Барган сайын көбүрөөк колдонуучулар өздөрүнүн IT инфраструктурасын жалпыга ачык булутка алып келишет. Бирок, кардардын инфраструктурасында антивирустук көзөмөл жетишсиз болсо, олуттуу кибер тобокелдиктер пайда болот. Практика көрсөткөндөй, учурдагы вирустардын 80%га чейини виртуалдык чөйрөдө эң сонун жашайт. Бул постто биз коомдук булуттагы IT ресурстарын кантип коргоо керек жана эмне үчүн салттуу антивирустар бул максаттарга таптакыр ылайыктуу эместиги жөнүндө сүйлөшөбүз.
Баштоо үчүн, биз кадимки антивирустук коргоо куралдары коомдук булут үчүн ылайыктуу эмес жана ресурстарды коргоо үчүн башка ыкмалар талап кылынат деген ойго кантип келгенибизди айтып беребиз.
Биринчиден, провайдерлер көбүнчө булут платформаларынын жогорку деңгээлде корголушун камсыз кылуу үчүн зарыл чараларды көрүшөт. Мисалы, #CloudMTS'те биз бардык тармак трафигин талдап, булуттун коопсуздук системаларынын журналдарын көзөмөлдөп, дайыма пентесттерди аткарабыз. Жеке кардарларга бөлүнгөн булут сегменттери да коопсуз корголушу керек.
Экинчиден, кибер тобокелдиктер менен күрөшүүнүн классикалык варианты ар бир виртуалдык машинага антивирус жана антивирус башкаруу куралдарын орнотууну камтыйт. Бирок, көп сандагы виртуалдык машиналар менен бул практика натыйжасыз болушу мүмкүн жана олуттуу көлөмдөгү эсептөө ресурстарын талап кылат, ошону менен кардардын инфраструктурасын андан ары жүктөйт жана булуттун жалпы иштешин төмөндөтөт. Бул кардарлардын виртуалдык машиналары үчүн эффективдүү антивирустук коргоону куруу үчүн жаңы ыкмаларды издөөнүн негизги шарты болуп калды.
Мындан тышкары, рыноктогу антивирустук чечимдердин көбү коомдук булут чөйрөсүндө IT ресурстарын коргоо маселелерин чечүүгө ылайыкташкан эмес. Эреже катары, алар оор салмактагы EPP чечимдери (Endpoint Protection Platforms), андан тышкары, булут провайдеринин кардар тарабында керектүү ыңгайлаштырууну камсыз кылбайт.
Салттуу антивирустук чечимдер булутта иштөөгө ылайыктуу эмес экени көрүнүп турат, анткени алар жаңыртуу жана сканерлөө учурунда виртуалдык инфраструктураны олуттуу жүктөйт, ошондой эле ролго негизделген башкаруунун жана орнотуулардын керектүү деңгээлдерине ээ эмес. Андан кийин, биз эмне үчүн булуттун антивирустук коргоонун жаңы ыкмаларына муктаж экенин кылдат талдап чыгабыз.
Коомдук булуттагы антивирус эмне кыла алышы керек
Ошентип, виртуалдык чөйрөдө иштөөнүн өзгөчөлүктөрүнө көңүл буралы:
Жаңыртуулардын жана пландаштырылган массалык сканерлөөлөрдүн эффективдүүлүгү. Эгерде салттуу антивирусту колдонгон виртуалдык машиналардын олуттуу саны бир эле учурда жаңыртууну баштаса, булутта жаңыртуулардын "бороону" пайда болот. Бир нече виртуалдык машиналарды камтыган ESXi хостунун күчү демейки боюнча аткарылган окшош тапшырмаларды аткарууга жетишсиз болушу мүмкүн. Булут провайдеринин көз карашы боюнча, мындай көйгөй бир катар ESXi хостторуна кошумча жүктөмдөрдү алып келиши мүмкүн, бул акыры булуттун виртуалдык инфраструктурасынын иштешинин төмөндөшүнө алып келет. Бул, башка нерселер менен катар, башка булут кардарларынын виртуалдык машиналарынын иштешине таасир этиши мүмкүн. Окшош жагдай массалык сканерлөө жүргүзүүдө пайда болушу мүмкүн: бир эле учурда диск тутуму тарабынан ар кандай колдонуучулардын көптөгөн окшош суроо-талаптарын иштетүү бүткүл булуттун иштешине терс таасирин тийгизет. Ыктымалдуулуктун жогорку даражасы менен сактоо тутумунун иштешинин төмөндөшү бардык кардарларга таасирин тийгизет. Мындай капыстан жүктөөлөр провайдерди да, анын кардарларын да жактырбайт, анткени алар булуттагы “коңшуларга” таасир этет. Бул жагынан алып караганда, салттуу антивирус чоң көйгөй жаратышы мүмкүн.
