ProHoster > බ්ලොග් > පරිපාලනය > වලාකුළු ආරක්ෂණ අධීක්ෂණය

වලාකුළු ආරක්ෂණ අධීක්ෂණය

දත්ත සහ යෙදුම් ක්ලවුඩ් වෙත ගෙන යාම අනෙකුත් පුද්ගලයන්ගේ යටිතල පහසුකම් නිරීක්ෂණය කිරීමට සැමවිටම සූදානම් නැති ආයතනික SOC සඳහා නව අභියෝගයක් ඉදිරිපත් කරයි. Netoskope ට අනුව, සාමාන්‍ය ව්‍යවසාය (පෙනෙන ලෙස එක්සත් ජනපදයේ) විවිධ වලාකුළු සේවා 1246 ක් භාවිතා කරයි, එය වසරකට පෙර වඩා 22% වැඩි ය. 1246 ක්ලවුඩ් සේවා !!! ඔවුන්ගෙන් 175ක් මානව සම්පත් සේවාවලට සම්බන්ධ වන අතර, 170ක් අලෙවිකරණයට සම්බන්ධ වන අතර, 110ක් සන්නිවේදන ක්ෂේත්‍රයේ සහ 76ක් මූල්‍ය සහ සී.ආර්.එම්. Cisco "පමණක්" 700 බාහිර වලාකුළු සේවා භාවිතා කරයි. ඉතින් මට මේ ඉලක්කම් වලින් ටිකක් අවුල්. නමුත් ඕනෑම අවස්ථාවක, ගැටලුව ඔවුන් සමඟ නොවේ, නමුත් ඔවුන්ගේම ජාලයේ මෙන් වලාකුළු යටිතල ව්‍යුහය නිරීක්ෂණය කිරීම සඳහා සමාන හැකියාවන් ඇති කර ගැනීමට කැමති සමාගම් වැඩි සංඛ්‍යාවක් විසින් වලාකුළ තරමක් ක්‍රියාකාරීව භාවිතා කිරීමට පටන් ගෙන තිබේ. මෙම ප්රවණතාවය වර්ධනය වෙමින් පවතී - අනුව ඇමරිකානු ගිණුම් මණ්ඩලයට අනුව 2023 වන විට, එක්සත් ජනපදයේ දත්ත මධ්‍යස්ථාන 1200 ක් වසා දැමීමට නියමිතය (6250 දැනටමත් වසා ඇත). නමුත් වලාකුළට මාරුවීම "අපගේ සේවාදායකයන් බාහිර සැපයුම්කරුවෙකු වෙත ගෙන යමු" පමණක් නොවේ. නව තොරතුරු තාක්ෂණ ගෘහනිර්මාණ ශිල්පය, නව මෘදුකාංග, නව ක්‍රියාවලි, නව සීමා කිරීම්... මේ සියල්ල තොරතුරු තාක්ෂණයේ පමණක් නොව තොරතුරු ආරක්‍ෂාවේ ද කාර්යයට සැලකිය යුතු වෙනස්කම් ගෙන එයි. වලාකුළු වල ආරක්ෂාව සහතික කිරීම සමඟ කෙසේ හෝ සාර්ථකව කටයුතු කිරීමට සැපයුම්කරුවන් ඉගෙන ගෙන තිබේ නම් (වාසනාවකට මෙන් නිර්දේශ රාශියක් ඇත), වලාකුළු තොරතුරු ආරක්ෂණ අධීක්ෂණය සමඟ, විශේෂයෙන් SaaS වේදිකාවල, සැලකිය යුතු දුෂ්කරතා ඇත, ඒවා අපි කතා කරමු.

වලාකුළු ආරක්ෂණ අධීක්ෂණය

ඔබේ සමාගම එහි යටිතල පහසුකම්වලින් කොටසක් වලාකුළට ගෙන ගොස් ඇතැයි කියමු... නවත්වන්න. මේ ආකාරයෙන් නොවේ. යටිතල පහසුකම් මාරු කර ඇත්නම් සහ ඔබ එය නිරීක්ෂණය කරන්නේ කෙසේදැයි දැන් සිතන්නේ නම්, ඔබට දැනටමත් අහිමි වී ඇත. එය ඇමේසන්, ගූගල්, හෝ මයික්‍රොසොෆ්ට් (සහ පසුව වෙන්කරවා ගැනීම් සමඟ) නොවේ නම්, ඔබේ දත්ත සහ යෙදුම් නිරීක්ෂණය කිරීමට ඔබට බොහෝ හැකියාවක් නොතිබෙනු ඇත. ලඝු-සටහන් සමඟ වැඩ කිරීමට ඔබට අවස්ථාව ලබා දෙන්නේ නම් එය හොඳයි. සමහර විට ආරක්ෂක සිදුවීම් දත්ත ලබා ගත හැකි වනු ඇත, නමුත් ඔබට එයට ප්‍රවේශය නොමැත. උදාහරණයක් ලෙස, Office 365. ඔබට ලාභම E1 බලපත්‍රය තිබේ නම්, ආරක්ෂක සිදුවීම් ඔබට කිසිසේත්ම ලබා ගත නොහැක. ඔබට E3 බලපත්‍රයක් තිබේ නම්, ඔබේ දත්ත ගබඩා කර ඇත්තේ දින 90ක් පමණක් වන අතර, ඔබට E5 බලපත්‍රයක් තිබේ නම් පමණක්, ලඝු-සටහන් වල කාලසීමාව වසරක් සඳහා ලබා ගත හැකිය (කෙසේ වෙතත්, මෙයට වෙනම අවශ්‍යතාවයට අදාළ සූක්ෂ්මතා ඇත. මයික්‍රොසොෆ්ට් සහායෙන් ලොග් සමඟ වැඩ කිරීම සඳහා කාර්යයන් ගණනාවක් ඉල්ලා සිටින්න). මාර්ගය වන විට, E3 බලපත්‍රය ආයතනික හුවමාරුවට වඩා අධීක්ෂණ කාර්යයන් අනුව බෙහෙවින් දුර්වල ය. එම මට්ටමම සාක්ෂාත් කර ගැනීම සඳහා, ඔබට E5 බලපත්‍රයක් හෝ අතිරේක උසස් අනුකූලතා බලපත්‍රයක් අවශ්‍ය වන අතර, ක්ලවුඩ් යටිතල ව්‍යූහය වෙත ගමන් කිරීම සඳහා ඔබේ මූල්‍ය ආකෘතියට නොගැලපෙන අමතර මුදල් අවශ්‍ය විය හැකිය. තවද මෙය ක්ලවුඩ් තොරතුරු ආරක්ෂණ අධීක්ෂණ සම්බන්ධ ගැටළු අවතක්සේරු කිරීමේ එක් උදාහරණයක් පමණි. මෙම ලිපියෙන්, සම්පූර්ණ යැයි මවාපාමින් තොරව, ආරක්ෂක දෘෂ්ටි කෝණයකින් වලාකුළු සපයන්නෙකු තෝරාගැනීමේදී සැලකිල්ලට ගත යුතු සූක්ෂ්ම කරුණු කිහිපයක් කෙරෙහි අවධානය යොමු කිරීමට මට අවශ්‍යය. ලිපියේ අවසානයේ, වලාකුළු තොරතුරු ආරක්ෂාව අධීක්ෂණය කිරීමේ ගැටළුව විසඳා ඇති බව සලකා බැලීමට පෙර සම්පූර්ණ කිරීම වටී පිරික්සුම් ලැයිස්තුවක් ලබා දෙනු ඇත.

වලාකුළු පරිසරයන්හි සිදුවීම් වලට තුඩු දෙන සාමාන්‍ය ගැටළු කිහිපයක් තිබේ, ඒවාට ප්‍රතිචාර දැක්වීමට තොරතුරු ආරක්ෂණ සේවාවන්ට කාලය නොමැති හෝ ඒවා කිසිසේත් නොපෙනේ:

  • ආරක්ෂක ලඝු-සටහන් නොපවතී. මෙය තරමක් පොදු තත්වයකි, විශේෂයෙන් වලාකුළු විසඳුම් වෙළඳපොලේ නවක ක්‍රීඩකයින් අතර. නමුත් ඔබ වහාම ඔවුන්ව අත් නොහැරිය යුතුය. කුඩා ක්‍රීඩකයින්, විශේෂයෙන්ම ගෘහස්ථ ක්‍රීඩකයින්, පාරිභෝගික අවශ්‍යතාවලට වඩා සංවේදී වන අතර ඔවුන්ගේ නිෂ්පාදන සඳහා අනුමත මාර්ග සිතියම වෙනස් කිරීමෙන් අවශ්‍ය සමහර කාර්යයන් ඉක්මනින් ක්‍රියාත්මක කළ හැකිය. ඔව්, මෙය Amazon වෙතින් GuardDuty හි ප්‍රතිසමයක් හෝ Bitrix වෙතින් "Proactive Protection" මොඩියුලය නොවේ, නමුත් අවම වශයෙන් යමක්.
  • ලඝු-සටහන් ගබඩා කර ඇති ස්ථානය හෝ ඒවාට ප්රවේශයක් නොමැති බව තොරතුරු ආරක්ෂාව නොදනී. මෙහිදී වලාකුළු සේවා සපයන්නා සමඟ සාකච්ඡා කිරීමට අවශ්‍ය වේ - සමහර විට ඔහු සේවාදායකයා තමාට වැදගත් යැයි සලකන්නේ නම් ඔහු එවැනි තොරතුරු ලබා දෙනු ඇත. නමුත් පොදුවේ ගත් කල, ලඝු-සටහන් වෙත ප්රවේශය "විශේෂ තීරණයකින්" සපයන විට එය ඉතා හොඳ නොවේ.
  • වලාකුළු සපයන්නාට ලඝු-සටහන් ඇති බව ද සිදු වේ, නමුත් ඒවා සීමිත නිරීක්ෂණ සහ සිදුවීම් පටිගත කිරීම් සපයයි, ඒවා සියලු සිදුවීම් හඳුනා ගැනීමට ප්රමාණවත් නොවේ. උදාහරණයක් ලෙස, ඔබට වෙබ් අඩවියක වෙනස්වීම් ලොග හෝ පරිශීලක සත්‍යාපන ප්‍රයත්න වල ලොග පමණක් ලැබිය හැක, නමුත් ඔබගේ වලාකුළු යටිතල ව්‍යූහය හැක් කිරීමට දරන උත්සාහයන් සංලක්ෂිත සිදුවීම් ස්තරයක් ඔබෙන් සඟවන ජාල ගමනාගමනය වැනි වෙනත් සිදුවීම් නොවේ.
  • ලඝු-සටහන් ඇත, නමුත් ඒවාට ප්‍රවේශ වීම ස්වයංක්‍රීය කිරීමට අපහසු වන අතර එමඟින් ඒවා අඛණ්ඩව නොව කාලසටහනකට අනුව නිරීක්ෂණය කිරීමට බල කරයි. ඔබට ලොග ස්වයංක්‍රීයව බාගත කළ නොහැකි නම්, ලොග් බාගත කිරීම, උදාහරණයක් ලෙස, Excel ආකෘතියෙන් (දේශීය ක්ලවුඩ් විසඳුම් සපයන්නන් ගණනාවක් මෙන්), ඒවා සමඟ සම්බන්ධ වීමට ආයතනික තොරතුරු ආරක්ෂණ සේවාවේ අකමැත්ත පවා ඇති විය හැක.
  • ලොග් නිරීක්ෂණ නොමැත. වලාකුළු පරිසරයන්හි තොරතුරු ආරක්ෂණ සිදුවීම් සිදුවීමට වඩාත්ම අපැහැදිලි හේතුව මෙය විය හැකිය. ලඝු-සටහන් ඇති බව පෙනේ, ඒවාට ප්‍රවේශ වීම ස්වයංක්‍රීය කළ හැකි නමුත් කිසිවෙකු මෙය නොකරයි. ඇයි?

හවුල් වලාකුළු ආරක්ෂණ සංකල්පය

වලාකුළ වෙත සංක්‍රමණය සෑම විටම යටිතල ව්‍යුහය පාලනය කිරීමට ඇති ආශාව සහ එය නඩත්තු කිරීමට විශේෂඥ වලාකුළු සපයන්නෙකුගේ වඩාත් වෘත්තීය අතට එය මාරු කිරීම අතර සමතුලිතතාවයක් සෙවීමකි. වලාකුළු ආරක්ෂණ ක්‍ෂේත්‍රයේ ද මෙම ශේෂය සෙවිය යුතුය. තවද, භාවිතා කරන ක්ලවුඩ් සේවා බෙදා හැරීමේ ආකෘතිය මත පදනම්ව (IaaS, PaaS, SaaS), මෙම ශේෂය සෑම විටම වෙනස් වේ. ඕනෑම අවස්ථාවක, අද සියලුම වලාකුළු සපයන්නන් ඊනියා හවුල් වගකීම සහ හවුල් තොරතුරු ආරක්ෂණ ආකෘතිය අනුගමනය කරන බව අප මතක තබා ගත යුතුය. වලාකුළ සමහර දේවල් සඳහා වගකිව යුතු අතර අනෙක් ඒවා සඳහා සේවාදායකයා වගකිව යුතු අතර, ඔහුගේ දත්ත, ඔහුගේ යෙදුම්, ඔහුගේ අතථ්‍ය යන්ත්‍ර සහ අනෙකුත් සම්පත් වලාකුළෙහි තැබීම. වලාකුළට යාමෙන්, අපි සියලු වගකීම් සපයන්නා වෙත මාරු කරනු ඇතැයි අපේක්ෂා කිරීම නොසැලකිලිමත් වනු ඇත. නමුත් වලාකුළට යන විට සියලු ආරක්ෂාව ඔබම ගොඩනඟා ගැනීම නුවණට හුරු නැත. ශේෂයක් අවශ්‍ය වන අතර එය බොහෝ සාධක මත රඳා පවතී: - අවදානම් කළමනාකරණ උපාය මාර්ගය, තර්ජන ආකෘතිය, වලාකුළු සපයන්නාට පවතින ආරක්ෂක යාන්ත්‍රණ, නීති සම්පාදනය යනාදිය.

