Și din nou despre protejarea infrastructurilor virtuale

În această postare, vom încerca să ne ghidăm cititorii din concepțiile greșite comune cu privire la securitatea serverelor virtuale și să ne spunem cum să le protejăm corect norii închiriați la sfârșitul anului 2019. Articolul este destinat în principal clienților noștri noi și potențiali, mai precis celor care tocmai au cumpărat sau doresc să cumpere servere virtuale RUVDS, dar nu sunt încă foarte versați în problemele de securitate cibernetică și funcționarea VPS. Sperăm că utilizatorii cunoscători îl vor găsi oarecum util.

Patru abordări greșite ale securității în cloud

Există păreri, destul de comune în rândul proprietarilor și managerilor de afaceri (le evidențiem cu caractere aldine), că asigurarea securității cibernetice a serviciilor cloud este fie a priori un lucru inutil, deoarece norii sunt siguri (1), sau aceasta este sarcina furnizorului de cloud: Am plătit pentru un VPS - ceea ce înseamnă că totul ar trebui să fie configurat, securizat și să funcționeze fără probleme (2). Există și o a treia opinie, comună atât specialiștilor în securitatea informațiilor, cât și oamenilor de afaceri: norii sunt periculosi! Niciun instrument de securitate cunoscut nu poate oferi o protecție adecvată pentru mediile virtuale (3) — liderii de afaceri cu această abordare abandonează tehnologiile cloud din cauza neîncrederii sau neînțelegerii cu privire la diferența dintre instrumentele de securitate tradiționale și specializate (mai multe despre acestea mai jos). A patra categorie de cetățeni consideră că da, ar trebui să vă protejați infrastructura cloud, deoarece există antivirusuri standard (4).

Toate aceste patru abordări sunt incorecte - pot aduce pierderi (cu excepția abordării de a nu folosi servere virtuale deloc, dar nici aici nu trebuie să neglijați postulatul de afaceri „pierderea de profit este și o pierdere”). Pentru a ilustra statisticile într-o oarecare măsură, iată un citat din raportul expertului în asistență pentru vânzări corporative Kaspersky Lab, Vladimir Ostroverkhov, pe care l-am publicat în vara lui 2017. La acel moment, Kaspersky a efectuat un sondaj în rândul a cinci mii de companii din 25 de țări - acestea sunt companii mari cu cel puțin o mie și jumătate de angajați. 75% dintre ei folosesc virtualizarea, dar nu investesc în securitate. Problema nu și-a pierdut actualitatea astăzi:

„Aproximativ jumătate dintre companiile [mari] nu folosesc nicio protecție pentru mașinile virtuale, iar cealaltă jumătate consideră că orice antivirus standard va fi suficient. Toate aceste companii [fiecare] cheltuiesc în medie aproape milioane de dolari [pe an] pentru recuperare după incidente: pentru investigare, pentru restaurarea sistemului, pentru compensarea costurilor, pentru compensarea pierderilor dintr-un singur hack... Care vor fi cheltuielile lor dacă se compromit? Pierderi directe pentru restaurare, înlocuire de echipamente, software... Pierderi indirecte - reputație... Pierderi pentru compensații pentru clienții lor, inclusiv reputație... Și, de asemenea, investigarea incidentelor, înlocuirea parțială a infrastructurii, pentru că deja s-a compromis, acestea sunt dialoguri cu guvernele, aceste dialoguri cu companiile de asigurări, dialoguri cu clienții care trebuie să plătească despăgubiri.”

De ce aceste abordări nu funcționează

Abordarea 1: Norii sunt siguri, nu trebuie protejați. Aproximativ 240 de mii de programe malware care apar zilnic trăiesc perfect în nori: de la codul simplu scris de un școlar și postat pe Internet (ceea ce înseamnă că poate deteriora datele) până la atacuri țintite complexe dezvoltate special pentru organizații, cazuri și situații specifice care sunt foarte buni nu doar să spargă și să fure date, ci și să se „ascundă”. Infrastructura virtuală este, de asemenea, interesantă pentru hackeri: este mult mai ușor să piratați și să obțineți acces la toate mașinile și datele dvs. virtuale simultan, decât să încercați să piratați fiecare server fizic separat. În plus, merită luat în considerare faptul că în interiorul infrastructurii virtuale, codul rău intenționat se răspândește cu o viteză extraordinară - zeci de mii de mașini pot fi infectate în zece minute, ceea ce echivalează cu o epidemie (a se vedea cele menționate mai sus). raport). Programele rău intenționate și activitățile ransomware care contribuie la scurgerea datelor companiei reprezintă aproximativ 27% din numărul total de „pericole” din cloud. Cele mai multe vulnerabilități din cloud: interfețe neprotejate și acces neautorizat - aproximativ 80% în total (conform cercetării Raport de securitate în cloud 2019 cu suport de la Check Point Software Technologies Ltd. este un furnizor de top de soluții de securitate cibernetică pentru guverne și întreprinderi din întreaga lume. 

