ProHoster > Блог > Administrasi > Ngawasi Keamanan Cloud

Ngawasi Keamanan Cloud

Pindhah data lan aplikasi menyang awan menehi tantangan anyar kanggo SOC perusahaan, sing ora tansah siyap kanggo ngawasi infrastruktur wong liya. Miturut Netoskope, perusahaan rata-rata (katon ing AS) nggunakake 1246 layanan awan sing beda-beda, yaiku 22% luwih saka setahun kepungkur. 1246 layanan awan!!! 175 ana hubungane karo layanan HR, 170 ana hubungane karo marketing, 110 ana ing bidang komunikasi lan 76 ana ing keuangan lan CRM. Cisco nggunakake "mung" 700 layanan maya external. Dadi aku rada bingung karo nomer kasebut. Nanging ing kasus apa wae, masalah kasebut ora ana, nanging kanthi kasunyatan manawa awan kasebut wiwit digunakake kanthi aktif dening akeh perusahaan sing pengin duwe kemampuan sing padha kanggo ngawasi infrastruktur awan kaya ing jaringan dhewe. Lan gaya iki akeh - miturut miturut American Chamber of Accounts Ing taun 2023, 1200 pusat data bakal ditutup ing Amerika Serikat (6250 wis ditutup). Nanging transisi menyang awan ora mung "ayo mindhah server menyang panyedhiya eksternal." Arsitektur IT anyar, piranti lunak anyar, pangolahan anyar, watesan anyar ... Kabeh iki ndadekke owah-owahan sing signifikan kanggo karya ora mung IT, nanging uga keamanan informasi. Lan yen panyedhiya wis sinau kanggo ngatasi keamanan awan kasebut dhewe (untung ana akeh rekomendasi), banjur kanthi pemantauan keamanan informasi awan, utamane ing platform SaaS, ana kesulitan sing signifikan, sing bakal kita ucapake.

Ngawasi Keamanan Cloud

Contone, perusahaan sampeyan wis mindhah bagean saka infrastruktur menyang awan... Mungkasi. Ora cara iki. Yen infrastruktur wis ditransfer, lan sampeyan mung mikir babagan carane sampeyan bakal ngawasi, sampeyan wis ilang. Kajaba iku Amazon, Google, utawa Microsoft (banjur nganggo leladen), sampeyan bisa uga ora duwe kemampuan kanggo ngawasi data lan aplikasi sampeyan. Iku apik yen sampeyan diwenehi kesempatan kanggo nggarap log. Kadhangkala data acara keamanan kasedhiya, nanging sampeyan ora bisa ngakses. Contone, Office 365. Yen sampeyan duwe lisensi E1 sing paling murah, acara keamanan ora kasedhiya kanggo sampeyan. Yen sampeyan duwe lisensi E3, data sampeyan disimpen mung 90 dina, lan mung yen sampeyan duwe lisensi E5, durasi log kasedhiya kanggo setahun (Nanging, iki uga duwe nuansa dhewe sing ana gandhengane karo kabutuhan kapisah. njaluk sawetara fungsi kanggo nggarap log saka dhukungan Microsoft). Miturut cara, lisensi E3 luwih ringkih babagan fungsi ngawasi tinimbang Exchange perusahaan. Kanggo entuk level sing padha, sampeyan butuh lisensi E5 utawa lisensi Kepatuhan Lanjutan tambahan, sing mbutuhake dhuwit tambahan sing ora dianggep dadi model finansial kanggo pindhah menyang infrastruktur awan. Lan iki mung minangka salah sawijining conto ngremehake masalah sing ana gandhengane karo pemantauan keamanan informasi awan. Ing artikel iki, tanpa pura-pura lengkap, aku pengin menehi perhatian marang sawetara nuansa sing kudu digatekake nalika milih panyedhiya maya saka sudut pandang keamanan. Lan ing pungkasan artikel kasebut, dhaptar priksa bakal diwenehake sing kudu dirampungake sadurunge nimbang manawa masalah ngawasi keamanan informasi awan wis dirampungake.

Ana sawetara masalah khas sing nyebabake kedadeyan ing lingkungan awan, sing layanan keamanan informasi ora duwe wektu kanggo nanggapi utawa ora weruh kabeh:

  • Log keamanan ora ana. Iki minangka kahanan sing umum, utamane ing antarane pemain anyar ing pasar solusi awan. Nanging sampeyan ora kudu nyerah langsung. Pemain cilik, utamane domestik, luwih sensitif marang syarat pelanggan lan bisa ngetrapake sawetara fungsi sing dibutuhake kanthi cepet kanthi ngganti peta dalan sing disetujoni kanggo produke. Ya, iki ora bakal dadi analog saka GuardDuty saka Amazon utawa modul "Perlindungan Proaktif" saka Bitrix, nanging paling ora ana.
  • Keamanan informasi ora ngerti ngendi log disimpen utawa ora ana akses menyang log kasebut. Ing kene perlu negosiasi karo panyedhiya layanan maya - mbok menawa dheweke bakal menehi informasi kasebut yen dheweke nganggep klien penting kanggo dheweke. Nanging umume, ora apik banget nalika akses menyang log diwenehake "kanthi keputusan khusus."
  • Uga kedadeyan yen panyedhiya maya duwe log, nanging nyedhiyakake pemantauan lan rekaman acara sing winates, sing ora cukup kanggo ndeteksi kabeh kedadeyan. Contone, sampeyan mung bisa nampa log pangowahan ing situs web utawa log nyoba otentikasi pangguna, nanging ora acara liyane, kayata lalu lintas jaringan, sing bakal ndhelikake saka sampeyan kabeh lapisan acara sing ciri nyoba kanggo hack infrastruktur maya.
  • Ana log, nanging akses kasebut angel diotomatisasi, sing meksa supaya bisa dipantau ora terus-terusan, nanging kanthi jadwal. Lan yen sampeyan ora bisa ngundhuh log kanthi otomatis, banjur ndownload log, contone, ing format Excel (kaya karo sawetara panyedhiya solusi maya domestik), malah bisa mimpin menyang wegah ing bagean layanan keamanan informasi perusahaan kanggo tinker karo wong-wong mau.
  • Ora ngawasi log. Iki bisa uga minangka alasan sing paling ora jelas kanggo kedadeyan insiden keamanan informasi ing lingkungan awan. Iku misale jek sing ana log, lan iku bisa kanggo otomatis akses kanggo wong-wong mau, nanging ora ana sing nindakake iki. Kenging punapa?

Konsep keamanan awan bareng

Transisi menyang awan tansah golek imbangan antarane kepinginan kanggo njaga kontrol infrastruktur lan nransfer menyang tangan sing luwih profesional saka panyedhiya maya sing duwe spesialisasi kanggo njaga. Lan ing bidang keamanan awan, keseimbangan iki uga kudu digoleki. Kajaba iku, gumantung saka model pangiriman layanan awan sing digunakake (IaaS, PaaS, SaaS), imbangan iki bakal beda-beda saben wektu. Ing kasus apa wae, kita kudu ngelingi manawa kabeh panyedhiya awan saiki ngetutake sing diarani tanggung jawab bareng lan model keamanan informasi bareng. Awan tanggung jawab kanggo sawetara perkara, lan kanggo liyane, klien tanggung jawab, nyelehake data, aplikasi, mesin virtual lan sumber daya liyane ing awan. Ora sembrono nyana yen kanthi pindhah menyang awan, kita bakal ngalih kabeh tanggung jawab menyang panyedhiya. Nanging uga ora wicaksana kanggo mbangun kabeh keamanan dhewe nalika pindhah menyang méga. Imbangan dibutuhake, sing bakal gumantung ing pirang-pirang faktor: - strategi manajemen risiko, model ancaman, mekanisme keamanan sing kasedhiya kanggo panyedhiya maya, undang-undang, lsp.

