Kāpēc tradicionālie antivīrusi nav piemēroti publiskajiem mākoņiem. Tātad, kas man jādara?

Arvien vairāk lietotāju apvieno visu savu IT infrastruktūru publiskajā mākonī. Taču, ja klienta infrastruktūrā pretvīrusu kontrole ir nepietiekama, rodas nopietni kiberriski. Prakse rāda, ka līdz pat 80% esošo vīrusu lieliski dzīvo virtuālajā vidē. Šajā ierakstā mēs runāsim par to, kā aizsargāt IT resursus publiskajā mākonī un kāpēc tradicionālie antivīrusi nav pilnībā piemēroti šiem mērķiem.

Sākumā mēs jums pastāstīsim, kā mēs nonācām pie domas, ka parastie pretvīrusu aizsardzības rīki nav piemēroti publiskajam mākonim un ka ir nepieciešamas citas pieejas resursu aizsardzībai.

Pirmkārt, pakalpojumu sniedzēji parasti nodrošina nepieciešamos pasākumus, lai nodrošinātu, ka viņu mākoņa platformas tiek aizsargātas augstā līmenī. Piemēram, #CloudMTS mēs analizējam visu tīkla trafiku, uzraugām mūsu mākoņa drošības sistēmu žurnālus un regulāri veicam pentestus. Arī atsevišķiem klientiem piešķirtie mākoņdatošanas segmenti ir droši jāaizsargā.

Otrkārt, klasiskā kiberrisku apkarošanas iespēja ietver antivīrusu un pretvīrusu pārvaldības rīku instalēšanu katrā virtuālajā mašīnā. Tomēr ar lielu skaitu virtuālo mašīnu šī prakse var būt neefektīva un prasa ievērojamus skaitļošanas resursus, tādējādi vēl vairāk noslogojot klienta infrastruktūru un samazinot mākoņa kopējo veiktspēju. Tas ir kļuvis par galveno priekšnoteikumu, lai meklētu jaunas pieejas efektīvas pretvīrusu aizsardzības izveidei klientu virtuālajām mašīnām.

Turklāt lielākā daļa tirgū esošo antivīrusu risinājumu nav pielāgoti IT resursu aizsardzības problēmu risināšanai publiskā mākoņa vidē. Parasti tie ir smagsvara EPP risinājumi (Endpoint Protection Platforms), kas turklāt nenodrošina nepieciešamo pielāgošanu mākoņa nodrošinātāja klienta pusē.

Kļūst acīmredzams, ka tradicionālie pretvīrusu risinājumi nav piemēroti darbam mākonī, jo tie nopietni noslogo virtuālo infrastruktūru atjaunināšanas un skenēšanas laikā, kā arī tiem nav nepieciešamā līmeņa pārvaldības un iestatījumu. Tālāk mēs detalizēti analizēsim, kāpēc mākonim ir vajadzīgas jaunas pieejas pretvīrusu aizsardzībai.

Ko vajadzētu spēt antivīrusam publiskā mākonī

Tātad, pievērsīsim uzmanību darba specifikai virtuālajā vidē:

Atjauninājumu un plānoto masu skenēšanas efektivitāte. Ja ievērojams skaits virtuālo mašīnu, kas izmanto tradicionālo antivīrusu, vienlaikus sāk atjauninājumu, mākonī notiks tā sauktā atjauninājumu “vētra”. ESXi resursdatora, kurā tiek mitinātas vairākas virtuālās mašīnas, jauda var nebūt pietiekama, lai apstrādātu līdzīgu uzdevumu aizsprostojumu, kas darbojas pēc noklusējuma. No mākoņpakalpojumu sniedzēja viedokļa šāda problēma var novest pie papildu slodzes vairākiem ESXi saimniekiem, kas galu galā novedīs pie mākoņa virtuālās infrastruktūras veiktspējas krituma. Tas, cita starpā, var ietekmēt citu mākoņa klientu virtuālo mašīnu veiktspēju. Līdzīga situācija var rasties, uzsākot masveida skenēšanu: vienlaicīga daudzu līdzīgu dažādu lietotāju pieprasījumu apstrāde disku sistēmā negatīvi ietekmēs visa mākoņa veiktspēju. Ar lielu varbūtības pakāpi uzglabāšanas sistēmas veiktspējas samazināšanās ietekmēs visus klientus. Šādas pēkšņas slodzes neiepriecina ne pakalpojumu sniedzēju, ne viņa klientus, jo tās ietekmē mākonī esošos “kaimiņus”. No šī viedokļa tradicionālais antivīruss var radīt lielas problēmas.