Коопсуз карантин. Системада вирус жуккан файл же документ аныкталса, ал карантинге жөнөтүлөт. Албетте, жуккан файл дароо жок кылынышы мүмкүн, бирок бул көпчүлүк компаниялар үчүн кабыл алынбайт. Провайдердин булутунда иштөөгө ыңгайлашпаган корпоративдик ишканалардын антивирустары, эреже катары, жалпы карантиндик аймакка ээ - бардык жуккан объекттер ага кирет. Мисалы, компаниянын колдонуучуларынын компьютерлеринде табылгандар. Булут провайдеринин кардарлары өз сегменттеринде (же ижарачыларда) "жашашат". Бул сегменттер тунук эмес жана обочолонгон: кардарлар бири-бири жөнүндө билишпейт жана, албетте, башкалар булутта эмнени жайгаштырып жатканын көрүшпөйт. Албетте, булуттагы бардык антивирус колдонуучулары кире турган жалпы карантинге купуя маалыматты же коммерциялык сырды камтыган документ камтышы мүмкүн. Бул камсыздоочу жана анын кардарлары үчүн кабыл алынгыс. Ошондуктан, бир гана чечим болушу мүмкүн - анын сегментинде ар бир кардар үчүн жеке карантин, провайдер да, башка кардарлар да кире албайт.
Жеке коопсуздук саясаты. Булуттагы ар бир кардар өзүнчө компания, анын IT бөлүмү өзүнүн коопсуздук саясатын аныктайт. Мисалы, администраторлор сканерлөө эрежелерин аныктап, антивирустук скандоолорду пландаштырышат. Демек, ар бир уюмдун антивирус саясатын конфигурациялоо үчүн өзүнүн башкаруу борбору болушу керек. Ошол эле учурда, көрсөтүлгөн орнотуулар башка булут кардарларына таасирин тийгизбеши керек жана провайдер, мисалы, антивирус жаңыртуулары бардык кардар виртуалдык машиналары үчүн кадимкидей аткарылып жатканын текшере алышы керек.
Биллинг жана лицензиялоону уюштуруу. Булут модели ийкемдүүлүк менен мүнөздөлөт жана кардар колдонгон IT ресурстарынын суммасына гана төлөөнү камтыйт. Эгер муктаждык бар болсо, мисалы, сезондуктан улам, анда ресурстардын көлөмүн тез арада көбөйтүүгө же кыскартууга болот - бардыгы эсептөө кубаттуулугуна учурдагы муктаждыктарга негизделген. Салттуу антивирус анчалык ийкемдүү эмес – эреже катары, кардар алдын ала белгиленген сандагы серверлердин же жумушчу станциялардын лицензиясын бир жылга сатып алат. Булут колдонуучулары учурдагы муктаждыктарына жараша кошумча виртуалдык машиналарды үзгүлтүксүз ажыратып, туташтырат - ошого жараша антивирус лицензиялары бир эле моделди колдоого алышы керек.
Экинчи маселе, лицензия так эмнелерди камтыйт. Салттуу антивирус серверлердин же жумушчу станциялардын саны боюнча лицензияланат. Корголгон виртуалдык машиналардын санына негизделген лицензиялар булут моделине толук ылайыктуу эмес. Кардар колдо болгон ресурстардан өзүнө ыңгайлуу виртуалдык машиналардын каалаган санын түзө алат, мисалы, беш же он машина. Бул сан көпчүлүк кардарлар үчүн туруктуу эмес, биз провайдер катары анын өзгөрүшүнө көз салуу мүмкүн эмес. CPU тарабынан лицензиялоонун техникалык мүмкүнчүлүгү жок: кардарлар виртуалдык процессорлорду (vCPU) алышат, алар лицензиялоо үчүн колдонулушу керек. Ошентип, жаңы антивирустук коргоо модели кардар антивирус лицензияларын ала турган vCPUлардын керектүү санын аныктоо мүмкүнчүлүгүн камтышы керек.
Мыйзамдарды сактоо. Маанилүү жагдай, анткени колдонулган чечимдер жөнгө салуучунун талаптарына шайкеш келиши керек. Мисалы, булут "резиденттери" көбүнчө жеке маалыматтар менен иштешет. Бул учурда, провайдер Жеке маалыматтар мыйзамынын талаптарына толук жооп берген өзүнчө тастыкталган булут сегментине ээ болушу керек. Андан кийин компаниялар жеке маалыматтар менен иштөө үчүн бүт системаны өз алдынча “куруунун” кереги жок: сертификатталган жабдууларды сатып алуу, аны туташтыруу жана конфигурациялоо жана сертификациядан өтүү. Мындай кардарлардын ISPDин киберкоргоо үчүн антивирус орус мыйзамдарынын талаптарына жооп бериши жана FSTEC сертификатына ээ болушу керек.
