Үүлэн аюулгүй байдлын хяналт

Өгөгдөл болон программуудыг үүлэн систем рүү шилжүүлэх нь бусад хүмүүсийн дэд бүтцийг хянахад үргэлж бэлэн байдаггүй аж ахуйн нэгжийн SOC-уудад шинэ сорилт болж байна. Netoskope-ийн мэдээлснээр, дундаж аж ахуйн нэгж (АНУ-д байгаа бололтой) 1246 өөр үүлэн үйлчилгээг ашигладаг бөгөөд энэ нь жилийн өмнөхөөс 22% илүү байна. 1246 үүлэн үйлчилгээ!!! Үүний 175 нь хүний ​​нөөцийн үйлчилгээ, 170 нь маркетинг, 110 нь харилцаа холбооны, 76 нь санхүү, CRM чиглэлээр үйл ажиллагаа явуулж байна. Cisco нь "зөвхөн" 700 гадаад үүлэн үйлчилгээг ашигладаг. Тиймээс би эдгээр тоонуудад бага зэрэг эргэлзэж байна. Гэхдээ ямар ч тохиолдолд асуудал нь тэдэнтэй холбоотой биш, харин үүлэн дэд бүтцийг өөрсдийн сүлжээн дээр хянах чадвартай байхыг хүсч буй компаниудын тоо нэмэгдэж байгаа нь үүл нь идэвхтэй ашиглагдаж эхэлсэнтэй холбоотой юм. Мөн энэ хандлага нэмэгдэж байна - дагуу Америкийн Тооцооны танхимын мэдээлснээр 2023 он гэхэд АНУ-д 1200 дата төв хаагдах гэж байна (6250 нь аль хэдийн хаагдсан). Гэхдээ үүлэн системд шилжих нь зөвхөн "серверүүдээ гадны үйлчилгээ үзүүлэгч рүү шилжүүлье" биш юм. Мэдээллийн технологийн шинэ архитектур, шинэ программ хангамж, шинэ процесс, шинэ хязгаарлалт... Энэ бүхэн нь мэдээллийн технологийн төдийгүй мэдээллийн аюулгүй байдлын ажилд томоохон өөрчлөлтүүдийг авчирдаг. Хэрэв үйлчилгээ үзүүлэгчид үүлний аюулгүй байдлыг хангах талаар ямар нэгэн байдлаар даван туулж сурсан бол (азаар маш олон зөвлөмж байдаг) үүлэн мэдээллийн аюулгүй байдлын хяналт, ялангуяа SaaS платформ дээр ихээхэн бэрхшээл тулгардаг.

Танай компани дэд бүтцийнхээ зарим хэсгийг үүлэн систем рүү шилжүүлсэн гэж бодъё... Зогс. Ийм биш. Дэд бүтцийг нь шилжүүлчихээд, яаж хяналт тавих вэ гэдгээ одоо л бодож байгаа бол аль хэдийнээ алдсан гэсэн үг. Хэрэв энэ нь Amazon, Google, эсвэл Microsoft (дараа нь захиалгатай) биш л бол та өгөгдөл болон програмаа хянах чадваргүй байх магадлалтай. Хэрэв танд гуалинтай ажиллах боломж олговол сайн байна. Заримдаа аюулгүй байдлын үйл явдлын өгөгдөл бэлэн байх боловч та үүнд хандах эрхгүй болно. Жишээлбэл, Office 365. Хэрэв танд хамгийн хямд E1 лиценз байгаа бол хамгаалалтын арга хэмжээ танд огтхон ч байхгүй. Хэрэв та E3 лицензтэй бол таны өгөгдөл ердөө 90 хоногийн турш хадгалагдах бөгөөд зөвхөн E5 лицензтэй бол бүртгэлийн үргэлжлэх хугацаа нь нэг жил байх болно (гэхдээ энэ нь тусдаа байх шаардлагатай холбоотой өөрийн гэсэн онцлог шинж чанартай байдаг. Microsoft-ын дэмжлэгээс бүртгэлтэй ажиллах хэд хэдэн функцийг хүсэх). Дашрамд хэлэхэд, E3 лиценз нь корпорацийн биржтэй харьцуулахад хяналтын чиг үүргийн хувьд хамаагүй сул юм. Ижил түвшинд хүрэхийн тулд танд E5 лиценз эсвэл нэмэлт Нарийвчилсан нийцлийн лиценз хэрэгтэй бөгөөд энэ нь үүлэн дэд бүтцэд шилжихэд таны санхүүгийн загварт тусгаагүй нэмэлт мөнгө шаардаж магадгүй юм. Энэ бол үүлэн мэдээллийн аюулгүй байдлын хяналттай холбоотой асуудлыг дутуу үнэлж байгаагийн нэг жишээ юм. Энэ нийтлэлд би бүрэн гүйцэд дүр эсгэхгүйгээр үүл үйлчилгээ үзүүлэгчийг аюулгүй байдлын үүднээс сонгохдоо анхаарах ёстой зарим нюансуудад анхаарлаа хандуулахыг хүсч байна. Өгүүллийн төгсгөлд үүлэн мэдээллийн аюулгүй байдлыг хянах асуудал шийдэгдсэн гэж үзэхээс өмнө бөглөх шаардлагатай хяналтын хуудсыг өгөх болно.

Үүлэн орчинд осол гарахад хүргэдэг хэд хэдэн ердийн асуудал байдаг бөгөөд үүнд мэдээллийн аюулгүй байдлын алба хариу өгөх цаг байдаггүй эсвэл огт хардаггүй.

• Аюулгүй байдлын бүртгэл байхгүй байна. Энэ нь ялангуяа үүлэн шийдлийн зах зээлд шинэхэн тоглогчдын дунд нэлээд түгээмэл нөхцөл байдал юм. Гэхдээ та тэднээс шууд бууж өгөх ёсгүй. Жижиг тоглогчид, ялангуяа дотоодын тоглогчид хэрэглэгчийн шаардлагад илүү мэдрэмтгий байдаг бөгөөд бүтээгдэхүүнийхээ батлагдсан замын зураглалыг өөрчилснөөр шаардлагатай зарим функцийг хурдан хэрэгжүүлэх боломжтой. Тийм ээ, энэ нь Amazon-ийн GuardDuty-ийн аналог эсвэл Bitrix-ийн "Proactive Protection" модуль биш, гэхдээ дор хаяж ямар нэг зүйл байх болно.
• Мэдээллийн аюулгүй байдал нь бүртгэлүүд хаана хадгалагдаж байгааг мэддэггүй эсвэл тэдгээрт хандах боломжгүй байдаг. Энд үүлэн үйлчилгээ үзүүлэгчтэй хэлэлцээр хийх шаардлагатай байна - хэрэв тэр үйлчлүүлэгчийг өөрт нь чухал гэж үзвэл тэр ийм мэдээллийг өгөх болно. Гэхдээ ерөнхийдөө "тусгай шийдвэрээр" бүртгэлд нэвтрэх боломжийг олгох нь тийм ч сайн биш юм.
• Мөн үүлэн үйлчилгээ үзүүлэгч нь бүртгэлтэй байдаг ч тэдгээр нь хязгаарлагдмал хяналт, үйл явдлын бичлэгийг өгдөг бөгөөд энэ нь бүх тохиолдлыг илрүүлэхэд хангалтгүй юм. Жишээлбэл, та зөвхөн вэбсайт дахь өөрчлөлтийн бүртгэл эсвэл хэрэглэгчийн баталгаажуулах оролдлогын бүртгэлийг хүлээн авах боломжтой, гэхдээ сүлжээний урсгал гэх мэт бусад үйл явдлуудыг хүлээн авахгүй бөгөөд энэ нь таны үүлэн дэд бүтцийг хакердах оролдлогыг тодорхойлсон үйл явдлын бүх давхаргыг танаас нуух болно.
• Бүртгэлүүд байдаг боловч тэдгээрт хандах хандалтыг автоматжуулахад хэцүү байдаг бөгөөд энэ нь тэдгээрийг тасралтгүй биш, харин хуваарийн дагуу хянах шаардлагатай болдог. Хэрэв та логуудыг автоматаар татаж авах боломжгүй бол жишээлбэл, Excel форматаар (дотоодын олон тооны үүлэн шийдлийн үйлчилгээ үзүүлэгчийн адил) логуудыг татаж авах нь корпорацийн мэдээллийн аюулгүй байдлын үйлчилгээнд тэдэнтэй ажиллахаас татгалзахад хүргэж болзошгүй юм.
• Бүртгэлийн хяналт байхгүй. Энэ нь үүлэн орчинд мэдээллийн аюулгүй байдлын осол гарах хамгийн тодорхойгүй шалтгаан байж магадгүй юм. Бүртгэлүүд байдаг бөгөөд тэдгээрт хандах хандалтыг автоматжуулах боломжтой юм шиг санагддаг, гэхдээ хэн ч үүнийг хийдэггүй. Яагаад?

Хуваалцсан үүлэн аюулгүй байдлын үзэл баримтлал

Үүл рүү шилжих нь дэд бүтцэд хяналт тавих хүсэл, түүнийг хадгалах чиглэлээр мэргэшсэн үүлэн үйлчилгээ үзүүлэгчийн илүү мэргэжлийн гарт шилжүүлэх хүсэл хоорондын тэнцвэрийг хайх явдал юм. Мөн үүлэн аюулгүй байдлын салбарт энэ тэнцвэрийг эрэлхийлэх ёстой. Түүнчлэн, ашигласан үүлэн үйлчилгээг хүргэх загвараас (IaaS, PaaS, SaaS) хамааран энэ үлдэгдэл үргэлж өөр байх болно. Ямар ч тохиолдолд бид өнөөдөр бүх үүлэн үйлчилгээ үзүүлэгчид хамтын хариуцлага, мэдээллийн аюулгүй байдлын загварыг дагаж мөрддөг гэдгийг санах ёстой. Үүл нь зарим зүйлийг хариуцдаг бол бусад тохиолдолд үйлчлүүлэгч өөрийн өгөгдөл, програмууд, виртуал машинууд болон бусад нөөцүүдийг үүлэн дотор байрлуулах үүрэгтэй. Үүл рүү орсноор бид бүх хариуцлагыг үйлчилгээ үзүүлэгч рүү шилжүүлнэ гэж хүлээх нь бодлогогүй хэрэг болно. Гэхдээ үүлэн рүү шилжихдээ бүх хамгаалалтыг өөрөө бий болгох нь ухаалаг хэрэг биш юм. Тэнцвэртэй байх шаардлагатай бөгөөд энэ нь олон хүчин зүйлээс хамаарна: - эрсдэлийн удирдлагын стратеги, аюул заналхийллийн загвар, үүлэн үйлчилгээ үзүүлэгчийн аюулгүй байдлын механизм, хууль тогтоомж гэх мэт.

