Šiame įraše stengsimės nukreipti savo skaitytojus nuo paplitusių klaidingų nuomonių dėl virtualių serverių saugumo ir papasakosime, kaip tinkamai apsaugoti savo nuomojamus debesis 2019 m. pabaigoje. Straipsnis daugiausia skirtas naujiems ir potencialiems klientams, konkrečiau tiems, kurie ką tik įsigijo arba nori pirkti , bet dar nelabai išmano kibernetinio saugumo klausimus ir VPS veikimą. Tikimės, kad išmanantiems vartotojams tai bus naudinga.
Keturi neteisingi debesų saugos metodai
Yra nuomonių, gana paplitusių tarp įmonių savininkų ir vadovų (paryškiname jas paryškintu šriftu), kad debesijos paslaugų kibernetinio saugumo užtikrinimas yra arba a priori nereikalingas dalykas, kadangi debesys yra saugūs (1), arba tai yra debesies tiekėjo užduotis: Sumokėjau už VPS – tai reiškia, kad viskas turi būti sukonfigūruota, saugu ir veikti be problemų (2). Egzistuoja ir trečioji nuomonė, bendra tiek informacijos saugos specialistams, tiek verslininkams: debesys yra pavojingi! Jokie žinomi saugos įrankiai negali užtikrinti tinkamos virtualios aplinkos apsaugos (3) – verslo lyderiai, taikantys šį požiūrį, atsisako debesų technologijų dėl nepasitikėjimo arba nesupratimo, kaip skiriasi tradicinės ir specializuotos saugos priemonės (daugiau apie jas žemiau). Ketvirtoji piliečių kategorija tuo mano taip, turėtumėte apsaugoti savo debesų infrastruktūrą, nes yra standartinių antivirusinių programų (4).
Visi šie keturi požiūriai yra neteisingi - jie gali atnešti nuostolių (išskyrus metodą visiškai nenaudoti virtualių serverių, tačiau net ir čia nereikėtų pamiršti verslo postulato „negautas pelnas taip pat yra nuostolis“). Norėdami šiek tiek iliustruoti statistiką, pateikiame citatą iš Kaspersky Lab įmonių pardavimų palaikymo eksperto Vladimiro Ostroverkhovo ataskaitos, kurią mes 2017 metų vasarą. Tuo metu „Kaspersky“ atliko apklausą tarp penkių tūkstančių įmonių iš 25 šalių – tai didelės įmonės, kuriose dirba ne mažiau kaip pusantro tūkstančio darbuotojų. 75% jų naudoja virtualizaciją, bet neinvestuoja į saugumą. Ši problema neprarado savo aktualumo ir šiandien:
„Apie pusė [didžiųjų] įmonių nenaudoja virtualių mašinų apsaugos, o kita pusė mano, kad užteks bet kokios standartinės antivirusinės. Visos šios įmonės [kiekviena] išleidžia vidutiniškai beveik milijonas dolerių [per metus] išieškojimui po incidentų: tyrimui, sistemos atkūrimui, išlaidų kompensavimui, nuostolių atlyginimui nuo vieno vienintelio įsilaužimo... Kokios bus jų išlaidos, jei jie susikompromituotų? Tiesioginiai nuostoliai dėl restauravimo, įrangos, programinės įrangos keitimo... Netiesioginiai nuostoliai - reputacija... Nuostoliai už kompensaciją savo klientams, įskaitant reputaciją... Ir dar incidentų tyrimas, dalinis infrastruktūros keitimas, nes jau susikompromitavo tai dialogai su vyriausybėmis, tai dialogai su draudimo bendrovėmis, dialogai su klientais, kurie turi mokėti kompensacijas.
