Aktar u aktar utenti qed iġibu l-infrastruttura tal-IT kollha tagħhom fil-cloud pubbliku. Madankollu, jekk il-kontroll kontra l-virus ma jkunx biżżejjed fl-infrastruttura tal-klijent, jinqalgħu riskji ċibernetiċi serji. Il-prattika turi li sa 80% tal-viruses eżistenti jgħixu perfettament f'ambjent virtwali. F'din il-post se nitkellmu dwar kif nipproteġu r-riżorsi tal-IT fil-cloud pubbliku u għaliex l-antiviruses tradizzjonali mhumiex adattati għal kollox għal dawn l-għanijiet.
L-ewwel nett, aħna ngħidulek kif wasalna għall-idea li l-għodod tas-soltu ta 'protezzjoni kontra l-virus mhumiex adattati għall-cloud pubbliku u li approċċi oħra għall-protezzjoni tar-riżorsi huma meħtieġa.
L-ewwel, il-fornituri ġeneralment jipprovdu l-miżuri meħtieġa biex jiżguraw li l-pjattaformi tal-cloud tagħhom ikunu protetti f'livell għoli. Pereżempju, f'#CloudMTS aħna nanalizzaw it-traffiku kollu tan-netwerk, nissorveljaw ir-reġistri tas-sistemi tas-sigurtà tal-cloud tagħna, u regolarment nagħmlu pentests. Is-segmenti tal-cloud allokati lill-klijenti individwali għandhom ukoll ikunu protetti b'mod sigur.
It-tieni nett, l-għażla klassika għall-ġlieda kontra r-riskji ċibernetiċi tinvolvi l-installazzjoni ta 'antivirus u għodod ta' ġestjoni antivirus fuq kull magna virtwali. Madankollu, b'numru kbir ta 'magni virtwali, din il-prattika tista' tkun ineffettiva u teħtieġ ammonti sinifikanti ta 'riżorsi tal-kompjuter, u b'hekk tkompli tgħabbi l-infrastruttura tal-klijent u tnaqqas il-prestazzjoni ġenerali tas-sħab. Dan sar prerekwiżit ewlieni għat-tiftix għal approċċi ġodda għall-bini ta 'protezzjoni effettiva kontra l-virus għall-magni virtwali tal-klijenti.
Barra minn hekk, il-biċċa l-kbira tas-soluzzjonijiet antivirus fis-suq mhumiex adattati biex isolvu l-problemi tal-protezzjoni tar-riżorsi tal-IT f'ambjent ta 'cloud pubbliku. Bħala regola, huma soluzzjonijiet EPP heavyweight (Pjattaformi ta 'Protezzjoni ta' Endpoint), li, barra minn hekk, ma jipprovdux l-adattament meħtieġ fuq in-naħa tal-klijent tal-fornitur tal-cloud.
Jidher ovvju li s-soluzzjonijiet antivirus tradizzjonali mhumiex adattati ħażin għax-xogħol fil-cloud, peress li jgħabbu serjament l-infrastruttura virtwali waqt aġġornamenti u skans, u lanqas m'għandhomx il-livelli meħtieġa ta 'ġestjoni u settings ibbażati fuq ir-rwoli. Sussegwentement, se nanalizzaw fid-dettall għaliex is-sħaba teħtieġ approċċi ġodda għall-protezzjoni kontra l-virus.
