🥇Mākoņu drošības uzraudzība

Datu un lietojumprogrammu pārvietošana uz mākoni rada jaunu izaicinājumu korporatīvajiem SOC, kas ne vienmēr ir gatavi uzraudzīt citu cilvēku infrastruktūru. Saskaņā ar Netoskope datiem vidējais uzņēmums (acīmredzot ASV) izmanto 1246 dažādus mākoņpakalpojumus, kas ir par 22% vairāk nekā pirms gada. 1246 mākoņpakalpojumi!!! 175 no tiem attiecas uz personāla pakalpojumiem, 170 ir saistīti ar mārketingu, 110 ir komunikāciju jomā un 76 ir finanšu un CRM. Cisco izmanto “tikai” 700 ārējos mākoņpakalpojumus. Tāpēc mani šie skaitļi nedaudz mulsina. Bet jebkurā gadījumā problēma nav ar viņiem, bet gan tajā, ka mākoni diezgan aktīvi sāk izmantot arvien vairāk uzņēmumu, kas vēlētos iegūt tādas pašas iespējas mākoņa infrastruktūras uzraudzībai kā savā tīklā. Un šī tendence pieaug - saskaņā ar saskaņā ar Amerikas kontu palātas datiem Līdz 2023. gadam ASV tiks slēgti 1200 datu centri (6250 jau ir slēgti). Taču pāreja uz mākoni nav tikai “pārvietosim savus serverus uz ārēju pakalpojumu sniedzēju”. Jauna IT arhitektūra, jauna programmatūra, jauni procesi, jauni ierobežojumi... Tas viss ienes būtiskas izmaiņas ne tikai IT, bet arī informācijas drošības darbā. Un, ja pakalpojumu sniedzēji ir iemācījušies kaut kā tikt galā ar paša mākoņa drošības nodrošināšanu (par laimi, ir daudz ieteikumu), tad ar mākoņa informācijas drošības uzraudzību, īpaši SaaS platformās, ir ievērojamas grūtības, par kurām mēs runāsim.

Pieņemsim, ka jūsu uzņēmums daļu savas infrastruktūras ir pārcēlis uz mākoni... Beidziet. Ne šādā veidā. Ja infrastruktūra ir nodota, un jūs tikai tagad domājat par to, kā jūs to uzraudzīsit, tad jūs jau esat zaudējis. Ja vien tas nav Amazon, Google vai Microsoft (un pēc tam ar atrunām), jums, iespējams, nebūs daudz iespēju pārraudzīt savus datus un lietojumprogrammas. Ir labi, ja jums tiek dota iespēja strādāt ar baļķiem. Dažkārt drošības notikumu dati būs pieejami, taču jūs tiem nevarēsit piekļūt. Piemēram, Office 365. Ja jums ir lētākā E1 licence, tad drošības pasākumi jums vispār nav pieejami. Ja jums ir E3 licence, jūsu dati tiek glabāti tikai 90 dienas, un tikai tad, ja jums ir E5 licence, žurnālu ilgums ir pieejams uz gadu (tomēr arī tam ir savas nianses, kas saistītas ar nepieciešamību atsevišķi pieprasīt vairākas funkcijas darbam ar žurnāliem no Microsoft atbalsta). Starp citu, E3 licence uzraudzības funkciju ziņā ir daudz vājāka nekā korporatīvā Exchange. Lai sasniegtu tādu pašu līmeni, jums ir nepieciešama E5 licence vai papildu Advanced Compliance licence, kas var prasīt papildu naudu, kas netika iekļauta jūsu finanšu modelī pārejai uz mākoņa infrastruktūru. Un šis ir tikai viens piemērs, kā nepietiekami novērtētas problēmas saistībā ar mākoņdatošanas informācijas drošības uzraudzību. Šajā rakstā, nepretendējot uz pilnīgumu, vēlos pievērst uzmanību dažām niansēm, kas būtu jāņem vērā, izvēloties mākoņpakalpojumu sniedzēju no drošības viedokļa. Un raksta beigās tiks sniegts kontrolsaraksts, kuru ir vērts aizpildīt, pirms uzskatīt, ka mākoņa informācijas drošības uzraudzības jautājums ir atrisināts.

Pastāv vairākas tipiskas problēmas, kas izraisa incidentus mākoņvidēs, uz kurām informācijas drošības dienestiem nav laika reaģēt vai tās vispār neredz:

Drošības žurnāli nepastāv. Tā ir diezgan izplatīta situācija, īpaši mākoņrisinājumu tirgus iesācēju vidū. Bet jums nevajadzētu nekavējoties atteikties no tiem. Mazie spēlētāji, īpaši vietējie, ir jutīgāki pret klientu prasībām un var ātri ieviest dažas nepieciešamās funkcijas, mainot apstiprināto ceļvedi saviem produktiem. Jā, tas nebūs analogs GuardDuty no Amazon vai “Proactive Protection” moduļa no Bitrix, bet vismaz kaut kas.
Informācijas drošība nezina, kur žurnāli tiek glabāti vai tiem nav piekļuves. Šeit nepieciešams uzsākt sarunas ar mākoņpakalpojumu sniedzēju – iespējams, viņš sniegs šādu informāciju, ja uzskatīs, ka klients ir sev nozīmīgs. Bet kopumā tas nav īpaši labi, ja piekļuve žurnāliem tiek nodrošināta “ar īpašu lēmumu”.
Gadās arī, ka mākoņpakalpojumu sniedzējam ir žurnāli, taču tie nodrošina ierobežotu uzraudzību un notikumu reģistrēšanu, kas nav pietiekami, lai atklātu visus incidentus. Piemēram, jūs varat saņemt tikai vietnes izmaiņu žurnālus vai lietotāju autentifikācijas mēģinājumu žurnālus, bet ne citus notikumus, piemēram, tīkla trafiku, kas paslēps no jums veselu notikumu slāni, kas raksturo jūsu mākoņa infrastruktūras uzlauzšanas mēģinājumus.
Ir žurnāli, taču piekļuvi tiem ir grūti automatizēt, kas liek tos uzraudzīt nevis nepārtraukti, bet gan pēc grafika. Un, ja žurnālus nevar lejupielādēt automātiski, tad žurnālu lejupielāde, piemēram, Excel formātā (kā ar vairākiem vietējiem mākoņrisinājumu nodrošinātājiem), var pat izraisīt korporatīvās informācijas drošības dienesta nevēlēšanos ar tiem ķerties.
Nav žurnālu uzraudzības. Tas, iespējams, ir visneskaidrākais iemesls informācijas drošības incidentu rašanās mākoņu vidēs. Šķiet, ka ir žurnāli, un ir iespējams automatizēt piekļuvi tiem, taču neviens to nedara. Kāpēc?

Kopīga mākoņa drošības koncepcija

Pāreja uz mākoni vienmēr ir līdzsvara meklēšana starp vēlmi saglabāt kontroli pār infrastruktūru un tās nodošanu profesionālākām mākoņpakalpojumu sniedzēja rokām, kas specializējas tās uzturēšanā. Un arī mākoņdrošības jomā šis līdzsvars ir jāmeklē. Turklāt atkarībā no izmantotā mākoņpakalpojuma piegādes modeļa (IaaS, PaaS, SaaS) šis atlikums visu laiku būs atšķirīgs. Jebkurā gadījumā jāatceras, ka visi mākoņpakalpojumu sniedzēji mūsdienās ievēro tā saukto dalītās atbildības un kopīgās informācijas drošības modeli. Par dažām lietām atbild mākonis, par citām atbildīgs ir klients, mākonī ievietojot savus datus, savas lietojumprogrammas, savas virtuālās mašīnas un citus resursus. Būtu neapdomīgi gaidīt, ka, dodoties uz mākoni, mēs visu atbildību novelsim uz pakalpojumu sniedzēju. Taču nav arī prātīgi pašam izveidot visu drošību, pārejot uz mākoni. Nepieciešams līdzsvars, kas būs atkarīgs no daudziem faktoriem: - riska pārvaldības stratēģijas, draudu modeļa, mākoņpakalpojuma sniedzējam pieejamiem drošības mehānismiem, likumdošanas u.c.

