Dalam siaran ini, kami akan cuba membimbing pembaca kami keluar daripada salah tanggapan biasa mengenai keselamatan pelayan maya dan memberitahu kami cara melindungi awan sewa mereka dengan betul pada penghujung 2019. Artikel ini ditujukan terutamanya untuk pelanggan baharu dan bakal pelanggan kami, lebih khusus lagi mereka yang baru membeli atau ingin membeli , tetapi belum begitu mahir dalam isu keselamatan siber dan pengendalian VPS. Kami berharap bahawa pengguna yang berpengetahuan akan mendapati ia agak berguna.
Empat Pendekatan Salah untuk Keselamatan Awan
Terdapat pendapat, agak biasa di kalangan pemilik dan pengurus perniagaan (kami menyerlahkannya dalam huruf tebal), itu memastikan keselamatan siber perkhidmatan awan adalah sama ada perkara priori yang tidak perlu, memandangkan awan selamat (1), atau ini adalah tugas pembekal awan: Saya membayar untuk VPS - yang bermaksud semuanya harus dikonfigurasikan, selamat dan berfungsi tanpa masalah (2). Terdapat juga pendapat ketiga, biasa bagi pakar keselamatan maklumat dan ahli perniagaan: awan berbahaya! Tiada alat keselamatan yang diketahui boleh memberikan perlindungan yang mencukupi untuk persekitaran maya (3) — pemimpin perniagaan dengan pendekatan ini meninggalkan teknologi awan kerana tidak percaya atau salah faham tentang perbezaan antara alat keselamatan tradisional dan khusus (lebih lanjut mengenainya di bawah). Kategori keempat rakyat percaya bahawa ya, anda harus melindungi infrastruktur awan anda, kerana terdapat antivirus standard (4).
Kesemua empat pendekatan ini tidak betul - ia boleh membawa kerugian (kecuali pendekatan tidak menggunakan pelayan maya sama sekali, tetapi di sini anda tidak boleh mengabaikan postulat perniagaan "hilang keuntungan juga kerugian"). Untuk menggambarkan statistik sedikit sebanyak, berikut adalah petikan daripada laporan pakar sokongan jualan korporat Kaspersky Lab Vladimir Ostroverkhov, yang kami pada musim panas 2017. Pada masa itu, Kaspersky menjalankan tinjauan di kalangan lima ribu syarikat dari 25 negara - ini adalah syarikat besar dengan sekurang-kurangnya satu setengah ribu pekerja. 75% daripada mereka menggunakan virtualisasi tetapi tidak melabur dalam keselamatan. Masalahnya tidak kehilangan kaitannya hari ini:
“Kira-kira separuh daripada syarikat [besar] tidak menggunakan sebarang perlindungan untuk mesin maya, dan separuh lagi percaya bahawa mana-mana antivirus standard akan mencukupi. Semua syarikat ini [masing-masing] membelanjakan secara purata hampir juta dolar [setahun] untuk pemulihan selepas insiden: untuk siasatan, untuk pemulihan sistem, untuk pampasan kos, untuk pampasan kerugian daripada satu hack... Apakah perbelanjaan mereka jika mereka berkompromi dengan diri mereka sendiri? Kerugian langsung untuk pemulihan, penggantian peralatan, perisian... Kerugian tidak langsung - reputasi... Kerugian untuk pampasan untuk pelanggan mereka, termasuk reputasi... Dan juga penyiasatan insiden, penggantian separa infrastruktur, kerana ia telah menjejaskan dirinya sendiri, Ini adalah dialog dengan kerajaan, ini dialog dengan syarikat insurans, dialog dengan pelanggan yang perlu membayar pampasan.”
