Stále viac používateľov prináša celú svoju IT infraštruktúru do verejného cloudu. Ak je však antivírusová kontrola v infraštruktúre zákazníka nedostatočná, vznikajú vážne kybernetické riziká. Prax ukazuje, že až 80 % existujúcich vírusov dokonale žije vo virtuálnom prostredí. V tomto príspevku si povieme, ako chrániť IT zdroje vo verejnom cloude a prečo nie sú tradičné antivírusy na tieto účely úplne vhodné.
Na začiatok vám povieme, ako sme dospeli k myšlienke, že bežné nástroje antivírusovej ochrany nie sú vhodné pre verejný cloud a že sú potrebné iné prístupy k ochrane zdrojov.
Po prvé, poskytovatelia vo všeobecnosti poskytujú potrebné opatrenia, aby zabezpečili, že ich cloudové platformy budú chránené na vysokej úrovni. Napríklad v #CloudMTS analyzujeme všetku sieťovú premávku, monitorujeme protokoly bezpečnostných systémov nášho cloudu a pravidelne vykonávame pentesty. Aj cloudové segmenty pridelené jednotlivým klientom musia byť bezpečne chránené.
Po druhé, klasická možnosť boja proti kybernetickým rizikám zahŕňa inštaláciu antivírusových a antivírusových nástrojov na správu na každom virtuálnom počítači. Pri veľkom počte virtuálnych strojov však môže byť tento postup neúčinný a vyžaduje značné množstvo výpočtových zdrojov, čím ďalej zaťažuje infraštruktúru zákazníka a znižuje celkový výkon cloudu. Toto sa stalo kľúčovým predpokladom pre hľadanie nových prístupov k budovaniu efektívnej antivírusovej ochrany pre virtuálne stroje zákazníkov.
Navyše väčšina antivírusových riešení na trhu nie je prispôsobená na riešenie problémov ochrany IT zdrojov v prostredí verejného cloudu. Spravidla ide o ťažké riešenia EPP (Endpoint Protection Platforms), ktoré navyše neposkytujú potrebné prispôsobenie na strane klienta poskytovateľa cloudu.
Je zrejmé, že tradičné antivírusové riešenia nie sú vhodné na prácu v cloude, pretože vážne zaťažujú virtuálnu infraštruktúru počas aktualizácií a skenovaní a tiež nemajú potrebné úrovne správy a nastavení na základe rolí. Ďalej budeme podrobne analyzovať, prečo cloud potrebuje nové prístupy k antivírusovej ochrane.
Čo by mal vedieť antivírus vo verejnom cloude
Venujme teda pozornosť špecifikám práce vo virtuálnom prostredí:
Efektívnosť aktualizácií a plánovaných hromadných kontrol. Ak významný počet virtuálnych počítačov používajúcich tradičný antivírus spustí aktualizáciu súčasne, v cloude sa spustí takzvaná „búrka“ aktualizácií. Výkon hostiteľa ESXi, ktorý je hostiteľom niekoľkých virtuálnych počítačov, nemusí stačiť na zvládnutie množstva podobných úloh spustených v predvolenom nastavení. Z pohľadu poskytovateľa cloudu môže takýto problém viesť k dodatočnému zaťaženiu viacerých hostiteľov ESXi, čo v konečnom dôsledku povedie k poklesu výkonu cloudovej virtuálnej infraštruktúry. To môže okrem iného ovplyvniť výkon virtuálnych strojov iných cloudových klientov. Podobná situácia môže nastať pri spustení hromadného skenovania: súčasné spracovanie mnohých podobných požiadaviek od rôznych používateľov diskovým systémom negatívne ovplyvní výkon celého cloudu. S vysokou mierou pravdepodobnosti pokles výkonu úložného systému ovplyvní všetkých klientov. Takéto náhle zaťaženia nepotešia poskytovateľa ani jeho zákazníkov, pretože ovplyvňujú „susedov“ v cloude. Z tohto pohľadu môže tradičný antivírus predstavovať veľký problém.
