ProHoster > Блог > басқарма > Бұлтты қауіпсіздік мониторингі

Бұлтты қауіпсіздік мониторингі

Деректерді және қолданбаларды бұлтқа жылжыту басқа адамдардың инфрақұрылымын бақылауға әрқашан дайын емес корпоративтік SOC үшін жаңа қиындық тудырады. Netoskope мәліметтері бойынша, орташа кәсіпорын (шамасы АҚШ-та) 1246 түрлі бұлттық қызметтерді пайдаланады, бұл бір жыл бұрынғыдан 22% артық. 1246 бұлттық қызметтер!!! Оның 175-і HR қызметіне, 170-і маркетингке, 110-ы байланыс саласына және 76-сы қаржы мен CRM саласына қатысты. Cisco «тек» 700 сыртқы бұлттық қызметтерді пайдаланады. Сондықтан мен бұл сандармен аздап шатастырамын. Бірақ кез келген жағдайда мәселе оларда емес, бұлтты өз желілеріндегідей бұлттық инфрақұрылымды бақылау мүмкіндіктеріне ие болғысы келетін компаниялар санының көбеюі бұлтты белсенді түрде қолдана бастағанында. Және бұл үрдіс өсуде - сәйкес американдық есеп палатасының мәліметтері бойынша 2023 жылға қарай Құрама Штаттарда 1200 дата орталықтары жабылады (6250-і жабылды). Бірақ бұлтқа көшу «серверлерімізді сыртқы провайдерге көшірейік» ғана емес. Жаңа АТ архитектурасы, жаңа бағдарламалық қамтамасыз ету, жаңа процестер, жаңа шектеулер... Мұның бәрі тек АТ емес, ақпараттық қауіпсіздік жұмысына да елеулі өзгерістер әкеледі. Егер провайдерлер бұлттың қауіпсіздігін қамтамасыз етуді қандай да бір жолмен жеңуді үйренсе (бақытымызға орай, көптеген ұсыныстар бар), онда бұлттық ақпараттық қауіпсіздікті бақылау кезінде, әсіресе SaaS платформаларында, біз айтатын болсақ, айтарлықтай қиындықтар бар.

Бұлтты қауіпсіздік мониторингі

Сіздің компанияңыз инфрақұрылымының бір бөлігін бұлтқа көшірді делік... Тоқта. Бұлай емес. Егер инфрақұрылым берілсе және сіз оны қалай бақылайтыныңызды енді ғана ойлап жатсаңыз, онда сіз ұтылып қалдыңыз. Егер бұл Amazon, Google немесе Microsoft (және одан кейін ескертпелері бар) болмаса, деректер мен қолданбаларды бақылау мүмкіндігіңіз болмауы мүмкін. Сізге журналдармен жұмыс істеу мүмкіндігі берілсе жақсы. Кейде қауіпсіздік оқиғасы деректері қолжетімді болады, бірақ сіз оған қол жеткізе алмайсыз. Мысалы, Office 365. Егер сізде ең арзан E1 лицензиясы болса, қауіпсіздік оқиғалары сізге мүлдем қолжетімді емес. Егер сізде E3 лицензиясы болса, деректеріңіз бар болғаны 90 күн сақталады, ал егер сізде E5 лицензиясы болса ғана, журналдардың ұзақтығы бір жыл бойы қол жетімді болады (бірақ бұл да бөлек қажеттігіне байланысты өзіндік нюанстарға ие. Microsoft қолдауынан журналдармен жұмыс істеу үшін бірқатар функцияларды сұрау). Айтпақшы, E3 лицензиясы корпоративтік биржаға қарағанда бақылау функциялары бойынша әлдеқайда әлсіз. Бірдей деңгейге жету үшін сізге E5 лицензиясы немесе қосымша Advanced Compliance лицензиясы қажет, ол бұлттық инфрақұрылымға көшу үшін қаржылық үлгіңізде ескерілмеген қосымша ақшаны талап етуі мүмкін. Бұл бұлттық ақпараттық қауіпсіздік мониторингіне қатысты мәселелерді бағаламаудың бір мысалы ғана. Бұл мақалада, толық деп көрсетпей, қауіпсіздік тұрғысынан бұлттық провайдерді таңдау кезінде ескеру қажет кейбір нюанстарға назар аударғым келеді. Мақаланың соңында бұлттық ақпараттық қауіпсіздікті бақылау мәселесі шешілгенін қарастырмас бұрын толтыруға тұрарлық бақылау парағы беріледі.

Ақпараттық қауіпсіздік қызметтерінің жауап беруге уақыты жоқ немесе оларды мүлде көрмейтін бұлттық орталарда инциденттерге әкелетін бірнеше типтік мәселелер бар:

  • Қауіпсіздік журналдары жоқ. Бұл өте кең таралған жағдай, әсіресе бұлтты шешімдер нарығында жаңадан келген ойыншылар арасында. Бірақ сіз олардан бірден бас тартпауыңыз керек. Кішігірім ойыншылар, әсіресе отандық ойыншылар, тұтынушылардың талаптарына анағұрлым сезімтал және өз өнімдерінің бекітілген жол картасын өзгерту арқылы кейбір қажетті функцияларды жылдам орындай алады. Иә, бұл Amazon-дан GuardDuty аналогы немесе Bitrix-тен «Проактивті қорғау» модулі емес, кем дегенде бір нәрсе.
  • Ақпараттық қауіпсіздік журналдардың қайда сақталатынын білмейді немесе оларға қол жетімділік жоқ. Мұнда бұлттық қызмет провайдерімен келіссөздер жүргізу қажет - мүмкін ол клиентті ол үшін маңызды деп санаса, мұндай ақпаратты береді. Бірақ тұтастай алғанда, журналдарға қол жеткізу «арнайы шешіммен» қамтамасыз етілсе, бұл өте жақсы емес.
  • Сондай-ақ бұлт провайдерінде журналдар бар, бірақ олар шектеулі бақылау мен оқиғаларды жазуды қамтамасыз етеді, бұл барлық оқиғаларды анықтау үшін жеткіліксіз. Мысалы, сіз веб-сайттағы өзгерістер журналдарын немесе пайдаланушының аутентификация әрекеттерінің журналдарын ғана ала аласыз, бірақ бұлтты инфрақұрылымды бұзу әрекеттерін сипаттайтын оқиғалардың тұтас қабатын жасыратын желі трафигі сияқты басқа оқиғаларды емес.
  • Журналдар бар, бірақ оларға қол жеткізуді автоматтандыру қиын, бұл оларды үздіксіз емес, кесте бойынша бақылауға мәжбүр етеді. Егер журналдарды автоматты түрде жүктеп алу мүмкін болмаса, журналдарды, мысалы, Excel пішімінде (бірқатар отандық бұлттық шешімдер провайдерлері сияқты) жүктеп алу, тіпті корпоративтік ақпараттық қауіпсіздік қызметінің олармен жұмыс істеуге құлықсыздығына әкелуі мүмкін.
  • Журналды бақылау жоқ. Бұл бұлтты ортада ақпараттық қауіпсіздік оқиғаларының орын алуының ең түсініксіз себебі болуы мүмкін. Журналдар бар сияқты және оларға қол жеткізуді автоматтандыруға болады, бірақ оны ешкім жасамайды. Неліктен?

Ортақ бұлттық қауіпсіздік тұжырымдамасы

Бұлтқа көшу әрқашан инфрақұрылымды бақылауды қолдау және оны қолдауға маманданған бұлттық провайдердің кәсіби қолдарына беру арасындағы тепе-теңдікті іздеу болып табылады. Бұлттық қауіпсіздік саласында да бұл тепе-теңдікті іздеу керек. Сонымен қатар, пайдаланылатын бұлттық қызметті жеткізу үлгісіне (IaaS, PaaS, SaaS) байланысты бұл теңгерім әр уақытта әртүрлі болады. Қалай болғанда да, бүгінгі күні барлық бұлттық провайдерлер ортақ жауапкершілік және ортақ ақпараттық қауіпсіздік моделін ұстанатынын есте ұстауымыз керек. Бұлт кейбір нәрселерге жауап береді, ал басқалары үшін клиент жауапты, бұлтта өз деректерін, қолданбаларын, виртуалды машиналарын және басқа ресурстарды орналастырады. Бұлтқа өту арқылы біз барлық жауапкершілікті провайдерге аударамыз деп күту абайсызда болар еді. Бірақ бұлтқа көшу кезінде барлық қауіпсіздікті өзіңіз жасау да ақылсыз. Тепе-теңдік қажет, ол көптеген факторларға байланысты болады: - тәуекелдерді басқару стратегиясы, қауіп моделі, бұлттық провайдер үшін қолжетімді қауіпсіздік тетіктері, заңнама және т.б.