Mengapa pendekatan ini tidak berfungsi
Pendekatan 1: Awan selamat, tidak perlu dilindungi. Kira-kira 240 ribu keping perisian hasad yang muncul setiap hari hidup dengan sempurna di dalam awan: daripada kod ringkas yang ditulis oleh pelajar sekolah dan disiarkan di Internet (yang bermaksud ia berpotensi merosakkan data) kepada serangan sasaran kompleks yang dibangunkan khusus untuk organisasi, kes dan situasi tertentu yang sangat pandai bukan sahaja memecahkan dan mencuri data, tetapi juga "menyembunyikan" diri mereka sendiri. Infrastruktur maya juga menarik untuk penggodam: adalah lebih mudah untuk menggodam dan mendapatkan akses kepada semua mesin dan data maya anda sekali gus, daripada cuba menggodam setiap pelayan fizikal secara berasingan. Selain itu, perlu dipertimbangkan bahawa di dalam infrastruktur maya, kod berniat jahat merebak pada kelajuan yang luar biasa - berpuluh-puluh ribu mesin boleh dijangkiti dalam sepuluh minit, yang bersamaan dengan wabak (lihat yang disebutkan di atas ). Program berniat jahat dan aktiviti perisian tebusan yang menyumbang kepada kebocoran data syarikat menyumbang kira-kira 27% daripada jumlah "bahaya" awan. Kerentanan yang paling banyak dalam awan: antara muka yang tidak dilindungi dan akses yang tidak dibenarkan - kira-kira 80% secara keseluruhan (mengikut penyelidikan dengan sokongan daripada Check Point Software Technologies Ltd. ialah pembekal terkemuka bagi penyelesaian keselamatan siber kepada kerajaan dan perusahaan di seluruh dunia.
Pendekatan 2: Melindungi infrastruktur awan adalah tanggungjawab penyedia VPS. Ini sebahagiannya benar, kerana penyedia pelayan maya mengambil berat tentang kestabilan sistemnya dan tahap perlindungan yang cukup tinggi untuk komponen utama awan: pelayan, peranti storan, rangkaian, virtualisasi (dikawal oleh perjanjian tahap perkhidmatan, SLA) . Tetapi dia tidak perlu risau tentang menghalang ancaman dalaman dan luaran yang mungkin timbul dalam infrastruktur awan pelanggan. Marilah kita membenarkan diri kita analogi pergigian di sini. Setelah membayar banyak wang untuk implan yang baik, pelanggan klinik pergigian memahami bahawa operasi prostesis yang betul bergantung pada dirinya sendiri (pelanggan). Doktor gigi ortopedik, bagi pihaknya, melakukan segala yang diperlukan dari segi keselamatan: dia memilih bahan berkualiti tinggi, dengan pasti "melekatkan" implan, tidak mengganggu gigitan, menyembuhkan gusi selepas pembedahan, dll. Dan jika pengguna tidak mematuhi peraturan kebersihan pada masa hadapan, ia akan menjadi, sebagai contoh, , membuka penutup botol logam dengan gigi anda dan melakukan tindakan lain yang tidak selamat yang serupa, ia akan menjadi mustahil untuk menjamin berfungsi dengan baik gigi baru. Kisah yang sama berlaku untuk memastikan keselamatan awan 100% pada VPS yang disewa daripada pembekal. "Di luar bidang kuasa" penyedia perkhidmatan awan, melindungi data dan aplikasi pelanggan adalah tanggungjawab peribadinya.
Pendekatan 3: Tiada alat keselamatan yang boleh memberikan perlindungan yang mencukupi untuk persekitaran maya. Tidak sama sekali. Terdapat penyelesaian keselamatan awan khusus, yang akan kita bincangkan di bahagian terakhir artikel.
Pendekatan 4: Menggunakan antivirus standard (perlindungan tradisional). Adalah penting untuk mengetahui di sini bahawa alat keselamatan tradisional yang semua orang biasa gunakan pada komputer tempatan semata-mata tidak direka untuk persekitaran maya yang diedarkan (mereka tidak "melihat" bagaimana komunikasi berlaku antara mesin maya) dan tidak melindungi infrastruktur maya dalaman daripada percubaan penggodaman dalaman. Ringkasnya, perisian antivirus konvensional hampir tidak berfungsi di awan. Pada masa yang sama, dipasang pada setiap WM, mereka menggunakan sejumlah besar sumber seluruh ekosistem maya apabila menyemak virus dan kemas kini, "membazirkan" rangkaian dan memperlahankan kerja syarikat, tetapi akibatnya, memberikan hampir kecekapan sifar dalam kerja utama mereka.