Piemēram, par mākonī mitināto datu klasifikāciju vienmēr ir atbildīgs klients. Mākoņpakalpojumu sniedzējs vai ārpakalpojumu sniedzējs viņam var palīdzēt tikai ar rīkiem, kas palīdzēs atzīmēt datus mākonī, identificēt pārkāpumus, dzēst datus, kas pārkāpj likumu, vai maskēt tos ar vienu vai otru metodi. No otras puses, par fizisko drošību vienmēr atbild mākoņpakalpojumu sniedzējs, ko tas nevar koplietot ar klientiem. Bet viss, kas atrodas starp datiem un fizisko infrastruktūru, ir tieši šī raksta diskusijas priekšmets. Piemēram, par mākoņa pieejamību ir atbildīgs pakalpojumu sniedzējs, un par ugunsmūra noteikumu iestatīšanu vai šifrēšanas iespējošanu ir atbildīgs klients. Šajā rakstā mēģināsim aplūkot, kādus informācijas drošības uzraudzības mehānismus mūsdienās nodrošina dažādi Krievijā populāri mākoņpakalpojumu sniedzēji, kādas ir to izmantošanas iespējas un kad ir vērts pievērsties ārējiem pārklājuma risinājumiem (piemēram, Cisco E- pasta drošība), kas paplašina jūsu mākoņa iespējas kiberdrošības ziņā. Dažos gadījumos, īpaši, ja ievērojat vairāku mākoņu stratēģiju, jums neatliks nekas cits, kā izmantot ārējos informācijas drošības uzraudzības risinājumus vairākās mākoņvidēs vienlaikus (piemēram, Cisco CloudLock vai Cisco Stealthwatch Cloud). Dažos gadījumos jūs sapratīsit, ka jūsu izvēlētais (vai jums uzspiestais) mākoņa pakalpojumu sniedzējs vispār nepiedāvā nekādas informācijas drošības uzraudzības iespējas. Tas ir nepatīkami, bet arī ne maz, jo ļauj adekvāti novērtēt riska līmeni, kas saistīts ar darbu ar šo mākoni.

Mākoņu drošības uzraudzības dzīves cikls

Lai pārraudzītu izmantoto mākoņu drošību, jums ir tikai trīs iespējas:

paļauties uz mākoņa pakalpojumu sniedzēja nodrošinātajiem rīkiem,
izmantot trešo pušu risinājumus, kas uzraudzīs jūsu izmantotās IaaS, PaaS vai SaaS platformas,
izveidojiet savu mākoņu uzraudzības infrastruktūru (tikai IaaS/PaaS platformām).

Apskatīsim, kādas funkcijas ir katrai no šīm opcijām. Bet vispirms mums ir jāsaprot vispārējā sistēma, kas tiks izmantota, pārraugot mākoņa platformas. Es izceltu 6 galvenās informācijas drošības uzraudzības procesa sastāvdaļas mākonī:

Infrastruktūras sagatavošana. Nepieciešamo lietojumprogrammu un infrastruktūras noteikšana informācijas drošībai svarīgu notikumu apkopošanai krātuvē.
Kolekcija. Šajā posmā drošības notikumi tiek apkopoti no dažādiem avotiem turpmākai pārsūtīšanai apstrādei, glabāšanai un analīzei.
Ārstēšana. Šajā posmā dati tiek pārveidoti un bagātināti, lai atvieglotu turpmāko analīzi.
Uzglabāšana. Šis komponents ir atbildīgs par savākto apstrādāto un neapstrādāto datu īstermiņa un ilgtermiņa uzglabāšanu.
Analīze. Šajā posmā jums ir iespēja atklāt incidentus un reaģēt uz tiem automātiski vai manuāli.
Ziņošana. Šis posms palīdz noformulēt galvenos rādītājus ieinteresētajām pusēm (vadībai, auditoriem, mākoņpakalpojumu sniedzējam, klientiem u.c.), kas palīdz mums pieņemt noteiktus lēmumus, piemēram, mainīt pakalpojumu sniedzēju vai stiprināt informācijas drošību.

Izpratne par šiem komponentiem ļaus jums ātri izlemt, ko jūs varat ņemt no sava pakalpojumu sniedzēja un kas jums būs jādara pašam vai piesaistot ārējos konsultantus.

Iebūvēti mākoņpakalpojumi

Iepriekš jau rakstīju, ka daudzi mākoņpakalpojumi mūsdienās nenodrošina nekādas informācijas drošības uzraudzības iespējas. Kopumā viņi nepievērš lielu uzmanību informācijas drošības tēmai. Piemēram, viens no populārajiem Krievijas pakalpojumiem ziņojumu nosūtīšanai valsts aģentūrām, izmantojot internetu (tā nosaukumu es īpaši neminēšu). Visa sadaļa par šī pakalpojuma drošību ir saistīta ar sertificēta CIPF izmantošanu. Ne ar ko neatšķiras cita vietējā mākoņpakalpojuma informācijas drošības sadaļa elektroniskai dokumentu pārvaldībai. Tajā ir runāts par publiskās atslēgas sertifikātiem, sertificētu kriptogrāfiju, tīmekļa ievainojamību novēršanu, aizsardzību pret DDoS uzbrukumiem, ugunsmūru izmantošanu, dublējumu un pat regulāru informācijas drošības auditu. Taču nav ne vārda par uzraudzību, ne par iespējām piekļūt informācijas drošības notikumiem, kas varētu interesēt šī pakalpojuma sniedzēja klientus.

Kopumā, ja mākoņa pakalpojumu sniedzējs savā vietnē un dokumentācijā apraksta informācijas drošības problēmas, jūs varat saprast, cik nopietni tas uztver šo problēmu. Piemēram, ja izlasiet “Mans birojs” produktu rokasgrāmatas, par drošību vispār nav ne vārda, bet atsevišķā produkta “Mans birojs” dokumentācijā. KS3”, kas paredzēts aizsardzībai pret nesankcionētu piekļuvi, ir ierasts FSTEC 17. kārtas punktu saraksts, ko “My Office.KS3” ievieš, taču nav aprakstīts, kā tas tiek īstenots un, pats galvenais, kā integrēt šos mehānismus ar korporatīvo informācijas drošību. Varbūt šāda dokumentācija pastāv, taču es to neatradu publiskajā domēnā, vietnē “Mans birojs”. Lai gan varbūt man vienkārši nav piekļuves šai slepenajai informācijai?

Bitriksam situācija ir daudz labāka. Dokumentācijā ir aprakstīti notikumu žurnālu formāti un, kas ir interesanti, ielaušanās žurnāls, kurā ir notikumi, kas saistīti ar iespējamiem mākoņa platformas apdraudējumiem. No turienes varat izvilkt IP, lietotāja vai viesa vārdu, notikuma avotu, laiku, lietotāja aģentu, notikuma veidu utt. Tiesa, ar šiem notikumiem var strādāt vai nu no paša mākoņa vadības paneļa, vai arī augšupielādēt datus MS Excel formātā. Tagad ir grūti automatizēt darbu ar Bitrix žurnāliem, un daļa darba būs jāveic manuāli (augšupielādēt atskaiti un ielādējot to savā SIEM). Bet, ja atceramies, ka vēl salīdzinoši nesen šādas iespējas nebija, tad tas ir liels progress. Tajā pašā laikā vēlos atzīmēt, ka daudzi ārvalstu mākoņdatošanas pakalpojumu sniedzēji piedāvā līdzīgu funkcionalitāti “iesācējiem” - vai nu apskatiet žurnālus ar acīm, izmantojot vadības paneli, vai augšupielādējiet datus sev (tomēr lielākā daļa datu augšupielādē . csv formātā, nevis Excel).

