Gjithnjë e më shumë përdorues po sjellin të gjithë infrastrukturën e tyre të TI-së në renë publike. Megjithatë, nëse kontrolli antivirus është i pamjaftueshëm në infrastrukturën e klientit, lindin rreziqe serioze kibernetike. Praktika tregon se deri në 80% e viruseve ekzistuese jetojnë në mënyrë perfekte në një mjedis virtual. Në këtë postim do të flasim për mënyrën e mbrojtjes së burimeve të IT në cloud publike dhe pse antiviruset tradicionalë nuk janë plotësisht të përshtatshëm për këto qëllime.
Për të filluar, ne do t'ju tregojmë se si erdhëm në idenë se mjetet e zakonshme të mbrojtjes kundër viruseve nuk janë të përshtatshme për renë publike dhe se kërkohen qasje të tjera për mbrojtjen e burimeve.
Së pari, ofruesit në përgjithësi ofrojnë masat e nevojshme për të siguruar që platformat e tyre cloud të mbrohen në një nivel të lartë. Për shembull, në #CloudMTS ne analizojmë të gjithë trafikun e rrjetit, monitorojmë regjistrat e sistemeve të sigurisë së resë sonë dhe kryejmë rregullisht penteste. Segmentet e resë kompjuterike të alokuara për klientët individualë duhet gjithashtu të mbrohen në mënyrë të sigurt.
Së dyti, opsioni klasik për të luftuar rreziqet kibernetike përfshin instalimin e një antivirusi dhe mjeteve të menaxhimit të antiviruseve në çdo makinë virtuale. Megjithatë, me një numër të madh makinash virtuale, kjo praktikë mund të jetë joefektive dhe të kërkojë sasi të konsiderueshme burimesh kompjuterike, duke ngarkuar më tej infrastrukturën e klientit dhe duke zvogëluar performancën e përgjithshme të cloud. Ky është bërë një parakusht kryesor për kërkimin e qasjeve të reja për ndërtimin e mbrojtjes efektive anti-virus për makinat virtuale të klientëve.
Për më tepër, shumica e zgjidhjeve antivirus në treg nuk janë përshtatur për të zgjidhur problemet e mbrojtjes së burimeve të IT në një mjedis publik cloud. Si rregull, ato janë zgjidhje me peshë të rëndë EPP (Platformat e mbrojtjes së pikës fundore), të cilat, për më tepër, nuk ofrojnë personalizimin e nevojshëm në anën e klientit të ofruesit të cloud.
Bëhet e qartë se zgjidhjet tradicionale antivirus nuk janë të përshtatshme për të punuar në re, pasi ato ngarkojnë seriozisht infrastrukturën virtuale gjatë përditësimeve dhe skanimeve, dhe gjithashtu nuk kanë nivelet e nevojshme të menaxhimit dhe cilësimeve të bazuara në role. Më pas, ne do të analizojmë në detaje pse cloud ka nevojë për qasje të reja për mbrojtjen kundër viruseve.
Çfarë duhet të jetë në gjendje të bëjë një antivirus në një re publike
Pra, le t'i kushtojmë vëmendje specifikave të punës në një mjedis virtual:
Efikasiteti i përditësimeve dhe skanimeve masive të planifikuara. Nëse një numër i konsiderueshëm i makinave virtuale që përdorin një antivirus tradicional nisin një përditësim në të njëjtën kohë, një e ashtuquajtur "stuhi" përditësimesh do të ndodhë në re. Fuqia e një hosti ESXi që pret disa makina virtuale mund të mos jetë e mjaftueshme për të përballuar breshërinë e detyrave të ngjashme që ekzekutohen si parazgjedhje. Nga këndvështrimi i ofruesit të cloud, një problem i tillë mund të çojë në ngarkesa shtesë në një numër hostesh ESXi, të cilat përfundimisht do të çojnë në një rënie të performancës së infrastrukturës virtuale të cloud. Kjo, ndër të tjera, mund të ndikojë në performancën e makinave virtuale të klientëve të tjerë cloud. Një situatë e ngjashme mund të lindë kur fillon një skanim masiv: përpunimi i njëkohshëm nga sistemi i diskut i shumë kërkesave të ngjashme nga përdorues të ndryshëm do të ndikojë negativisht në performancën e të gjithë resë kompjuterike. Me një shkallë të lartë probabiliteti, një rënie në performancën e sistemit të ruajtjes do të prekë të gjithë klientët. Ngarkesa të tilla të papritura nuk i pëlqejnë as ofruesit dhe as klientëve të tij, pasi ato prekin "fqinjët" në re. Nga ky këndvështrim, antivirusi tradicional mund të përbëjë një problem të madh.