Жишээлбэл, үүлэнд байршуулсан өгөгдлийн ангилал нь үргэлж үйлчлүүлэгчийн үүрэг юм. Клоуд үйлчилгээ үзүүлэгч эсвэл гадны үйлчилгээ үзүүлэгч нь зөвхөн үүлэн доторх өгөгдлийг тэмдэглэх, зөрчлийг тодорхойлох, хууль зөрчсөн өгөгдлийг устгах, эсвэл өөр аргаар далдлахад туслах хэрэгслүүдээр түүнд тусалж чадна. Нөгөөтэйгүүр, бие махбодийн аюулгүй байдал нь үргэлж үүлэн үйлчилгээ үзүүлэгчийн үүрэг бөгөөд үүнийг үйлчлүүлэгчидтэй хуваалцах боломжгүй юм. Гэхдээ өгөгдөл болон физик дэд бүтцийн хооронд байгаа бүх зүйл бол энэ нийтлэлийн хэлэлцэх сэдэв юм. Жишээлбэл, үүл ашиглах боломжтой эсэх нь үйлчилгээ үзүүлэгчийн үүрэг, галт ханын дүрмийг тохируулах эсвэл шифрлэлтийг идэвхжүүлэх нь үйлчлүүлэгчийн үүрэг юм. Энэ нийтлэлд бид өнөөдөр ОХУ-ын янз бүрийн алдартай үүл үйлчилгээ үзүүлэгчдийн мэдээллийн аюулгүй байдлын хяналтын ямар механизмуудыг хангаж байгаа, тэдгээрийн ашиглалтын онцлог нь юу вэ, гадаад давхаргын шийдлүүдийг хэзээ хайх нь зүйтэй вэ (жишээлбэл, Cisco E- mail Security) нь кибер аюулгүй байдлын үүднээс таны үүлний чадавхийг өргөжүүлдэг. Зарим тохиолдолд, ялангуяа олон үүлэн стратегийг баримталж байгаа бол мэдээллийн аюулгүй байдлын хяналтын гадаад шийдлүүдийг хэд хэдэн үүлэн орчинд нэгэн зэрэг ашиглахаас өөр аргагүй болно (жишээлбэл, Cisco CloudLock эсвэл Cisco Stealthwatch Cloud). Зарим тохиолдолд таны сонгосон (эсвэл танд ногдуулсан) үүлэн үйлчилгээ үзүүлэгч нь мэдээллийн аюулгүй байдлыг хянах ямар ч боломжийг санал болгодоггүй гэдгийг та ойлгох болно. Энэ нь тааламжгүй, гэхдээ бага зэрэг биш, учир нь энэ үүлтэй ажиллахтай холбоотой эрсдлийн түвшинг зохих ёсоор үнэлэх боломжийг олгодог.

Cloud Security Monitoring Lifecycle

Таны ашигладаг үүлний аюулгүй байдлыг хянахын тулд танд зөвхөн гурван сонголт байна:

• үүлэн үйлчилгээ үзүүлэгчийнхээ өгсөн хэрэгслүүдэд найдах,
• Таны ашигладаг IaaS, PaaS эсвэл SaaS платформуудыг хянах гуравдагч талын шийдлүүдийг ашиглах,
• өөрийн үүлэн хяналтын дэд бүтцийг бий болгох (зөвхөн IaaS/PaaS платформд зориулагдсан).

Эдгээр сонголт бүр ямар онцлогтой болохыг харцгаая. Гэхдээ эхлээд бид үүлэн платформыг хянахад хэрэглэгдэх ерөнхий тогтолцоог ойлгох хэрэгтэй. Би үүлэн дэх мэдээллийн аюулгүй байдлын хяналтын үйл явцын 6 үндсэн бүрэлдэхүүн хэсгийг онцлон тэмдэглэх болно.

• Дэд бүтцийн бэлтгэл ажил. Мэдээллийн аюулгүй байдлыг хангахад чухал ач холбогдолтой үйл явдлыг хадгалахад шаардлагатай программууд болон дэд бүтцийг тодорхойлох.
• Цуглуулга. Энэ үе шатанд аюулгүй байдлын үйл явдлуудыг янз бүрийн эх сурвалжаас нэгтгэж, дараа нь боловсруулах, хадгалах, дүн шинжилгээ хийх зорилгоор дамжуулдаг.
• Эмчилгээ. Энэ үе шатанд өгөгдлийг дараагийн шинжилгээнд хөнгөвчлөхийн тулд хувиргаж, баяжуулдаг.
• Хадгалах. Энэ бүрэлдэхүүн хэсэг нь цуглуулсан боловсруулсан болон түүхий мэдээллийг богино болон урт хугацаанд хадгалах үүрэгтэй.
• Шинжилгээ. Энэ үе шатанд та ослыг илрүүлж, автоматаар эсвэл гараар хариу арга хэмжээ авах чадвартай.
• Тайлагнах. Энэ үе шат нь бидэнд тодорхой шийдвэр гаргах, тухайлбал, үйлчилгээ үзүүлэгчээ солих эсвэл мэдээллийн аюулгүй байдлыг бэхжүүлэхэд тусалдаг оролцогч талуудын (удирдлага, аудиторууд, үүлэн үйлчилгээ үзүүлэгч, үйлчлүүлэгчид гэх мэт) гол үзүүлэлтүүдийг боловсруулахад тусалдаг.

Эдгээр бүрэлдэхүүн хэсгүүдийг ойлгох нь ирээдүйд үйлчилгээ үзүүлэгчээсээ юу авч болох, өөрөө эсвэл гадны зөвлөхүүдийн оролцоотойгоор юу хийхээ хурдан шийдэх боломжийг олгоно.

Баригдсан үүлэн үйлчилгээ

Өнөөдөр олон үүлэн үйлчилгээ нь мэдээллийн аюулгүй байдлыг хянах боломжийг олгодоггүй гэж би дээр бичсэн. Ер нь мэдээллийн аюулгүй байдлын сэдэвт төдийлөн ач холбогдол өгдөггүй. Жишээлбэл, интернетээр дамжуулан төрийн байгууллагуудад тайлан илгээх Оросын алдартай үйлчилгээний нэг (би нэрийг нь тусгайлан дурдахгүй). Энэхүү үйлчилгээний аюулгүй байдлын талаархи бүх хэсэг нь CIPF-ийн гэрчилгээтэй ашиглах талаар эргэлддэг. Цахим баримт бичгийн менежментийн дотоодын өөр нэг үүлэн үйлчилгээний мэдээллийн аюулгүй байдлын хэсэг ч ялгаагүй. Нийтийн түлхүүрийн гэрчилгээ, баталгаажсан криптограф, вэбийн эмзэг байдлыг арилгах, DDoS халдлагаас хамгаалах, галт хана ашиглах, нөөцлөлт хийх, тэр ч байтугай мэдээллийн аюулгүй байдлын байнгын аудитын тухай өгүүлдэг. Гэхдээ энэ үйлчилгээ үзүүлэгчийн үйлчлүүлэгчдийн сонирхлыг татахуйц мэдээллийн аюулгүй байдлын үйл явдлуудад хяналт тавих, нэвтрэх боломжийн талаар нэг ч үг алга.

Ерөнхийдөө үүлэн үйлчилгээ үзүүлэгч нь мэдээллийн аюулгүй байдлын асуудлыг өөрийн вэбсайт болон баримт бичигт тайлбарласнаар энэ асуудалд хэр нухацтай хандаж байгааг ойлгож болно. Жишээлбэл, хэрэв та "Миний оффис" бүтээгдэхүүний гарын авлагыг уншвал аюулгүй байдлын талаар нэг ч үг байхгүй, харин тусдаа бүтээгдэхүүний баримт бичигт "Миний оффис. KS3", зөвшөөрөлгүй нэвтрэхээс хамгаалах зорилготой бөгөөд "My Office.KS17"-ийн хэрэгжүүлдэг FSTEC-ийн 3-р тушаалын цэгүүдийн ердийн жагсаалт байдаг боловч үүнийг хэрхэн хэрэгжүүлж, хамгийн чухал нь хэрхэн хийхийг тайлбарлаагүй болно. эдгээр механизмыг компанийн мэдээллийн аюулгүй байдалтай нэгтгэх. Ийм баримт бичиг байгаа байх, гэхдээ би үүнийг олон нийтэд нээлттэй, "Миний оффис" вэбсайтаас олсонгүй. Хэдийгээр би энэ нууц мэдээлэлд хандах эрхгүй байж магадгүй юм?..

Bitrix-ийн хувьд нөхцөл байдал хамаагүй дээр байна. Баримт бичигт үйл явдлын бүртгэлийн формат, сонирхолтой нь үүлэн платформд учирч болзошгүй аюул заналхийлэлтэй холбоотой үйл явдлуудыг агуулсан халдлагын бүртгэлийг тайлбарласан болно. Тэндээс та IP, хэрэглэгч эсвэл зочны нэр, үйл явдлын эх сурвалж, цаг, хэрэглэгчийн агент, үйл явдлын төрөл гэх мэтийг гаргаж авах боломжтой. Үнэн бол та эдгээр үйл явдлуудтай үүлний хяналтын самбараас ажиллах эсвэл MS Excel форматаар өгөгдөл байршуулах боломжтой. Bitrix бүртгэлтэй ажиллах ажлыг автоматжуулахад одоо хэцүү байгаа тул та зарим ажлыг гараар хийх хэрэгтэй болно (тайланг байршуулж, SIEM-дээ ачаалах). Гэхдээ харьцангуй саяхныг хүртэл ийм боломж байгаагүй гэдгийг санаж байгаа бол энэ бол маш том дэвшил юм. Үүний зэрэгцээ, гадаадын олон үүлэн үйлчилгээ үзүүлэгчид "эхлэгчдэд" ижил төстэй функцийг санал болгодог гэдгийг тэмдэглэхийг хүсч байна - хяналтын самбараар дамжуулан бүртгэлийг нүдээрээ харах, эсвэл өгөгдлийг өөртөө байршуулах (гэхдээ ихэнх нь . Excel биш, csv формат).