වලාකුළු ආරක්ෂණ අධීක්ෂණය

උදාහරණයක් ලෙස, වලාකුළෙහි සත්කාරක දත්ත වර්ගීකරණය සැමවිටම පාරිභෝගිකයාගේ වගකීම වේ. වලාකුළු සපයන්නෙකුට හෝ බාහිර සේවා සපයන්නෙකුට ඔහුට උපකාර කළ හැක්කේ වලාකුළෙහි දත්ත සලකුණු කිරීමට, උල්ලංඝනයන් හඳුනා ගැනීමට, නීතිය උල්ලංඝනය කරන දත්ත මකා දැමීමට හෝ එක් හෝ වෙනත් ක්‍රමයක් භාවිතයෙන් එය වසං කිරීමට උපකාර වන මෙවලම් සමඟ පමණි. අනෙක් අතට, භෞතික ආරක්ෂාව සැමවිටම වලාකුළු සපයන්නාගේ වගකීම වන අතර, එය සේවාදායකයින් සමඟ බෙදා ගත නොහැක. නමුත් දත්ත සහ භෞතික යටිතල පහසුකම් අතර ඇති සෑම දෙයක්ම හරියටම මෙම ලිපියේ සාකච්ඡාවට භාජනය වේ. උදාහරණයක් ලෙස, වලාකුළු ලබා ගැනීම සැපයුම්කරුගේ වගකීම වන අතර, ෆයර්වෝල් නීති සැකසීම හෝ සංකේතනය සක්‍රීය කිරීම සේවාලාභියාගේ වගකීම වේ. මෙම ලිපියෙන් අපි රුසියාවේ විවිධ ජනප්‍රිය වලාකුළු සපයන්නන් විසින් අද සපයනු ලබන තොරතුරු ආරක්ෂණ අධීක්ෂණ යාන්ත්‍රණ මොනවාද, ඒවායේ භාවිතයේ ලක්ෂණ මොනවාද සහ බාහිර ආවරණ විසඳුම් දෙස බැලීම වටී (උදාහරණයක් ලෙස, සිස්කෝ ඊ- mail Security) සයිබර් ආරක්ෂාව අනුව ඔබේ වලාකුළේ හැකියාවන් පුළුල් කරයි. සමහර අවස්ථාවලදී, විශේෂයෙන්ම ඔබ බහු-වලාකුළු උපාය මාර්ගයක් අනුගමනය කරන්නේ නම්, ඔබට එකවර වලාකුළු පරිසර කිහිපයක බාහිර තොරතුරු ආරක්ෂණ අධීක්ෂණ විසඳුම් භාවිතා කිරීම හැර වෙනත් විකල්පයක් නොමැත (උදාහරණයක් ලෙස, Cisco CloudLock හෝ Cisco Stealthwatch Cloud). හොඳයි, සමහර අවස්ථාවලදී ඔබ තෝරාගත් (හෝ ඔබ මත පටවා ඇති) වලාකුළු සපයන්නා කිසිදු තොරතුරු ආරක්ෂණ අධීක්ෂණ හැකියාවක් ලබා නොදෙන බව ඔබට වැටහෙනු ඇත. මෙම වලාකුළ සමඟ වැඩ කිරීම හා සම්බන්ධ අවදානම් මට්ටම ප්රමාණවත් ලෙස තක්සේරු කිරීමට ඔබට ඉඩ සලසන බැවින් මෙය අප්රසන්නය, නමුත් ටිකක් නොවේ.

Cloud Security Monitoring Lifecycle

ඔබ භාවිතා කරන වලාකුළු වල ආරක්ෂාව නිරීක්ෂණය කිරීමට, ඔබට ඇත්තේ විකල්ප තුනක් පමණි:

  • ඔබගේ වලාකුළු සපයන්නා විසින් සපයනු ලබන මෙවලම් මත රඳා සිටින්න,
  • ඔබ භාවිතා කරන IaaS, PaaS හෝ SaaS වේදිකා නිරීක්ෂණය කරන තෙවන පාර්ශවයන්ගෙන් විසඳුම් භාවිතා කරන්න,
  • ඔබේම වලාකුළු අධීක්ෂණ යටිතල පහසුකම් ගොඩනගා ගන්න (IaaS/PaaS වේදිකා සඳහා පමණි).

මෙම එක් එක් විකල්පයේ ඇති විශේෂාංග මොනවාදැයි බලමු. නමුත් පළමුව, අපි වලාකුළු වේදිකා නිරීක්ෂණය කිරීමේදී භාවිතා කරන පොදු රාමුව තේරුම් ගත යුතුය. වලාකුළෙහි තොරතුරු ආරක්ෂණ අධීක්ෂණ ක්‍රියාවලියේ ප්‍රධාන කොටස් 6ක් මම ඉස්මතු කරමි:

  • යටිතල පහසුකම් සකස් කිරීම. ගබඩා කිරීම සඳහා තොරතුරු සුරක්ෂිත කිරීම සඳහා වැදගත් සිදුවීම් එකතු කිරීම සඳහා අවශ්ය යෙදුම් සහ යටිතල පහසුකම් තීරණය කිරීම.
  • එකතු. මෙම අදියරේදී, සැකසීම, ගබඩා කිරීම සහ විශ්ලේෂණය සඳහා පසුව සම්ප්රේෂණය කිරීම සඳහා විවිධ මූලාශ්රවලින් ආරක්ෂක සිදුවීම් එකතු කරනු ලැබේ.
  • ප්රතිකාර. මෙම අවස්ථාවෙහිදී, පසුකාලීන විශ්ලේෂණයට පහසුකම් සැලසීම සඳහා දත්ත පරිවර්තනය කර පොහොසත් කරනු ලැබේ.
  • ගබඞා. එකතු කරන ලද සකසන ලද සහ අමු දත්ත කෙටි කාලීන සහ දිගු කාලීන ගබඩා කිරීම සඳහා මෙම සංරචකය වගකිව යුතුය.
  • විශ්ලේෂණය. මෙම අවස්ථාවෙහිදී, ඔබට සිදුවීම් හඳුනා ගැනීමට සහ ඒවාට ස්වයංක්‍රීයව හෝ අතින් ප්‍රතිචාර දැක්වීමට හැකියාව ඇත.
  • වාර්තා. මෙම අදියර පාර්ශවකරුවන් (කළමනාකරණය, විගණකයින්, වලාකුළු සපයන්නන්, සේවාදායකයින්, ආදිය) සඳහා ප්‍රධාන දර්ශක සැකසීමට උපකාරී වන අතර එය අපට නිශ්චිත තීරණ ගැනීමට උපකාරී වේ, උදාහරණයක් ලෙස, සැපයුම්කරුවෙකු වෙනස් කිරීම හෝ තොරතුරු ආරක්ෂාව ශක්තිමත් කිරීම.

මෙම සංරචක අවබෝධ කර ගැනීමෙන් අනාගතයේදී ඔබට ඔබේ සැපයුම්කරුගෙන් ගත හැකි දේ ඉක්මනින් තීරණය කිරීමට ඔබට ඉඩ සලසයි, සහ ඔබ විසින්ම හෝ බාහිර උපදේශකයින් සම්බන්ධ කර ගැනීමෙන් ඔබට කළ යුතු දේ.

තනා ඇති වලාකුළු සේවා

අද බොහෝ වලාකුළු සේවාවන් කිසිදු තොරතුරු ආරක්ෂණ අධීක්ෂණ හැකියාවක් ලබා නොදෙන බව මම දැනටමත් ඉහත ලියා ඇත. පොදුවේ ගත් කල, ඔවුන් තොරතුරු ආරක්ෂාව පිළිබඳ මාතෘකාව කෙරෙහි වැඩි අවධානයක් යොමු නොකරයි. නිදසුනක් වශයෙන්, අන්තර්ජාලය හරහා රාජ්ය ආයතන වෙත වාර්තා යැවීම සඳහා ජනප්රිය රුසියානු සේවාවන්ගෙන් එකක් (මම එහි නම විශේෂයෙන් සඳහන් නොකරමි). මෙම සේවාවේ ආරක්ෂාව පිළිබඳ සම්පූර්ණ කොටසම සහතික කළ CIPF භාවිතය වටා කැරකෙයි. ඉලෙක්ට්රොනික ලේඛන කළමනාකරණය සඳහා තවත් ගෘහස්ථ වලාකුළු සේවාවක තොරතුරු ආරක්ෂණ අංශය වෙනස් නොවේ. එය පොදු යතුරු සහතික, සහතික කළ ගුප්ත ලේඛන, වෙබ් අවදානම් ඉවත් කිරීම, DDoS ප්‍රහාරවලින් ආරක්ෂා වීම, ෆයර්වෝල් භාවිතා කිරීම, උපස්ථ සහ සාමාන්‍ය තොරතුරු ආරක්ෂණ විගණන ගැන කතා කරයි. නමුත් මෙම සේවා සපයන්නාගේ ගනුදෙනුකරුවන්ට උනන්දුවක් දැක්විය හැකි තොරතුරු ආරක්ෂණ සිදුවීම් වෙත ප්‍රවේශය ලබා ගැනීමේ හැකියාව ගැන හෝ අධීක්ෂණය ගැන වචනයක් නැත.

පොදුවේ ගත් කල, වලාකුළු සපයන්නා විසින් එහි වෙබ් අඩවියේ සහ එහි ලේඛනවල තොරතුරු ආරක්ෂණ ගැටළු විස්තර කරන ආකාරය අනුව, එය මෙම ගැටළුව කෙතරම් බැරෑරුම් ලෙස සලකන්නේද යන්න ඔබට තේරුම් ගත හැකිය. උදාහරණයක් ලෙස, ඔබ "My Office" නිෂ්පාදන සඳහා අත්පොත් කියවන්නේ නම්, ආරක්ෂාව පිළිබඳ වචනයක් නැත, නමුත් වෙනම නිෂ්පාදනයක් සඳහා වන ලේඛනවල "My Office". KS3", අනවසර ප්‍රවේශයෙන් ආරක්ෂා වීමට නිර්මාණය කර ඇති අතර, "My Office.KS17" ක්‍රියාත්මක කරන FSTEC හි 3 වන අනුපිළිවෙලෙහි සාමාන්‍ය ලකුණු ලැයිස්තුවක් ඇත, නමුත් එය එය ක්‍රියාත්මක කරන්නේ කෙසේද සහ වඩාත්ම වැදගත් වන්නේ කෙසේද යන්න විස්තර කර නොමැත. ආයතනික තොරතුරු ආරක්ෂාව සමඟ මෙම යාන්ත්‍රණයන් ඒකාබද්ධ කරන්න. සමහර විට එවැනි ලියකියවිලි පවතී, නමුත් මම එය "මගේ කාර්යාලය" වෙබ් අඩවියේ පොදු වසමෙහි සොයා ගත්තේ නැත. සමහර විට මට මෙම රහස් තොරතුරු වෙත ප්‍රවේශය නොමැති වුවද? ..

වලාකුළු ආරක්ෂණ අධීක්ෂණය

Bitrix සඳහා, තත්වය වඩා හොඳය. ලේඛනගත කිරීම් සිදුවීම් ලඝු-සටහන් වල ආකෘති විස්තර කරන අතර, සිත් ඇදගන්නාසුළු ලෙස, වලාකුළු වේදිකාවට ඇති විය හැකි තර්ජන සම්බන්ධ සිදුවීම් අඩංගු ආක්‍රමණ ලොගය විස්තර කරයි. එතැන් සිට ඔබට IP, පරිශීලක හෝ ආගන්තුක නම, සිදුවීම් මූලාශ්‍රය, වේලාව, පරිශීලක නියෝජිතයා, සිදුවීම් වර්ගය යනාදිය ලබා ගත හැකිය. ඇත්ත, ඔබට මෙම සිදුවීම් සමඟ ක්ලවුඩ් පාලක පැනලයෙන් වැඩ කළ හැකිය, නැතහොත් MS Excel ආකෘතියෙන් දත්ත උඩුගත කළ හැකිය. Bitrix ලඝු-සටහන් සමඟ වැඩ ස්වයංක්‍රීය කිරීම දැන් අපහසු වන අතර ඔබට සමහර වැඩ අතින් සිදු කිරීමට සිදුවනු ඇත (වාර්තාව උඩුගත කිරීම සහ එය ඔබගේ SIEM වෙත පැටවීම). නමුත් සාපේක්ෂව මෑතක් වන තුරුම එවැනි අවස්ථාවක් නොතිබූ බව අපට මතක නම්, මෙය විශාල ප්රගතියකි. ඒ අතරම, බොහෝ විදේශීය වලාකුළු සපයන්නන් “ආරම්භකයින් සඳහා” සමාන ක්‍රියාකාරීත්වයක් ලබා දෙන බව මම සටහන් කිරීමට කැමැත්තෙමි - එක්කෝ පාලක පැනලය හරහා ඔබේ ඇස්වලින් ලොග් දෙස බලන්න, නැතහොත් දත්ත ඔබටම උඩුගත කරන්න (කෙසේ වෙතත්, බොහෝ දත්ත උඩුගත කරන්න . csv ආකෘතිය, එක්සෙල් නොවේ).