Neņemot vērā opciju bez reģistrēšanās, mākoņpakalpojumu sniedzēji parasti piedāvā trīs drošības notikumu uzraudzības iespējas — informācijas paneļus, datu augšupielādi un API piekļuvi. Šķiet, ka pirmais jums atrisina daudzas problēmas, taču tā nav gluži taisnība – ja jums ir vairāki žurnāli, jums ir jāpārslēdzas starp ekrāniem, kuros tie tiek parādīti, zaudējot kopējo attēlu. Turklāt mākoņa pakalpojumu sniedzējs, visticamāk, nesniegs jums iespēju korelēt drošības notikumus un vispārīgi analizēt tos no drošības viedokļa (parasti jums ir darīšana ar neapstrādātiem datiem, kas jums ir jāsaprot). Ir izņēmumi, un mēs par tiem runāsim tālāk. Visbeidzot, ir vērts pajautāt, kādus notikumus reģistrē jūsu mākoņpakalpojumu sniedzējs, kādā formātā un kā tie atbilst jūsu informācijas drošības uzraudzības procesam? Piemēram, lietotāju un viesu identifikācija un autentifikācija. Tas pats Bitrix ļauj, pamatojoties uz šiem notikumiem, ierakstīt notikuma datumu un laiku, lietotāja vai viesa vārdu (ja jums ir “Web Analytics” modulis), objektu, kuram piekļūts, un citus vietnei raksturīgus elementus. . Taču korporatīvajiem informācijas drošības dienestiem var būt nepieciešama informācija par to, vai lietotājs ir piekļuvis mākonim no uzticamas ierīces (piemēram, korporatīvajā tīklā šo uzdevumu īsteno Cisco ISE). Kā ir ar tik vienkāršu uzdevumu kā geo-IP funkcija, kas palīdzēs noteikt, vai mākoņpakalpojuma lietotāja konts nav nozagts? Un pat ja mākoņa pakalpojumu sniedzējs jums to nodrošina, ar to nepietiek. Tas pats Cisco CloudLock ne tikai analizē ģeogrāfisko atrašanās vietu, bet arī izmanto mašīnmācīšanos un analizē katra lietotāja vēsturiskos datus un uzrauga dažādas anomālijas identifikācijas un autentifikācijas mēģinājumos. Tikai MS Azure ir līdzīga funkcionalitāte (ja jums ir atbilstošs abonements).

Ir vēl viena grūtība – tā kā daudziem mākoņpakalpojumu sniedzējiem informācijas drošības monitorings ir jauna tēma, ar kuru viņi tikai sāk nodarboties, viņi savos risinājumos nemitīgi kaut ko maina. Šodien viņiem ir viena API versija, rīt cita, parīt trešā. Tam arī jābūt gatavam. Tāpat ir ar funkcionalitāti, kas var mainīties, kas jāņem vērā savā informācijas drošības uzraudzības sistēmā. Piemēram, Amazon sākotnēji bija atsevišķi mākoņa notikumu uzraudzības pakalpojumi — AWS CloudTrail un AWS CloudWatch. Tad parādījās atsevišķs pakalpojums informācijas drošības notikumu uzraudzībai - AWS GuardDuty. Pēc kāda laika Amazon uzsāka jaunu pārvaldības sistēmu Amazon Security Hub, kas ietver datu analīzi, kas saņemti no GuardDuty, Amazon Inspector, Amazon Macie un vairākiem citiem. Vēl viens piemērs ir Azure žurnāla integrācijas rīks ar SIEM — AzLog. To aktīvi izmantoja daudzi SIEM pārdevēji, līdz 2018. gadā Microsoft paziņoja par tā izstrādes un atbalsta pārtraukšanu, kas daudziem klientiem, kuri izmantoja šo rīku, saskārās ar problēmu (par to, kā tā tika atrisināta, mēs runāsim vēlāk).

Tāpēc rūpīgi pārraugiet visas pārraudzības funkcijas, ko jums piedāvā jūsu mākoņpakalpojumu sniedzējs. Vai paļaujieties uz ārējiem risinājumu nodrošinātājiem, kas darbosies kā starpnieki starp jūsu SOC un mākoni, kuru vēlaties pārraudzīt. Jā, tas būs dārgāk (lai gan ne vienmēr), taču jūs visu atbildību uzvelsit uz kāda cita pleciem. Vai arī ne visu?.. Atcerēsimies dalītās drošības jēdzienu un sapratīsim, ka neko nevaram pārbīdīt – būs patstāvīgi jāsaprot, kā dažādi mākoņpakalpojumu sniedzēji nodrošina Jūsu datu, aplikāciju, virtuālo mašīnu un citu resursu informācijas drošības uzraudzību mitināts mākonī. Un mēs sāksim ar to, ko Amazon piedāvā šajā daļā.

Piemērs: Informācijas drošības uzraudzība IaaS, pamatojoties uz AWS

Jā, jā, es saprotu, ka Amazon nav labākais piemērs, jo tas ir amerikāņu pakalpojums un to var bloķēt kā daļu no cīņas pret ekstrēmismu un Krievijā aizliegtās informācijas izplatīšanu. Bet šajā publikācijā es tikai vēlos parādīt, kā dažādas mākoņu platformas atšķiras ar savām informācijas drošības uzraudzības iespējām un kam jāpievērš uzmanība, pārceļot savus galvenos procesus uz mākoņiem no drošības viedokļa. Nu, ja daži no Krievijas mākoņrisinājumu izstrādātājiem iemācīsies kaut ko noderīgu sev, tad tas būs lieliski.

Vispirms jāsaka, ka Amazon nav necaurejams cietoksnis. Ar viņa klientiem regulāri notiek dažādi incidenti. Piemēram, no Deep Root Analytics tika nozagti 198 miljonu vēlētāju vārdi, adreses, dzimšanas datumi un tālruņu numuri. Izraēlas uzņēmums Nice Systems nozaga 14 miljonus Verizon abonentu ierakstu. Tomēr AWS iebūvētās iespējas ļauj atklāt dažādus incidentus. Piemēram:

ietekme uz infrastruktūru (DDoS)
mezgla kompromiss (komandu injekcija)
konta kompromitēšana un nesankcionēta piekļuve
nepareiza konfigurācija un ievainojamības
nedrošas saskarnes un API.

Šī neatbilstība ir saistīta ar to, ka, kā noskaidrojām iepriekš, klients pats ir atbildīgs par klienta datu drošību. Un, ja viņš neuztraucās ieslēgt aizsargmehānismus un neieslēdza uzraudzības rīkus, tad par notikušo viņš uzzinās tikai no medijiem vai no saviem klientiem.

Lai identificētu incidentus, varat izmantot plašu Amazon izstrādāto uzraudzības pakalpojumu klāstu (lai gan tos bieži papildina ārēji rīki, piemēram, osquery). Tātad AWS tiek uzraudzītas visas lietotāja darbības neatkarīgi no tā, kā tās tiek veiktas - izmantojot pārvaldības konsoli, komandrindu, SDK vai citus AWS pakalpojumus. Visi ieraksti par katra AWS konta darbību (tostarp lietotājvārdu, darbību, pakalpojumu, darbības parametriem un rezultātu) un API lietojumu ir pieejami, izmantojot AWS CloudTrail. Varat skatīt šos notikumus (piemēram, AWS IAM konsoles pieteikšanos) no CloudTrail konsoles, analizēt tos, izmantojot Amazon Athena, vai izmantot tos ārējiem risinājumiem, piemēram, Splunk, AlienVault utt. Paši AWS CloudTrail žurnāli tiek ievietoti jūsu AWS S3 spainī.