Kodėl šie metodai neveikia
1 metodas: debesys yra saugūs, jų nereikia saugoti. Maždaug 240 tūkstančių kenkėjiškų programų, kurios kasdien pasirodo, puikiai gyvena debesyse: nuo paprasto moksleivio parašyto ir internete paskelbto kodo (tai reiškia, kad jis gali sugadinti duomenis) iki sudėtingų tikslinių atakų, sukurtų specialiai konkrečioms organizacijoms, atvejams ir situacijoms, puikiai moka ne tik laužyti ir vogti duomenis, bet ir save „slėpti“. Virtuali infrastruktūra taip pat įdomi įsilaužėliams: daug lengviau nulaužti ir gauti prieigą prie visų savo virtualių mašinų ir duomenų vienu metu, o ne bandyti nulaužti kiekvieną fizinį serverį atskirai. Be to, verta atsižvelgti į tai, kad virtualios infrastruktūros viduje kenkėjiškas kodas plinta milžinišku greičiu – per dešimt minučių gali būti užkrėstos dešimtys tūkstančių mašinų, o tai prilygsta epidemijai (žr. ). Kenkėjiškos programos ir išpirkos reikalaujančios programos, kurios prisideda prie įmonės duomenų nutekėjimo, sudaro apie 27 % visų debesų „pavojaus“. Daugiausia pažeidžiamumų debesyje: neapsaugotos sąsajos ir neteisėta prieiga – iš viso apie 80% (pagal tyrimus su Check Point Software Technologies Ltd. yra pirmaujanti kibernetinio saugumo sprendimų tiekėja vyriausybėms ir įmonėms visame pasaulyje.
2 metodas: už debesų infrastruktūros apsaugą atsako VPS teikėjas. Tai iš dalies tiesa, nes virtualių serverių tiekėjas rūpinasi savo sistemų stabilumu ir pakankamai aukštu pagrindinių debesies komponentų: serverių, saugojimo įrenginių, tinklų, virtualizacijos (reglamentuojama paslaugų lygio sutartimi, SLA) apsauga. . Tačiau jam nereikia rūpintis, kad būtų išvengta vidinių ir išorinių grėsmių, kurios gali kilti kliento debesų infrastruktūroje. Leiskime sau odontologinę analogiją. Sumokėjęs net didelius pinigus už gerą implantą, odontologijos klinikos klientas supranta, kad teisingas protezo veikimas labai priklauso nuo jo paties (kliento). Odontologas ortopedas savo ruožtu padarė viską, ko reikėjo dėl saugumo: parinko kokybiškas medžiagas, patikimai „prisegė“ implantą, netrikdė sąkandžio, gydė dantenas po operacijos ir t.t.. O jei vartotojas nesilaikys higienos taisyklių ateityje, tai taps, pavyzdžiui, dantimis atplėšti metalinius butelių kamštelius ir atlikti kitus panašius nesaugius veiksmus, nebus įmanoma garantuoti gero naujo danties funkcionavimo. Ta pati istorija taikoma ir užtikrinant 100% debesų saugą VPS, išsinuomotame iš teikėjo. Už debesijos paslaugų teikėjo „jurisdikcijos ribų“ kliento duomenų ir programų apsauga yra jo asmeninė atsakomybė.
3 metodas: jokios saugos priemonės negali užtikrinti tinkamos virtualiosios aplinkos apsaugos. Visai ne. Yra specializuotų debesų saugos sprendimų, kuriuos aptarsime paskutinėje straipsnio dalyje.
4 metodas: standartinės antivirusinės (tradicinės apsaugos) naudojimas. Čia svarbu žinoti, kad tradiciniai saugos įrankiai, kuriuos visi įpratę naudoti vietiniuose kompiuteriuose, tiesiog nėra skirti paskirstytoms virtualioms aplinkoms (jie „nemato“, kaip vyksta ryšys tarp virtualių mašinų) ir neapsaugo vidinės virtualios infrastruktūros nuo vidinių įsilaužimo bandymų. Paprasčiau tariant, įprastinė antivirusinė programinė įranga debesyje beveik neveikia. Tuo pačiu metu, įdiegti kiekviename WM, jie sunaudoja didžiulį kiekį visos virtualios ekosistemos išteklių tikrindami, ar nėra virusų ir naujinimų, „švaistydami“ tinklą ir sulėtindami įmonės darbą, tačiau dėl to suteikdami beveik nulinis efektyvumas pagrindiniame darbe.