වලාකුළු ආරක්ෂණ අධීක්ෂණය

No-logs විකල්පය සැලකිල්ලට නොගෙන, cloud providers සාමාන්‍යයෙන් ඔබට ආරක්ෂක සිදුවීම් නිරීක්ෂණය සඳහා විකල්ප තුනක් ලබා දෙයි - උපකරණ පුවරු, දත්ත උඩුගත කිරීම සහ API ප්‍රවේශය. පළමුවැන්න ඔබට බොහෝ ගැටලු විසඳන බව පෙනේ, නමුත් මෙය සම්පූර්ණයෙන්ම සත්‍ය නොවේ - ඔබට සඟරා කිහිපයක් තිබේ නම්, ඔබට ඒවා පෙන්වන තිර අතර මාරු විය යුතු අතර, සමස්ත පින්තූරය අහිමි වේ. ඊට අමතරව, වලාකුළු සපයන්නා ඔබට ආරක්‍ෂක සිදුවීම් සහසම්බන්ධ කිරීමට සහ සාමාන්‍යයෙන් ආරක්‍ෂක දෘෂ්ටි කෝණයකින් ඒවා විශ්ලේෂණය කිරීමට හැකියාව ලබා දීමට අපහසුය (සාමාන්‍යයෙන් ඔබ අමු දත්ත සමඟ ගනුදෙනු කරයි, එය ඔබම තේරුම් ගත යුතුය). ව්යතිරේක ඇති අතර අපි ඒවා ගැන තවදුරටත් කතා කරමු. අවසාන වශයෙන්, ඔබගේ වලාකුළු සපයන්නා විසින් වාර්තා කර ඇති සිදුවීම් මොනවාද, කුමන ආකෘතියෙන්ද, ඒවා ඔබගේ තොරතුරු ආරක්ෂණ අධීක්ෂණ ක්‍රියාවලියට අනුරූප වන්නේ කෙසේද යන්න විමසීම වටී. උදාහරණයක් ලෙස, පරිශීලකයින් සහ අමුත්තන් හඳුනා ගැනීම සහ සත්‍යාපනය කිරීම. මෙම සිදුවීම් මත පදනම්ව, එම Bitrix ඔබට, සිදුවීමේ දිනය සහ වේලාව, පරිශීලකයාගේ හෝ ආගන්තුකයාගේ නම (ඔබට "වෙබ් විශ්ලේෂණ" මොඩියුලය තිබේ නම්), ප්‍රවේශ වූ වස්තුව සහ වෙබ් අඩවියකට සාමාන්‍ය අනෙකුත් අංග සටහන් කිරීමට ඉඩ ලබා දේ. . නමුත් ආයතනික තොරතුරු ආරක්ෂණ සේවාවන්ට පරිශීලකයා විශ්වාසදායක උපාංගයකින් වලාකුළට ප්‍රවේශ වූයේද යන්න පිළිබඳ තොරතුරු අවශ්‍ය විය හැකිය (උදාහරණයක් ලෙස, ආයතනික ජාලයක මෙම කාර්යය ක්‍රියාත්මක කරනු ලබන්නේ Cisco ISE විසිනි). වලාකුළු සේවා පරිශීලක ගිණුමක් සොරකම් කර ඇත්ද යන්න තීරණය කිරීමට උපකාරී වන භූ-IP ශ්‍රිතය වැනි සරල කාර්යයක් ගැන කුමක් කිව හැකිද? තවද ක්ලවුඩ් සපයන්නා එය ඔබට ලබා දුන්නද, මෙය ප්‍රමාණවත් නොවේ. එම Cisco CloudLock විසින් භූ පිහිටීම විශ්ලේෂණය කිරීම පමණක් නොව, මේ සඳහා යන්ත්‍ර ඉගෙනීම භාවිතා කරන අතර එක් එක් පරිශීලකයා සඳහා ඓතිහාසික දත්ත විශ්ලේෂණය කරන අතර හඳුනාගැනීමේ සහ සත්‍යාපනය කිරීමේ උත්සාහයන්හිදී විවිධ විෂමතා නිරීක්ෂණය කරයි. සමාන ක්‍රියාකාරීත්වයක් ඇත්තේ MS Azure පමණි (ඔබට සුදුසු දායකත්වයක් තිබේ නම්).

වලාකුළු ආරක්ෂණ අධීක්ෂණය

තවත් දුෂ්කරතාවයක් ඇත - බොහෝ වලාකුළු සපයන්නන් සඳහා තොරතුරු ආරක්ෂණ අධීක්ෂණය යනු ඔවුන් සමඟ කටයුතු කිරීමට පටන් ගෙන ඇති නව මාතෘකාවක් වන බැවින්, ඔවුන් නිරන්තරයෙන් ඔවුන්ගේ විසඳුම්වල යමක් වෙනස් කරයි. අද ඔවුන් සතුව API හි එක් අනුවාදයක් තිබේ, හෙට තවත් එකක්, හෙට අනිද්දා තුනෙන් එකක්. මේ සඳහා ඔබ ද සූදානම් විය යුතුය. ක්‍රියාකාරීත්වය සම්බන්ධයෙන්ද එයම සත්‍ය වේ, එය වෙනස් විය හැක, එය ඔබගේ තොරතුරු ආරක්ෂණ අධීක්ෂණ පද්ධතියේ සැලකිල්ලට ගත යුතුය. උදාහරණයක් ලෙස, Amazon හට මුලින් වෙනම ක්ලවුඩ් ඉවෙන්ට් අධීක්ෂණ සේවා-AWS CloudTrail සහ AWS CloudWatch තිබුණි. තොරතුරු ආරක්ෂණ සිදුවීම් නිරීක්ෂණය කිරීම සඳහා වෙනම සේවාවක් දර්ශනය විය - AWS GuardDuty. ටික කලකට පසු, Amazon විසින් GuardDuty, Amazon Inspector, Amazon Macie සහ තවත් කිහිප දෙනෙකුගෙන් ලැබුණු දත්ත විශ්ලේෂණය ඇතුළත් නව කළමනාකරණ පද්ධතියක්, Amazon Security Hub දියත් කරන ලදී. තවත් උදාහරණයක් වන්නේ SIEM - AzLog සමඟ Azure ලොග් ඒකාබද්ධ කිරීමේ මෙවලමයි. එය බොහෝ SIEM වෙළෙන්දන් විසින් සක්‍රියව භාවිතා කරන ලදී, 2018 දී මයික්‍රොසොෆ්ට් එහි සංවර්ධනය සහ සහාය නතර කරන බව නිවේදනය කරන තෙක්, මෙම මෙවලම භාවිතා කළ බොහෝ සේවාදායකයින්ට ගැටලුවක් ඇති විය (අපි එය විසඳන ආකාරය ගැන පසුව කතා කරමු).

එමනිසා, ඔබේ වලාකුළු සපයන්නා ඔබට පිරිනමන සියලුම අධීක්ෂණ විශේෂාංග හොඳින් නිරීක්ෂණය කරන්න. නැතහොත් ඔබේ SOC සහ ඔබට නිරීක්ෂණය කිරීමට අවශ්‍ය වලාකුළු අතර අතරමැදියන් ලෙස ක්‍රියා කරන බාහිර විසඳුම් සපයන්නන් මත රඳා සිටින්න. ඔව්, එය වඩා මිල අධික වනු ඇත (සෑම විටම නොවේ), නමුත් ඔබ සියලු වගකීම් වෙනත් කෙනෙකුගේ උරහිස් මතට මාරු කරනු ඇත. එසේත් නැතිනම් සියල්ල නොවේද?.. අපි හවුල් ආරක්ෂාව පිළිබඳ සංකල්පය මතක තබා ගෙන අපට කිසිවක් මාරු කළ නොහැකි බව තේරුම් ගනිමු - විවිධ වලාකුළු සපයන්නන් ඔබේ දත්ත, යෙදුම්, අථත්‍ය යන්ත්‍ර සහ වෙනත් සම්පත් වල තොරතුරු ආරක්ෂාව අධීක්ෂණය කරන්නේ කෙසේදැයි අපට ස්වාධීනව තේරුම් ගත යුතුය. වලාකුළෙහි සත්කාරකත්වය දරයි. තවද අපි මෙම කොටසෙහි Amazon ලබා දෙන දේ සමඟ ආරම්භ කරමු.

උදාහරණ: AWS මත පදනම්ව IaaS හි තොරතුරු ආරක්ෂණ අධීක්ෂණය

ඔව්, ඔව්, මෙය ඇමරිකානු සේවාවක් වන අතර එය අන්තවාදයට එරෙහි සටනේ කොටසක් ලෙස සහ රුසියාවේ තහනම් තොරතුරු බෙදා හැරීමේ කොටසක් ලෙස අවහිර කළ හැකි නිසා Amazon හොඳම උදාහරණය නොවන බව මට වැටහේ. නමුත් මෙම ප්‍රකාශනයේ විවිධ වලාකුළු වේදිකා ඒවායේ තොරතුරු ආරක්ෂණ අධීක්ෂණ හැකියාවන්ගෙන් වෙනස් වන ආකාරය සහ ආරක්ෂක දෘෂ්ටි කෝණයකින් ඔබේ ප්‍රධාන ක්‍රියාවලීන් වලාකුළු වෙත මාරු කිරීමේදී ඔබ අවධානය යොමු කළ යුතු දේ පෙන්වීමට මම කැමතියි. හොඳයි, සමහර රුසියානු වලාකුළු විසඳුම් සංවර්ධකයින් තමන්ට ප්‍රයෝජනවත් දෙයක් ඉගෙන ගන්නේ නම්, එය විශිෂ්ට වනු ඇත.

වලාකුළු ආරක්ෂණ අධීක්ෂණය

මුලින්ම කිව යුතු දෙය නම් ඇමේසන් යනු නොබිඳිය හැකි බලකොටුවක් නොවන බවයි. ඔහුගේ ගනුදෙනුකරුවන්ට විවිධ සිදුවීම් නිතිපතා සිදු වේ. උදාහරණයක් ලෙස, මිලියන 198 ක ඡන්දදායකයින්ගේ නම්, ලිපිනයන්, උපන්දිනයන් සහ දුරකථන අංක Deep Root Analytics වෙතින් සොරකම් කර ඇත. ඊශ්‍රායල සමාගමක් වන නයිස් සිස්ටම්ස් වෙරිසොන් ග්‍රාහකයින්ගේ වාර්තා මිලියන 14 ක් සොරකම් කර ඇත. කෙසේ වෙතත්, AWS හි අන්තර්ගත හැකියාවන් ඔබට පුළුල් පරාසයක සිදුවීම් හඳුනා ගැනීමට ඉඩ සලසයි. උදාහරණ වශයෙන්:

  • යටිතල පහසුකම් මත බලපෑම (DDoS)
  • නෝඩ් සම්මුතිය (විධාන එන්නත්)
  • ගිණුම් සම්මුතිය සහ අනවසර ප්‍රවේශය
  • වැරදි වින්‍යාසය සහ දුර්වලතා
  • අනාරක්ෂිත අතුරුමුහුණත් සහ API.

මෙම විෂමතාවයට හේතු වී ඇත්තේ, අප ඉහත සොයා ගත් පරිදි, පාරිභෝගික දත්තවල ආරක්ෂාව සඳහා පාරිභෝගිකයා විසින්ම වගකිව යුතු වීමයි. ඔහු ආරක්ෂිත යාන්ත්‍රණ ක්‍රියාත්මක කිරීමට වෙහෙස නොබලා සහ අධීක්ෂණ මෙවලම් ක්‍රියාත්මක නොකළේ නම්, ඔහු සිද්ධිය ගැන ඉගෙන ගන්නේ මාධ්‍යයෙන් හෝ ඔහුගේ සේවාදායකයින්ගෙන් පමණි.

සිදුවීම් හඳුනා ගැනීම සඳහා, ඔබට Amazon විසින් වැඩි දියුණු කරන ලද විවිධ අධීක්ෂණ සේවා පුළුල් පරාසයක් භාවිතා කළ හැකිය (මෙය බොහෝ විට osquery වැනි බාහිර මෙවලම් මගින් අනුපූරක වේ). එබැවින්, AWS හි, සියලුම පරිශීලක ක්‍රියා ඒවා සිදු කරන්නේ කෙසේද යන්න නොසලකා - කළමනාකරණ කොන්සෝලය, විධාන රේඛාව, SDK හෝ වෙනත් AWS සේවාවන් හරහා නිරීක්ෂණය කරනු ලැබේ. එක් එක් AWS ගිණුමේ ක්‍රියාකාරකම් (පරිශීලක නාමය, ක්‍රියාව, සේවාව, ක්‍රියාකාරකම් පරාමිති සහ ප්‍රතිඵල ඇතුළුව) සහ API භාවිතය පිළිබඳ සියලුම වාර්තා AWS CloudTrail හරහා ලබා ගත හැක. ඔබට මෙම සිදුවීම් (AWS IAM කොන්සෝල පිවිසුම් වැනි) CloudTrail කොන්සෝලයෙන් නැරඹීමට, Amazon Athena භාවිතයෙන් ඒවා විශ්ලේෂණය කිරීමට හෝ Splunk, AlienVault වැනි බාහිර විසඳුම් වෙත "බාහිර" කිරීමට හැකිය. AWS CloudTrail ලොග ඔබේ AWS S3 බාල්දිය තුළ තබා ඇත.

වලාකුළු ආරක්ෂණ අධීක්ෂණය

තවත් AWS සේවා දෙකක් තවත් වැදගත් නිරීක්ෂණ හැකියාවන් ගණනාවක් සපයයි. පළමුව, Amazon CloudWatch යනු AWS සම්පත් සහ යෙදුම් සඳහා අධීක්ෂණ සේවාවක් වන අතර, වෙනත් දේ අතර, ඔබේ වලාකුළෙහි විවිධ විෂමතා හඳුනා ගැනීමට ඔබට ඉඩ සලසයි. Amazon Elastic Compute Cloud (සේවාදායකයන්), Amazon Relational Database Service (databases), Amazon Elastic MapReduce (data analysis) සහ තවත් Amazon සේවා 30ක් වැනි සියලුම ගොඩනඟන ලද AWS සේවා, ඔවුන්ගේ ලොග් ගබඩා කිරීමට Amazon CloudWatch භාවිතා කරයි. සංවර්ධකයින්ට අභිරුචි යෙදුම් සහ සේවාවන්ට ලොග් අධීක්ෂණ ක්‍රියාකාරිත්වය එක් කිරීමට Amazon CloudWatch වෙතින් විවෘත API භාවිතා කළ හැකිය, ආරක්ෂක සන්දර්භයක් තුළ සිදුවීම් විශ්ලේෂණයේ විෂය පථය පුළුල් කිරීමට ඔවුන්ට ඉඩ සලසයි.