Divi citi AWS pakalpojumi nodrošina vairākas citas svarīgas uzraudzības iespējas. Pirmkārt, Amazon CloudWatch ir AWS resursu un lietojumprogrammu uzraudzības pakalpojums, kas cita starpā ļauj identificēt dažādas anomālijas jūsu mākonī. Visi iebūvētie AWS pakalpojumi, piemēram, Amazon Elastic Compute Cloud (serveri), Amazon Relational Database Service (datu bāzes), Amazon Elastic MapReduce (datu analīze) un 30 citi Amazon pakalpojumi, savu žurnālu glabāšanai izmanto Amazon CloudWatch. Izstrādātāji var izmantot Amazon CloudWatch atvērto API, lai pielāgotām lietojumprogrammām un pakalpojumiem pievienotu žurnālu uzraudzības funkcionalitāti, ļaujot tiem paplašināt notikumu analīzes jomu drošības kontekstā.

Otrkārt, pakalpojums VPC Flow Logs ļauj analizēt tīkla trafiku, ko nosūta vai saņem jūsu AWS serveri (ārēji vai iekšēji), kā arī starp mikropakalpojumiem. Kad kāds no jūsu AWS VPC resursiem mijiedarbojas ar tīklu, VPC plūsmas žurnāli reģistrē informāciju par tīkla trafiku, tostarp avota un mērķa tīkla saskarni, kā arī IP adreses, portus, protokolu, baitu skaitu un pakešu skaitu. ieraudzīja. Tie, kuriem ir pieredze vietējā tīkla drošībā, to atpazīs kā līdzīgu pavedieniem NetFlow, ko var izveidot, izmantojot slēdžus, maršrutētājus un uzņēmuma līmeņa ugunsmūrus. Šie žurnāli ir svarīgi informācijas drošības uzraudzības nolūkos, jo atšķirībā no notikumiem par lietotāju un lietojumprogrammu darbībām tie arī ļauj nepalaist garām tīkla mijiedarbību AWS virtuālā privātā mākoņa vidē.

Rezumējot, šie trīs AWS pakalpojumi — AWS CloudTrail, Amazon CloudWatch un VPC Flow Logs — kopā sniedz diezgan spēcīgu ieskatu jūsu konta lietojumā, lietotāju uzvedībā, infrastruktūras pārvaldībā, lietojumprogrammu un pakalpojumu darbībā un tīkla darbībā. Piemēram, tos var izmantot, lai noteiktu šādas anomālijas:

Mēģinājumi skenēt vietni, meklēt aizmugures durvis, meklēt ievainojamības, izmantojot “404 kļūdu” sēriju.
Injekcijas uzbrukumi (piemēram, SQL injekcija), izmantojot “500 kļūdu” sēriju.
Zināmi uzbrukuma rīki ir sqlmap, nikto, w3af, nmap utt. izmantojot lietotāja aģenta lauka analīzi.

Amazon Web Services ir izstrādājis arī citus pakalpojumus kiberdrošības nolūkos, kas ļauj atrisināt daudzas citas problēmas. Piemēram, AWS ir iebūvēts pakalpojums politiku un konfigurāciju auditēšanai - AWS Config. Šis pakalpojums nodrošina nepārtrauktu jūsu AWS resursu un to konfigurāciju auditēšanu. Ņemsim vienkāršu piemēru: pieņemsim, ka vēlaties pārliecināties, ka lietotāju paroles ir atspējotas visos jūsu serveros un ka piekļuve ir iespējama tikai, pamatojoties uz sertifikātiem. AWS Config ļauj to viegli pārbaudīt visiem jūsu serveriem. Ir arī citas politikas, kuras var piemērot jūsu mākoņa serveriem: “Neviens serveris nevar izmantot portu 22”, “Tikai administratori var mainīt ugunsmūra noteikumus” vai “Tikai lietotājs Ivaško var izveidot jaunus lietotāju kontus, un viņš to var darīt. Tas ir tikai otrdienās. " 2016. gada vasarā AWS Config pakalpojums tika paplašināts, lai automatizētu izstrādāto politiku pārkāpumu atklāšanu. AWS konfigurācijas noteikumi būtībā ir nepārtraukti konfigurācijas pieprasījumi jūsu izmantotajiem Amazon pakalpojumiem, kas ģenerē notikumus, ja tiek pārkāptas atbilstošās politikas. Piemēram, tā vietā, lai periodiski palaistu AWS konfigurācijas vaicājumus, lai pārbaudītu, vai visi diski virtuālajā serverī ir šifrēti, AWS konfigurācijas kārtulas var izmantot, lai nepārtraukti pārbaudītu servera diskus, lai nodrošinātu šī nosacījuma izpildi. Un, pats galvenais, šīs publikācijas kontekstā jebkuri pārkāpumi rada notikumus, kurus jūsu informācijas drošības dienests var analizēt.

AWS ir arī līdzvērtīgs tradicionālajiem korporatīvās informācijas drošības risinājumiem, kas arī ģenerē drošības notikumus, kurus varat un vajadzētu analizēt:

Ielaušanās noteikšana — AWS GuardDuty
Informācijas noplūdes kontrole — AWS Macie
EDR (lai gan tas nedaudz dīvaini runā par galapunktiem mākonī) - AWS Cloudwatch + atvērtā koda osquery vai GRR risinājumi
Netflow analīze — AWS Cloudwatch + AWS VPC Flow
DNS analīze — AWS Cloudwatch + AWS Route53
AD — AWS direktoriju pakalpojums
Konta pārvaldība — AWS IAM
SSO — AWS SSO
drošības analīze - AWS inspektors
konfigurācijas pārvaldība — AWS Config
WAF - AWS WAF.

Es sīkāk neaprakstīšu visus Amazon pakalpojumus, kas var būt noderīgi informācijas drošības kontekstā. Galvenais ir saprast, ka tie visi var ģenerēt notikumus, kurus varam un vajadzētu analizēt informācijas drošības kontekstā, šim nolūkam izmantojot gan paša Amazon iebūvētās iespējas, gan ārējos risinājumus, piemēram, SIEM, kas var nogādājiet drošības notikumus savā uzraudzības centrā un analizējiet tos kopā ar notikumiem no citiem mākoņpakalpojumiem vai no iekšējās infrastruktūras, perimetra vai mobilajām ierīcēm.

Jebkurā gadījumā viss sākas ar datu avotiem, kas sniedz jums informācijas drošības notikumus. Šie avoti ietver, bet ne tikai:

CloudTrail — API lietošana un lietotāja darbības
Trusted Advisor — drošības pārbaude pret labāko praksi
Config - kontu un pakalpojumu iestatījumu inventarizācija un konfigurēšana
VPC plūsmas žurnāli - savienojumi ar virtuālajām saskarnēm
IAM - identifikācijas un autentifikācijas pakalpojums
ELB piekļuves žurnāli — slodzes balansētājs
Inspektors - lietojumprogrammu ievainojamības
S3 - failu glabāšana
CloudWatch — lietojumprogrammu darbība
SNS ir paziņojumu pakalpojums.

Lai gan Amazon piedāvā šādu notikumu avotu un rīku klāstu to ģenerēšanai, tā spēja analizēt savāktos datus informācijas drošības kontekstā ir ļoti ierobežota. Jums būs patstāvīgi jāizpēta pieejamie žurnāli, meklējot tajos atbilstošus kompromisa rādītājus. AWS drošības centrmezgls, kuru Amazon nesen uzsāka, cenšas atrisināt šo problēmu, kļūstot par AWS mākoņa SIEM. Bet pagaidām tas ir tikai sava ceļojuma sākumā, un to ierobežo gan avotu skaits, ar kuriem tas darbojas, gan citi ierobežojumi, ko nosaka paša Amazon arhitektūra un abonementi.

Piemērs: informācijas drošības uzraudzība IaaS, pamatojoties uz Azure

Negribu ieslīgt garās debatēs par to, kurš no trim mākoņu nodrošinātājiem (Amazon, Microsoft vai Google) ir labāks (jo īpaši tāpēc, ka katram no tiem joprojām ir sava specifiskā specifika un tas ir piemērots savu problēmu risināšanai); Koncentrēsimies uz informācijas drošības uzraudzības iespējām, ko nodrošina šie spēlētāji. Jāatzīst, ka Amazon AWS bija viens no pirmajiem šajā segmentā un līdz ar to savu informācijas drošības funkciju ziņā (lai gan daudzi atzīst, ka tās ir grūti lietojamas) ir pavirzījies tālāk. Bet tas nenozīmē, ka mēs ignorēsim Microsoft un Google sniegtās iespējas.

