Semakin ramai pengguna membawa keseluruhan infrastruktur IT mereka ke awan awam. Walau bagaimanapun, jika kawalan anti-virus tidak mencukupi dalam infrastruktur pelanggan, risiko siber yang serius akan timbul. Amalan menunjukkan bahawa sehingga 80% daripada virus sedia ada hidup dengan sempurna dalam persekitaran maya. Dalam siaran ini kita akan bercakap tentang cara melindungi sumber IT dalam awan awam dan mengapa antivirus tradisional tidak sepenuhnya sesuai untuk tujuan ini.
Sebagai permulaan, kami akan memberitahu anda bagaimana kami mendapat idea bahawa alat perlindungan anti-virus biasa tidak sesuai untuk awan awam dan pendekatan lain untuk melindungi sumber diperlukan.
Pertama, pembekal biasanya menyediakan langkah yang perlu untuk memastikan platform awan mereka dilindungi pada tahap yang tinggi. Contohnya, di #CloudMTS kami menganalisis semua trafik rangkaian, memantau log sistem keselamatan awan kami dan kerap melakukan pentest. Segmen awan yang diperuntukkan kepada pelanggan individu juga mesti dilindungi dengan selamat.
Kedua, pilihan klasik untuk memerangi risiko siber melibatkan pemasangan antivirus dan alat pengurusan antivirus pada setiap mesin maya. Walau bagaimanapun, dengan sejumlah besar mesin maya, amalan ini boleh menjadi tidak berkesan dan memerlukan sejumlah besar sumber pengkomputeran, seterusnya memuatkan lagi infrastruktur pelanggan dan mengurangkan prestasi keseluruhan awan. Ini telah menjadi prasyarat utama untuk mencari pendekatan baharu untuk membina perlindungan anti-virus yang berkesan untuk mesin maya pelanggan.
Selain itu, kebanyakan penyelesaian antivirus di pasaran tidak disesuaikan untuk menyelesaikan masalah melindungi sumber IT dalam persekitaran awan awam. Sebagai peraturan, ia adalah penyelesaian EPP berwajaran tinggi (Platform Perlindungan Titik Akhir), yang, lebih-lebih lagi, tidak membenarkan penyesuaian yang diperlukan pada sisi pelanggan penyedia awan.
Ia menjadi jelas bahawa penyelesaian antivirus tradisional kurang sesuai untuk bekerja di awan, kerana ia memuatkan infrastruktur maya dengan serius semasa kemas kini dan imbasan, dan juga tidak mempunyai tahap pengurusan dan tetapan berasaskan peranan yang diperlukan. Seterusnya, kami akan menganalisis secara terperinci mengapa awan memerlukan pendekatan baharu untuk perlindungan anti-virus.
Perkara yang boleh dilakukan oleh antivirus dalam awan awam
Jadi, mari kita perhatikan spesifik bekerja dalam persekitaran maya:
Kecekapan kemas kini dan imbasan massa berjadual. Jika sebilangan besar mesin maya yang menggunakan antivirus tradisional memulakan kemas kini pada masa yang sama, apa yang dipanggil "ribut" kemas kini akan berlaku dalam awan. Kuasa hos ESXi yang mengehoskan beberapa mesin maya mungkin tidak mencukupi untuk mengendalikan tugasan serupa yang dijalankan secara lalai. Dari sudut pandangan penyedia awan, masalah sedemikian boleh membawa kepada beban tambahan pada beberapa hos ESXi, yang akhirnya akan membawa kepada penurunan prestasi infrastruktur maya awan. Ini mungkin, antara lain, menjejaskan prestasi mesin maya pelanggan awan lain. Situasi yang sama mungkin timbul apabila melancarkan imbasan besar-besaran: pemprosesan serentak oleh sistem cakera banyak permintaan serupa daripada pengguna berbeza akan menjejaskan prestasi keseluruhan awan secara negatif. Dengan tahap kebarangkalian yang tinggi, penurunan dalam prestasi sistem storan akan menjejaskan semua pelanggan. Pemuatan mendadak sedemikian tidak menggembirakan sama ada pembekal atau pelanggannya, kerana ia memberi kesan kepada "jiran" dalam awan. Dari sudut pandangan ini, antivirus tradisional boleh menimbulkan masalah besar.