X'għandu jkun kapaċi jagħmel antivirus f'sħaba pubblika
Allura, ejja nagħtu attenzjoni għall-ispeċifiċitajiet ta 'xogħol f'ambjent virtwali:
Effiċjenza ta 'aġġornamenti u skans tal-massa skedati. Jekk numru sinifikanti ta 'magni virtwali li jużaw antivirus tradizzjonali jibdew aġġornament fl-istess ħin, l-hekk imsejħa "maltempata" ta' aġġornamenti se sseħħ fis-sħab. Il-qawwa ta 'host ESXi li jospita diversi magni virtwali tista' ma tkunx biżżejjed biex timmaniġġja l-barrage ta 'kompiti simili li jaħdmu b'mod awtomatiku. Mill-perspettiva tal-fornitur tas-sħab, problema bħal din tista 'twassal għal tagħbijiet addizzjonali fuq numru ta' hosts ESXi, li fl-aħħar mill-aħħar iwassal għal tnaqqis fil-prestazzjoni tal-infrastruttura virtwali tas-sħab. Dan jista', fost affarijiet oħra, jaffettwa l-prestazzjoni ta' magni virtwali ta' klijenti cloud oħra. Sitwazzjoni simili tista 'tqum meta tniedi skan tal-massa: l-ipproċessar simultanju mis-sistema tad-disk ta' ħafna talbiet simili minn utenti differenti jaffettwaw b'mod negattiv il-prestazzjoni tas-sħaba kollha. Bi grad għoli ta 'probabbiltà, tnaqqis fil-prestazzjoni tas-sistema tal-ħażna jaffettwa lill-klijenti kollha. Tagħbijiet f'daqqa bħal dawn ma jogħġbux la lill-fornitur u lanqas lill-klijenti tiegħu, peress li jaffettwaw lill-"ġirien" fis-sħaba. Minn dan il-lat, antivirus tradizzjonali jista 'joħloq problema kbira.
Kwarantina sigura. Jekk fis-sistema jinstab fajl jew dokument potenzjalment infettat b'virus, jintbagħat għall-kwarantina. Naturalment, fajl infettat jista 'jitħassar immedjatament, iżda ħafna drabi dan mhux aċċettabbli għal ħafna kumpaniji. Antiviruses ta 'intrapriżi korporattivi li mhumiex adattati biex jaħdmu fis-sħab tal-fornitur, bħala regola, għandhom żona ta' kwarantina komuni - l-oġġetti kollha infettati jaqgħu fiha. Pereżempju, dawk misjuba fuq il-kompjuters tal-utenti tal-kumpanija. Klijenti tal-fornitur tal-cloud "jgħixu" fis-segmenti tagħhom stess (jew kerrejja). Dawn is-segmenti huma opaki u iżolati: il-klijenti ma jafux dwar xulxin u, ovvjament, ma jarawx dak li oħrajn qed jospitaw fis-sħab. Ovvjament, il-kwarantina ġenerali, li se tkun aċċessata mill-utenti kollha tal-antivirus fil-cloud, tista' potenzjalment tinkludi dokument li jkun fih informazzjoni kunfidenzjali jew sigriet kummerċjali. Dan huwa inaċċettabbli għall-fornitur u l-klijenti tiegħu. Għalhekk, jista 'jkun hemm biss soluzzjoni waħda - kwarantina personali għal kull klijent fis-segment tiegħu, fejn la l-fornitur u lanqas klijenti oħra ma jkollhom aċċess.
Politika ta' sigurtà individwali. Kull klijent fil-cloud huwa kumpanija separata, li d-dipartiment tal-IT tagħha jistabbilixxi l-politiki tas-sigurtà tiegħu stess. Pereżempju, l-amministraturi jiddefinixxu r-regoli tal-iskannjar u jiskedaw skans kontra l-virus. Għaldaqstant, kull organizzazzjoni għandu jkollha ċ-ċentru ta 'kontroll tagħha stess biex tikkonfigura l-politiki antivirus. Fl-istess ħin, is-settings speċifikati m'għandhomx jaffettwaw klijenti oħra tas-sħab, u l-fornitur għandu jkun jista 'jivverifika li, pereżempju, l-aġġornamenti tal-antivirus jitwettqu b'mod normali għall-magni virtwali kollha tal-klijenti.
Organizzazzjoni ta' kontijiet u liċenzjar. Il-mudell tal-cloud huwa kkaratterizzat minn flessibilità u jinvolvi l-ħlas biss għall-ammont ta 'riżorsi tal-IT li ntużaw mill-klijent. Jekk ikun hemm bżonn, pereżempju, minħabba l-istaġjonalità, allura l-ammont ta 'riżorsi jista' jiżdied jew jitnaqqas malajr - kollha bbażati fuq il-ħtiġijiet attwali għall-qawwa tal-kompjuter. L-antivirus tradizzjonali mhuwiex daqshekk flessibbli - bħala regola, il-klijent jixtri liċenzja għal sena għal numru predeterminat ta 'servers jew stazzjonijiet tax-xogħol. L-utenti tal-cloud jiskonnettjaw u jgħaqqdu regolarment magni virtwali addizzjonali skont il-ħtiġijiet attwali tagħhom - għaldaqstant, il-liċenzji tal-antivirus għandhom jappoġġjaw l-istess mudell.