Droša karantīna. Ja sistēmā tiek atklāts ar vīrusu potenciāli inficēts fails vai dokuments, tas tiek nosūtīts uz karantīnu. Protams, inficēto failu var dzēst nekavējoties, taču tas bieži vien nav pieņemams lielākajai daļai uzņēmumu. Korporatīvo uzņēmumu antivīrusiem, kas nav pielāgoti darbam pakalpojumu sniedzēja mākonī, parasti ir kopīga karantīnas zona - tajā ietilpst visi inficētie objekti. Piemēram, tie, kas atrodami uzņēmumu lietotāju datoros. Mākoņpakalpojuma sniedzēja klienti “dzīvo” savos segmentos (vai nomnieki). Šie segmenti ir necaurredzami un izolēti: klienti nezina viens par otru un, protams, neredz, ko citi mitina mākonī. Acīmredzot vispārējā karantīnā, kurai mākonī varēs piekļūt visi antivīrusu lietotāji, potenciāli varētu būt ietverts dokuments, kurā ir konfidenciāla informācija vai komercnoslēpums. Tas ir nepieņemami pakalpojumu sniedzējam un tā klientiem. Līdz ar to risinājums var būt tikai viens - personīgā karantīna katram klientam savā segmentā, kur nav piekļuves ne pakalpojumu sniedzējam, ne citiem klientiem.

Individuālās drošības politikas. Katrs klients mākonī ir atsevišķs uzņēmums, kura IT nodaļa nosaka savas drošības politikas. Piemēram, administratori nosaka skenēšanas noteikumus un ieplāno pretvīrusu skenēšanu. Attiecīgi katrai organizācijai ir jābūt savam vadības centram, lai konfigurētu pretvīrusu politikas. Tajā pašā laikā norādītajiem iestatījumiem nevajadzētu ietekmēt citus mākoņa klientus, un pakalpojumu sniedzējam ir jāspēj pārbaudīt, vai, piemēram, pretvīrusu atjauninājumi tiek veikti kā parasti visām klientu virtuālajām mašīnām.

Norēķinu un licencēšanas organizēšana. Mākoņa modelim ir raksturīga elastība, un tas paredz maksāt tikai par klienta izmantoto IT resursu apjomu. Ja ir nepieciešamība, piemēram, sezonalitātes dēļ, tad resursu apjomu var ātri palielināt vai samazināt – tas viss balstās uz šī brīža vajadzībām pēc skaitļošanas jaudas. Tradicionālais antivīruss nav tik elastīgs - parasti klients iegādājas licenci uz gadu iepriekš noteiktam serveru vai darbstaciju skaitam. Mākoņu lietotāji regulāri atvieno un pievieno papildu virtuālās mašīnas atkarībā no pašreizējām vajadzībām – attiecīgi antivīrusu licencēm jāatbalsta viens un tas pats modelis.

Otrs jautājums ir par to, ko tieši licence attieksies. Tradicionālais antivīruss ir licencēts pēc serveru vai darbstaciju skaita. Licences, kuru pamatā ir aizsargāto virtuālo mašīnu skaits, nav pilnībā piemērotas mākoņa modelī. Klients no pieejamajiem resursiem var izveidot jebkuru sev ērtu virtuālo mašīnu skaitu, piemēram, piecas vai desmit mašīnas. Šis skaitlis lielākajai daļai klientu nav nemainīgs, mums kā pakalpojumu sniedzējam nav iespējams izsekot tā izmaiņām. Nav tehniskas iespējas licencēt pēc CPU: klienti saņem virtuālos procesorus (vCPU), kas jāizmanto licencēšanai. Tādējādi jaunajā pretvīrusu aizsardzības modelī būtu jāiekļauj iespēja klientam noteikt nepieciešamo vCPU skaitu, par kuriem viņš saņems pretvīrusu licences.

