Sempre più utenti portano la loro intera infrastruttura IT nel cloud pubblico. Se però il controllo antivirus nell’infrastruttura del cliente non è sufficiente, si creano gravi rischi informatici. La pratica dimostra che fino all'80% dei virus esistenti vive perfettamente in un ambiente virtuale. In questo post parleremo di come proteggere le risorse IT nel cloud pubblico e del perché gli antivirus tradizionali non sono del tutto adatti a questi scopi.
Per cominciare vi racconteremo come siamo arrivati all’idea che i soliti strumenti di protezione antivirus non sono adatti al cloud pubblico e che sono necessari altri approcci per proteggere le risorse.
In primo luogo, i fornitori generalmente mettono a disposizione le misure necessarie per garantire che le loro piattaforme cloud siano protette ad alto livello. Ad esempio, in #CloudMTS analizziamo tutto il traffico di rete, monitoriamo i log dei sistemi di sicurezza del nostro cloud ed eseguiamo regolarmente pentest. Anche i segmenti cloud assegnati ai singoli clienti devono essere protetti in modo sicuro.
In secondo luogo, l’opzione classica per combattere i rischi informatici prevede l’installazione di un antivirus e di strumenti di gestione antivirus su ciascuna macchina virtuale. Tuttavia, con un numero elevato di macchine virtuali, questa pratica può essere inefficace e richiedere quantità significative di risorse di elaborazione, caricando ulteriormente l’infrastruttura del cliente e riducendo le prestazioni complessive del cloud. Questo è diventato un prerequisito chiave per la ricerca di nuovi approcci alla creazione di una protezione anti-virus efficace per le macchine virtuali dei clienti.
Inoltre, la maggior parte delle soluzioni antivirus sul mercato non sono adatte a risolvere i problemi di protezione delle risorse IT in un ambiente cloud pubblico. Di norma si tratta di soluzioni EPP (Endpoint Protection Platform) pesanti che, inoltre, non offrono la necessaria personalizzazione sul lato client del fornitore di servizi cloud.
Diventa ovvio che le soluzioni antivirus tradizionali non sono adatte per lavorare nel cloud, poiché caricano seriamente l'infrastruttura virtuale durante gli aggiornamenti e le scansioni e inoltre non dispongono dei livelli necessari di gestione e impostazioni basate sui ruoli. Successivamente analizzeremo in dettaglio perché il cloud necessita di nuovi approcci alla protezione antivirus.
Cosa dovrebbe essere in grado di fare un antivirus in un cloud pubblico
Quindi, prestiamo attenzione alle specificità del lavoro in un ambiente virtuale:
Efficienza degli aggiornamenti e delle scansioni di massa pianificate. Se un numero significativo di macchine virtuali che utilizzano un antivirus tradizionale avviano contemporaneamente un aggiornamento, nel cloud si verificherà una cosiddetta “tempesta” di aggiornamenti. La potenza di un host ESXi che ospita diverse macchine virtuali potrebbe non essere sufficiente per gestire la raffica di attività simili eseguite per impostazione predefinita. Dal punto di vista del fornitore di servizi cloud, un problema di questo tipo può portare a carichi aggiuntivi su un certo numero di host ESXi, che alla fine porteranno a un calo delle prestazioni dell'infrastruttura virtuale del cloud. Ciò può, tra l'altro, influenzare le prestazioni delle macchine virtuali di altri client cloud. Una situazione simile può verificarsi quando si avvia una scansione di massa: l'elaborazione simultanea da parte del sistema disco di molte richieste simili da parte di utenti diversi influirà negativamente sulle prestazioni dell'intero cloud. Con un alto grado di probabilità, una diminuzione delle prestazioni del sistema di archiviazione interesserà tutti i client. Carichi così improvvisi non piacciono né al fornitore né ai suoi clienti, poiché influenzano i “vicini” nel cloud. Da questo punto di vista gli antivirus tradizionali possono rappresentare un grosso problema.
Quarantena sicura. Se nel sistema viene rilevato un file o un documento potenzialmente infetto da un virus, viene inviato in quarantena. Naturalmente un file infetto può essere eliminato immediatamente, ma spesso ciò non è accettabile per la maggior parte delle aziende. Gli antivirus aziendali che non sono adattati per funzionare nel cloud del provider, di norma, hanno una zona di quarantena comune: tutti gli oggetti infetti vi cadono. Ad esempio quelli rinvenuti sui computer degli utenti aziendali. I clienti del fornitore di servizi cloud “vivono” nei propri segmenti (o tenant). Questi segmenti sono opachi e isolati: i clienti non si conoscono e, ovviamente, non vedono cosa ospitano gli altri nel cloud. Ovviamente, la quarantena generale, a cui potranno accedere tutti gli utenti antivirus nel cloud, potrebbe potenzialmente includere un documento contenente informazioni riservate o un segreto commerciale. Ciò è inaccettabile per il fornitore e i suoi clienti. Pertanto la soluzione può essere solo una: la quarantena personale per ciascun cliente nel suo segmento, alla quale né il fornitore né gli altri clienti hanno accesso.