It-tieni mistoqsija hija x'se tkopri eżattament il-liċenzja. L-antivirus tradizzjonali huwa liċenzjat min-numru ta 'servers jew stazzjonijiet tax-xogħol. Liċenzji bbażati fuq in-numru ta' magni virtwali protetti mhumiex adattati għal kollox fil-mudell tal-cloud. Il-klijent jista 'joħloq kwalunkwe numru ta' magni virtwali konvenjenti għalih mir-riżorsi disponibbli, pereżempju, ħames jew għaxar magni. Dan in-numru mhuwiex kostanti għall-biċċa l-kbira tal-klijenti; mhuwiex possibbli għalina, bħala fornitur, li nsegwu l-bidliet tiegħu. M'hemm l-ebda possibbiltà teknika li tingħata liċenzja minn CPU: il-klijenti jirċievu proċessuri virtwali (vCPUs), li għandhom jintużaw għal-liċenzjar. Għalhekk, il-mudell il-ġdid ta 'protezzjoni kontra l-virus għandu jinkludi l-abbiltà għall-klijent li jiddetermina n-numru meħtieġ ta' vCPUs li għalihom se jirċievi liċenzji kontra l-virus.
Konformità mal-leġislazzjoni. Punt importanti, peress li s-soluzzjonijiet użati għandhom jiżguraw konformità mar-rekwiżiti tar-regolatur. Pereżempju, "residenti" tas-sħab ħafna drabi jaħdmu b'dejta personali. F'dan il-każ, il-fornitur irid ikollu segment tal-cloud ċertifikat separat li jikkonforma bis-sħiħ mar-rekwiżiti tal-Liġi tad-Dejta Personali. Imbagħad il-kumpaniji m'għandhomx għalfejn "jibnu" b'mod indipendenti s-sistema kollha biex jaħdmu b'dejta personali: jixtru tagħmir iċċertifikat, qabbadh u kkonfigurawh, u jgħaddu minn ċertifikazzjoni. Għall-protezzjoni ċibernetika tal-ISPD ta 'tali klijenti, l-antivirus għandu wkoll jikkonforma mar-rekwiżiti tal-leġiżlazzjoni Russa u jkollu ċertifikat FSTEC.
Ħarsa lejn il-kriterji obbligatorji li għandha tissodisfa l-protezzjoni antivirus fil-cloud pubbliku. Sussegwentement, se naqsmu l-esperjenza tagħna stess fl-adattament ta’ soluzzjoni antivirus biex taħdem fil-cloud tal-fornitur.
Kif tista' tagħmel ħbieb bejn antivirus u cloud?
Kif wriet l-esperjenza tagħna, l-għażla ta’ soluzzjoni bbażata fuq id-deskrizzjoni u d-dokumentazzjoni hija ħaġa waħda, iżda l-implimentazzjoni tagħha fil-prattika f’ambjent cloud li diġà qed jaħdem hija kompitu kompletament differenti f’termini ta’ kumplessità. Aħna ngħidulek x'għamilna fil-prattika u kif adattajna l-antivirus biex jaħdem fil-cloud pubbliku tal-fornitur. Il-bejjiegħ tas-soluzzjoni kontra l-virus kien Kaspersky, li l-portafoll tiegħu jinkludi soluzzjonijiet ta 'protezzjoni kontra l-virus għal ambjenti cloud. Aħna stabbilixxew fuq "Kaspersky Security for Virtualization" (Aġent tad-Dawl).
Jinkludi console waħda taċ-Ċentru tas-Sigurtà Kaspersky. Aġent ħafif u magni virtwali tas-sigurtà (SVM, Security Virtual Machine) u server ta 'integrazzjoni KSC.
Wara li studjajna l-arkitettura tas-soluzzjoni Kaspersky u wettaqna l-ewwel testijiet flimkien mal-inġiniera tal-bejjiegħ, qamet il-mistoqsija dwar l-integrazzjoni tas-servizz fil-cloud. L-ewwel implimentazzjoni twettqet b'mod konġunt fis-sit tas-sħab ta 'Moska. U hekk irrealizzajna.
