Барған сайын көбірек пайдаланушылар өздерінің бүкіл АТ-инфрақұрылымын жалпыға қолжетімді бұлтқа жеткізуде. Алайда, егер тұтынушының инфрақұрылымында антивирустық бақылау жеткіліксіз болса, елеулі киберқауіптер туындайды. Тәжірибе көрсеткендей, бар вирустардың 80% дейін виртуалды ортада тамаша өмір сүреді. Бұл постта біз жалпыға қолжетімді бұлтта АТ ресурстарын қалай қорғауға болатыны және дәстүрлі антивирустар неге бұл мақсаттарға мүлдем сәйкес келмейтіні туралы сөйлесетін боламыз.
Алдымен біз вирусқа қарсы әдеттегі құралдар жалпыға ортақ бұлтқа жарамсыз және ресурстарды қорғаудың басқа тәсілдері қажет деген ойға қалай келгенімізді айтамыз.
Біріншіден, провайдерлер бұлтты платформаларының жоғары деңгейде қорғалуын қамтамасыз ету үшін әдетте қажетті шараларды қамтамасыз етеді. Мысалы, #CloudMTS-те біз барлық желілік трафикті талдаймыз, бұлттың қауіпсіздік жүйелерінің журналдарын бақылаймыз және тұрақты түрде пентест өткіземіз. Жеке клиенттерге бөлінген бұлттық сегменттер де қауіпсіз қорғалуы керек.
Екіншіден, киберқауіптермен күресудің классикалық нұсқасы әрбір виртуалды машинада антивирус пен антивирусты басқару құралдарын орнатуды қамтиды. Дегенмен, көптеген виртуалды машиналармен бұл тәжірибе тиімсіз болуы мүмкін және айтарлықтай есептеу ресурстарын қажет етеді, осылайша тұтынушының инфрақұрылымын одан әрі жүктейді және бұлттың жалпы өнімділігін төмендетеді. Бұл тұтынушы виртуалды машиналары үшін тиімді антивирустық қорғауды құрудың жаңа тәсілдерін іздеудің негізгі алғышарты болды.
Сонымен қатар, нарықтағы антивирустық шешімдердің көпшілігі бұлтты ортада АТ ресурстарын қорғау мәселелерін шешуге бейімделмеген. Әдетте, олар ауыр салмақты EPP шешімдері (Endpoint Protection Platforms), сонымен қатар бұлттық провайдердің клиенттік жағында қажетті теңшеуді қамтамасыз етпейді.
Дәстүрлі антивирустық шешімдер бұлтта жұмыс істеуге жарамсыз екені белгілі болды, өйткені олар жаңартулар мен сканерлеулер кезінде виртуалды инфрақұрылымды айтарлықтай жүктейді, сонымен қатар рөлге негізделген басқару мен параметрлердің қажетті деңгейлері жоқ. Әрі қарай, бұлтқа неліктен антивирустық қорғаудың жаңа тәсілдері қажет екенін егжей-тегжейлі талдаймыз.
Қоғамдық бұлттағы антивирус не істей алуы керек
Сонымен, виртуалды ортада жұмыс істеу ерекшеліктеріне назар аударайық:
Жаңартулардың және жоспарланған жаппай сканерлеудің тиімділігі. Дәстүрлі антивирусты пайдаланатын виртуалды машиналардың айтарлықтай саны бір уақытта жаңартуды бастаса, бұлтта жаңартулардың «дауылы» пайда болады. Бірнеше виртуалды машиналарды орналастыратын ESXi хостының қуаты әдепкі бойынша орындалатын ұқсас тапсырмаларды шешуге жеткіліксіз болуы мүмкін. Бұлтты провайдер тұрғысынан мұндай мәселе бірқатар ESXi хосттарына қосымша жүктемелерге әкелуі мүмкін, бұл ақыр соңында бұлтты виртуалды инфрақұрылымның өнімділігінің төмендеуіне әкеледі. Бұл, басқалармен қатар, басқа бұлттық клиенттердің виртуалды машиналарының өнімділігіне әсер етуі мүмкін. Жаппай сканерлеуді іске қосу кезінде ұқсас жағдай туындауы мүмкін: әртүрлі пайдаланушылардың көптеген ұқсас сұрауларын дискілік жүйемен бір уақытта өңдеу бүкіл бұлттың жұмысына теріс әсер етеді. Ықтималдықтың жоғары дәрежесімен сақтау жүйесі өнімділігінің төмендеуі барлық клиенттерге әсер етеді. Мұндай кенеттен жүктемелер провайдерді де, оның тұтынушыларын да қуантпайды, өйткені олар бұлттағы «көршілерге» әсер етеді. Осы тұрғыдан алғанда, дәстүрлі антивирус үлкен проблема тудыруы мүмкін.