Karantinë e sigurt. Nëse një skedar ose dokument i infektuar potencialisht me një virus zbulohet në sistem, ai dërgohet në karantinë. Sigurisht, një skedar i infektuar mund të fshihet menjëherë, por kjo shpesh nuk është e pranueshme për shumicën e kompanive. Antiviruset e ndërmarrjeve të korporatave që nuk janë përshtatur për të punuar në cloud të ofruesit, si rregull, kanë një zonë të përbashkët karantine - të gjitha objektet e infektuara bien në të. Për shembull, ato që gjenden në kompjuterët e përdoruesve të kompanisë. Klientët e ofruesit të cloud "jetojnë" në segmentet e tyre (ose qiramarrësit). Këto segmente janë të errëta dhe të izoluara: klientët nuk dinë për njëri-tjetrin dhe, natyrisht, nuk shohin se çfarë presin të tjerët në re. Natyrisht, karantina e përgjithshme, e cila do të aksesohet nga të gjithë përdoruesit e antivirusit në cloud, mund të përfshijë potencialisht një dokument që përmban informacion konfidencial ose një sekret tregtar. Kjo është e papranueshme për ofruesin dhe klientët e tij. Prandaj, mund të ketë vetëm një zgjidhje - karantinë personale për secilin klient në segmentin e tij, ku as ofruesi dhe as klientët e tjerë nuk kanë akses.
Politikat individuale të sigurisë. Çdo klient në cloud është një kompani e veçantë, departamenti i IT-së së së cilës vendos politikat e veta të sigurisë. Për shembull, administratorët përcaktojnë rregullat e skanimit dhe planifikojnë skanime antivirus. Prandaj, çdo organizatë duhet të ketë qendrën e vet të kontrollit për të konfiguruar politikat antivirus. Në të njëjtën kohë, cilësimet e specifikuara nuk duhet të prekin klientët e tjerë të cloud dhe ofruesi duhet të jetë në gjendje të verifikojë që, për shembull, përditësimet antivirus kryhen si normale për të gjitha makinat virtuale të klientit.
Organizimi i faturimit dhe licencimit. Modeli cloud karakterizohet nga fleksibiliteti dhe përfshin pagesën vetëm për sasinë e burimeve të IT që janë përdorur nga klienti. Nëse ka nevojë, për shembull, për shkak të sezonalitetit, atëherë sasia e burimeve mund të rritet ose zvogëlohet shpejt - gjithçka bazuar në nevojat aktuale për fuqinë kompjuterike. Antivirusi tradicional nuk është aq fleksibël - si rregull, klienti blen një licencë për një vit për një numër të paracaktuar serverësh ose stacionesh pune. Përdoruesit e resë kompjuterike shkëputen rregullisht dhe lidhin makina virtuale shtesë në varësi të nevojave të tyre aktuale - në përputhje me rrethanat, licencat antivirus duhet të mbështesin të njëjtin model.
