Cada vez mais usuários estão trazendo toda a sua infraestrutura de TI para a nuvem pública. No entanto, se o controlo antivírus for insuficiente na infraestrutura do cliente, surgem sérios riscos cibernéticos. A prática mostra que até 80% dos vírus existentes vivem perfeitamente em um ambiente virtual. Neste post falaremos sobre como proteger os recursos de TI na nuvem pública e por que os antivírus tradicionais não são totalmente adequados para esses fins.
Para começar, contaremos como chegamos à ideia de que as ferramentas usuais de proteção antivírus não são adequadas para a nuvem pública e que outras abordagens para proteger os recursos são necessárias.
Em primeiro lugar, os fornecedores geralmente fornecem as medidas necessárias para garantir que as suas plataformas em nuvem são protegidas a um nível elevado. Por exemplo, na #CloudMTS analisamos todo o tráfego de rede, monitoramos logs dos sistemas de segurança da nossa nuvem e realizamos testes de invasão regularmente. Os segmentos de nuvem alocados para clientes individuais também devem ser protegidos com segurança.
Em segundo lugar, a opção clássica de combate aos riscos cibernéticos envolve a instalação de antivírus e ferramentas de gerenciamento de antivírus em cada máquina virtual. No entanto, com um grande número de máquinas virtuais, esta prática pode ser ineficaz e exigir quantidades significativas de recursos computacionais, carregando ainda mais a infraestrutura do cliente e reduzindo o desempenho geral da nuvem. Isso se tornou um pré-requisito fundamental para a busca de novas abordagens para a criação de uma proteção antivírus eficaz para as máquinas virtuais dos clientes.
Além disso, a maioria das soluções antivírus do mercado não estão adaptadas para resolver os problemas de proteção dos recursos de TI num ambiente de nuvem pública. Via de regra, são soluções EPP (Endpoint Protection Platforms) pesadas, que, além disso, não oferecem a customização necessária do lado do cliente do provedor de nuvem.
Torna-se óbvio que as soluções antivírus tradicionais não são adequadas para trabalhar na nuvem, pois carregam seriamente a infraestrutura virtual durante atualizações e verificações e também não possuem os níveis necessários de gerenciamento e configurações baseadas em funções. A seguir, analisaremos detalhadamente por que a nuvem precisa de novas abordagens para proteção antivírus.
O que um antivírus em uma nuvem pública deve ser capaz de fazer
Então, vamos prestar atenção nas especificidades de trabalhar em um ambiente virtual:
Eficiência de atualizações e verificações em massa programadas. Se um número significativo de máquinas virtuais que utilizam um antivírus tradicional iniciar uma atualização ao mesmo tempo, ocorrerá uma chamada “tempestade” de atualizações na nuvem. O poder de um host ESXi que hospeda diversas máquinas virtuais pode não ser suficiente para lidar com a enxurrada de tarefas semelhantes executadas por padrão. Do ponto de vista do provedor de nuvem, tal problema pode levar a cargas adicionais em vários hosts ESXi, o que acabará por levar a uma queda no desempenho da infraestrutura virtual em nuvem. Isto pode, entre outras coisas, afetar o desempenho de máquinas virtuais de outros clientes em nuvem. Uma situação semelhante pode surgir ao iniciar uma varredura em massa: o processamento simultâneo pelo sistema de disco de muitas solicitações semelhantes de diferentes usuários afetará negativamente o desempenho de toda a nuvem. Com um alto grau de probabilidade, uma diminuição no desempenho do sistema de armazenamento afetará todos os clientes. Essas cargas abruptas não agradam nem ao provedor nem aos seus clientes, pois afetam os “vizinhos” na nuvem. Deste ponto de vista, os antivírus tradicionais podem representar um grande problema.
Quarentena segura. Se um arquivo ou documento potencialmente infectado por vírus for detectado no sistema, ele será enviado para quarentena. É claro que um arquivo infectado pode ser excluído imediatamente, mas isso geralmente não é aceitável para a maioria das empresas. Os antivírus corporativos que não estão adaptados para funcionar na nuvem do provedor, via de regra, possuem uma zona de quarentena comum - todos os objetos infectados entram nela. Por exemplo, aqueles encontrados nos computadores dos usuários da empresa. Os clientes do provedor de nuvem “vivem” em seus próprios segmentos (ou locatários). Esses segmentos são opacos e isolados: os clientes não se conhecem e, claro, não veem o que os outros estão hospedando na nuvem. Obviamente, a quarentena geral, que será acessada por todos os usuários de antivírus na nuvem, poderá incluir um documento contendo informações confidenciais ou um segredo comercial. Isto é inaceitável para o fornecedor e seus clientes. Portanto, só pode haver uma solução - quarentena pessoal para cada cliente do seu segmento, onde nem o prestador nem outros clientes têm acesso.