Atbilstība likumdošanai. Svarīgs moments, jo izmantotajiem risinājumiem ir jānodrošina atbilstība regulatora prasībām. Piemēram, mākoņa “rezidenti” bieži strādā ar personas datiem. Šajā gadījumā nodrošinātājam ir jābūt atsevišķam sertificētam mākoņu segmentam, kas pilnībā atbilst Fizisko personu datu likuma prasībām. Tad uzņēmumiem nav patstāvīgi “jāveido” visa sistēma darbam ar personas datiem: jāiegādājas sertificēts aprīkojums, jāpievieno un jākonfigurē, kā arī jāveic sertifikācija. Šādu klientu ISPD kiberaizsardzībai antivīrusam ir jāatbilst arī Krievijas tiesību aktu prasībām un tam ir jābūt FSTEC sertifikātam.

Apskatījām obligātos kritērijus, kuriem jāatbilst pretvīrusu aizsardzībai publiskajā mākonī. Tālāk mēs dalīsimies savā pieredzē par antivīrusu risinājuma pielāgošanu darbam pakalpojumu sniedzēja mākonī.

Kā jūs varat sadraudzēties starp antivīrusu un mākoni?

Kā liecina mūsu pieredze, risinājuma izvēle pēc apraksta un dokumentācijas ir viena lieta, taču tā ieviešana praksē jau strādājošā mākoņa vidē sarežģītības ziņā ir pavisam cits uzdevums. Pastāstīsim, ko darījām praksē un kā pielāgojām antivīrusu darbam nodrošinātāja publiskajā mākonī. Pretvīrusu risinājuma pārdevējs bija Kaspersky, kura portfelī ietilpst pretvīrusu aizsardzības risinājumi mākoņa vidēm. Mēs izvēlējāmies “Kaspersky Security for Virtualization” (Light Agent).

Tajā ir viena Kaspersky Security Center konsole. Vieglās aģentu un drošības virtuālās mašīnas (SVM, Security Virtual Machine) un KSC integrācijas serveris.

Pēc Kaspersky risinājuma arhitektūras izpētīšanas un pirmo testu veikšanas kopā ar pārdevēja inženieriem radās jautājums par pakalpojuma integrēšanu mākonī. Pirmā ieviešana tika veikta kopīgi Maskavas mākoņu vietnē. Un to mēs sapratām.

Lai samazinātu tīkla trafiku, tika nolemts ievietot SVM katrā ESXi resursdatorā un “saistīt” SVM ar ESXi resursdatoriem. Šajā gadījumā aizsargāto virtuālo mašīnu vieglie aģenti piekļūst tieši tā ESXi resursdatora SVM, kurā tie darbojas. Galvenajam KSC tika izvēlēts atsevišķs administratīvais nomnieks. Rezultātā padotības KSC atrodas katra individuālā klienta nomniekos un uzrunā augstākstāvošo KSC, kas atrodas vadības segmentā. Šī shēma ļauj ātri atrisināt problēmas, kas rodas klientu īrniekiem.

Papildus problēmām, kas saistītas ar paša pretvīrusu risinājuma komponentu paaugstināšanu, mēs saskārāmies ar uzdevumu organizēt tīkla mijiedarbību, izveidojot papildu VxLAN. Un, lai gan risinājums sākotnēji bija paredzēts korporatīvajiem klientiem ar privātiem mākoņiem, ar NSX Edge inženierzinātņu un tehnoloģiskās elastības palīdzību mēs spējām atrisināt visas problēmas, kas saistītas ar īrnieku nošķiršanu un licencēšanu.

Mēs cieši sadarbojāmies ar Kaspersky inženieriem. Tādējādi, analizējot risinājuma arhitektūru attiecībā uz tīkla mijiedarbību starp sistēmas komponentiem, tika konstatēts, ka papildus vieglo aģentu piekļuvei SVM ir nepieciešama arī atgriezeniskā saite - no SVM uz vieglajiem aģentiem. Šī tīkla savienojamība nav iespējama vairāku nomnieku vidē, jo dažādos mākoņa nomniekos virtuālajām mašīnām var būt identiski tīkla iestatījumi. Tāpēc pēc mūsu pieprasījuma pārdevēja kolēģi pārstrādāja tīkla mijiedarbības mehānismu starp vieglo aģentu un SVM, lai novērstu vajadzību pēc tīkla savienojuma no SVM līdz vieglajiem aģentiem.

Pēc tam, kad risinājums tika izvietots un pārbaudīts Maskavas mākoņa vietnē, mēs to atkārtojām citās vietnēs, tostarp sertificētajā mākoņu segmentā. Tagad pakalpojums ir pieejams visos valsts reģionos.