Pyetja e dytë është se çfarë saktësisht do të mbulojë licenca. Antivirusi tradicional licencohet nga numri i serverëve ose stacioneve të punës. Licencat e bazuara në numrin e makinave virtuale të mbrojtura nuk janë plotësisht të përshtatshme brenda modelit cloud. Klienti mund të krijojë çdo numër makinash virtuale të përshtatshme për të nga burimet e disponueshme, për shembull, pesë ose dhjetë makina. Ky numër nuk është konstant për shumicën e klientëve; nuk është e mundur që ne, si ofrues, të gjurmojmë ndryshimet e tij. Nuk ka mundësi teknike për licencim nga CPU: klientët marrin procesorë virtualë (vCPU), të cilët duhet të përdoren për licencim. Kështu, modeli i ri i mbrojtjes antivirus duhet të përfshijë mundësinë që klienti të përcaktojë numrin e kërkuar të vCPU-ve për të cilat ai do të marrë licenca antivirus.
Pajtueshmëria me legjislacionin. Një pikë e rëndësishme, pasi zgjidhjet e përdorura duhet të sigurojnë përputhjen me kërkesat e rregullatorit. Për shembull, "banorët" e cloud shpesh punojnë me të dhëna personale. Në këtë rast, ofruesi duhet të ketë një segment të veçantë cloud të certifikuar që përputhet plotësisht me kërkesat e Ligjit për të Dhënat Personale. Atëherë kompanitë nuk kanë nevojë të "ndërtojnë" në mënyrë të pavarur të gjithë sistemin për të punuar me të dhënat personale: të blejnë pajisje të certifikuara, ta lidhin dhe konfigurojnë atë dhe t'i nënshtrohen certifikimit. Për mbrojtjen kibernetike të ISPD të klientëve të tillë, antivirusi duhet gjithashtu të përputhet me kërkesat e legjislacionit rus dhe të ketë një certifikatë FSTEC.
Ne shikuam kriteret e detyrueshme që duhet të plotësojë mbrojtja antivirus në cloud publike. Më pas, ne do të ndajmë përvojën tonë në përshtatjen e një zgjidhjeje antivirus për të punuar në cloud të ofruesit.
Si mund të bëni miq midis antivirusit dhe cloud?
Siç ka treguar përvoja jonë, zgjedhja e një zgjidhjeje të bazuar në përshkrim dhe dokumentacion është një gjë, por zbatimi i saj në praktikë në një mjedis tashmë funksional cloud është një detyrë krejtësisht e ndryshme për sa i përket kompleksitetit. Ne do t'ju tregojmë se çfarë bëmë në praktikë dhe si e përshtatëm antivirusin për të punuar në renë publike të ofruesit. Shitësi i zgjidhjes antivirus ishte Kaspersky, portofoli i të cilit përfshin zgjidhje mbrojtëse kundër viruseve për mjediset cloud. Ne u vendosëm në "Kaspersky Security për Virtualizim" (Agjenti i Dritës).
Ai përfshin një tastierë të vetme të Qendrës së Sigurisë Kaspersky. Agjentët e lehtë dhe makinat virtuale të sigurisë (SVM, Security Virtual Machine) dhe serveri i integrimit KSC.
Pasi studiuam arkitekturën e zgjidhjes Kaspersky dhe kryem testet e para së bashku me inxhinierët e shitësit, lindi pyetja për integrimin e shërbimit në re. Zbatimi i parë u krye së bashku në faqen e reve në Moskë. Dhe këtë e kuptuam.
Për të minimizuar trafikun e rrjetit, u vendos që të vendoset një SVM në çdo host ESXi dhe të "lidhë" SVM me hostet ESXi. Në këtë rast, agjentët e dritës të makinave virtuale të mbrojtura hyjnë në SVM të hostit të saktë ESXi në të cilin po funksionojnë. Një qiramarrës i veçantë administrativ u zgjodh për KSK-në kryesore. Si rezultat, KSC-të vartëse janë të vendosura në qiramarrësit e secilit klient individual dhe i drejtohen KSC-së superiore të vendosur në segmentin e menaxhimit. Kjo skemë ju lejon të zgjidhni shpejt problemet që lindin në qiramarrësit e klientëve.