Dalam dua bahagian artikel seterusnya, kami akan menyenaraikan bahaya yang boleh timbul apabila syarikat beroperasi di awan (swasta, awam, hibrid) dan memberitahu anda bagaimana bahaya ini boleh dan harus dicegah dengan betul.
Bahaya yang sentiasa mengancam perkhidmatan awan
▍Serangan rangkaian jauh
Ini adalah pelbagai jenis kesan merosakkan maklumat pada sistem pengkomputeran yang diedarkan, yang dijalankan secara pengaturcaraan melalui saluran komunikasi untuk mencapai matlamat yang berbeza. Yang paling biasa daripada mereka:
- serangan DDoS (). Penghantaran permintaan maklumat secara besar-besaran kepada pelayan dengan tujuan menggunakan sumber atau lebar jalur pada sistem yang diserang untuk melumpuhkan sistem sasaran, dengan itu menyebabkan kerosakan kepada syarikat. Digunakan oleh pesaing sebagai perkhidmatan adat, peras ugut, aktivis politik dan kerajaan untuk mendapatkan dividen politik. Serangan sedemikian dilakukan menggunakan botnet - rangkaian komputer dengan bot dipasang padanya (perisian yang mungkin mengandungi virus, program untuk kawalan komputer jauh dan alat untuk bersembunyi daripada OS), yang digunakan oleh penggodam dari jauh untuk mengedarkan spam dan perisian tebusan . Baca lebih lanjut dalam siaran kami .
- Banjir Ping - untuk menyebabkan lebihan talian.
- Ping Kematian - menyebabkan pembekuan, but semula dan ranap sistem.
- Serangan peringkat aplikasi — untuk mendapatkan akses kepada komputer yang membolehkan aplikasi dilancarkan untuk akaun (sistem istimewa) tertentu.
- Pemecahan data — untuk penutupan sistem kecemasan akibat limpahan penimbal perisian.
- Autorooters — untuk mengautomasikan proses penggodaman dengan mengimbas sejumlah besar sistem dalam masa yang singkat dengan memasang rootkit.
- Menghidu — untuk mendengar saluran.
- Pengenaan pakej - untuk menukar kepada komputer anda sambungan yang diwujudkan antara komputer lain.
- Pemintasan paket pada penghala - untuk menerima kata laluan pengguna dan maklumat daripada e-mel.
- IP spoofing - supaya penggodam di dalam atau di luar rangkaian boleh menyamar sebagai komputer yang boleh dipercayai. Ini dilakukan melalui spoofing alamat IP.
- Serangan kekerasan (brute force) - untuk memilih kata laluan dengan mencuba kombinasi. Mereka mengeksploitasi kelemahan dalam RDP dan SSH.
- Baldu — untuk mengurangkan daya pengeluaran saluran komunikasi dan/atau untuk mengasingkan sepenuhnya rangkaian yang diserang.
- DNS spoofing — untuk merosakkan integriti data dalam sistem DNS melalui “meracun” cache DNS.
- Penipuan hos yang dipercayai — untuk dapat menjalankan sesi dengan pelayan bagi pihak hos yang dipercayai.
- Banjir TCP SYN — untuk melimpahi memori pelayan.
- Man-in-the-middle — untuk kecurian maklumat, herotan data yang dihantar, serangan DoS, penggodaman sesi komunikasi semasa untuk mendapatkan akses kepada sumber rangkaian persendirian, analisis trafik untuk mendapatkan maklumat mengenai rangkaian dan penggunanya.
- Kepintaran rangkaian — untuk mengkaji maklumat tentang rangkaian dan aplikasi yang berjalan pada hos sebelum serangan.