Informācijas drošības risinājuma arhitektūra jaunas pieejas ietvaros

Pretvīrusu risinājuma vispārējā darbības shēma publiskā mākoņa vidē ir šāda:

Antivīrusu risinājuma darbības shēma publiskā mākoņa vidē #CloudMTS

Aprakstīsim atsevišķu risinājuma elementu darbības iezīmes mākonī:

• Viena konsole, kas ļauj klientiem centralizēti pārvaldīt aizsardzības sistēmu: palaist skenēšanu, kontrolēt atjauninājumus un uzraudzīt karantīnas zonas. Segmentā ir iespējams konfigurēt atsevišķas drošības politikas.

Jāpiebilst, ka, lai arī esam pakalpojumu sniedzējs, mēs neiejaucamies klientu iestatītajos uzstādījumos. Vienīgais, ko varam darīt, ir atiestatīt drošības politikas uz standarta, ja ir nepieciešama pārkonfigurācija. Piemēram, tas var būt nepieciešams, ja klients tos nejauši pievilka vai ievērojami vājināja. Uzņēmums vienmēr var saņemt vadības centru ar noklusējuma politikām, kuras pēc tam var konfigurēt neatkarīgi. Kaspersky Security Center trūkums ir tāds, ka platforma pašlaik ir pieejama tikai Microsoft operētājsistēmai. Lai gan vieglie aģenti var strādāt gan ar Windows, gan ar Linux iekārtām. Tomēr Kaspersky Lab sola, ka tuvākajā nākotnē KSC strādās ar Linux OS. Viena no svarīgām KSC funkcijām ir spēja pārvaldīt karantīnu. Katram klienta uzņēmumam mūsu mākonī ir personisks uzņēmums. Šāda pieeja novērš situācijas, kad ar vīrusu inficēts dokuments nejauši kļūst publiski redzams, kā tas varētu notikt klasiskā korporatīvā antivīrusa gadījumā ar vispārēju karantīnu.

• Vieglie līdzekļi. Jaunā modeļa ietvaros katrā virtuālajā mašīnā ir instalēts viegls Kaspersky Security aģents. Tas novērš nepieciešamību glabāt pretvīrusu datubāzi katrā virtuālajā mašīnā, kas samazina vajadzīgās diska vietas daudzumu. Pakalpojums ir integrēts mākoņa infrastruktūrā un darbojas, izmantojot SVM, kas palielina ESXi resursdatora virtuālo mašīnu blīvumu un visas mākoņsistēmas veiktspēju. Gaismas aģents izveido uzdevumu rindu katrai virtuālajai mašīnai: pārbaudiet failu sistēmu, atmiņu utt. Bet SVM ir atbildīgs par šo darbību veikšanu, par kurām mēs runāsim vēlāk. Aģents darbojas arī kā ugunsmūris, kontrolē drošības politikas, nosūta inficētos failus uz karantīnu un uzrauga vispārējo operētājsistēmas “veselību”, kurā tas ir instalēts. To visu var pārvaldīt, izmantojot jau minēto vienoto konsoli.

• Drošības virtuālā mašīna. Visus resursietilpīgos uzdevumus (pretvīrusu datu bāzes atjauninājumus, plānotos skenēšanu) veic atsevišķa drošības virtuālā mašīna (SVM). Viņa ir atbildīga par pilnvērtīga pretvīrusu dzinēja un tam paredzēto datu bāzu darbību. Uzņēmuma IT infrastruktūra var ietvert vairākus SVM. Šāda pieeja palielina sistēmas uzticamību – ja viena iekārta sabojājas un nereaģē trīsdesmit sekundes, aģenti automātiski sāk meklēt citu.

• KSC integrācijas serveris. Viena no galvenā KSC sastāvdaļām, kas piešķir savus SVM vieglajiem aģentiem saskaņā ar iestatījumos norādīto algoritmu, kā arī kontrolē SVM pieejamību. Tādējādi šis programmatūras modulis nodrošina slodzes līdzsvarošanu visos mākoņa infrastruktūras SVM.

