Ëmmer méi Benotzer bréngen hir ganz IT-Infrastruktur an d'ëffentlech Cloud. Wéi och ëmmer, wann d'Anti-Virus Kontroll net genuch an der Infrastruktur vum Client ass, entstinn sérieux Cyberrisiken. Praxis weist datt bis zu 80% vun existente Viren perfekt an engem virtuellen Ëmfeld liewen. An dësem Post schwätze mir iwwer wéi een IT Ressourcen an der ëffentlecher Wollek schützt a firwat traditionell Antivirusen net ganz gëeegent sinn fir dës Zwecker.
Fir unzefänken, wäerte mir Iech soen wéi mir op d'Iddi komm sinn datt déi üblech Anti-Virus Schutz Tools net fir d'ëffentlech Cloud gëeegent sinn an datt aner Approche fir Ressourcen ze schützen erfuerderlech sinn.
Éischtens, Fournisseuren allgemeng déi néideg Moossnamen ze garantéieren, datt hir Cloud Plattformen op engem héijen Niveau geschützt sinn. Zum Beispill, bei #CloudMTS analyséiere mir all Netzverkéier, iwwerwaachen Logbicher vun eise Cloud Sécherheetssystemer a maachen regelméisseg Pentests. Cloud Segmenter, déi un eenzel Clientë zougewisen sinn, mussen och sécher geschützt sinn.
Zweetens, déi klassesch Optioun fir d'Bekämpfung vu Cyberrisiken involvéiert d'Installatioun vun engem Antivirus an Antivirus Gestioun Tools op all virtuell Maschinn. Wéi och ëmmer, mat enger grousser Zuel vu virtuelle Maschinnen, kann dës Praxis net effikass sinn a bedeitend Quantitéiten u Rechenressourcen erfuerderen, doduerch d'Infrastruktur vum Client weider lueden an d'Gesamtleistung vun der Wollek reduzéieren. Dëst ass eng Schlëssel Viraussetzung fir d'Sich no neien Approche fir effektiv Anti-Virus Schutz fir Client virtuell Maschinnen ze bauen.
Zousätzlech sinn déi meescht Antivirusléisungen um Maart net ugepasst fir d'Problemer vum Schutz vun IT Ressourcen an engem ëffentleche Cloudëmfeld ze léisen. Als Regel, si si schwéier EPP-Léisungen (Endpoint Protection Platforms), déi ausserdeem net déi néideg Personnalisatioun op der Clientssäit vum Cloud Provider ubidden.
Et gëtt offensichtlech datt traditionell Antivirus-Léisungen schlecht passend sinn fir an der Wollek ze schaffen, well se déi virtuell Infrastruktur während Updates a Scans eescht lueden, an och net déi néideg Niveaue vu Roll-baséierter Gestioun an Astellungen hunn. Als nächst wäerte mir am Detail analyséieren firwat d'Wollek nei Approche fir den Anti-Virus Schutz brauch.
Wat en Antivirus an enger ëffentlecher Cloud maache soll
Also, loosst eis op d'Spezifizitéite vun der Aarbecht an engem virtuellen Ëmfeld oppassen:
Effizienz vun Aktualiséierungen a geplangte Mass Scans. Wann eng bedeitend Unzuel vu virtuelle Maschinnen, déi traditionell Antivirus benotzen, gläichzäiteg en Update initiéieren, da kënnt e sougenannte "Stuerm" vun Updates an der Wollek. D'Kraaft vun engem ESXi-Host, deen e puer virtuelle Maschinnen hält, ass vläicht net genuch fir d'Barrage vun ähnlechen Aufgaben ze handhaben, déi als Standard lafen. Aus der Siicht vun der Wollek Provider kann esou e Problem zu zousätzlech Luede op eng Rei vun ESXi Provider Féierung, déi schlussendlech zu engem Réckgang an der Leeschtung vun der Wollek virtuell Infrastruktur Féierung. Dëst kann ënner anerem d'Performance vun virtuelle Maschinnen vun anere Cloud Clienten beaflossen. Eng ähnlech Situatioun kann entstoen wann Dir e Massescan lancéiert: gläichzäiteg Veraarbechtung vum Disk System vu villen ähnlechen Ufroe vu verschiddene Benotzer wäert d'Performance vun der ganzer Wollek negativ beaflossen. Mat engem héije Grad vu Wahrscheinlechkeet wäert eng Ofsenkung vun der Speichersystemleistung all Clienten beaflossen. Esou abrupt Belaaschtunge gefalen weder de Provider nach seng Clienten, well se d'"Noperen" an der Wollek beaflossen. Aus dëser Siicht kann traditionell Antivirus e grousse Problem stellen.