Microsoft produkti vienmēr ir izcēlušies ar savu “atvērtību”, un Azure situācija ir līdzīga. Piemēram, ja AWS un GCP vienmēr balstās uz jēdzienu “kas nav atļauts, tas ir aizliegts”, tad Azure ir tieši pretēja pieeja. Piemēram, veidojot virtuālo tīklu mākonī un virtuālo mašīnu tajā, visi porti un protokoli ir atvērti un atļauti pēc noklusējuma. Tāpēc jums būs jāpieliek nedaudz vairāk pūļu piekļuves kontroles sistēmas sākotnējai iestatīšanai mākonī no Microsoft. Un tas arī uzliek jums stingrākas prasības attiecībā uz darbību uzraudzību Azure mākonī.

AWS īpatnība ir saistīta ar to, ka, uzraugot savus virtuālos resursus, ja tie atrodas dažādos reģionos, jums ir grūtības apvienot visus notikumus un to vienoto analīzi, kuru novēršanai ir jāizmanto dažādi triki, piemēram, Izveidojiet savu AWS Lambda kodu, kas pārraidīs notikumus starp reģioniem. Azure nav šīs problēmas — tā darbību žurnāla mehānisms bez ierobežojumiem izseko visas darbības visā organizācijā. Tas pats attiecas uz AWS Security Hub, ko Amazon nesen izstrādāja, lai apvienotu daudzas drošības funkcijas vienā drošības centrā, bet tikai tā reģionā, kas gan Krievijai nav aktuāls. Azure ir savs drošības centrs, kuram nav saistoši reģionālie ierobežojumi, nodrošinot piekļuvi visiem mākoņa platformas drošības līdzekļiem. Turklāt dažādām vietējām komandām tas var nodrošināt savu aizsardzības iespēju kopumu, tostarp to pārvaldītos drošības pasākumus. AWS drošības centrs joprojām ir ceļā, lai kļūtu līdzīgs Azure drošības centram. Bet ir vērts pievienot mušu — jūs varat izspiest no Azure daudz no tā, kas iepriekš tika aprakstīts AWS, taču to visērtāk var izdarīt tikai Azure AD, Azure Monitor un Azure Security Center. Visi pārējie Azure drošības mehānismi, tostarp drošības notikumu analīze, vēl netiek pārvaldīti ērtākajā veidā. Problēmu daļēji atrisina API, kas caurstrāvo visus Microsoft Azure pakalpojumus, taču tas prasīs papildu pūles no jums, lai integrētu mākoni ar jūsu SOC un kvalificētu speciālistu klātbūtni (patiesībā, tāpat kā ar jebkuru citu SIEM, kas darbojas ar mākoni API). Daži SIEM, kas tiks apspriesti vēlāk, jau atbalsta Azure un var automatizēt tā uzraudzības uzdevumu, taču tam ir arī savas grūtības - ne visi no tiem var apkopot visus Azure esošos žurnālus.

Notikumu apkopošana un uzraudzība Azure tiek nodrošināta, izmantojot pakalpojumu Azure Monitor, kas ir galvenais rīks datu vākšanai, glabāšanai un analīzei Microsoft mākonī un tā resursos - Git krātuvēs, konteineros, virtuālajās mašīnās, lietojumprogrammās utt. Visi Azure Monitor apkopotie dati ir sadalīti divās kategorijās - metrikā, kas tiek apkopota reāllaikā un apraksta galvenos Azure mākoņa veiktspējas rādītājus, un žurnālos, kas satur datus, kas sakārtoti ierakstos, kas raksturo noteiktus Azure resursu un pakalpojumu darbības aspektus. Turklāt, izmantojot Data Collector API, Azure Monitor pakalpojums var apkopot datus no jebkura REST avota, lai izveidotu savus uzraudzības scenārijus.

Šeit ir daži drošības notikumu avoti, kurus Azure piedāvā un kuriem varat piekļūt, izmantojot Azure Portal, CLI, PowerShell vai REST API (un dažiem tikai caur Azure Monitor/Insight API).

Darbību žurnāli — šis žurnāls atbild uz klasiskajiem jautājumiem “kas”, “kas” un “kad” saistībā ar jebkuru rakstīšanas darbību (PUT, POST, DELETE) mākoņa resursos. Notikumi, kas saistīti ar lasīšanas piekļuvi (GET), nav iekļauti šajā žurnālā, tāpat kā daudzos citos.
Diagnostikas žurnāli — satur datus par darbībām ar noteiktu resursu, kas iekļauts jūsu abonementā.
Azure AD pārskati — ietver gan lietotāju aktivitātes, gan sistēmas darbības, kas saistītas ar grupu un lietotāju pārvaldību.
Windows notikumu žurnāls un Linux Syslog — satur notikumus no virtuālajām mašīnām, kas mitinātas mākonī.
Metrika — ietver telemetriju par jūsu mākoņpakalpojumu un resursu veiktspēju un veselības stāvokli. Mērīts katru minūti un uzglabāts. 30 dienu laikā.
Tīkla drošības grupas plūsmas žurnāli — satur datus par tīkla drošības notikumiem, kas savākti, izmantojot Network Watcher pakalpojumu un resursu uzraudzību tīkla līmenī.
Uzglabāšanas žurnāli - satur notikumus, kas saistīti ar piekļuvi uzglabāšanas iekārtām.

Uzraudzībai varat izmantot ārējos SIEM vai iebūvēto Azure Monitor un tā paplašinājumus. Par informācijas drošības notikumu pārvaldības sistēmām runāsim vēlāk, bet pagaidām apskatīsim, ko pati Azure mums piedāvā datu analīzei drošības kontekstā. Galvenais ekrāns visam, kas saistīts ar drošību pakalpojumā Azure Monitor, ir Log Analytics drošības un audita informācijas panelis (bezmaksas versija atbalsta ierobežotu notikumu krātuves apjomu tikai vienu nedēļu). Šis informācijas panelis ir sadalīts 5 galvenajās jomās, kas vizualizē statistikas kopsavilkumu par to, kas notiek jūsu izmantotajā mākoņa vidē.

Drošības domēni - galvenie kvantitatīvie rādītāji, kas saistīti ar informācijas drošību - incidentu skaits, kompromitēto mezglu skaits, neizlabotie mezgli, tīkla drošības notikumi utt.
Nozīmīgas problēmas — parāda aktīvo informācijas drošības problēmu skaitu un nozīmi
Detections — parāda pret jums izmantoto uzbrukumu modeļus
Threat Intelligence — parāda ģeogrāfisko informāciju par ārējiem mezgliem, kas jums uzbrūk
Izplatīti drošības vaicājumi — tipiski vaicājumi, kas palīdzēs labāk pārraudzīt informācijas drošību.

Azure Monitor paplašinājumos ietilpst Azure Key Vault (kriptogrāfisko atslēgu aizsardzība mākonī), ļaunprātīgas programmatūras novērtējums (virtuālajās mašīnās esošās aizsardzības pret ļaunprātīgu kodu analīze), Azure Application Gateway Analytics (cita starpā mākoņa ugunsmūra žurnālu analīze) utt. . Šie rīki, kas bagātināti ar noteiktiem notikumu apstrādes noteikumiem, ļauj vizualizēt dažādus mākoņpakalpojumu darbības aspektus, tostarp drošību, un noteikt noteiktas novirzes no darbības. Taču, kā jau tas bieži notiek, jebkurai papildu funkcionalitātei ir nepieciešams atbilstošs maksas abonements, kas prasīs no jums atbilstošus finanšu ieguldījumus, kas jums iepriekš jāplāno.