Бұлтты қауіпсіздік мониторингі

Мысалы, бұлтта орналастырылған деректердің жіктелуі әрқашан тұтынушыға жүктеледі. Бұлт провайдері немесе сыртқы қызмет провайдері оған бұлттағы деректерді белгілеуге, бұзушылықтарды анықтауға, заңды бұзатын деректерді жоюға немесе оны бір немесе басқа әдісті пайдаланып бүркемелеуге көмектесетін құралдармен ғана көмектесе алады. Екінші жағынан, физикалық қауіпсіздік әрқашан бұлттық провайдердің жауапкершілігі болып табылады, ол клиенттермен бөлісе алмайды. Бірақ деректер мен физикалық инфрақұрылым арасындағы барлық нәрсе дәл осы мақалада талқылау тақырыбы болып табылады. Мысалы, бұлттың қолжетімділігі провайдердің жауапкершілігінде, ал желіаралық қалқан ережелерін орнату немесе шифрлауды қосу клиенттің жауапкершілігі болып табылады. Бұл мақалада біз бүгін Ресейдегі әртүрлі танымал бұлттық провайдерлер ақпараттық қауіпсіздікті бақылаудың қандай механизмдерін қамтамасыз ететінін, оларды пайдалану ерекшеліктері қандай және сыртқы қабаттастыру шешімдерін қашан іздеу керек екенін қарастыруға тырысамыз (мысалы, Cisco E- пошта қауіпсіздігі) бұлтыңыздың киберқауіпсіздік тұрғысынан мүмкіндіктерін кеңейтеді. Кейбір жағдайларда, әсіресе көп бұлтты стратегияны ұстанатын болсаңыз, бір уақытта бірнеше бұлттық ортада (мысалы, Cisco CloudLock немесе Cisco Stealthwatch Cloud) сыртқы ақпараттық қауіпсіздікті бақылау шешімдерін пайдаланудан басқа таңдауыңыз болмайды. Кейбір жағдайларда сіз таңдаған (немесе сізге жүктеген) бұлттық провайдер ақпарат қауіпсіздігін бақылау мүмкіндіктерін мүлдем ұсынбайтынын түсінесіз. Бұл жағымсыз, бірақ аз емес, өйткені бұл бұлтпен жұмыс істеуге байланысты тәуекел деңгейін барабар бағалауға мүмкіндік береді.

Бұлтты қауіпсіздік мониторингінің өмірлік циклі

Сіз пайдаланатын бұлттардың қауіпсіздігін бақылау үшін сізде тек үш опция бар:

  • бұлттық провайдер ұсынған құралдарға сеніңіз,
  • сіз пайдаланатын IaaS, PaaS немесе SaaS платформаларын бақылайтын үшінші тараптардың шешімдерін пайдаланыңыз,
  • жеке бұлтты бақылау инфрақұрылымын жасаңыз (тек IaaS/PaaS платформалары үшін).

Осы опциялардың әрқайсысының қандай мүмкіндіктері бар екенін көрейік. Бірақ алдымен бұлттық платформаларды бақылау кезінде қолданылатын жалпы құрылымды түсінуіміз керек. Мен бұлттағы ақпараттық қауіпсіздікті бақылау процесінің 6 негізгі құрамдастарын атап өтер едім:

  • Инфрақұрылымды дайындау. Ақпараттық қауіпсіздік үшін маңызды оқиғаларды сақтау үшін жинау үшін қажетті қосымшалар мен инфрақұрылымды анықтау.
  • Жинақ. Бұл кезеңде қауіпсіздік оқиғалары өңдеу, сақтау және талдау үшін кейіннен жіберу үшін әртүрлі көздерден жинақталады.
  • Емдеу. Бұл кезеңде деректер кейінгі талдауды жеңілдету үшін түрлендіріледі және байытады.
  • Сақтау. Бұл компонент жиналған өңделген және өңделмеген деректерді қысқа мерзімді және ұзақ мерзімді сақтауға жауап береді.
  • Талдау. Бұл кезеңде сізде оқиғаларды анықтау және оларға автоматты түрде немесе қолмен жауап беру мүмкіндігі бар.
  • Есеп беру. Бұл кезең мүдделі тараптар үшін (басшылық, аудиторлар, бұлттық провайдер, клиенттер және т.б.) негізгі көрсеткіштерді тұжырымдауға көмектеседі, олар бізге белгілі бір шешімдерді қабылдауға көмектеседі, мысалы, провайдерді өзгерту немесе ақпараттық қауіпсіздікті күшейту.

Осы құрамдастарды түсіну болашақта провайдеріңізден не алуға болатынын және өзіңіз немесе сыртқы кеңесшілерді тарта отырып, не істеу керектігін жылдам шешуге мүмкіндік береді.

Кірістірілген бұлттық қызметтер

Мен жоғарыда жаздым, бүгінгі күні көптеген бұлттық қызметтер ақпараттық қауіпсіздікті бақылау мүмкіндіктерін бермейді. Жалпы, олар ақпараттық қауіпсіздік тақырыбына аса мән бермейді. Мысалы, Интернет арқылы мемлекеттік органдарға есептерді жіберуге арналған танымал ресейлік қызметтердің бірі (мен оның атын атап өтпеймін). Бұл қызметтің қауіпсіздігі туралы барлық бөлім сертификатталған CIPF пайдалану төңірегінде болады. Электрондық құжат айналымына арналған басқа отандық бұлттық сервистің ақпараттық қауіпсіздік бөлімі де ерекшеленбейді. Онда ашық кілт сертификаттары, сертификатталған криптография, веб-осалдықтарды жою, DDoS шабуылдарынан қорғау, желіаралық қалқандарды пайдалану, сақтық көшірме жасау және тіпті ақпараттық қауіпсіздіктің тұрақты аудиттері туралы айтылады. Бірақ мониторинг туралы да, осы қызмет провайдерінің клиенттерін қызықтыратын ақпараттық қауіпсіздік оқиғаларына қол жеткізу мүмкіндігі туралы да бір ауыз сөз жоқ.

Тұтастай алғанда, бұлттық провайдер өзінің веб-сайтында және құжаттамасында ақпараттық қауіпсіздік мәселелерін сипаттайтындықтан, оның бұл мәселеге қаншалықты маңызды екенін түсінуге болады. Мысалы, «Менің кеңсем» өнімдерінің нұсқаулықтарын оқысаңыз, қауіпсіздік туралы мүлде сөз жоқ, «Менің кеңсем» жеке өнімінің құжаттамасында. KS3», рұқсат етілмеген қол жеткізуден қорғауға арналған, «Менің кеңсем.KS17» іске асыратын FSTEC-тің 3-ші ретті пункттерінің әдеттегі тізімі бар, бірақ оны қалай жүзеге асыратыны және ең бастысы, қалай жүзеге асырылатыны сипатталмаған. бұл механизмдерді корпоративтік ақпараттық қауіпсіздікпен біріктіру. Мүмкін мұндай құжаттама бар шығар, бірақ мен оны қоғамдық доменде, «Менің кеңсем» веб-сайтында таппадым. Мүмкін мен бұл құпия ақпаратқа қол жеткізе алмаймын ба?..

Бұлтты қауіпсіздік мониторингі

Bitrix үшін жағдай әлдеқайда жақсы. Құжаттама оқиғалар журналдарының пішімдерін және бір қызығы, бұлттық платформаға ықтимал қауіптерге қатысты оқиғаларды қамтитын ену журналын сипаттайды. Ол жерден IP, пайдаланушы немесе қонақ атын, оқиға көзін, уақытты, пайдаланушы агентін, оқиға түрін және т.б. шығаруға болады. Рас, сіз бұл оқиғалармен бұлттың басқару тақтасынан жұмыс істей аласыз немесе деректерді MS Excel пішімінде жүктей аласыз. Енді Bitrix журналдарымен жұмысты автоматтандыру қиын және сізге жұмыстың бір бөлігін қолмен орындауға тура келеді (есепті жүктеп салу және оны SIEM жүйесіне жүктеу). Бірақ салыстырмалы түрде жақын уақытқа дейін мұндай мүмкіндік болмағанын еске алсақ, бұл үлкен прогресс. Сонымен қатар, көптеген шетелдік бұлттық провайдерлер «жаңадан бастаушылар үшін» ұқсас функционалдылықты ұсынатынын атап өткім келеді - басқару тақтасы арқылы журналдарға көзбен қараңыз немесе деректерді өзіңізге жүктеңіз (бірақ көбісі . Excel емес, csv пішімі).