Sabiex jiġi minimizzat it-traffiku tan-netwerk, ġie deċiż li jitqiegħed SVM fuq kull host ESXi u "torbot" l-SVM mal-hosts ESXi. F'dan il-każ, aġenti ħfief ta 'magni virtwali protetti jaċċessaw l-SVM tal-host ESXi eżatt li fuqu jkunu qed jaħdmu. Intgħażel kerrej amministrattiv separat għall-KSC prinċipali. Bħala riżultat, KSCs subordinati jinsabu fil-kerrejja ta 'kull klijent individwali u jindirizzaw il-KSC superjuri li jinsabu fis-segment tal-ġestjoni. Din l-iskema tippermettilek issolvi malajr il-problemi li jinqalgħu fil-kerrejja tal-klijenti.
Minbarra l-kwistjonijiet li jgħollu l-komponenti tas-soluzzjoni anti-virus innifsu, konna ffaċċjati bil-kompitu li norganizzaw l-interazzjoni tan-netwerk permezz tal-ħolqien ta 'VxLANs addizzjonali. U għalkemm is-soluzzjoni kienet oriġinarjament maħsuba għal klijenti ta 'intrapriżi bi sħab privati, bl-għajnuna ta' l-inġinerija sofistikata u l-flessibbiltà teknoloġika ta 'NSX Edge stajna nsolvu l-problemi kollha assoċjati mas-separazzjoni tal-kerrejja u l-liċenzjar.
Ħdimna mill-qrib mal-inġiniera ta’ Kaspersky. Għalhekk, fil-proċess ta 'analiżi tal-arkitettura tas-soluzzjoni f'termini ta' interazzjoni tan-netwerk bejn il-komponenti tas-sistema, instab li, minbarra l-aċċess minn aġenti ħfief għal SVM, feedback huwa meħtieġ ukoll - minn SVM għal aġenti ħfief. Din il-konnettività tan-netwerk mhix possibbli f'ambjent b'ħafna kerrejja minħabba l-possibbiltà ta 'settings identiċi tan-netwerk ta' magni virtwali f'kerrejja tas-sħab differenti. Għalhekk, fuq talba tagħna, kollegi mill-bejjiegħ ħadmu mill-ġdid il-mekkaniżmu ta 'interazzjoni tan-netwerk bejn l-aġent tad-dawl u SVM f'termini ta' eliminazzjoni tal-ħtieġa għal konnettività tan-netwerk minn SVM għal aġenti ħfief.
Wara li s-soluzzjoni ġiet skjerata u ttestjata fuq is-sit tas-sħab ta 'Moska, irreplikajna f'siti oħra, inkluż is-segment tas-sħab iċċertifikat. Is-servizz issa huwa disponibbli fir-reġjuni kollha tal-pajjiż.
Arkitettura ta' soluzzjoni ta' sigurtà tal-informazzjoni fil-qafas ta' approċċ ġdid
L-iskema ġenerali ta’ tħaddim ta’ soluzzjoni antivirus f’ambjent ta’ cloud pubbliku hija kif ġej:
Skema ta' tħaddim ta' soluzzjoni antivirus f'ambjent ta' cloud pubbliku #CloudMTS
Ejja niddeskrivu l-karatteristiċi tal-operat tal-elementi individwali tas-soluzzjoni fis-sħaba:
• Console waħda li tippermetti lill-klijenti jimmaniġġjaw is-sistema ta 'protezzjoni b'mod ċentrali: imexxu skans, jikkontrollaw aġġornamenti u jimmonitorjaw iż-żoni ta' kwarantina. Huwa possibbli li jiġu kkonfigurati politiki ta' sigurtà individwali fis-segment tiegħek.