Kuarantin selamat. Jika fail atau dokumen yang berpotensi dijangkiti virus dikesan pada sistem, ia dihantar ke kuarantin. Sudah tentu, fail yang dijangkiti boleh dipadamkan serta-merta, tetapi ini selalunya tidak boleh diterima oleh kebanyakan syarikat. Antivirus perusahaan korporat yang tidak disesuaikan untuk berfungsi di awan penyedia, sebagai peraturan, mempunyai zon kuarantin yang sama - semua objek yang dijangkiti jatuh ke dalamnya. Contohnya, yang terdapat pada komputer pengguna syarikat. Pelanggan penyedia awan "secara langsung" dalam segmen mereka sendiri (atau penyewa). Segmen ini adalah legap dan terpencil: pelanggan tidak tahu tentang satu sama lain dan, sudah tentu, tidak melihat apa yang dihoskan oleh orang lain dalam awan. Jelas sekali, kuarantin am, yang akan diakses oleh semua pengguna antivirus di awan, berpotensi termasuk dokumen yang mengandungi maklumat sulit atau rahsia perdagangan. Ini tidak boleh diterima oleh pembekal dan pelanggannya. Oleh itu, hanya ada satu penyelesaian - kuarantin peribadi untuk setiap pelanggan dalam segmennya, di mana penyedia mahupun pelanggan lain tidak mempunyai akses.
Dasar keselamatan individu. Setiap pelanggan dalam awan ialah syarikat yang berasingan, yang jabatan ITnya menetapkan dasar keselamatannya sendiri. Contohnya, pentadbir menentukan peraturan pengimbasan dan menjadualkan imbasan anti-virus. Sehubungan itu, setiap organisasi mesti mempunyai pusat kawalan sendiri untuk mengkonfigurasi dasar antivirus. Pada masa yang sama, tetapan yang ditetapkan tidak boleh menjejaskan pelanggan awan lain, dan pembekal harus dapat mengesahkan bahawa, sebagai contoh, kemas kini antivirus dijalankan seperti biasa untuk semua mesin maya pelanggan.
Organisasi pengebilan dan pelesenan. Model awan dicirikan oleh fleksibiliti dan melibatkan pembayaran hanya untuk jumlah sumber IT yang digunakan oleh pelanggan. Sekiranya terdapat keperluan, contohnya, disebabkan oleh bermusim, maka jumlah sumber boleh ditingkatkan atau dikurangkan dengan cepat - semuanya berdasarkan keperluan semasa untuk kuasa pengkomputeran. Antivirus tradisional tidak begitu fleksibel - sebagai peraturan, pelanggan membeli lesen selama setahun untuk bilangan pelayan atau stesen kerja yang telah ditetapkan. Pengguna awan kerap memutuskan sambungan dan menyambungkan mesin maya tambahan bergantung pada keperluan semasa mereka - sewajarnya, lesen antivirus mesti menyokong model yang sama.
Soalan kedua ialah apakah sebenarnya yang akan dilindungi oleh lesen. Antivirus tradisional dilesenkan oleh bilangan pelayan atau stesen kerja. Lesen berdasarkan bilangan mesin maya yang dilindungi tidak sepenuhnya sesuai dalam model awan. Pelanggan boleh mencipta sebarang bilangan mesin maya yang sesuai untuknya daripada sumber yang ada, contohnya, lima atau sepuluh mesin. Nombor ini tidak tetap untuk kebanyakan pelanggan; tidak mungkin bagi kami, sebagai pembekal, untuk menjejaki perubahannya. Tiada kemungkinan teknikal untuk melesenkan oleh CPU: pelanggan menerima pemproses maya (vCPU), yang harus digunakan untuk pelesenan. Oleh itu, model perlindungan anti-virus baharu harus merangkumi keupayaan untuk pelanggan menentukan bilangan vCPU yang diperlukan yang mana dia akan menerima lesen anti-virus.