Бүртгэлгүй байх сонголтыг авч үзэхгүйгээр үүлэн үйлчилгээ үзүүлэгчид аюулгүй байдлын үйл явдлыг хянах гурван сонголтыг санал болгодог - хяналтын самбар, өгөгдөл байршуулах, API хандалт. Эхнийх нь таны хувьд олон асуудлыг шийдэж байгаа юм шиг санагдаж байна, гэхдээ энэ нь бүхэлдээ үнэн биш юм - хэрэв танд хэд хэдэн сэтгүүл байгаа бол тэдгээрийг харуулсан дэлгэцийн хооронд шилжих хэрэгтэй бөгөөд ерөнхий дүр төрхийг алдах болно. Нэмж дурдахад, үүлэн үйлчилгээ үзүүлэгч нь танд аюулгүй байдлын үйл явдлуудыг хооронд нь холбож, аюулгүй байдлын үүднээс ерөнхийд нь дүн шинжилгээ хийх боломжийг олгохгүй байх магадлалтай (ихэвчлэн та түүхий өгөгдөлтэй харьцдаг бөгөөд үүнийг та өөрөө ойлгох хэрэгтэй). Үл хамаарах зүйлүүд байдаг бөгөөд бид тэдгээрийн талаар цаашид ярих болно. Эцэст нь, таны клоуд үйлчилгээ үзүүлэгч ямар үйл явдлуудыг ямар форматаар бүртгэдэг, тэдгээр нь таны мэдээллийн аюулгүй байдлын хяналтын үйл явцтай хэрхэн нийцэж байгааг асуух нь зүйтэй болов уу? Жишээлбэл, хэрэглэгчид болон зочдыг таних, баталгаажуулах. Үүнтэй ижил Bitrix нь эдгээр үйл явдлууд дээр үндэслэн үйл явдлын огноо, цаг, хэрэглэгч эсвэл зочдын нэр (хэрэв танд "Вэб анализ" модуль байгаа бол), хандсан объект болон вэбсайтад зориулагдсан бусад элементүүдийг бүртгэх боломжийг олгодог. . Гэхдээ корпорацийн мэдээллийн аюулгүй байдлын үйлчилгээнд хэрэглэгч итгэмжлэгдсэн төхөөрөмжөөс үүлд нэвтэрсэн эсэх талаар мэдээлэл хэрэгтэй байж магадгүй (жишээлбэл, корпорацийн сүлжээнд энэ ажлыг Cisco ISE хэрэгжүүлдэг). Клоуд үйлчилгээний хэрэглэгчийн бүртгэл хулгайлагдсан эсэхийг тодорхойлоход туслах гео-IP функц гэх мэт энгийн ажлыг яах вэ? Хэдийгээр үүлэн үйлчилгээ үзүүлэгч танд үүнийг өгсөн ч энэ нь хангалтгүй юм. Үүнтэй ижил Cisco CloudLock нь зөвхөн газарзүйн байршлыг шинжлээд зогсохгүй, үүний тулд машин сургалтыг ашигладаг бөгөөд хэрэглэгч бүрийн түүхэн өгөгдөлд дүн шинжилгээ хийж, таних, баталгаажуулах оролдлогын янз бүрийн гажигийг хянадаг. Зөвхөн MS Azure ижил төстэй функцтэй (хэрэв танд тохирох захиалга байгаа бол).

Өөр нэг бэрхшээл бий - олон үүлэн үйлчилгээ үзүүлэгчдийн хувьд мэдээллийн аюулгүй байдлын хяналт нь тэдний дөнгөж эхэлж байгаа шинэ сэдэв учраас тэд шийдэлдээ ямар нэг зүйлийг байнга өөрчилж байдаг. Өнөөдөр тэд API-ийн нэг хувилбартай, маргааш нөгөө, нөгөөдөр гурав дахь нь. Үүнд та бас бэлтгэлтэй байх хэрэгтэй. Мэдээллийн аюулгүй байдлын хяналтын системд анхаарах ёстой функцүүдийн хувьд ч мөн адил өөрчлөгдөж болох юм. Жишээлбэл, Амазон анх AWS CloudTrail болон AWS CloudWatch гэсэн үүлний үйл явдлыг хянах тусдаа үйлчилгээтэй байсан. Дараа нь мэдээллийн аюулгүй байдлын үйл явдлыг хянах тусдаа үйлчилгээ гарч ирэв - AWS GuardDuty. Хэсэг хугацааны дараа Amazon нь GuardDuty, Amazon Inspector, Amazon Macie болон бусад хэд хэдэн байгууллагаас хүлээн авсан мэдээллийн дүн шинжилгээг багтаасан Amazon Security Hub хэмээх шинэ удирдлагын системийг эхлүүлсэн. Өөр нэг жишээ бол SIEM - AzLog-тэй Azure лог нэгтгэх хэрэгсэл юм. Үүнийг 2018 онд Майкрософт хөгжүүлэлт, дэмжлэгээ зогсоосноо зарлах хүртэл олон SIEM үйлдвэрлэгчид идэвхтэй ашиглаж байсан бөгөөд энэ хэрэгслийг ашигласан олон үйлчлүүлэгчид асуудалтай тулгарсан (бид үүнийг дараа нь хэрхэн шийдсэн талаар ярих болно).

Тиймээс үүлэн үйлчилгээ үзүүлэгчийнхээ санал болгож буй бүх хяналтын функцийг сайтар хянаж байгаарай. Эсвэл таны SOC болон хянахыг хүсч буй үүлэн хооронд зуучлагчийн үүрэг гүйцэтгэх гадны шийдэл нийлүүлэгчид найдаж болно. Тийм ээ, энэ нь илүү үнэтэй байх болно (хэдийгээр үргэлж биш боловч) та бүх хариуцлагыг хэн нэгний мөрөн дээр үүрэх болно. Эсвэл бүгдийг нь биш үү?.. Хамтарсан аюулгүй байдлын тухай ойлголтыг санаж, бид юуг ч өөрчлөх боломжгүй гэдгийг ойлгоцгооё - өөр өөр үүлэн үйлчилгээ үзүүлэгчид таны өгөгдөл, програм, виртуал машин болон бусад нөөцийн мэдээллийн аюулгүй байдлын хяналтыг хэрхэн хангаж байгааг бие даан ойлгох хэрэгтэй болно. үүлэн дотор байрлуулсан. Мөн бид энэ хэсэгт Amazon юу санал болгож байгаагаас эхэлнэ.

Жишээ нь: AWS дээр суурилсан IaaS дахь мэдээллийн аюулгүй байдлын хяналт

Тийм ээ, тийм ээ, Амазон бол хамгийн сайн жишээ биш гэдгийг би ойлгож байна, учир нь энэ нь Америкийн үйлчилгээ бөгөөд үүнийг Орост хориглосон мэдээлэл түгээх, хэт даврагч үзэлтэй тэмцэх ажлын хүрээнд хааж болно. Гэхдээ энэ нийтлэлд би янз бүрийн үүлэн платформууд мэдээллийн аюулгүй байдлын хяналтын чадвараараа хэрхэн ялгаатай болохыг, мөн аюулгүй байдлын үүднээс үндсэн процессуудаа үүлэнд шилжүүлэхдээ юуг анхаарах ёстойг харуулахыг хүсч байна. Хэрэв Оросын үүлэн шийдлийн зарим хөгжүүлэгчид өөрсдөдөө хэрэгтэй зүйл сурвал энэ нь маш сайн байх болно.

Хамгийн түрүүнд хэлэх зүйл бол Амазон бол нэвтэршгүй цайз биш юм. Түүний үйлчлүүлэгчдэд янз бүрийн хэрэг явдал байнга тохиолддог. Тухайлбал, Deep Root Analytics сайтаас 198 сая сонгогчийн нэр, хаяг, төрсөн он, сар, өдөр, утасны дугаарыг хулгайлсан байна. Израилийн Nice Systems компани Verizon-ийн захиалагчдын 14 сая бичлэгийг хулгайлсан байна. Гэсэн хэдий ч AWS-ийн суурилуулсан чадварууд нь танд олон төрлийн ослыг илрүүлэх боломжийг олгодог. Жишээлбэл:

• дэд бүтцэд үзүүлэх нөлөө (DDoS)
• зангилааны эвдрэл (команд оруулах)
• дансны нууцлал, зөвшөөрөлгүй хандалт
• буруу тохиргоо болон сул талууд
• аюулгүй интерфейс болон API.

Энэхүү зөрүү нь дээр дурдсанчлан үйлчлүүлэгч өөрөө хэрэглэгчийн мэдээллийн аюулгүй байдлыг хариуцдагтай холбоотой юм. Хэрэв тэр хамгаалалтын механизмыг асааж, хяналтын хэрэгслийг асаагаагүй бол тэр үйл явдлын талаар хэвлэл мэдээллийн хэрэгслээр эсвэл үйлчлүүлэгчдээсээ л мэдэх болно.

Бэрхшээлийг тодорхойлохын тулд та Amazon-ийн боловсруулсан олон төрлийн хяналтын үйлчилгээг ашиглаж болно (хэдийгээр эдгээрийг ихэвчлэн osquery гэх мэт гадны хэрэгслүүдээр нөхдөг). Тиймээс AWS-д хэрэглэгчийн бүх үйлдлийг хэрхэн гүйцэтгэж байгаагаас үл хамааран удирдлагын консол, командын мөр, SDK эсвэл бусад AWS үйлчилгээгээр дамжуулан хянадаг. AWS бүртгэл бүрийн үйл ажиллагаа (хэрэглэгчийн нэр, үйлдэл, үйлчилгээ, үйл ажиллагааны параметрүүд болон үр дүн) болон API ашиглалтын бүх бүртгэлийг AWS CloudTrail-ээр дамжуулан авах боломжтой. Та эдгээр үйл явдлуудыг (AWS IAM консолын нэвтрэлт гэх мэт) CloudTrail консолоос харж, Amazon Athena ашиглан дүн шинжилгээ хийх эсвэл Splunk, AlienVault гэх мэт гадны шийдлүүдэд "аутсорсинг" хийх боломжтой. AWS CloudTrail бүртгэлүүд нь өөрөө таны AWS S3 хувин дотор байрладаг.