Қауіпсіз карантин. Жүйеде вирус жұқтыруы мүмкін файл немесе құжат анықталса, ол карантинге жіберіледі. Әрине, вирус жұққан файлды дереу жоюға болады, бірақ бұл көптеген компаниялар үшін қабылданбайды. Провайдер бұлтында жұмыс істеуге бейімделмеген корпоративтік кәсіпорын антивирустары, әдетте, жалпы карантиндік аймаққа ие - барлық жұқтырған нысандар оған түседі. Мысалы, компания пайдаланушыларының компьютерлерінен табылғандар. Бұлттық провайдердің клиенттері өз сегменттерінде (немесе жалға алушыларында) «өмір сүреді». Бұл сегменттер мөлдір емес және оқшауланған: клиенттер бір-бірін білмейді және, әрине, басқалардың бұлтта не орналастыратынын көрмейді. Бұлттағы барлық антивирус пайдаланушылары қол жеткізе алатын жалпы карантинге құпия ақпаратты немесе коммерциялық құпияны қамтитын құжат кіруі мүмкін екені анық. Бұл провайдер мен оның тұтынушылары үшін қолайсыз. Сондықтан бір ғана шешім болуы мүмкін - провайдер де, басқа клиенттер де қол жеткізе алмайтын өз сегментіндегі әрбір клиент үшін жеке карантин.
Жеке қауіпсіздік саясаты. Бұлттағы әрбір клиент жеке компания болып табылады, оның АТ бөлімі өзінің қауіпсіздік саясатын белгілейді. Мысалы, әкімшілер сканерлеу ережелерін анықтайды және вирусқа қарсы сканерлеуді жоспарлайды. Тиісінше, әр ұйымның антивирустық саясаттарды конфигурациялау үшін өзінің басқару орталығы болуы керек. Бұл ретте көрсетілген параметрлер басқа бұлттық клиенттерге әсер етпеуі керек және провайдер, мысалы, антивирустық жаңартулардың барлық клиенттік виртуалды машиналар үшін әдеттегідей орындалатынын тексере алуы керек.
Биллингті және лицензиялауды ұйымдастыру. Бұлтты модель икемділігімен сипатталады және тек тұтынушы пайдаланған АТ ресурстарының сомасын төлеуді қамтиды. Егер қажеттілік туындаса, мысалы, маусымдылыққа байланысты, онда ресурстардың көлемін тез көбейтуге немесе азайтуға болады - барлығы есептеу қуатына ағымдағы қажеттіліктерге негізделген. Дәстүрлі антивирус соншалықты икемді емес - әдетте, клиент серверлердің немесе жұмыс станцияларының алдын ала белгіленген санына лицензияны бір жылға сатып алады. Бұлтты пайдаланушылар ағымдағы қажеттіліктеріне байланысты қосымша виртуалды машиналарды жүйелі түрде ажыратады және қосады - сәйкесінше, антивирус лицензиялары бірдей үлгіні қолдауы керек.
Екінші мәселе - лицензияның нақты нені қамтитыны. Дәстүрлі антивирус серверлер немесе жұмыс станцияларының саны бойынша лицензияланады. Қорғалған виртуалды машиналар санына негізделген лицензиялар бұлт үлгісіне толығымен сәйкес келмейді. Клиент қолда бар ресурстардан өзіне ыңғайлы виртуалды машиналардың кез келген санын жасай алады, мысалы, бес немесе он машина. Бұл сан көптеген клиенттер үшін тұрақты емес, біз провайдер ретінде оның өзгерістерін қадағалау мүмкін емес. Орталық процессормен лицензиялаудың техникалық мүмкіндігі жоқ: клиенттер лицензиялау үшін пайдаланылуы тиіс виртуалды процессорларды (vCPU) алады. Осылайша, жаңа антивирустық қорғау үлгісі тұтынушыға антивирустық лицензияларды алатын vCPU-лардың қажетті санын анықтау мүмкіндігін қамтуы керек.
Заңнамаға сәйкестік. Маңызды мәселе, өйткені қолданылатын шешімдер реттеушінің талаптарына сәйкестігін қамтамасыз етуі керек. Мысалы, бұлттық «резиденттер» көбінесе жеке деректермен жұмыс істейді. Бұл жағдайда провайдерде Жеке деректер туралы заң талаптарына толық сәйкес келетін жеке сертификатталған бұлт сегменті болуы керек. Содан кейін компанияларға жеке деректермен жұмыс істеу үшін бүкіл жүйені дербес «құрудың» қажеті жоқ: сертификатталған жабдықты сатып алу, оны қосу және конфигурациялау және сертификаттаудан өту. Мұндай клиенттердің ISPD-ін киберқорғау үшін антивирус Ресей заңнамасының талаптарына сәйкес келуі және FSTEC сертификаты болуы керек.