Ngawasi Keamanan Cloud

Contone, klasifikasi data sing di-host ing awan mesthi dadi tanggung jawab pelanggan. Panyedhiya maya utawa panyedhiya layanan eksternal mung bisa nulungi alat sing bakal mbantu menehi tandha data ing méga, ngenali pelanggaran, mbusak data sing nglanggar hukum, utawa nutupi nganggo cara siji utawa liyane. Ing sisih liya, keamanan fisik tansah dadi tanggung jawab panyedhiya maya, sing ora bisa dituduhake karo klien. Nanging kabeh sing ana ing antarane data lan infrastruktur fisik sabenere dadi subyek diskusi ing artikel iki. Contone, kasedhiyan maya minangka tanggung jawab panyedhiya, lan nyetel aturan firewall utawa ngaktifake enkripsi minangka tanggung jawab klien. Ing artikel iki, kita bakal nyoba kanggo ndeleng apa mekanisme pemantauan keamanan informasi sing diwenehake saiki dening macem-macem panyedhiya maya populer ing Rusia, apa fitur sing digunakake, lan nalika iku worth looking menyang solusi overlay external (contone, Cisco E- mail Security) sing nggedhekake kemampuan maya sampeyan babagan keamanan siber. Ing sawetara kasus, utamané yen sampeyan tindakake strategi multi-awan, sampeyan ora duwe pilihan nanging nggunakake solusi ngawasi keamanan informasi external ing sawetara lingkungan maya bebarengan (Contone, Cisco CloudLock utawa Cisco Stealthwatch Cloud). Ya, ing sawetara kasus, sampeyan bakal ngerti manawa panyedhiya maya sing sampeyan pilih (utawa dileksanakake kanggo sampeyan) ora menehi kemampuan ngawasi keamanan informasi. Iki ora nyenengake, nanging uga ora sethithik, amarga ngidini sampeyan nemtokake tingkat risiko sing ana gandhengane karo nggarap awan iki.

Siklus urip ngawasi Keamanan Cloud

Kanggo ngawasi keamanan awan sing sampeyan gunakake, sampeyan mung duwe telung pilihan:

  • ngandelake alat sing diwenehake dening panyedhiya awan,
  • nggunakake solusi saka pihak katelu sing bakal ngawasi platform IaaS, PaaS utawa SaaS sing sampeyan gunakake,
  • mbangun infrastruktur pemantauan awan sampeyan dhewe (mung kanggo platform IaaS/PaaS).

Ayo ndeleng apa fitur saben opsi iki. Nanging pisanan, kita kudu ngerti kerangka umum sing bakal digunakake nalika ngawasi platform awan. Aku bakal nyorot 6 komponen utama proses pemantauan keamanan informasi ing awan:

  • Persiapan infrastruktur. Nemtokake aplikasi lan infrastruktur sing dibutuhake kanggo ngumpulake acara sing penting kanggo keamanan informasi menyang panyimpenan.
  • Koleksi. Ing tahap iki, acara keamanan dikumpulake saka macem-macem sumber kanggo transmisi sakteruse kanggo proses, panyimpenan lan analisis.
  • Perawatan. Ing tataran iki, data diowahi lan diperkaya kanggo nggampangake analisis sabanjure.
  • Lumbung. Komponen iki tanggung jawab kanggo panyimpenan jangka pendek lan jangka panjang data sing diproses lan mentah sing diklumpukake.
  • Analisis. Ing tahap iki, sampeyan duwe kemampuan kanggo ndeteksi kedadeyan lan nanggapi kanthi otomatis utawa manual.
  • Nglaporake. Tahap iki mbantu ngrumusake indikator utama kanggo para pemangku kepentingan (manajemen, auditor, panyedhiya maya, klien, lsp.) sing mbantu kita nggawe keputusan tartamtu, contone, ngganti panyedhiya utawa nguatake keamanan informasi.

Ngerteni komponen kasebut bakal ngidini sampeyan mutusake kanthi cepet ing mangsa ngarep apa sing bisa dijupuk saka panyedhiya, lan apa sing kudu ditindakake dhewe utawa kanthi keterlibatan konsultan eksternal.

Layanan awan sing dibangun

Aku wis nulis ing ndhuwur manawa akeh layanan awan saiki ora nyedhiyakake kemampuan ngawasi keamanan informasi. Umumé, dheweke ora nggatekake topik keamanan informasi. Contone, salah sawijining layanan Rusia sing populer kanggo ngirim laporan menyang lembaga pemerintah liwat Internet (aku ora bakal nyebutake jenenge). Kabeh bagean babagan keamanan layanan iki adhedhasar panggunaan CIPF sing wis disertifikasi. Bagean keamanan informasi layanan awan domestik liyane kanggo manajemen dokumen elektronik ora beda. Iki ngomong babagan sertifikat kunci umum, kriptografi sing disertifikasi, ngilangi kerentanan web, perlindungan marang serangan DDoS, nggunakake firewall, serep, lan uga audit keamanan informasi biasa. Nanging ora ana tembung babagan ngawasi, utawa babagan kemungkinan entuk akses menyang acara keamanan informasi sing bisa dadi kapentingan kanggo klien panyedhiya layanan iki.

Umumé, kanthi cara panyedhiya maya njlèntrèhaké masalah keamanan informasi ing situs web lan ing dokumentasi, sampeyan bisa ngerti sepira serius masalah iki. Contone, yen sampeyan maca manual kanggo produk "Kantorku", ora ana tembung babagan keamanan, nanging ing dokumentasi kanggo produk kapisah "Kantorku. KS3", dirancang kanggo nglindhungi saka akses ora sah, ana listing biasanipun saka TCTerms urutan 17 saka FSTEC, kang "Kantor Kula.KS3" dileksanakake, nanging ora diterangake carane ngleksanakake lan, paling Jahwéh, carane nggabungake mekanisme kasebut karo keamanan informasi perusahaan. Mungkin dokumentasi kasebut ana, nanging aku ora nemokake ing domain umum, ing situs web "Kantorku". Senajan mungkin aku mung ora duwe akses menyang informasi rahasia iki?..

Ngawasi Keamanan Cloud

Kanggo Bitrix, kahanan kasebut luwih apik. Dokumentasi kasebut nggambarake format log acara lan, sing menarik, log intrusi, sing ngemot acara sing ana gandhengane karo ancaman potensial menyang platform awan. Saka ing kono sampeyan bisa narik IP, jeneng pangguna utawa tamu, sumber acara, wektu, Agen Panganggo, jinis acara, lsp. Bener, sampeyan bisa nggarap acara kasebut saka panel kontrol awan kasebut dhewe, utawa ngunggah data ing format MS Excel. Saiki angel ngotomatisasi karya karo log Bitrix lan sampeyan kudu nindakake sawetara karya kanthi manual (ngunggah laporan lan dimuat menyang SIEM). Nanging yen kita ngelingi sing nganti relatif bubar kesempatan kuwi ora ana, banjur iki kemajuan gedhe. Ing wektu sing padha, aku pengin nyathet manawa akeh panyedhiya maya manca nawakake fungsi sing padha "kanggo pamula" - ndeleng log kanthi mripat liwat panel kontrol, utawa upload data menyang dhewe (nanging, umume ngunggah data ing . format csv, dudu Excel).