Políticas de segurança individuais. Cada cliente na nuvem é uma empresa separada, cujo departamento de TI define as suas próprias políticas de segurança. Por exemplo, os administradores definem regras de verificação e agendam verificações antivírus. Dessa forma, cada organização deve ter seu próprio centro de controle para configurar políticas antivírus. Ao mesmo tempo, as configurações especificadas não devem afetar outros clientes em nuvem, e o provedor deve ser capaz de verificar se, por exemplo, as atualizações de antivírus são realizadas normalmente para todas as máquinas virtuais dos clientes.
Organização de faturamento e licenciamento. O modelo de nuvem é caracterizado pela flexibilidade e envolve pagar apenas pela quantidade de recursos de TI que foram utilizados pelo cliente. Se houver necessidade, por exemplo, devido à sazonalidade, a quantidade de recursos pode ser rapidamente aumentada ou reduzida - tudo com base nas necessidades atuais de poder computacional. O antivírus tradicional não é tão flexível - via de regra, o cliente compra uma licença anual para um número predeterminado de servidores ou estações de trabalho. Os usuários da nuvem desconectam e conectam regularmente máquinas virtuais adicionais, dependendo de suas necessidades atuais – portanto, as licenças de antivírus devem suportar o mesmo modelo.
A segunda questão é o que exatamente a licença cobrirá. O antivírus tradicional é licenciado pelo número de servidores ou estações de trabalho. Licenças baseadas no número de máquinas virtuais protegidas não são totalmente adequadas ao modelo de nuvem. O cliente pode criar qualquer número de máquinas virtuais que lhe seja conveniente a partir dos recursos disponíveis, por exemplo, cinco ou dez máquinas. Este número não é constante para a maioria dos clientes; não é possível para nós, como fornecedores, acompanhar suas alterações. Não há possibilidade técnica de licenciamento por CPU: os clientes recebem processadores virtuais (vCPUs), que deverão ser utilizados para licenciamento. Assim, o novo modelo de proteção antivírus deve incluir a capacidade do cliente determinar o número necessário de vCPUs para as quais receberá licenças antivírus.
Cumprimento da legislação. Um ponto importante, uma vez que as soluções utilizadas devem garantir o cumprimento dos requisitos do regulador. Por exemplo, os “residentes” da nuvem muitas vezes trabalham com dados pessoais. Neste caso, o fornecedor deve ter um segmento de nuvem certificado separado que cumpra integralmente os requisitos da Lei de Dados Pessoais. Assim, as empresas não precisam “construir” de forma independente todo o sistema para trabalhar com dados pessoais: adquirir equipamentos certificados, conectá-los e configurá-los e passar pela certificação. Para proteção cibernética do ISPD desses clientes, o antivírus também deve atender aos requisitos da legislação russa e possuir certificado FSTEC.
Analisamos os critérios obrigatórios que a proteção antivírus na nuvem pública deve atender. A seguir, compartilharemos nossa própria experiência na adaptação de uma solução antivírus para funcionar na nuvem do provedor.
Como você pode fazer amizade entre antivírus e nuvem?
Como a nossa experiência tem demonstrado, escolher uma solução com base na descrição e documentação é uma coisa, mas implementá-la na prática num ambiente de nuvem já funcional é uma tarefa completamente diferente em termos de complexidade. Contaremos o que fizemos na prática e como adaptamos o antivírus para funcionar na nuvem pública do provedor. O fornecedor da solução antivírus foi a Kaspersky, cujo portfólio inclui soluções de proteção antivírus para ambientes em nuvem. Decidimos por “Kaspersky Security for Virtualization” (Light Agent).
Inclui um único console do Kaspersky Security Center. Agente leve e máquinas virtuais de segurança (SVM, Security Virtual Machine) e servidor de integração KSC.
Depois de estudarmos a arquitetura da solução Kaspersky e realizarmos os primeiros testes junto com os engenheiros do fornecedor, surgiu a questão sobre a integração do serviço na nuvem. A primeira implementação foi realizada em conjunto no site da nuvem em Moscou. E foi isso que percebemos.