Azure ir vairākas iebūvētas draudu uzraudzības iespējas, kas ir integrētas Azure AD, Azure Monitor un Azure drošības centrā. Tostarp, piemēram, virtuālo mašīnu mijiedarbības noteikšana ar zināmiem ļaunprātīgiem IP (sakarā ar integrāciju ar Microsoft Threat Intelligence pakalpojumiem), ļaunprātīgas programmatūras noteikšana mākoņa infrastruktūrā, saņemot trauksmes signālus no mākonī mitinātām virtuālajām mašīnām, parole. uzminēšanas uzbrukumi ” virtuālajām mašīnām, ievainojamības lietotāju identifikācijas sistēmas konfigurācijā, pieteikšanās sistēmā no anonimizatoriem vai inficētiem mezgliem, konta noplūde, pieteikšanās sistēmā no neparastām vietām utt. Azure šodien ir viens no nedaudzajiem mākoņa pakalpojumu sniedzējiem, kas piedāvā iebūvētas draudu izlūkošanas iespējas, lai bagātinātu apkopotos informācijas drošības notikumus.

Kā minēts iepriekš, drošības funkcionalitāte un līdz ar to arī tās ģenerētie drošības notikumi nav pieejami visiem lietotājiem vienādi, bet ir nepieciešams noteikts abonements, kas ietver Jums nepieciešamo funkcionalitāti, kas ģenerē atbilstošus notikumus informācijas drošības uzraudzībai. Piemēram, dažas no iepriekšējā punktā aprakstītajām funkcijām kontu anomāliju pārraudzībai ir pieejamas tikai pakalpojuma Azure AD premium licencē. Bez tā jums, tāpat kā AWS gadījumā, savāktie drošības notikumi būs jāanalizē “manuāli”. Turklāt atkarībā no Azure AD licences veida ne visi notikumi būs pieejami analīzei.

Portālā Azure varat pārvaldīt gan jūs interesējošo žurnālu meklēšanas vaicājumus, gan iestatīt informācijas paneļus, lai vizualizētu galvenos informācijas drošības indikatorus. Turklāt tur varat atlasīt Azure Monitor paplašinājumus, kas ļauj paplašināt Azure Monitor žurnālu funkcionalitāti un iegūt dziļāku notikumu analīzi no drošības viedokļa.

Ja jums ir nepieciešama ne tikai iespēja strādāt ar žurnāliem, bet arī visaptverošs drošības centrs jūsu Azure mākoņa platformai, ieskaitot informācijas drošības politikas pārvaldību, varat runāt par nepieciešamību strādāt ar Azure drošības centru, kura lielākā daļa noderīgo funkciju ir pieejami par kādu naudu, piemēram, draudu noteikšana, uzraudzība ārpus Azure, atbilstības novērtēšana utt. (bezmaksas versijā jums ir pieejams tikai drošības novērtējums un ieteikumi identificēto problēmu novēršanai). Tas apvieno visas drošības problēmas vienuviet. Faktiski mēs varam runāt par augstāku informācijas drošības līmeni, nekā nodrošina Azure Monitor, jo šajā gadījumā jūsu mākoņrūpnīcā savāktie dati tiek bagātināti, izmantojot daudzus avotus, piemēram, Azure, Office 365, Microsoft CRM tiešsaistē, Microsoft Dynamics AX. , outlook .com, MSN.com, Microsoft Digital Crimes Unit (DCU) un Microsoft Security Response Center (MSRC), uz kuriem ir uzlikti dažādi sarežģīti mašīnmācīšanās un uzvedības analīzes algoritmi, kam galu galā vajadzētu uzlabot draudu noteikšanas un reaģēšanas efektivitāti. .

Azure ir arī savs SIEM — tas parādījās 2019. gada sākumā. Tas ir Azure Sentinel, kas balstās uz datiem no Azure Monitor un var arī integrēties ar. ārējie drošības risinājumi (piemēram, NGFW vai WAF), kuru saraksts nepārtraukti pieaug. Turklāt, integrējot Microsoft Graph Security API, jūs varat savienot savas draudu izlūkošanas plūsmas ar Sentinel, kas bagātina iespējas analizēt incidentus jūsu Azure mākonī. Var apgalvot, ka Azure Sentinel ir pirmais “vietējais” SIEM, kas parādījās no mākoņpakalpojumu sniedzējiem (to pašu Splunk vai ELK, ko var mitināt mākonī, piemēram, AWS, joprojām neizstrādā tradicionālie mākoņpakalpojumu sniedzēji). Azure Sentinel un drošības centru varētu saukt par SOC Azure mākonim, un to varētu ierobežot (ar noteiktām atrunām), ja jums vairs nebūtu infrastruktūras un jūs pārsūtāt visus savus skaitļošanas resursus uz mākoni, un tas būtu Microsoft mākonis Azure.

Taču, tā kā Azure iebūvētās iespējas (pat ja jums ir Sentinel abonements) bieži vien nepietiek, lai uzraudzītu informācijas drošību un integrētu šo procesu ar citiem drošības notikumu avotiem (gan mākonī, gan iekšējiem), ir nepieciešams eksportēt savāktos datus uz ārējām sistēmām, kas var ietvert SIEM. Tas tiek darīts gan izmantojot API, gan izmantojot īpašus paplašinājumus, kas šobrīd oficiāli pieejami tikai šādiem SIEM – Splunk (Azure Monitor Add-On for Splunk), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight un ELK. Vēl nesen šādu SIEM bija vairāk, taču no 1. gada 2019. jūnija Microsoft pārtrauca atbalstīt Azure žurnālu integrācijas rīku (AzLog), kas Azure pastāvēšanas rītausmā un bez normālas standartizācijas darbam ar žurnāliem (Azure). Monitors vēl pat neeksistēja) atviegloja ārējā SIEM integrēšanu ar Microsoft mākoni. Tagad situācija ir mainījusies, un Microsoft iesaka Azure Event Hub platformu kā galveno integrācijas rīku citiem SIEM. Daudzi jau ir ieviesuši šādu integrāciju, taču esiet uzmanīgi - tie var neuztvert visus Azure žurnālus, bet tikai dažus (skatiet sava SIEM dokumentācijā).

Noslēdzot īsu ekskursiju uz Azure, vēlos sniegt vispārīgu ieteikumu par šo mākoņpakalpojumu - pirms sakāt kaut ko par informācijas drošības uzraudzības funkcijām Azure, tās ir ļoti rūpīgi jākonfigurē un jāpārbauda, vai tās darbojas, kā rakstīts dokumentācijā un kā konsultanti jums teica Microsoft (un viņiem var būt dažādi viedokļi par Azure funkciju funkcionalitāti). Ja jums ir finanšu resursi, varat no Azure iegūt daudz noderīgas informācijas informācijas drošības uzraudzības ziņā. Ja jūsu resursi ir ierobežoti, tad, tāpat kā AWS gadījumā, jums būs jāpaļaujas tikai uz saviem spēkiem un neapstrādātajiem datiem, ko Azure Monitor jums nodrošina. Un atcerieties, ka daudzas uzraudzības funkcijas maksā naudu, un labāk ir iepriekš iepazīties ar cenu politiku. Piemēram, bez maksas varat glabāt 31 dienu datus, nepārsniedzot 5 GB uz vienu klientu — šo vērtību pārsniegšanai jums būs jāizmaksā papildu nauda (aptuveni USD 2+ par katra papildu GB uzglabāšanu no klienta un 0,1 $ par saglabājot 1 GB katru nākamo mēnesi). Darbs ar lietojumprogrammu telemetriju un metriku var prasīt arī papildu līdzekļus, kā arī darbam ar brīdinājumiem un paziņojumiem (bez maksas ir pieejams noteikts limits, kas var nepietikt jūsu vajadzībām).