Ngawasi Keamanan Cloud

Tanpa nimbang opsi ora ana log, panyedhiya awan biasane menehi telung pilihan kanggo ngawasi acara keamanan - dashboard, unggahan data lan akses API. Pisanan misale jek ngrampungake akeh masalah kanggo sampeyan, nanging iki ora sakabehe bener - yen sampeyan duwe sawetara majalah, sampeyan kudu ngalih ing antarane layar sing nampilake, ilang gambar sakabèhé. Kajaba iku, panyedhiya maya ora mungkin menehi sampeyan kemampuan kanggo nggandhengake acara keamanan lan umume nganalisa saka sudut pandang keamanan (biasane sampeyan ngurusi data mentah, sing sampeyan kudu ngerti dhewe). Ana pangecualian lan kita bakal ngomong babagan luwih lanjut. Pungkasan, sampeyan kudu takon acara apa sing direkam dening panyedhiya awan sampeyan, ing format apa, lan kepiye carane cocog karo proses pemantauan keamanan informasi sampeyan? Contone, identifikasi lan otentikasi pangguna lan tamu. Bitrix sing padha ngidini sampeyan, adhedhasar acara kasebut, kanggo ngrekam tanggal lan wektu acara, jeneng pangguna utawa tamu (yen sampeyan duwe modul "Web Analytics"), obyek sing diakses lan unsur liyane sing khas kanggo situs web. . Nanging layanan keamanan informasi perusahaan mbutuhake informasi babagan apa pangguna ngakses awan saka piranti sing dipercaya (contone, ing jaringan perusahaan, tugas iki ditindakake dening Cisco ISE). Kepiye tugas sing gampang kaya fungsi geo-IP, sing bakal mbantu nemtokake manawa akun pangguna layanan awan wis dicolong? Lan sanajan panyedhiya awan nyedhiyakake sampeyan, iki ora cukup. Cisco CloudLock padha ora mung njelasno geolocation, nanging nggunakake learning machine iki lan nganalisa data sajarah kanggo saben pangguna lan ngawasi macem-macem anomali ing identifikasi lan bukti asli nyoba. Mung MS Azure nduweni fungsi sing padha (yen sampeyan duwe langganan sing cocog).

Ngawasi Keamanan Cloud

Ana kangelan liyane - amarga kanggo akeh panyedhiya maya ngawasi keamanan informasi minangka topik anyar sing lagi wae miwiti kanggo menehi hasil karo, padha terus ngganti soko ing solusi sing. Dina iki padha duwe siji versi API, sesuk liyane, sesuk katelu. Sampeyan uga kudu disiapake kanggo iki. Padha bener karo fungsi, sing bisa diganti, sing kudu digatekake ing sistem pemantauan keamanan informasi sampeyan. Contone, Amazon wiwitane duwe layanan pemantauan acara awan sing kapisah-AWS CloudTrail lan AWS CloudWatch. Banjur layanan kapisah kanggo ngawasi acara keamanan informasi muncul - AWS GuardDuty. Sawise sawetara wektu, Amazon ngluncurake sistem manajemen anyar, Amazon Security Hub, sing kalebu analisis data sing ditampa saka GuardDuty, Inspektur Amazon, Amazon Macie lan sawetara liyane. Conto liyane yaiku alat integrasi log Azure karo SIEM - AzLog. Iki digunakake kanthi aktif dening akeh vendor SIEM, nganti ing 2018 Microsoft ngumumake mandhek pembangunan lan dhukungan, sing ngadhepi akeh klien sing nggunakake alat iki kanthi masalah (kita bakal ngomong babagan carane ngrampungake mengko).

Mula, ngawasi kanthi ati-ati kabeh fitur ngawasi sing ditawakake panyedhiya awan sampeyan. Utawa ngandelake panyedhiya solusi eksternal sing bakal dadi perantara ing antarane SOC lan awan sing pengin dipantau. Ya, bakal luwih larang (sanajan ora mesthi), nanging sampeyan bakal ngalihake kabeh tanggung jawab menyang pundhak wong liya. Utawa ora kabeh?.. Ayo elinga konsep keamanan sing dienggo bareng lan ngerti yen kita ora bisa ngowahi apa-apa - kita kudu ngerti kanthi mandiri kepiye panyedhiya maya sing beda nyedhiyakake pemantauan keamanan informasi data, aplikasi, mesin virtual lan sumber daya liyane. tuan rumah ing méga. Lan kita bakal miwiti apa sing ditawakake Amazon ing bagean iki.

Conto: Pemantauan keamanan informasi ing IaaS adhedhasar AWS

Ya, ya, aku ngerti yen Amazon dudu conto sing paling apik amarga kasunyatane yen iki minangka layanan Amerika lan bisa diblokir minangka bagian saka perang nglawan ekstremisme lan panyebaran informasi sing dilarang ing Rusia. Nanging ing publikasi iki, aku mung pengin nuduhake kepiye platform awan beda-beda ing kemampuan ngawasi keamanan informasi lan apa sing kudu digatekake nalika mindhah proses utama menyang awan saka sudut pandang keamanan. Ya, yen sawetara pangembang solusi awan Rusia sinau babagan sing migunani kanggo awake dhewe, mula bakal apik banget.

Ngawasi Keamanan Cloud

Wangsulan: Bab ingkang pisanan ngomong iku Amazon dudu beteng impenetrable. Macem-macem kedadean ajeg kedaden kanggo klien. Contone, jeneng, alamat, tanggal lair, lan nomer telpon saka 198 yuta pamilih dicolong saka Deep Root Analytics. Perusahaan Israel Nice Systems nyolong 14 yuta cathetan pelanggan Verizon. Nanging, kemampuan sing dibangun ing AWS ngidini sampeyan ndeteksi macem-macem kedadeyan. Tuladhane:

  • dampak ing infrastruktur (DDoS)
  • kompromi simpul (injeksi perintah)
  • kompromi akun lan akses ora sah
  • konfigurasi lan kerentanan sing salah
  • antarmuka ora aman lan API.

Bedane iki amarga kasunyatane, kaya sing wis ditemokake ing ndhuwur, pelanggan dhewe tanggung jawab kanggo keamanan data pelanggan. Lan yen dheweke ora keganggu nguripake mekanisme protèktif lan ora ngaktifake alat ngawasi, mula dheweke mung bakal sinau babagan kedadeyan kasebut saka media utawa saka klien.

Kanggo ngenali kedadeyan, sampeyan bisa nggunakake macem-macem layanan pemantauan sing beda-beda sing dikembangake dening Amazon (sanajan asring dilengkapi karo alat eksternal kayata osquery). Dadi, ing AWS, kabeh tumindak pangguna dipantau, preduli saka cara ditindakake - liwat konsol manajemen, baris perintah, SDK utawa layanan AWS liyane. Kabeh cathetan aktivitas saben akun AWS (kalebu jeneng pangguna, tumindak, layanan, parameter aktivitas, lan asil) lan panggunaan API kasedhiya liwat AWS CloudTrail. Sampeyan bisa ndeleng acara kasebut (kayata login konsol AWS IAM) saka konsol CloudTrail, nganalisa kanthi nggunakake Amazon Athena, utawa "outsource" menyang solusi eksternal kayata Splunk, AlienVault, lsp. Log AWS CloudTrail dhewe diselehake ing ember AWS S3 sampeyan.

Ngawasi Keamanan Cloud

Loro layanan AWS liyane nyedhiyakake sawetara kapabilitas pemantauan penting liyane. Kaping pisanan, Amazon CloudWatch minangka layanan ngawasi kanggo sumber daya lan aplikasi AWS sing, ing antarane, ngidini sampeyan ngenali macem-macem anomali ing awan sampeyan. Kabeh layanan AWS sing dibangun, kayata Amazon Elastic Compute Cloud (server), Amazon Relational Database Service (database), Amazon Elastic MapReduce (analisis data), lan 30 layanan Amazon liyane, nggunakake Amazon CloudWatch kanggo nyimpen log. Pangembang bisa nggunakake API mbukak saka Amazon CloudWatch kanggo nambah fungsi ngawasi log menyang aplikasi lan layanan khusus, supaya bisa nggedhekake ruang lingkup analisis acara ing konteks keamanan.

