Akeh pangguna sing nggawa kabeh infrastruktur IT menyang awan umum. Nanging, yen kontrol anti-virus ora cukup ing infrastruktur pelanggan, risiko cyber serius muncul. Praktek nuduhake manawa nganti 80% virus sing ana urip kanthi sampurna ing lingkungan virtual. Ing kirim iki, kita bakal ngomong babagan cara nglindhungi sumber daya IT ing awan umum lan kenapa antivirus tradisional ora cocog kanggo tujuan kasebut.
Kanggo miwiti, kita bakal menehi pitutur marang kowe kepiye carane nggawe ide manawa alat proteksi anti-virus sing biasa ora cocog kanggo awan umum lan pendekatan liya kanggo nglindhungi sumber daya dibutuhake.
Kaping pisanan, panyedhiya umume nyedhiyakake langkah-langkah sing dibutuhake kanggo mesthekake yen platform awan kasebut dilindhungi ing tingkat sing dhuwur. Contone, ing #CloudMTS, kita nganalisa kabeh lalu lintas jaringan, ngawasi log sistem keamanan awan, lan rutin nindakake pentest. Segmen awan sing diparengake kanggo klien individu uga kudu dilindhungi kanthi aman.
Kapindho, pilihan klasik kanggo nglawan risiko cyber kalebu nginstal antivirus lan alat manajemen antivirus ing saben mesin virtual. Nanging, kanthi jumlah mesin virtual sing akeh, praktik iki bisa dadi ora efektif lan mbutuhake sumber daya komputasi sing signifikan, saengga bisa nambah infrastruktur pelanggan lan nyuda kinerja awan sakabèhé. Iki wis dadi prasyarat utama kanggo nggoleki pendekatan anyar kanggo mbangun perlindungan anti-virus sing efektif kanggo mesin virtual pelanggan.
Kajaba iku, umume solusi antivirus ing pasar ora diadaptasi kanggo ngatasi masalah nglindhungi sumber daya IT ing lingkungan maya umum. Minangka aturan, iku solusi EPP abot (Platform Perlindhungan Endpoint), sing, luwih-luwih, ora nyedhiyakake kustomisasi sing dibutuhake ing sisih klien panyedhiya maya.
Dadi jelas manawa solusi antivirus tradisional ora cocog kanggo digunakake ing méga, amarga ngemot infrastruktur virtual kanthi serius sajrone nganyari lan pindai, lan uga ora duwe tingkat manajemen lan setelan adhedhasar peran. Sabanjure, kita bakal nganalisa kanthi rinci kenapa awan butuh pendekatan anyar kanggo proteksi anti-virus.
Apa sing kudu ditindakake antivirus ing awan umum
Dadi, ayo menehi perhatian marang spesifik kerja ing lingkungan virtual:
Efisiensi nganyari lan scan massa sing dijadwal. Yen nomer akeh mesin virtual sing nggunakake antivirus tradisional miwiti nganyari ing wektu sing padha, sing disebut "badai" nganyari bakal kelakon ing maya. Kekuwatan saka host ESXi sing dadi host sawetara mesin virtual bisa uga ora cukup kanggo nangani tugas sing padha kanthi standar. Saka sudut pandang panyedhiya maya, masalah kasebut bisa nyebabake beban tambahan ing sawetara host ESXi, sing pungkasane bakal nyebabake penurunan kinerja infrastruktur virtual maya. Iki bisa uga mengaruhi kinerja mesin virtual klien awan liyane. Kahanan sing padha bisa uga kedadeyan nalika ngluncurake scan massal: pangolahan simultan dening sistem disk saka akeh panjalukan sing padha saka pangguna sing beda-beda bakal mengaruhi kinerja kabeh awan. Kanthi kemungkinan sing dhuwur, penurunan kinerja sistem panyimpenan bakal mengaruhi kabeh klien. Beban sing tiba-tiba kaya ngono ora nyenengake panyedhiya utawa para pelanggan, amarga mengaruhi "tanggane" ing awan. Saka sudut pandang iki, antivirus tradisional bisa nyebabake masalah gedhe.