Pematuhan undang-undang. Perkara penting, kerana penyelesaian yang digunakan mesti memastikan pematuhan dengan keperluan pengawal selia. Sebagai contoh, "penduduk" awan sering bekerja dengan data peribadi. Dalam kes ini, pembekal mesti mempunyai segmen awan diperakui berasingan yang mematuhi sepenuhnya keperluan Undang-undang Data Peribadi. Kemudian syarikat tidak perlu secara bebas "membina" keseluruhan sistem untuk bekerja dengan data peribadi: membeli peralatan yang diperakui, menyambung dan mengkonfigurasinya, dan menjalani pensijilan. Untuk perlindungan siber ISPD pelanggan tersebut, antivirus juga mesti mematuhi keperluan perundangan Rusia dan mempunyai sijil FSTEC.
Kami melihat kriteria mandatori yang mesti dipenuhi oleh perlindungan antivirus dalam awan awam. Seterusnya, kami akan berkongsi pengalaman kami sendiri dalam menyesuaikan penyelesaian antivirus untuk berfungsi dalam awan penyedia.
Bagaimanakah anda boleh berkawan antara antivirus dan awan?
Seperti yang ditunjukkan oleh pengalaman kami, memilih penyelesaian berdasarkan penerangan dan dokumentasi adalah satu perkara, tetapi melaksanakannya dalam amalan dalam persekitaran awan yang sudah berfungsi adalah tugas yang sama sekali berbeza dari segi kerumitan. Kami akan memberitahu anda perkara yang kami lakukan dalam amalan dan cara kami menyesuaikan antivirus untuk berfungsi dalam awan awam pembekal. Penjual penyelesaian anti-virus ialah Kaspersky, yang portfolionya termasuk penyelesaian perlindungan anti-virus untuk persekitaran awan. Kami menyelesaikan "Kaspersky Security for Virtualization" (Ejen Cahaya).
Ia termasuk konsol Pusat Keselamatan Kaspersky tunggal. Ejen ringan dan mesin maya keselamatan (SVM, Mesin Maya Keselamatan) dan pelayan penyepaduan KSC.
Selepas kami mengkaji seni bina penyelesaian Kaspersky dan menjalankan ujian pertama bersama-sama dengan jurutera vendor, persoalan timbul mengenai penyepaduan perkhidmatan ke dalam awan. Pelaksanaan pertama telah dijalankan bersama di tapak awan Moscow. Dan itulah yang kami sedar.
Untuk meminimumkan trafik rangkaian, telah diputuskan untuk meletakkan SVM pada setiap hos ESXi dan "mengikat" SVM kepada hos ESXi. Dalam kes ini, ejen ringan mesin maya yang dilindungi mengakses SVM hos ESXi yang tepat di mana ia dijalankan. Penyewa pentadbiran yang berasingan telah dipilih untuk KSC utama. Akibatnya, KSC bawahan terletak di penyewa setiap pelanggan individu dan menangani KSC atasan yang terletak dalam segmen pengurusan. Skim ini membolehkan anda menyelesaikan masalah yang timbul dalam penyewa pelanggan dengan cepat.
Sebagai tambahan kepada isu dengan meningkatkan komponen penyelesaian anti-virus itu sendiri, kami berhadapan dengan tugas untuk mengatur interaksi rangkaian melalui penciptaan VxLAN tambahan. Dan walaupun penyelesaian itu pada asalnya ditujukan untuk pelanggan perusahaan dengan awan peribadi, dengan bantuan celik kejuruteraan dan fleksibiliti teknologi NSX Edge kami dapat menyelesaikan semua masalah yang berkaitan dengan pengasingan penyewa dan pelesenan.
Kami bekerja rapat dengan jurutera Kaspersky. Oleh itu, dalam proses menganalisis seni bina penyelesaian dari segi interaksi rangkaian antara komponen sistem, didapati, sebagai tambahan kepada akses daripada agen cahaya kepada SVM, maklum balas juga diperlukan - daripada SVM kepada agen cahaya. Kesambungan rangkaian ini tidak boleh dilakukan dalam persekitaran berbilang penyewa kerana kemungkinan tetapan rangkaian yang sama bagi mesin maya dalam penyewa awan yang berbeza. Oleh itu, atas permintaan kami, rakan sekerja daripada vendor mengolah semula mekanisme interaksi rangkaian antara ejen cahaya dan SVM dari segi menghapuskan keperluan untuk sambungan rangkaian daripada SVM kepada ejen ringan.
Selepas penyelesaian itu digunakan dan diuji di tapak awan Moscow, kami mereplikasinya ke tapak lain, termasuk segmen awan yang diperakui. Perkhidmatan ini kini tersedia di semua wilayah di negara ini.