- Ubah hala pelabuhan ialah sejenis serangan yang menggunakan hos yang terjejas untuk melepasi trafik melalui tembok api. Contohnya, jika tembok api disambungkan kepada tiga hos (perkhidmatan luaran, dalaman dan awam), maka hos luaran dapat berkomunikasi dengan hos dalaman dengan memajukan port pada hos perkhidmatan awam.
- Eksploitasi amanah - serangan yang berlaku apabila seseorang mengambil kesempatan daripada hubungan yang dipercayai dalam rangkaian. Contohnya, menggodam satu sistem dalam rangkaian korporat (HTTP, DNS, pelayan SMTP) boleh menyebabkan penggodaman sistem lain.
▍Kejuruteraan sosial
- Pancingan data — untuk menerima maklumat sulit (kata laluan, nombor kad bank, dsb.) melalui mel bagi pihak organisasi dan bank terkenal.
- Sebungkus menghidu (Penghidu paket) - untuk mendapatkan akses kepada maklumat kritikal, termasuk kata laluan. Ia berjaya sebahagian besarnya disebabkan oleh fakta bahawa pengguna sering menggunakan semula nama pengguna dan kata laluan mereka untuk mendapatkan akses kepada pelbagai aplikasi dan sistem. Dengan cara ini, penggodam boleh mendapat akses kepada akaun pengguna sistem dan mencipta akaun baharu melaluinya untuk mempunyai akses kepada rangkaian dan sumbernya pada bila-bila masa.
- berdalih - serangan berskrip menggunakan komunikasi suara, yang tujuannya adalah untuk memaksa mangsa melakukan sesuatu tindakan.
- Kuda Trojan - teknik berdasarkan emosi mangsa: ketakutan, rasa ingin tahu. Perisian hasad biasanya ditemui sebagai lampiran e-mel.
- Quid tentang quo (maka untuk ini, quid pro quo) - penyerang menghubungi anda melalui telefon korporat atau e-mel dengan menyamar sebagai pekerja sokongan teknikal, melaporkan masalah pada komputer mangsa dan menawarkan untuk menyelesaikannya. Matlamatnya adalah untuk memasang perisian dan melaksanakan arahan berniat jahat pada komputer ini.
- Epal jalan raya — menanam media storan fizikal yang dijangkiti di tempat awam korporat (pemacu kilat di tandas, cakera di dalam lif), dilengkapi dengan inskripsi yang menimbulkan rasa ingin tahu.
- Mengumpul maklumat daripada rangkaian sosial.
▍Eksploitasi
Sebarang serangan yang menyalahi undang-undang dan tidak dibenarkan yang bertujuan sama ada untuk mendapatkan data, mengganggu fungsi sistem, atau merampas kawalan sistem dipanggil eksploitasi. Ia disebabkan oleh ralat dalam proses pembangunan perisian, akibatnya kelemahan muncul dalam sistem perlindungan program, yang berjaya digunakan oleh penjenayah siber untuk mendapatkan akses tanpa had kepada program itu sendiri, dan melaluinya ke seluruh komputer dan seterusnya ke rangkaian mesin.
▍Kompromi akaun
Penggodaman akaun pekerja syarikat oleh orang luar untuk mendapatkan akses kepada maklumat yang dilindungi: daripada memintas maklumat (termasuk audio) dan kunci dengan perisian hasad kepada menembusi storan fizikal pembawa maklumat.
▍Kompromi repositori
Jangkitan pelayan storan untuk pemasang perisian, kemas kini dan perpustakaan.
▍Risiko dalaman syarikat
Ini termasuk kebocoran maklumat kerana kesalahan pekerja syarikat sendiri. Ini boleh menjadi kecuaian mudah atau tindakan berniat jahat yang disengajakan: daripada sabotaj dasar keselamatan pentadbiran yang disengajakan kepada penjualan maklumat sulit kepada pihak ketiga. Ini juga mungkin termasuk akses tanpa kebenaran, antara muka tidak selamat, salah konfigurasi platform awan dan pemasangan/penggunaan aplikasi yang tidak dibenarkan.