Ngawasi Keamanan Cloud

Kapindho, layanan VPC Flow Logs ngidini sampeyan nganalisa lalu lintas jaringan sing dikirim utawa ditampa dening server AWS (eksternal utawa internal), uga ing antarane layanan mikro. Nalika sumber daya AWS VPC sampeyan sesambungan karo jaringan, VPC Flow Logs nyathet rincian babagan lalu lintas jaringan, kalebu antarmuka jaringan sumber lan tujuan, uga alamat IP, port, protokol, jumlah bita, lan jumlah paket sing sampeyan lakoni. weruh. Sing berpengalaman karo keamanan jaringan lokal bakal ngerteni iki minangka analog karo benang NetFlow, sing bisa digawe dening switch, router lan firewall kelas perusahaan. Log iki penting kanggo tujuan ngawasi keamanan informasi amarga, ora kaya acara babagan tumindak pangguna lan aplikasi, uga ngidini sampeyan ora kantun interaksi jaringan ing lingkungan maya pribadi virtual AWS.

Ngawasi Keamanan Cloud

Ringkesan, telung layanan AWS iki-AWS CloudTrail, Amazon CloudWatch, lan VPC Flow Logs-bareng nyedhiyakake wawasan sing cukup kuat babagan panggunaan akun, prilaku pangguna, manajemen infrastruktur, aktivitas aplikasi lan layanan, lan aktivitas jaringan. Contone, bisa digunakake kanggo ndeteksi anomali ing ngisor iki:

  • Nyoba kanggo mindhai situs, nelusuri backdoors, nelusuri vulnerabilities liwat bursts saka "404 kasalahan".
  • Serangan injeksi (contone, injeksi SQL) liwat bledosan "500 kasalahan".
  • Alat serangan sing dikenal yaiku sqlmap, nikto, w3af, nmap, lsp. liwat analisis lapangan Agen Panganggo.

Layanan Web Amazon uga wis ngembangake layanan liyane kanggo tujuan keamanan siber sing ngidini sampeyan ngatasi akeh masalah liyane. Contone, AWS duwe layanan sing dibangun kanggo kabijakan lan konfigurasi audit - AWS Config. Layanan iki nyedhiyakake audit sumber daya AWS lan konfigurasi sing terus-terusan. Coba conto sing prasaja: Coba sampeyan pengin mesthekake yen tembung sandhi pangguna dipateni ing kabeh server sampeyan lan akses mung bisa adhedhasar sertifikat. AWS Config nggampangake mriksa iki kanggo kabeh server sampeyan. Ana kabijakan liyane sing bisa ditrapake ing server maya sampeyan: "Ora ana server sing bisa nggunakake port 22", "Mung administrator sing bisa ngganti aturan firewall" utawa "Mung pangguna Ivashko sing bisa nggawe akun panganggo anyar, lan dheweke bisa nindakake mung dina Selasa. " Ing mangsa panas 2016, layanan AWS Config ditambahi kanggo ngotomatisasi deteksi nglanggar kabijakan sing dikembangake. AWS Config Rules minangka panjalukan konfigurasi sing terus-terusan kanggo layanan Amazon sing sampeyan gunakake, sing bakal ngasilake acara yen kabijakan sing cocog dilanggar. Contone, tinimbang nglakokake pitakon AWS Config kanthi periodik kanggo verifikasi manawa kabeh disk ing server virtual dienkripsi, Aturan AWS Config bisa digunakake kanggo mriksa disk server kanthi terus-terusan kanggo mesthekake yen kondisi iki bisa ditindakake. Lan, sing paling penting, ing konteks publikasi iki, pelanggaran apa wae sing nyebabake acara sing bisa dianalisis dening layanan keamanan informasi sampeyan.

Ngawasi Keamanan Cloud

AWS uga padha karo solusi keamanan informasi perusahaan tradisional, sing uga ngasilake acara keamanan sing bisa lan kudu dianalisis:

  • Deteksi Intrusi - AWS GuardDuty
  • Kontrol Bocor Informasi - AWS Macie
  • EDR (sanajan ngomong babagan titik pungkasan ing awan rada aneh) - AWS Cloudwatch + open source osquery utawa solusi GRR
  • Analisis Netflow - AWS Cloudwatch + AWS VPC Flow
  • Analisis DNS - AWS Cloudwatch + AWS Route53
  • AD - Layanan Direktori AWS
  • Manajemen Akun - AWS IAM
  • SSO - AWS SSO
  • analisis keamanan - AWS Inspektur
  • manajemen konfigurasi - AWS Config
  • WAF - AWS WAF.

Aku ora bakal njlèntrèhaké kanthi rinci kabeh layanan Amazon sing bisa migunani ing konteks keamanan informasi. Ingkang utama yaiku mangertos manawa kabeh mau bisa ngasilake acara sing bisa lan kudu dianalisa ing konteks keamanan informasi, nggunakake kanggo tujuan iki kapabilitas Amazon dhewe lan solusi eksternal, contone, SIEM, sing bisa njupuk acara keamanan menyang pusat pemantauan lan analisa ing kana bebarengan karo acara saka layanan awan liyane utawa saka infrastruktur internal, perimeter utawa piranti seluler.

Ngawasi Keamanan Cloud

Ing kasus apa wae, kabeh diwiwiti kanthi sumber data sing nyedhiyakake acara keamanan informasi. Sumber kasebut kalebu, nanging ora winates ing:

  • CloudTrail - Panggunaan API lan Tindakan Panganggo
  • Penasihat Terpercaya - mriksa keamanan babagan praktik paling apik
  • Config - persediaan lan konfigurasi akun lan setelan layanan
  • VPC Flow Logs - sambungan menyang antarmuka virtual
  • IAM - layanan identifikasi lan otentikasi
  • Log Akses ELB - Load Balancer
  • Inspektur - kerentanan aplikasi
  • S3 - panyimpenan file
  • CloudWatch - Aktivitas Aplikasi
  • SNS minangka layanan notifikasi.

Amazon, nalika nawakake macem-macem sumber acara lan alat kanggo generasi, kemampuane banget kanggo nganalisa data sing diklumpukake ing konteks keamanan informasi. Sampeyan kudu sinau kanthi mandiri log sing kasedhiya, goleki indikasi kompromi sing cocog. Hub Keamanan AWS, sing bubar diluncurake Amazon, tujuane kanggo ngatasi masalah iki kanthi dadi SIEM maya kanggo AWS. Nanging nganti saiki mung ing wiwitan perjalanan lan diwatesi kanthi jumlah sumber sing bisa digunakake lan watesan liyane sing ditetepake dening arsitektur lan langganan Amazon dhewe.

Conto: Pemantauan keamanan informasi ing IaaS adhedhasar Azure

Aku ora pengin debat dawa babagan endi saka telung panyedhiya maya (Amazon, Microsoft utawa Google) sing luwih apik (utamane amarga saben wong isih duwe spesifik spesifik lan cocok kanggo ngrampungake masalah dhewe); Ayo fokus ing kemampuan ngawasi keamanan informasi sing diwenehake para pemain kasebut. Sampeyan kudu ngakoni manawa Amazon AWS minangka salah sawijining sing pertama ing segmen iki lan mulane wis maju paling adoh babagan fungsi keamanan informasi (sanajan akeh sing ngakoni yen angel digunakake). Nanging iki ora ateges kita bakal nglirwakake kesempatan sing diwenehake Microsoft lan Google.