Өөр хоёр AWS үйлчилгээ нь бусад хэд хэдэн чухал хяналтын боломжийг олгодог. Нэгдүгээрт, Amazon CloudWatch нь AWS-ийн нөөц ба хэрэглээний программуудыг хянах үйлчилгээ бөгөөд бусад зүйлсээс гадна үүлэн дэх янз бүрийн гажигийг илрүүлэх боломжийг олгодог. Amazon Elastic Compute Cloud (серверүүд), Amazon Relational Database Service (мэдээллийн сан), Amazon Elastic MapReduce (өгөгдлийн шинжилгээ) болон бусад 30 Amazon үйлчилгээ гэх мэт бүх суурилуулсан AWS үйлчилгээнүүд Amazon CloudWatch ашиглан бүртгэлээ хадгалдаг. Хөгжүүлэгчид Amazon CloudWatch-ийн нээлттэй API-г ашиглан захиалгат програмууд болон үйлчилгээнүүдэд бүртгэлийн хяналтын функцийг нэмж, аюулгүй байдлын хүрээнд үйл явдлын шинжилгээний цар хүрээг өргөжүүлэх боломжийг олгодог.

Хоёрдугаарт, VPC Flow Logs үйлчилгээ нь таны AWS серверүүд (гадаад эсвэл дотоод) болон микро үйлчилгээний хооронд илгээсэн эсвэл хүлээн авсан сүлжээний траффикийг шинжлэх боломжийг танд олгоно. Таны AWS VPC нөөцийн аль нэг нь сүлжээнд холбогдох үед VPC Flow Logs нь сүлжээний урсгалын талаарх мэдээллийг эх сурвалж болон очих сүлжээний интерфэйс, түүнчлэн IP хаяг, порт, протокол, байтын тоо, багцын тоог бүртгэдэг. харсан. Дотоод сүлжээний аюулгүй байдлын талаар туршлагатай хүмүүс үүнийг thread-тэй адилтгаж ойлгох болно NetFlow, үүнийг унтраалга, чиглүүлэгч болон байгууллагын түвшний галт ханаар үүсгэж болно. Эдгээр бүртгэлүүд нь мэдээллийн аюулгүй байдлыг хянах зорилгоор чухал ач холбогдолтой бөгөөд учир нь хэрэглэгчид болон програмуудын үйлдлээс ялгаатай нь AWS виртуал хувийн үүлэн орчинд сүлжээний харилцан үйлчлэлийг алдахгүй байх боломжийг олгодог.

Дүгнэж хэлэхэд, AWS CloudTrail, Amazon CloudWatch, VPC Flow Logs гэсэн эдгээр гурван AWS үйлчилгээ нь таны дансны ашиглалт, хэрэглэгчийн зан төлөв, дэд бүтцийн удирдлага, хэрэглээний болон үйлчилгээний үйл ажиллагаа, сүлжээний үйл ажиллагааны талаар нэлээд хүчтэй ойлголтыг өгдөг. Жишээлбэл, эдгээрийг дараахь гажиг илрүүлэхэд ашиглаж болно.

• Сайтыг сканнердах, арын хаалга хайх, "404 алдаа" -аар дамжуулан эмзэг байдлыг хайх оролдлого.
• Тарилгын халдлага (жишээ нь, SQL injection) нь "500 алдаа"-н тэсрэлтээр дамждаг.
• Мэдэгдэж байгаа халдлагын хэрэгслүүд нь sqlmap, nikto, w3af, nmap гэх мэт. Хэрэглэгчийн агент талбарт дүн шинжилгээ хийх замаар.

Amazon Web Services нь кибер аюулгүй байдлын зорилгоор бусад олон асуудлыг шийдвэрлэх боломжийг олгодог бусад үйлчилгээг хөгжүүлсэн. Жишээлбэл, AWS нь бодлого, тохиргоог шалгах зориулалттай суурилуулсан үйлчилгээтэй - AWS Config. Энэ үйлчилгээ нь таны AWS нөөц болон тэдгээрийн тохиргоонд тасралтгүй аудит хийх боломжийг олгодог. Энгийн жишээ авъя: Та өөрийн бүх серверүүд дээр хэрэглэгчийн нууц үгийг идэвхгүй болгож, зөвхөн гэрчилгээнд үндэслэн нэвтрэх боломжтой эсэхийг шалгахыг хүсч байна гэж бодъё. AWS Config нь таны бүх серверүүдийг шалгахад хялбар болгодог. Таны клоуд серверт хэрэглэж болох бусад бодлого байдаг: "Ямар ч сервер 22 портыг ашиглах боломжгүй", "Зөвхөн администраторууд галт ханын дүрмийг өөрчлөх боломжтой" эсвэл "Зөвхөн хэрэглэгч Ивашко шинэ хэрэглэгчийн бүртгэл үүсгэх боломжтой бөгөөд тэр үүнийг зөвхөн Мягмар гарагт хийх боломжтой. " 2016 оны зун боловсруулсан бодлогын зөрчлийг автоматжуулах зорилгоор AWS Config үйлчилгээг өргөжүүлсэн. AWS тохиргооны дүрмүүд нь үндсэндээ таны ашигладаг Амазон үйлчилгээнүүдийн тохиргооны хүсэлтүүд бөгөөд холбогдох бодлогыг зөрчсөн тохиолдолд үйл явдал үүсгэдэг. Жишээлбэл, виртуал сервер дээрх бүх диск шифрлэгдсэн эсэхийг шалгахын тулд AWS Config асуулгыг үе үе ажиллуулахын оронд AWS Config Rules нь серверийн дискийг тасралтгүй шалгаж, энэ нөхцөл хангагдсан эсэхийг баталгаажуулах боломжтой. Хамгийн гол нь энэхүү нийтлэлийн хүрээнд аливаа зөрчил нь таны мэдээллийн аюулгүй байдлын албад дүн шинжилгээ хийх боломжтой үйл явдлыг үүсгэдэг.

AWS нь мөн уламжлалт корпорацийн мэдээллийн аюулгүй байдлын шийдлүүдтэй дүйцэхүйц байдаг бөгөөд эдгээр нь аюулгүй байдлын үйл явдлуудыг бий болгодог бөгөөд үүнд дүн шинжилгээ хийх боломжтой:

• Халдлага илрүүлэх - AWS GuardDuty
• Мэдээллийн алдагдлыг хянах - AWS Macie
• EDR (хэдийгээр энэ нь үүлэн дэх төгсгөлийн цэгүүдийн талаар бага зэрэг хачирхалтай ярьдаг) - AWS Cloudwatch + нээлттэй эх сурвалжийн osquery эсвэл GRR шийдлүүд
• Netflow шинжилгээ - AWS Cloudwatch + AWS VPC Flow
• DNS шинжилгээ - AWS Cloudwatch + AWS Route53
• AD - AWS лавлах үйлчилгээ
• Бүртгэлийн менежмент - AWS IAM
• SSO - AWS SSO
• аюулгүй байдлын шинжилгээ - AWS Inspector
• тохиргооны удирдлага - AWS Config
• WAF - AWS WAF.

Би мэдээллийн аюулгүй байдлын хүрээнд ашигтай байж болох Amazon-ын бүх үйлчилгээг нарийвчлан тайлбарлахгүй. Хамгийн гол нь эдгээр нь бүгдээрээ мэдээллийн аюулгүй байдлын хүрээнд бидний дүн шинжилгээ хийх боломжтой үйл явдлуудыг үүсгэж чадна гэдгийг ойлгох явдал бөгөөд үүний тулд Amazon-ийн суулгасан чадавхи болон гадны шийдлүүд, жишээлбэл, SIEM гэх мэт. Аюулгүй байдлын үйл явдлуудыг хяналтын төвдөө аваачиж, бусад үүлэн үйлчилгээ эсвэл дотоод дэд бүтэц, периметр эсвэл хөдөлгөөнт төхөөрөмжүүдийн үйл явдлын хамт тэнд дүн шинжилгээ хийнэ үү.

Ямар ч тохиолдолд энэ бүхэн танд мэдээллийн аюулгүй байдлын үйл явдлуудыг өгдөг мэдээллийн эх сурвалжаас эхэлдэг. Эдгээр эх сурвалжуудад дараахь зүйлс орно, гэхдээ үүгээр хязгаарлагдахгүй.

• CloudTrail - API хэрэглээ ба хэрэглэгчийн үйлдлүүд
• Итгэмжлэгдсэн зөвлөх - хамгийн сайн туршлагын эсрэг аюулгүй байдлын шалгалт
• Тохиргоо - бүртгэл, үйлчилгээний тохиргооны бүртгэл, тохиргоо
• VPC Flow Logs - виртуал интерфэйсүүдийн холболтууд
• IAM - таних, баталгаажуулах үйлчилгээ
• ELB хандалтын бүртгэл - Ачаалал тэнцвэржүүлэгч
• Хянагч - програмын сул тал
• S3 - файл хадгалах
• CloudWatch - Хэрэглээний үйл ажиллагаа
• SNS бол мэдэгдлийн үйлчилгээ юм.

Амазон нь ийм олон төрлийн арга хэмжээний эх сурвалж, хэрэгслийг бий болгохын зэрэгцээ мэдээллийн аюулгүй байдлын хүрээнд цуглуулсан мэдээлэлд дүн шинжилгээ хийх чадвараараа маш хязгаарлагдмал байдаг. Та боломжтой бүртгэлийг бие даан судалж, тэдгээрээс буулт хийх холбогдох үзүүлэлтүүдийг хайж олох хэрэгтэй болно. Амазоны саяхан эхлүүлсэн AWS Security Hub нь AWS-д зориулсан үүлэн SIEM болж энэ асуудлыг шийдэх зорилготой юм. Гэхдээ одоогоор энэ нь зөвхөн аялалынхаа эхэнд байгаа бөгөөд ажиллаж буй эх сурвалжийн тоо болон Амазоны архитектур, захиалгаар тогтоосон бусад хязгаарлалтаар хязгаарлагдаж байна.