Kitose dviejose straipsnio dalyse išvardinsime, kokie pavojai gali kilti įmonei veikiant debesyse (privati, vieša, hibridinė) ir pasakysime, kaip šių pavojų galima ir reikia teisingai užkirsti kelią.
Pavojai, kurie nuolat gresia debesijos paslaugoms
▍Nuotolinės tinklo atakos
Tai įvairaus pobūdžio informaciją griaunantis poveikis paskirstytai kompiuterinei sistemai, vykdomas programiškai komunikacijos kanalais, siekiant skirtingų tikslų. Dažniausiai iš jų:
- DDoS ataka (). Masinis informacijos užklausų siuntimas į serverį, siekiant išnaudoti užpultos sistemos išteklius arba pralaidumą, kad būtų išjungta tikslinė sistema ir taip būtų padaryta žala įmonei. Naudoja konkurentai kaip užsakymo paslauga, turto prievartautojai, politiniai aktyvistai ir vyriausybės, norėdami gauti politinių dividendų. Tokios atakos vykdomos naudojant botnetą – kompiuterių tinklą su juose įdiegtais robotais (programine įranga, kurioje gali būti virusų, nuotolinio kompiuterio valdymo programos ir slėpimosi nuo OS įrankiai), kuriuos įsilaužėliai nuotoliniu būdu naudoja šlamšto ir išpirkos reikalaujančių programų platinimui. . Daugiau skaitykite mūsų įraše .
- Ping potvynis - sukelti linijos perkrovą.
- Ping of Death - sukelti užšalimą, perkrovimą ir sistemos gedimą.
- Programos lygio atakos — gauti prieigą prie kompiuterio, leidžiančio paleisti programas tam tikrai (privilegijuotosios sistemos) paskyrai.
- Duomenų suskaidymas — avariniam sistemos išjungimui dėl programinės įrangos buferio perpildymo.
- Autorooters - automatizuoti įsilaužimo procesą, per trumpą laiką nuskaitant daugybę sistemų, įdiegiant rootkit.
- Uostymas — klausytis kanalo.
- Paketo įvedimas - perjungti į savo kompiuterį ryšį tarp kitų kompiuterių.
- Paketų perėmimas maršrutizatoriuje – gauti vartotojų slaptažodžius ir informaciją iš el.
- IP klaidinimas - kad įsilaužėlis tinkle ar už jo ribų galėtų apsimesti kompiuteriu, kuriuo galima pasitikėti. Tai daroma naudojant IP adreso klastojimą.
- Brutalios jėgos atakos (brute force) – pasirinkti slaptažodį bandant derinius. Jie išnaudoja RDP ir SSH pažeidžiamumą.
- Smurf — sumažinti ryšio kanalo pralaidumą ir (arba) visiškai izoliuoti užpultą tinklą.
- DNS parodijos — pažeisti duomenų vientisumą DNS sistemoje „apnuodijant“ DNS talpyklą.
- Patikimo šeimininko klastojimas — turėti galimybę vykdyti seansą su serveriu patikimo pagrindinio kompiuterio vardu.
- TCP SYN potvynis — perpildyti serverio atmintį.
- Žmogus-in-the-vidurinė — už informacijos vagystę, perduodamų duomenų iškraipymą, DoS atakas, įsilaužimą į esamą ryšio seansą siekiant gauti prieigą prie privačių tinklo išteklių, srauto analizę, siekiant gauti informacijos apie tinklą ir jo vartotojus.
- Tinklo intelektas - ištirti informaciją apie tinklą ir programas, veikiančias pagrindiniuose kompiuteriuose prieš ataką.
- Uosto peradresavimas yra atakos rūšis, kuri naudoja pažeistą pagrindinį kompiuterį srautui perduoti per užkardą. Pavyzdžiui, jei ugniasienė yra prijungta prie trijų pagrindinių kompiuterių (išorinių, vidinių ir viešųjų paslaugų), tada išorinis kompiuteris gali susisiekti su vidiniu kompiuteriu peradresuodamas viešųjų paslaugų pagrindinio kompiuterio prievadus.