Karantina aman. Yen file utawa dokumen sing potensial kena infeksi virus dideteksi ing sistem, file kasebut dikirim menyang karantina. Mesthi, file sing kena infeksi bisa langsung dibusak, nanging iki asring ora bisa ditampa kanggo umume perusahaan. Antivirus perusahaan perusahaan sing ora diadaptasi kanggo bisa digunakake ing awan panyedhiya, minangka aturan, duwe zona karantina umum - kabeh obyek sing kena infeksi kasebut ana. Contone, sing ditemokake ing komputer pangguna perusahaan. Klien panyedhiya maya "urip" ing segmen dhewe (utawa nyewa). Segmen kasebut buram lan terisolasi: klien ora ngerti babagan saben liyane lan, mesthi, ora weruh apa sing dianakake wong liya ing awan. Temenan, karantina umum, sing bakal diakses kabeh pangguna antivirus ing awan, bisa uga kalebu dokumen sing ngemot informasi rahasia utawa rahasia dagang. Iki ora bisa ditampa kanggo panyedhiya lan para pelanggan. Mula, mung ana siji solusi - karantina pribadi kanggo saben klien ing bagean kasebut, sing ora ana panyedhiya utawa klien liyane sing duwe akses.
Kawicaksanan keamanan individu. Saben klien ing awan minangka perusahaan sing kapisah, sing departemen IT nyetel kabijakan keamanan dhewe. Contone, pangurus nemtokake aturan scanning lan jadwal scan anti-virus. Mulane, saben organisasi kudu duwe pusat kontrol dhewe kanggo ngatur kabijakan antivirus. Ing wektu sing padha, setelan sing ditemtokake ngirim ora mengaruhi klien maya liyane, lan panyedhiya kudu bisa verifikasi manawa, contone, nganyari antivirus ditindakake kaya normal kanggo kabeh mesin virtual klien.
Organisasi tagihan lan lisensi. Model maya ditondoi kanthi keluwesan lan mung mbayar kanggo jumlah sumber daya IT sing digunakake dening pelanggan. Yen ana kabutuhan, contone, amarga musiman, jumlah sumber daya bisa cepet tambah utawa suda - kabeh adhedhasar kabutuhan saiki kanggo daya komputasi. Antivirus tradisional ora fleksibel - minangka aturan, klien tuku lisensi setaun kanggo jumlah server utawa stasiun kerja sing wis ditemtokake. Pangguna awan ajeg medhot lan nyambungake mesin virtual tambahan gumantung saka kabutuhan saiki - mula, lisensi antivirus kudu ndhukung model sing padha.
Pitakonan kapindho yaiku apa sing bakal ditrapake lisensi kasebut. Antivirus tradisional dilisensi kanthi jumlah server utawa stasiun kerja. Lisensi adhedhasar jumlah mesin virtual sing dilindhungi ora cocog karo model maya. Klien bisa nggawe nomer mesin virtual sing trep kanggo dheweke saka sumber daya sing kasedhiya, contone, lima utawa sepuluh mesin. Nomer iki ora tetep kanggo umume klien; ora mungkin kanggo kita, minangka panyedhiya, nglacak owah-owahan kasebut. Ora ana kamungkinan teknis kanggo lisensi dening CPU: klien nampa prosesor virtual (vCPU), sing kudu digunakake kanggo lisensi. Mangkono, model proteksi anti-virus anyar kudu kalebu kemampuan kanggo pelanggan nemtokake jumlah vCPU sing dibutuhake sing bakal nampa lisensi anti-virus.