Piemērs: informācijas drošības uzraudzība IaaS, pamatojoties uz Google Cloud Platform

Google Cloud Platform izskatās kā jauns, salīdzinot ar AWS un Azure, taču tas ir daļēji labs. Atšķirībā no AWS, kas pakāpeniski palielināja savas iespējas, tostarp drošības, problēmas ar centralizāciju; GCP, tāpat kā Azure, ir daudz labāk pārvaldīts centralizēti, kas samazina kļūdu skaitu un ieviešanas laiku visā uzņēmumā. No drošības viedokļa GCP, dīvainā kārtā, ir starp AWS un Azure. Viņam ir arī viena pasākuma reģistrācija visai organizācijai, taču tā ir nepilnīga. Dažas funkcijas joprojām ir beta režīmā, taču pakāpeniski šis trūkums ir jānovērš un GCP kļūs par nobriedušāku platformu informācijas drošības uzraudzības ziņā.

Galvenais rīks notikumu reģistrēšanai GCP ir Stackdriver Logging (līdzīgi kā Azure Monitor), kas ļauj apkopot notikumus visā mākoņa infrastruktūrā (kā arī no AWS). No GCP drošības viedokļa katrai organizācijai, projektam vai mapei ir četri žurnāli:

Administratora darbība - satur visus notikumus, kas saistīti ar administratīvo piekļuvi, piemēram, virtuālās mašīnas izveidošana, piekļuves tiesību maiņa utt. Šis žurnāls vienmēr tiek rakstīts neatkarīgi no jūsu vēlmes un glabā tā datus 400 dienas.
Datu piekļuve - satur visus notikumus, kas saistīti ar mākoņa lietotāju darbu ar datiem (izveide, modificēšana, lasīšana utt.). Pēc noklusējuma šis žurnāls netiek rakstīts, jo tā apjoms ļoti ātri uzbriest. Šī iemesla dēļ tā glabāšanas laiks ir tikai 30 dienas. Turklāt ne viss ir rakstīts šajā žurnālā. Piemēram, notikumi, kas saistīti ar resursiem, kas ir publiski pieejami visiem lietotājiem vai ir pieejami, nepiesakoties GCP, tajā netiek ierakstīti.
Sistēmas notikums — satur sistēmas notikumus, kas nav saistīti ar lietotājiem vai administratora darbībām, kas maina mākoņa resursu konfigurāciju. Tas vienmēr tiek uzrakstīts un uzglabāts 400 dienas.
Access Transparency ir unikāls žurnāla piemērs, kas fiksē visas to Google darbinieku darbības (bet vēl ne visiem GSP pakalpojumiem), kuri piekļūst jūsu infrastruktūrai savu darba pienākumu ietvaros. Šis žurnāls tiek glabāts 400 dienas un nav pieejams katram GSP klientam, bet tikai tad, ja ir izpildīti vairāki nosacījumi (zelta vai platīna līmeņa atbalsts vai 4 noteikta veida lomas kā daļa no korporatīvā atbalsta). Līdzīga funkcija ir pieejama arī, piemēram, Office 365 - Lockbox.

Žurnāla piemērs: Access Transparency

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Piekļuve šiem žurnāliem ir iespējama vairākos veidos (tādā pašā veidā, kā iepriekš tika apspriests Azure un AWS) — izmantojot žurnālu skatītāja saskarni, API, Google Cloud SDK vai jūsu projekta darbību lapu. interesējas par pasākumiem. Tādā pašā veidā tos var eksportēt uz ārējiem risinājumiem papildu analīzei. Pēdējais tiek veikts, eksportējot žurnālus uz BigQuery vai Cloud Pub/Sub krātuvi.

Papildus Stackdriver Logging GCP platforma piedāvā arī Stackdriver Monitoring funkcionalitāti, kas ļauj pārraudzīt galvenos mākoņpakalpojumu un lietojumprogrammu rādītājus (veiktspēju, MTBF, vispārējo stāvokli utt.). Apstrādāti un vizualizēti dati var atvieglot mākoņu infrastruktūras problēmu atrašanu, tostarp drošības kontekstā. Taču jāatzīmē, ka šī funkcionalitāte informācijas drošības kontekstā nebūs īpaši bagāta, jo šodien GCP nav tās pašas AWS GuardDuty analoga un nevar identificēt sliktos starp visiem reģistrētajiem notikumiem (Google ir izstrādājis Event Threat Detection, bet tas joprojām tiek izstrādāts beta versijā, un ir pāragri runāt par tā lietderību). Stackdriver Monitoring varētu izmantot kā sistēmu anomāliju noteikšanai, kuras pēc tam izmeklētu, lai noskaidrotu to rašanās cēloņus. Taču, ņemot vērā GCP informācijas drošības jomā kvalificēta personāla trūkumu tirgū, šis uzdevums pašlaik šķiet sarežģīts.

Ir arī vērts sniegt sarakstu ar dažiem informācijas drošības moduļiem, kurus var izmantot jūsu GCP mākonī un kas ir līdzīgi AWS piedāvātajiem:

Cloud Security Command Center ir AWS drošības centrmezgla un Azure drošības centra analogs.
Mākoņa DLP — mākonī mitināto datu automātiska atklāšana un rediģēšana (piem., maskēšana), izmantojot vairāk nekā 90 iepriekš definētas klasifikācijas politikas.
Cloud Scanner ir zināmu ievainojamību (XSS, Flash Injection, nelāpītu bibliotēku u.c.) skeneris programmās App Engine, Compute Engine un Google Kubernetes.
Mākoņa IAM — kontrolējiet piekļuvi visiem GCP resursiem.
Mākoņa identitāte — pārvaldiet GCP lietotāju, ierīču un lietojumprogrammu kontus no vienas konsoles.
Cloud HSM - kriptogrāfisko atslēgu aizsardzība.
Cloud Key Management Service — kriptogrāfisko atslēgu pārvaldība GCP.
VPC pakalpojumu kontrole — izveidojiet drošu perimetru ap saviem GCP resursiem, lai pasargātu tos no noplūdēm.
Titan drošības atslēga – aizsardzība pret pikšķerēšanu.

Daudzi no šiem moduļiem ģenerē drošības notikumus, kurus var nosūtīt uz BigQuery krātuvi analīzei vai eksportēt uz citām sistēmām, tostarp SIEM. Kā minēts iepriekš, GCP ir aktīvi attīstās platforma, un Google tagad izstrādā vairākus jaunus informācijas drošības moduļus savai platformai. Starp tiem ir notikumu draudu noteikšana (tagad pieejams beta versijā), kas skenē Stackdriver žurnālus, meklējot nesankcionētas darbības pēdas (analogs GuardDuty AWS), vai politikas izlūkošanas (pieejams alfa), kas ļaus jums izstrādāt viedas politikas piekļuve GSP resursiem.

Es sniedzu īsu pārskatu par iebūvētajām uzraudzības iespējām populārajās mākoņu platformās. Bet vai jums ir speciālisti, kas spēj strādāt ar “neapstrādātiem” IaaS nodrošinātāja žurnāliem (ne visi ir gatavi iegādāties AWS vai Azure vai Google uzlabotās iespējas)? Turklāt daudzi ir pazīstami ar sakāmvārdu “uzticieties, bet pārbaudiet”, kas drošības jomā ir patiesāks nekā jebkad agrāk. Cik ļoti jūs uzticaties mākoņa pakalpojumu sniedzēja iebūvētajām iespējām, kas sūta jums informācijas drošības notikumus? Cik viņi vispār koncentrējas uz informācijas drošību?

Dažkārt ir vērts aplūkot pārklājuma mākoņa infrastruktūras uzraudzības risinājumus, kas var papildināt iebūvēto mākoņdrošību, un dažreiz šādi risinājumi ir vienīgā iespēja gūt ieskatu mākonī mitināto datu un lietojumprogrammu drošībā. Turklāt tie ir vienkārši ērtāki, jo tie uzņemas visus uzdevumus, analizējot nepieciešamos žurnālus, ko ģenerējuši dažādi mākoņpakalpojumi no dažādiem mākoņa pakalpojumu sniedzējiem. Šāda pārklājuma risinājuma piemērs ir Cisco Stealthwatch Cloud, kas ir orientēts uz vienu uzdevumu – informācijas drošības anomāliju uzraudzību mākoņu vidēs, tostarp ne tikai Amazon AWS, Microsoft Azure un Google Cloud Platform, bet arī privātos mākoņos.