- Pasitikėjimo išnaudojimas - atakos, atsirandančios, kai kas nors pasinaudoja patikimais ryšiais tinkle. Pavyzdžiui, įsilaužus į vieną sistemą įmonės tinkle (HTTP, DNS, SMTP serveriuose), gali būti įsilaužta į kitas sistemas.
▍Socialinė inžinerija
- Sukčiavimas — gauti konfidencialią informaciją (slaptažodžius, banko kortelių numerius ir kt.) laiškais žinomų organizacijų ir bankų vardu.
- Paketo uostymas (Paketų sniffers) – prieigai prie svarbios informacijos, įskaitant slaptažodžius. Tai sėkminga daugiausia dėl to, kad vartotojai dažnai pakartotinai naudoja savo vartotojo vardą ir slaptažodį, norėdami pasiekti įvairias programas ir sistemas. Tokiu būdu įsilaužėlis gali gauti prieigą prie sistemos vartotojo abonemento ir per ją susikurti naują paskyrą, kad bet kuriuo metu galėtų pasiekti tinklą ir jo išteklius.
- Pretekstas - scenarijus užpuolimas naudojant balso ryšį, kurio tikslas – priversti auką atlikti veiksmą.
- Trojos arklys - technika, pagrįsta aukos emocijomis: baime, smalsumu. Kenkėjiškos programos dažniausiai randamos kaip el. pašto priedas.
- Kalba apie quo (tada už tai quid pro quo) - užpuolikas susisiekia su jumis įmonės telefonu arba el. paštu, prisidengdamas techninės pagalbos darbuotojo vardu, pranešdamas apie aukos kompiuterio problemas ir siūlydamas jas išspręsti. Tikslas yra įdiegti programinę įrangą ir vykdyti kenkėjiškas komandas šiame kompiuteryje.
- Kelio obuolys — užkrėstų fizinių laikmenų sodinimas įmonių viešose vietose (flash drive tualete, diskas lifte), aprūpintas smalsumą žadinančiais užrašais.
- Informacijos rinkimas iš socialinių tinklų.
▍Išnaudojimai
Bet kokios neteisėtos ir neteisėtos atakos, kuriomis siekiama gauti duomenų, sutrikdyti sistemos veikimą arba perimti sistemos kontrolę, vadinamos išnaudojimais. Juos sukelia programinės įrangos kūrimo proceso klaidos, dėl kurių programų apsaugos sistemoje atsiranda pažeidžiamumų, kuriais sėkmingai pasinaudoja kibernetiniai nusikaltėliai, norėdami gauti neribotą prieigą prie pačios programos, o per ją – prie viso kompiuterio ir toliau mašinų tinklas.
▍Sąskaitų kompromitavimas
Pašalinio asmens įsilaužimas į įmonės darbuotojo paskyrą, siekiant gauti prieigą prie saugomos informacijos: nuo informacijos (įskaitant garsą) ir raktų su kenkėjiškomis programomis perėmimo iki įsiskverbimo į fizinę informacijos laikmenos saugyklą.
▍Saugyklų kompromisas
Programinės įrangos diegimo, naujinimų ir bibliotekų saugojimo serverių užkrėtimas.
▍Įmonės vidinės rizikos
Tai apima informacijos nutekėjimą dėl pačių įmonės darbuotojų kaltės. Tai gali būti paprastas aplaidumas arba tyčiniai piktavališki veiksmai: nuo tyčinio administracinio saugumo politikos sabotavimo iki konfidencialios informacijos pardavimo trečiosioms šalims. Tai taip pat gali apimti neteisėtą prieigą, nesaugias sąsajas, netinkamą debesų platformų konfigūraciją ir neteisėtų programų diegimą / naudojimą.
Dabar pažiūrėkime, kaip galite išvengti tokio plataus (ir toli gražu ne pilno) debesų saugos problemų sąrašo.