Бұлтты қауіпсіздік мониторингі

«Журналсыз» опциясын қарастырмай, бұлттық провайдерлер әдетте қауіпсіздік оқиғаларын бақылаудың үш нұсқасын ұсынады - бақылау тақталары, деректерді жүктеп салу және API қатынасы. Біріншісі сіз үшін көптеген мәселелерді шешетін сияқты, бірақ бұл мүлдем дұрыс емес - егер сізде бірнеше журналдар болса, жалпы суретті жоғалтып, оларды көрсететін экрандар арасында ауысу керек. Сонымен қатар, бұлттық провайдер сізге қауіпсіздік оқиғаларын корреляциялау және оларды қауіпсіздік тұрғысынан жалпы талдау мүмкіндігін беруі екіталай (әдетте сіз өзіңізді түсінуіңіз керек өңделмеген деректермен айналысасыз). Ерекшеліктер бар және біз олар туралы әрі қарай сөйлесеміз. Соңында, бұлт провайдері қандай оқиғаларды, қандай форматта жазып алғанын және олар сіздің ақпараттық қауіпсіздікті бақылау процесіне қалай сәйкес келетінін сұраған жөн. Мысалы, пайдаланушылар мен қонақтарды сәйкестендіру және аутентификация. Дәл сол Bitrix осы оқиғалар негізінде оқиғаның күні мен уақытын, пайдаланушының немесе қонақтың атын («Web Analytics» модулі болса), қолжетімді нысанды және веб-сайтқа тән басқа элементтерді жазуға мүмкіндік береді. . Бірақ корпоративтік ақпараттық қауіпсіздік қызметтері пайдаланушының бұлтқа сенімді құрылғыдан қол жеткізгені туралы ақпаратты қажет етуі мүмкін (мысалы, корпоративтік желіде бұл тапсырманы Cisco ISE жүзеге асырады). Бұлттық қызмет пайдаланушы тіркелгісінің ұрланғанын анықтауға көмектесетін гео-IP функциясы сияқты қарапайым тапсырма туралы не деуге болады? Тіпті бұлттық провайдер сізге оны қамтамасыз етсе де, бұл жеткіліксіз. Дәл сол Cisco CloudLock геолокацияны талдап қана қоймайды, ол үшін машиналық оқытуды пайдаланады және әрбір пайдаланушы үшін тарихи деректерді талдайды және сәйкестендіру және аутентификация әрекеттеріндегі әртүрлі ауытқуларды бақылайды. Тек MS Azure-де ұқсас функционалдылық бар (егер сізде тиісті жазылым болса).

Бұлтты қауіпсіздік мониторингі

Тағы бір қиындық бар - көптеген бұлттық провайдерлер үшін ақпараттық қауіпсіздік мониторингі олар енді ғана айналысып жатқан жаңа тақырып болғандықтан, олар шешімдерінде бір нәрсені үнемі өзгертіп отырады. Бүгін оларда API бір нұсқасы бар, ертең екіншісі, ертеңгі күні үшінші. Бұған да дайын болу керек. Ақпараттық қауіпсіздікті бақылау жүйеңізде ескеру қажет өзгеруі мүмкін функционалдылыққа да солай. Мысалы, Amazon бастапқыда бұлттық оқиғаларды бақылаудың бөлек қызметтеріне ие болды — AWS CloudTrail және AWS CloudWatch. Содан кейін ақпараттық қауіпсіздік оқиғаларын бақылауға арналған жеке қызмет пайда болды - AWS GuardDuty. Біраз уақыттан кейін Amazon жаңа басқару жүйесін іске қосты, Amazon Security Hub, ол GuardDuty, Amazon Inspector, Amazon Macie және тағы басқалардан алынған деректерді талдауды қамтиды. Тағы бір мысал - Azure журналдарын SIEM - AzLog біріктіру құралы. Оны көптеген SIEM жеткізушілері белсенді түрде қолданды, 2018 жылға дейін Майкрософт өзінің дамуы мен қолдауын тоқтатқанын жариялады, бұл құралды пайдаланған көптеген клиенттерге қиындық туғызды (оның қалай шешілгені туралы кейінірек айтатын боламыз).

Сондықтан бұлттық провайдер ұсынатын барлық бақылау мүмкіндіктерін мұқият қадағалаңыз. Немесе SOC және сіз бақылағыңыз келетін бұлт арасында делдал ретінде әрекет ететін сыртқы шешім провайдерлеріне сеніңіз. Иә, бұл қымбатырақ болады (әрдайым болмаса да), бірақ сіз барлық жауапкершілікті біреудің иығына жүктейсіз. Әлде бәрі емес пе?.. Ортақ қауіпсіздік тұжырымдамасын еске түсірейік және біз ештеңені ауыстыра алмайтынымызды түсінейік - әртүрлі бұлттық провайдерлер деректеріңіздің, қолданбалардың, виртуалды машиналар мен басқа ресурстардың ақпараттық қауіпсіздігін бақылауды қалай қамтамасыз ететінін өз бетінше түсінуіміз керек. бұлтта орналастырылған. Біз осы бөлімде Amazon ұсынған нәрселерден бастаймыз.

Мысал: AWS негізіндегі IaaS жүйесінде ақпараттық қауіпсіздікті бақылау

Иә, иә, мен Amazon ең жақсы үлгі емес екенін түсінемін, себебі бұл американдық сервис және оны экстремизммен күрес және Ресейде тыйым салынған ақпаратты тарату аясында бұғаттауға болады. Бірақ бұл жарияланымда мен әртүрлі бұлттық платформалардың ақпараттық қауіпсіздікті бақылау мүмкіндіктерімен қалай ерекшеленетінін және қауіпсіздік тұрғысынан негізгі процестерді бұлттарға тасымалдау кезінде не нәрсеге назар аудару керектігін көрсеткім келеді. Егер бұлтты шешімдердің кейбір ресейлік әзірлеушілері өздері үшін пайдалы нәрсені үйренсе, бұл өте жақсы болады.

Бұлтты қауіпсіздік мониторингі

Бірінші айтарым, Амазонка өтпейтін қамал емес. Оның клиенттерімен үнемі түрлі оқиғалар орын алады. Мысалы, Deep Root Analytics сайтынан 198 миллион сайлаушының аты-жөні, мекенжайы, туған күні мен телефондары ұрланған. Израильдік Nice Systems компаниясы Verizon абоненттерінің 14 миллион жазбасын ұрлады. Дегенмен, AWS кірістірілген мүмкіндіктері оқиғалардың кең ауқымын анықтауға мүмкіндік береді. Мысалы:

  • инфрақұрылымға әсері (DDoS)
  • түйіннің бұзылуы (командалық инъекция)
  • тіркелгіні бұзу және рұқсатсыз кіру
  • қате конфигурация және осалдықтар
  • қауіпсіз интерфейстер мен API интерфейстері.

Бұл сәйкессіздік жоғарыда білгеніміздей, тұтынушы деректерінің қауіпсіздігіне тапсырыс берушінің өзі жауапты екендігіне байланысты. Ал егер ол қорғаныс механизмдерін қосуға әуре болмаса және бақылау құралдарын қоспаса, онда ол оқиға туралы тек БАҚ немесе өз клиенттерінен біледі.

Оқиғаларды анықтау үшін сіз Amazon әзірлеген әртүрлі бақылау қызметтерінің кең ауқымын пайдалана аласыз (бірақ олар көбінесе squery сияқты сыртқы құралдармен толықтырылады). Осылайша, AWS жүйесінде пайдаланушының барлық әрекеттері қалай орындалатынына қарамастан - басқару консолі, пәрмен жолы, SDK немесе басқа AWS қызметтері арқылы бақыланады. Әрбір AWS тіркелгісінің әрекетінің (соның ішінде пайдаланушы аты, әрекет, қызмет, әрекет параметрлері және нәтиже) және API пайдалануының барлық жазбалары AWS CloudTrail арқылы қолжетімді. Бұл оқиғаларды (мысалы, AWS IAM консоль логиндері) CloudTrail консолінен көруге, Amazon Athena көмегімен талдауға немесе оларды Splunk, AlienVault және т.б. сияқты сыртқы шешімдерге «аутсорсингке» беруге болады. AWS CloudTrail журналдарының өзі AWS S3 шелегіне орналастырылады.

Бұлтты қауіпсіздік мониторингі

Басқа екі AWS қызметі бірқатар басқа маңызды бақылау мүмкіндіктерін береді. Біріншіден, Amazon CloudWatch - бұл AWS ресурстары мен қолданбаларына арналған бақылау қызметі, ол басқа нәрселермен қатар бұлттағы әртүрлі ауытқуларды анықтауға мүмкіндік береді. Amazon Elastic Compute Cloud (серверлер), Amazon Relational Database Service (деректер базалары), Amazon Elastic MapReduce (деректерді талдау) және басқа 30 Amazon қызметтері сияқты барлық кірістірілген AWS қызметтері журналдарын сақтау үшін Amazon CloudWatch пайдаланады. Әзірлеушілер Amazon CloudWatch ұсынған ашық API интерфейсін пайдаланушы қолданбалары мен қызметтеріне журналды бақылау функциясын қосу үшін пайдалана алады, бұл оларға қауіпсіздік контекстіндегі оқиғаларды талдау ауқымын кеңейтуге мүмкіндік береді.