Sécher Quarantän. Wann e Fichier oder Dokument, dat potenziell mat engem Virus infizéiert ass, um System festgestallt gëtt, gëtt se an d'Quarantän geschéckt. Natierlech kann eng infizéiert Datei direkt geläscht ginn, awer dëst ass dacks net akzeptabel fir déi meescht Firmen. Firmen Enterprise Antivirusen déi net ugepasst sinn fir an der Cloud vum Provider ze schaffen, hunn als Regel eng gemeinsam Quarantänzone - all infizéiert Objete falen an et. Zum Beispill, déi op de Computere vu Firmenbenotzer fonnt ginn. Clienten vum Cloud Provider "liewen" an hiren eegene Segmenter (oder Locataire). Dës Segmenter sinn opak an isoléiert: Clienten wëssen net vuneneen an, natierlech, gesinn net wat anerer an der Wollek hosten. Natierlech kann déi allgemeng Quarantän, déi vun all Antivirus Benotzer an der Wollek zougänglech ass, potenziell en Dokument enthalen dat vertraulech Informatioun oder e Handelsgeheimnis enthält. Dëst ass inakzeptabel fir de Provider a seng Clienten. Dofir kann et nëmmen eng Léisung sinn - perséinlech Quarantän fir all Client a sengem Segment, wou weder de Provider nach aner Clienten Zougang hunn.
Individuell Sécherheetspolitik. All Client an der Wollek ass eng separat Firma, där hir IT Departement seng eege Sécherheetspolitik setzt. Zum Beispill, Administrateuren definéieren Scannen Regelen an Zäitplang Anti-Virus scannt. Deementspriechend muss all Organisatioun säin eegene Kontrollzentrum hunn fir Antivirus Politiken ze konfiguréieren. Zur selwechter Zäit sollten déi spezifizéiert Astellunge keng aner Cloud-Clienten beaflossen, an de Provider soll fäeg sinn ze verifizéieren datt zum Beispill Antivirus-Aktualiséierunge fir all Client virtuell Maschinnen normal duerchgefouert ginn.
Organisatioun vun Rechnung an Lizenz. De Cloudmodell ass duerch Flexibilitéit charakteriséiert an ëmfaasst nëmmen d'Quantitéit vun IT Ressourcen ze bezuelen déi vum Client benotzt goufen. Wann et e Besoin ass, zum Beispill, wéinst der Saisonalitéit, da kann d'Quantitéit vun de Ressourcen séier erhéicht oder reduzéiert ginn - alles baséiert op den aktuellen Bedierfnesser fir Rechenkraaft. Traditionell Antivirus ass net sou flexibel - als Regel, de Client keeft eng Lizenz fir e Joer fir eng virbestëmmten Zuel vu Serveren oder Aarbechtsstatiounen. Cloud Benotzer trennen a verbannen regelméisseg zousätzlech virtuell Maschinnen ofhängeg vun hiren aktuellen Bedierfnesser - deementspriechend mussen d'Antivirus Lizenzen dee selwechte Modell ënnerstëtzen.