වලාකුළු ආරක්ෂණ අධීක්ෂණය

දෙවනුව, VPC ප්‍රවාහ ලොග් සේවාව මඟින් ඔබගේ AWS සේවාදායකයන් (බාහිර හෝ අභ්‍යන්තරව) මෙන්ම ක්ෂුද්‍ර සේවා අතර එවන ලද හෝ ලැබුණු ජාල ගමනාගමනය විශ්ලේෂණය කිරීමට ඔබට ඉඩ සලසයි. ඔබගේ ඕනෑම AWS VPC සම්පත් ජාලය සමඟ අන්තර් ක්‍රියා කරන විට, මූලාශ්‍රය සහ ගමනාන්ත ජාල අතුරුමුහුණත, මෙන්ම IP ලිපින, වරාය, ප්‍රොටෝකෝලය, බයිට් ගණන සහ ඔබ පැකට් ගණන ඇතුළුව ජාල ගමනාගමනය පිළිබඳ විස්තර VPC Flow Logs වාර්තා කරයි. දැක්කා. දේශීය ජාල ආරක්ෂාව පිළිබඳ අත්දැකීම් ඇති අය මෙය නූල් වලට සමාන බව හඳුනා ගනී නෙට්ෆ්ලෝ, ස්විච, රවුටර සහ ව්‍යවසාය ශ්‍රේණියේ ෆයර්වෝල් මගින් නිර්මාණය කළ හැක. මෙම ලඝු-සටහන් තොරතුරු ආරක්ෂණ අධීක්ෂණ අරමුණු සඳහා වැදගත් වන්නේ පරිශීලකයින්ගේ සහ යෙදුම්වල ක්‍රියා පිළිබඳ සිදුවීම් මෙන් නොව, AWS අතථ්‍ය පුද්ගලික වලාකුළු පරිසරය තුළ ජාල අන්තර්ක්‍රියා අතපසු නොකිරීමට ඒවා ඔබට ඉඩ සලසයි.

වලාකුළු ආරක්ෂණ අධීක්ෂණය

සාරාංශයක් ලෙස, මෙම AWS සේවා තුන - AWS CloudTrail, Amazon CloudWatch, සහ VPC Flow Logs - එක්ව ඔබගේ ගිණුම් භාවිතය, පරිශීලක හැසිරීම, යටිතල පහසුකම් කළමනාකරණය, යෙදුම් සහ සේවා ක්‍රියාකාරකම් සහ ජාල ක්‍රියාකාරකම් පිළිබඳ තරමක් ප්‍රබල අවබෝධයක් ලබා දේ. උදාහරණයක් ලෙස, පහත සඳහන් විෂමතා හඳුනා ගැනීමට ඒවා භාවිතා කළ හැකිය:

  • වෙබ් අඩවිය පරිලෝකනය කිරීමට උත්සාහ කිරීම, පිටුපස දොර සෙවීම, "දෝෂ 404" පිපිරීම් හරහා දුර්වලතා සෙවීම.
  • "දෝෂ 500" පිපිරීම් හරහා එන්නත් ප්‍රහාර (උදාහරණයක් ලෙස, SQL එන්නත් කිරීම).
  • දන්නා ප්‍රහාරක මෙවලම් වන්නේ sqlmap, nikto, w3af, nmap යනාදියයි. පරිශීලක නියෝජිත ක්ෂේත්රයේ විශ්ලේෂණය හරහා.

Amazon Web Services විසින් සයිබර් ආරක්ෂණ අරමුණු සඳහා වෙනත් සේවාවන් ද සංවර්ධනය කර ඇති අතර එමඟින් ඔබට තවත් බොහෝ ගැටලු විසඳීමට ඉඩ සලසයි. උදාහරණයක් ලෙස, AWS සතුව විගණන ප්‍රතිපත්ති සහ වින්‍යාස කිරීම් සඳහා ගොඩනඟන ලද සේවාවක් ඇත - AWS වින්‍යාසය. මෙම සේවාව ඔබගේ AWS සම්පත් සහ ඒවායේ වින්‍යාසයන් අඛණ්ඩව විගණනය කරයි. අපි සරල උදාහරණයක් ගනිමු: ඔබගේ සියලුම සර්වර් වල පරිශීලක මුරපද අක්‍රිය කර ඇති බවත් ප්‍රවේශ විය හැක්කේ සහතික මත පමණක් බවත් සහතික කර ගැනීමට ඔබට අවශ්‍ය යැයි සිතමු. AWS වින්‍යාසය ඔබගේ සියලුම සේවාදායකයන් සඳහා මෙය පරීක්ෂා කිරීම පහසු කරයි. ඔබගේ ක්ලවුඩ් සේවාදායකයන්ට යෙදිය හැකි වෙනත් ප්‍රතිපත්ති තිබේ: "කිසිම සේවාදායකයකුට වරාය 22 භාවිතා කළ නොහැක", "පරිපාලකයින්ට පමණක් ෆයර්වෝල් නීති වෙනස් කළ හැකිය" හෝ "පරිශීලක ඉවාෂ්කෝට පමණක් නව පරිශීලක ගිණුම් සෑදිය හැක, ඔහුට එය කළ හැක්කේ අඟහරුවාදා දිනවල පමණි. " 2016 ගිම්හානයේදී, සංවර්ධිත ප්‍රතිපත්ති උල්ලංඝනය කිරීම් හඳුනා ගැනීම ස්වයංක්‍රීය කිරීම සඳහා AWS වින්‍යාස කිරීමේ සේවාව පුළුල් කරන ලදී. AWS වින්‍යාස රීති යනු ඔබ භාවිතා කරන ඇමේසන් සේවා සඳහා අවශ්‍යයෙන්ම අඛණ්ඩ වින්‍යාස කිරීමේ ඉල්ලීම් වන අතර, අදාළ ප්‍රතිපත්ති උල්ලංඝනය කළහොත් සිදුවීම් උත්පාදනය කරයි. උදාහරණයක් ලෙස, අථත්‍ය සේවාදායකයක ඇති සියලුම තැටි සංකේතනය කර ඇති බව තහවුරු කිරීමට AWS වින්‍යාස විමසුම් කාලානුරූපව ක්‍රියාත්මක කරනවා වෙනුවට, මෙම කොන්දේසිය සපුරා ඇති බව සහතික කිරීම සඳහා සේවාදායක තැටි අඛණ්ඩව පරීක්ෂා කිරීමට AWS වින්‍යාස රීති භාවිතා කළ හැක. තවද, වඩාත්ම වැදගත් දෙය නම්, මෙම ප්‍රකාශනයේ සන්දර්භය තුළ, ඕනෑම උල්ලංඝනයක් ඔබගේ තොරතුරු ආරක්ෂණ සේවාව මගින් විශ්ලේෂණය කළ හැකි සිදුවීම් ජනනය කරයි.

වලාකුළු ආරක්ෂණ අධීක්ෂණය

AWS සතුව සාම්ප්‍රදායික ආයතනික තොරතුරු ආරක්ෂණ විසඳුම් වලට සමාන වන අතර, ඔබට විශ්ලේෂණය කළ හැකි සහ විශ්ලේෂණය කළ යුතු ආරක්ෂක සිදුවීම් ද ජනනය කරයි:

  • ආක්‍රමණය හඳුනාගැනීම - AWS GuardDuty
  • තොරතුරු කාන්දු පාලනය - AWS Macie
  • EDR (එය වලාකුළෙහි අන්ත ලක්ෂ්‍ය ගැන ටිකක් අමුතු ලෙස කතා කරයි) - AWS Cloudwatch + open source osquery හෝ GRR විසඳුම්
  • Netflow විශ්ලේෂණය - AWS Cloudwatch + AWS VPC ප්රවාහය
  • DNS විශ්ලේෂණය - AWS Cloudwatch + AWS Route53
  • AD - AWS නාමාවලි සේවාව
  • ගිණුම් කළමනාකරණය - AWS IAM
  • SSO - AWS SSO
  • ආරක්ෂක විශ්ලේෂණය - AWS පරීක්ෂක
  • වින්‍යාස කළමනාකරණය - AWS වින්‍යාසය
  • WAF - AWS WAF.

තොරතුරු ආරක්ෂණ සන්දර්භය තුළ ප්‍රයෝජනවත් විය හැකි සියලුම ඇමසන් සේවාවන් මම විස්තරාත්මකව විස්තර නොකරමි. ප්‍රධාන දෙය නම්, ඒ සියල්ලටම අපට තොරතුරු ආරක්ෂණ සන්දර්භය තුළ විශ්ලේෂණය කළ හැකි සහ විශ්ලේෂණය කළ හැකි සිදුවීම් ජනනය කළ හැකි බව තේරුම් ගැනීම, මේ සඳහා ඇමේසන් හි ගොඩනඟන ලද හැකියාවන් සහ බාහිර විසඳුම් යන දෙකම භාවිතා කරයි, උදාහරණයක් ලෙස, SIEM ආරක්ෂක සිදුවීම් ඔබගේ අධීක්ෂණ මධ්‍යස්ථානය වෙත ගෙන ගොස් අනෙකුත් ක්ලවුඩ් සේවා වලින් හෝ අභ්‍යන්තර යටිතල පහසුකම්, පරිමිතිය හෝ ජංගම උපාංග වලින් සිදුවීම් සමඟ ඒවා විශ්ලේෂණය කරන්න.

වලාකුළු ආරක්ෂණ අධීක්ෂණය

ඕනෑම අවස්ථාවක, ඒ සියල්ල ඔබට තොරතුරු ආරක්ෂණ සිදුවීම් සපයන දත්ත මූලාශ්‍රවලින් ආරම්භ වේ. මෙම මූලාශ්‍රවලට ඇතුළත් වන්නේ, නමුත් ඒවාට සීමා නොවේ:

  • CloudTrail - API භාවිතය සහ පරිශීලක ක්‍රියා
  • විශ්වාසවන්ත උපදේශක - හොඳම භාවිතයන්ට එරෙහිව ආරක්ෂක පරීක්ෂාව
  • වින්‍යාසය - ගිණුම් සහ සේවා සැකසුම් ඉන්වෙන්ටරි සහ වින්‍යාස කිරීම
  • VPC Flow Logs - අතථ්‍ය අතුරුමුහුණත් සඳහා සම්බන්ධතා
  • IAM - හඳුනාගැනීමේ සහ සත්‍යාපන සේවාව
  • ELB ප්‍රවේශ ලොග - පූරණ ශේෂය
  • පරීක්ෂක - යෙදුම් දුර්වලතා
  • S3 - ගොනු ගබඩා කිරීම
  • CloudWatch - යෙදුම් ක්‍රියාකාරකම්
  • SNS යනු දැනුම් දීමේ සේවාවකි.

Amazon, ඔවුන්ගේ පරම්පරාව සඳහා එවැනි සිදුවීම් මූලාශ්‍ර සහ මෙවලම් පරාසයක් පිරිනමන අතර, තොරතුරු සුරක්ෂිතතාවයේ සන්දර්භය තුළ එකතු කරන ලද දත්ත විශ්ලේෂණය කිරීමේ හැකියාව ඉතා සීමිතය. ඔබට පවතින ලඝු-සටහන් ස්වාධීනව අධ්‍යයනය කිරීමට සිදුවනු ඇත, ඒවායේ සම්මුතියේ අදාළ දර්ශක සොයමින්. Amazon විසින් මෑතකදී දියත් කරන ලද AWS Security Hub, AWS සඳහා Cloud SIEM බවට පත්වීමෙන් මෙම ගැටළුව විසඳීම අරමුණු කරයි. නමුත් මෙතෙක් එය එහි ගමනේ ආරම්භයේ පමණක් වන අතර එය ක්‍රියා කරන ප්‍රභවයන් සංඛ්‍යාව සහ Amazon හි ගෘහ නිර්මාණ ශිල්පය සහ දායකත්වයන් විසින් ස්ථාපිත කර ඇති වෙනත් සීමාවන් මගින් සීමා වේ.

උදාහරණ: Azure මත පදනම්ව IaaS හි තොරතුරු ආරක්ෂණ අධීක්ෂණය

වලාකුළු සපයන්නන් තිදෙනාගෙන් (Amazon, Microsoft හෝ Google) වඩා හොඳ කුමක්ද යන්න පිළිබඳ දීර්ඝ විවාදයකට යාමට මට අවශ්‍ය නැත (විශේෂයෙන් ඒ සෑම එකක්ම තවමත් තමන්ගේම නිශ්චිත විශේෂතා ඇති අතර එහි ගැටළු විසඳීමට සුදුසු බැවින්); මෙම ක්‍රීඩකයින් සපයන තොරතුරු ආරක්ෂණ අධීක්ෂණ හැකියාවන් කෙරෙහි අවධානය යොමු කරමු. Amazon AWS මෙම කොටසේ පළමු එකක් වූ අතර එම නිසා එහි තොරතුරු ආරක්ෂණ ක්‍රියාකාරකම් අනුව ඉදිරියටම ගොස් ඇති බව පිළිගත යුතුය (බොහෝ ඒවා භාවිතා කිරීමට අපහසු බව පිළිගන්නා නමුත්). නමුත් මයික්‍රොසොෆ්ට් සහ ගූගල් අපට ලබා දෙන අවස්ථා අප නොසලකා හරින බව මින් අදහස් නොවේ.