Algoritms darbam mākonī: infrastruktūras slodzes samazināšana

Kopumā pretvīrusu algoritmu var attēlot šādi. Aģents piekļūst failam virtuālajā mašīnā un pārbauda to. Pārbaudes rezultāts tiek glabāts kopējā centralizētā SVM spriedumu datubāzē (saukta par koplietoto kešatmiņu), kurā katrs ieraksts identificē unikālu faila paraugu. Šī pieeja ļauj nodrošināt, ka viens un tas pats fails netiek skenēts vairākas reizes pēc kārtas (piemēram, ja tas tika atvērts dažādās virtuālajās mašīnās). Fails tiek atkārtoti skenēts tikai tad, ja tajā ir veiktas izmaiņas vai skenēšana ir sākta manuāli.

Pretvīrusu risinājuma ieviešana nodrošinātāja mākonī

Attēlā parādīta vispārīga risinājuma ieviešanas shēma mākonī. Galvenais Kaspersky drošības centrs tiek izvietots mākoņa vadības zonā, un katrā ESXi resursdatorā tiek izvietots atsevišķs SVM, izmantojot KSC integrācijas serveri (katram ESXi resursdatoram ir pievienots savs SVM ar īpašiem iestatījumiem VMware vCenter Server). Klienti strādā savos mākoņu segmentos, kur atrodas virtuālās mašīnas ar aģentiem. Tie tiek pārvaldīti, izmantojot atsevišķus KSC serverus, kas ir pakļauti galvenajam KSC. Ja nepieciešams aizsargāt nelielu skaitu virtuālo mašīnu (līdz 5), klientam var tikt nodrošināta piekļuve speciāla speciāla KSC servera virtuālajai konsolei. Tīkla mijiedarbība starp klientu KSC un galveno KSC, kā arī vieglajiem aģentiem un SVM tiek veikta, izmantojot NAT, izmantojot EdgeGW klienta virtuālos maršrutētājus.

Saskaņā ar mūsu aplēsēm un pārdevēja kolēģu pārbaužu rezultātiem Light Agent samazina klientu virtuālās infrastruktūras slodzi par aptuveni 25% (salīdzinot ar sistēmu, kurā tiek izmantota tradicionālā pretvīrusu programmatūra). Jo īpaši standarta Kaspersky Endpoint Security (KES) antivīruss fiziskai videi patērē gandrīz divreiz vairāk servera CPU laika (2,95%) nekā viegls, uz aģentiem balstīts virtualizācijas risinājums (1,67%).

CPU slodzes salīdzināšanas diagramma

Līdzīga situācija vērojama ar diska rakstīšanas piekļuves biežumu: klasiskajam antivīrusam tas ir 1011 IOPS, mākoņa antivīrusam tas ir 671 IOPS.

Diska piekļuves ātruma salīdzināšanas grafiks

Veiktspējas ieguvums ļauj uzturēt infrastruktūras stabilitāti un efektīvāk izmantot skaitļošanas jaudu. Pielāgojoties darbam publiskā mākoņa vidē, risinājums nemazina mākoņa veiktspēju: tas centralizēti pārbauda failus un lejupielādē atjauninājumus, sadalot slodzi. Tas nozīmē, ka, no vienas puses, netiks palaisti garām mākoņa infrastruktūrai aktuālie draudi, no otras puses, resursu prasības virtuālajām mašīnām tiks samazinātas vidēji par 25%, salīdzinot ar tradicionālo antivīrusu.

Funkcionalitātes ziņā abi risinājumi ir ļoti līdzīgi viens otram: zemāk ir salīdzināšanas tabula. Tomēr mākonī, kā liecina iepriekš minētie testa rezultāti, joprojām ir optimāli izmantot risinājumu virtuālajām vidēm.

Par tarifiem jaunās pieejas ietvaros. Mēs nolēmām izmantot modeli, kas ļauj iegūt licences, pamatojoties uz vCPU skaitu. Tas nozīmē, ka licenču skaits būs vienāds ar vCPU skaitu. Jūs varat pārbaudīt savu pretvīrusu, atstājot pieprasījumu tiešsaistē.

Nākamajā rakstā par mākoņu tēmām mēs runāsim par mākoņa WAF evolūciju un to, ko labāk izvēlēties: aparatūru, programmatūru vai mākonis.

Tekstu sagatavoja mākoņpakalpojuma sniedzēja #CloudMTS darbinieki: Deniss Mjagkovs, vadošais arhitekts un Aleksejs Afanasjevs, informācijas drošības produktu attīstības vadītājs.

Avots: www.habr.com