Para minimizar o tráfego de rede, foi decidido colocar um SVM em cada host ESXi e “vincular” o SVM aos hosts ESXi. Nesse caso, os agentes leves de máquinas virtuais protegidas acessam o SVM do host ESXi exato no qual estão sendo executados. Um inquilino administrativo separado foi selecionado para o KSC principal. Como resultado, os KSCs subordinados estão localizados nos locatários de cada cliente individual e se dirigem ao KSC superior localizado no segmento de gestão. Este esquema permite resolver rapidamente os problemas que surgem nos inquilinos dos clientes.
Além dos problemas com o levantamento dos componentes da própria solução antivírus, nos deparamos com a tarefa de organizar a interação de rede por meio da criação de VxLANs adicionais. E embora a solução tenha sido originalmente destinada a clientes empresariais com nuvens privadas, com a ajuda do conhecimento de engenharia e da flexibilidade tecnológica do NSX Edge, conseguimos resolver todos os problemas associados à separação de locatários e ao licenciamento.
Trabalhamos em estreita colaboração com os engenheiros da Kaspersky. Assim, no processo de análise da arquitetura da solução em termos de interação de rede entre componentes do sistema, constatou-se que, além do acesso dos agentes leves ao SVM, também é necessário feedback - do SVM aos agentes leves. Esta conectividade de rede não é possível num ambiente multitenant devido à possibilidade de configurações de rede idênticas de máquinas virtuais em diferentes locatários da nuvem. Portanto, a nosso pedido, colegas do fornecedor reformularam o mecanismo de interação de rede entre o agente light e o SVM em termos de eliminar a necessidade de conectividade de rede do SVM para os agentes light.
Depois que a solução foi implantada e testada no site de nuvem de Moscou, nós a replicamos para outros sites, incluindo o segmento de nuvem certificada. O serviço já está disponível em todas as regiões do país.
Arquitetura de uma solução de segurança da informação no âmbito de uma nova abordagem
O esquema geral de operação de uma solução antivírus em ambiente de nuvem pública é o seguinte:
Esquema de operação de uma solução antivírus em ambiente de nuvem pública #CloudMTS
Descreveremos os recursos de operação de elementos individuais da solução na nuvem:
• Um único console que permite aos clientes gerenciar centralmente o sistema de proteção: executar verificações, controlar atualizações e monitorar zonas de quarentena. É possível configurar políticas de segurança individuais dentro do seu segmento.
De referir que embora sejamos um prestador de serviços, não interferimos nas configurações definidas pelos clientes. A única coisa que podemos fazer é redefinir as políticas de segurança para as políticas padrão se a reconfiguração for necessária. Por exemplo, isso pode ser necessário se o cliente acidentalmente os apertou ou os enfraqueceu significativamente. Uma empresa sempre pode receber um centro de controle com políticas padrão, que pode então configurar de forma independente. A desvantagem do Kaspersky Security Center é que atualmente a plataforma está disponível apenas para o sistema operacional Microsoft. Embora os agentes leves possam funcionar com máquinas Windows e Linux. No entanto, a Kaspersky Lab promete que num futuro próximo o KSC funcionará no sistema operacional Linux. Uma das funções importantes do KSC é a capacidade de gerenciar a quarentena. Cada empresa cliente em nossa nuvem possui uma empresa pessoal. Esta abordagem elimina situações em que um documento infectado por um vírus se torna acidentalmente visível publicamente, como poderia acontecer no caso de um antivírus corporativo clássico com quarentena geral.
• Agentes leves. Como parte do novo modelo, um agente leve do Kaspersky Security é instalado em cada máquina virtual. Isso elimina a necessidade de armazenar o banco de dados antivírus em cada VM, o que reduz a quantidade de espaço em disco necessária. O serviço é integrado à infraestrutura em nuvem e funciona por meio de SVM, o que aumenta a densidade das máquinas virtuais no host ESXi e o desempenho de todo o sistema em nuvem. O agente light cria uma fila de tarefas para cada máquina virtual: verificar o sistema de arquivos, memória, etc. Mas o SVM é responsável por realizar essas operações, das quais falaremos mais tarde. O agente também funciona como firewall, controla políticas de segurança, envia arquivos infectados para quarentena e monitora a “saúde” geral do sistema operacional no qual está instalado. Tudo isso pode ser gerenciado usando o já mencionado console único.