Raport de securitate în cloud 2019

Abordarea 2: Securizarea infrastructurii cloud este responsabilitatea furnizorului VPS. Acest lucru este parțial adevărat, deoarece furnizorului de servere virtuale îi pasă de stabilitatea sistemelor sale și de un nivel suficient de ridicat de protecție pentru principalele componente ale cloud-ului: servere, dispozitive de stocare, rețele, virtualizare (reglementată printr-un acord de nivel de serviciu, SLA). . Dar nu trebuie să-și facă griji cu privire la prevenirea amenințărilor interne și externe care pot apărea în infrastructura cloud a clientului. Să ne permitem aici o analogie dentară. După ce a plătit chiar și mulți bani pentru un implant bun, un client al unei clinici dentare înțelege că funcționarea corectă a protezei depinde în mare măsură de el însuși (clientul). Dentistul ortoped, la rândul său, a făcut tot ce era necesar în ceea ce privește siguranța: a selectat materiale de înaltă calitate, a „atașat” implantul în mod fiabil, nu a deranjat mușcătura, a vindecat gingiile după operație etc. Și dacă utilizatorul nu respectă în viitor regulile de igienă, va deveni, de exemplu, , deschideți capacele de sticle metalice cu dinții și efectuați alte acțiuni similare nesigure, va fi imposibil să garantați buna funcționare a noului dinte. Aceeași poveste este valabilă pentru asigurarea securității cloud 100% pe VPS închiriat de la un furnizor. „În afara jurisdicției” furnizorului de servicii cloud, protejarea datelor și aplicațiilor clientului este responsabilitatea sa personală.

Abordarea 3: Niciun instrument de securitate nu poate oferi o protecție adecvată pentru mediile virtuale. Deloc. Există soluții specializate de securitate în cloud, despre care vom discuta în ultima parte a articolului.

Abordarea 4: Utilizarea unui antivirus standard (protecție tradițională). Este important de știut aici că instrumentele tradiționale de securitate pe care toată lumea este obișnuită să le folosească pe computerele locale pur și simplu nu sunt concepute pentru medii virtuale distribuite (ele nu „văd” cum are loc comunicarea între mașinile virtuale) și nu protejează infrastructura virtuală internă de încercări de hacking intern. Mai simplu spus, software-ul antivirus convențional abia dacă funcționează în cloud. În același timp, instalate pe fiecare WM, consumă o cantitate imensă de resurse din întregul ecosistem virtual atunci când verifică viruși și actualizări, „irosind” rețeaua și încetinind activitatea companiei, dar ca rezultat, dând aproape eficiență zero în activitatea lor principală.

În următoarele două secțiuni ale articolului, vom enumera ce pericole pot apărea atunci când o companie operează în cloud (privat, public, hibrid) și vă vom spune cum aceste pericole pot și ar trebui prevenite corect.

Pericolele care amenință constant serviciile cloud

▍Atacuri de rețea de la distanță

Acesta este un alt tip de impact distructiv al informațiilor asupra unui sistem de calcul distribuit, realizat în mod programatic prin canale de comunicare pentru a atinge diferite obiective. Cele mai frecvente dintre ele:

• Atacul DDoS (Refuzul distribuit al serviciului). Trimiterea masivă de solicitări de informații către server cu scopul de a utiliza resursele sau lățimea de bandă a sistemului atacat pentru a dezactiva sistemul țintă, provocând astfel daune companiei. Folosit de concurenți ca serviciu personalizat, extortioniști, activiști politici și guverne pentru a obține dividende politice. Astfel de atacuri sunt efectuate folosind o rețea botnet - o rețea de computere cu roboți instalați pe ele (software care poate conține viruși, programe pentru controlul computerului de la distanță și instrumente pentru ascunderea de sistemul de operare), care sunt utilizate de hackeri de la distanță pentru a distribui spam și ransomware . Citiți mai multe în postarea noastră DDoS: maniacii IT în fruntea atacului.
• Ping Flooding - să provoace supraîncărcarea liniei. 
• Ping al morții - pentru a provoca înghețarea, repornirea și blocarea sistemului.
• Atacurile la nivel de aplicație — pentru a obține acces la un computer care permite lansarea aplicațiilor pentru un anumit cont (sistem privilegiat).
• Fragmentarea datelor — pentru oprirea de urgență a sistemului din cauza depășirii tamponului software.
• Autorooters — pentru a automatiza procesul de hacking prin scanarea unui număr mare de sisteme într-un timp scurt prin instalarea unui rootkit.
• Adulmecând — pentru a asculta canalul.
• Impunerea pachetului - pentru a comuta la computerul dvs. o conexiune stabilită între alte computere.
• Interceptarea pachetelor pe router - pentru a primi parole de utilizator și informații din e-mail.
• Spoofing IP - astfel încât un hacker din interiorul sau din afara rețelei să se poată uzurpa identitatea unui computer în care se poate avea încredere. Acest lucru se face prin falsificarea adresei IP.
• Atacurile de forță brută (forță brută) - pentru a selecta o parolă încercând combinații. Ei exploatează vulnerabilitățile RDP și SSH.
• Smurf — pentru a reduce debitul canalului de comunicație și/sau pentru a izola complet rețeaua atacată.
• Spoofing DNS — pentru a deteriora integritatea datelor din sistemul DNS prin „otrăvirea” cache-ului DNS. 
• Falsificarea gazdei de încredere — pentru a putea conduce o sesiune cu serverul în numele unei gazde de încredere. 
• TCP SYN Flood — pentru a depăși memoria serverului.
• Bărbatul din mijloc — pentru furtul de informații, denaturarea datelor transmise, atacuri DoS, piratarea unei sesiuni de comunicare curente pentru a obține acces la resursele rețelei private, analiza traficului pentru a obține informații despre rețea și utilizatorii acesteia.
• inteligența rețelei — pentru a studia informații despre rețea și aplicațiile care rulează pe gazde înainte de un atac.
• Redirecționare port este un tip de atac care folosește o gazdă compromisă pentru a trece traficul printr-un firewall. De exemplu, dacă un firewall este conectat la trei gazde (servicii externe, interne și publice), atunci gazda externă este capabilă să comunice cu gazda internă prin porturi de redirecționare pe gazda serviciilor publice.
• Exploatarea încrederii - atacuri care apar atunci când cineva profită de relațiile de încredere din cadrul unei rețele. De exemplu, piratarea unui sistem dintr-o rețea corporativă (servere HTTP, DNS, SMTP) poate duce la piratarea altor sisteme. 

▍Inginerie socială

• phishing — să primească informații confidențiale (parole, numere de card bancar etc.) prin corespondență în numele unor organizații și bănci cunoscute.
• Mirosirea pachetelor (Sniffer de pachete) - pentru a obține acces la informații critice, inclusiv parole. Are succes în mare parte datorită faptului că utilizatorii își refolosesc adesea numele de utilizator și parola pentru a obține acces la diferite aplicații și sisteme. În acest fel, un hacker poate obține acces la un cont de utilizator de sistem și poate crea un cont nou prin intermediul acestuia pentru a avea oricând acces la rețea și resursele acesteia.
• Pretextarea - un atac scriptat folosind comunicații vocale, al cărui scop este de a forța victima să efectueze o acțiune. 
• Cal troian - o tehnică bazată pe emoțiile victimei: frică, curiozitate. Programele malware se găsesc de obicei ca atașament de e-mail.
• Quid despre quo (atunci pentru asta, quid pro quo) - un atacator te contactează printr-un telefon corporativ sau prin e-mail sub pretextul unui angajat de asistență tehnică, raportând probleme pe computerul victimei și oferindu-se să le rezolve. Scopul este de a instala software și de a executa comenzi rău intenționate pe acest computer.
• Măr de drum — plantarea de medii de stocare fizice infectate în locuri publice corporative (unitate flash în toaletă, disc în lift), dotate cu inscripții care stârnesc curiozitatea. 
• Colectarea de informații din rețelele sociale.