Déi zweet Fro ass wat genau d'Lizenz wäert ofdecken. Traditionell Antivirus ass lizenzéiert duerch d'Zuel vun de Serveren oder Aarbechtsstatiounen. Lizenzen baséiert op der Unzuel vu geschützte virtuelle Maschinnen sinn net ganz gëeegent am Cloud Modell. De Client kann all Zuel vu virtuelle Maschinnen erstellen, déi him bequem sinn aus de verfügbare Ressourcen, zum Beispill fënnef oder zéng Maschinnen. Dës Zuel ass net konstant fir déi meescht Clienten et ass net méiglech fir eis, als Provider, seng Ännerungen ze verfolgen. Et gëtt keng technesch Méiglechkeet vun der CPU Lizenz: Clienten kréien virtuell Prozessoren (vCPUs), déi fir Lizenz benotzt ginn soll. Also soll den neien Anti-Virus Schutzmodell d'Fäegkeet fir de Client enthalen fir déi erfuerderlech Zuel vu vCPUs ze bestëmmen fir déi hien Anti-Virus Lizenzen kritt.
Konformitéit mat Gesetzgebung. E wichtege Punkt, well d'Léisungen déi benotzt gi mussen d'Konformitéit mat den Ufuerderunge vum Reguléierer garantéieren. Zum Beispill, Cloud "Awunner" schaffen dacks mat perséinlechen Donnéeën. An dësem Fall muss de Fournisseur e separat zertifizéiert Cloud Segment hunn, deen den Ufuerderunge vum Perséinlechen Dategesetz voll entsprécht. Da brauche Firmen net onofhängeg de ganze System ze bauen fir mat perséinlechen Donnéeën ze schaffen: zertifizéiert Ausrüstung kafen, konnektéieren a konfiguréieren, an Zertifizéierung maachen. Fir de Cyber Schutz vun der ISPD vun esou Clienten, muss den Antivirus och den Ufuerderunge vun der russescher Gesetzgebung respektéieren an e FSTEC Zertifika hunn.
Mir hunn déi obligatoresch Critèrë gekuckt, déi den Antivirusschutz an der ëffentlecher Cloud erfëllen muss. Als nächst wäerte mir eis eegen Erfahrung deelen an der Adaptatioun vun enger Antivirus Léisung fir an der Cloud vum Provider ze schaffen.
Wéi kënnt Dir Frënn tëscht Antivirus a Cloud maachen?
Wéi eis Erfahrung gewisen huet, eng Léisung ze wielen baséiert op Beschreiwung an Dokumentatioun ass eng Saach, awer et an der Praxis an engem scho funktionnéierende Cloudëmfeld ëmzesetzen ass eng komplett aner Aufgab wat d'Komplexitéit ugeet. Mir soen Iech wat mir an der Praxis gemaach hunn a wéi mir den Antivirus ugepasst hunn fir an der ëffentlecher Cloud vum Provider ze schaffen. De Verkeefer vun der Anti-Virus Léisung war Kaspersky, deem säi Portfolio Anti-Virus Schutzléisungen fir Cloud Ëmfeld enthält. Mir hunn eis op "Kaspersky Security for Virtualization" (Light Agent) etabléiert.
Et enthält eng eenzeg Kaspersky Security Center Konsol. Liicht Agent a Sécherheet virtuell Maschinnen (SVM, Sécherheet Virtuell Maschinn) an KSC Integratioun Server.
Nodeems mir d'Architektur vun der Kaspersky-Léisung studéiert hunn an déi éischt Tester zesumme mat den Ingenieuren vum Verkeefer gemaach hunn, ass d'Fro opgestan iwwer d'Integratioun vum Service an d'Wollek. Déi éischt Ëmsetzung gouf gemeinsam op der Moskauer Wollek Site duerchgefouert. An dat hu mir gemierkt.