මයික්‍රොසොෆ්ට් නිෂ්පාදන සෑම විටම ඒවායේ “විවෘතභාවය” මගින් කැපී පෙනෙන අතර Azure හි තත්වය සමාන වේ. උදාහරණයක් ලෙස, AWS සහ GCP සෑම විටම "අවසර නොකළ දේ තහනම්" යන සංකල්පයෙන් ඉදිරියට යනවා නම්, Azure හි ඇත්තේ හරියටම ප්‍රතිවිරුද්ධ ප්‍රවේශයයි. උදාහරණයක් ලෙස, වලාකුළෙහි අථත්‍ය ජාලයක් සහ එහි අථත්‍ය යන්ත්‍රයක් නිර්මාණය කිරීමේදී, සියලුම වරායන් සහ ප්‍රොටෝකෝල විවෘත වන අතර පෙරනිමියෙන් අවසර දෙනු ලැබේ. එමනිසා, මයික්රොසොෆ්ට් වෙතින් වලාකුළෙහි ප්රවේශ පාලන පද්ධතියේ ආරම්භක සැකසුම සඳහා ඔබට තව ටිකක් වැඩි උත්සාහයක් වැය කිරීමට සිදුවනු ඇත. තවද මෙය Azure cloud හි අධීක්ෂණ ක්‍රියාකාරකම් සම්බන්ධයෙන් ඔබට වඩාත් දැඩි අවශ්‍යතා පනවයි.

වලාකුළු ආරක්ෂණ අධීක්ෂණය

ඔබ ඔබේ අතථ්‍ය සම්පත් නිරීක්ෂණය කරන විට, ඒවා විවිධ ප්‍රදේශවල පිහිටා තිබේ නම්, සියලුම සිදුවීම් සහ ඒවායේ ඒකාබද්ධ විශ්ලේෂණයන් ඒකාබද්ධ කිරීමේදී ඔබට දුෂ්කරතා ඇති බව AWS හි විශේෂත්වයක් ඇත, ඒවා ඉවත් කිරීම සඳහා ඔබට විවිධ උපක්‍රම භාවිතා කළ යුතුය. කලාප අතර සිදුවීම් ප්‍රවාහනය කරන AWS Lambda සඳහා ඔබේම කේතයක් සාදන්න. Azure හට මෙම ගැටලුවක් නොමැත - එහි ක්‍රියාකාරකම් ලොග් යාන්ත්‍රණය සීමාවකින් තොරව සමස්ත ආයතනය පුරා සියලුම ක්‍රියාකාරකම් නිරීක්ෂණය කරයි. තනි ආරක්ෂක මධ්‍යස්ථානයක් තුළ බොහෝ ආරක්ෂක කාර්යයන් ඒකාබද්ධ කිරීම සඳහා ඇමේසන් විසින් මෑතකදී සංවර්ධනය කරන ලද AWS ආරක්ෂක මධ්‍යස්ථානයට ද එය අදාළ වේ, නමුත් එහි කලාපය තුළ පමණක්, කෙසේ වෙතත්, එය රුසියාවට අදාළ නොවේ. Azure සතුව තමන්ගේම ආරක්ෂක මධ්‍යස්ථානයක් ඇත, එය කලාපීය සීමා කිරීම් වලින් බැඳී නැත, වලාකුළු වේදිකාවේ සියලුම ආරක්ෂක විශේෂාංග වෙත ප්‍රවේශය සපයයි. එපමනක් නොව, විවිධ දේශීය කණ්ඩායම් සඳහා ඔවුන් විසින් කළමනාකරණය කරනු ලබන ආරක්ෂක සිදුවීම් ඇතුළුව තමන්ගේම ආරක්ෂිත හැකියාවන් කට්ටලයක් සැපයිය හැකිය. AWS ආරක්ෂක මධ්‍යස්ථානය තවමත් Azure ආරක්ෂක මධ්‍යස්ථානයට සමාන වෙමින් පවතී. නමුත් විලවුන් වලට මැස්සක් එකතු කිරීම වටී - ඔබට AWS හි කලින් විස්තර කර ඇති බොහෝ දේ ඔබට Azure වෙතින් මිරිකා ගත හැකිය, නමුත් මෙය වඩාත් පහසු ලෙස සිදු කරනු ලබන්නේ Azure AD, Azure Monitor සහ Azure Security Center සඳහා පමණි. ආරක්‍ෂක සිදුවීම් විශ්ලේෂණය ඇතුළු අනෙකුත් සියලුම Azure ආරක්‍ෂක යාන්ත්‍රණයන් වඩාත් පහසු ආකාරයෙන් තවමත් කළමනාකරණය කර නොමැත. සියලුම මයික්‍රොසොෆ්ට් Azure සේවාවන් විනිවිද යන API මගින් ගැටළුව අර්ධ වශයෙන් විසඳනු ලැබේ, නමුත් මෙය ඔබේ SOC සමඟ ඔබේ වලාකුළ ඒකාබද්ධ කිරීමට සහ සුදුසුකම් ලත් විශේෂ ists යින්ගේ පැමිණීම සඳහා ඔබගෙන් අමතර උත්සාහයක් අවශ්‍ය වනු ඇත (ඇත්ත වශයෙන්ම, වලාකුළු සමඟ ක්‍රියා කරන වෙනත් ඕනෑම SIEM සමඟ මෙන්. APIs). සමහර SIEMs, පසුව සාකච්ඡා කරනු ඇත, දැනටමත් Azure සඳහා සහය දක්වන අතර එය අධීක්ෂණය කිරීමේ කාර්යය ස්වයංක්‍රීය කළ හැකිය, නමුත් එයට තමන්ගේම දුෂ්කරතා ද ඇත - ඒ සියල්ලටම Azure සතුව ඇති සියලුම ලොග් එකතු කළ නොහැක.

වලාකුළු ආරක්ෂණ අධීක්ෂණය

Azure හි සිදුවීම් එකතු කිරීම සහ අධීක්ෂණය සපයනු ලබන්නේ Azure Monitor සේවාව භාවිතා කරමිනි, එය Microsoft cloud හි දත්ත රැස් කිරීම, ගබඩා කිරීම සහ විශ්ලේෂණය කිරීම සහ එහි සම්පත් - Git ගබඩාවන්, බහාලුම්, අතථ්‍ය යන්ත්‍ර, යෙදුම් ආදියෙහි ප්‍රධාන මෙවලම වේ. Azure Monitor විසින් රැස් කරන ලද සියලුම දත්ත කාණ්ඩ දෙකකට බෙදා ඇත - ප්‍රමිතික, තත්‍ය කාලීනව එකතු කරන ලද සහ Azure වලාකුළේ ප්‍රධාන කාර්ය සාධන දර්ශක විස්තර කිරීම සහ Azure සම්පත් සහ සේවාවන්හි ක්‍රියාකාරකම්වල ඇතැම් අංගයන් සංලක්ෂිත වාර්තා වලට සංවිධානය කර ඇති දත්ත අඩංගු ලොග. මීට අමතරව, දත්ත එකතු කිරීමේ API භාවිතා කරමින්, Azure Monitor සේවාවට තමන්ගේම අධීක්ෂණ අවස්ථා ගොඩ නැගීම සඳහා ඕනෑම REST මූලාශ්‍රයකින් දත්ත රැස් කළ හැක.

වලාකුළු ආරක්ෂණ අධීක්ෂණය

මෙන්න Azure ඔබට පිරිනමන ආරක්ෂක සිදුවීම් මූලාශ්‍ර කිහිපයක් සහ ඔබට Azure Portal, CLI, PowerShell, හෝ REST API හරහා ප්‍රවේශ විය හැක (සහ සමහරක් Azure Monitor/Insight API හරහා පමණි):

  • ක්‍රියාකාරකම් ලොග - වලාකුළු සම්පත් මත ඕනෑම ලිවීමේ මෙහෙයුමක් (PUT, POST, DELETE) සම්බන්ධයෙන් “කවුද,” “කුමක්ද,” සහ “කවදාද” යන සම්භාව්‍ය ප්‍රශ්නවලට මෙම ලොගය පිළිතුරු සපයයි. කියවීමට ප්‍රවේශයට අදාළ සිදුවීම් (GET) මෙම ලොගය තුළ වෙනත් ගනනාවක් මෙන් ඇතුළත් නොවේ.
  • රෝග විනිශ්චය ලොග - ඔබේ දායකත්වයට ඇතුළත් කර ඇති විශේෂිත සම්පතක් සමඟ මෙහෙයුම් පිළිබඳ දත්ත අඩංගු වේ.
  • Azure AD වාර්තා කිරීම - කණ්ඩායම් සහ පරිශීලක කළමනාකරණයට අදාළ පරිශීලක ක්‍රියාකාරකම් සහ පද්ධති ක්‍රියාකාරකම් යන දෙකම අඩංගු වේ.
  • Windows Event Log සහ Linux Syslog - ක්ලවුඩ් හි සත්කාරකත්වය දරන අථත්‍ය යන්ත්‍ර වලින් සිදුවීම් අඩංගු වේ.
  • ප්‍රමිතික - ඔබගේ ක්ලවුඩ් සේවා සහ සම්පත් වල ක්‍රියාකාරීත්වය සහ සෞඛ්‍ය තත්ත්වය පිළිබඳ ටෙලිමිතික අඩංගු වේ. සෑම මිනිත්තුවක්ම මනිනු ලබන අතර ගබඩා කර ඇත. දින 30 ක් ඇතුළත.
  • Network Security Group Flow Logs - Network Watcher සේවාව භාවිතයෙන් එකතු කරන ලද ජාල ආරක්ෂණ සිදුවීම් සහ ජාල මට්ටමින් සම්පත් අධීක්ෂණය පිළිබඳ දත්ත අඩංගු වේ.
  • ගබඩා ලොග - ගබඩා පහසුකම් සඳහා ප්‍රවේශය සම්බන්ධ සිදුවීම් අඩංගු වේ.

වලාකුළු ආරක්ෂණ අධීක්ෂණය

අධීක්ෂණය සඳහා, ඔබට බාහිර SIEMs හෝ බිල්ට් Azure Monitor සහ එහි දිගු භාවිතා කළ හැක. අපි පසුව තොරතුරු ආරක්ෂණ සිදුවීම් කළමනාකරණ පද්ධති ගැන කතා කරමු, නමුත් දැන් අපි බලමු ආරක්ෂාව සම්බන්ධයෙන් දත්ත විශ්ලේෂණය සඳහා Azure විසින්ම අපට ලබා දෙන දේ. Azure Monitor හි ආරක්‍ෂාවට සම්බන්ධ සෑම දෙයක් සඳහාම ප්‍රධාන තිරය වන්නේ Log Analytics Security සහ Audit Dashboard (නොමිලේ අනුවාදය සතියක් සඳහා සීමිත සිදුවීම් ගබඩාවකට සහය දක්වයි). මෙම උපකරණ පුවරුව ඔබ භාවිතා කරන වලාකුළු පරිසරයේ සිදුවන දේ පිළිබඳ සාරාංශ සංඛ්‍යාලේඛන දෘශ්‍යමාන කරන ප්‍රධාන ක්ෂේත්‍ර 5කට බෙදා ඇත:

  • ආරක්‍ෂක වසම් - තොරතුරු ආරක්‍ෂාවට අදාළ ප්‍රධාන ප්‍රමාණාත්මක දර්ශක - සිද්ධි සංඛ්‍යාව, සම්මුතියට පත් නෝඩ් ගණන, නොගැලපෙන නෝඩ්, ජාල ආරක්‍ෂක සිදුවීම් යනාදිය.
  • සැලකිය යුතු ගැටළු - ක්‍රියාකාරී තොරතුරු ආරක්ෂණ ගැටළු වල සංඛ්‍යාව සහ වැදගත්කම පෙන්වයි
  • හඳුනාගැනීම් - ඔබට එරෙහිව භාවිතා කරන ප්‍රහාර රටා පෙන්වයි
  • තර්ජන බුද්ධිය - ඔබට පහර දෙන බාහිර නෝඩ් වල භූගෝලීය තොරතුරු පෙන්වයි
  • පොදු ආරක්‍ෂක විමසුම් - ඔබගේ තොරතුරු ආරක්‍ෂාව වඩා හොඳින් නිරීක්ෂණය කිරීමට උපකාර වන සාමාන්‍ය විමසුම්.

වලාකුළු ආරක්ෂණ අධීක්ෂණය

Azure Monitor දිගුවලට Azure Key Vault (වලාකුළෙහි ගුප්ත ලේඛන යතුරු ආරක්ෂා කිරීම), අනිෂ්ට මෘදුකාංග තක්සේරුව (අථත්‍ය යන්ත්‍රවල අනිෂ්ට කේතයන්ට එරෙහිව ආරක්ෂාව පිළිබඳ විශ්ලේෂණය), Azure යෙදුම් ගේට්වේ විශ්ලේෂණ (අනෙකුත් දේ අතර, වලාකුළු ෆයර්වෝල් ලොග් විශ්ලේෂණය) ආදිය ඇතුළත් වේ. . සිදුවීම් සැකසීම සඳහා යම් නීතිරීතිවලින් පොහොසත් මෙම මෙවලම්, ආරක්ෂාව ඇතුළුව වලාකුළු සේවා වල ක්‍රියාකාරකම්වල විවිධ පැතිකඩයන් දෘශ්‍යමාන කිරීමට සහ ක්‍රියාකාරිත්වයෙන් යම් යම් අපගමනයන් හඳුනා ගැනීමට ඔබට ඉඩ සලසයි. එහෙත්, බොහෝ විට සිදු වන පරිදි, ඕනෑම අතිරේක ක්‍රියාකාරීත්වයකට අනුරූප ගෙවන දායකත්වයක් අවශ්‍ය වේ, ඒ සඳහා ඔබෙන් අනුරූප මූල්‍ය ආයෝජන අවශ්‍ය වනු ඇත, ඔබ කල්තියා සැලසුම් කළ යුතුය.