Produk Microsoft mesthi dibedakake kanthi "keterbukaan" lan ing Azure kahanane padha. Contone, yen AWS lan GCP tansah nerusake saka konsep "apa sing ora diijini dilarang," banjur Azure duwe pendekatan ngelawan pas. Contone, nalika nggawe jaringan virtual ing méga lan mesin virtual ing, kabeh port lan protokol mbukak lan diijini minangka standar. Mulane, sampeyan kudu nglampahi sethitik liyane gaweyan ing persiyapan awal saka sistem kontrol akses ing maya saka Microsoft. Lan iki uga ngetrapake syarat sing luwih ketat kanggo sampeyan babagan kegiatan ngawasi ing awan Azure.

Ngawasi Keamanan Cloud

AWS nduweni kekhasan sing ana gandhengane karo kasunyatan manawa sampeyan ngawasi sumber daya virtual, yen ana ing wilayah sing beda-beda, mula sampeyan bakal kesulitan nggabungake kabeh acara lan analisis terpadu, kanggo ngilangi sing sampeyan kudu nggunakake macem-macem trik, kayata Gawe kode dhewe kanggo AWS Lambda sing bakal ngeterake acara antarane wilayah. Azure ora duwe masalah iki - mekanisme Log Aktivitas nglacak kabeh kegiatan ing kabeh organisasi tanpa watesan. Sing padha ditrapake kanggo AWS Security Hub, sing bubar dikembangake dening Amazon kanggo nggabungake akeh fungsi keamanan ing sawijining pusat keamanan, nanging mung ing wilayahe, nanging ora cocog kanggo Rusia. Azure duwe Pusat Keamanan dhewe, sing ora kaiket dening watesan regional, nyedhiyakake akses menyang kabeh fitur keamanan platform maya. Kajaba iku, kanggo tim lokal sing beda-beda bisa nyedhiyakake kapabilitas protèktif dhewe, kalebu acara keamanan sing dikelola. Hub Keamanan AWS isih dadi padha karo Pusat Keamanan Azure. Nanging iku worth nambah fly ing ointment - sampeyan bisa remet metu saka Azure akeh sing sadurunge diterangake ing AWS, nanging iki paling trep mung kanggo Azure AD, Azure Monitor lan Azure Keamanan Center. Kabeh mekanisme keamanan Azure liyane, kalebu analisis acara keamanan, durung dikelola kanthi cara sing paling trep. Masalah kasebut sebagian ditanggulangi dening API, sing ngliwati kabeh layanan Microsoft Azure, nanging iki mbutuhake gaweyan tambahan saka sampeyan kanggo nggabungake awan sampeyan karo SOC lan anané spesialis sing mumpuni (nyatane, kaya SIEM liyane sing bisa digunakake. API awan). Sawetara SIEM, sing bakal dibahas mengko, wis ndhukung Azure lan bisa ngotomatisasi tugas ngawasi, nanging uga duwe kesulitan dhewe - ora kabeh bisa ngumpulake kabeh log sing duwe Azure.

Ngawasi Keamanan Cloud

Koleksi lan ngawasi acara ing Azure diwenehake nggunakake layanan Azure Monitor, sing minangka alat utama kanggo ngumpulake, nyimpen lan nganalisa data ing awan Microsoft lan sumber daya - repositori Git, wadhah, mesin virtual, aplikasi, lsp. Kabeh data sing diklumpukake dening Azure Monitor dipérang dadi rong kategori - metrik, diklumpukake ing wektu nyata lan njlèntrèhaké pratondho kinerja tombol saka Azure maya, lan log, ngemot data diatur menyang cathetan characterizing aspèk tartamtu saka kegiatan sumber daya lan layanan Azure. Kajaba iku, nggunakake API Data Collector, layanan Azure Monitor bisa ngumpulake data saka sumber REST kanggo mbangun skenario pemantauan dhewe.

Ngawasi Keamanan Cloud

Ing ngisor iki sawetara sumber acara keamanan sing ditawakake Azure lan sampeyan bisa ngakses liwat Azure Portal, CLI, PowerShell, utawa REST API (lan sawetara mung liwat Azure Monitor/Insight API):

  • Log Aktivitas - log iki mangsuli pitakon klasik "sapa," "apa," lan "kapan" babagan operasi nulis (PUT, POST, DELETE) ing sumber daya awan. Acara sing ana gandhengane karo akses maca (GET) ora kalebu ing log iki, kaya sawetara liyane.
  • Log Diagnostik - ngemot data babagan operasi kanthi sumber daya tartamtu sing kalebu ing langganan sampeyan.
  • Laporan Azure AD - ngemot aktivitas pangguna lan aktivitas sistem sing ana gandhengane karo manajemen grup lan pangguna.
  • Windows Event Log lan Linux Syslog - ngemot acara saka mesin virtual sing di-host ing méga.
  • Metrik - ngemot telemetri babagan kinerja lan status kesehatan layanan lan sumber daya awan sampeyan. Diukur saben menit lan disimpen. ing 30 dina.
  • Log Aliran Grup Keamanan Jaringan - ngemot data babagan acara keamanan jaringan sing diklumpukake nggunakake layanan Network Watcher lan ngawasi sumber daya ing tingkat jaringan.
  • Log Panyimpenan - ngemot acara sing ana gandhengane karo akses menyang fasilitas panyimpenan.

Ngawasi Keamanan Cloud

Kanggo ngawasi, sampeyan bisa nggunakake SIEM eksternal utawa Azure Monitor sing dibangun lan ekstensi. Kita bakal ngomong babagan sistem manajemen acara keamanan informasi mengko, nanging saiki ayo ndeleng apa sing ditawakake Azure kanggo analisis data ing konteks keamanan. Layar utama kanggo kabeh sing gegandhengan karo keamanan ing Azure Monitor yaiku Log Analytics Security and Audit Dashboard (versi gratis ndhukung panyimpenan acara sing winates mung sajrone seminggu). Dashboard iki dipérang dadi 5 wilayah utama sing nggambarake statistik ringkesan apa sing kedadeyan ing lingkungan maya sing sampeyan gunakake:

  • Domain Keamanan - indikator kuantitatif kunci sing ana gandhengane karo keamanan informasi - jumlah kedadeyan, jumlah simpul sing dikompromi, simpul sing ora ditambal, acara keamanan jaringan, lsp.
  • Masalah Kacathet - nampilake nomer lan pentinge masalah keamanan informasi aktif
  • Deteksi - nampilake pola serangan sing digunakake marang sampeyan
  • Intelijen Ancaman - nampilake informasi geografis ing kelenjar eksternal sing nyerang sampeyan
  • Pitakon keamanan umum - pitakon khas sing bakal mbantu sampeyan ngawasi keamanan informasi kanthi luwih apik.

Ngawasi Keamanan Cloud

Ekstensi Azure Monitor kalebu Azure Key Vault (proteksi kunci kriptografi ing méga), Assessment Malware (analisis perlindungan marang kode angkoro ing mesin virtual), Azure Application Gateway Analytics (analisis, antara liya, log firewall awan), lsp. . Piranti kasebut, ditambah karo aturan tartamtu kanggo ngolah acara, ngidini sampeyan nggambarake macem-macem aspek kegiatan layanan awan, kalebu keamanan, lan ngenali panyimpangan tartamtu saka operasi. Nanging, kaya sing asring kedadeyan, fungsi tambahan apa wae mbutuhake langganan mbayar sing cocog, sing mbutuhake investasi finansial sing cocog saka sampeyan, sing kudu direncanakake sadurunge.

Ngawasi Keamanan Cloud

Azure duwe sawetara kemampuan ngawasi ancaman sing digabungake menyang Azure AD, Azure Monitor, lan Pusat Keamanan Azure. Antarane wong-wong mau, contone, deteksi interaksi mesin virtual karo IP angkoro dikenal (amarga anané integrasi karo layanan Ancaman Intelligence saka Microsoft), deteksi malware ing infrastruktur maya kanthi nampa weker saka mesin virtual sing di-host ing méga, sandhi. serangan guessing ” ing mesin virtual, kerentanan ing konfigurasi sistem identifikasi pangguna, mlebu menyang sistem saka anonim utawa simpul sing kena infeksi, bocor akun, mlebu menyang sistem saka lokasi sing ora biasa, lsp. Azure dina iki minangka salah sawijining panyedhiya awan sing nawakake kemampuan Ancaman Intelijen sing dibangun kanggo nambah acara keamanan informasi sing diklumpukake.