Бұлтты қауіпсіздік мониторингі

Екіншіден, VPC Flow Logs қызметі AWS серверлері (сыртқы немесе ішкі) жіберген немесе алған желілік трафикті, сондай-ақ микросервистер арасында талдауға мүмкіндік береді. Кез келген AWS VPC ресурстары желімен өзара әрекеттескенде, VPC Flow журналдары желі трафигі туралы мәліметтерді, соның ішінде бастапқы және тағайындалған желі интерфейсін, сондай-ақ IP мекенжайларын, порттарды, протоколды, байт санын және сіз пайдаланатын пакеттер санын жазады. көрді. Жергілікті желі қауіпсіздігімен тәжірибесі барлар мұны ағындарға ұқсас деп таниды NetFlow, ол коммутаторлар, маршрутизаторлар және кәсіпорын деңгейіндегі брандмауэрлер арқылы жасалуы мүмкін. Бұл журналдар ақпараттық қауіпсіздікті бақылау мақсаттары үшін маңызды, себебі пайдаланушылар мен қолданбалардың әрекеттеріне қатысты оқиғалардан айырмашылығы, олар AWS виртуалды жеке бұлттық ортасында желілік өзара әрекеттесулерді жіберіп алмауға мүмкіндік береді.

Бұлтты қауіпсіздік мониторингі

Қорытындылай келе, осы үш AWS қызметі — AWS CloudTrail, Amazon CloudWatch және VPC Flow Logs — бірге тіркелгіңізді пайдалану, пайдаланушы әрекеті, инфрақұрылымды басқару, қолданбалар мен қызмет көрсету белсенділігі және желі белсенділігі туралы өте күшті түсінік береді. Мысалы, олар келесі ауытқуларды анықтау үшін пайдаланылуы мүмкін:

  • Сайтты сканерлеуге, бэкдорларды іздеуге, «404 қателерінің» жарылыстары арқылы осалдықтарды іздеуге тырысады.
  • «500 қате» жарылыстары арқылы инъекциялық шабуылдар (мысалы, SQL инъекциясы).
  • Белгілі шабуыл құралдары sqlmap, nikto, w3af, nmap және т.б. Пайдаланушы агенті өрісін талдау арқылы.

Amazon Web Services сонымен қатар көптеген басқа мәселелерді шешуге мүмкіндік беретін киберқауіпсіздік мақсатында басқа қызметтерді әзірледі. Мысалы, AWS саясаттары мен конфигурацияларын тексеруге арналған кірістірілген қызметі бар - AWS Config. Бұл қызмет AWS ресурстары мен олардың конфигурацияларының үздіксіз аудитін қамтамасыз етеді. Қарапайым мысалды алайық: Пайдаланушы құпия сөздері барлық серверлеріңізде өшірілгеніне және кіру тек сертификаттар негізінде мүмкін болатынына көз жеткізгіңіз келеді делік. AWS Config мұны барлық серверлеріңіз үшін тексеруді жеңілдетеді. Бұлттық серверлерге қолдануға болатын басқа саясаттар бар: «Ешбір сервер 22 портты пайдалана алмайды», «Тек әкімшілер брандмауэр ережелерін өзгерте алады» немесе «Тек пайдаланушы Ивашко жаңа пайдаланушы тіркелгілерін жасай алады және ол мұны тек сейсенбі күндері жасай алады. " 2016 жылдың жазында әзірленген саясаттардың бұзылуын анықтауды автоматтандыру үшін AWS Config қызметі кеңейтілді. AWS конфигурация ережелері - сәйкес саясаттар бұзылған жағдайда оқиғаларды тудыратын, сіз пайдаланатын Amazon қызметтеріне арналған үздіксіз конфигурация сұраулары. Мысалы, виртуалды сервердегі барлық дискілердің шифрланғанын тексеру үшін AWS Config сұрауларын мерзімді түрде іске қосудың орнына, AWS Config ережелерін осы шарттың орындалғанына көз жеткізу үшін сервер дискілерін үздіксіз тексеру үшін пайдалануға болады. Және, ең бастысы, осы жарияланым контекстінде кез келген бұзушылықтар сіздің ақпараттық қауіпсіздік қызметі талдау жасай алатын оқиғаларды тудырады.

Бұлтты қауіпсіздік мониторингі

AWS сонымен қатар талдауға болатын және қажет болатын қауіпсіздік оқиғаларын жасайтын дәстүрлі корпоративтік ақпараттық қауіпсіздік шешімдеріне баламасы бар:

  • Интрузияны анықтау – AWS GuardDuty
  • Ақпараттың ағып кетуін бақылау - AWS Macie
  • EDR (бұл бұлттағы соңғы нүктелер туралы біраз оғаш айтылғанымен) - AWS Cloudwatch + ашық бастапқы кодты сұрау немесе GRR шешімдері
  • Netflow талдауы - AWS Cloudwatch + AWS VPC Flow
  • DNS талдауы - AWS Cloudwatch + AWS Route53
  • AD - AWS каталог қызметі
  • Есептік жазбаны басқару - AWS IAM
  • SSO - AWS SSO
  • қауіпсіздік талдауы - AWS инспекторы
  • конфигурацияны басқару - AWS Config
  • WAF - AWS WAF.

Мен ақпараттық қауіпсіздік контекстінде пайдалы болуы мүмкін барлық Amazon қызметтерін егжей-тегжейлі сипаттамаймын. Ең бастысы, олардың барлығы біз ақпараттық қауіпсіздік контекстінде талдай алатын және талдай алатын оқиғаларды жасай алатындығын түсіну, бұл үшін Amazon-ның өзінің кірістірілген мүмкіндіктерін де, сыртқы шешімдерді де пайдалана алады, мысалы, SIEM. қауіпсіздік оқиғаларын бақылау орталығына апарыңыз және оларды басқа бұлттық қызметтерден немесе ішкі инфрақұрылымнан, периметрден немесе мобильді құрылғылардан оқиғалармен бірге сол жерде талдаңыз.

Бұлтты қауіпсіздік мониторингі

Қалай болғанда да, бәрі сізді ақпараттық қауіпсіздік оқиғаларымен қамтамасыз ететін деректер көздерінен басталады. Бұл көздер мыналарды қамтиды, бірақ олармен шектелмейді:

  • CloudTrail - API пайдалану және пайдаланушы әрекеттері
  • Сенімді кеңесші – ең жақсы тәжірибелерге қарсы қауіпсіздікті тексеру
  • Config - тіркелгілер мен қызмет параметрлерін түгендеу және конфигурациялау
  • VPC Flow Logs - виртуалды интерфейстерге қосылымдар
  • IAM – сәйкестендіру және аутентификация қызметі
  • ELB қатынасу журналдары - Load Balancer
  • Инспектор – қолданбаның осалдықтары
  • S3 - файлдарды сақтау
  • CloudWatch - Қолданба әрекеті
  • SNS — хабарландыру қызметі.

Amazon оқиға көздері мен оларды құруға арналған құралдардың осындай ауқымын ұсына отырып, ақпараттық қауіпсіздік контекстінде жиналған деректерді талдау мүмкіндігінде өте шектеулі. Сізге қол жетімді журналдарды өз бетінше зерделеп, олардағы ымыраға келудің тиісті көрсеткіштерін іздеу керек болады. Жақында Amazon іске қосқан AWS Security Hub бұл мәселені AWS үшін бұлтты SIEM болу арқылы шешуге бағытталған. Бірақ әзірге ол өз сапарының басында ғана және ол жұмыс істейтін көздердің санымен де, Amazon архитектурасы мен жазылымдарымен белгіленген басқа шектеулермен де шектелген.

Мысал: Azure негізіндегі IaaS жүйесінде ақпараттық қауіпсіздікті бақылау

Мен үш бұлттық провайдерлердің (Amazon, Microsoft немесе Google) қайсысы жақсы екендігі туралы ұзақ пікірталасқа түскім келмейді (әсіресе олардың әрқайсысында әлі де өзіндік ерекшеліктері бар және өз мәселелерін шешуге жарамды); Осы ойыншылар беретін ақпараттық қауіпсіздікті бақылау мүмкіндіктеріне тоқталайық. Мойындау керек, Amazon AWS осы сегменттегі алғашқылардың бірі болды және сондықтан өзінің ақпараттық қауіпсіздік функциялары бойынша ең алысқа жетті (бірақ көбісі оларды пайдалану қиын екенін мойындайды). Бірақ бұл Microsoft пен Google бізге беретін мүмкіндіктерді елемейміз дегенді білдірмейді.