Politiche di sicurezza individuali. Ogni cliente nel cloud è un'azienda separata, il cui reparto IT definisce le proprie politiche di sicurezza. Ad esempio, gli amministratori definiscono le regole di scansione e pianificano le scansioni antivirus. Di conseguenza, ogni organizzazione deve disporre di un proprio centro di controllo per configurare le politiche antivirus. Allo stesso tempo, le impostazioni specificate non dovrebbero influenzare altri client cloud e il provider dovrebbe essere in grado di verificare che, ad esempio, gli aggiornamenti antivirus vengano eseguiti normalmente per tutte le macchine virtuali client.
Organizzazione della fatturazione e delle licenze. Il modello cloud è caratterizzato dalla flessibilità e prevede il pagamento solo per la quantità di risorse IT utilizzate dal cliente. Se ce n'è bisogno, ad esempio a causa della stagionalità, la quantità di risorse può essere rapidamente aumentata o ridotta, il tutto in base alle attuali esigenze di potenza di calcolo. L'antivirus tradizionale non è così flessibile: di norma, il cliente acquista una licenza per un anno per un numero predeterminato di server o workstation. Gli utenti del cloud si disconnettono e connettono regolarmente altre macchine virtuali a seconda delle loro esigenze attuali: di conseguenza, le licenze antivirus devono supportare lo stesso modello.
La seconda domanda è cosa coprirà esattamente la licenza. L'antivirus tradizionale viene concesso in licenza in base al numero di server o workstation. Le licenze basate sul numero di macchine virtuali protette non sono del tutto adatte al modello cloud. Il cliente può creare un numero qualsiasi di macchine virtuali a lui convenienti dalle risorse disponibili, ad esempio cinque o dieci macchine. Questo numero non è costante per la maggior parte dei clienti; non è possibile per noi, come fornitore, tenere traccia delle sue modifiche. Non esiste alcuna possibilità tecnica di licenza in base alla CPU: i client ricevono processori virtuali (vCPU), che dovrebbero essere utilizzati per la licenza. Pertanto, il nuovo modello di protezione antivirus dovrebbe includere la possibilità per il cliente di determinare il numero richiesto di vCPU per le quali riceverà le licenze antivirus.
Conformità alla legislazione. Un punto importante, poiché le soluzioni utilizzate devono garantire il rispetto dei requisiti del regolatore. Ad esempio, i “residenti” del cloud spesso lavorano con dati personali. In questo caso, il fornitore deve disporre di un segmento cloud certificato separato che rispetti pienamente i requisiti della legge sui dati personali. Quindi le aziende non hanno bisogno di "costruire" autonomamente l'intero sistema per lavorare con i dati personali: acquistare apparecchiature certificate, collegarle, configurarle e sottoporsi alla certificazione. Per la protezione informatica dell'ISPD di tali clienti, l'antivirus deve inoltre soddisfare i requisiti della legislazione russa e disporre di un certificato FSTEC.
Abbiamo esaminato i criteri obbligatori che deve soddisfare la protezione antivirus nel cloud pubblico. Successivamente condivideremo la nostra esperienza nell’adattare una soluzione antivirus affinché funzioni nel cloud del provider.
Come fare amicizia tra antivirus e cloud?
Come ha dimostrato la nostra esperienza, scegliere una soluzione basata sulla descrizione e sulla documentazione è una cosa, ma implementarla nella pratica in un ambiente cloud già funzionante è un compito completamente diverso in termini di complessità. Ti racconteremo cosa abbiamo fatto in pratica e come abbiamo adattato l'antivirus affinché funzioni nel cloud pubblico del provider. Il fornitore della soluzione antivirus era Kaspersky, il cui portafoglio comprende soluzioni di protezione antivirus per ambienti cloud. Abbiamo optato per "Kaspersky Security for Virtualization" (Light Agent).
Include un'unica console di Kaspersky Security Center. Agente Light e macchine virtuali di sicurezza (SVM, Security Virtual Machine) e server di integrazione KSC.
Dopo aver studiato l’architettura della soluzione Kaspersky e aver condotto i primi test insieme agli ingegneri del fornitore, è nata la domanda sull’integrazione del servizio nel cloud. La prima implementazione è stata effettuata congiuntamente presso il sito cloud di Mosca. Ed è quello che abbiamo capito.