Ta’ min jinnota li għalkemm aħna fornitur tas-servizz, aħna ma ninterferixxux mas-settings stabbiliti mill-klijenti. L-unika ħaġa li nistgħu nagħmlu hija reset il-politiki tas-sigurtà għal dawk standard jekk tkun meħtieġa rikonfigurazzjoni. Per eżempju, dan jista 'jkun meħtieġ jekk il-klijent aċċidentalment issikkahom jew idgħajjefhom b'mod sinifikanti. Kumpanija tista 'dejjem tirċievi ċentru ta' kontroll b'politiki default, li mbagħad tista 'tikkonfigura b'mod indipendenti. L-iżvantaġġ ta 'Kaspersky Security Center huwa li l-pjattaforma bħalissa hija disponibbli biss għas-sistema operattiva Microsoft. Għalkemm l-aġenti ħfief jistgħu jaħdmu kemm mal-magni Windows u Linux. Madankollu, Kaspersky Lab iwiegħed li fil-futur qarib KSC se jaħdem taħt Linux OS. Waħda mill-funzjonijiet importanti tal-KSC hija l-abbiltà li timmaniġġja l-kwarantina. Kull kumpanija klijent fis-sħab tagħna għandha waħda personali. Dan l-approċċ jelimina sitwazzjonijiet fejn dokument infettat b'virus aċċidentalment isir viżibbli pubblikament, kif jista 'jiġri fil-każ ta' antivirus korporattiv klassiku bi kwarantina ġenerali.
• Aġenti ħfief. Bħala parti mill-mudell il-ġdid, aġent ħafif Kaspersky Security huwa installat fuq kull magna virtwali. Dan jelimina l-ħtieġa li tinħażen id-database kontra l-virus fuq kull VM, li jnaqqas l-ammont ta 'spazju disk meħtieġ. Is-servizz huwa integrat mal-infrastruttura tal-cloud u jaħdem permezz tal-SVM, li jżid id-densità tal-magni virtwali fuq il-host ESXi u l-prestazzjoni tas-sistema sħiħa tal-cloud. L-aġent tad-dawl jibni kju ta 'kompiti għal kull magna virtwali: iċċekkja s-sistema tal-fajls, il-memorja, eċċ. Iżda l-SVM huwa responsabbli biex iwettaq dawn l-operazzjonijiet, li nitkellmu dwarhom aktar tard. L-aġent jiffunzjona wkoll bħala firewall, jikkontrolla l-politiki tas-sigurtà, jibgħat fajls infettati għall-kwarantina u jimmonitorja s-"saħħa" ġenerali tas-sistema operattiva li fuqha tkun installata. Dan kollu jista 'jiġi ġestit bl-użu tal-console wieħed diġà msemmi.
• Magni Virtwali tas-Sigurtà. Il-kompiti kollha li jużaw ħafna riżorsi (aġġornamenti tad-databases kontra l-virus, skans skedati) huma ttrattati minn Magni Virtwali tas-Sigurtà (SVM) separata. Hija responsabbli għat-tħaddim ta 'magna sħiħa kontra l-virus u databases għaliha. L-infrastruttura tal-IT ta' kumpanija tista' tinkludi diversi SVMs. Dan l-approċċ iżid l-affidabbiltà tas-sistema - jekk magna waħda tfalli u ma tirrispondix għal tletin sekonda, l-aġenti awtomatikament jibdew ifittxu oħra.
• Server ta' integrazzjoni KSC. Wieħed mill-komponenti tal-KSC prinċipali, li jassenja l-SVMs tiegħu lil aġenti ħfief skont l-algoritmu speċifikat fis-settings tiegħu, u jikkontrolla wkoll id-disponibbiltà tal-SVMs. Għalhekk, dan il-modulu tas-softwer jipprovdi ibbilanċjar tat-tagħbija fl-SVMs kollha tal-infrastruttura tal-cloud.
Algoritmu għax-xogħol fil-cloud: tnaqqis tat-tagħbija fuq l-infrastruttura
B'mod ġenerali, l-algoritmu antivirus jista 'jiġi rappreżentat kif ġej. L-aġent jaċċessa l-fajl fuq il-magna virtwali u jiċċekkjah. Ir-riżultat tal-verifika huwa maħżun f'database ta 'verdetti SVM ċentralizzata komuni (imsejħa Shared Cache), kull entrata li fiha tidentifika kampjun ta' fajl uniku. Dan l-approċċ jippermettilek li tiżgura li l-istess fajl ma jiġix skannjat diversi drabi wara xulxin (per eżempju, jekk infetaħ fuq magni virtwali differenti). Il-fajl jiġi skannjat mill-ġdid biss jekk ikunu sarulu bidliet jew l-iskann ikun inbeda manwalment.