Šiuolaikiniai specializuoti debesų saugos sprendimai
Kiekvienai debesų infrastruktūrai reikalinga visapusiška, daugiasluoksnė apsauga. Toliau aprašyti metodai padės suprasti, iš ko turėtų būti sudarytas debesų saugos paketas.
▍Antivirusai
Svarbu atsiminti, kad bet kokia tradicinė antivirusinė programa nebus patikima, kai bandoma užtikrinti debesų saugą. Reikia naudoti specialiai virtualiai ir debesų aplinkai sukurtą sprendimą, o jo diegimas šiuo atveju taip pat turi savo taisykles. Šiandien yra du būdai užtikrinti debesų saugumą naudojant specializuotas daugiakomponentes antivirusines priemones, sukurtas naudojant naujausias technologijas: apsauga be agentų ir apsauga nuo lengvųjų agentų.
Apsauga be agentų. Sukurta VMware ir įmanoma tik su jos sprendimais. Dvi papildomos virtualios mašinos yra įdiegtos fiziniame serveryje su virtualiosiomis mašinomis: saugos serveris (SVM) ir tinklo atakų blokatorius (NAB). Į kiekvieną iš jų nieko neįdėta. SVM – tam skirtame saugos įrenginyje – įdiegtas tik antivirusinis branduolys. NAB įrenginyje šis komponentas yra atsakingas tik už ryšių tarp virtualių mašinų ir to, kas vyksta ekosistemoje, patikrinimą (ir už ryšį su NSX technologija). Šis SVM tikrina visą srautą, ateinantį į fizinį serverį. Tai yra nuosprendžių rinkinys, prieinamas visoms virtualioms saugos mašinoms per bendrą nuosprendžių talpyklą. Kiekviena saugumo virtuali mašina pirmiausia pasiekia šį telkinį, o ne nuskaito visą sistemą – šis principas leidžia sumažinti resursų sąnaudas ir pagreitinti ekosistemos veikimą.
Apsauga su lengva priemone. Sukūrė Kaspersky ir neturi VMware apribojimų. Kaip ir apsaugos be agentų atveju, SVM yra įdiegtas antivirusinis variklis, tačiau skirtingai nei jis, kiekviename WM taip pat yra lengvasis agentas. Agentas neatlieka patikrinimų, o tik stebi viską, kas vyksta vietiniame WM, remiantis savaiminio mokymosi tinklo technologija. Ši technologija įsimena teisingą programų seką; Susidūrus su tuo, kad programos veiksmų seka WM viduje nevyksta tinkamai, ji ją blokuoja.
Daugiau apie , bet apie tai, kaip virtualiam serveriui įdiegti antivirusinę apsaugą naudojant lengvąją priemonę, (puslapio apačioje yra visą parą dirbančios techninės pagalbos kontaktai, jei kiltų klausimų).
▍Integracija su paslaugomis, siekiant užkirsti kelią debesų saugos problemoms arba jas ištaisyti
- Pokyčių valdymo platformos. Tai patikrintos paslaugos, kurios palaiko pagrindinius įmonės ITSM procesus, įskaitant IT saugumą ir incidentus. Pavyzdžiui, ServiceNow, Remedy, JIRA.
- Apsaugos nuskaitymo įrankiai. Pavyzdžiui, Rapid7, Qualys, Tenable.
- Konfigūracijos valdymo įrankiai. Jie leidžia automatizuoti serverių veikimą ir taip supaprastinti dešimčių, šimtų ir net tūkstančių serverių, kurie gali būti paskirstyti visame pasaulyje, sąranką ir priežiūrą. Pavyzdžiui, „TrueSight Server Automation“, „IBM BigFix“, „TrueSight Vulnerability Manager“, „Chef“, „Puppet“.