Біз жалпы бұлттағы антивирустық қорғаныс сәйкес келуі керек міндетті критерийлерді қарастырдық. Әрі қарай, провайдердің бұлтында жұмыс істеу үшін антивирустық шешімді бейімдеу бойынша өз тәжірибемізбен бөлісеміз.
Антивирус пен бұлт арасында қалай достасуға болады?
Біздің тәжірибеміз көрсеткендей, сипаттама мен құжаттамаға негізделген шешімді таңдау бір нәрсе, бірақ оны қазірдің өзінде жұмыс істейтін бұлттық ортада іс жүзінде енгізу күрделілік тұрғысынан мүлдем басқа міндет. Біз сізге іс жүзінде не істегенімізді және антивирусты провайдердің жалпы бұлтында жұмыс істеуге қалай бейімдегенімізді айтып береміз. Вирусқа қарсы шешімнің жеткізушісі Касперский болды, оның портфолиосында бұлтты орталар үшін антивирустық қорғаныс шешімдері бар. Біз «Виртуализацияға арналған Kaspersky Security» (Light Agent) туралы шешім қабылдадық.
Ол бір Kaspersky Security Center консолін қамтиды. Жеңіл агент және қауіпсіздік виртуалды машиналары (SVM, Security Virtual Machine) және KSC біріктіру сервері.
Біз Kaspersky шешімінің архитектурасын зерттеп, жеткізушінің инженерлерімен бірге алғашқы сынақтарды өткізгеннен кейін қызметті бұлтқа біріктіру туралы сұрақ туындады. Бірінші іске асыру Мәскеу бұлтты алаңында бірлесіп жүзеге асырылды. Міне, біз мұны түсіндік.
Желілік трафикті азайту үшін әрбір ESXi хостына SVM орналастыру және SVM-ді ESXi хосттарына «байлау» туралы шешім қабылданды. Бұл жағдайда қорғалған виртуалды машиналардың жеңіл агенттері олар жұмыс істеп тұрған дәл ESXi хостының SVM жүйесіне қол жеткізеді. Негізгі КСК үшін жеке әкімшілік жалға алушы таңдалды. Нәтижесінде, ведомстволық бағынысты КСК-лар әрбір жеке клиенттің жалға алушыларында орналасады және басқару сегментінде орналасқан жоғары КСК-ға жүгінеді. Бұл схема клиент жалға алушыларында туындайтын мәселелерді жылдам шешуге мүмкіндік береді.
Антивирустық шешімнің құрамдас бөліктерін көтеру мәселелерінен басқа, бізде қосымша VxLAN құру арқылы желілік өзара әрекеттесуді ұйымдастыру міндеті тұрды. Шешім бастапқыда жеке бұлттары бар кәсіпорын клиенттеріне арналған болса да, NSX Edge инженерлік сауаттылығы мен технологиялық икемділігінің көмегімен біз жалға алушыларды бөлуге және лицензиялауға байланысты барлық мәселелерді шеше алдық.
Біз Kaspersky инженерлерімен тығыз жұмыс істедік. Осылайша, жүйе құрамдас бөліктері арасындағы желілік өзара әрекеттесу тұрғысынан шешім архитектурасын талдау процесінде жеңіл агенттерден SVM-ге қол жеткізуден басқа, кері байланыс қажет - SVM-ден жеңіл агенттерге дейін. Бұл желі қосылымы әртүрлі бұлттық жалға берушілердегі виртуалды машиналардың бірдей желі параметрлерінің мүмкіндігіне байланысты көп пайдаланушылық ортада мүмкін емес. Сондықтан, біздің өтінішіміз бойынша жеткізушінің әріптестері SVM-ден жеңіл агенттерге желілік қосылу қажеттілігін жою тұрғысынан жеңіл агент пен SVM арасындағы желілік өзара әрекеттесу механизмін қайта өңдеді.
Шешім Мәскеу бұлттық сайтында орналастырылып, сынақтан өткеннен кейін біз оны басқа сайттарға, соның ішінде сертификатталған бұлттық сегментке көшірдік. Бұл қызмет қазір еліміздің барлық аймақтарында қолжетімді.