Per ridurre al minimo il traffico di rete, si è deciso di posizionare una SVM su ciascun host ESXi e di “legare” la SVM agli host ESXi. In questo caso, i light agent delle macchine virtuali protette accedono alla SVM dell'esatto host ESXi su cui sono in esecuzione. Per il KSC principale è stato selezionato un inquilino amministrativo separato. Di conseguenza, i KSC subordinati si trovano presso gli inquilini di ogni singolo cliente e si rivolgono al KSC superiore situato nel segmento di gestione. Questo schema consente di risolvere rapidamente i problemi che si presentano negli inquilini del cliente.
Oltre ai problemi relativi all'aumento dei componenti della soluzione antivirus stessa, ci siamo trovati di fronte al compito di organizzare l'interazione di rete attraverso la creazione di VxLAN aggiuntive. E sebbene la soluzione fosse originariamente destinata a clienti aziendali con cloud privati, con l'aiuto della competenza ingegneristica e della flessibilità tecnologica di NSX Edge siamo riusciti a risolvere tutti i problemi legati alla separazione dei tenant e delle licenze.
Abbiamo lavorato a stretto contatto con gli ingegneri di Kaspersky. Pertanto, nel processo di analisi dell'architettura della soluzione in termini di interazione di rete tra i componenti del sistema, si è riscontrato che, oltre all'accesso dagli agenti luminosi all'SVM, è necessario anche il feedback, dall'SVM agli agenti luminosi. Questa connettività di rete non è possibile in un ambiente multi-tenant a causa della possibilità di impostazioni di rete identiche di macchine virtuali in diversi tenant cloud. Pertanto, su nostra richiesta, i colleghi del fornitore hanno rielaborato il meccanismo di interazione di rete tra l'agente luminoso e l'SVM in termini di eliminazione della necessità di connettività di rete dall'SVM agli agenti luminosi.
Dopo che la soluzione è stata distribuita e testata sul sito cloud di Mosca, l'abbiamo replicata su altri siti, incluso il segmento cloud certificato. Il servizio è ora disponibile in tutte le regioni del Paese.
Architettura di una soluzione di sicurezza informatica nel quadro di un nuovo approccio
Lo schema generale di funzionamento di una soluzione antivirus in un ambiente cloud pubblico è il seguente:
Schema di funzionamento di una soluzione antivirus in un ambiente cloud pubblico #CloudMTS
Descriviamo le caratteristiche del funzionamento dei singoli elementi della soluzione nel cloud:
• Un'unica console che consente ai client di gestire centralmente il sistema di protezione: eseguire scansioni, controllare gli aggiornamenti e monitorare le zone di quarantena. È possibile configurare politiche di sicurezza individuali all'interno del tuo segmento.
Va notato che, sebbene siamo un fornitore di servizi, non interferiamo con le impostazioni impostate dai clienti. L'unica cosa che possiamo fare è ripristinare le politiche di sicurezza su quelle standard se è necessaria la riconfigurazione. Ciò potrebbe essere necessario, ad esempio, nel caso in cui il cliente li abbia accidentalmente stretti o indeboliti in modo significativo. Un'azienda può sempre ricevere un centro di controllo con policy predefinite, che potrà poi configurare autonomamente. Lo svantaggio di Kaspersky Security Center è che attualmente la piattaforma è disponibile solo per il sistema operativo Microsoft. Sebbene gli agenti leggeri possano funzionare sia con macchine Windows che Linux. Tuttavia, Kaspersky Lab promette che nel prossimo futuro KSC funzionerà con il sistema operativo Linux. Una delle funzioni importanti di KSC è la capacità di gestire la quarantena. Ogni azienda cliente nel nostro cloud ne ha una personale. Questo approccio elimina le situazioni in cui un documento infetto da virus diventa accidentalmente visibile pubblicamente, come potrebbe accadere nel caso di un classico antivirus aziendale con quarantena generale.
• Agenti luminosi. Come parte del nuovo modello, su ogni macchina virtuale viene installato un leggero agente Kaspersky Security. Ciò elimina la necessità di archiviare il database antivirus su ciascuna VM, riducendo la quantità di spazio su disco richiesto. Il servizio è integrato con l'infrastruttura cloud e funziona tramite SVM, che aumenta la densità delle macchine virtuali sull'host ESXi e le prestazioni dell'intero sistema cloud. Il light agent crea una coda di attività per ciascuna macchina virtuale: controlla il file system, la memoria, ecc. Ma l’SVM è responsabile dell’esecuzione di queste operazioni, di cui parleremo più avanti. L'agente funziona anche come firewall, controlla le politiche di sicurezza, invia i file infetti in quarantena e monitora la “salute” generale del sistema operativo su cui è installato. Tutto questo può essere gestito utilizzando la già citata console unica.