Kepatuhan karo undang-undang. Titik penting, amarga solusi sing digunakake kudu njamin selaras karo syarat regulator. Contone, "penduduk" awan asring nggarap data pribadhi. Ing kasus iki, panyedhiya kudu duwe segmen awan sing disertifikasi sing kapisah sing tundhuk karo syarat Hukum Data Pribadi. Banjur perusahaan ora perlu "mbangun" kabeh sistem kanthi mandiri kanggo nggarap data pribadhi: tuku peralatan sing disertifikasi, nyambungake lan ngatur, lan ngalami sertifikasi. Kanggo proteksi cyber saka ISPD klien kasebut, antivirus kasebut uga kudu tundhuk karo syarat peraturan Rusia lan duwe sertifikat FSTEC.
Kita ndeleng kritéria wajib sing kudu ditindakake proteksi antivirus ing awan umum. Sabanjure, kita bakal nuduhake pengalaman dhewe babagan adaptasi solusi antivirus supaya bisa digunakake ing awan panyedhiya.
Kepiye carane nggawe kanca antarane antivirus lan awan?
Kaya sing wis ditampilake pengalaman kita, milih solusi adhedhasar katrangan lan dokumentasi minangka salah sawijining perkara, nanging ngleksanakake praktik kasebut ing lingkungan maya sing wis digunakake minangka tugas sing beda banget babagan kerumitan. Kita bakal ngandhani apa sing wis ditindakake ing praktik lan kepiye cara adaptasi antivirus supaya bisa digunakake ing awan umum panyedhiya. Vendor solusi anti-virus yaiku Kaspersky, sing portofolio kalebu solusi perlindungan anti-virus kanggo lingkungan awan. Kita mapan ing "Keamanan Kaspersky kanggo Virtualisasi" (Agen Cahya).
Iki kalebu konsol Pusat Keamanan Kaspersky siji. Agen cahya lan mesin virtual keamanan (SVM, Mesin Virtual Keamanan) lan server integrasi KSC.
Sawise sinau arsitektur solusi Kaspersky lan nganakake tes pisanan bebarengan karo insinyur vendor, ana pitakonan babagan nggabungake layanan kasebut menyang awan. Implementasi pisanan ditindakake bebarengan ing situs maya Moskow. Lan iku sing kita sadhar.
Supaya kanggo nyilikake lalu lintas jaringan, iki mutusaké kanggo nyeleh SVM ing saben inang ESXi lan "dasi" SVM kanggo sarwa dumadi ESXi. Ing kasus iki, agen cahya saka mesin virtual sing dilindhungi ngakses SVM saka host ESXi pas sing lagi mlaku. Penyewa administratif sing kapisah dipilih kanggo KSC utama. Akibaté, KSC bawahan dumunung ing panyewan saben klien individu lan alamat KSC unggul sing ana ing bagean manajemen. Skema iki ngidini sampeyan kanthi cepet ngatasi masalah sing muncul ing panyewa klien.
Saliyane masalah karo mundhakaken komponen saka solusi anti-virus dhewe, kita padha ngadhepi karo tugas ngatur interaksi jaringan liwat nggawe VxLANs tambahan. Lan sanajan solusi kasebut wiwitane ditujokake kanggo klien perusahaan kanthi awan pribadi, kanthi bantuan teknik lan keluwesan teknologi NSX Edge, kita bisa ngrampungake kabeh masalah sing ana gandhengane karo pamisahan penyewa lan lisensi.
Kita kerja sama karo insinyur Kaspersky. Mangkono, ing proses nganalisa arsitektur solusi babagan interaksi jaringan antarane komponen sistem, ditemokake yen, saliyane akses saka agen cahya menyang SVM, umpan balik uga perlu - saka SVM menyang agen cahya. Konektivitas jaringan iki ora bisa ditindakake ing lingkungan multitenant amarga kamungkinan setelan jaringan sing padha saka mesin virtual ing panyewa awan sing beda. Mulane, ing panjalukan kita, kolega saka vendor reworked mekanisme interaksi jaringan antarane agen cahya lan SVM ing syarat-syarat mbusak perlu kanggo panyambungan jaringan saka SVM kanggo agen cahya.