Жишээ: Azure дээр суурилсан IaaS дахь мэдээллийн аюулгүй байдлын хяналт

Би гурван үүлэн үйлчилгээ үзүүлэгчийн (Amazon, Microsoft эсвэл Google) аль нь илүү дээр вэ (ялангуяа тус бүр өөрийн гэсэн онцлог шинж чанартай бөгөөд өөрийн асуудлыг шийдвэрлэхэд тохиромжтой) талаар удаан маргахыг хүсэхгүй байна; Эдгээр тоглогчдын өгсөн мэдээллийн аюулгүй байдлын хяналтын чадавхид анхаарлаа хандуулцгаая. Amazon AWS нь энэ сегмент дэх анхныхуудын нэг байсан тул мэдээллийн аюулгүй байдлын чиг үүргийнхээ хувьд хамгийн өндөр түвшинд хүрсэн гэдгийг хүлээн зөвшөөрөх ёстой (хэдийгээр тэдгээрийг ашиглахад хэцүү гэдгийг олон хүн хүлээн зөвшөөрдөг). Гэхдээ энэ нь Майкрософт болон Google-ийн бидэнд олгодог боломжийг бид үл тоомсорлох болно гэсэн үг биш юм.

Майкрософт бүтээгдэхүүнүүд үргэлж "нээлттэй" гэдгээрээ ялгарсаар ирсэн бөгөөд Azure-д байдал ижил төстэй байдаг. Жишээлбэл, AWS болон GCP нь үргэлж "зөвшөөрөгдөөгүй зүйлийг хориглоно" гэсэн ойлголтоос эхэлдэг бол Azure яг эсрэгээр ханддаг. Жишээлбэл, үүлэн дотор виртуал сүлжээ болон түүний доторх виртуал машин үүсгэх үед бүх порт, протоколууд нээлттэй бөгөөд анхдагчаар зөвшөөрөгддөг. Тиймээс та Майкрософт үүлэн доторх хандалтын хяналтын системийг анхны тохиргоонд бага зэрэг хүчин чармайлт гаргах хэрэгтэй болно. Мөн энэ нь Azure үүлэн дэх үйл ажиллагааг хянах талаар танд илүү хатуу шаардлага тавьдаг.

AWS нь өөрийн виртуал нөөцөө хянахдаа өөр өөр бүс нутагт байрладаг бол бүх үйл явдал, тэдгээрийн нэгдсэн дүн шинжилгээг нэгтгэхэд хүндрэлтэй тулгардаг тул үүнийг арилгахын тулд янз бүрийн заль мэх хийх хэрэгтэй болдогтой холбоотой нэг онцлог шинж чанартай байдаг. Бүс хоорондын үйл явдлыг дамжуулах AWS Lambda-д зориулсан өөрийн кодыг үүсгээрэй. Azure-д ийм асуудал байхгүй - түүний Үйл ажиллагааны бүртгэлийн механизм нь бүх байгууллагын үйл ажиллагааг хязгаарлалтгүйгээр хянадаг. Амазон компани аюулгүй байдлын олон функцийг нэг хамгаалалтын төвд нэгтгэхийн тулд саяхан бүтээсэн AWS Security Hub-д мөн адил хамаарна, гэхдээ зөвхөн өөрийн бүс нутагтаа, гэхдээ энэ нь Орост хамааралгүй юм. Azure нь өөрийн аюулгүй байдлын төвтэй бөгөөд бүс нутгийн хязгаарлалтад хамаарахгүй бөгөөд үүлэн платформын бүх хамгаалалтын функцэд нэвтрэх боломжийг олгодог. Түүгээр ч зогсохгүй орон нутгийн өөр өөр багуудын хувьд энэ нь өөрсдийн хамгаалалтын чадавхи, түүний дотор тэдний удирддаг аюулгүй байдлын арга хэмжээнүүдийг хангаж чаддаг. AWS Security Hub нь Azure Security Center-тэй төстэй болох замдаа хэвээр байна. Гэхдээ энэ нь тосонд ялаа нэмэх нь зүйтэй юм - та өмнө нь AWS-д тайлбарласан олон зүйлийг Azure-аас шахаж авах боломжтой, гэхдээ энэ нь зөвхөн Azure AD, Azure Monitor болон Azure Security Center-д хамгийн тохиромжтой. Аюулгүй байдлын үйл явдлын дүн шинжилгээ зэрэг бусад Azure аюулгүй байдлын бүх механизмыг хамгийн тохиромжтой аргаар удирдаж чадаагүй байна. Асуудал нь Microsoft Azure-ийн бүх үйлчилгээнд нэвтэрсэн API-ээр хэсэгчлэн шийдэгдэж байгаа боловч энэ нь таны клоудыг өөрийн SOC-тэй нэгтгэхийн тулд танаас нэмэлт хүчин чармайлт, мэргэшсэн мэргэжилтнүүдийг (үнэндээ үүлэн дээр ажилладаг бусад SIEM-тэй адил) шаардах болно. API). Дараа хэлэлцэх зарим SIEM-үүд Azure-г аль хэдийн дэмждэг бөгөөд үүнийг хянах ажлыг автоматжуулж чаддаг боловч энэ нь бас өөрийн гэсэн бэрхшээлтэй байдаг - тэд бүгд Azure-д байгаа бүх бүртгэлийг цуглуулж чадахгүй.

Azure дахь үйл явдлыг цуглуулах, хянах ажлыг Microsoft үүл болон түүний нөөц болох Git репозитор, контейнер, виртуал машин, програм гэх мэт мэдээллийг цуглуулах, хадгалах, шинжлэх гол хэрэгсэл болох Azure Monitor үйлчилгээг ашиглан гүйцэтгэдэг. Azure Monitor-ийн цуглуулсан бүх өгөгдлийг хоёр ангилалд хуваадаг - бодит цаг хугацаанд цуглуулсан, Azure үүлний гүйцэтгэлийн гол үзүүлэлтүүдийг тодорхойлсон хэмжүүр, Azure нөөц, үйлчилгээний үйл ажиллагааны тодорхой талыг тодорхойлсон бүртгэл болгон зохион байгуулсан өгөгдлийг агуулсан лог. Нэмж дурдахад, Data Collector API ашиглан Azure Monitor үйлчилгээ нь өөрийн хяналтын хувилбаруудыг бүтээхийн тулд ямар ч REST эх сурвалжаас мэдээлэл цуглуулах боломжтой.

Azure Portal, CLI, PowerShell эсвэл REST API (мөн заримыг нь зөвхөн Azure Monitor/Insight API-ээр дамжуулан) дамжуулан ашиглах боломжтой Azure-ийн танд санал болгож буй аюулгүй байдлын үйл явдлын цөөн хэдэн эх сурвалж энд байна:

• Үйл ажиллагааны бүртгэл - энэ бүртгэл нь үүлэн нөөц дээр бичих аливаа үйлдлийн (PUT, POST, DELETE) холбоотой "хэн", "юу", "хэзээ" гэсэн сонгодог асуултуудад хариулдаг. Унших хандалттай (GET) холбоотой үйл явдлууд бусад хэд хэдэн шиг энэ бүртгэлд ороогүй болно.
• Оношлогооны бүртгэл - таны захиалгад багтсан тодорхой эх сурвалжтай хийсэн үйлдлийн талаархи мэдээллийг агуулдаг.
• Azure AD тайлан - бүлэг болон хэрэглэгчийн удирдлагатай холбоотой хэрэглэгчийн үйл ажиллагаа болон системийн үйл ажиллагааг хоёуланг нь агуулна.
• Windows Event Log болон Linux Syslog - үүлэн дотор байрлуулсан виртуал машинуудын үйл явдлуудыг агуулдаг.
• Метрик - таны үүлэн үйлчилгээ, нөөцийн гүйцэтгэл, эрүүл мэндийн байдлын талаарх телеметрийг агуулдаг. Минут тутамд хэмжиж хадгална. 30 хоногийн дотор.
• Сүлжээний аюулгүй байдлын бүлгийн урсгалын бүртгэл - Сүлжээний ажиглагч үйлчилгээг ашиглан цуглуулсан сүлжээний аюулгүй байдлын үйл явдлуудын талаарх өгөгдлийг агуулж, сүлжээний түвшинд нөөцийн мониторинг хийх.
• Хадгалах бүртгэл - хадгалах байгууламжид хандахтай холбоотой үйл явдлуудыг агуулдаг.

Хяналтын хувьд та гадаад SIEM эсвэл суулгасан Azure Monitor болон түүний өргөтгөлүүдийг ашиглаж болно. Бид мэдээллийн аюулгүй байдлын үйл явдлын удирдлагын системийн талаар дараа ярих болно, гэхдээ одоо Azure өөрөө аюулгүй байдлын хүрээнд өгөгдөлд дүн шинжилгээ хийхэд юу санал болгож байгааг харцгаая. Azure Monitor дээрх аюулгүй байдалтай холбоотой бүх зүйлийн үндсэн дэлгэц нь Log Analytics Security and Audit Dashboard юм (үнэгүй хувилбар нь зөвхөн нэг долоо хоногийн турш хязгаарлагдмал хэмжээний үйл явдлын санах ойг дэмждэг). Энэхүү хяналтын самбар нь таны ашиглаж буй үүлэн орчинд болж буй үйл явдлын хураангуй статистикийг дүрслэн харуулах үндсэн 5 хэсэгт хуваагдана:

• Хамгаалалтын домэйнууд - мэдээллийн аюулгүй байдалтай холбоотой гол тоон үзүүлэлтүүд - ослын тоо, эвдэрсэн зангилааны тоо, засварлаагүй зангилаа, сүлжээний аюулгүй байдлын үйл явдал гэх мэт.
• Сонирхолтой асуудлууд - мэдээллийн аюулгүй байдлын идэвхтэй асуудлуудын тоо, ач холбогдлыг харуулдаг
• Илрүүлэх - таны эсрэг ашигласан халдлагын хэв маягийг харуулна
• Threat Intelligence - танд халдаж буй гадаад зангилааны газарзүйн мэдээллийг харуулдаг
• Аюулгүй байдлын нийтлэг асуулга - мэдээллийн аюулгүй байдлыг илүү сайн хянахад туслах ердийн асуулга.

Azure Monitor өргөтгөлүүдэд Azure Key Vault (үүл дэх криптограф түлхүүрүүдийг хамгаалах), Malware Assessment (виртуал машин дээрх хортой кодоос хамгаалах шинжилгээ), Azure Application Gateway Analytics (бусад зүйлсийн дотор үүлэн галт ханын бүртгэлд дүн шинжилгээ хийх) гэх мэт орно. . Үйл явдлыг боловсруулах тодорхой дүрмээр баяжуулсан эдгээр хэрэгслүүд нь үүлэн үйлчилгээний үйл ажиллагааны янз бүрийн талыг, түүний дотор аюулгүй байдлыг дүрслэн харуулах, үйл ажиллагааны тодорхой хазайлтыг тодорхойлох боломжийг олгодог. Гэхдээ ихэвчлэн тохиолддог шиг аливаа нэмэлт функц нь зохих төлбөртэй захиалга шаарддаг бөгөөд энэ нь танаас зохих санхүүгийн хөрөнгө оруулалтыг шаарддаг бөгөөд үүнийг урьдчилан төлөвлөх хэрэгтэй.