වලාකුළු ආරක්ෂණ අධීක්ෂණය

Azure සතුව Azure AD, Azure Monitor සහ Azure ආරක්ෂක මධ්‍යස්ථානයට ඒකාබද්ධ වී ඇති තර්ජන අධීක්ෂණ හැකියාවන් ගණනාවක් ඇත. ඒවා අතර, උදාහරණයක් ලෙස, දන්නා අනිෂ්ට IPs සමඟ අථත්‍ය යන්ත්‍රවල අන්තර්ක්‍රියා හඳුනා ගැනීම (Microsoft වෙතින් තර්ජන බුද්ධි සේවා සමඟ ඒකාබද්ධ වීම හේතුවෙන්), Cloud හි සත්කාරකත්වය දක්වන අථත්‍ය යන්ත්‍රවලින් අනතුරු ඇඟවීම් ලබා ගැනීමෙන් Cloud Infrastructure හි අනිෂ්ට මෘදුකාංග හඳුනා ගැනීම, මුරපදය අතථ්‍ය යන්ත්‍ර මත ප්‍රහාර අනුමාන කිරීම, පරිශීලක හඳුනාගැනීමේ පද්ධතියේ වින්‍යාසයේ ඇති දුර්වලතා, නිර්නාමික හෝ ආසාදිත නෝඩ් වලින් පද්ධතියට ඇතුළු වීම, ගිණුම් කාන්දුවීම්, අසාමාන්‍ය ස්ථාන වලින් පද්ධතියට ඇතුළු වීම යනාදිය. Azure අද ඔබට එකතු කරන ලද තොරතුරු ආරක්ෂණ සිදුවීම් පොහොසත් කිරීමට තර්ජන බුද්ධි හැකියාවන් ලබා දෙන වලාකුළු සපයන්නන් කිහිප දෙනාගෙන් එකකි.

වලාකුළු ආරක්ෂණ අධීක්ෂණය

ඉහත සඳහන් කළ පරිදි, ආරක්‍ෂක ක්‍රියාකාරීත්වය සහ එහි ප්‍රතිඵලයක් වශයෙන්, එය විසින් ජනනය කරන ලද ආරක්‍ෂක සිදුවීම් සියලුම පරිශීලකයින්ට එක හා සමානව ලබා ගත නොහැක, නමුත් ඔබට අවශ්‍ය ක්‍රියාකාරීත්වය ඇතුළත් යම් දායකත්වයක් අවශ්‍ය වන අතර එමඟින් තොරතුරු ආරක්‍ෂාව අධීක්ෂණය සඳහා සුදුසු සිදුවීම් ජනනය කරයි. උදාහරණයක් ලෙස, ගිණුම්වල විෂමතා නිරීක්ෂණය කිරීම සඳහා පෙර ඡේදයේ විස්තර කර ඇති සමහර කාර්යයන් Azure AD සේවාව සඳහා P2 වාරික බලපත්‍රයේ පමණක් පවතී. එය නොමැතිව, AWS හි මෙන්, ඔබට එකතු කරන ලද ආරක්ෂක සිදුවීම් "අතින්" විශ්ලේෂණය කිරීමට සිදුවනු ඇත. තවද, Azure AD බලපත්‍රයේ වර්ගය මත පදනම්ව, සියලුම සිදුවීම් විශ්ලේෂණය සඳහා ලබා ගත නොහැක.

Azure ද්වාරයෙහි, ඔබට උනන්දුවක් දක්වන ලඝු-සටහන් සඳහා සෙවුම් විමසුම් දෙකම කළමනාකරණය කළ හැකි අතර ප්‍රධාන තොරතුරු ආරක්ෂණ දර්ශක දෘශ්‍යමාන කිරීමට උපකරණ පුවරු සැකසීමට හැකිය. ඊට අමතරව, එහිදී ඔබට Azure Monitor දිගු තෝරාගත හැක, එමඟින් Azure Monitor ලොග් වල ක්‍රියාකාරිත්වය පුළුල් කිරීමට සහ ආරක්ෂක දෘෂ්ටි කෝණයකින් සිදුවීම් පිළිබඳ ගැඹුරු විශ්ලේෂණයක් ලබා ගැනීමට ඔබට ඉඩ සලසයි.

වලාකුළු ආරක්ෂණ අධීක්ෂණය

ඔබට ලොග් සමඟ වැඩ කිරීමේ හැකියාව පමණක් නොව, තොරතුරු ආරක්ෂණ ප්‍රතිපත්ති කළමනාකරණය ඇතුළුව ඔබේ Azure වලාකුළු වේදිකාව සඳහා පුළුල් ආරක්ෂක මධ්‍යස්ථානයක් අවශ්‍ය නම්, ඔබට Azure Security Center සමඟ වැඩ කිරීමේ අවශ්‍යතාවය ගැන කතා කළ හැකිය, එහි බොහෝ ප්‍රයෝජනවත් කාර්යයන් සමහර මුදල් සඳහා ලබා ගත හැකිය, උදාහරණයක් ලෙස, තර්ජන හඳුනා ගැනීම, Azure වලින් පිටත නිරීක්ෂණය කිරීම, අනුකූලතා තක්සේරුව යනාදිය. (නිදහස් අනුවාදයේ, ඔබට ප්‍රවේශය ඇත්තේ ආරක්ෂක තක්සේරුවක් සහ හඳුනාගත් ගැටළු ඉවත් කිරීම සඳහා වන නිර්දේශයන් පමණි). එය සියලු ආරක්ෂක ගැටළු එක තැනක ඒකාබද්ධ කරයි. ඇත්ත වශයෙන්ම, Azure Monitor ඔබට සපයනවාට වඩා ඉහළ මට්ටමේ තොරතුරු ආරක්ෂාවක් ගැන අපට කතා කළ හැකිය, මන්ද මේ අවස්ථාවේ දී ඔබේ Cloud කර්මාන්තශාලාව පුරා එකතු කරන ලද දත්ත Azure, Office 365, Microsoft CRM online, Microsoft Dynamics AX වැනි බොහෝ මූලාශ්‍ර භාවිතයෙන් පොහොසත් කර ඇත. , outlook .com, MSN.com, Microsoft Digital Crimes Unit (DCU) සහ Microsoft Security Response Center (MSRC), විවිධ සංකීර්ණ යන්ත්‍ර ඉගෙනුම් සහ චර්යා විශ්ලේෂණ ඇල්ගොරිතම අධිස්ථාපනය කර ඇති අතර, එමඟින් අවසානයේ තර්ජන හඳුනාගැනීමේ සහ ප්‍රතිචාර දැක්වීමේ කාර්යක්ෂමතාව වැඩි දියුණු කළ යුතුය. .

Azure හට තමන්ගේම SIEM ඇත - එය 2019 ආරම්භයේ දී දර්ශනය විය. මෙය Azure Sentinel වන අතර එය Azure Monitor වෙතින් දත්ත මත රඳා පවතින අතර එය සමඟ ඒකාබද්ධ විය හැක. බාහිර ආරක්ෂණ විසඳුම් (උදාහරණයක් ලෙස, NGFW හෝ WAF), ලැයිස්තුව නිරන්තරයෙන් වර්ධනය වේ. මීට අමතරව, Microsoft Graph Security API ඒකාබද්ධ කිරීම හරහා, ඔබට ඔබේම Threat Intelligence feeds Sentinel වෙත සම්බන්ධ කිරීමට හැකියාව ඇත, එය ඔබගේ Azure cloud හි සිදුවීම් විශ්ලේෂණය කිරීමේ හැකියාව පොහොසත් කරයි. Azure Sentinel යනු වලාකුළු සපයන්නන්ගෙන් දර්ශනය වූ පළමු “ස්වදේශීය” SIEM බව තර්ක කළ හැකිය (Cloud හි සත්කාරකත්වය දැක්විය හැකි එම Splunk හෝ ELK, උදාහරණයක් ලෙස, AWS, තවමත් සාම්ප්‍රදායික වලාකුළු සේවා සපයන්නන් විසින් සංවර්ධනය කර නොමැත). Azure Sentinel සහ ආරක්ෂක මධ්‍යස්ථානය Azure cloud සඳහා SOC ලෙස හැඳින්විය හැකි අතර ඔබට තවදුරටත් යටිතල පහසුකම් නොමැති නම් සහ ඔබ ඔබේ සියලු පරිගණක සම්පත් ක්ලවුඩ් වෙත මාරු කළේ නම් සහ එය Microsoft cloud Azure වනු ඇත.

වලාකුළු ආරක්ෂණ අධීක්ෂණය

නමුත් Azure හි ගොඩනඟන ලද හැකියාවන් (ඔබට Sentinel වෙත දායකත්වයක් ඇතත්) බොහෝ විට තොරතුරු ආරක්ෂාව අධීක්ෂණය කිරීමේ අරමුණු සඳහා ප්‍රමාණවත් නොවන බැවින් සහ මෙම ක්‍රියාවලිය වෙනත් ආරක්ෂක සිදුවීම් ප්‍රභවයන් (වලාකුළු සහ අභ්‍යන්තර යන දෙකම) සමඟ ඒකාබද්ධ කිරීම සඳහා ප්‍රමාණවත් නොවේ. එකතු කරන ලද දත්ත බාහිර පද්ධති වෙත අපනයනය කිරීමට අවශ්‍ය වේ, ඒවාට SIEM ඇතුළත් විය හැක. මෙය API භාවිතයෙන් සහ විශේෂ දිගු භාවිතා කරමින් සිදු කරනු ලබන අතර, ඒවා දැනට නිල වශයෙන් ලබා ගත හැක්කේ පහත SIEM සඳහා පමණි - Splunk (Azure Monitor Add-On for Splunk), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight සහ ELK. මෑතක් වන තුරු, එවැනි SIEMs තවත් තිබුනා, නමුත් 1 ජූනි 2019 සිට, Microsoft Azure Log Integration Tool (AzLog) සඳහා සහය දැක්වීම නැවැත්වූ අතර, Azure හි පැවැත්ම ආරම්භයේදී සහ ලොග් (Azure) සමඟ වැඩ කිරීමේ සාමාන්‍ය ප්‍රමිතිකරණය නොමැති විට. මොනිටරය තවමත් නොපවතියි) මයික්‍රොසොෆ්ට් වලාකුළ සමඟ බාහිර SIEM ඒකාබද්ධ කිරීම පහසු කළේය. දැන් තත්වය වෙනස් වී ඇති අතර අනෙකුත් SIEMs සඳහා ප්‍රධාන ඒකාබද්ධ කිරීමේ මෙවලම ලෙස Microsoft විසින් Azure Event Hub වේදිකාව නිර්දේශ කරයි. බොහෝ අය දැනටමත් එවැනි ඒකාබද්ධ කිරීමක් ක්‍රියාත්මක කර ඇත, නමුත් ප්‍රවේශම් වන්න - ඔවුන් සියලුම Azure ලොග් ග්‍රහණය කර නොගනී, නමුත් සමහරක් පමණක් (ඔබේ SIEM සඳහා ලේඛන බලන්න).

Azure වෙත කෙටි විනෝද චාරිකාවක් අවසන් කරමින්, මම මෙම වලාකුළු සේවාව පිළිබඳ සාමාන්‍ය නිර්දේශයක් ලබා දීමට කැමැත්තෙමි - ඔබ Azure හි තොරතුරු ආරක්ෂණ අධීක්ෂණ කාර්යයන් ගැන කිසිවක් පැවසීමට පෙර, ඔබ ඒවා ඉතා ප්‍රවේශමෙන් වින්‍යාස කර ඒවා ප්‍රලේඛනයේ ලියා ඇති පරිදි ක්‍රියා කරන්නේ දැයි පරීක්ෂා කළ යුතුය. උපදේශකයින් ඔබට Microsoft පැවසූ පරිදි (සහ Azure ශ්‍රිතවල ක්‍රියාකාරීත්වය පිළිබඳව ඔවුන්ට විවිධ අදහස් තිබිය හැක). ඔබට මූල්‍ය සම්පත් තිබේ නම්, තොරතුරු ආරක්ෂණ අධීක්‍ෂණය සම්බන්ධයෙන් ඔබට Azure වෙතින් ප්‍රයෝජනවත් තොරතුරු රාශියක් මිරිකා ගත හැකිය. ඔබේ සම්පත් සීමිත නම්, AWS හි මෙන්, ඔබට විශ්වාසය තැබිය යුත්තේ ඔබේම ශක්තිය සහ Azure Monitor ඔබට සපයන අමු දත්ත මත පමණි. බොහෝ අධීක්ෂණ කාර්යයන් සඳහා මුදල් වැය වන බව මතක තබා ගන්න, මිල නියම කිරීමේ ප්‍රතිපත්තිය ගැන කල්තියා හුරුපුරුදු වීම වඩා හොඳය. උදාහරණයක් ලෙස, ඔබට නොමිලේ දින 31 ක දත්ත එක් පාරිභෝගිකයෙකුට උපරිම 5 GB දක්වා ගබඩා කළ හැකිය - මෙම අගයන් ඉක්මවා යාමෙන් ඔබට අමතර මුදල් වෙන් කිරීමට අවශ්‍ය වනු ඇත (පාරිභෝගිකයාගෙන් එක් එක් අමතර GB ගබඩා කිරීම සඳහා දළ වශයෙන් $2+ සහ $0,1 සඳහා සෑම අමතර මාසයකම 1 GB ගබඩා කිරීම ). යෙදුම් ටෙලිමෙට්‍රි සහ ප්‍රමිතික සමඟ වැඩ කිරීමට අමතර අරමුදල් අවශ්‍ය විය හැකිය, මෙන්ම ඇඟවීම් සහ දැනුම්දීම් සමඟ වැඩ කිරීම (නිශ්චිත සීමාවක් නොමිලේ ලබා ගත හැකිය, එය ඔබේ අවශ්‍යතා සඳහා ප්‍රමාණවත් නොවනු ඇත).