Bezpečná karanténa. Ak sa v systéme zistí súbor alebo dokument potenciálne infikovaný vírusom, odošle sa do karantény. Samozrejme, infikovaný súbor je možné okamžite zmazať, no pre väčšinu spoločností to často nie je prijateľné. Firemné podnikové antivírusy, ktoré nie sú prispôsobené na prácu v cloude poskytovateľa, majú spravidla spoločnú karanténnu zónu - do nej spadajú všetky infikované objekty. Napríklad tie, ktoré sa nachádzajú na počítačoch firemných používateľov. Klienti poskytovateľa cloudu „žijú“ vo svojich vlastných segmentoch (alebo nájomcoch). Tieto segmenty sú neprehľadné a izolované: klienti o sebe navzájom nevedia a, samozrejme, nevidia, čo iní v cloude hostujú. Je zrejmé, že všeobecná karanténa, ku ktorej budú mať prístup všetci používatelia antivírusov v cloude, by mohla potenciálne zahŕňať dokument obsahujúci dôverné informácie alebo obchodné tajomstvo. To je pre poskytovateľa a jeho zákazníkov neprijateľné. Preto môže existovať len jedno riešenie – osobná karanténa pre každého klienta v jeho segmente, kam nemá prístup poskytovateľ ani iní klienti.
Individuálne bezpečnostné politiky. Každý klient v cloude je samostatná spoločnosť, ktorej IT oddelenie si stanovuje vlastné bezpečnostné politiky. Správcovia napríklad definujú pravidlá kontroly a plánujú antivírusové kontroly. V súlade s tým musí mať každá organizácia svoje vlastné riadiace centrum na konfiguráciu antivírusových politík. Uvedené nastavenia by zároveň nemali ovplyvňovať ostatných cloudových klientov a poskytovateľ by mal mať možnosť overiť, či sa napríklad antivírusové aktualizácie vykonávajú ako zvyčajne na všetkých klientskych virtuálnych počítačoch.
Organizácia fakturácie a licencovania. Cloudový model sa vyznačuje flexibilitou a zahŕňa platbu len za množstvo IT zdrojov, ktoré zákazník použil. V prípade potreby, napríklad z dôvodu sezónnosti, je možné množstvo zdrojov rýchlo zvýšiť alebo znížiť – všetko na základe aktuálnych potrieb výpočtového výkonu. Tradičný antivírus nie je taký flexibilný - spravidla si klient kupuje licenciu na rok pre vopred určený počet serverov alebo pracovných staníc. Používatelia cloudu pravidelne odpájajú a pripájajú ďalšie virtuálne stroje v závislosti od ich aktuálnych potrieb – podľa toho musia antivírusové licencie podporovať rovnaký model.
Druhá otázka je, čo presne bude licencia pokrývať. Tradičný antivírus je licencovaný podľa počtu serverov alebo pracovných staníc. Licencie založené na počte chránených virtuálnych strojov nie sú v rámci cloudového modelu úplne vhodné. Klient si môže z dostupných zdrojov vytvoriť ľubovoľný počet pre neho vhodných virtuálnych strojov, napríklad päť alebo desať strojov. Toto číslo nie je pre väčšinu klientov konštantné, nie je možné pre nás ako poskytovateľa sledovať jeho zmeny. Neexistuje žiadna technická možnosť licencovania podľa CPU: klienti dostávajú virtuálne procesory (vCPU), ktoré by sa mali použiť na licencovanie. Nový model antivírusovej ochrany by teda mal obsahovať možnosť pre zákazníka určiť si potrebný počet vCPU, na ktoré dostane antivírusové licencie.