Microsoft өнімдері әрқашан өздерінің «ашықтығымен» ерекшеленді және Azure-де жағдай ұқсас. Мысалы, егер AWS және GCP әрқашан «рұқсат етілмеген нәрсеге тыйым салынады» тұжырымдамасынан шығатын болса, Azure-де мүлдем қарама-қарсы көзқарас бар. Мысалы, бұлтта виртуалды желіні және ондағы виртуалды машинаны жасау кезінде барлық порттар мен протоколдар ашық және әдепкі бойынша рұқсат етіледі. Сондықтан Microsoft корпорациясынан бұлттағы қол жеткізуді басқару жүйесін бастапқы орнатуға біраз күш жұмсауға тура келеді. Бұл сонымен қатар Azure бұлтындағы бақылау белсенділігіне қатысты сізге қатаңырақ талаптар қояды.

Бұлтты қауіпсіздік мониторингі

AWS-тің ерекшелігі, виртуалды ресурстарды бақылаған кезде, егер олар әртүрлі аймақтарда орналасса, онда сіз барлық оқиғаларды және олардың бірыңғай талдауын біріктіруде қиындықтарға тап боласыз, оны жою үшін әртүрлі трюктерге жүгіну керек, мысалы. Оқиғаларды аймақтар арасында тасымалдайтын AWS Lambda үшін жеке кодты жасаңыз. Azure-де бұл мәселе жоқ - оның Activity Log механизмі бүкіл ұйымдағы барлық әрекеттерді шектеусіз бақылайды. Бірыңғай қауіпсіздік орталығында көптеген қауіпсіздік функцияларын біріктіру үшін жақында Amazon әзірлеген AWS Security Hub-қа да қатысты, бірақ тек оның аймағында ғана, бірақ бұл Ресей үшін маңызды емес. Azure-де бұлттық платформаның барлық қауіпсіздік мүмкіндіктеріне қол жеткізуді қамтамасыз ететін аймақтық шектеулермен шектелмейтін өзінің қауіпсіздік орталығы бар. Сонымен қатар, әртүрлі жергілікті командалар үшін ол өздерінің қорғаныс мүмкіндіктерін, соның ішінде олар басқаратын қауіпсіздік оқиғаларын қамтамасыз ете алады. AWS Security Hub әлі де Azure қауіпсіздік орталығына ұқсас болу жолында. Бірақ майға шыбын қосу керек - сіз Azure-дан AWS-те бұрын сипатталған нәрселердің көбін сығып алуға болады, бірақ бұл тек Azure AD, Azure Monitor және Azure қауіпсіздік орталығы үшін ең қолайлы. Барлық басқа Azure қауіпсіздік механизмдері, соның ішінде қауіпсіздік оқиғасын талдау, әлі ең қолайлы жолмен басқарылмайды. Мәселе ішінара барлық Microsoft Azure қызметтеріне енетін API арқылы шешілді, бірақ бұл сіздің SOC-пен бұлтты біріктіру және білікті мамандардың болуы (шын мәнінде, бұлтпен жұмыс істейтін кез келген басқа SIEM сияқты) үшін қосымша күш-жігерді қажет етеді. API). Кейінірек талқыланатын кейбір SIEMs қазірдің өзінде Azure-ді қолдайды және оны бақылау тапсырмасын автоматтандыруы мүмкін, бірақ оның да өзіндік қиындықтары бар - олардың барлығы Azure-дегі барлық журналдарды жинай алмайды.

Бұлтты қауіпсіздік мониторингі

Azure жүйесінде оқиғаларды жинау және бақылау Microsoft бұлтында және оның ресурстарында деректерді жинау, сақтау және талдаудың негізгі құралы болып табылатын Azure Monitor қызметі арқылы қамтамасыз етіледі - Git репозиторийлері, контейнерлері, виртуалды машиналары, қолданбалары және т.б. Azure Monitor жинайтын барлық деректер екі санатқа бөлінеді - нақты уақытта жиналған және Azure бұлтының негізгі өнімділік көрсеткіштерін сипаттайтын көрсеткіштер және Azure ресурстары мен қызметтері қызметінің белгілі аспектілерін сипаттайтын жазбаларға ұйымдастырылған деректерді қамтитын журналдар. Бұған қоса, Data Collector API арқылы Azure Monitor қызметі өзінің жеке бақылау сценарийлерін құру үшін кез келген REST көзінен деректерді жинай алады.

Бұлтты қауіпсіздік мониторингі

Мұнда Azure ұсынатын және Azure Portal, CLI, PowerShell немесе REST API (және кейбіреулері тек Azure Monitor/Insight API арқылы) арқылы қол жеткізе алатын бірнеше қауіпсіздік оқиғасының көздері берілген:

  • Әрекет журналдары - бұл журнал бұлттық ресурстардағы кез келген жазу әрекетіне (PUT, POST, DELETE) қатысты «кім», «не» және «қашан» классикалық сұрақтарына жауап береді. Оқуға рұқсатқа (GET) қатысты оқиғалар басқа бірқатар сияқты бұл журналға қосылмаған.
  • Диагностикалық журналдар - жазылымыңызға енгізілген белгілі бір ресурспен операциялар туралы деректерді қамтиды.
  • Azure AD есеп беруі - топ пен пайдаланушыны басқаруға қатысты пайдаланушы әрекетін де, жүйе әрекетін де қамтиды.
  • Windows Event Log және Linux Syslog - бұлтта орналастырылған виртуалды машиналардағы оқиғаларды қамтиды.
  • Көрсеткіштер - бұлттық қызметтер мен ресурстардың өнімділігі мен денсаулық күйі туралы телеметрияны қамтиды. Әр минут сайын өлшеніп, сақталады. 30 күн ішінде.
  • Желілік қауіпсіздік тобының ағыны журналдары - Network Watcher қызметі және желі деңгейінде ресурстарды бақылау арқылы жиналған желілік қауіпсіздік оқиғалары туралы деректерді қамтиды.
  • Сақтау журналдары - сақтау орындарына қол жеткізуге қатысты оқиғаларды қамтиды.

Бұлтты қауіпсіздік мониторингі

Бақылау үшін сыртқы SIEM немесе кірістірілген Azure Monitor және оның кеңейтімдерін пайдалануға болады. Ақпараттық қауіпсіздік оқиғаларын басқару жүйелері туралы кейінірек айтатын боламыз, бірақ қазір қауіпсіздік контекстінде деректерді талдау үшін Azure өзі бізге не ұсынатынын көрейік. Azure мониторындағы қауіпсіздікке қатысты барлық нәрсенің негізгі экраны Log Analytics қауіпсіздік және аудит бақылау тақтасы болып табылады (тегін нұсқа тек бір апта ішінде оқиғаларды сақтаудың шектеулі көлемін қолдайды). Бұл бақылау тақтасы сіз пайдаланып жатқан бұлттық ортада не болып жатқанының жиынтық статистикасын бейнелейтін 5 негізгі аймаққа бөлінген:

  • Қауіпсіздік домендері – ақпараттық қауіпсіздікке қатысты негізгі сандық көрсеткіштер – инциденттер саны, бұзылған түйіндер саны, түзетілмеген түйіндер, желілік қауіпсіздік оқиғалары және т.б.
  • Маңызды мәселелер – ақпараттық қауіпсіздіктің белсенді мәселелерінің саны мен маңыздылығын көрсетеді
  • Анықтаулар - сізге қарсы қолданылатын шабуылдардың үлгілерін көрсетеді
  • Threat Intelligence - сізге шабуыл жасайтын сыртқы түйіндер туралы географиялық ақпаратты көрсетеді
  • Жалпы қауіпсіздік сұраулары – ақпараттық қауіпсіздікті жақсырақ бақылауға көмектесетін типтік сұраулар.

Бұлтты қауіпсіздік мониторингі

Azure Monitor кеңейтімдері Azure Key Vault (бұлтта криптографиялық кілттерді қорғау), зиянды бағдарламаны бағалау (виртуалды машиналардағы зиянды кодтан қорғауды талдау), Azure Application Gateway Analytics (басқа нәрселермен қатар, бұлттық брандмауэр журналдарын талдау) және т.б. . Оқиғаларды өңдеудің белгілі бір ережелерімен байытылған бұл құралдар бұлттық қызметтер қызметінің әртүрлі аспектілерін, соның ішінде қауіпсіздікті визуализациялауға және жұмыстан белгілі бір ауытқуларды анықтауға мүмкіндік береді. Бірақ, жиі болатындай, кез келген қосымша функционалдық сәйкес ақылы жазылымды қажет етеді, ол сізден тиісті қаржылық инвестицияларды талап етеді, оны алдын ала жоспарлау керек.