උදාහරණය: Google Cloud Platform මත පදනම්ව IaaS හි තොරතුරු ආරක්ෂණ අධීක්ෂණය

AWS සහ Azure හා සසඳන විට Google Cloud Platform තරුණයෙකු මෙන් පෙනේ, නමුත් මෙය අර්ධ වශයෙන් හොඳයි. AWS මෙන් නොව, ආරක්ෂාව ඇතුළුව එහි හැකියාවන් වැඩි කළ, ක්‍රමයෙන්, මධ්‍යගත කිරීමේ ගැටළු ඇති; Azure වැනි GCP මධ්‍යගතව වඩා හොඳින් කළමනාකරණය වන අතර එමඟින් ව්‍යවසාය හරහා දෝෂ සහ ක්‍රියාත්මක කිරීමේ කාලය අඩු කරයි. ආරක්ෂක දෘෂ්ටි කෝණයකින්, GCP යනු, AWS සහ Azure අතර, අමුතු තරම්ය. ඔහුට සම්පූර්ණ සංවිධානය සඳහා තනි සිදුවීම් ලියාපදිංචියක් ද ඇත, නමුත් එය අසම්පූර්ණයි. සමහර කාර්යයන් තවමත් බීටා මාදිලියේ පවතී, නමුත් ක්‍රමයෙන් මෙම අඩුපාඩුව ඉවත් කළ යුතු අතර GCP තොරතුරු ආරක්ෂණ අධීක්‍ෂණය අනුව වඩාත් පරිණත වේදිකාවක් බවට පත්වනු ඇත.

වලාකුළු ආරක්ෂණ අධීක්ෂණය

GCP හි සිදුවීම් ලොග් කිරීම සඳහා වන ප්‍රධාන මෙවලම වන්නේ Stackdriver Logging (Azure Monitor හා සමාන) වන අතර එමඟින් ඔබේ සම්පූර්ණ වලාකුළු යටිතල පහසුකම් (මෙන්ම AWS වෙතින්) සිදුවීම් එකතු කිරීමට ඔබට ඉඩ සලසයි. GCP හි ආරක්ෂක දෘෂ්ටිකෝණයකින්, සෑම සංවිධානයකටම, ව්‍යාපෘතියකට හෝ ෆෝල්ඩරයට ලඝු හතරක් ඇත:

  • පරිපාලක ක්‍රියාකාරකම් - පරිපාලන ප්‍රවේශයට අදාළ සියලුම සිදුවීම් අඩංගු වේ, උදාහරණයක් ලෙස, අතථ්‍ය යන්ත්‍රයක් නිර්මාණය කිරීම, ප්‍රවේශ අයිතිවාසිකම් වෙනස් කිරීම යනාදිය. මෙම ලොගය ඔබගේ ආශාව නොසලකා සෑම විටම ලියා ඇති අතර එහි දත්ත දින 400 ක් ගබඩා කරයි.
  • දත්ත ප්‍රවේශය - වලාකුළු භාවිතා කරන්නන් විසින් දත්ත සමඟ වැඩ කිරීමට අදාළ සියලුම සිදුවීම් අඩංගු වේ (නිර්මාණය, වෙනස් කිරීම, කියවීම, ආදිය). පෙරනිමියෙන්, මෙම ලොගය ලියා නැත, එහි පරිමාව ඉතා ඉක්මනින් ඉදිමී ඇත. මේ හේතුව නිසා එහි කල් තබා ගැනීමේ කාලය දින 30 ක් පමණි. ඊට අමතරව, මෙම සඟරාවේ සෑම දෙයක්ම ලියා නැත. උදාහරණයක් ලෙස, සියලුම පරිශීලකයින්ට ප්‍රසිද්ධියේ ප්‍රවේශ විය හැකි හෝ GCP වෙත පිවිසීමෙන් තොරව ප්‍රවේශ විය හැකි සම්පත් සම්බන්ධ සිදුවීම් එයට ලියා නැත.
  • පද්ධති සිදුවීම - පරිශීලකයින්ට සම්බන්ධ නොවන පද්ධති සිදුවීම් හෝ වලාකුළු සම්පත් වින්‍යාසය වෙනස් කරන පරිපාලකයෙකුගේ ක්‍රියා අඩංගු වේ. එය සෑම විටම ලියා දින 400 ක් ගබඩා කර ඇත.
  • ප්‍රවේශ විනිවිදභාවය යනු ඔවුන්ගේ රැකියා රාජකාරිවල කොටසක් ලෙස ඔබේ යටිතල ව්‍යුහයට ප්‍රවේශ වන Google සේවකයින්ගේ (නමුත් තවමත් සියලුම GCP සේවා සඳහා නොවේ) සියලු ක්‍රියා ග්‍රහණය කර ගන්නා ලොගයක අද්විතීය උදාහරණයකි. මෙම ලොගය දින 400ක් ගබඩා කර ඇති අතර සෑම GCP සේවාලාභියෙකුටම ලබා ගත නොහැක, නමුත් කොන්දේසි ගණනාවක් සපුරා ඇත්නම් පමණි (රන් හෝ ප්ලැටිනම් මට්ටමේ සහාය, හෝ ආයතනික සහායක කොටසක් ලෙස යම් ආකාරයක භූමිකාවන් 4 ක් තිබීම). සමාන කාර්යයක් ද ඇත, උදාහරණයක් ලෙස, Office 365 - Lockbox.

ලොග් උදාහරණය: විනිවිදභාවයට පිවිසෙන්න

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

මෙම ලඝු-සටහන් වෙත ප්‍රවේශය ක්‍රම කිහිපයකින් කළ හැකිය (පෙර සාකච්ඡා කළ Azure සහ AWS ආකාරයටම) - Log Viewer අතුරුමුහුණත හරහා, API හරහා, Google Cloud SDK හරහා, හෝ ඔබේ ව්‍යාපෘතියේ ක්‍රියාකාරකම් පිටුව හරහා සිදුවීම් ගැන උනන්දු වෙති. එලෙසම, ඒවා අතිරේක විශ්ලේෂණය සඳහා බාහිර විසඳුම් වෙත අපනයනය කළ හැකිය. දෙවැන්න සිදු කරනු ලබන්නේ BigQuery හෝ Cloud Pub/Sub storage වෙත ලොග නිර්යාත කිරීමෙනි.

Stackdriver Logging වලට අමතරව, GCP වේදිකාව Stackdriver Monitoring ක්‍රියාකාරීත්වය ද ලබා දෙයි, එමඟින් ඔබට ක්ලවුඩ් සේවා සහ යෙදුම්වල ප්‍රධාන ප්‍රමිතික (කාර්ය සාධනය, MTBF, සමස්ත සෞඛ්‍යය, ආදිය) නිරීක්ෂණය කිරීමට ඉඩ සලසයි. සැකසූ සහ දෘශ්‍යකරණය කළ දත්ත මඟින් ආරක්‍ෂාවේ සන්දර්භය ඇතුළුව, ඔබේ වලාකුළු යටිතල ව්‍යුහයේ ගැටලු සොයා ගැනීම පහසු කළ හැක. නමුත් අද GCP සතුව එකම AWS GuardDuty හි ප්‍රතිසමයක් නොමැති අතර සියලුම ලියාපදිංචි සිදුවීම් අතර නරක ඒවා හඳුනාගත නොහැකි බැවින් තොරතුරු ආරක්ෂණ සන්දර්භය තුළ මෙම ක්‍රියාකාරිත්වය එතරම් පොහොසත් නොවන බව සටහන් කළ යුතුය (Google විසින් සිදුවීම් තර්ජන හඳුනාගැනීම සංවර්ධනය කර ඇත, නමුත් එය තවමත් බීටා හි සංවර්ධනය වෙමින් පවතින අතර එහි ප්‍රයෝජනය ගැන කතා කිරීමට කල් වැඩියි). Stackdriver Monitoring විෂමතා හඳුනා ගැනීම සඳහා පද්ධතියක් ලෙස භාවිතා කළ හැකි අතර, ඒවා සිදුවීමට හේතු සොයා බැලීම සඳහා විමර්ශනය කරනු ලැබේ. නමුත් වෙළඳපොලේ GCP තොරතුරු ආරක්ෂණ ක්ෂේත්‍රයේ සුදුසුකම් ලත් පුද්ගලයින්ගේ හිඟය සැලකිල්ලට ගෙන, මෙම කාර්යය දැනට දුෂ්කර බව පෙනේ.

වලාකුළු ආරක්ෂණ අධීක්ෂණය

ඔබගේ GCP වලාකුළ තුළ භාවිතා කළ හැකි සමහර තොරතුරු ආරක්ෂණ මොඩියුල ලැයිස්තුවක් ලබා දීම වටී, ඒවා AWS ලබා දෙන දේට සමාන වේ:

  • Cloud Security Command Center යනු AWS Security Hub සහ Azure Security Center හි ප්‍රතිසමයකි.
  • Cloud DLP - පූර්ව නිශ්චිත වර්ගීකරණ ප්‍රතිපත්ති 90කට වඩා භාවිතා කරමින් වලාකුළෙහි සත්කාරක දත්ත ස්වයංක්‍රීයව සොයා ගැනීම සහ සංස්කරණය කිරීම (උදා. ආවරණ කිරීම).
  • Cloud Scanner යනු App Engine, Compute Engine සහ Google Kubernetes හි දන්නා දුර්වලතා (XSS, Flash Injection, unpatched libraries, ආදිය) සඳහා වන ස්කෑනරයකි.
  • Cloud IAM - සියලුම GCP සම්පත් වෙත ප්‍රවේශය පාලනය කරන්න.
  • Cloud Identity - GCP පරිශීලක, උපාංග සහ යෙදුම් ගිණුම් තනි කොන්සෝලයකින් කළමනාකරණය කරන්න.
  • Cloud HSM - ගුප්තකේතන යතුරු ආරක්ෂා කිරීම.
  • Cloud Key Management Service - GCP හි ගුප්තකේතන යතුරු කළමනාකරණය.
  • VPC සේවා පාලනය - කාන්දුවීම් වලින් ආරක්ෂා කිරීම සඳහා ඔබේ GCP සම්පත් වටා ආරක්ෂිත පරිමිතියක් සාදන්න.
  • Titan ආරක්ෂක යතුර - තතුබෑමට එරෙහිව ආරක්ෂාව.

වලාකුළු ආරක්ෂණ අධීක්ෂණය

මෙම මොඩියුල බොහොමයක් විශ්ලේෂණය සඳහා BigQuery ආචයනය වෙත යැවිය හැකි ආරක්ෂක සිදුවීම් ජනනය කරයි, නැතහොත් SIEM ඇතුළු අනෙකුත් පද්ධති වෙත අපනයනය කරයි. ඉහත සඳහන් කළ පරිදි, GCP යනු සක්‍රීයව සංවර්ධනය වෙමින් පවතින වේදිකාවක් වන අතර ගූගල් දැන් එහි වේදිකාව සඳහා නව තොරතුරු ආරක්ෂණ මොඩියුල ගණනාවක් සංවර්ධනය කරයි. ඒවා අතර, Event Threat Detection (දැන් බීටා වල ඇත), එය අනවසර ක්‍රියාකාරකම්වල හෝඩුවාවන් සෙවීම සඳහා Stackdriver ලොග් පරිලෝකනය කරයි (AWS හි GuardDuty ට සමානයි), හෝ Policy Intelligence (ඇල්ෆා වලින් ලබා ගත හැක), එමඟින් ඔබට බුද්ධිමත් ප්‍රතිපත්ති සංවර්ධනය කිරීමට ඉඩ සලසයි. GCP සම්පත් වෙත ප්රවේශය.

මම ජනප්‍රිය වලාකුළු වේදිකා තුළ ගොඩනඟන ලද අධීක්ෂණ හැකියාවන් පිළිබඳ කෙටි දළ විශ්ලේෂණයක් කළෙමි. නමුත් ඔබට "අමු" IaaS සපයන්නාගේ ලොග් (AWS හෝ Azure හෝ Google හි උසස් හැකියාවන් මිලදී ගැනීමට සෑම කෙනෙකුම සූදානම් නැත) සමඟ වැඩ කිරීමට හැකි විශේෂඥයින් සිටීද? ඊට අමතරව, ආරක්ෂක ක්ෂේත්‍රයේ වෙන කවරදාටත් වඩා සත්‍ය වන “විශ්වාස කරන්න, නමුත් සත්‍යාපනය කරන්න” යන කියමන බොහෝ දෙනෙකුට හුරු පුරුදුය. ඔබට තොරතුරු ආරක්ෂණ සිදුවීම් එවන වලාකුළු සපයන්නාගේ ගොඩනඟන ලද හැකියාවන් ඔබ කොපමණ විශ්වාස කරනවාද? ඔවුන් තොරතුරු ආරක්‍ෂාව කෙරෙහි කෙතරම් අවධානය යොමු කරන්නේද?

සමහර විට ගොඩනඟන ලද වලාකුළු ආරක්ෂාවට අනුපූරක විය හැකි ආවරණ වලාකුළු යටිතල පහසුකම් අධීක්ෂණ විසඳුම් දෙස බැලීම වටී, සමහර විට එවැනි විසඳුම් ක්ලවුඩ් තුළ සත්කාරකත්වය සපයන ඔබේ දත්ත සහ යෙදුම්වල ආරක්ෂාව පිළිබඳ අවබෝධයක් ලබා ගැනීමට ඇති එකම විකල්පය වේ. ඊට අමතරව, විවිධ වලාකුළු සපයන්නන්ගෙන් විවිධ වලාකුළු සේවා මගින් ජනනය කරන ලද අවශ්‍ය ලොග් විශ්ලේෂණය කිරීමේ සියලුම කාර්යයන් ඔවුන් භාර ගන්නා බැවින් ඒවා සරලව වඩාත් පහසු වේ. එවැනි ආවරණ විසඳුමකට උදාහරණයක් වන්නේ තනි කාර්යයක් කෙරෙහි අවධානය යොමු කර ඇති Cisco Stealthwatch Cloud - Amazon AWS, Microsoft Azure සහ Google Cloud Platform පමණක් නොව පුද්ගලික වලාකුළු ද ඇතුළුව වලාකුළු පරිසරයන්හි තොරතුරු ආරක්ෂණ විෂමතා නිරීක්ෂණය කිරීම.