Fir den Netzverkéier ze minimiséieren, gouf décidéiert e SVM op all ESXi Host ze setzen an den SVM un d'ESXi Hosten ze "binden". An dësem Fall, Liicht Agenten vun geschützt virtuell Maschinnen Zougang zu der SVM vun der exakt ESXi Host op déi se lafen. Eng separat administrativ Locataire gouf fir den Haapt KSC ausgewielt. Als Resultat sinn ënnergeuerdnete KSCs an de Locataire vun all eenzelne Client lokaliséiert an adresséieren de Superior KSC am Management Segment. Dëse Schema erlaabt Iech séier Problemer ze léisen, déi am Client Locataire entstinn.
Zousätzlech zu Probleemer mat der Erhéijung vun de Komponenten vun der Anti-Virus-Léisung selwer, ware mir mat der Aufgab konfrontéiert fir d'Netzwierkinteraktioun ze organiséieren duerch d'Schafung vun zousätzleche VxLANs. An och wann d'Léisung ursprénglech fir Entreprise Clienten mat private Wolleken geduecht war, mat der Hëllef vun der Ingenieurserfahrung an der technologescher Flexibilitéit vum NSX Edge konnte mir all d'Problemer léisen, déi mat der Trennung vu Locataire a Lizenz verbonne sinn.
Mir hunn enk mat Kaspersky Ingenieuren zesumme geschafft. Also, am Prozess vun der Analyse vun der Léisungsarchitektur wat d'Netzwierkinteraktioun tëscht Systemkomponenten ugeet, gouf festgestallt datt nieft dem Zougang vu Liichtagenten op SVM och Feedback néideg ass - vu SVM bis Liichtagenten. Dës Netzkonnektivitéit ass net méiglech an engem Multitenant Ëmfeld wéinst der Méiglechkeet vun identesche Netzwierk Astellunge vu virtuelle Maschinnen a verschiddene Cloud Locataire. Dofir, op eiser Ufro, hunn d'Kollegen vum Verkeefer de Mechanismus vun der Netzinteraktioun tëscht dem Liichtagent an dem SVM iwwerschafft wat d'Bedierfnes fir Netzwierkverbindung vu SVM op Liichtagenten eliminéiert.
Nodeems d'Léisung op der Moskauer Cloud Site ofgebaut an getest gouf, hu mir se op aner Site replizéiert, dorënner de zertifizéierte Cloud Segment. De Service ass elo an alle Regioune vum Land verfügbar.
Architektur vun enger Informatiounssécherheetsléisung am Kader vun enger neier Approche
Den allgemenge Schema vun der Operatioun vun enger Antivirus Léisung an engem ëffentleche Cloud Ëmfeld ass wéi follegt:
Schema vun der Operatioun vun enger Antivirus Léisung an engem ëffentleche Cloud Ëmfeld #CloudMTS
Loosst eis d'Features vun der Operatioun vun eenzelnen Elementer vun der Léisung an der Wollek beschreiwen:
• Eng eenzeg Konsole déi Clienten erlaabt de Schutzsystem zentral ze verwalten: Scannen ausféieren, Aktualiséierungen kontrolléieren a Quarantänzonen iwwerwaachen. Et ass méiglech individuell Sécherheetspolitike bannent Ärem Segment ze konfiguréieren.
Et sollt bemierkt datt obwuel mir e Serviceprovider sinn, stéiere mir net mat den Astellunge vu Clienten. Dat eenzegt wat mir maache kënnen ass d'Sécherheetspolitik op Standard zrécksetzen wann d'Rekonfiguratioun néideg ass. Zum Beispill kann dëst néideg sinn wann de Client se zoufälleg festgehalen huet oder se wesentlech geschwächt huet. Eng Firma kann ëmmer e Kontrollzentrum mat Standardpolitik kréien, déi se dann onofhängeg konfiguréieren. Den Nodeel vum Kaspersky Security Center ass datt d'Plattform momentan nëmme fir de Microsoft Betribssystem verfügbar ass. Obwuel liicht Agenten kënne souwuel mat Windows wéi och Linux Maschinnen schaffen. Wéi och ëmmer, Kaspersky Lab versprécht datt an der nächster Zukunft KSC ënner Linux OS funktionnéiert. Eng vun de wichtege Funktiounen vum KSC ass d'Fäegkeet fir Quarantän ze managen. All Client Firma an eiser Cloud huet eng perséinlech. Dës Approche eliminéiert Situatiounen, wou en Dokument, dat mat engem Virus infizéiert ass, zoufälleg ëffentlech siichtbar gëtt, sou wéi am Fall vun engem klassesche Firmen-Antivirus mat allgemenge Quarantän geschéie kéint.