Жаңа көзқарас шеңберіндегі ақпараттық қауіпсіздік шешімінің архитектурасы
Қоғамдық бұлттық ортада антивирустық шешімнің жұмыс істеуінің жалпы схемасы келесідей:
#CloudMTS қоғамдық бұлттық ортасында антивирустық шешімнің жұмыс істеу схемасы
Бұлттағы шешімнің жеке элементтерінің жұмыс істеу ерекшеліктерін сипаттайық:
• Клиенттерге қорғау жүйесін орталықтан басқаруға мүмкіндік беретін жалғыз консоль: сканерлеуді іске қосу, жаңартуларды басқару және карантиндік аймақтарды бақылау. Сегментте жеке қауіпсіздік саясаттарын конфигурациялауға болады.
Айта кету керек, біз қызмет көрсетуші болсақ та, біз клиенттер орнатқан параметрлерге кедергі жасамаймыз. Біз жасай алатын жалғыз нәрсе - қайта конфигурациялау қажет болса, қауіпсіздік саясаттарын стандарттыға қалпына келтіру. Мысалы, егер клиент оларды кездейсоқ қатайтса немесе айтарлықтай әлсіретсе, бұл қажет болуы мүмкін. Компания әрқашан әдепкі саясаттары бар басқару орталығын ала алады, содан кейін ол дербес конфигурациялай алады. Kaspersky Security Center кемшілігі платформа қазіргі уақытта тек Microsoft операциялық жүйесі үшін қол жетімді. Жеңіл агенттер Windows және Linux құрылғыларымен жұмыс істей алады. Дегенмен, Касперский зертханасы жақын арада KSC Linux операциялық жүйесінде жұмыс істейтініне уәде береді. KSC маңызды функцияларының бірі - карантинді басқару мүмкіндігі. Біздің бұлттағы әрбір клиенттік компанияның жеке тұлғасы бар. Бұл тәсіл жалпы карантині бар классикалық корпоративтік антивирус жағдайында орын алуы мүмкін вирус жұқтырған құжат байқаусызда жалпыға көрінетін жағдайларды болдырмайды.
• Жұмсақ агенттер. Жаңа модельдің бөлігі ретінде әрбір виртуалды машинада жеңіл салмақты Kaspersky Security агенті орнатылған. Бұл әрбір VM-де антивирустық дерекқорды сақтау қажеттілігін жояды, бұл талап етілетін дискілік кеңістіктің көлемін азайтады. Қызмет бұлттық инфрақұрылыммен біріктірілген және SVM арқылы жұмыс істейді, бұл ESXi хостындағы виртуалды машиналар тығыздығын және бүкіл бұлттық жүйенің өнімділігін арттырады. Жарық агенті әрбір виртуалды машина үшін тапсырмалар кезегін құрады: файлдық жүйені, жадты және т.б. тексеру. Бірақ SVM бұл операцияларды орындауға жауапты, олар туралы кейінірек айтатын боламыз. Агент сонымен қатар брандмауэр функцияларын орындайды, қауіпсіздік саясаттарын бақылайды, вирус жұққан файлдарды карантинге жібереді және өзі орнатылған операциялық жүйенің жалпы «денсаулығын» бақылайды. Мұның барлығын жоғарыда аталған жалғыз консоль арқылы басқаруға болады.
• Қауіпсіздік виртуалды машинасы. Барлық ресурсты қажет ететін тапсырмалар (вирусқа қарсы дерекқор жаңартулары, жоспарланған сканерлеулер) жеке қауіпсіздік виртуалды машинасы (SVM) арқылы өңделеді. Ол толыққанды антивирустық қозғалтқыштың және оның дерекқорларының жұмысына жауап береді. Компанияның АТ-инфрақұрылымында бірнеше SVM болуы мүмкін. Бұл тәсіл жүйенің сенімділігін арттырады – егер бір машина істен шығып, отыз секунд бойы жауап бермесе, агенттер автоматты түрде екіншісін іздей бастайды.
• KSC біріктіру сервері. Баптауларында көрсетілген алгоритмге сәйкес өзінің SVM-терін жеңіл агенттерге тағайындайтын, сондай-ақ SVM-тердің болуын бақылайтын негізгі KSC құрамдастарының бірі. Осылайша, бұл бағдарламалық жасақтама модулі бұлттық инфрақұрылымның барлық SVM құрылғыларында жүктемені теңестіруді қамтамасыз етеді.