Бұлтты қауіпсіздік мониторингі

Azure жүйесінде Azure AD, Azure Monitor және Azure қауіпсіздік орталығына біріктірілген бірқатар кірістірілген қауіпті бақылау мүмкіндіктері бар. Олардың ішінде, мысалы, виртуалды машиналардың белгілі зиянды IP-мен өзара әрекеттесуін анықтау (Microsoft компаниясының Threat Intelligence қызметтерімен интеграцияның болуына байланысты), бұлтта орналастырылған виртуалды машиналардан дабылдарды алу арқылы бұлттық инфрақұрылымда зиянды бағдарламаларды анықтау, құпия сөз виртуалды машиналардағы шабуылдарды болжау, пайдаланушы сәйкестендіру жүйесінің конфигурациясындағы осалдықтар, жүйеге анонимизаторлардан немесе вирус жұққан түйіндерден кіру, тіркелгілердің ағып кетуі, жүйеге әдеттен тыс жерлерден кіру және т.б. Azure бүгінгі күні жиналған ақпарат қауіпсіздігі оқиғаларын байыту үшін кірістірілген Threat Intelligence мүмкіндіктерін ұсынатын бірнеше бұлттық провайдерлердің бірі болып табылады.

Бұлтты қауіпсіздік мониторингі

Жоғарыда айтылғандай, қауіпсіздік функциясы және оның нәтижесінде жасалған қауіпсіздік оқиғалары барлық пайдаланушыларға бірдей қол жетімді емес, бірақ ақпараттық қауіпсіздік мониторингі үшін сәйкес оқиғаларды генерациялайтын қажетті функционалдылықты қамтитын белгілі бір жазылымды қажет етеді. Мысалы, есептік жазбалардағы ауытқуларды бақылауға арналған алдыңғы параграфта сипатталған кейбір функциялар Azure AD қызметіне арналған P2 премиум лицензиясында ғана қолжетімді. Онсыз сіз, AWS жағдайындағыдай, жиналған қауіпсіздік оқиғаларын «қолмен» талдауға тура келеді. Сондай-ақ, Azure AD лицензиясының түріне байланысты барлық оқиғалар талдау үшін қол жетімді болмайды.

Azure порталында сізді қызықтыратын журналдар үшін іздеу сұрауларының екеуін де басқаруға және негізгі ақпарат қауіпсіздігі көрсеткіштерін визуализациялау үшін бақылау тақталарын орнатуға болады. Бұған қоса, сіз Azure Monitor журналдарының функционалдығын кеңейтуге және қауіпсіздік тұрғысынан оқиғаларды тереңірек талдауға мүмкіндік беретін Azure Monitor кеңейтімдерін таңдай аласыз.

Бұлтты қауіпсіздік мониторингі

Егер сізге журналдармен жұмыс істеу мүмкіндігі ғана емес, сонымен қатар ақпараттық қауіпсіздік саясатын басқаруды қоса алғанда, Azure бұлттық платформасы үшін кешенді қауіпсіздік орталығы қажет болса, онда сіз Azure қауіпсіздік орталығымен жұмыс істеу қажеттілігі туралы айта аласыз, оның пайдалы функцияларының көпшілігі. кейбір ақшаға қол жетімді, мысалы, қауіпті анықтау, Azure-дан тыс бақылау, сәйкестікті бағалау және т.б. (тегін нұсқада сіз тек қауіпсіздікті бағалауға және анықталған мәселелерді жоюға арналған ұсыныстарға қол жеткізе аласыз). Ол барлық қауіпсіздік мәселелерін бір жерде біріктіреді. Шын мәнінде, біз Azure Monitor ұсынатын ақпарат қауіпсіздігінің жоғары деңгейі туралы айта аламыз, өйткені бұл жағдайда бұлттық зауытта жиналған деректер Azure, Office 365, Microsoft CRM online, Microsoft Dynamics AX сияқты көптеген көздердің көмегімен байытылған. , outlook .com, MSN.com, Microsoft Digital Crimes Unit (DCU) және Microsoft Security Response Center (MSRC), оларда әртүрлі күрделі машиналық оқыту және мінез-құлық талдауының алгоритмдері орналастырылған, бұл ақыр соңында қауіптерді анықтау және оларға жауап беру тиімділігін арттыруы керек. .

Azure-де өзінің SIEM жүйесі бар - ол 2019 жылдың басында пайда болды. Бұл Azure Monitor деректеріне негізделген және онымен біріктіре алатын Azure Sentinel. сыртқы қауіпсіздік шешімдері (мысалы, NGFW немесе WAF), олардың тізімі үнемі өсіп отырады. Бұған қоса, Microsoft Graph Security API интеграциясы арқылы сіз Azure бұлтындағы оқиғаларды талдау мүмкіндіктерін байытатын өзіңіздің Threat Intelligence арналарын Sentinel қызметіне қосу мүмкіндігіне ие боласыз. Azure Sentinel бұлт провайдерлерінен пайда болған алғашқы «туған» SIEM (бұлтта орналастыруға болатын Splunk немесе ELK, мысалы, AWS, әлі де дәстүрлі бұлттық қызмет провайдерлері әзірлемеген) деп айтуға болады. Azure Sentinel және Қауіпсіздік орталығын Azure бұлты үшін SOC деп атауға болады және олармен шектелуі мүмкін (белгілі бір ескертпелер), егер сізде енді ешқандай инфрақұрылым болмаса және барлық есептеу ресурстарын бұлтқа тасымалдасаңыз және ол Microsoft бұлты Azure болар еді.

Бұлтты қауіпсіздік мониторингі

Бірақ Azure кіріктірілген мүмкіндіктері (тіпті сізде Sentinel жазылымы болса да) ақпараттық қауіпсіздікті бақылау және осы процесті қауіпсіздік оқиғаларының басқа көздерімен (бұлттық және ішкі) біріктіру мақсатында жиі жеткіліксіз болғандықтан, жиналған деректерді SIEM қамтуы мүмкін сыртқы жүйелерге экспорттау қажет. Бұл API арқылы да, арнайы кеңейтімдер арқылы да орындалады, олар қазіргі уақытта тек келесі SIEM үшін ресми түрде қол жетімді - Splunk (Splunk үшін Azure Monitor қосымшасы), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight және ELK. Соңғы уақытқа дейін мұндай SIEM-тер көбірек болды, бірақ 1 жылдың 2019 маусымынан бастап Microsoft Azure журналын біріктіру құралына (AzLog) қолдау көрсетуді тоқтатты, ол Azure пайда болған кезде және журналдармен жұмыс істеуді қалыпты стандарттау болмаған кезде (Azure) Монитор әлі болған жоқ) сыртқы SIEM-ді Microsoft бұлтымен оңай біріктіруге мүмкіндік берді. Енді жағдай өзгерді және Microsoft басқа SIEM үшін негізгі біріктіру құралы ретінде Azure Event Hub платформасын ұсынады. Көбісі мұндай интеграцияны енгізіп қойған, бірақ абай болыңыз - олар барлық Azure журналдарын түсіре алмайды, бірақ кейбіреулерін ғана (SIEM құжаттамасынан қараңыз).

Azure-ге қысқаша экскурсияны аяқтай отырып, мен осы бұлттық қызмет туралы жалпы ұсыныс бергім келеді – Azure жүйесіндегі ақпараттық қауіпсіздікті бақылау функциялары туралы ештеңе айтпас бұрын, оларды өте мұқият конфигурациялау керек және олардың құжаттамада жазылғандай және кеңесшілер сізге Microsoft айтқанындай (және олардың Azure функцияларының функционалдығы туралы әртүрлі көзқарастары болуы мүмкін). Егер сізде қаржылық ресурстар болса, ақпараттық қауіпсіздікті бақылау тұрғысынан Azure-дан көптеген пайдалы ақпаратты сығып алуға болады. Егер сіздің ресурстарыңыз шектеулі болса, AWS жағдайындағы сияқты, сізге тек өзіңіздің күшіңізге және Azure Monitor ұсынатын бастапқы деректерге сенуге тура келеді. Есіңізде болсын, көптеген бақылау функциялары ақшаны талап етеді және баға саясатымен алдын ала танысқан жөн. Мысалы, сіз 31 күндік деректерді бір тұтынушыға максимум 5 ГБ-қа дейін тегін сақтай аласыз - бұл мәндерден асып кету сізге қосымша ақша алуды талап етеді (тұтынушыдан әрбір қосымша ГБ сақтау үшін шамамен $2+ және тұтынушы үшін $0,1). қосымша ай сайын 1 ГБ сақтау). Қолданбаның телеметриясымен және метрикасымен жұмыс істеу қосымша қаражатты, сондай-ақ ескертулермен және хабарландырулармен жұмыс істеуді қажет етуі мүмкін (белгілі бір шектеу тегін қол жетімді, ол сіздің қажеттіліктеріңізге жеткіліксіз болуы мүмкін).

Мысал: Google Cloud Platform негізіндегі IaaS жүйесінде ақпараттық қауіпсіздік мониторингі

Google Cloud Platform AWS және Azure-пен салыстырғанда жас сияқты, бірақ бұл ішінара жақсы. Бірте-бірте орталықтандыру проблемалары бар өзінің мүмкіндіктерін, соның ішінде қауіпсіздікті арттыратын AWS-тен айырмашылығы; GCP, Azure сияқты, орталықтан әлдеқайда жақсы басқарылады, бұл қателер мен кәсіпорын бойынша іске асыру уақытын азайтады. Қауіпсіздік тұрғысынан, GCP, таңқаларлық, AWS және Azure арасында. Сондай-ақ оның бүкіл ұйым үшін бір оқиға тіркеуі бар, бірақ ол толық емес. Кейбір функциялар әлі бета режимінде, бірақ бірте-бірте бұл жетіспеушілік жойылуы керек және GCP ақпараттық қауіпсіздік мониторингі тұрғысынан жетілген платформаға айналады.