Azure нь Azure AD, Azure Monitor болон Azure Security Center-д нэгтгэгдсэн аюулын хяналтын хэд хэдэн боломжуудтай. Эдгээрийн дотор, жишээлбэл, виртуал машинуудын мэдэгдэж буй хортой IP-тэй харилцан үйлчлэлийг илрүүлэх (Microsoft-ийн Threat Intelligence үйлчилгээнүүдтэй нэгдсэний улмаас), үүлэн дотор байрлуулсан виртуал машинаас дохиолол хүлээн авах замаар үүлэн дэд бүтцэд хортой програмыг илрүүлэх, нууц үг. Виртуал машинууд дээрх дайралтуудыг таамаглах, хэрэглэгчийн таних системийн тохиргооны сул тал, нэрээ нууцлагч эсвэл халдвар авсан зангилаанаас системд нэвтрэх, данс алдагдуулах, системд ер бусын байршлаас нэвтрэх гэх мэт. Өнөөдөр Azure бол цуглуулсан мэдээллийн аюулгүй байдлын арга хэмжээг баяжуулах зорилгоор танд аюулын тагнуулын суулгасан чадавхийг санал болгодог цөөхөн үүлэн үйлчилгээ үзүүлэгчдийн нэг юм.

Дээр дурьдсанчлан, аюулгүй байдлын функц, үүний үр дүнд бий болсон аюулгүй байдлын үйл явдлууд нь бүх хэрэглэгчдэд тэгш хүртээмжтэй байдаггүй, гэхдээ мэдээллийн аюулгүй байдлын хяналтанд тохирох үйл явдлыг үүсгэдэг танд хэрэгтэй функцийг агуулсан тодорхой захиалга шаарддаг. Жишээлбэл, өмнөх догол мөрөнд дансны хэвийн бус байдлыг хянах зарим функцууд нь зөвхөн Azure AD үйлчилгээний P2 дээд зэрэглэлийн лицензэд байдаг. Үүнгүйгээр та AWS-ийн нэгэн адил цуглуулсан аюулгүй байдлын үйл явдлуудад "гараар" дүн шинжилгээ хийх шаардлагатай болно. Мөн түүнчлэн, Azure AD лицензийн төрлөөс хамааран бүх үйл явдалд дүн шинжилгээ хийх боломжгүй.

Azure портал дээр та сонирхсон логуудын хайлтын асуулгыг хоёуланг нь удирдаж, мэдээллийн аюулгүй байдлын үндсэн үзүүлэлтүүдийг харуулахын тулд хяналтын самбарыг тохируулах боломжтой. Нэмж дурдахад, та Azure Monitor логуудын функцийг өргөжүүлэх, аюулгүй байдлын үүднээс үйл явдлын илүү гүнзгий дүн шинжилгээ хийх боломжийг олгодог Azure Monitor өргөтгөлүүдийг сонгох боломжтой.

Хэрэв танд бүртгэлтэй ажиллах чадвар төдийгүй мэдээллийн аюулгүй байдлын бодлогын удирдлага зэрэг Azure үүлэн платформдоо аюулгүй байдлын цогц төв хэрэгтэй бол ихэнх ашигтай функцүүд нь Azure Security Center-тэй ажиллах хэрэгцээний талаар ярьж болно. Зарим мөнгөөр ​​авах боломжтой, жишээлбэл, аюул заналыг илрүүлэх, Azure-ээс гадуурх хяналт, нийцлийн үнэлгээ гэх мэт. (үнэгүй хувилбарт та зөвхөн аюулгүй байдлын үнэлгээ, тодорхойлсон асуудлуудыг арилгах зөвлөмж авах боломжтой). Энэ нь аюулгүй байдлын бүх асуудлыг нэг дор нэгтгэдэг. Үнэн хэрэгтээ бид Azure Monitor-аас илүү өндөр түвшний мэдээллийн аюулгүй байдлын талаар ярьж болно, учир нь энэ тохиолдолд таны үүлний үйлдвэрээс цуглуулсан өгөгдлийг Azure, Office 365, Microsoft CRM онлайн, Microsoft Dynamics AX гэх мэт олон эх сурвалж ашиглан баяжуулдаг. , outlook .com, MSN.com, Microsoft Digital Crimes Unit (DCU) болон Microsoft Security Response Center (MSRC) зэрэг нь янз бүрийн нарийн төвөгтэй машин сургалтын болон зан үйлийн аналитик алгоритмуудыг суурилуулсан бөгөөд энэ нь эцэстээ аюул заналыг илрүүлэх, хариу арга хэмжээ авах үр ашгийг дээшлүүлэх ёстой. .

Azure нь мөн өөрийн гэсэн SIEM-тэй - энэ нь 2019 оны эхээр гарч ирсэн. Энэ бол Azure Monitor-ын өгөгдөлд тулгуурласан Azure Sentinel бөгөөд түүнтэй нэгтгэх боломжтой. Гадаад хамгаалалтын шийдлүүд (жишээлбэл, NGFW эсвэл WAF), тэдгээрийн жагсаалт байнга нэмэгдэж байна. Нэмж дурдахад, Microsoft Graph Security API-ийг нэгтгэснээр та өөрийн Azure үүлэн дэх тохиолдлуудад дүн шинжилгээ хийх чадамжийг баяжуулсан өөрийн Threat Intelligence тэжээлийг Sentinel-тэй холбох боломжтой болно. Azure Sentinel бол үүлэн үйлчилгээ үзүүлэгчдээс гарч ирсэн анхны "уугуул" SIEM (үүлд байршуулах боломжтой ижил Splunk эсвэл ELK, жишээ нь AWS-ийг уламжлалт үүлэн үйлчилгээ үзүүлэгч нар хөгжүүлээгүй хэвээр байгаа) гэж маргаж болно. Azure Sentinel болон Security Center-ийг Azure үүлэнд зориулсан SOC гэж нэрлэж болох бөгөөд хэрэв танд ямар ч дэд бүтэц байхгүй болж, бүх тооцоолох нөөцөө үүлэн рүү шилжүүлсэн бол Microsoft cloud Azure байх байсан бол тэдгээрээр хязгаарлагдах боломжтой (тодорхой захиалгатай).

Гэхдээ Azure-ийн суулгасан чадварууд (та Sentinel-д бүртгүүлсэн байсан ч) мэдээллийн аюулгүй байдлыг хянах, энэ үйл явцыг аюулгүй байдлын бусад эх сурвалжтай (үүл болон дотоод аль аль нь) нэгтгэхэд хангалтгүй байдаг. цуглуулсан өгөгдлийг гадаад системд экспортлох шаардлагатай бөгөөд үүнд SIEM орно. Үүнийг API болон тусгай өргөтгөлүүдийг ашиглан хийж байгаа бөгөөд одоогоор зөвхөн дараах SIEM-д албан ёсоор ашиглах боломжтой - Splunk (Splunk-д зориулсан Azure Monitor Add-On), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight болон ELK. Саяхныг хүртэл ийм SIEM-ууд олширч байсан боловч 1 оны 2019-р сарын XNUMX-ээс Microsoft Azure-ийн оршин тогтнох эхэн үед болон логтой ажиллах ердийн стандартчилал байхгүй үед (Azure) Azure Log Integration Tool-ийг (AzLog) дэмжихээ больсон. Монитор хараахан байхгүй байсан) гадаад SIEM-ийг Microsoft үүлтэй нэгтгэхэд хялбар болгосон. Одоо нөхцөл байдал өөрчлөгдсөн бөгөөд Microsoft нь Azure Event Hub платформыг бусад SIEM-үүдийг нэгтгэх үндсэн хэрэгсэл болгон ашиглахыг зөвлөж байна. Олонх нь ийм интеграцчиллыг аль хэдийн хэрэгжүүлсэн боловч болгоомжтой байгаарай - тэд бүх Azure бүртгэлийг авахгүй байж магадгүй, гэхдээ зөвхөн заримыг нь (өөрийн SIEM-ийн баримт бичгийг харна уу).

Azure-д хийсэн товч аялалаа дуусгаад би энэ үүл үйлчилгээний талаар ерөнхий зөвлөмж өгөхийг хүсч байна - Та Azure дахь мэдээллийн аюулгүй байдлын хяналтын функцүүдийн талаар юу ч хэлэхээсээ өмнө тэдгээрийг маш болгоомжтой тохируулж, баримт бичигт бичсэнээр ажиллаж байгаа эсэхийг шалгах хэрэгтэй. зөвлөхүүд танд Microsoft-д хэлсэнчлэн (мөн тэд Azure функцүүдийн талаар өөр өөр үзэл бодолтой байж болно). Хэрэв танд санхүүгийн эх үүсвэр байгаа бол мэдээллийн аюулгүй байдлын хяналтын талаар Azure-ээс маш их хэрэгтэй мэдээллийг шахаж авах боломжтой. Хэрэв таны нөөц хязгаарлагдмал бол AWS-ийн нэгэн адил та зөвхөн өөрийн хүч чадал болон Azure Monitor-аас өгдөг түүхий өгөгдөлд найдах хэрэгтэй болно. Хяналтын олон функц нь мөнгө шаарддаг тул үнийн бодлоготой урьдчилан танилцах нь дээр гэдгийг санаарай. Жишээлбэл, та 31 хоногийн турш хамгийн ихдээ 5 ГБ хүртэлх өгөгдлийг үнэгүй хадгалах боломжтой - эдгээр утгыг хэтрүүлбэл нэмэлт мөнгө гаргах шаардлагатай болно (хэрэглэгчийн нэмэлт GB бүрийг хадгалахад ойролцоогоор $ 2, $ 0,1 болно). нэмэлт сар бүр 1 ГБ хадгалах). Хэрэглээний телеметр ба хэмжигдэхүүнтэй ажиллахад анхааруулга, мэдэгдэлтэй ажиллахаас гадна нэмэлт мөнгө шаардлагатай байж болно (тодорхой хязгаарыг үнэ төлбөргүй авах боломжтой, энэ нь таны хэрэгцээнд хангалтгүй байж магадгүй).