• Macchina virtuale di sicurezza. Tutte le attività ad uso intensivo di risorse (aggiornamenti del database antivirus, scansioni pianificate) sono gestite da una Security Virtual Machine (SVM) separata. È responsabile del funzionamento di un motore antivirus completo e dei relativi database. L'infrastruttura IT di un'azienda può includere diverse SVM. Questo approccio aumenta l'affidabilità del sistema: se una macchina si guasta e non risponde per trenta secondi, gli agenti iniziano automaticamente a cercarne un'altra.
• Server di integrazione KSC. Uno dei componenti del KSC principale, che assegna i suoi SVM agli agenti luminosi secondo l'algoritmo specificato nelle sue impostazioni e controlla anche la disponibilità degli SVM. Pertanto, questo modulo software fornisce il bilanciamento del carico su tutte le SVM dell'infrastruttura cloud.
Algoritmo per lavorare nel cloud: ridurre il carico sull'infrastruttura
In generale, l'algoritmo antivirus può essere rappresentato come segue. L'agente accede al file sulla macchina virtuale e lo controlla. Il risultato della verifica viene archiviato in un database comune dei verdetti SVM centralizzato (chiamato Shared Cache), ciascuna voce in cui identifica un campione di file univoco. Questo approccio consente di garantire che lo stesso file non venga scansionato più volte di seguito (ad esempio, se è stato aperto su macchine virtuali diverse). Il file viene sottoposto nuovamente a scansione solo se sono state apportate modifiche o se la scansione è stata avviata manualmente.
Implementazione di una soluzione antivirus nel cloud del provider
L'immagine mostra uno schema generale dell'implementazione della soluzione nel cloud. Il Kaspersky Security Center principale viene distribuito nella zona di controllo del cloud e una singola SVM viene distribuita su ciascun host ESXi utilizzando il server di integrazione KSC (ogni host ESXi ha la propria SVM collegata con impostazioni speciali su VMware vCenter Server). I clienti lavorano nei propri segmenti cloud, dove si trovano le macchine virtuali con agenti. Sono gestiti tramite server KSC individuali subordinati al KSC principale. Se è necessario proteggere un numero limitato di macchine virtuali (fino a 5), al client può essere fornito l'accesso alla console virtuale di uno speciale server KSC dedicato. L'interazione di rete tra i KSC client e il KSC principale, nonché gli agenti luminosi e gli SVM, viene effettuata utilizzando NAT tramite router virtuali client EdgeGW.
Secondo le nostre stime e i risultati dei test dei colleghi del fornitore, Light Agent riduce il carico sull’infrastruttura virtuale del cliente di circa il 25% (rispetto a un sistema che utilizza un software antivirus tradizionale). In particolare, l'antivirus Kaspersky Endpoint Security (KES) standard per ambienti fisici consuma quasi il doppio del tempo della CPU del server (2,95%) rispetto a una soluzione di virtualizzazione leggera basata su agenti (1,67%).
Grafico di confronto del carico della CPU
Una situazione simile si osserva con la frequenza degli accessi in scrittura al disco: per un antivirus classico è 1011 IOPS, per un antivirus cloud è 671 IOPS.
Grafico di confronto della velocità di accesso al disco
Il vantaggio in termini di prestazioni consente di mantenere la stabilità dell'infrastruttura e di utilizzare la potenza di elaborazione in modo più efficiente. Adattandosi per funzionare in un ambiente cloud pubblico, la soluzione non riduce le prestazioni del cloud: controlla centralmente i file e scarica gli aggiornamenti, distribuendo il carico. Ciò significa che da un lato non mancheranno le minacce rilevanti per l’infrastruttura cloud, dall’altro il fabbisogno di risorse per le macchine virtuali sarà ridotto in media del 25% rispetto a un antivirus tradizionale.
In termini di funzionalità entrambe le soluzioni sono molto simili tra loro: di seguito una tabella comparativa. Tuttavia, nel cloud, come mostrano i risultati dei test sopra riportati, è ancora ottimale utilizzare una soluzione per ambienti virtuali.
Sulle tariffe nel quadro del nuovo approccio. Abbiamo deciso di utilizzare un modello che ci permette di ottenere licenze in base al numero di vCPU. Ciò significa che il numero di licenze sarà pari al numero di vCPU. Puoi testare il tuo antivirus lasciando una richiesta .
Nel prossimo articolo sui temi cloud parleremo dell'evoluzione dei WAF cloud e di cosa è meglio scegliere: hardware, software o cloud.
Il testo è stato preparato dai dipendenti del fornitore di servizi cloud #CloudMTS: Denis Myagkov, architetto leader e Alexey Afanasyev, responsabile dello sviluppo del prodotto per la sicurezza delle informazioni.
Fonte: habr.com