Seni bina penyelesaian keselamatan maklumat dalam rangka kerja pendekatan baharu
Skim umum pengendalian penyelesaian antivirus dalam persekitaran awan awam adalah seperti berikut:
Skim pengendalian penyelesaian antivirus dalam persekitaran awan awam #CloudMTS
Mari kita terangkan ciri pengendalian elemen individu penyelesaian dalam awan:
β’ Konsol tunggal yang membolehkan pelanggan mengurus sistem perlindungan secara berpusat: menjalankan imbasan, mengawal kemas kini dan memantau zon kuarantin. Anda boleh mengkonfigurasi dasar keselamatan individu dalam segmen anda.
Perlu diingat bahawa walaupun kami adalah pembekal perkhidmatan, kami tidak mengganggu tetapan yang ditetapkan oleh pelanggan. Satu-satunya perkara yang boleh kita lakukan ialah menetapkan semula dasar keselamatan kepada yang standard jika konfigurasi semula diperlukan. Sebagai contoh, ini mungkin perlu jika pelanggan mengetatkannya secara tidak sengaja atau melemahkannya dengan ketara. Sebuah syarikat sentiasa boleh menerima pusat kawalan dengan dasar lalai, yang kemudiannya boleh dikonfigurasikan secara bebas. Kelemahan Pusat Keselamatan Kaspersky ialah platform pada masa ini hanya tersedia untuk sistem pengendalian Microsoft. Walaupun ejen ringan boleh bekerja dengan kedua-dua mesin Windows dan Linux. Walau bagaimanapun, Kaspersky Lab berjanji bahawa dalam masa terdekat KSC akan berfungsi di bawah OS Linux. Salah satu fungsi penting KSC adalah keupayaan untuk menguruskan kuarantin. Setiap syarikat pelanggan dalam awan kami mempunyai syarikat peribadi. Pendekatan ini menghapuskan situasi di mana dokumen yang dijangkiti virus secara tidak sengaja menjadi kelihatan kepada umum, seperti yang boleh berlaku dalam kes antivirus korporat klasik dengan kuarantin am.
β’ Agen cahaya. Sebagai sebahagian daripada model baharu, ejen Kaspersky Security yang ringan dipasang pada setiap mesin maya. Ini menghapuskan keperluan untuk menyimpan pangkalan data anti-virus pada setiap VM, yang mengurangkan jumlah ruang cakera yang diperlukan. Perkhidmatan ini disepadukan dengan infrastruktur awan dan berfungsi melalui SVM, yang meningkatkan ketumpatan mesin maya pada hos ESXi dan prestasi keseluruhan sistem awan. Ejen cahaya membina baris gilir tugas untuk setiap mesin maya: semak sistem fail, memori, dsb. Tetapi SVM bertanggungjawab untuk melaksanakan operasi ini, yang akan kita bincangkan kemudian. Ejen juga berfungsi sebagai tembok api, mengawal dasar keselamatan, menghantar fail yang dijangkiti ke kuarantin dan memantau keseluruhan "kesihatan" sistem pengendalian yang dipasang. Semua ini boleh diuruskan menggunakan konsol tunggal yang telah disebutkan.
β’ Mesin Maya Keselamatan. Semua tugas intensif sumber (kemas kini pangkalan data anti-virus, imbasan berjadual) dikendalikan oleh Mesin Maya Keselamatan (SVM) yang berasingan. Dia bertanggungjawab untuk pengendalian enjin anti-virus yang lengkap dan pangkalan data untuknya. Infrastruktur IT syarikat mungkin termasuk beberapa SVM. Pendekatan ini meningkatkan kebolehpercayaan sistem - jika satu mesin gagal dan tidak bertindak balas selama tiga puluh saat, ejen secara automatik mula mencari yang lain.
β’ Pelayan penyepaduan KSC. Salah satu komponen KSC utama, yang memperuntukkan SVMnya kepada agen cahaya mengikut algoritma yang dinyatakan dalam tetapannya, dan juga mengawal ketersediaan SVM. Oleh itu, modul perisian ini menyediakan pengimbangan beban merentas semua SVM infrastruktur awan.