Súlad s legislatívou. Dôležitý bod, pretože použité riešenia musia zabezpečiť súlad s požiadavkami regulátora. Napríklad „obyvatelia cloudu“ často pracujú s osobnými údajmi. V tomto prípade musí mať poskytovateľ samostatný certifikovaný cloudový segment, ktorý plne vyhovuje požiadavkám zákona o osobných údajoch. Spoločnosti potom nemusia samostatne „budovať“ celý systém na prácu s osobnými údajmi: nakupovať certifikované zariadenia, pripájať a konfigurovať ich a absolvovať certifikáciu. Pre kybernetickú ochranu ISPD takýchto klientov musí antivírus spĺňať aj požiadavky ruskej legislatívy a mať certifikát FSTEC.
Pozreli sme sa na povinné kritériá, ktoré musí spĺňať antivírusová ochrana vo verejnom cloude. Ďalej sa podelíme o vlastné skúsenosti s prispôsobením antivírusového riešenia na fungovanie v cloude poskytovateľa.
Ako si môžete nájsť priateľov medzi antivírusom a cloudom?
Ako ukázali naše skúsenosti, výber riešenia na základe popisu a dokumentácie je jedna vec, no implementovať ho do praxe v už fungujúcom cloudovom prostredí je z hľadiska náročnosti úplne iná úloha. Prezradíme vám, čo sme robili v praxi a ako sme prispôsobili antivírus na fungovanie vo verejnom cloude poskytovateľa. Dodávateľom antivírusového riešenia bola spoločnosť Kaspersky, ktorej portfólio zahŕňa riešenia antivírusovej ochrany pre cloudové prostredia. Rozhodli sme sa pre „Kaspersky Security for Virtualization“ (Light Agent).
Obsahuje jednu konzolu Kaspersky Security Center. Light agent a bezpečnostné virtuálne stroje (SVM, Security Virtual Machine) a integračný server KSC.
Po preštudovaní architektúry riešenia Kaspersky a vykonaní prvých testov spolu s inžiniermi dodávateľa vyvstala otázka integrácie služby do cloudu. Prvá implementácia bola vykonaná spoločne na cloudovom mieste v Moskve. A to sme si uvedomili.
Aby sa minimalizovala sieťová prevádzka, bolo rozhodnuté umiestniť SVM na každého hostiteľa ESXi a „priviazať“ SVM k hostiteľom ESXi. V tomto prípade ľahký agent chránených virtuálnych počítačov pristupuje k SVM presného hostiteľa ESXi, na ktorom bežia. Pre hlavné KSC bol vybraný samostatný administratívny nájomca. V dôsledku toho sa podriadené KSC nachádzajú v nájomcoch každého jednotlivého klienta a oslovujú nadriadené KSC nachádzajúce sa v segmente manažmentu. Táto schéma vám umožňuje rýchlo riešiť problémy, ktoré vznikajú u nájomcov klientov.
Okrem problémov so zvýšením komponentov samotného antivírusového riešenia sme stáli pred úlohou zorganizovať sieťovú interakciu prostredníctvom vytvorenia ďalších VxLAN. A hoci bolo riešenie pôvodne určené pre podnikových klientov s privátnymi cloudmi, s pomocou inžinierskej zdatnosti a technologickej flexibility NSX Edge sme dokázali vyriešiť všetky problémy spojené s oddelením nájomcov a licencovaním.
Úzko sme spolupracovali s inžiniermi Kaspersky. V procese analýzy architektúry riešenia z hľadiska sieťovej interakcie medzi systémovými komponentmi sa teda zistilo, že okrem prístupu od svetelných agentov k SVM je potrebná aj spätná väzba – od SVM k ľahkým agentom. Táto sieťová konektivita nie je možná v prostredí viacerých nájomníkov z dôvodu možnosti identických sieťových nastavení virtuálnych strojov v rôznych cloudových nájomcoch. Kolegovia od dodávateľa preto na našu žiadosť prepracovali mechanizmus sieťovej interakcie medzi light agentom a SVM v zmysle eliminácie potreby sieťovej konektivity z SVM na light agentov.
Po nasadení a otestovaní riešenia na cloudovej lokalite v Moskve sme ho replikovali na iné lokality, vrátane certifikovaného cloudového segmentu. Služba je teraz dostupná vo všetkých regiónoch krajiny.