Piemērs: Informācijas drošības uzraudzība, izmantojot Stealthwatch Cloud

AWS nodrošina elastīgu skaitļošanas platformu, taču šī elastība ļauj uzņēmumiem vieglāk pieļaut kļūdas, kas rada drošības problēmas. Un koplietotais informācijas drošības modelis to tikai veicina. Programmatūras darbināšana mākonī ar nezināmām ievainojamībām (ar zināmām var cīnīties, piemēram, ar AWS Inspector vai GCP Cloud Scanner), vājām parolēm, nepareizām konfigurācijām, iekšējām personām utt. Un tas viss atspoguļojas mākoņresursu uzvedībā, ko var uzraudzīt Cisco Stealthwatch Cloud, kas ir informācijas drošības uzraudzības un uzbrukumu noteikšanas sistēma. publiskie un privātie mākoņi.

Viena no galvenajām Cisco Stealthwatch Cloud iezīmēm ir spēja modelēt entītijas. Izmantojot to, varat izveidot katra mākoņa resursa programmatūras modeli (tas ir, gandrīz reāllaika simulāciju) (nav svarīgi, vai tas ir AWS, Azure, GCP vai kaut kas cits). Tie var ietvert serverus un lietotājus, kā arī resursu veidus, kas raksturīgi jūsu mākoņvidei, piemēram, drošības grupas un automātiskās mērogošanas grupas. Šajos modeļos kā ievade tiek izmantotas strukturētas datu plūsmas, ko nodrošina mākoņpakalpojumi. Piemēram, AWS gadījumā tie būtu VPC plūsmas žurnāli, AWS CloudTrail, AWS CloudWatch, AWS Config, AWS Inspector, AWS Lambda un AWS IAM. Entītiju modelēšana automātiski atklāj jebkura jūsu resursa lomu un uzvedību (varat runāt par visu mākoņa darbību profilēšanu). Šīs lomas ietver Android vai Apple mobilo ierīci, Citrix PVS serveri, RDP serveri, pasta vārteju, VoIP klientu, termināļa serveri, domēna kontrolleri utt. Pēc tam tā nepārtraukti uzrauga viņu uzvedību, lai noteiktu, kad notiek riskanta vai drošībai bīstama uzvedība. Varat identificēt paroles minēšanu, DDoS uzbrukumus, datu noplūdi, nelegālu attālo piekļuvi, ļaunprātīgas koda darbības, ievainojamības skenēšanu un citus draudus. Piemēram, šādi izskatās attālās piekļuves mēģinājuma noteikšana no jūsu organizācijai netipiskas valsts (Dienvidkoreja) Kubernetes klasterim, izmantojot SSH:

Un šādi izskatās iespējamā informācijas noplūde no Postgress datu bāzes uz valsti, ar kuru mēs iepriekš neesam saskārušies:

Visbeidzot, šādi izskatās pārāk daudzi neveiksmīgi SSH mēģinājumi no Ķīnas un Indonēzijas no ārējas attālās ierīces:

Vai arī pieņemsim, ka servera gadījums VPC saskaņā ar politiku nekad nav attālās pieteikšanās galamērķis. Pieņemsim, ka šim datoram tika veikta attālā pieteikšanās kļūdainu ugunsmūra noteikumu politikas izmaiņu dēļ. Entītijas modelēšanas līdzeklis noteiks un ziņos par šo darbību (“Neparastā attālā piekļuve”) gandrīz reāllaikā un norādīs uz konkrēto AWS CloudTrail, Azure Monitor vai GCP Stackdriver Logging API zvanu (tostarp lietotājvārdu, datumu un laiku, kā arī citu informāciju ), kas mudināja mainīt ITU noteikumu. Un tad šo informāciju var nosūtīt SIEM analīzei.

Līdzīgas iespējas ir ieviestas jebkurā mākoņa vidē, ko atbalsta Cisco Stealthwatch Cloud:

Vienību modelēšana ir unikāls drošības automatizācijas veids, kas var atklāt iepriekš nezināmu problēmu saistībā ar jūsu cilvēkiem, procesiem vai tehnoloģijām. Piemēram, tas ļauj cita starpā atklāt drošības problēmas, piemēram:

Vai kāds mūsu izmantotajā programmatūrā ir atklājis aizmugures durvis?
Vai mūsu mākonī ir kāda trešās puses programmatūra vai ierīce?
Vai pilnvarotais lietotājs ļaunprātīgi izmanto privilēģijas?
Vai radās konfigurācijas kļūda, kas atļāva attālo piekļuvi vai citu neparedzētu resursu izmantošanu?
Vai no mūsu serveriem ir datu noplūde?
Vai kāds mēģināja ar mums izveidot savienojumu no netipiskas ģeogrāfiskas vietas?
Vai mūsu mākonis ir inficēts ar ļaunprātīgu kodu?

Atklāto informācijas drošības notikumu var nosūtīt atbilstošas biļetes veidā uz Slack, Cisco Spark, PagerDuty incidentu pārvaldības sistēmu, kā arī nosūtīt dažādiem SIEM, tostarp Splunk vai ELK. Rezumējot, varam teikt, ka, ja jūsu uzņēmums izmanto vairāku mākoņu stratēģiju un neaprobežojas ar vienu mākoņpakalpojumu sniedzēju, iepriekš aprakstītās informācijas drošības uzraudzības iespējas, tad Cisco Stealthwatch Cloud izmantošana ir laba iespēja iegūt vienotu uzraudzības kopu. iespējas vadošajiem mākoņu atskaņotājiem - Amazon, Microsoft un Google. Interesantākais ir tas, ka, salīdzinot Stealthwatch Cloud cenas ar uzlabotajām licencēm informācijas drošības uzraudzībai AWS, Azure vai GCP, var izrādīties, ka Cisco risinājums būs pat lētāks par Amazon, Microsoft iebūvētajām iespējām. un Google risinājumi. Tas ir paradoksāli, bet tā ir patiesība. Un jo vairāk mākoņu un to iespēju izmantosit, jo acīmredzamākas būs konsolidētā risinājuma priekšrocības.

Turklāt Stealthwatch Cloud var pārraudzīt jūsu organizācijā izvietotos privātos mākoņus, piemēram, pamatojoties uz Kubernetes konteineriem vai uzraugot Netflow plūsmas vai tīkla trafiku, kas saņemts, izmantojot spoguļošanu tīkla iekārtās (pat vietējā ražojumā), AD datos vai DNS serveros un tā tālāk. Visi šie dati tiks papildināti ar Threat Intelligence informāciju, ko savākusi Cisco Talos, pasaulē lielākā nevalstiskā kiberdrošības draudu pētnieku grupa.

Tas ļauj ieviest vienotu uzraudzības sistēmu gan publiskajiem, gan hibrīdmākoņiem, ko var izmantot jūsu uzņēmums. Pēc tam apkopoto informāciju var analizēt, izmantojot Stealthwatch Cloud iebūvētās iespējas, vai nosūtīt uz jūsu SIEM (Splunk, ELK, SumoLogic un vairākas citas tiek atbalstītas pēc noklusējuma).

Ar to mēs pabeigsim raksta pirmo daļu, kurā es apskatīju iebūvētos un ārējos rīkus IaaS/PaaS platformu informācijas drošības uzraudzībai, kas ļauj ātri atklāt un reaģēt uz incidentiem, kas notiek mākoņvidēs. mūsu uzņēmums ir izvēlējies. Otrajā daļā turpināsim tēmu un apskatīsim SaaS platformu monitoringa iespējas, izmantojot Salesforce un Dropbox piemēru, kā arī mēģināsim visu apkopot un salikt kopā, veidojot vienotu informācijas drošības uzraudzības sistēmu dažādiem mākoņpakalpojumu sniedzējiem.

Avots: www.habr.com

Mākoņu drošības uzraudzība