▍Exploit

Orice atacuri ilegale și neautorizate care vizează fie obținerea de date, întreruperea funcționării unui sistem, fie preluarea controlului asupra unui sistem se numesc exploit-uri. Acestea sunt cauzate de erori în procesul de dezvoltare a software-ului, în urma cărora apar vulnerabilități în sistemul de protecție a programului, care sunt utilizate cu succes de infractorii cibernetici pentru a obține acces nelimitat la programul în sine, și prin intermediul acestuia la întregul computer și în continuare la un retea de masini.

▍Compromisul conturilor

Hackerea contului unui angajat al companiei de către un străin pentru a obține acces la informații protejate: de la interceptarea informațiilor (inclusiv audio) și a cheilor cu malware până la pătrunderea în stocarea fizică a purtătorului de informații.

▍Compromisul depozitelor

Infectarea serverelor de stocare pentru instalatorii de software, actualizări și biblioteci.

▍Riscuri interne ale companiei

Aceasta include scurgeri de informații din vina angajaților companiei înșiși. Aceasta poate fi o simplă neglijență sau acțiuni rău intenționate: de la sabotarea deliberată a politicilor administrative de securitate până la vânzarea de informații confidențiale către terți. Aceasta poate include, de asemenea, acces neautorizat, interfețe nesigure, configurarea greșită a platformelor cloud și instalarea/utilizarea aplicațiilor neautorizate.

Acum să vedem cum puteți preveni o listă atât de extinsă (și departe de a fi completă) de probleme de securitate în cloud.

Soluții moderne de securitate cloud specializate

Fiecare infrastructură cloud necesită securitate cuprinzătoare, pe mai multe straturi. Metodele descrise mai jos vă vor ajuta să înțelegeți în ce ar trebui să constă un pachet de securitate cloud.

▍Antivirusuri

Este important să ne amintim că orice antivirus tradițional nu va fi de încredere atunci când încearcă să ofere securitate în cloud. Trebuie să utilizați o soluție special concepută pentru medii virtuale și cloud, iar instalarea acesteia are și propriile reguli în acest caz. Astăzi, există două modalități de a asigura securitatea în cloud folosind antivirusuri multi-componente specializate, dezvoltate folosind cele mai recente tehnologii: protecție fără agent și protecție cu agenți ușoare.

Protecție fără agent. Dezvoltat de VMware și posibil doar cu soluțiile sale. Două mașini virtuale suplimentare sunt implementate pe un server fizic cu mașini virtuale: Serverul de securitate (SVM) și Network Attack Blocker (NAB). Nimic nu este plasat în fiecare dintre ele. Doar nucleul antivirus este instalat în SVM - un dispozitiv de securitate dedicat. Într-o mașină NAB, această componentă este responsabilă doar pentru verificarea comunicării dintre mașinile virtuale și a ceea ce se întâmplă în ecosistem (și pentru comunicarea cu tehnologia NSX). Acest SVM verifică tot traficul care vine la serverul fizic. Constituie un grup de verdicte, care este disponibil pentru toate mașinile virtuale de securitate printr-un cache de verdict comun. Fiecare mașină virtuală de securitate accesează mai întâi acest pool, în loc să scaneze întregul sistem - acest principiu vă permite să reduceți costurile cu resursele și să accelerați funcționarea ecosistemului. 

Protecție cu un agent de lumină. Dezvoltat de Kaspersky și nu are restricții VMware. Ca și în protecția fără agent, pe SVM este instalat un motor antivirus, dar, spre deosebire de acesta, există și un agent ușor instalat în interiorul fiecărui WM. Agentul nu efectuează verificări, ci doar monitorizează tot ceea ce se întâmplă în interiorul WM-ului nativ pe baza tehnologiei de rețea de auto-învățare. Această tehnologie reține succesiunea corectă a aplicațiilor; Când se confruntă cu faptul că secvența de acțiuni ale aplicației în interiorul WM nu se desfășoară corect, o blochează. 

Mai multe despre Citiți Securitate pentru medii virtuale pe site-ul web al dezvoltatorului, dar despre cum să instalați protecție antivirus cu un agent ușor pentru serverul dvs. virtual, citiți în directorul nostru (în partea de jos a paginii sunt contacte pentru asistență tehnică 24/7 în cazul în care aveți întrebări). 