Architektúra riešenia informačnej bezpečnosti v rámci nového prístupu
Všeobecná schéma fungovania antivírusového riešenia v prostredí verejného cloudu je nasledovná:
Schéma fungovania antivírusového riešenia v prostredí verejného cloudu #CloudMTS
Popíšme si vlastnosti fungovania jednotlivých prvkov riešenia v cloude:
• Jedna konzola, ktorá umožňuje klientom centrálne spravovať systém ochrany: spúšťať kontroly, kontrolovať aktualizácie a monitorovať zóny karantény. V rámci vášho segmentu je možné nakonfigurovať jednotlivé bezpečnostné politiky.
Treba si uvedomiť, že hoci sme poskytovateľom služieb, nezasahujeme do nastavení, ktoré si nastavia klienti. Jediná vec, ktorú môžeme urobiť, je resetovať bezpečnostné politiky na štandardné, ak je potrebná rekonfigurácia. Môže to byť napríklad potrebné, ak ich klient náhodou utiahol alebo výrazne oslabil. Spoločnosť môže vždy získať riadiace centrum s predvolenými politikami, ktoré si potom môže nezávisle nakonfigurovať. Nevýhodou Kaspersky Security Center je, že platforma je momentálne dostupná len pre operačný systém Microsoft. Hoci ľahkí agenti môžu pracovať s počítačmi so systémom Windows aj Linux. Spoločnosť Kaspersky Lab však sľubuje, že v blízkej budúcnosti bude KSC fungovať pod OS Linux. Jednou z dôležitých funkcií KSC je schopnosť riadiť karanténu. Každá klientska spoločnosť v našom cloude má svoj osobný. Tento prístup eliminuje situácie, kedy sa dokument infikovaný vírusom náhodne stane verejne viditeľným, ako by sa to mohlo stať v prípade klasického firemného antivírusu so všeobecnou karanténou.
• Svetelné látky. V rámci nového modelu je na každom virtuálnom počítači nainštalovaný odľahčený agent Kaspersky Security. To eliminuje potrebu ukladať antivírusovú databázu na každom VM, čo znižuje množstvo potrebného miesta na disku. Služba je integrovaná s cloudovou infraštruktúrou a funguje prostredníctvom SVM, čo zvyšuje hustotu virtuálnych strojov na hostiteľovi ESXi a výkon celého cloudového systému. Svetelný agent vytvorí rad úloh pre každý virtuálny stroj: skontrolujte súborový systém, pamäť atď. Ale SVM je zodpovedný za vykonávanie týchto operácií, o ktorých budeme hovoriť neskôr. Agent funguje aj ako firewall, kontroluje bezpečnostné politiky, posiela infikované súbory do karantény a monitoruje celkové „zdravie“ operačného systému, na ktorom je nainštalovaný. To všetko sa dá zvládnuť pomocou už spomínanej jedinej konzoly.
• Zabezpečenie virtuálneho počítača. Všetky úlohy náročné na zdroje (aktualizácie antivírusových databáz, plánované kontroly) zabezpečuje samostatný bezpečnostný virtuálny stroj (SVM). Tá je zodpovedná za chod plnohodnotného antivírusového enginu a databáz k nemu. Infraštruktúra IT spoločnosti môže zahŕňať niekoľko SVM. Tento prístup zvyšuje spoľahlivosť systému – ak jeden stroj zlyhá a neodpovedá tridsať sekúnd, agenti automaticky začnú hľadať ďalší.
• Integračný server KSC. Jedna zo súčastí hlavného KSC, ktorá priraďuje svoje SVM ľahkým agentom v súlade s algoritmom špecifikovaným vo svojich nastaveniach a tiež riadi dostupnosť SVM. Tento softvérový modul teda poskytuje vyvažovanie záťaže naprieč všetkými SVM cloudovej infraštruktúry.