Биз коомдук булуттагы антивирустук коргоо жооп бериши керек болгон милдеттүү критерийлерди карап чыктык. Андан кийин, биз провайдердин булутунда иштөө үчүн антивирустук чечимди ыңгайлаштыруу боюнча өз тажрыйбабыз менен бөлүшөбүз.
Кантип антивирус менен булуттун ортосунда достошсо болот?
Биздин тажрыйба көрсөткөндөй, сыпаттамага жана документацияга негизделген чечимди тандоо бир нерсе, бирок аны буга чейин иштеп жаткан булут чөйрөсүндө иш жүзүндө ишке ашыруу татаалдыгы боюнча такыр башка маселе. Биз сизге иш жүзүндө эмне кылганыбызды жана провайдердин жалпы булутунда иштөө үчүн антивирусту кантип ыңгайлаштырганыбызды айтып беребиз. Антивирустук чечимдин сатуучусу Касперский болгон, анын портфолиосу булут чөйрөлөрү үчүн антивирустук коргоо чечимдерин камтыйт. Биз "Виртуалдаштыруу үчүн Kaspersky Security" (Light Agent) боюнча чечтик.
Ал бир Касперский коопсуздук борборунун консолун камтыйт. Light агент жана коопсуздук виртуалдык машиналары (SVM, Security Virtual Machine) жана KSC интеграция сервери.
Биз Kaspersky чечиминин архитектурасын изилдеп, сатуучунун инженерлери менен бирге биринчи сыноолорду өткөргөндөн кийин, кызматты булутка интеграциялоо жөнүндө суроо пайда болду. Биринчи ишке ашыруу Москва булут сайтында биргелешип ишке ашырылган. Ошондо биз түшүндүк.
Тармак трафигин азайтуу үчүн, ар бир ESXi хостуна SVM жайгаштыруу жана SVMди ESXi хостторуна "байлоо" чечими кабыл алынды. Бул учурда, корголгон виртуалдык машиналардын жеңил агенттери алар иштеп жаткан так ESXi хостунун SVMине кире алышат. Негизги КСК үчүн өзүнчө административдик ижарачы тандалган. Натыйжада, баш ийген КСКлар ар бир жеке кардардын ижарачыларында жайгашкан жана башкаруу сегментинде жайгашкан жогорку КСКга кайрылышат. Бул схема кардарлардын ижарачыларында пайда болгон көйгөйлөрдү тез арада чечүүгө мүмкүндүк берет.
Антивирустук чечимдин компоненттерин көтөрүү боюнча маселелерден тышкары, биз кошумча VxLANдарды түзүү аркылуу тармактык өз ара аракеттенүүнү уюштуруу милдетине туш болдук. Чечим алгач жеке булуттары бар ишканалардын кардарлары үчүн арналган болсо да, NSX Edge инженердик билгичтигинин жана технологиялык ийкемдүүлүгүнүн жардамы менен биз ижарачыларды бөлүү жана лицензиялоо менен байланышкан бардык көйгөйлөрдү чече алдык.
Биз Касперскийдин инженерлери менен тыгыз иштештик. Ошентип, системанын компоненттеринин ортосундагы тармактын өз ара аракеттенүүсү боюнча чечимдин архитектурасын талдоо процессинде, жарык агенттеринен SVMге жетүүдөн тышкары, SVMден жарык агенттерине чейин кайтарым байланыш дагы зарыл экендиги аныкталган. Бул тармак туташуусу көп ижарачы чөйрөдө мүмкүн эмес, анткени ар кандай булут ижарачыларында виртуалдык машиналардын бирдей тармак жөндөөлөрү мүмкүн. Ошондуктан, биздин өтүнүчүбүз боюнча, сатуучунун кесиптештери SVMден жарык агенттерине тармактык байланыштын зарылдыгын жок кылуу жагынан жарык агенти менен SVM ортосундагы тармактык өз ара аракеттенүү механизмин кайра иштеп чыгышты.
Чечим жайгаштырылып, Москва булут сайтында сыналгандан кийин, биз аны башка сайттарга, анын ичинде тастыкталган булут сегментине көчүрдүк. Кызмат азыр өлкөнүн бардык аймактарында жеткиликтүү.