Sekarang mari kita lihat bagaimana anda boleh menghalang senarai masalah keselamatan awan yang begitu luas (dan jauh daripada lengkap).
Penyelesaian keselamatan awan khusus moden
Setiap infrastruktur awan memerlukan keselamatan berbilang lapisan yang komprehensif. Kaedah yang diterangkan di bawah akan membantu anda memahami kandungan pakej keselamatan awan.
▍Antivirus
Adalah penting untuk diingat bahawa mana-mana antivirus tradisional tidak akan boleh dipercayai apabila cuba menyediakan keselamatan awan. Anda perlu menggunakan penyelesaian yang direka khusus untuk persekitaran maya dan awan, dan pemasangannya juga mempunyai peraturannya sendiri dalam kes ini. Hari ini, terdapat dua cara untuk memastikan keselamatan awan menggunakan antivirus berbilang komponen khusus yang dibangunkan menggunakan teknologi terkini: perlindungan tanpa agen dan perlindungan agen ringan.
Perlindungan tanpa agen. Dibangunkan oleh VMware dan hanya boleh dilakukan dengan penyelesaiannya. Dua mesin maya tambahan digunakan pada pelayan fizikal dengan mesin maya: Security Server (SVM) dan Network Attack Blocker (NAB). Tiada apa-apa diletakkan di dalam setiap daripada mereka. Hanya kernel antivirus dipasang dalam SVM - peranti keselamatan khusus. Dalam mesin NAB, komponen ini hanya bertanggungjawab untuk mengesahkan komunikasi antara mesin maya dan apa yang berlaku dalam ekosistem (dan untuk komunikasi dengan teknologi NSX). SVM ini menyemak semua trafik yang datang ke pelayan fizikal. Ia membentuk kumpulan keputusan, yang tersedia untuk semua mesin maya keselamatan melalui cache keputusan biasa. Setiap mesin maya keselamatan mengakses kumpulan ini terlebih dahulu, bukannya mengimbas keseluruhan sistem - prinsip ini membolehkan anda mengurangkan kos sumber dan mempercepatkan operasi ekosistem.
Perlindungan dengan agen cahaya. Dibangunkan oleh Kaspersky dan tidak mempunyai sekatan VMware. Seperti dalam perlindungan tanpa ejen, enjin antivirus dipasang pada SVM, tetapi tidak sepertinya, terdapat juga ejen ringan yang dipasang di dalam setiap WM. Ejen tidak melakukan semakan, tetapi hanya memantau semua yang berlaku di dalam WM asli berdasarkan teknologi rangkaian pembelajaran kendiri. Teknologi ini mengingati urutan aplikasi yang betul; Apabila berhadapan dengan fakta bahawa urutan tindakan aplikasi di dalam WM tidak berlaku dengan betul, ia menyekatnya.
Lebih lanjut mengenai , tetapi tentang cara memasang perlindungan anti-virus dengan ejen cahaya untuk pelayan maya anda, (di bahagian bawah halaman adalah kenalan untuk sokongan teknikal 24/7 sekiranya anda mempunyai sebarang soalan).
▍Integrasi dengan perkhidmatan untuk mencegah atau membetulkan isu keselamatan awan
- Tukar platform pengurusan. Ini adalah perkhidmatan terbukti yang menyokong proses ITSM teras syarikat, termasuk seperti keselamatan dan insiden IT. Contohnya, ServiceNow, Remedy, JIRA.
- Alat pengimbasan keselamatan. Contohnya, Rapid7, Qualys, Tenable.
- Alat pengurusan konfigurasi. Mereka membenarkan anda mengautomasikan operasi pelayan dan dengan itu memudahkan persediaan dan penyelenggaraan berpuluh, ratusan malah ribuan pelayan yang boleh diedarkan ke seluruh dunia. Contohnya, TrueSight Server Automation, IBM BigFix, TrueSight Vulnerability Manager, Chef, Puppet.