- Saugūs įspėjimų valdymo įrankiai. Leidžia teikti nuolatines paslaugas ir toliau stebėti situaciją incidentų metu, teikti kompetentingą telefono integravimo, žinučių siuntimo ir el. pašto palaikymą (Cisco duomenimis, 85 m. liepos mėn. daugiau nei 2019 % el. laiškų buvo šlamštas, kuriame galėjo būti kenkėjiškų programų, Sukčiavimo bandymai ir pan. Šiais laikais kenkėjiškos programos dažnai siunčiamos naudojant „įprastų“ priedų tipus: dažniausiai el. pašto kenkėjiški priedai yra „Microsoft Office“ failai. ). Toks įrankis galėtų būti, pavyzdžiui, „OpsGenie“.
▍Išnaudokite apsaugą
Kadangi išnaudojimai yra programinės įrangos pažeidžiamumo pasekmės, tai programinės įrangos kūrėjai turi ištaisyti savo produkto klaidas. Vartotojai privalo laiku įdiegti naujinimų paketus ir pataisas iškart po jų išleidimo. Naudodami automatinės paieškos ir diegimo įrankį arba programų tvarkyklę su šia funkcija galite išvengti naujinimų trūkumo. Automatinė apsauga nuo išnaudojimo yra integruota į aukščiau aprašytą programą .
▍Ugniasienė
Ugniasienė, ugniasienė. Filtruoja ir valdo tinklo srautą pagal iš anksto nustatytas taisykles. Ugniasienė gali būti pavaizduota kaip filtrų, apdorojančių tinklo informacijos srautą, seka. Tinkama ugniasienės konfigūracija veiksminga prieš žiaurios jėgos atakas. Galite leisti RDP arba SSH ryšius tik iš tam tikrų serverio savininko IP adresų ir apsaugoti serverį nuo slaptažodžio atspėjimo. Ugniasienės yra visose šiuolaikinėse operacinėse sistemose. Be to, RUVDS asmeninė sąskaita siūlo nemokama ugniasienė tinklo įrangos lygiu. Taigi nepageidaujamas tinklo srautas nepasieks virtualios mašinos, o bus filtruojamas duomenų centro lygiu. Siekiant didesnio kliento patogumo, ugniasienės sąsajoje buvo pridėtos dažniausiai naudojamos filtravimo taisyklės. Jei IP adresas pakeičiamas, klientas gali tiesiog eiti į savo asmeninę paskyrą ir redaguoti taisyklę neprisijungdamas prie serverio.
▍Apsauga nuo DDoS atakų
Yra papildoma paslauga, kurią galima įsigyti
virtualių (ir fizinių) serverių tiekėjas. Jis pagrįstas tinklo srauto analizės technologijomis, kurios, pavyzdžiui, RUVDS yra vykdomos 24/7, o apsauga gali stabiliai atlaikyti iki 1500 Gbit/s. Mokate tik už reikiamą srautą. Dabar reklamuojama RUVDS pirmas menesis nemokamas 0.5 Mbit/s, tada nuo 400 rub. per mėnesį.
▍Parengti ir pasiekti, kad būtų laikomasi teisės aktų
Parašytos ir įvykdytos vartotojo taisyklės ir reabilitacijos priemonių taisyklės (reagavimo į kibernetinio saugumo incidentus planas) turi didelę reikšmę debesų saugumo klausimais žmogiškojo faktoriaus požiūriu, įskaitant įsilaužimą naudojant socialinės inžinerijos metodus. Šis punktas apima darbuotojų prieigos apribojimą, pagrindinių įmonės debesų programų identifikavimą (negalima įdiegti jokių kitų programų, išskyrus tas kelias, kurios yra tokiame „baltajame sąraše“), ir mobiliųjų įrenginių, kuriuos galima naudoti įmonėje sąveikai, saugumo užtikrinimą. su įmonės debesų infrastruktūra, bei įrenginio valdymu, kuris atsakingas už išorinių laikmenų naudojimo politiką.
Tikimės, kad straipsnis buvo naudingas. Kaip visada, laukiame konstruktyvių komentarų, naujos informacijos, įdomių nuomonių, taip pat pranešimų apie bet kokius medžiagos netikslumus.
Šaltinis: www.habr.com