Бұлтты қауіпсіздік мониторингі

GCP жүйесінде оқиғаларды тіркеудің негізгі құралы - Stackdriver Logging (Azure Monitor-қа ұқсас), ол оқиғаларды бүкіл бұлттық инфрақұрылым бойынша (сонымен қатар AWS жүйесінен) жинауға мүмкіндік береді. GCP жүйесіндегі қауіпсіздік тұрғысынан әрбір ұйымның, жобаның немесе қалтаның төрт журналы бар:

  • Әкімші әрекеті - әкімшілік қатынасқа қатысты барлық оқиғаларды қамтиды, мысалы, виртуалды машинаны жасау, кіру құқықтарын өзгерту және т.б. Бұл журнал әрқашан сіздің қалауыңызға қарамастан жазылады және оның деректерін 400 күн бойы сақтайды.
  • Деректерге қол жеткізу - бұлтты пайдаланушылардың деректермен жұмыс істеуіне қатысты барлық оқиғаларды қамтиды (жасау, өзгерту, оқу және т.б.). Әдепкі бойынша, бұл журнал жазылмайды, өйткені оның көлемі өте тез өседі. Осы себепті оның жарамдылық мерзімі небәрі 30 күн. Оның үстіне бұл журналда бәрі жазылмаған. Мысалы, барлық пайдаланушылар үшін жалпыға қолжетімді немесе GCP жүйесіне кірмей қол жетімді ресурстарға қатысты оқиғалар оған жазылмайды.
  • Жүйе оқиғасы - пайдаланушыларға қатысты емес жүйелік оқиғаларды немесе бұлттық ресурстардың конфигурациясын өзгертетін әкімшінің әрекеттерін қамтиды. Ол үнемі жазылып, 400 күн сақталады.
  • Access Transparency - бұл сіздің инфрақұрылымыңызға өздерінің лауазымдық міндеттерінің бөлігі ретінде кіретін Google қызметкерлерінің (бірақ барлық GCP қызметтері үшін емес) барлық әрекеттерін жазатын журналдың бірегей мысалы. Бұл журнал 400 күн бойы сақталады және әрбір GCP клиенті үшін қол жетімді емес, бірақ бірқатар шарттар орындалған жағдайда ғана (немесе Gold немесе Platinum деңгейіндегі қолдау немесе корпоративтік қолдаудың бөлігі ретінде белгілі бір түрдегі 4 рөлдің болуы). Ұқсас функция, мысалы, Office 365 - Lockbox ішінде де қол жетімді.

Журнал мысалы: мөлдірлікке қол жеткізу

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Бұл журналдарға кіру бірнеше жолмен мүмкін болады (бұрын талқыланған Azure және AWS сияқты) - Log Viewer интерфейсі, API арқылы, Google Cloud SDK арқылы немесе жобаңыздың әрекет беті арқылы. оқиғаларға қызығушылық танытады. Сол сияқты, оларды қосымша талдау үшін сыртқы шешімдерге экспорттауға болады. Соңғысы журналдарды BigQuery немесе Cloud Pub/Sub қоймасына экспорттау арқылы орындалады.

Stackdriver Logging-тен басқа, GCP платформасы бұлттық қызметтер мен қолданбалардың негізгі көрсеткіштерін (өнімділік, MTBF, жалпы денсаулық және т.б.) бақылауға мүмкіндік беретін Stackdriver Monitoring функциясын ұсынады. Өңделген және көрнекі деректер бұлттық инфрақұрылымдағы, соның ішінде қауіпсіздік контекстіндегі мәселелерді табуды жеңілдетеді. Бірақ бұл функционалдылық ақпараттық қауіпсіздік контекстінде өте бай болмайтынын атап өткен жөн, өйткені бүгінгі күні GCP-де бірдей AWS GuardDuty аналогы жоқ және барлық тіркелген оқиғалардың арасында нашарларды анықтай алмайды (Google Event Threat Detection әзірледі, бірақ ол әлі бета-нұсқада әзірленуде және оның пайдалылығы туралы айту әлі ерте). Stackdriver Monitoring аномалияларды анықтау жүйесі ретінде пайдаланылуы мүмкін, содан кейін олардың пайда болу себептерін табу үшін зерттеледі. Бірақ нарықта GCP ақпараттық қауіпсіздігі саласында білікті кадрлардың жоқтығын ескере отырып, бұл тапсырма қазіргі уақытта қиын болып көрінеді.

Бұлтты қауіпсіздік мониторингі

Сондай-ақ GCP бұлтында пайдалануға болатын және AWS ұсынатындарға ұқсас кейбір ақпараттық қауіпсіздік модульдерінің тізімін берген жөн:

  • Cloud Security Command Center — AWS Security Hub және Azure қауіпсіздік орталығының аналогы.
  • Cloud DLP - 90-нан астам алдын ала анықталған жіктеу саясатын қолдана отырып, бұлтта орналастырылған деректерді автоматты түрде табу және өңдеу (мысалы, бүркемелеу).
  • Cloud Scanner — App Engine, Compute Engine және Google Kubernetes жүйелеріндегі белгілі осалдықтарға (XSS, Flash Injection, түзетілмеген кітапханалар және т.б.) арналған сканер.
  • Cloud IAM - барлық GCP ресурстарына қол жеткізуді басқару.
  • Cloud Identity - GCP пайдаланушысын, құрылғыны және қолданба тіркелгілерін бір консольден басқарыңыз.
  • Cloud HSM – криптографиялық кілттерді қорғау.
  • Бұлтты кілттерді басқару қызметі – GCP жүйесіндегі криптографиялық кілттерді басқару.
  • VPC қызметін басқару - оларды ағып кетуден қорғау үшін GCP ресурстарының айналасында қауіпсіз периметрді жасаңыз.
  • Titan қауіпсіздік кілті - фишингтен қорғау.

Бұлтты қауіпсіздік мониторингі

Бұл модульдердің көпшілігі талдау немесе басқа жүйелерге, соның ішінде SIEMге экспорттау үшін BigQuery жадына жіберілетін қауіпсіздік оқиғаларын жасайды. Жоғарыда айтылғандай, GCP - белсенді дамып келе жатқан платформа және Google қазір өз платформасы үшін бірқатар жаңа ақпараттық қауіпсіздік модульдерін әзірлеуде. Олардың арасында рұқсат етілмеген әрекет іздерін іздеу үшін Stackdriver журналдарын сканерлейтін Event Threat Detection (қазір бета нұсқасында қол жетімді) немесе Policy Intelligence (альфа нұсқасында қол жетімді) бар. GCP ресурстарына қол жеткізу.

Мен танымал бұлттық платформалардағы кірістірілген бақылау мүмкіндіктеріне қысқаша шолу жасадым. Бірақ сізде IaaS провайдерінің «шикі» журналдарымен жұмыс істей алатын мамандар бар ма (AWS немесе Azure немесе Google-дың кеңейтілген мүмкіндіктерін сатып алуға барлығы дайын емес)? Бұған қоса, қауіпсіздік саласында бұрынғыдан да дұрыс болып табылатын «сенімге сен, бірақ тексер» деген мақал көпшілікке таныс. Сізге ақпараттық қауіпсіздік оқиғаларын жіберетін бұлт провайдерінің кірістірілген мүмкіндіктеріне қаншалықты сенесіз? Олар ақпараттық қауіпсіздікке қаншалықты көңіл бөледі?

Кейде кірістірілген бұлттық қауіпсіздікті толықтыра алатын қабаттағы бұлттық инфрақұрылымды бақылау шешімдерін қарастырған жөн, ал кейде мұндай шешімдер бұлтта орналастырылған деректер мен қолданбалардың қауіпсіздігі туралы түсінік алудың жалғыз мүмкіндігі болып табылады. Сонымен қатар, олар жай ғана ыңғайлы, өйткені олар әртүрлі бұлттық провайдерлердің әртүрлі бұлттық қызметтері жасаған қажетті журналдарды талдаудың барлық тапсырмаларын алады. Мұндай қабаттасатын шешімнің мысалы Cisco Stealthwatch Cloud болып табылады, ол бір тапсырмаға бағытталған - бұлтты орталардағы ақпараттық қауіпсіздік аномалияларын бақылау, соның ішінде Amazon AWS, Microsoft Azure және Google Cloud Platform ғана емес, сонымен қатар жеке бұлттар.