Sawise solusi kasebut disebarake lan diuji ing situs maya Moskow, kita tiron menyang situs liyane, kalebu segmen awan sing disertifikasi. Layanan kasebut saiki kasedhiya ing kabeh wilayah negara.
Arsitektur solusi keamanan informasi ing kerangka pendekatan anyar
Skema umum operasi solusi antivirus ing lingkungan awan umum yaiku:
Skema operasi solusi antivirus ing lingkungan awan umum #CloudMTS
Ayo kita njlèntrèhaké fitur operasi unsur individu saka solusi ing méga:
• Konsol siji sing ngidini klien ngatur pusat sistem proteksi: mbukak scan, nganyari kontrol lan ngawasi zona karantina. Sampeyan bisa ngatur kabijakan keamanan individu ing bagean sampeyan.
Perlu dicathet yen sanajan kita minangka panyedhiya layanan, kita ora ngganggu setelan sing disetel dening klien. Siji-sijine sing bisa ditindakake yaiku ngreset kabijakan keamanan menyang standar yen konfigurasi ulang perlu. Contone, iki bisa uga perlu yen klien ora sengaja ngencengi utawa nyuda banget. Perusahaan mesthi bisa nampa pusat kontrol kanthi kabijakan standar, sing banjur bisa diatur kanthi mandiri. Kerugian Kaspersky Security Center yaiku platform kasebut saiki mung kasedhiya kanggo sistem operasi Microsoft. Sanajan agen entheng bisa nggarap mesin Windows lan Linux. Nanging, Kaspersky Lab janji manawa ing mangsa ngarep KSC bakal bisa digunakake ing OS Linux. Salah sawijining fungsi penting KSC yaiku kemampuan kanggo ngatur karantina. Saben perusahaan klien ing awan kita duwe perusahaan pribadi. Pendekatan iki ngilangi kahanan nalika dokumen sing kena infeksi virus ora sengaja katon umum, kaya sing bisa kedadeyan ing kasus antivirus perusahaan klasik kanthi karantina umum.
• Agen entheng. Minangka bagéan saka model anyar, agen Kaspersky Security sing entheng diinstal ing saben mesin virtual. Iki ngilangi kabutuhan kanggo nyimpen database anti-virus ing saben VM, sing nyuda jumlah ruang disk sing dibutuhake. Layanan iki Integrasi karo infrastruktur maya lan dianggo liwat SVM, kang mundhak Kapadhetan saka mesin virtual ing host ESXi lan kinerja kabeh sistem maya. Agen cahya nggawe antrian tugas kanggo saben mesin virtual: mriksa sistem file, memori, lsp. Nanging SVM tanggung jawab kanggo nindakake operasi kasebut, sing bakal kita bahas mengko. Agen kasebut uga nduweni fungsi minangka firewall, ngontrol kabijakan keamanan, ngirim file sing kena infeksi menyang karantina lan ngawasi "kesehatan" sakabèhé sistem operasi sing diinstal. Kabeh iki bisa dikelola kanthi nggunakake konsol siji sing wis kasebut.
• Mesin Virtual Keamanan. Kabeh tugas sumber daya intensif (nganyari database anti-virus, dijadwal scan) ditangani dening Keamanan Virtual Machine (SVM) kapisah. Dheweke tanggung jawab kanggo operasi mesin anti-virus lengkap lan database kasebut. Infrastruktur IT perusahaan bisa uga kalebu sawetara SVM. Pendekatan iki nambah linuwih sistem - yen siji mesin gagal lan ora nanggapi kanggo telung puluh detik, agen kanthi otomatis miwiti looking for liyane.
• server integrasi KSC. Salah sawijining komponen utama KSC, sing menehi SVM kanggo agen cahya sesuai karo algoritma sing ditemtokake ing setelan kasebut, lan uga ngontrol kasedhiyan SVM. Mangkono, modul piranti lunak iki nyedhiyakake keseimbangan beban ing kabeh SVM infrastruktur awan.