Жишээ нь: Google Cloud Platform дээр суурилсан IaaS дахь мэдээллийн аюулгүй байдлын хяналт

Google Cloud Platform нь AWS болон Azure-тай харьцуулахад залуухан мэт боловч энэ нь зарим талаараа сайн юм. AWS-ээс ялгаатай нь өөрийн чадавхи, түүний дотор аюулгүй байдлын хүчин чадлыг аажмаар нэмэгдүүлж, төвлөрөлтэй холбоотой асуудалтай тулгардаг; Azure шиг GCP нь төвлөрсөн байдлаар илүү сайн удирддаг бөгөөд энэ нь байгууллагын хэмжээнд алдаа гарах, хэрэгжүүлэх хугацааг багасгадаг. Аюулгүй байдлын үүднээс GCP нь хачирхалтай нь AWS болон Azure хоёрын хооронд байдаг. Мөн тэрээр бүхэл бүтэн байгууллагын нэг арга хэмжээний бүртгэлтэй боловч бүрэн бус байна. Зарим функцууд бета горимд хэвээр байгаа боловч аажмаар энэ дутагдлыг арилгах хэрэгтэй бөгөөд GCP нь мэдээллийн аюулгүй байдлын мониторингийн хувьд илүү боловсронгуй платформ болох болно.

GCP дахь үйл явдлуудыг бүртгэх гол хэрэгсэл нь Stackdriver Logging (Azure Monitor-тай төстэй) бөгөөд энэ нь танд үүлэн дэд бүтцээ бүхэлд нь (мөн AWS-аас) цуглуулах боломжийг олгодог. GCP дахь аюулгүй байдлын үүднээс авч үзвэл байгууллага, төсөл эсвэл хавтас бүр дөрвөн бүртгэлтэй байна:

• Админы үйл ажиллагаа - захиргааны хандалттай холбоотой бүх үйл явдлуудыг агуулдаг, жишээлбэл, виртуал машин үүсгэх, нэвтрэх эрхийг өөрчлөх гэх мэт. Энэ бүртгэл нь таны хүслээс үл хамааран үргэлж бичигддэг бөгөөд 400 хоногийн турш өгөгдлийг хадгалдаг.
• Өгөгдлийн хандалт - үүлэн хэрэглэгчдийн өгөгдөлтэй ажиллахтай холбоотой бүх үйл явдлуудыг (бүтээх, өөрчлөх, унших гэх мэт) агуулдаг. Анхдагч байдлаар, энэ бүртгэлийг бичээгүй, учир нь түүний хэмжээ маш хурдан өсдөг. Энэ шалтгааны улмаас түүний хадгалах хугацаа ердөө 30 хоног байна. Үүнээс гадна, энэ сэтгүүлд бүх зүйл бичигдээгүй байна. Жишээлбэл, бүх хэрэглэгчдэд нээлттэй эсвэл GCP-д нэвтрэхгүйгээр нэвтрэх боломжтой нөөцтэй холбоотой үйл явдлууд үүнд бичигдээгүй.
• Системийн үйл явдал - хэрэглэгчидтэй холбоогүй системийн үйл явдлууд эсвэл үүлэн нөөцийн тохиргоог өөрчилдөг администраторын үйлдлүүдийг агуулдаг. Үргэлж бичээд 400 хоног хадгалдаг.
• Хандалтын ил тод байдал нь ажлын үүргийнхээ хүрээнд таны дэд бүтцэд ханддаг Google-ийн ажилтнуудын (гэхдээ бүх GCP үйлчилгээнд хараахан биш) бүх үйлдлийг бүртгэдэг бүртгэлийн өвөрмөц жишээ юм. Энэ бүртгэлийг 400 хоногийн турш хадгалдаг бөгөөд GCP-ийн үйлчлүүлэгч бүр ашиглах боломжгүй, гэхдээ хэд хэдэн нөхцөл хангагдсан тохиолдолд л боломжтой (Алт эсвэл Платинум түвшний дэмжлэг эсвэл корпорацийн дэмжлэгийн нэг хэсэг болох тодорхой төрлийн 4 үүрэг). Үүнтэй төстэй функцийг жишээлбэл Office 365 - Lockbox дээр ашиглах боломжтой.

Бүртгэлийн жишээ: Ил тод байдалд хандах

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Эдгээр бүртгэлд хандах нь хэд хэдэн аргаар (өмнө нь хэлэлцсэн Azure болон AWS-тэй ижил аргаар) боломжтой - Log Viewer интерфейс, API, Google Cloud SDK, эсвэл таны төслийн үйл ажиллагааны хуудсаар дамжуулан. үйл явдлыг сонирхож байна. Үүнтэй адилаар тэдгээрийг нэмэлт шинжилгээнд зориулж гадны шийдэлд экспортлох боломжтой. Сүүлийнх нь логуудыг BigQuery эсвэл Cloud Pub/Sub хадгалах сан руу экспортлох замаар хийгддэг.

Stackdriver Logging-ээс гадна GCP платформ нь Stackdriver Monitoring функцийг санал болгодог бөгөөд энэ нь үүлэн үйлчилгээ, хэрэглээний гол хэмжүүрүүдийг (гүйцэтгэл, MTBF, ерөнхий эрүүл мэнд гэх мэт) хянах боломжийг олгодог. Боловсруулсан болон дүрсэлсэн өгөгдөл нь таны үүлэн дэд бүтцэд, тэр дундаа аюулгүй байдлын хүрээнд асуудлыг олоход хялбар болгоно. Гэхдээ энэ функц нь мэдээллийн аюулгүй байдлын хувьд тийм ч баялаг биш гэдгийг тэмдэглэх нь зүйтэй, учир нь өнөөдөр GCP нь ижил AWS GuardDuty-ийн аналоггүй бөгөөд бүртгэгдсэн бүх үйл явдлын дунд муу үйл явдлуудыг тодорхойлж чадахгүй байна (Google нь Үйл явдлын аюул илрүүлэх, гэхдээ энэ нь бета хувилбарт боловсруулагдаж байгаа бөгөөд түүний ашиг тусын талаар ярихад эрт байна). Stackdriver Monitoring-ийг гажиг илрүүлэх систем болгон ашиглаж болох бөгөөд дараа нь тэдгээрийн үүсэх шалтгааныг олохын тулд судлах болно. Гэхдээ зах зээл дээр GCP мэдээллийн аюулгүй байдлын чиглэлээр мэргэшсэн боловсон хүчин дутмаг байгаа тул энэ ажил одоогоор хэцүү харагдаж байна.

Таны GCP үүлэн дотор ашиглаж болох, AWS-ийн санал болгож буйтай төстэй мэдээллийн аюулгүй байдлын зарим модулиудын жагсаалтыг өгөх нь зүйтэй.

• Cloud Security Command Center нь AWS Security Hub болон Azure Security Center-ийн аналог юм.
• Cloud DLP - Урьдчилан тодорхойлсон 90 гаруй ангиллын бодлогыг ашиглан үүлэн дотор байрлуулсан өгөгдлийг автоматаар илрүүлэх, засварлах (жишээ нь, далдлах).
• Cloud Scanner нь App Engine, Compute Engine болон Google Kubernetes-ийн мэдэгдэж буй сул талуудыг (XSS, Flash Injection, засварлаагүй номын сан гэх мэт) сканнер юм.
• Cloud IAM - GCP-ийн бүх нөөцөд хандах хандалтыг хянах.
• Cloud Identity - GCP хэрэглэгч, төхөөрөмж болон програмын бүртгэлийг нэг консолоос удирдах.
• Cloud HSM - криптограф түлхүүрүүдийн хамгаалалт.
• Cloud Key Management Service - GCP дахь криптограф түлхүүрүүдийн менежмент.
• VPC Үйлчилгээний хяналт - GCP нөөцөө гоожихоос хамгаалахын тулд эргэн тойронд аюулгүй периметр үүсгээрэй.
• Titan Security Key - фишингээс хамгаалах.

Эдгээр модулиудын ихэнх нь SIEM зэрэг бусад системд дүн шинжилгээ хийх эсвэл экспортлох зорилгоор BigQuery хадгалах сан руу илгээгдэх аюулгүй байдлын үйл явдлуудыг үүсгэдэг. Дээр дурдсанчлан GCP нь идэвхтэй хөгжиж буй платформ бөгөөд Google одоо платформдоо зориулж мэдээллийн аюулгүй байдлын хэд хэдэн шинэ модулиудыг боловсруулж байна. Тэдгээрийн дотор зөвшөөрөлгүй үйлдлийн ул мөрийг хайж олохын тулд Stackdriver бүртгэлийг скан хийдэг Event Threat Detection (одоо бета хувилбарт ашиглах боломжтой) эсвэл Policy Intelligence (альфа хувилбарт байдаг) зэрэг нь танд ухаалаг бодлогыг боловсруулах боломжийг олгоно. GCP нөөцөд хандах.

Би алдартай үүл платформууд дээр суурилуулсан хяналтын боломжуудын талаар товч тойм хийсэн. Гэхдээ танд "түүхий" IaaS үйлчилгээ үзүүлэгчийн бүртгэлтэй ажиллах чадвартай мэргэжилтнүүд байна уу (Хүн бүр AWS эсвэл Azure эсвэл Google-ийн дэвшилтэт чадварыг худалдаж авахад бэлэн байдаггүй)? Нэмж дурдахад аюулгүй байдлын салбарт урьд өмнө байгаагүй үнэн болох "итгэ, гэхдээ баталгаажуул" гэсэн зүйр үгийг олон хүн мэддэг. Мэдээллийн аюулгүй байдлын үйл явдлуудыг илгээдэг үүлэн үйлчилгээ үзүүлэгчийн суулгасан чадварт та хэр итгэдэг вэ? Тэд ер нь мэдээллийн аюулгүй байдалд хэр анхаардаг вэ?