Мысал: Stealthwatch Cloud көмегімен ақпараттық қауіпсіздікті бақылау

AWS икемді есептеу платформасын ұсынады, бірақ бұл икемділік компаниялардың қауіпсіздік мәселелеріне әкелетін қателіктер жіберуін жеңілдетеді. Ал ақпараттық қауіпсіздіктің ортақ моделі тек осыған ықпал етеді. Белгісіз осалдықтары бар бұлтта бағдарламалық жасақтаманы іске қосу (белгілілермен күресуге болады, мысалы, AWS Inspector немесе GCP Cloud Scanner), әлсіз құпия сөздер, дұрыс емес конфигурациялар, инсайдерлер және т.б. Және мұның бәрі бұлтты ресурстардың әрекетінде көрінеді, оны Cisco Stealthwatch Cloud бақылай алады, бұл ақпараттық қауіпсіздікті бақылау және шабуылдарды анықтау жүйесі. қоғамдық және жеке бұлттар.

Бұлтты қауіпсіздік мониторингі

Cisco Stealthwatch Cloud негізгі мүмкіндіктерінің бірі нысандарды модельдеу мүмкіндігі болып табылады. Оның көмегімен сіз бұлтты ресурстарыңыздың әрқайсысының бағдарламалық жасақтама үлгісін (яғни, нақты уақыттағы модельдеу) жасай аласыз (ол AWS, Azure, GCP немесе басқа нәрсе ме маңызды емес). Олар серверлер мен пайдаланушыларды, сондай-ақ қауіпсіздік топтары және автоматты масштабтау топтары сияқты бұлттық ортаңызға тән ресурс түрлерін қамтуы мүмкін. Бұл модельдер кіріс ретінде бұлттық қызметтер ұсынатын құрылымдық деректер ағындарын пайдаланады. Мысалы, AWS үшін бұл VPC Flow Logs, AWS CloudTrail, AWS CloudWatch, AWS Config, AWS Inspector, AWS Lambda және AWS IAM болады. Нысанды модельдеу кез келген ресурстардың рөлі мен әрекетін автоматты түрде анықтайды (барлық бұлттық әрекетті профильдеу туралы айтуға болады). Бұл рөлдерге Android немесе Apple мобильді құрылғысы, Citrix PVS сервері, RDP сервері, пошта шлюзі, VoIP клиенті, терминал сервері, домен контроллері және т.б. Содан кейін ол қауіпті немесе қауіпсіздікке қауіп төндіретін мінез-құлық орын алған кезде анықтау үшін олардың мінез-құлқын үздіксіз бақылайды. Құпия сөзді болжау, DDoS шабуылдары, деректердің ағуы, заңсыз қашықтан кіру, зиянды код әрекеті, осалдықты сканерлеу және басқа қауіптерді анықтауға болады. Мысалы, ұйымыңызға тән емес елден (Оңтүстік Корея) SSH арқылы Kubernetes кластеріне қашықтан қол жеткізу әрекетін анықтау келесідей:

Бұлтты қауіпсіздік мониторингі

Постгресс дерекқорынан біз бұрын араласпаған елге ақпараттың ағып кетуі осылай көрінеді:

Бұлтты қауіпсіздік мониторингі

Соңында, сыртқы қашықтағы құрылғыдан Қытай мен Индонезиядан тым көп сәтсіз SSH әрекеттері келесідей:

Бұлтты қауіпсіздік мониторингі

Немесе VPC ішіндегі сервер данасы саясат бойынша ешқашан қашықтағы кіру орны болмайды делік. Одан әрі брандмауэр ережелерінің саясатындағы қате өзгертуге байланысты бұл компьютер қашықтан кіруге ұшырады деп есептейік. Нысанды модельдеу мүмкіндігі бұл әрекетті («Ерекше қашықтан қол жеткізу») нақты уақыт режимінде анықтайды және хабарлайды және арнайы AWS CloudTrail, Azure Monitor немесе GCP Stackdriver Logging API қоңырауына (соның ішінде пайдаланушы аты, күні мен уақыты, басқа мәліметтерді қоса) көрсетеді. МӘС ережесін өзгертуге түрткі болды. Содан кейін бұл ақпаратты талдау үшін SIEM-ге жіберуге болады.

Бұлтты қауіпсіздік мониторингі

Ұқсас мүмкіндіктер Cisco Stealthwatch Cloud қолдайтын кез келген бұлттық орта үшін жүзеге асырылады:

Бұлтты қауіпсіздік мониторингі

Нысанды модельдеу – адамдармен, процестермен немесе технологиямен бұрын белгісіз мәселені аша алатын қауіпсіздікті автоматтандырудың бірегей түрі. Мысалы, ол басқа нәрселермен қатар қауіпсіздік мәселелерін анықтауға мүмкіндік береді, мысалы:

  • Біреу біз пайдаланатын бағдарламалық құралда бэкдорды тапты ма?
  • Біздің бұлтта үшінші тарап бағдарламалық жасақтамасы немесе құрылғысы бар ма?
  • Рұқсат етілген пайдаланушы артықшылықтарды теріс пайдаланып жатыр ма?
  • Қашықтан қол жеткізуге немесе ресурстарды басқа мақсатсыз пайдалануға мүмкіндік беретін конфигурация қатесі болды ма?
  • Біздің серверлерден деректер ағып жатыр ма?
  • Біреу бізге типтік емес географиялық жерден қосылуға тырысты ма?
  • Біздің бұлт зиянды кодпен жұқтырылған ба?

Бұлтты қауіпсіздік мониторингі

Анықталған ақпараттық қауіпсіздік оқиғасы сәйкес билет түрінде Slack, Cisco Spark, PagerDuty оқиғаларды басқару жүйесіне жіберіледі, сондай-ақ Splunk немесе ELK қоса, әртүрлі SIEM-ге жіберіледі. Қорытындылай келе, егер сіздің компанияңыз көп бұлтты стратегияны қолданса және жоғарыда сипатталған ақпараттық қауіпсіздікті бақылау мүмкіндіктерін кез келген бұлттық провайдермен шектелмесе, онда Cisco Stealthwatch Cloud пайдалану мониторингтің біртұтас жиынтығын алудың жақсы нұсқасы болып табылады деп айта аламыз. жетекші бұлттық ойыншыларға арналған мүмкіндіктер - Amazon , Microsoft және Google. Ең қызығы, егер сіз Stealthwatch Cloud бағасын AWS, Azure немесе GCP жүйелерінде ақпараттық қауіпсіздікті бақылауға арналған кеңейтілген лицензиялармен салыстырсаңыз, Cisco шешімі Amazon, Microsoft корпорацияларының кірістірілген мүмкіндіктерінен де арзанырақ болуы мүмкін. және Google шешімдері. Бұл парадоксальды, бірақ бұл шындық. Бұлттар мен олардың мүмкіндіктері қаншалықты көп пайдаланылса, біріктірілген шешімнің артықшылығы соғұрлым айқын болады.

Бұлтты қауіпсіздік мониторингі

Кроме того, Stealthwatch Cloud может мониторить и частные облака, развернутые у вас в организации, например, на базе контейнеров Kubernetes или путем мониторинга потоков Netflow или сетевого трафика, получаемого через зеркалирование в сетевом оборудовании (даже отечественного производства), данных AD или DNS-серверов және т.б. Бұл деректердің барлығы Cisco Talos, киберқауіпсіздік қауіптерін зерттеушілердің әлемдегі ең ірі үкіметтік емес тобы жинаған Threat Intelligence ақпаратымен толықтырылады.

Бұлтты қауіпсіздік мониторингі

Бұл сіздің компанияңыз пайдалана алатын жалпыға ортақ және гибридті бұлттар үшін бірыңғай мониторинг жүйесін енгізуге мүмкіндік береді. Жиналған ақпаратты одан кейін Stealthwatch Cloud кірістірілген мүмкіндіктері арқылы талдауға немесе SIEM жүйесіне жіберуге болады (Splunk, ELK, SumoLogic және басқалары әдепкі бойынша қолдайды).

Осымен біз мақаланың бірінші бөлігін аяқтаймыз, онда мен IaaS/PaaS платформаларының ақпараттық қауіпсіздігін бақылауға арналған кірістірілген және сыртқы құралдарды қарастырдым, бұл бізге бұлтты орталарда болып жатқан оқиғаларды жылдам анықтауға және оларға жауап беруге мүмкіндік береді. біздің кәсіпорын таңдады. Екінші бөлімде біз тақырыпты жалғастырамыз және Salesforce және Dropbox мысалдарын пайдаланып SaaS платформаларын бақылау нұсқаларын қарастырамыз, сонымен қатар әртүрлі бұлттық провайдерлер үшін ақпараттық қауіпсіздікті бақылаудың бірыңғай жүйесін құру арқылы барлығын қорытындылауға және біріктіруге тырысамыз.

Ақпарат көзі: www.habr.com

пікір қалдыру