Algoritma kanggo nggarap awan: nyuda beban ing infrastruktur
Umumé, algoritma antivirus bisa diwakili kaya ing ngisor iki. Agen ngakses file ing mesin virtual lan mriksa. Asil verifikasi disimpen ing database putusan SVM umum terpusat (disebut Shared Cache), saben entri kang ngenali sampel file unik. Pendekatan iki ngidini sampeyan mesthekake yen file sing padha ora dipindai kaping pirang-pirang saurutan (contone, yen dibukak ing mesin virtual sing beda). File dipindai maneh mung yen owah-owahan wis digawe utawa pindai wis diwiwiti kanthi manual.
Implementasi solusi antivirus ing awan panyedhiya
Gambar kasebut nuduhake diagram umum implementasi solusi ing awan. Pusat Keamanan Kaspersky utama disebarake ing zona kontrol awan, lan SVM individu dipasang ing saben host ESXi nggunakake server integrasi KSC (saben host ESXi duwe SVM dhewe sing dipasang karo setelan khusus ing VMware vCenter Server). Klien kerja ing segmen awan dhewe, ing ngendi mesin virtual karo agen dumunung. Dheweke dikelola liwat server KSC individu sing ana ing KSC utama. Yen perlu kanggo nglindhungi nomer cilik saka mesin virtual (nganti 5), klien bisa kasedhiya karo akses menyang console virtual saka server KSC khusus darmabakti. Interaksi jaringan antarane KSC klien lan KSC utama, uga agen cahya lan SVM, ditindakake nggunakake NAT liwat router virtual klien EdgeGW.
Miturut prakiraan lan asil tes saka kolega ing vendor, Light Agent nyuda beban infrastruktur virtual klien udakara 25% (yen dibandhingake karo sistem sing nggunakake piranti lunak anti-virus tradisional). Utamane, antivirus Kaspersky Endpoint Security (KES) standar kanggo lingkungan fisik nggunakake meh kaping pindho wektu CPU server (2,95%) minangka solusi virtualisasi adhedhasar agen sing entheng (1,67%).
Bagan perbandingan beban CPU
Kahanan sing padha diamati kanthi frekuensi akses nulis disk: kanggo antivirus klasik yaiku 1011 IOPS, kanggo antivirus awan yaiku 671 IOPS.
Grafik perbandingan tarif akses disk
Keuntungan kinerja ngidini sampeyan njaga stabilitas infrastruktur lan nggunakake daya komputasi kanthi luwih efisien. Kanthi adaptasi kanggo kerja ing lingkungan maya umum, solusi kasebut ora nyuda kinerja awan: mriksa file kanthi pusat lan nganyari nganyari, nyebarake beban. Iki tegese, ing tangan siji, ancaman sing cocog karo infrastruktur maya ora bakal kejawab, ing sisih liya, syarat sumber daya kanggo mesin virtual bakal dikurangi rata-rata 25% dibandhingake karo antivirus tradisional.
Ing babagan fungsionalitas, loro solusi kasebut meh padha karo siji liyane: ing ngisor iki minangka tabel perbandingan. Nanging, ing awan, minangka asil tes ing ndhuwur nuduhake, isih optimal kanggo nggunakake solusi kanggo lingkungan virtual.
Babagan tarif ing kerangka pendekatan anyar. Kita mutusake nggunakake model sing ngidini kita entuk lisensi adhedhasar jumlah vCPU. Iki tegese jumlah lisensi bakal padha karo jumlah vCPU. Sampeyan bisa nyoba antivirus kanthi ninggalake panjalukan .
Ing artikel sabanjure babagan topik awan, kita bakal ngomong babagan evolusi WAF awan lan apa sing luwih apik kanggo dipilih: hardware, piranti lunak utawa awan.
Teks kasebut disiapake dening karyawan panyedhiya awan #CloudMTS: Denis Myagkov, arsitek terkemuka lan Alexey Afanasyev, manajer pangembangan produk keamanan informasi.
Source: www.habr.com