Бұлтта жұмыс істеу алгоритмі: инфрақұрылымға жүктемені азайту
Жалпы антивирустық алгоритмді келесідей көрсетуге болады. Агент виртуалды машинадағы файлға қатынасады және оны тексереді. Тексеру нәтижесі ортақ орталықтандырылған SVM үкімінің дерекқорында (Ортақ кэш деп аталады) сақталады, әрбір жазба бірегей файл үлгісін анықтайды. Бұл тәсіл бір файлдың қатарынан бірнеше рет сканерленбеуін қамтамасыз етуге мүмкіндік береді (мысалы, ол әртүрлі виртуалды машиналарда ашылған болса). Файлға өзгертулер енгізілген немесе сканерлеу қолмен басталған жағдайда ғана қайта сканерленеді.
Провайдердің бұлтында антивирустық шешімді енгізу
Сурет бұлтта шешімді енгізудің жалпы диаграммасын көрсетеді. Негізгі Kaspersky қауіпсіздік орталығы бұлттың басқару аймағында орналастырылған және KSC біріктіру сервері арқылы әрбір ESXi хостында жеке SVM орналастырылған (әрбір ESXi хостында VMware vCenter серверінде арнайы параметрлермен бекітілген жеке SVM бар). Клиенттер агенттері бар виртуалды машиналар орналасқан өздерінің бұлттық сегменттерінде жұмыс істейді. Олар негізгі КСК-ға бағынатын жеке КСК серверлері арқылы басқарылады. Егер виртуалды машиналардың аз санын (5-ке дейін) қорғау қажет болса, клиентке арнайы бөлінген KSC серверінің виртуалды консольіне қол жеткізу қамтамасыз етілуі мүмкін. Клиенттік KSC және негізгі KSC, сондай-ақ жеңіл агенттер мен SVM арасындағы желілік өзара әрекеттесу NAT арқылы EdgeGW клиенттік виртуалды маршрутизаторлар арқылы жүзеге асырылады.
Біздің бағалауларымыз бен жеткізуші әріптестерінің сынақтарының нәтижелері бойынша Light Agent клиенттердің виртуалды инфрақұрылымына жүктемені шамамен 25%-ға азайтады (дәстүрлі антивирустық бағдарламалық жасақтаманы пайдаланатын жүйемен салыстырғанда). Атап айтқанда, физикалық орталарға арналған стандартты Kaspersky Endpoint Security (KES) антивирусы жеңіл агент негізіндегі виртуалдандыру шешіміне (2,95%) қарағанда сервердің CPU уақытын екі есе дерлік (1,67%) тұтынады.
CPU жүктемесін салыстыру диаграммасы
Ұқсас жағдай дискіге жазуға қол жеткізу жиілігінде байқалады: классикалық антивирус үшін 1011 IOPS, бұлтты антивирус үшін 671 IOPS.
Дискке қол жеткізу жылдамдығын салыстыру графигі
Өнімділік артықшылығы инфрақұрылымның тұрақтылығын сақтауға және есептеу қуатын тиімдірек пайдалануға мүмкіндік береді. Қоғамдық бұлттық ортада жұмыс істеуге бейімделу арқылы шешім бұлттық өнімділікті төмендетпейді: ол файлдарды орталықтан тексереді және жаңартуларды жүктеп алады, жүктемені таратады. Бұл бір жағынан бұлттық инфрақұрылымға қатысты қауіп-қатерлерді жіберіп алмайтынын, екінші жағынан дәстүрлі антивируспен салыстырғанда виртуалды машиналар үшін ресурс талаптары орта есеппен 25%-ға төмендейтінін білдіреді.
Функционалдық жағынан екі шешім де бір-біріне өте ұқсас: төменде салыстыру кестесі берілген. Дегенмен, бұлтта, жоғарыдағы сынақ нәтижелері көрсеткендей, виртуалды орталар үшін шешімді пайдалану әлі де оңтайлы.
Жаңа тәсіл аясындағы тарифтер туралы. Біз vCPU санына негізделген лицензияларды алуға мүмкіндік беретін үлгіні пайдалануды шештік. Бұл лицензиялар саны vCPU санына тең болатынын білдіреді. Сұрау қалдыру арқылы антивирусты тексеруге болады .
Бұлтты тақырыптарға арналған келесі мақалада біз бұлттық WAF эволюциясы және нені таңдаған дұрыс: аппараттық құрал, бағдарламалық жасақтама немесе бұлт туралы айтатын боламыз.
Мәтінді #CloudMTS бұлтты провайдерінің қызметкерлері дайындады: жетекші сәулетші Денис Мягков және ақпараттық қауіпсіздік өнімдерін әзірлеу жөніндегі менеджері Алексей Афанасьев.
Ақпарат көзі: www.habr.com