• Máquina Virtual de Segurança. Todas as tarefas que consomem muitos recursos (atualizações de banco de dados antivírus, verificações agendadas) são realizadas por uma Máquina Virtual de Segurança (SVM) separada. Ela é responsável pela operação de um mecanismo antivírus completo e de bancos de dados para ele. A infraestrutura de TI de uma empresa pode incluir vários SVMs. Essa abordagem aumenta a confiabilidade do sistema – se uma máquina falhar e não responder por trinta segundos, os agentes começarão automaticamente a procurar outra.
• Servidor de integração KSC. Um dos componentes do KSC principal, que atribui seus SVMs aos agentes leves de acordo com o algoritmo especificado em suas configurações, e também controla a disponibilidade dos SVMs. Assim, este módulo de software fornece balanceamento de carga em todos os SVMs da infraestrutura em nuvem.
Algoritmo para trabalhar na nuvem: reduzindo a carga na infraestrutura
Em geral, o algoritmo antivírus pode ser representado da seguinte forma. O agente acessa o arquivo na máquina virtual e o verifica. O resultado da verificação é armazenado em um banco de dados de veredictos SVM centralizado comum (chamado Cache Compartilhado), onde cada entrada identifica uma amostra de arquivo exclusiva. Essa abordagem permite garantir que o mesmo arquivo não seja verificado várias vezes seguidas (por exemplo, se tiver sido aberto em máquinas virtuais diferentes). O arquivo será verificado novamente somente se alterações tiverem sido feitas ou se a verificação tiver sido iniciada manualmente.
Implementação de solução antivírus na nuvem do provedor
A imagem mostra um diagrama geral da implementação da solução na nuvem. O Kaspersky Security Center principal é implantado na zona de controle da nuvem, e um SVM individual é implantado em cada host ESXi usando o servidor de integração KSC (cada host ESXi tem seu próprio SVM anexado com configurações especiais no VMware vCenter Server). Os clientes trabalham em seus próprios segmentos de nuvem, onde estão localizadas máquinas virtuais com agentes. Eles são gerenciados por meio de servidores KSC individuais subordinados ao KSC principal. Se for necessário proteger um pequeno número de máquinas virtuais (até 5), o cliente pode ter acesso ao console virtual de um servidor KSC dedicado especial. A interação de rede entre KSCs clientes e o KSC principal, bem como agentes leves e SVMs, é realizada usando NAT por meio de roteadores virtuais clientes EdgeGW.
De acordo com nossas estimativas e resultados de testes de colegas do fornecedor, o Light Agent reduz a carga na infraestrutura virtual dos clientes em aproximadamente 25% (quando comparado com um sistema que utiliza software antivírus tradicional). Em particular, o antivírus padrão Kaspersky Endpoint Security (KES) para ambientes físicos consome quase o dobro do tempo de CPU do servidor (2,95%) do que uma solução leve de virtualização baseada em agente (1,67%).
Gráfico de comparação de carga da CPU
Situação semelhante é observada com a frequência de acessos de gravação em disco: para um antivírus clássico é 1011 IOPS, para um antivírus em nuvem é 671 IOPS.
Gráfico de comparação da taxa de acesso ao disco
O benefício de desempenho permite manter a estabilidade da infraestrutura e usar o poder da computação com mais eficiência. Ao se adaptar para funcionar em ambiente de nuvem pública, a solução não reduz o desempenho da nuvem: ela verifica arquivos e baixa atualizações de forma centralizada, distribuindo a carga. Isto significa que, por um lado, as ameaças relevantes para a infraestrutura em nuvem não serão ignoradas, por outro lado, os requisitos de recursos para máquinas virtuais serão reduzidos em média 25% em comparação com um antivírus tradicional.
Em termos de funcionalidade, ambas as soluções são muito semelhantes: abaixo está uma tabela comparativa. No entanto, na nuvem, como mostram os resultados dos testes acima, ainda é ideal usar uma solução para ambientes virtuais.
Sobre tarifas no âmbito da nova abordagem. Decidimos utilizar um modelo que nos permite obter licenças com base na quantidade de vCPUs. Isso significa que o número de licenças será igual ao número de vCPUs. Você pode testar seu antivírus deixando uma solicitação .
No próximo artigo sobre temas de nuvem, falaremos sobre a evolução dos WAFs em nuvem e o que é melhor escolher: hardware, software ou nuvem.
O texto foi elaborado pelos funcionários do provedor de nuvem #CloudMTS: Denis Myagkov, arquiteto líder e Alexey Afanasyev, gerente de desenvolvimento de produtos de segurança da informação.
Fonte: habr.com