Algoritma untuk bekerja di awan: mengurangkan beban pada infrastruktur
Secara umum, algoritma antivirus boleh diwakili seperti berikut. Ejen mengakses fail pada mesin maya dan menyemaknya. Hasil pengesahan disimpan dalam pangkalan data keputusan SVM berpusat biasa (dipanggil Cache Kongsi), setiap entri yang mengenal pasti sampel fail unik. Pendekatan ini membolehkan anda memastikan bahawa fail yang sama tidak diimbas beberapa kali berturut-turut (contohnya, jika ia dibuka pada mesin maya yang berbeza). Fail diimbas semula hanya jika perubahan telah dibuat padanya atau imbasan telah dimulakan secara manual.
Pelaksanaan penyelesaian antivirus dalam awan penyedia
Imej menunjukkan gambar rajah umum pelaksanaan penyelesaian dalam awan. Pusat Keselamatan Kaspersky utama digunakan dalam zon kawalan awan, dan SVM individu digunakan pada setiap hos ESXi menggunakan pelayan penyepaduan KSC (setiap hos ESXi mempunyai SVM sendiri yang dilampirkan dengan tetapan khas pada VMware vCenter Server). Pelanggan bekerja dalam segmen awan mereka sendiri, di mana mesin maya dengan ejen berada. Mereka diuruskan melalui pelayan KSC individu di bawah KSC utama. Jika perlu untuk melindungi sebilangan kecil mesin maya (sehingga 5), ββpelanggan boleh diberikan akses kepada konsol maya pelayan KSC khusus khusus. Interaksi rangkaian antara KSC pelanggan dan KSC utama, serta ejen ringan dan SVM, dijalankan menggunakan NAT melalui penghala maya klien EdgeGW.
Menurut anggaran kami dan hasil ujian rakan sekerja di vendor, Light Agent mengurangkan beban pada infrastruktur maya pelanggan sebanyak lebih kurang 25% (jika dibandingkan dengan sistem yang menggunakan perisian anti-virus tradisional). Khususnya, antivirus Kaspersky Endpoint Security (KES) standard untuk persekitaran fizikal menggunakan hampir dua kali lebih banyak masa CPU pelayan (2,95%) sebagai penyelesaian virtualisasi berasaskan ejen ringan (1,67%).
Carta perbandingan beban CPU
Situasi yang sama diperhatikan dengan kekerapan akses tulis cakera: untuk antivirus klasik ialah 1011 IOPS, untuk antivirus awan ialah 671 IOPS.
Graf perbandingan kadar capaian cakera
Faedah prestasi membolehkan anda mengekalkan kestabilan infrastruktur dan menggunakan kuasa pengkomputeran dengan lebih cekap. Dengan menyesuaikan diri untuk bekerja dalam persekitaran awan awam, penyelesaian itu tidak mengurangkan prestasi awan: ia menyemak fail secara berpusat dan memuat turun kemas kini, mengagihkan beban. Ini bermakna, di satu pihak, ancaman yang berkaitan dengan infrastruktur awan tidak akan terlepas, sebaliknya, keperluan sumber untuk mesin maya akan dikurangkan sebanyak purata 25% berbanding antivirus tradisional.
Dari segi kefungsian, kedua-dua penyelesaian adalah sangat serupa antara satu sama lain: di bawah ialah jadual perbandingan. Walau bagaimanapun, dalam awan, seperti yang ditunjukkan oleh keputusan ujian di atas, masih optimum untuk menggunakan penyelesaian untuk persekitaran maya.
Mengenai tarif dalam rangka pendekatan baharu. Kami memutuskan untuk menggunakan model yang membolehkan kami mendapatkan lesen berdasarkan bilangan vCPU. Ini bermakna bilangan lesen akan sama dengan bilangan vCPU. Anda boleh menguji antivirus anda dengan meninggalkan permintaan .
Dalam artikel seterusnya mengenai topik awan, kita akan bercakap tentang evolusi WAF awan dan perkara yang lebih baik untuk dipilih: perkakasan, perisian atau awan.
Teks itu disediakan oleh pekerja penyedia awan #CloudMTS: Denis Myagkov, arkitek terkemuka dan Alexey Afanasyev, pengurus pembangunan produk keselamatan maklumat.
Sumber: www.habr.com