Ngawasi Keamanan Cloud

Kaya kasebut ing ndhuwur, fungsi keamanan lan, minangka asil, acara keamanan sing digawe dening iku ora kasedhiya kanggo kabeh kedhaftar merata, nanging mbutuhake langganan tartamtu sing kalebu fungsi sing perlu, kang njedulake acara cocok kanggo ngawasi keamanan informasi. Contone, sawetara fungsi sing diterangake ing paragraf sadurunge kanggo ngawasi anomali ing akun mung kasedhiya ing lisensi premium P2 kanggo layanan Azure AD. Tanpa iku, sampeyan, kaya ing kasus AWS, kudu nganalisa acara keamanan sing diklumpukake "kanthi manual". Lan, uga, gumantung saka jinis lisensi Azure AD, ora kabeh acara bakal kasedhiya kanggo dianalisis.

Ing portal Azure, sampeyan bisa ngatur loro pitakon telusuran kanggo log sing menarik kanggo sampeyan lan nyiyapake dashboard kanggo nggambarake indikator keamanan informasi utama. Kajaba iku, sampeyan bisa milih ekstensi Azure Monitor, sing ngidini sampeyan nggedhekake fungsi log Azure Monitor lan entuk analisis acara sing luwih jero saka sudut pandang keamanan.

Ngawasi Keamanan Cloud

Yen sampeyan butuh ora mung kemampuan kanggo nggarap log, nanging uga pusat keamanan lengkap kanggo platform maya Azure, kalebu manajemen kabijakan keamanan informasi, mula sampeyan bisa ngomong babagan kudu nggarap Pusat Keamanan Azure, sing paling akeh fungsi sing migunani. kasedhiya kanggo sawetara dhuwit, Contone, deteksi ancaman, ngawasi njaba Azure, Assessment selaras, etc. (ing versi free, sampeyan mung duwe akses menyang Assessment keamanan lan Rekomendasi kanggo mbusak masalah dikenali). Iku nggabungake kabeh masalah keamanan ing sak panggonan. Nyatane, kita bisa ngomong babagan tingkat keamanan informasi sing luwih dhuwur tinimbang sing diwenehake dening Azure Monitor, amarga ing kasus iki data sing diklumpukake ing pabrik awan sampeyan diperkaya nggunakake akeh sumber, kayata Azure, Office 365, Microsoft CRM online, Microsoft Dynamics AX , outlook .com, MSN.com, Microsoft Digital Crimes Unit (DCU) lan Microsoft Security Response Center (MSRC), ing ngendi macem-macem machine learning lan algoritma analytics prilaku sing canggih, sing pungkasane kudu ningkatake efisiensi ndeteksi lan nanggapi ancaman. .

Azure uga duwe SIEM dhewe - muncul ing wiwitan taun 2019. Iki Azure Sentinel, sing gumantung ing data saka Azure Monitor lan uga bisa nggabungake. solusi keamanan external (contone, NGFW utawa WAF), dhaftar kang saya akeh. Kajaba iku, liwat integrasi saka Microsoft Graph Security API, sampeyan duwe kemampuan kanggo nyambung feed Ancaman Intelligence dhewe kanggo Sentinel, kang enriched kemampuan kanggo nganalisa kedadosan ing maya Azure Panjenengan. Bisa diarani yen Azure Sentinel minangka SIEM "native" pisanan sing muncul saka panyedhiya maya (Splunk utawa ELK sing padha, sing bisa di-host ing awan, contone, AWS, isih durung dikembangake dening panyedhiya layanan maya tradisional). Azure Sentinel lan Pusat Keamanan bisa diarani SOC kanggo awan Azure lan bisa diwatesi (kanthi leladen tartamtu) yen sampeyan ora duwe infrastruktur maneh lan sampeyan nransfer kabeh sumber daya komputasi menyang awan lan bakal dadi awan Microsoft Azure.

Ngawasi Keamanan Cloud

Nanging amarga kemampuan Azure sing dibangun (sanajan sampeyan duwe langganan Sentinel) asring ora cukup kanggo tujuan ngawasi keamanan informasi lan nggabungake proses iki karo sumber acara keamanan liyane (loro maya lan internal), ana kudu ngekspor data sing diklumpukake menyang sistem eksternal, sing bisa uga kalebu SIEM. Iki ditindakake kanthi nggunakake API lan nggunakake ekstensi khusus, sing saiki mung kasedhiya kanggo SIEM ing ngisor iki - Splunk (Azure Monitor Add-On kanggo Splunk), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight lan ELK. Nganti saiki, ana luwih akeh SIEM, nanging wiwit tanggal 1 Juni 2019, Microsoft mandheg ndhukung Alat Integrasi Log Azure (AzLog), sing nalika esuk ana Azure lan ora ana standarisasi normal nggarap log (Azure). Monitor durung ana) nggawe gampang nggabungake SIEM eksternal karo awan Microsoft. Saiki kahanan wis diganti lan Microsoft nyaranake platform Azure Event Hub minangka alat integrasi utama kanggo SIEM liyane. Akeh wis dipun ginakaken integrasi kuwi, nanging ati-ati - padha ora bisa dijupuk kabeh log Azure, nanging mung sawetara (katon ing dokumentasi kanggo SIEM Panjenengan).

Mungkasi dolan singkat menyang Azure, aku pengin menehi rekomendasi umum babagan layanan maya iki - sadurunge sampeyan ngomong apa-apa babagan fungsi pemantauan keamanan informasi ing Azure, sampeyan kudu ngatur kanthi ati-ati lan nyoba supaya bisa digunakake kaya sing ditulis ing dokumentasi lan minangka konsultan marang sampeyan Microsoft (lan padha uga duwe views beda ing fungsi fungsi Azure). Yen sampeyan duwe sumber daya finansial, sampeyan bisa ngetokake akeh informasi migunani saka Azure babagan pemantauan keamanan informasi. Yen sumber daya sampeyan diwatesi, mula, kaya ing kasus AWS, sampeyan mung kudu ngandelake kekuwatan sampeyan dhewe lan data mentah sing diwenehake Azure Monitor. Lan elinga manawa akeh fungsi ngawasi biaya dhuwit lan luwih becik sinau babagan kabijakan rega sadurunge. Contone, kanthi gratis sampeyan bisa nyimpen data 31 dina nganti maksimal 5 GB saben pelanggan - ngluwihi nilai kasebut bakal mbutuhake dhuwit tambahan (kira-kira $2+ kanggo nyimpen saben GB tambahan saka pelanggan lan $0,1 kanggo nyimpen 1 GB saben sasi tambahan). Nggarap telemetri lan metrik aplikasi uga mbutuhake dana tambahan, uga nggarap tandha lan kabar (watesan tartamtu kasedhiya gratis, sing bisa uga ora cukup kanggo kabutuhan sampeyan).

Conto: Pemantauan keamanan informasi ing IaaS adhedhasar Google Cloud Platform

Google Cloud Platform katon kaya bocah enom dibandhingake AWS lan Azure, nanging iki sebagian apik. Ora kaya AWS, sing nambah kemampuane, kalebu keamanan, mboko sithik, duwe masalah karo sentralisasi; GCP, kaya Azure, luwih apik dikelola ing tengah, sing nyuda kesalahan lan wektu implementasine ing perusahaan. Saka sudut pandang keamanan, GCP, cukup aneh, antarane AWS lan Azure. Dheweke uga duwe registrasi acara siji kanggo kabeh organisasi, nanging ora lengkap. Sawetara fungsi isih ana ing mode beta, nanging mboko sithik kekurangan iki kudu diilangi lan GCP bakal dadi platform sing luwih diwasa babagan pemantauan keamanan informasi.