• Liicht Agenten. Als Deel vum neie Modell gëtt e liichte Kaspersky Security Agent op all virtuell Maschinn installéiert. Dëst eliminéiert d'Noutwendegkeet fir d'Anti-Virus-Datebank op all VM ze späicheren, wat d'Quantitéit u Plaatz erfuerderlech reduzéiert. De Service ass integréiert mat der Wollek Infrastruktur a funktionnéiert duerch SVM, wat d'Dicht vu virtuelle Maschinnen op der ESXi Host an d'Performance vum ganze Wolleksystem erhéicht. D'Liicht Agent baut eng Schlaang vun Aufgaben fir all virtuell Maschinn: kontrolléieren de Fichier System, Erënnerung, etc. Awer de SVM ass verantwortlech fir dës Operatiounen auszeféieren, iwwer déi mir spéider schwätzen. Den Agent mécht och d'Funktioune vun enger Firewall, kontrolléiert d'Sécherheetspolitik, schéckt infizéiert Dateien an d'Quarantän a kontrolléiert d'allgemeng "Gesondheet" vum Betribssystem op deem se installéiert ass. All dëst kann mat der scho genannter eenzeger Konsol geréiert ginn.
• Sécherheet Virtuell Maschinn. All Ressourceintensiv Aufgaben (Anti-Virus Datebankupdates, geplangte Scans) ginn vun enger separater Security Virtual Machine (SVM) gehandhabt. Si ass responsabel fir d'Operatioun vun engem vollwäertege Anti-Virus Motor an Datenbanken dofir. D'IT Infrastruktur vun enger Firma kann e puer SVMs enthalen. Dës Approche erhéicht d'Zouverlässegkeet vum System - wann eng Maschinn klappt an net fir drësseg Sekonnen reagéiert, fänken d'Agenten automatesch no enger anerer ze sichen.
• KSC Integratioun Server. Ee vun de Komponente vun der Haaptrei KSC, déi seng SVMs zu Liichtjoer Agenten am Aklang mat dem Algorithmus uginn an hiren Astellungen zougewisen, a kontrolléiert och d'Disponibilitéit vun SVMs. Also bitt dëse Softwaremodul Laaschtbalancéierung iwwer all SVMs vun der Cloudinfrastruktur.
Algorithmus fir an der Wollek ze schaffen: d'Belaaschtung op d'Infrastruktur reduzéieren
Am Allgemengen kann den Antivirus Algorithmus wéi follegt vertruede sinn. Den Agent kritt Zougang zu der Datei op der virtueller Maschinn a kontrolléiert se. D'Resultat vun der Verifizéierung gëtt an enger gemeinsamer zentraliséierter SVM Uerteel Datebank (genannt Shared Cache) gespäichert, all Entrée an deem eng eenzegaarteg Dateiprobe identifizéiert. Dës Approche erlaabt Iech ze garantéieren datt déiselwecht Datei net e puer Mol hannereneen gescannt gëtt (zum Beispill wann se op verschiddene virtuelle Maschinnen opgemaach gouf). De Fichier gëtt nëmmen nei gescannt wann Ännerunge gemaach goufen oder de Scan manuell gestart gouf.