▍Integrarea cu serviciile pentru a preveni sau corecta problemele de securitate în cloud

• Platforme de management al schimbărilor. Acestea sunt servicii dovedite care sprijină procesele de bază ITSM ale companiei, inclusiv securitatea IT și incidentele. De exemplu, ServiceNow, Remedy, JIRA.
• Instrumente de scanare de securitate. De exemplu, Rapid7, Qualys, Tenable.
• Instrumente de management al configurației. Acestea vă permit să automatizați funcționarea serverelor și, prin urmare, să simplificați configurarea și întreținerea a zeci, sute și chiar mii de servere care pot fi distribuite pe tot globul. De exemplu, TrueSight Server Automation, IBM BigFix, TrueSight Vulnerability Manager, Chef, Puppet.
• Instrumente securizate de gestionare a alertelor. Vă permite să furnizați un serviciu continuu și să continuați să monitorizați situația în timpul incidentelor, să oferiți asistență competentă pentru integrarea telefonului, mesagerie și e-mail (Conform Cisco, peste 85% dintre mesajele de e-mail au fost spam în iulie 2019, care ar putea conține malware, încercări de phishing etc. În zilele noastre, malware-ul este adesea trimis prin tipuri „obișnuite” de atașamente: cele mai comune atașamente rău intenționate din e-mail sunt fișierele Microsoft Office. Raport Cisco iunie 2019 privind securitatea e-mailului). Un astfel de instrument ar putea fi, de exemplu, OpsGenie.

▍Protecția la exploatare

Deoarece exploit-urile sunt consecințele vulnerabilităților software, dezvoltatorii de software sunt cei care trebuie să corecteze erorile din produsul lor. Este responsabilitatea utilizatorilor să instaleze în timp util pachetele și corecțiile de actualizare imediat după lansarea lor. Utilizarea unui instrument de căutare și instalare automată sau a unui manager de aplicații cu această caracteristică vă ajută să evitați lipsa actualizărilor. Protecția automată împotriva exploatării este încorporată în aplicația descrisă mai sus Kaspersky Security for Virtualization Light Agent. 

▍Firewall

Firewall, firewall. Filtrează și controlează traficul de rețea conform regulilor preconfigurate. Un firewall poate fi reprezentat ca o secvență de filtre care procesează fluxul de informații din rețea. Configurarea corectă a firewall-ului este eficientă împotriva atacurilor de forță brută. Puteți permite conexiuni RDP sau SSH numai de la anumite adrese IP ale proprietarului serverului și puteți proteja serverul de încercările de ghicire a parolei. Firewall-urile sunt prezente în toate sistemele de operare moderne. În plus, oferă contul personal RUVDS firewall gratuit la nivelul echipamentului de rețea. Astfel, traficul nedorit de rețea nu va ajunge la mașina virtuală, ci va fi filtrat la nivel de centru de date. Pentru confort suplimentar pentru client, regulile de filtrare cele mai frecvent utilizate au fost adăugate la interfața firewall. Dacă adresa IP este schimbată, clientul poate pur și simplu să meargă la contul său personal și să editeze regula fără a fi nevoie să se conecteze la server.

▍Protecție împotriva atacurilor DDoS

Există un serviciu suplimentar de la care poate fi achiziționat 
furnizor de servere virtuale (și fizice). Se bazează pe tehnologii de analiză a traficului de rețea, care, de exemplu, în RUVDS se realizează 24/7, iar protecția poate rezista stabil până la 1500 Gbit/s. Plătești doar pentru traficul de care ai nevoie. Acum în promoție la RUVDS prima lună gratuită 0.5 Mbit/s, apoi de la 400 rub. pe luna.

▍Elaborarea și realizarea conformității cu reglementările

Regulile și regulile de utilizare scrise și executate pentru măsurile de reabilitare (plan de răspuns la incidente de securitate cibernetică) au o pondere semnificativă în chestiunile de securitate în cloud din punctul de vedere al factorului uman, inclusiv hackingul folosind metode de inginerie socială. Acest punct include restricționarea accesului angajaților, identificarea principalelor aplicații cloud ale companiei (nu pot fi instalate alte aplicații cu excepția celor puține care se află pe o astfel de „listă albă”) și asigurarea securității dispozitivelor mobile care pot fi utilizate în companie pentru interacțiune cu infrastructura cloud a companiei și controlul dispozitivelor, care este responsabil pentru politicile de utilizare a mediilor externe.

Sperăm că articolul a fost util. Ca întotdeauna, salutăm comentariile constructive, informații noi, opinii interesante, precum și raportări ale oricăror inexactități în material. 

Sursa: www.habr.com