- Alat pengurusan amaran selamat. Membolehkan anda menyediakan perkhidmatan berterusan dan terus memantau situasi semasa kejadian, memberikan sokongan yang cekap untuk penyepaduan telefon, pemesejan dan e-mel (Menurut Cisco, lebih daripada 85% mesej e-mel adalah spam pada Julai 2019, yang berpotensi mengandungi perisian hasad, percubaan pancingan data, dll. Pada masa kini, perisian hasad sering dihantar melalui jenis lampiran "biasa": lampiran berniat jahat yang paling biasa dalam e-mel ialah fail Microsoft Office. ). Alat sedemikian boleh, sebagai contoh, OpsGenie.
▍Eksploitasi perlindungan
Memandangkan eksploitasi adalah akibat daripada kelemahan perisian, pembangun perisianlah yang mesti membetulkan ralat dalam produk mereka. Adalah menjadi tanggungjawab pengguna untuk memasang pakej kemas kini dan tampalan tepat pada masanya sebaik sahaja dikeluarkan. Menggunakan alat carian dan pemasangan automatik atau pengurus aplikasi dengan ciri ini membantu anda mengelakkan kehilangan kemas kini. Perlindungan eksploitasi automatik terbina dalam aplikasi yang diterangkan di atas .
▍Tembok api
Firewall, firewall. Tapis dan mengawal trafik rangkaian mengikut peraturan yang telah diprakonfigurasikan. Firewall boleh diwakili sebagai jujukan penapis yang memproses aliran rangkaian maklumat. Konfigurasi tembok api yang betul berkesan terhadap serangan kekerasan. Anda boleh membenarkan sambungan RDP atau SSH hanya dari alamat IP tertentu pemilik pelayan dan melindungi pelayan daripada percubaan meneka kata laluan. Firewall hadir dalam semua sistem pengendalian moden. Di samping itu, tawaran akaun peribadi RUVDS tembok api percuma di peringkat peralatan rangkaian. Oleh itu, trafik rangkaian yang tidak diingini tidak akan sampai ke mesin maya, tetapi akan ditapis di peringkat pusat data. Untuk kemudahan pelanggan tambahan, peraturan penapisan yang paling biasa digunakan telah ditambahkan pada antara muka tembok api. Jika alamat IP ditukar, pelanggan hanya boleh pergi ke akaun peribadinya dan mengedit peraturan tanpa perlu log masuk ke pelayan.
▍Perlindungan terhadap serangan DDoS
Terdapat perkhidmatan tambahan yang boleh dibeli daripada
pembekal pelayan maya (dan fizikal). Ia berdasarkan teknologi untuk menganalisis trafik rangkaian, yang, sebagai contoh, dalam RUVDS dijalankan 24/7, dan perlindungan boleh bertahan sehingga 1500 Gbit/s secara stabil. Anda hanya membayar untuk trafik yang anda perlukan. Sekarang sedang promosi di RUVDS bulan pertama percuma 0.5 Mbit/s, kemudian dari 400 gosok. sebulan.
▍Merangka dan mencapai pematuhan peraturan
Peraturan dan peraturan pengguna yang ditulis dan dilaksanakan untuk langkah pemulihan (pelan tindak balas insiden keselamatan siber) mempunyai berat yang ketara dalam hal keselamatan awan dari sudut pandangan faktor manusia, termasuk penggodaman menggunakan kaedah kejuruteraan sosial. Perkara ini termasuk menyekat akses pekerja, mengenal pasti aplikasi awan utama syarikat (tiada aplikasi lain kecuali beberapa yang berada dalam "senarai putih" sedemikian boleh dipasang), dan memastikan keselamatan peranti mudah alih yang boleh digunakan dalam syarikat untuk interaksi dengan infrastruktur awan syarikat, dan kawalan peranti, yang bertanggungjawab ke atas dasar penggunaan media luaran.
Kami berharap artikel itu berguna. Seperti biasa, kami mengalu-alukan komen yang membina, maklumat baharu, pendapat menarik, serta laporan tentang sebarang ketidaktepatan dalam bahan tersebut.
Sumber: www.habr.com