Заримдаа үүлний аюулгүй байдлыг нөхөх боломжтой давхардсан үүлэн дэд бүтцийн хяналтын шийдлүүдийг авч үзэх нь зүйтэй бөгөөд заримдаа ийм шийдэл нь үүлэн дотор байрлах таны өгөгдөл, програмын аюулгүй байдлын талаар ойлголттой болох цорын ганц сонголт юм. Нэмж дурдахад тэдгээр нь өөр өөр үүлэн үйлчилгээ үзүүлэгчдийн өөр өөр үүлэн үйлчилгээнүүдийн үүсгэсэн шаардлагатай бүртгэлд дүн шинжилгээ хийх бүх ажлыг хариуцдаг тул илүү тохиромжтой. Ийм давхцах шийдлийн жишээ бол зөвхөн Amazon AWS, Microsoft Azure, Google Cloud Platform төдийгүй хувийн үүл зэрэг үүлэн орчинд мэдээллийн аюулгүй байдлын гажуудлыг хянах нэг даалгавар дээр төвлөрсөн Cisco Stealthwatch Cloud юм.

Жишээ нь: Stealthwatch Cloud ашиглан мэдээллийн аюулгүй байдлын хяналт

AWS нь уян хатан тооцоолох платформоор хангадаг боловч энэхүү уян хатан байдал нь компаниудад аюулгүй байдлын асуудалд хүргэдэг алдаа гаргахад хялбар болгодог. Мэдээллийн аюулгүй байдлын хуваалцсан загвар нь зөвхөн үүнд хувь нэмэр оруулдаг. Үл мэдэгдэх сул талуудтай (мэдэгдэж байгаа нь AWS Inspector эсвэл GCP Cloud Scanner-аар тэмцэж болно), сул нууц үг, буруу тохиргоо, дотоод мэдээлэл гэх мэт програм хангамжийг үүлэн дээр ажиллуулах. Энэ бүхэн нь мэдээллийн аюулгүй байдлын хяналт, халдлагыг илрүүлэх систем болох Cisco Stealthwatch Cloud-аар хянагдах боломжтой үүлэн нөөцийн зан төлөвт тусгагдсан байдаг. нийтийн болон хувийн үүл.

Cisco Stealthwatch Cloud-ийн гол онцлогуудын нэг бол аж ахуйн нэгжүүдийг загварчлах чадвар юм. Үүний тусламжтайгаар та үүлэн нөөц бүрийнхээ програм хангамжийн загварыг (өөрөөр хэлбэл, бараг бодит цагийн симуляци) үүсгэж болно (энэ нь AWS, Azure, GCP эсвэл өөр зүйл байх нь хамаагүй). Эдгээрт серверүүд болон хэрэглэгчид, мөн аюулгүй байдлын бүлгүүд болон автомат масштабын бүлгүүд гэх мэт таны үүлэн орчинд хамаарах нөөцийн төрлүүд багтаж болно. Эдгээр загварууд нь үүлэн үйлчилгээгээр хангагдсан бүтэцлэгдсэн өгөгдлийн урсгалыг оролт болгон ашигладаг. Жишээлбэл, AWS-ийн хувьд эдгээр нь VPC Flow Logs, AWS CloudTrail, AWS CloudWatch, AWS Config, AWS Inspector, AWS Lambda, AWS IAM байх болно. Аж ахуйн нэгжийн загварчлал нь таны аливаа нөөцийн үүрэг, зан төлөвийг автоматаар илрүүлдэг (та үүлний бүх үйл ажиллагааг профайл хийх талаар ярьж болно). Эдгээр үүрэгт Android эсвэл Apple-ийн гар утасны төхөөрөмж, Citrix PVS сервер, RDP сервер, шуудангийн гарц, VoIP клиент, терминал сервер, домэйн хянагч гэх мэт орно. Дараа нь эрсдэлтэй эсвэл аюулгүй байдалд заналхийлж буй зан үйлийг тодорхойлохын тулд тэдний зан төлөвийг байнга хянаж байдаг. Та нууц үг таах, DDoS халдлага, өгөгдөл алдагдуулах, хууль бус алсын зайнаас нэвтрэх, хортой кодын үйл ажиллагаа, эмзэг байдлын скан хийх болон бусад аюулыг тодорхойлох боломжтой. Жишээлбэл, танай байгууллагын хувьд хэвийн бус улсаас (Өмнөд Солонгос) Kubernetes кластер руу SSH-ээр дамжуулан алсаас нэвтрэх оролдлогыг илрүүлэх нь дараах байдалтай байна.

Постгресс мэдээллийн сангаас бидний өмнө нь харилцаж байгаагүй улс руу мэдээлэл алдагдсан нь иймэрхүү харагдаж байна.

Эцэст нь, Хятад, Индонезиас гадны алсын төхөөрөмжөөс SSH-ийн хэт олон амжилтгүй оролдлого дараах байдалтай байна.

Эсвэл VPC дэх серверийн инстанц нь бодлогын дагуу хэзээ ч алсаас нэвтрэх газар байж болохгүй гэж бодъё. Галт ханын дүрмийн бодлогыг алдаатай өөрчилсний улмаас энэ компьютер алсаас нэвтэрсэн гэж үзье. Аж ахуйн нэгжийн загварчлалын онцлог нь энэ үйл ажиллагааг ("Ер бусын алсаас хандалт") бодит цаг хугацаанд илрүүлж мэдээлэх бөгөөд тодорхой AWS CloudTrail, Azure Monitor эсвэл GCP Stackdriver Logging API дуудлагыг (хэрэглэгчийн нэр, огноо, цаг, бусад дэлгэрэнгүй мэдээллийг оруулаад) зааж өгнө. ) нь ОУЦХБ-ын дүрмийг өөрчлөхөд хүргэсэн. Дараа нь энэ мэдээллийг SIEM-д шинжилгээнд илгээж болно.

Үүнтэй төстэй боломжуудыг Cisco Stealthwatch Cloud дэмждэг аливаа үүлэн орчинд хэрэгжүүлдэг:

Аж ахуйн нэгжийн загварчлал нь таны хүмүүс, үйл явц эсвэл технологитой холбоотой урьд өмнө мэдэгдээгүй асуудлыг илрүүлж чадах аюулгүй байдлын автоматжуулалтын өвөрмөц хэлбэр юм. Жишээлбэл, энэ нь танд аюулгүй байдлын асуудлуудыг илрүүлэх боломжийг олгодог, тухайлбал:

• Бидний ашигладаг программ хангамжаас хэн нэгэн арын хаалга олсон уу?
• Манай үүлэн дотор гуравдагч талын програм хангамж эсвэл төхөөрөмж байгаа юу?
• Эрх бүхий хэрэглэгч давуу эрхээ урвуулан ашиглаж байна уу?
• Алсын зайнаас хандах эсвэл нөөцийг зориулалтын бусаар ашиглахыг зөвшөөрсөн тохиргооны алдаа гарсан уу?
• Манай серверээс мэдээлэл алдагдсан уу?
• Хэн нэгэн бидэнтэй ердийн бус газарзүйн байршлаас холбогдохыг оролдсон уу?
• Манай үүлэнд хортой код халдварласан уу?

Илэрсэн мэдээллийн аюулгүй байдлын үйл явдлыг Slack, Cisco Spark, PagerDuty ослын удирдлагын системд харгалзах тасалбар хэлбэрээр илгээж, мөн Splunk эсвэл ELK зэрэг янз бүрийн SIEM-д илгээж болно. Дүгнэж хэлэхэд, хэрэв танай компани олон үүлний стратегийг ашигладаг бөгөөд дээр дурдсан мэдээллийн аюулгүй байдлын хяналтын чадамжийг аль нэг үүлэн үйлчилгээ үзүүлэгчээр хязгаарлагдахгүй бол Cisco Stealthwatch Cloud ашиглах нь нэгдсэн хяналтын багцыг авах сайн сонголт юм гэж хэлж болно. тэргүүлэх үүл тоглогчдын боломжууд - Amazon, Microsoft, Google. Хамгийн сонирхолтой нь хэрэв та Stealthwatch Cloud-ийн үнийг AWS, Azure эсвэл GCP дахь мэдээллийн аюулгүй байдлын хяналтын дэвшилтэт лицензтэй харьцуулж үзвэл Cisco шийдэл нь Amazon, Microsoft-ын суулгасан чадвараас ч хямд байх болно. болон Google-ийн шийдлүүд. Энэ нь парадоксик боловч үнэн юм. Илүү их үүл, тэдгээрийн чадавхийг ашиглах тусам нэгдсэн шийдлийн давуу тал нь илүү тодорхой байх болно.

Нэмж дурдахад Stealthwatch Cloud нь Кубернетес контейнер дээр суурилсан эсвэл сүлжээний төхөөрөмж (дотоод үйлдвэрлэсэн ч гэсэн), AD өгөгдөл эсвэл DNS сервер гэх мэт толин тусгал хийх замаар хүлээн авсан Netflow урсгал эсвэл сүлжээний траффикийг хянах замаар танай байгууллагад байрлуулсан хувийн үүлүүдийг хянах боломжтой. Энэ бүх өгөгдлийг кибер аюулгүй байдлын аюул судлаачдын дэлхийн хамгийн том төрийн бус бүлэг болох Cisco Talos-ийн цуглуулсан Threat Intelligence мэдээллээр баяжуулах болно.

Энэ нь танай компани ашиглаж болох нийтийн болон эрлийз үүлний нэгдсэн хяналтын системийг хэрэгжүүлэх боломжийг танд олгоно. Дараа нь цуглуулсан мэдээллийг Stealthwatch Cloud-ийн суулгасан чадавхийг ашиглан шинжлэх эсвэл таны SIEM руу илгээх боломжтой (Splunk, ELK, SumoLogic болон бусад хэд хэдэн програмыг анхдагчаар дэмждэг).

Үүгээр дамжуулан бид IaaS/PaaS платформуудын мэдээллийн аюулгүй байдлыг хянах, үүлэн орчинд тохиолдож буй ослыг хурдан илрүүлж, хариу арга хэмжээ авах боломжийг олгодог дотоод болон гадаад хэрэгслүүдийг авч үзсэн нийтлэлийн эхний хэсгийг дуусгах болно. манай аж ахуйн нэгж сонгосон. Хоёрдахь хэсэгт бид сэдвийг үргэлжлүүлж, Salesforce болон Dropbox-ийн жишээн дээр SaaS платформуудыг хянах сонголтуудыг авч үзэх бөгөөд янз бүрийн үүлэн үйлчилгээ үзүүлэгчдийн мэдээллийн аюулгүй байдлын хяналтын нэгдсэн системийг бий болгох замаар бүгдийг нэгтгэн нэгтгэхийг хичээх болно.

Эх сурвалж: www.habr.com