Жаңы мамиленин алкагында маалыматтык коопсуздук чечиминин архитектурасы
Коомдук булут чөйрөсүндө антивирустук чечимдин иштөөсүнүн жалпы схемасы төмөнкүдөй:
#CloudMTS коомдук булут чөйрөсүндө антивирустук чечимдин иштөө схемасы
Булуттагы чечимдин айрым элементтеринин иштөө өзгөчөлүктөрүн сүрөттөп берели:
• Кардарларга коргоо тутумун борборлоштурулган башкарууга мүмкүндүк берген бирдиктүү консол: сканерлөө, жаңыртууларды көзөмөлдөө жана карантиндик аймактарды көзөмөлдөө. Сегментиңиздин ичинде жеке коопсуздук саясаттарын конфигурациялоого болот.
Белгилей кетсек, биз кызмат көрсөтүүчү болсок да, биз кардарлар тарабынан коюлган орнотууларга тоскоолдук кылбайбыз. Кайра конфигурациялоо керек болсо, биз жасай ала турган бир гана нерсе - коопсуздук саясаттарын стандарттуу саясатка кайтаруу. Мисалы, эгерде кардар кокусунан аларды күчөтүп же олуттуу алсыратса, бул зарыл болушу мүмкүн. Компания ар дайым демейки саясаттары бар башкаруу борборун ала алат, андан кийин ал өз алдынча конфигурациялай алат. Касперский коопсуздук борборунун кемчилиги бул платформа учурда Microsoft операциялык системасы үчүн гана жеткиликтүү. Жеңил агенттер Windows жана Linux машиналары менен да иштей алат. Бирок, Касперский лабораториясы жакынкы келечекте KSC Linux OS астында иштей турганын убада кылууда. КСКнын маанилүү функцияларынын бири - карантинди башкаруу жөндөмдүүлүгү. Биздин булуттагы ар бир кардар компаниянын жеке бар. Бул ыкма жалпы карантини бар классикалык корпоративдик антивирус учурундагыдай эле, вирус жуккан документ кокустан жалпыга ачык болуп калган жагдайларды жок кылат.
• Жарык агенттер. Жаңы моделдин бир бөлүгү катары ар бир виртуалдык машинага жеңил салмактагы Kaspersky Security агенти орнотулган. Бул ар бир VMде антивирустук маалымат базасын сактоо зарылдыгын жокко чыгарат, бул керектелген диск мейкиндигин азайтат. Кызмат булут инфраструктурасы менен интеграцияланган жана SVM аркылуу иштейт, бул ESXi хостундагы виртуалдык машиналардын тыгыздыгын жана бүткүл булут тутумунун иштешин жогорулатат. Жарык агент ар бир виртуалдык машина үчүн тапшырмалардын кезегин түзөт: файл тутумун, эстутумун ж.б. Бирок SVM бул операцияларды аткаруу үчүн жооптуу, алар жөнүндө кийинчерээк сүйлөшөбүз. Агент ошондой эле брандмауэр катары иштейт, коопсуздук саясатын көзөмөлдөйт, вирус жуккан файлдарды карантинге жөнөтөт жана ал орнотулган операциялык системанын жалпы “ден соолугуна” көз салат. Мунун баарын буга чейин айтылган жалгыз консолдун жардамы менен башкарса болот.
• Коопсуздук Virtual Machine. Бардык ресурстарды көп талап кылган тапшырмалар (антивирустук маалымат базасын жаңыртуу, пландаштырылган сканерлөө) өзүнчө Коопсуздук Виртуалдык Машинасы (SVM) тарабынан чечилет. Ал толук кандуу антивирус кыймылдаткычынын жана ал үчүн маалымат базаларынын иштеши үчүн жооптуу. Компаниянын IT инфраструктурасы бир нече SVMди камтышы мүмкүн. Бул ыкма системанын ишенимдүүлүгүн жогорулатат - эгерде бир машина иштен чыгып, отуз секунда бою жооп бербесе, агенттер автоматтык түрдө башкасын издей баштайт.
• KSC интеграция сервери. Негизги КСКнын компоненттеринин бири, ал өзүнүн SVMлерин анын орнотууларында көрсөтүлгөн алгоритмге ылайык жеңил агенттерге дайындайт, ошондой эле SVMлердин болушун көзөмөлдөйт. Ошентип, бул программалык модуль булут инфраструктурасынын бардык SVMлеринде жүктөмдүн тең салмактуулугун камсыз кылат.
