnar. Seljandi vírusvarnarlausnarinnar var Kaspersky, en eignasafn hans inniheldur vírusvarnarlausnir fyrir skýjaumhverfi. Við sættum okkur við „Kaspersky Security for Virtualization“ (Light Agent).
Það inniheldur eina Kaspersky Security Center leikjatölvu. Létt umboðsmaður og öryggi sýndarvélar (SVM, Security Virtual Machine) og KSC samþættingarþjónn.
Eftir að við rannsökuðum arkitektúr Kaspersky lausnarinnar og gerðum fyrstu prófin ásamt verkfræðingum söluaðilans, vaknaði spurningin um að samþætta þjónustuna í skýið. Fyrsta framkvæmdin var framkvæmd sameiginlega á skýjasvæðinu í Moskvu. Og það var það sem við áttuðum okkur á.
Til að lágmarka netumferð var ákveðið að setja SVM á hvern ESXi hýsil og „tengja“ SVM við ESXi vélina. Í þessu tilviki fá léttir umboðsmenn verndaðra sýndarvéla aðgang að SVM nákvæmlega ESXi hýsilsins sem þær keyra á. Sérstakur stjórnunarleigjandi var valinn fyrir aðal KSC. Fyrir vikið eru víkjandi KSC staðsettir í leigjendum hvers einstaks viðskiptavinar og fjalla um yfirburða KSC sem staðsett er í stjórnunarhlutanum. Þetta kerfi gerir þér kleift að leysa vandamál sem koma upp hjá leigjendum viðskiptavina fljótt.
Auk vandamála við að hækka íhluti vírusvarnarlausnarinnar sjálfrar stóðum við frammi fyrir því verkefni að skipuleggja netsamskipti með því að búa til viðbótar VxLAN. Og þó að lausnin hafi upphaflega verið ætluð viðskiptavinum fyrirtækja með einkaský, með hjálp verkfræðikunnáttu og tæknilegrar sveigjanleika NSX Edge tókst okkur að leysa öll vandamál sem tengjast aðskilnaði leigjenda og leyfisveitingar.
Við unnum náið með verkfræðingum Kaspersky. Þannig kom í ljós að í því ferli að greina lausnararkitektúrinn með tilliti til netsamspils milli kerfishluta, kom í ljós að auk aðgangs frá ljósmiðlum að SVM er endurgjöf einnig nauðsynleg - frá SVM til ljósmiðla. Þessi nettenging er ekki möguleg í fjölleigjendaumhverfi vegna möguleika á sams konar netstillingum sýndarvéla í mismunandi skýjaleigum. Þess vegna, að beiðni okkar, endurgerðu samstarfsmenn frá seljanda kerfi netsamskipta milli ljósamiðilsins og SVM með tilliti til þess að útrýma þörfinni fyrir nettengingu frá SVM við ljósmiðlara.
Eftir að lausnin var dreifð og prófuð á skýjasíðunni í Moskvu afrituðum við hana á aðrar síður, þar á meðal vottaða skýjahlutann. Þjónustan er nú í boði á öllum svæðum landsins.
Arkitektúr upplýsingaöryggislausnar innan ramma nýrrar nálgunar
Almennt rekstrarkerfi vírusvarnarlausnar í almennu skýjaumhverfi er sem hér segir:
Rekstraráætlun vírusvarnarlausnar í almenningsskýjaumhverfi #CloudMTS
Leyfðu okkur að lýsa eiginleikum reksturs einstakra þátta lausnarinnar í skýinu:
• Ein stjórnborð sem gerir viðskiptavinum kleift að stjórna verndarkerfinu miðlægt: keyra skannar, stjórna uppfærslum og fylgjast með sóttkvíarsvæðum. Það er hægt að stilla einstakar öryggisstefnur innan þíns hluta.
Það skal tekið fram að þrátt fyrir að við séum þjónustuaðili, truflum við ekki stillingar sem viðskiptavinir setja. Það eina sem við getum gert er að endurstilla öryggisstefnurnar á staðlaðar ef endurstilling er nauðsynleg. Til dæmis getur þetta verið nauðsynlegt ef viðskiptavinurinn herti þær fyrir slysni eða veikti þær verulega. Fyrirtæki getur alltaf fengið stjórnstöð með sjálfgefnum stefnum sem það getur síðan stillt sjálfstætt. Ókosturinn við Kaspersky Security Center er að vettvangurinn er sem stendur aðeins fáanlegur fyrir Microsoft stýrikerfið. Þó að léttir umboðsmenn geti unnið með bæði Windows og Linux vélum. Hins vegar lofar Kaspersky Lab að í náinni framtíð muni KSC vinna undir Linux OS. Eitt af mikilvægum hlutverkum KSC er hæfileikinn til að stjórna sóttkví. Hvert viðskiptavinafyrirtæki í skýinu okkar hefur sitt persónulega. Þessi nálgun útilokar aðstæður þar sem skjal sem er sýkt af vírus verður óvart opinberlega sýnilegt, eins og gæti gerst ef um er að ræða klassískt vírusvarnarefni fyrir fyrirtæki með almennu sóttkví.
• Ljósaefni. Sem hluti af nýju líkaninu er léttur Kaspersky Security umboðsmaður settur upp á hverri sýndarvél. Þetta útilokar þörfina á að geyma vírusvarnargagnagrunninn á hverjum VM, sem dregur úr magni af plássi sem neytt er. Þjónustan er samþætt skýjainnviðum og vinnur í gegnum SVM, sem eykur þéttleika sýndarvéla á ESXi hýsilnum og afköst alls skýjakerfisins. Ljósaþjónninn býr til röð verkefna fyrir hverja sýndarvél: athugaðu skráarkerfið, minni o.s.frv. En SVM ber ábyrgð á að framkvæma þessar aðgerðir, sem við munum tala um síðar. Umboðsmaðurinn virkar einnig sem eldveggur, stýrir öryggisstefnu, sendir sýktar skrár í sóttkví og fylgist með heildar "heilsu" stýrikerfisins sem það er sett upp á. Allt þetta er hægt að stjórna með því að nota þegar nefnda einni stjórnborðið.