Implimentazzjoni ta' soluzzjoni antivirus fil-cloud tal-fornitur
L-immaġni turi dijagramma ġenerali tal-implimentazzjoni tas-soluzzjoni fil-cloud. Iċ-Ċentru tas-Sigurtà Kaspersky prinċipali huwa skjerat fiż-żona ta 'kontroll tas-sħaba, u SVM individwali huwa skjerat fuq kull host ESXi bl-użu tas-server ta' integrazzjoni KSC (kull host ESXi għandu SVM tiegħu stess mehmuż b'settings speċjali fuq VMware vCenter Server). Il-klijenti jaħdmu fis-segmenti tas-sħab tagħhom stess, fejn jinsabu magni virtwali bl-aġenti. Huma ġestiti permezz ta' servers individwali tal-KSC subordinati għall-KSC prinċipali. Jekk ikun meħtieġ li jiġi protett numru żgħir ta 'magni virtwali (sa 5), il-klijent jista' jiġi pprovdut b'aċċess għall-console virtwali ta 'server KSC dedikat speċjali. L-interazzjoni tan-netwerk bejn il-KSCs tal-klijenti u l-KSC prinċipali, kif ukoll l-aġenti ħfief u l-SVMs, titwettaq bl-użu ta 'NAT permezz ta' routers virtwali tal-klijenti EdgeGW.
Skont l-istimi tagħna u r-riżultati tat-testijiet tal-kollegi fil-bejjiegħ, Light Agent inaqqas it-tagħbija fuq l-infrastruttura virtwali tal-klijenti b'madwar 25% (meta mqabbel ma 'sistema li tuża softwer kontra l-virus tradizzjonali). B'mod partikolari, l-antivirus standard ta' Kaspersky Endpoint Security (KES) għal ambjenti fiżiċi jikkonsma kważi d-doppju tal-ħin tas-CPU tas-server (2,95%) minn soluzzjoni ta' virtwalizzazzjoni ħafifa bbażata fuq l-aġent (1,67%).
Ċart ta 'tqabbil tat-tagħbija tas-CPU
Sitwazzjoni simili hija osservata bil-frekwenza tal-aċċessi tal-kitba tad-disk: għal antivirus klassiku huwa 1011 IOPS, għal antivirus cloud huwa 671 IOPS.
Graff tal-paragun tar-rata ta' aċċess għad-disk
Il-benefiċċju tal-prestazzjoni jippermettilek iżżomm l-istabbiltà tal-infrastruttura u tuża l-qawwa tal-kompjuter b'mod aktar effiċjenti. Billi tadatta biex taħdem f'ambjent ta 'sħab pubbliku, is-soluzzjoni ma tnaqqasx il-prestazzjoni tas-sħab: tiċċekkja ċentralment il-fajls u tniżżel aġġornamenti, u tqassam it-tagħbija. Dan ifisser li, minn naħa waħda, theddid rilevanti għall-infrastruttura tal-cloud mhux se jintilef, min-naħa l-oħra, ir-rekwiżiti tar-riżorsi għall-magni virtwali se jitnaqqsu b'medja ta '25% meta mqabbla ma' antivirus tradizzjonali.
F'termini ta 'funzjonalità, iż-żewġ soluzzjonijiet huma simili ħafna għal xulxin: hawn taħt hija tabella ta' tqabbil. Madankollu, fis-sħab, kif juru r-riżultati tat-test hawn fuq, xorta huwa ottimali li tintuża soluzzjoni għal ambjenti virtwali.
Dwar it-tariffi fil-qafas tal-approċċ il-ġdid. Iddeċidejna li nużaw mudell li jippermettilna niksbu liċenzji bbażati fuq in-numru ta 'vCPUs. Dan ifisser li n-numru ta 'liċenzji se jkun ugwali għan-numru ta' vCPUs. Tista' tittestja l-antivirus tiegħek billi tħalli talba .
Fl-artiklu li jmiss dwar suġġetti tas-sħab, se nitkellmu dwar l-evoluzzjoni tal-WAFs tas-sħab u x'inhu aħjar li tagħżel: ħardwer, softwer jew sħab.
It-test tħejja minn impjegati tal-fornitur tal-cloud #CloudMTS: Denis Myagkov, perit ewlieni u Alexey Afanasyev, maniġer tal-iżvilupp tal-prodott tas-sigurtà tal-informazzjoni.
Sors: www.habr.com