Булутта иштөө алгоритми: инфраструктуранын жүгүн азайтуу
Жалпысынан антивирус алгоритмин төмөнкүчө чагылдырууга болот. Агент виртуалдык машинадагы файлга кирип, аны текшерет. Текшерүүнүн натыйжасы жалпы борборлоштурулган SVM өкүмдөр базасында сакталат (Shared Cache деп аталат), ар бир жазуу уникалдуу файл үлгүсүн аныктайт. Бул ыкма бир эле файл катары менен бир нече жолу сканерленбөөнү камсыз кылууга мүмкүндүк берет (мисалы, эгерде ал ар кандай виртуалдык машиналарда ачылган болсо). Файлга өзгөртүүлөр киргизилгенде же сканерлөө кол менен башталганда гана кайра каралат.
Провайдердин булутунда антивирустук чечимди ишке ашыруу
Сүрөт булуттагы чечимди ишке ашыруунун жалпы диаграммасын көрсөтөт. Негизги Касперский коопсуздук борбору булуттун башкаруу зонасында жайгаштырылган жана ар бир ESXi хостунда KSC интеграция серверин колдонуу менен жеке SVM жайгаштырылат (ар бир ESXi хостунун VMware vCenter серверинде атайын орнотуулары менен тиркелген өзүнүн SVM бар). Кардарлар агенттери бар виртуалдык машиналар жайгашкан өздөрүнүн булут сегменттеринде иштешет. Алар негизги КСКга баш ийген жеке КСК серверлери аркылуу башкарылат. Эгерде аз сандагы виртуалдык машиналарды (5ке чейин) коргоо зарыл болсо, кардарга атайын бөлүнгөн KSC серверинин виртуалдык консолуна кирүү мүмкүнчүлүгү берилиши мүмкүн. Кардар KSC жана негизги KSC, ошондой эле жарык агенттери жана SVM ортосундагы тармактык өз ара аракеттенүү NAT аркылуу EdgeGW кардар виртуалдык роутерлери аркылуу ишке ашырылат.
Биздин баалоолорго жана сатуучудагы кесиптештердин тесттеринин жыйынтыгына ылайык, Light Agent кардарлардын виртуалдык инфраструктурасынын жүгүн болжол менен 25% азайтат (салттуу антивирустук программаны колдонгон системага салыштырмалуу). Атап айтканда, физикалык чөйрөлөр үчүн стандарттуу Kaspersky Endpoint Security (KES) антивирусу жеңил агентке негизделген виртуалдаштыруу чечимине (2,95%) караганда сервердин CPU убактысын дээрлик эки эсе көп сарптайт (1,67%).
CPU жүгүн салыштыруу диаграммасы
Ушундай эле жагдай дискке жазууга кирүү жыштыгы менен байкалат: классикалык антивирус үчүн 1011 IOPS, булут антивирусу үчүн 671 IOPS.
Дискке кирүү ылдамдыгын салыштыруу графиги
Иштин артыкчылыгы инфраструктуранын туруктуулугун сактоого жана эсептөө күчүн натыйжалуураак пайдаланууга мүмкүндүк берет. Коомдук булут чөйрөсүндө иштөөгө ыңгайлашуу менен, чечим булуттун иштешин төмөндөтпөйт: ал файлдарды борборлоштуруп текшерет жана жаңыртууларды жүктөйт, жүктү бөлүштүрөт. Бул, бир жагынан, булут инфраструктурасына тиешелүү коркунучтар көз жаздымда калбайт, экинчи жагынан, виртуалдык машиналар үчүн ресурстук талаптар салттуу антивируска салыштырмалуу орточо 25% га кыскарат дегенди билдирет.
Функционалдык жактан эки чечим тең бири-бирине абдан окшош: төмөндө салыштыруу таблицасы. Бирок, булутта, жогорудагы тесттин натыйжалары көрсөткөндөй, виртуалдык чөйрөлөр үчүн чечимди колдонуу дагы эле оптималдуу.
Жаңы ыкманын алкагында тарифтер жөнүндө. Биз vCPU санына жараша лицензияларды алууга мүмкүндүк берген моделди колдонууну чечтик. Бул лицензиялардын саны vCPU санына барабар болот дегенди билдирет. Сурам калтыруу менен антивирусуңузду текшерсеңиз болот .
Булут темалары боюнча кийинки макалада биз булуттагы WAFтердин эволюциясы жана эмнени тандоо жакшы: аппараттык камсыздоо, программалык камсыздоо же булут жөнүндө сүйлөшөбүз.
Текстти #CloudMTS булут провайдеринин кызматкерлери даярдашкан: Денис Мягков, жетектөөчү архитектор жана Алексей Афанасьев, маалыматтык коопсуздук продуктуларын иштеп чыгуу боюнча менеджер.
Source: www.habr.com