• Öryggissýndarvél. Öll verkefni sem krefjast auðlinda (uppfærslur á vírusgagnagrunni, áætlaðar skannanir) eru meðhöndluð af sérstakri öryggissýndarvél (SVM). Hún sér um rekstur fullgildrar vírusvarnarvélar og gagnagrunna fyrir hana. Upplýsingatækni innviðir fyrirtækis geta innihaldið nokkur SVM. Þessi nálgun eykur áreiðanleika kerfisins - ef ein vél bilar og bregst ekki við í þrjátíu sekúndur byrja umboðsmenn sjálfkrafa að leita að annarri.
• KSC samþættingarþjónn. Einn af íhlutum aðal KSC, sem úthlutar SVM sínum til ljósamiðla í samræmi við reikniritið sem tilgreint er í stillingum þess, og stjórnar einnig framboði SVM. Þannig veitir þessi hugbúnaðareining álagsjafnvægi á öllum SVM skýjainnviði.
Reiknirit til að vinna í skýinu: draga úr álagi á innviði
Almennt séð getur vírusvarnaralgrímið verið táknað sem hér segir. Umboðsmaðurinn opnar skrána á sýndarvélinni og athugar hana. Niðurstaða sannprófunarinnar er geymd í sameiginlegum miðlægum SVM dómsgagnagrunni (kallað Shared Cache), þar sem hver færsla auðkennir einstakt skráarsýni. Þessi aðferð gerir þér kleift að tryggja að sama skráin sé ekki skönnuð nokkrum sinnum í röð (til dæmis ef hún var opnuð á mismunandi sýndarvélum). Skráin er aðeins endurskoðuð ef breytingar hafa verið gerðar á henni eða skönnun hefur verið ræst handvirkt.
Innleiðing á vírusvarnarlausn í skýi veitunnar
Myndin sýnir almenna skýringarmynd af útfærslu lausnarinnar í skýinu. Aðal öryggismiðstöð Kaspersky er sett á stjórnsvæði skýsins og einstakur SVM er settur á hvern ESXi hýsil með því að nota KSC samþættingarþjóninn (hver ESXi gestgjafi hefur sitt eigið SVM tengdur með sérstökum stillingum á VMware vCenter þjóninum). Viðskiptavinir vinna í sínum eigin skýjahlutum, þar sem sýndarvélar með umboðsmönnum eru staðsettar. Þeim er stjórnað í gegnum einstaka KSC netþjóna sem eru víkjandi aðal KSC. Ef nauðsynlegt er að vernda lítinn fjölda sýndarvéla (allt að 5) er hægt að veita viðskiptavinum aðgang að sýndarborðinu á sérstökum sérstökum KSC netþjóni. Netsamskipti milli KSC viðskiptavinar og helstu KSC, svo og ljósamiðlara og SVM, fara fram með því að nota NAT í gegnum EdgeGW sýndarbeina viðskiptavinar.
Samkvæmt áætlunum okkar og niðurstöðum prófana á samstarfsmönnum hjá söluaðilanum dregur Light Agent úr álagi á sýndarinnviði viðskiptavina um um það bil 25% (samanborið við kerfi sem notar hefðbundinn vírusvarnarhugbúnað). Einkum notar staðlað Kaspersky Endpoint Security (KES) vírusvarnarefni fyrir líkamlegt umhverfi næstum tvöfalt meiri örgjörvatíma miðlara (2,95%) en létt umboðslausn sýndarvæðingarlausn (1,67%).
Samanburðarrit CPU hleðslu
Svipað ástand sést með tíðni skrifaðgangs á diskum: fyrir klassískt vírusvarnarefni er það 1011 IOPS, fyrir skýjavarnarefni er það 671 IOPS.
Samanburðarlínu fyrir diskaaðgangshraða
Frammistöðuávinningurinn gerir þér kleift að viðhalda stöðugleika innviða og nota tölvuafl á skilvirkari hátt. Með því að laga sig að vinnu í opinberu skýjaumhverfi dregur lausnin ekki úr afköstum skýja: hún athugar skrár miðlægt og hleður niður uppfærslum og dreifir álaginu. Þetta þýðir að annars vegar verður ekki farið framhjá ógnum sem tengjast skýjainnviðum, hins vegar mun auðlindaþörf sýndarvéla minnka að meðaltali um 25% miðað við hefðbundið vírusvarnarefni.
Hvað varðar virkni eru báðar lausnirnar mjög svipaðar hvor annarri: hér að neðan er samanburðartafla. Hins vegar, í skýinu, eins og prófunarniðurstöðurnar hér að ofan sýna, er samt ákjósanlegt að nota lausn fyrir sýndarumhverfi.
Um gjaldtöku innan ramma hinnar nýju leiðar. Við ákváðum að nota líkan sem gerir okkur kleift að fá leyfi byggt á fjölda vCPUs. Þetta þýðir að fjöldi leyfa verður jafn fjölda vCPUs. Þú getur prófað vírusvörnina þína með því að skilja eftir beiðni .
Í næstu grein um skýjaefni munum við tala um þróun skýja WAF og hvað er betra að velja: vélbúnað, hugbúnað eða ský.
Textinn var unninn af starfsmönnum skýjaveitunnar #CloudMTS: Denis Myagkov, leiðandi arkitekt og Alexey Afanasyev, vöruþróunarstjóri upplýsingaöryggis.
Heimild: www.habr.com