Ngawasi Keamanan Cloud

Alat utama kanggo logging acara ing GCP yaiku Stackdriver Logging (padha karo Azure Monitor), sing ngidini sampeyan ngumpulake acara ing kabeh infrastruktur awan (uga saka AWS). Saka perspektif keamanan ing GCP, saben organisasi, proyek utawa folder duwe papat log:

  • Kegiatan Admin - ngemot kabeh acara sing ana gandhengane karo akses administratif, contone, nggawe mesin virtual, ngganti hak akses, lsp. Log iki tansah ditulis, preduli saka kepinginan, lan nyimpen data kanggo 400 dina.
  • Akses Data - ngemot kabeh acara sing ana gandhengane karo nggarap data dening pangguna awan (nggawe, modifikasi, maca, lsp). Kanthi gawan, log iki ora ditulis, amarga volume swells cepet banget. Mulane, umur beting mung 30 dina. Kajaba iku, ora kabeh ditulis ing majalah iki. Contone, acara sing ana gandhengane karo sumber daya sing bisa diakses umum kanggo kabeh pangguna utawa sing bisa diakses tanpa mlebu menyang GCP ora ditulis.
  • Acara Sistem - ngemot acara sistem sing ora ana hubungane karo pangguna, utawa tumindak administrator sing ngganti konfigurasi sumber daya awan. Iku tansah ditulis lan disimpen kanggo 400 dina.
  • Transparansi Akses minangka conto unik saka log sing njupuk kabeh tumindak karyawan Google (nanging durung kanggo kabeh layanan GCP) sing ngakses infrastruktur sampeyan minangka bagean saka tugas. Log iki disimpen kanggo 400 dina lan ora kasedhiya kanggo saben klien GCP, nanging mung yen sawetara kondisi wis ketemu (salah siji Gold utawa dhukungan tingkat Platinum, utawa ana 4 peran saka jinis tartamtu minangka bagéan saka support perusahaan). Fungsi sing padha uga kasedhiya, contone, ing Office 365 - Lockbox.

Tuladha log: Akses Transparansi

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Akses menyang log kasebut bisa ditindakake kanthi pirang-pirang cara (kanthi cara sing padha karo Azure lan AWS sing wis dibahas sadurunge) - liwat antarmuka Log Viewer, liwat API, liwat Google Cloud SDK, utawa liwat kaca Kegiatan proyek sampeyan. kasengsem ing acara. Kanthi cara sing padha, bisa diekspor menyang solusi eksternal kanggo analisis tambahan. Sing terakhir ditindakake kanthi ngekspor log menyang panyimpenan BigQuery utawa Cloud Pub/Sub.

Saliyane Stackdriver Logging, platform GCP uga nawakake fungsionalitas Stackdriver Monitoring, sing ngidini sampeyan ngawasi metrik utama (kinerja, MTBF, kesehatan sakabèhé, lsp) layanan lan aplikasi maya. Data sing diproses lan divisualisasikake bisa nggampangake nemokake masalah ing infrastruktur awan sampeyan, kalebu ing konteks keamanan. Nanging kudu dicathet yen fungsi iki ora bakal sugih banget ing konteks keamanan informasi, amarga saiki GCP ora duwe analog saka AWS GuardDuty sing padha lan ora bisa ngenali sing ala ing kabeh acara sing kadhaptar (Google wis ngembangake Deteksi Ancaman Acara, nanging isih dikembangake ing beta lan isih awal banget kanggo ngomong babagan kegunaane). Pemantauan Stackdriver bisa digunakake minangka sistem kanggo ndeteksi anomali, sing banjur bakal diselidiki kanggo nemokake panyebab kedadeyan kasebut. Nanging amarga kekurangan personel sing mumpuni ing bidang keamanan informasi GCP ing pasar, tugas iki saiki katon angel.

Ngawasi Keamanan Cloud

Sampeyan uga kudu menehi dhaptar sawetara modul keamanan informasi sing bisa digunakake ing awan GCP, lan sing padha karo sing ditawakake AWS:

  • Pusat Komando Keamanan Awan minangka analog saka Hub Keamanan AWS lan Pusat Keamanan Azure.
  • Cloud DLP - Panemuan lan panyuntingan otomatis (umpamane masking) data sing di-host ing awan nggunakake luwih saka 90 kabijakan klasifikasi sing wis ditemtokake.
  • Cloud Scanner minangka pemindai kanggo kerentanan sing dikenal (XSS, Flash Injection, perpustakaan sing ora ditambal, lsp) ing App Engine, Compute Engine lan Google Kubernetes.
  • Cloud IAM - Kontrol akses menyang kabeh sumber daya GCP.
  • Cloud Identity - Ngatur akun pangguna, piranti lan aplikasi GCP saka konsol siji.
  • Cloud HSM - proteksi kunci kriptografi.
  • Layanan Manajemen Kunci Awan - manajemen kunci kriptografi ing GCP.
  • Kontrol Layanan VPC - Gawe keliling sing aman ing sekitar sumber daya GCP kanggo nglindhungi saka bocor.
  • Kunci Keamanan Titan - pangayoman marang phishing.

Ngawasi Keamanan Cloud

Akeh modul iki ngasilake acara keamanan sing bisa dikirim menyang panyimpenan BigQuery kanggo analisis utawa ekspor menyang sistem liyane, kalebu SIEM. Kaya sing kasebut ing ndhuwur, GCP minangka platform sing aktif berkembang lan Google saiki ngembangake sawetara modul keamanan informasi anyar kanggo platform kasebut. Antarane yaiku Deteksi Ancaman Acara (saiki kasedhiya ing beta), sing mindai log Stackdriver kanggo nggoleki jejak kegiatan sing ora sah (analog karo GuardDuty ing AWS), utawa Intelligence Policy (kasedhiya ing alpha), sing bakal ngidini sampeyan ngembangake kabijakan cerdas kanggo akses menyang sumber daya GCP.

Aku nggawe ringkesan singkat babagan kemampuan ngawasi sing dibangun ing platform maya populer. Nanging apa sampeyan duwe spesialis sing bisa nggarap log panyedhiya "mentah" IaaS (ora saben wong siap tuku kemampuan canggih AWS utawa Azure utawa Google)? Kajaba iku, akeh sing ngerti pepatah "percaya, nanging verifikasi," sing luwih bener tinimbang ing bidang keamanan. Sepira sampeyan percaya karo kemampuan panyedhiya maya sing wis dibangun sing ngirim acara keamanan informasi? Pira padha fokus ing keamanan informasi?

Kadhangkala luwih becik ndeleng solusi pemantauan infrastruktur awan sing bisa nglengkapi keamanan awan sing dibangun, lan kadhangkala solusi kasebut minangka siji-sijine pilihan kanggo ngerteni keamanan data lan aplikasi sing di-host ing awan. Kajaba iku, mung luwih trep, amarga nindakake kabeh tugas kanggo nganalisa log sing dibutuhake sing digawe dening layanan awan sing beda saka panyedhiya awan sing beda. Conto solusi overlay kasebut yaiku Cisco Stealthwatch Cloud, sing fokus ing tugas siji - ngawasi anomali keamanan informasi ing lingkungan awan, kalebu ora mung Amazon AWS, Microsoft Azure lan Google Cloud Platform, nanging uga awan pribadi.