Ëmsetzung vun enger Antivirus Léisung an der Cloud vum Provider
D'Bild weist en allgemengt Diagramm vun der Léisungsimplementatioun an der Wollek. D'Haaptrei Kaspersky Security Center ass an der Kontroll Zone vun der Wollek agesat, an eng individuell SVM ass op all ESXi Host benotzt der KSC Integratioun Server benotzt (all ESXi Provider huet seng eege SVM verbonne mat speziellen Astellungen op VMware vCenter Server). Clienten schaffen an hiren eegene Cloud Segmenter, wou virtuell Maschinnen mat Agenten sinn. Si ginn duerch eenzel KSC Servere geréiert, déi dem Haapt KSC ënnergeuerdnet sinn. Wann et néideg ass fir eng kleng Zuel vu virtuelle Maschinnen ze schützen (bis zu 5), kann de Client Zougang zu der virtueller Konsole vun engem speziellen dedizéierten KSC Server ginn. Network Interaktioun tëscht Client KSCs an der Haaptrei KSC, souwéi Liicht Agenten an SVMs, gëtt mat NAT duerch EdgeGW Client virtuell Router duerchgefouert.
No eise Schätzungen an de Resultater vun Tester vu Kollegen am Verkeefer, reduzéiert Light Agent d'Laascht op d'virtuell Infrastruktur vun de Clienten ëm ongeféier 25% (am Verglach mat engem System mat traditionellen Anti-Virus Software). Besonnesch de Standard Kaspersky Endpoint Security (KES) Antivirus fir kierperlech Ëmfeld verbraucht bal duebel sou vill Server CPU Zäit (2,95%) wéi eng liicht Agent-baséiert Virtualiséierungsléisung (1,67%).
CPU Last Verglach Chart
Eng ähnlech Situatioun gëtt beobachtet mat der Frequenz vun Disk Schreifzougang: fir e klassesche Antivirus ass et 1011 IOPS, fir e Cloud Antivirus ass et 671 IOPS.
Disk Access Taux Verglach Grafik
De Leeschtungsvirdeel erlaabt Iech d'Infrastrukturstabilitéit z'erhalen an d'Rechenkraaft méi effizient ze benotzen. Duerch d'Adaptatioun fir an engem ëffentleche Cloud-Ëmfeld ze schaffen, reduzéiert d'Léisung d'Cloudleistung net: et kontrolléiert zentral Dateien an downloadt Updates, verdeelt d'Laascht. Dëst bedeit datt engersäits Bedrohungen relevant fir d'Cloudinfrastruktur net verpasst ginn, op der anerer Säit wäerten d'Ressourcefuerderunge fir virtuelle Maschinnen am Duerchschnëtt 25% am Verglach zu engem traditionellen Antivirus reduzéiert ginn.
Wat d'Funktionalitéit ugeet, si béid Léisunge ganz ähnlech mateneen: hei drënner ass eng Vergläichstabell. Wéi och ëmmer, an der Wollek, wéi d'Testresultater hei uewen weisen, ass et ëmmer nach optimal eng Léisung fir virtuell Ëmfeld ze benotzen.
Iwwer Tariffer am Kader vun der neier Approche. Mir hu beschloss e Modell ze benotzen deen eis erlaabt Lizenzen ze kréien baséiert op der Unzuel vun de vCPUs. Dëst bedeit datt d'Zuel vun de Lizenzen d'selwecht ass wéi d'Zuel vun de vCPUs. Dir kënnt Ären Antivirus testen andeems Dir eng Ufro hannerloosst .
Am nächsten Artikel iwwer Cloud Themen wäerte mir iwwer d'Evolutioun vu Cloud WAFs schwätzen a wat besser ass ze wielen: Hardware, Software oder Cloud.
Den Text gouf vu Mataarbechter vum Cloud Provider #CloudMTS virbereet: Denis Myagkov, féierend Architekt an Alexey Afanasyev, Informatiounssécherheetsproduktentwécklungsmanager.
Source: will.com