Algoritmus pre prácu v cloude: zníženie zaťaženia infraštruktúry
Vo všeobecnosti môže byť antivírusový algoritmus reprezentovaný nasledovne. Agent pristupuje k súboru na virtuálnom počítači a skontroluje ho. Výsledok overenia je uložený v spoločnej centralizovanej databáze verdiktov SVM (nazývanej Shared Cache), pričom každý záznam identifikuje jedinečnú vzorku súboru. Tento prístup vám umožňuje zabezpečiť, aby sa rovnaký súbor nekontroloval niekoľkokrát za sebou (napríklad ak bol otvorený na rôznych virtuálnych počítačoch). Súbor sa znova skontroluje, iba ak v ňom boli vykonané zmeny alebo sa kontrola spustila manuálne.
Implementácia antivírusového riešenia v cloude poskytovateľa
Obrázok ukazuje všeobecný diagram implementácie riešenia v cloude. Hlavné centrum Kaspersky Security Center je nasadené v kontrolnej zóne cloudu a na každom hostiteľovi ESXi je nasadený samostatný SVM pomocou integračného servera KSC (každý hostiteľ ESXi má pripojený vlastný SVM so špeciálnymi nastaveniami na serveri VMware vCenter Server). Klienti pracujú vo vlastných cloudových segmentoch, kde sa nachádzajú virtuálne stroje s agentmi. Sú spravované prostredníctvom jednotlivých serverov KSC podriadených hlavnej KSC. Ak je potrebné chrániť malý počet virtuálnych strojov (do 5), klientovi je možné poskytnúť prístup k virtuálnej konzole špeciálneho dedikovaného servera KSC. Sieťová interakcia medzi klientskymi KSC a hlavným KSC, ako aj ľahkými agentmi a SVM, sa vykonáva pomocou NAT prostredníctvom klientskych virtuálnych smerovačov EdgeGW.
Podľa našich odhadov a výsledkov testov kolegov u dodávateľa znižuje Light Agent záťaž virtuálnej infraštruktúry klientov približne o 25 % (v porovnaní so systémom využívajúcim tradičný antivírusový softvér). Najmä štandardný antivírus Kaspersky Endpoint Security (KES) pre fyzické prostredia spotrebuje takmer dvakrát toľko času procesora servera (2,95 %) ako ľahké virtualizačné riešenie založené na agentoch (1,67 %).
Tabuľka porovnania zaťaženia CPU
Podobná situácia je pozorovaná pri frekvencii zápisov na disk: pre klasický antivírus je to 1011 IOPS, pre cloudový antivírus je to 671 IOPS.
Graf porovnávania rýchlosti prístupu na disk
Výhoda výkonu vám umožňuje udržiavať stabilitu infraštruktúry a efektívnejšie využívať výpočtový výkon. Vďaka prispôsobeniu sa práci vo verejnom cloudovom prostredí riešenie neznižuje výkon cloudu: centrálne kontroluje súbory a sťahuje aktualizácie, čím rozdeľuje záťaž. To znamená, že na jednej strane neminú hrozby relevantné pre cloudovú infraštruktúru, na druhej strane sa požiadavky na zdroje virtuálnych strojov znížia v priemere o 25 % v porovnaní s tradičným antivírusom.
Z hľadiska funkčnosti sú obe riešenia veľmi podobné: nižšie je porovnávacia tabuľka. V cloude, ako ukazujú výsledky testov vyššie, je však stále optimálne použiť riešenie pre virtuálne prostredia.
O tarifách v rámci nového prístupu. Rozhodli sme sa použiť model, ktorý nám umožňuje získať licencie na základe počtu vCPU. To znamená, že počet licencií sa bude rovnať počtu vCPU. Svoj antivírus môžete otestovať zanechaním žiadosti .
V ďalšom článku o cloudových témach si povieme o vývoji cloudových WAF a o tom, čo je lepšie zvoliť: hardvér, softvér alebo cloud.
Text pripravili zamestnanci cloudového poskytovateľa #CloudMTS: Denis Myagkov, popredný architekt a Alexey Afanasyev, manažér vývoja produktov informačnej bezpečnosti.
Zdroj: hab.com