Conto: Ngawasi Keamanan Informasi Nggunakake Stealthwatch Cloud

AWS nyedhiyakake platform komputasi sing fleksibel, nanging keluwesan iki nggampangake perusahaan nggawe kesalahan sing nyebabake masalah keamanan. Lan model keamanan informasi sing dienggo bareng mung nyumbang kanggo iki. Piranti lunak sing mlaku ing méga kanthi kerentanan sing ora dingerteni (sing dikenal bisa dilawan, contone, dening AWS Inspector utawa GCP Cloud Scanner), sandhi sing lemah, konfigurasi sing salah, wong njero, lsp. Lan kabeh iki dibayangke ing prilaku sumber maya, kang bisa teliti dening Cisco Stealthwatch Cloud, kang keamanan informasi ngawasi lan sistem deteksi serangan. awan umum lan pribadi.

Ngawasi Keamanan Cloud

Salah sawijining fitur utama Cisco Stealthwatch Cloud yaiku kemampuan kanggo model entitas. Kanthi iki, sampeyan bisa nggawe model piranti lunak (yaiku, simulasi sing cedhak-nyata) saben sumber awan sampeyan (ora ketompo apa AWS, Azure, GCP, utawa liya-liyane). Iki bisa kalebu server lan pangguna, uga jinis sumber daya khusus kanggo lingkungan maya sampeyan, kayata grup keamanan lan grup skala otomatis. Model kasebut nggunakake aliran data terstruktur sing diwenehake dening layanan awan minangka input. Contone, kanggo AWS iki bakal dadi VPC Flow Logs, AWS CloudTrail, AWS CloudWatch, AWS Config, AWS Inspector, AWS Lambda, lan AWS IAM. Pemodelan entitas kanthi otomatis nemokake peran lan prilaku samubarang sumber daya sampeyan (sampeyan bisa ngomong babagan profil kabeh aktivitas awan). Peran kasebut kalebu piranti seluler Android utawa Apple, server Citrix PVS, server RDP, gateway surat, klien VoIP, server terminal, pengontrol domain, lsp. Banjur terus-terusan ngawasi prilaku kanggo nemtokake nalika ana prilaku sing beboyo utawa ngancam keamanan. Sampeyan bisa ngenali guessing sandi, serangan DDoS, bocor data, akses remot ilegal, kegiatan kode angkoro, pindai kerentanan lan ancaman liyane. Contone, iki minangka ndeteksi upaya akses remot saka negara sing ora khas kanggo organisasi sampeyan (Korea Selatan) menyang kluster Kubernetes liwat SSH:

Ngawasi Keamanan Cloud

Iki minangka informasi sing diduga bocor saka database Postgress menyang negara sing durung nate nemoni interaksi:

Ngawasi Keamanan Cloud

Pungkasan, iki minangka akeh banget nyoba SSH sing gagal saka China lan Indonesia saka piranti remot eksternal:

Ngawasi Keamanan Cloud

Utawa, umpamane conto server ing VPC, miturut kabijakan, ora bakal dadi tujuan login sing adoh. Ayo luwih nganggep yen komputer iki ngalami logon remot amarga owah-owahan sing salah ing kabijakan aturan firewall. Fitur Pemodelan Entitas bakal ndeteksi lan nglaporake kegiatan iki ("Akses Jarak Jauh sing Ora Biasa") ing wektu nyata lan tumuju menyang telpon AWS CloudTrail, Azure Monitor, utawa GCP Stackdriver Logging API khusus (kalebu jeneng pangguna, tanggal lan wektu, ing antarane rincian liyane. ). sing nyebabake owah-owahan ing aturan ITU. Banjur informasi iki bisa dikirim menyang SIEM kanggo dianalisis.

Ngawasi Keamanan Cloud

Kapabilitas sing padha ditindakake kanggo lingkungan maya sing didhukung dening Cisco Stealthwatch Cloud:

Ngawasi Keamanan Cloud

Pemodelan entitas minangka wujud otomatisasi keamanan unik sing bisa nemokake masalah sing sadurunge ora dingerteni karo wong, proses, utawa teknologi sampeyan. Contone, ngidini sampeyan ndeteksi, antarane liyane, masalah keamanan kayata:

  • Apa ana wong sing nemokake backdoor ing piranti lunak sing digunakake?
  • Apa ana piranti lunak utawa piranti pihak katelu ing awan kita?
  • Apa pangguna sing sah nyalahake hak istimewa?
  • Apa ana kesalahan konfigurasi sing ngidini akses remot utawa panggunaan sumber daya liyane sing ora disengaja?
  • Apa ana bocor data saka server kita?
  • Apa ana wong sing nyoba nyambung menyang kita saka lokasi geografis sing ora khas?
  • Apa awan kita kena infeksi kode jahat?

Ngawasi Keamanan Cloud

Acara keamanan informasi sing dideteksi bisa dikirim ing wangun tiket sing cocog kanggo Slack, Cisco Spark, sistem manajemen insiden PagerDuty, lan uga dikirim menyang macem-macem SIEM, kalebu Splunk utawa ELK. Kanggo ngringkes, kita bisa ngomong yen perusahaan sampeyan nggunakake strategi multi-cloud lan ora diwatesi karo panyedhiya maya, kapabilitas pemantauan keamanan informasi sing kasebut ing ndhuwur, banjur nggunakake Cisco Stealthwatch Cloud minangka pilihan sing apik kanggo entuk set pemantauan terpadu. kapabilitas kanggo pemain maya utama - Amazon, Microsoft lan Google. Sing paling menarik yaiku yen sampeyan mbandhingake rega Stealthwatch Cloud kanthi lisensi majeng kanggo ngawasi keamanan informasi ing AWS, Azure utawa GCP, bisa uga solusi Cisco bakal luwih murah tinimbang kapabilitas Amazon, Microsoft. lan solusi Google. Iku paradoks, nanging bener. Lan luwih akeh awan lan kemampuan sing sampeyan gunakake, luwih jelas keuntungan saka solusi gabungan.

Ngawasi Keamanan Cloud

Kajaba iku, Stealthwatch Cloud bisa ngawasi awan pribadi sing disebarake ing organisasi sampeyan, contone, adhedhasar kontainer Kubernetes utawa kanthi ngawasi aliran Netflow utawa lalu lintas jaringan sing ditampa liwat mirroring ing peralatan jaringan (malah diprodhuksi ing njero), data AD utawa server DNS lan liya-liyane. Kabeh data iki bakal diperkaya karo informasi Ancaman Intelligence sing diklumpukake dening Cisco Talos, klompok peneliti ancaman cybersecurity non-pemerintah paling gedhe ing donya.

Ngawasi Keamanan Cloud

Iki ngidini sampeyan ngetrapake sistem pemantauan terpadu kanggo awan umum lan hibrida sing bisa digunakake dening perusahaan sampeyan. Informasi sing diklumpukake banjur bisa dianalisis nggunakake kemampuan Stealthwatch Cloud sing dibangun utawa dikirim menyang SIEM (Splunk, ELK, SumoLogic lan sawetara liyane didhukung kanthi standar).

Kanthi iki, kita bakal ngrampungake bagean pisanan saka artikel kasebut, ing ngendi aku nliti piranti internal lan eksternal kanggo ngawasi keamanan informasi platform IaaS / PaaS, sing ngidini kita ndeteksi lan nanggapi kedadeyan kanthi cepet ing lingkungan maya. perusahaan kita wis milih. Ing bagean kapindho, kita bakal nerusake topik lan ndeleng opsi kanggo ngawasi platform SaaS nggunakake conto Salesforce lan Dropbox, lan kita uga bakal nyoba ngringkes lan nggabungake kabeh kanthi nggawe sistem pemantauan keamanan informasi terpadu kanggo panyedhiya maya sing beda.

Source: www.habr.com

Add a comment