උදාහරණය: Stealthwatch Cloud භාවිතයෙන් තොරතුරු ආරක්ෂණ අධීක්ෂණය

AWS නම්‍යශීලී පරිගණක වේදිකාවක් සපයයි, නමුත් මෙම නම්‍යශීලීභාවය සමාගම්වලට ආරක්ෂක ගැටළු වලට තුඩු දෙන වැරදි සිදු කිරීම පහසු කරයි. සහ හවුල් තොරතුරු ආරක්ෂණ ආකෘතිය මෙයට පමණක් දායක වේ. නොදන්නා දුර්වලතා සහිත වලාකුළ තුළ මෘදුකාංග ධාවනය කිරීම (දන්නා ඒවා සමඟ සටන් කළ හැකිය, උදාහරණයක් ලෙස, AWS පරීක්ෂක හෝ GCP Cloud Scanner මගින්), දුර්වල මුරපද, වැරදි වින්‍යාස කිරීම්, අභ්‍යන්තරිකයින් යනාදිය. මේ සියල්ල වලාකුළු සම්පත් වල හැසිරීමෙන් පිළිබිඹු වන අතර එය තොරතුරු ආරක්ෂණ අධීක්ෂණ සහ ප්‍රහාර හඳුනාගැනීමේ පද්ධතියක් වන Cisco Stealthwatch Cloud මගින් නිරීක්ෂණය කළ හැකිය. පොදු සහ පෞද්ගලික වලාකුළු.

වලාකුළු ආරක්ෂණ අධීක්ෂණය

Cisco Stealthwatch Cloud හි එක් ප්‍රධාන ලක්ෂණයක් වන්නේ ආයතන ආකෘති නිර්මාණය කිරීමේ හැකියාවයි. එය සමඟ, ඔබට ඔබේ එක් එක් වලාකුළු සම්පත් (එය AWS, Azure, GCP, හෝ වෙනත් දෙයක් වුවද කමක් නැත) මෘදුකාංග ආකෘතියක් (එනම්, තත්‍ය කාලීන අනුකරණයක්) නිර්මාණය කළ හැකිය. මේවාට සේවාදායක සහ පරිශීලකයින් මෙන්ම ආරක්ෂක කණ්ඩායම් සහ ස්වයංක්‍රීය පරිමාණ කණ්ඩායම් වැනි ඔබේ වලාකුළු පරිසරයට විශේෂිත වූ සම්පත් වර්ග ඇතුළත් විය හැක. මෙම ආකෘති ක්ලවුඩ් සේවා මගින් සපයන ව්‍යුහගත දත්ත ප්‍රවාහයන් ආදානය ලෙස භාවිතා කරයි. උදාහරණයක් ලෙස, AWS සඳහා මේවා VPC Flow Logs, AWS CloudTrail, AWS CloudWatch, AWS Config, AWS Inspector, AWS Lambda, සහ AWS IAM වේ. ආයතන ආකෘතිකරණය ඔබගේ ඕනෑම සම්පත් වල භූමිකාව සහ හැසිරීම ස්වයංක්‍රීයව සොයා ගනී (ඔබට සියලුම වලාකුළු ක්‍රියාකාරකම් පැතිකඩ කිරීම ගැන කතා කළ හැකිය). මෙම භූමිකාවන්ට ඇන්ඩ්‍රොයිඩ් හෝ ඇපල් ජංගම උපාංගය, Citrix PVS සේවාදායකය, RDP සේවාදායකය, තැපැල් ද්වාරය, VoIP සේවාදායකයා, පර්යන්ත සේවාදායකය, වසම් පාලක යනාදිය ඇතුළත් වේ. අනතුරුදායක හෝ ආරක්‍ෂාවට තර්ජනාත්මක හැසිරීමක් සිදුවන්නේ කවදාදැයි තීරණය කිරීම සඳහා එය ඔවුන්ගේ හැසිරීම අඛණ්ඩව නිරීක්ෂණය කරයි. ඔබට මුරපද අනුමාන කිරීම, DDoS ප්‍රහාර, දත්ත කාන්දුවීම්, නීති විරෝධී දුරස්ථ ප්‍රවේශය, අනිෂ්ට කේත ක්‍රියාකාරකම්, අවදානම් පරිලෝකනය සහ වෙනත් තර්ජන හඳුනා ගත හැක. උදාහරණයක් ලෙස, SSH හරහා ඔබේ සංවිධානයට (දකුණු කොරියාව) විපරීත රටක සිට Kubernetes පොකුරක් දක්වා දුරස්ථ ප්‍රවේශ උත්සාහයක් හඳුනාගැනීම පෙනෙන්නේ මෙයයි:

වලාකුළු ආරක්ෂණ අධීක්ෂණය

අප මීට පෙර අන්තර්ක්‍රියාවලට මුහුණ නොදුන් රටකට Postgress දත්ත ගබඩාවෙන් තොරතුරු කාන්දු වීම පෙනෙන්නේ මෙයයි:

වලාකුළු ආරක්ෂණ අධීක්ෂණය

අවසාන වශයෙන්, බාහිර දුරස්ථ උපාංගයකින් චීනයේ සහ ඉන්දුනීසියාවේ බොහෝ අසාර්ථක SSH උත්සාහයන් පෙනෙන්නේ මෙයයි:

වලාකුළු ආරක්ෂණ අධීක්ෂණය

එසේත් නැතිනම්, VPC හි සේවාදායක අවස්ථාව, ප්‍රතිපත්තිමය වශයෙන්, කිසිදා දුරස්ථ පිවිසුම් ගමනාන්තයක් නොවිය යුතු යැයි සිතමු. ෆයර්වෝල් නීති ප්‍රතිපත්තියේ වැරදි වෙනසක් හේතුවෙන් මෙම පරිගණකය දුරස්ථ පිවිසුමක් අත්විඳ ඇති බව අපි තවදුරටත් උපකල්පනය කරමු. Entity Modeling විශේෂාංගය මෙම ක්‍රියාකාරකම (“අසාමාන්‍ය දුරස්ථ ප්‍රවේශය”) තත්‍ය කාලීනව හඳුනාගෙන වාර්තා කරනු ඇති අතර විශේෂිත AWS CloudTrail, Azure Monitor, හෝ GCP Stackdriver Logging API ඇමතුම වෙත (පරිශීලක නාමය, දිනය සහ වේලාව ඇතුළුව, වෙනත් විස්තර ඇතුළත් වේ. ) ITU රීතිය වෙනස් කිරීමට පෙලඹුණි ඉන්පසු මෙම තොරතුරු විශ්ලේෂණය සඳහා SIEM වෙත යැවිය හැක.

වලාකුළු ආරක්ෂණ අධීක්ෂණය

Cisco Stealthwatch Cloud විසින් සහාය දක්වන ඕනෑම වලාකුළු පරිසරයක් සඳහා සමාන හැකියාවන් ක්රියාත්මක වේ:

වලාකුළු ආරක්ෂණ අධීක්ෂණය

ආයතන ආකෘතිකරණය යනු ඔබගේ පුද්ගලයින්, ක්‍රියාවලි හෝ තාක්‍ෂණය සමඟ කලින් නොදන්නා ගැටලුවක් අනාවරණය කර ගත හැකි අද්විතීය ආරක්ෂණ ස්වයංක්‍රීයකරණ ආකාරයකි. උදාහරණයක් ලෙස, වෙනත් දේ අතර, වැනි ආරක්ෂක ගැටළු හඳුනා ගැනීමට එය ඔබට ඉඩ සලසයි:

  • අපි භාවිතා කරන මෘදුකාංගයේ පිටුපස දොරක් කවුරුහරි සොයාගෙන තිබේද?
  • අපගේ වලාකුළෙහි තෙවන පාර්ශවීය මෘදුකාංගයක් හෝ උපාංගයක් තිබේද?
  • බලයලත් පරිශීලක වරප්‍රසාද අනිසි ලෙස භාවිතා කරන්නේද?
  • දුරස්ථ ප්‍රවේශයට හෝ වෙනත් අනපේක්ෂිත සම්පත් භාවිතයට ඉඩ දෙන වින්‍යාස දෝෂයක් තිබේද?
  • අපගේ සේවාදායකයන්ගෙන් දත්ත කාන්දු වීමක් තිබේද?
  • යම් අයෙක් අප හා සම්බන්ධ වීමට උත්සාහ කළේ විකෘති භූගෝලීය ස්ථානයක සිටද?
  • අපගේ වලාකුළ අනිෂ්ට කේතයකින් ආසාදනය වී තිබේද?

වලාකුළු ආරක්ෂණ අධීක්ෂණය

අනාවරණය කරගත් තොරතුරු ආරක්ෂණ සිදුවීමක් Slack, Cisco Spark, PagerDuty සිද්ධි කළමනාකරණ පද්ධතියට අනුරූප ප්‍රවේශ පත්‍රයක ආකාරයෙන් යැවිය හැකි අතර, Splunk හෝ ELK ඇතුළු විවිධ SIEM වෙත යැවිය හැක. සාරාංශගත කිරීම සඳහා, අපට පැවසිය හැක්කේ ඔබේ සමාගම බහු-වලාකුළු උපාය මාර්ගයක් භාවිතා කරන්නේ නම් සහ එක් වලාකුළු සපයන්නෙකුට පමණක් සීමා නොවේ නම්, ඉහත විස්තර කර ඇති තොරතුරු ආරක්ෂණ අධීක්ෂණ හැකියාවන්, පසුව Cisco Stealthwatch Cloud භාවිතා කිරීම ඒකාබද්ධ අධීක්ෂණ කට්ටලයක් ලබා ගැනීමට හොඳ විකල්පයකි. ප්‍රමුඛ ක්ලවුඩ් ක්‍රීඩකයන් සඳහා වූ හැකියාවන් - Amazon , Microsoft සහ Google. වඩාත්ම සිත්ගන්නා කරුණ නම්, ඔබ AWS, Azure හෝ GCP හි තොරතුරු ආරක්ෂණ අධීක්ෂණය සඳහා උසස් බලපත්‍ර සමඟ Stealthwatch Cloud සඳහා මිල සංසන්දනය කළහොත්, Cisco විසඳුම Amazon, Microsoft හි ගොඩනඟන ලද හැකියාවන්ට වඩා ලාභදායී වනු ඇත. සහ Google විසඳුම්. එය පරස්පර විරෝධී ය, නමුත් එය සත්‍යයකි. ඔබ භාවිතා කරන වලාකුළු සහ ඒවායේ හැකියාවන් වැඩි වන තරමට, ඒකාබද්ධ විසඳුමක වාසිය වඩාත් පැහැදිලි වනු ඇත.

වලාකුළු ආරක්ෂණ අධීක්ෂණය

මීට අමතරව, Stealthwatch Cloud හට ඔබේ සංවිධානයේ යොදවා ඇති පුද්ගලික වලාකුළු නිරීක්ෂණය කළ හැක, උදාහරණයක් ලෙස, Kubernetes බහාලුම් මත පදනම්ව හෝ Netflow ප්‍රවාහයන් හෝ ජාල උපකරණවල (දේශීයව නිපදවන ලද පවා), AD දත්ත හෝ DNS සේවාදායකවල දර්පණය හරහා ලැබෙන ජාල ගමනාගමනය නිරීක්ෂණය කිරීමෙන්. ලොව විශාලතම රාජ්‍ය නොවන සයිබර් ආරක්ෂණ තර්ජන පර්යේෂකයින් කණ්ඩායම වන Cisco Talos විසින් රැස් කරන ලද තර්ජන බුද්ධි තොරතුරු සමඟ මෙම සියලු දත්ත පොහොසත් වනු ඇත.

වලාකුළු ආරක්ෂණ අධීක්ෂණය

ඔබේ සමාගම භාවිතා කළ හැකි පොදු සහ දෙමුහුන් වලාකුළු සඳහා ඒකාබද්ධ අධීක්ෂණ පද්ධතියක් ක්‍රියාත්මක කිරීමට මෙය ඔබට ඉඩ සලසයි. එකතු කරන ලද තොරතුරු පසුව Stealthwatch Cloud හි අන්තර්ගත හැකියාවන් භාවිතයෙන් විශ්ලේෂණය කිරීමට හෝ ඔබේ SIEM වෙත යැවිය හැක (Splunk, ELK, SumoLogic සහ තවත් කිහිපයක් පෙරනිමියෙන් සහාය දක්වයි).

මේ සමඟ, අපි ලිපියේ පළමු කොටස සම්පූර්ණ කරන්නෙමු, IaaS/PaaS වේදිකා වල තොරතුරු ආරක්ෂාව අධීක්ෂණය කිරීම සඳහා ගොඩනඟන ලද සහ බාහිර මෙවලම් මම සමාලෝචනය කළ අතර එමඟින් වලාකුළු පරිසරයන්හි සිදුවන සිදුවීම් ඉක්මනින් හඳුනා ගැනීමට සහ ප්‍රතිචාර දැක්වීමට අපට ඉඩ සලසයි. අපගේ ව්යවසාය තෝරාගෙන ඇත. දෙවන කොටසේදී, අපි මාතෘකාව දිගටම කරගෙන යන අතර Salesforce සහ Dropbox හි උදාහරණය භාවිතා කරමින් SaaS වේදිකා අධීක්‍ෂණය කිරීමේ විකල්ප දෙස බලමු, විවිධ වලාකුළු සපයන්නන් සඳහා ඒකාබද්ධ තොරතුරු ආරක්ෂණ අධීක්ෂණ පද්ධතියක් නිර්මාණය කිරීමෙන් අපි සියල්ල සාරාංශ කර එකට තැබීමට උත්සාහ කරමු.

මූලාශ්රය: www.habr.com

අදහස් එක් කරන්න