Përveç çështjeve me ngritjen e komponentëve të vetë zgjidhjes antivirus, ne u përballëm me detyrën e organizimit të ndërveprimit të rrjetit përmes krijimit të VxLAN-ve shtesë. Dhe megjithëse zgjidhja fillimisht ishte menduar për klientët e ndërmarrjeve me retë private, me ndihmën e zgjuarsisë inxhinierike dhe fleksibilitetit teknologjik të NSX Edge ne ishim në gjendje të zgjidhnim të gjitha problemet që lidhen me ndarjen e qiramarrësve dhe licencimin.
Ne kemi punuar ngushtë me inxhinierët e Kaspersky. Kështu, në procesin e analizimit të arkitekturës së zgjidhjes për sa i përket ndërveprimit të rrjetit midis komponentëve të sistemit, u zbulua se, përveç aksesit nga agjentët e dritës në SVM, është i nevojshëm edhe reagimi - nga SVM tek agjentët e dritës. Kjo lidhje e rrjetit nuk është e mundur në një mjedis shumë qiramarrës për shkak të mundësisë së cilësimeve identike të rrjetit të makinave virtuale në qiramarrës të ndryshëm cloud. Prandaj, me kërkesën tonë, kolegët nga shitësi ripërpunuan mekanizmin e ndërveprimit të rrjetit midis agjentit të dritës dhe SVM në drejtim të eliminimit të nevojës për lidhjen e rrjetit nga SVM me agjentët e dritës.
Pasi zgjidhja u vendos dhe u testua në faqen cloud të Moskës, ne e riprodhuam atë në sajte të tjera, duke përfshirë segmentin e certifikuar të resë kompjuterike. Shërbimi tashmë është i disponueshëm në të gjitha rajonet e vendit.
Arkitektura e një zgjidhjeje të sigurisë së informacionit në kuadrin e një qasjeje të re
Skema e përgjithshme e funksionimit të një zgjidhjeje antivirus në një mjedis cloud publik është si më poshtë:
Skema e funksionimit të një zgjidhjeje antivirus në një mjedis publik cloud #CloudMTS
Le të përshkruajmë tiparet e funksionimit të elementeve individuale të zgjidhjes në re:
• Një tastierë e vetme që lejon klientët të menaxhojnë në mënyrë qendrore sistemin e mbrojtjes: të ekzekutojnë skanimet, të kontrollojnë përditësimet dhe të monitorojnë zonat e karantinës. Është e mundur të konfiguroni politika individuale sigurie brenda segmentit tuaj.
Duhet të theksohet se megjithëse jemi ofrues shërbimi, ne nuk ndërhyjmë në cilësimet e vendosura nga klientët. E vetmja gjë që mund të bëjmë është të rivendosim politikat e sigurisë në ato standarde nëse është i nevojshëm rikonfigurimi. Për shembull, kjo mund të jetë e nevojshme nëse klienti aksidentalisht i shtrëngoi ato ose i dobësoi ndjeshëm. Një kompani mund të marrë gjithmonë një qendër kontrolli me politika të paracaktuara, të cilat më pas mund t'i konfigurojë në mënyrë të pavarur. Disavantazhi i Kaspersky Security Center është se platforma aktualisht është e disponueshme vetëm për sistemin operativ Microsoft. Megjithëse agjentët me peshë të lehtë mund të punojnë si me makinat Windows ashtu edhe me Linux. Megjithatë, Kaspersky Lab premton se në të ardhmen e afërt KSC do të punojë nën Linux OS. Një nga funksionet e rëndësishme të KSC është aftësia për të menaxhuar karantinën. Çdo kompani klient në renë tonë ka një kompani personale. Kjo qasje eliminon situatat kur një dokument i infektuar me një virus bëhet aksidentalisht i dukshëm publikisht, siç mund të ndodhë në rastin e një antivirusi klasik të korporatës me karantinë të përgjithshme.
• Agjentët e dritës. Si pjesë e modelit të ri, një agjent i lehtë Kaspersky Security është instaluar në çdo makinë virtuale. Kjo eliminon nevojën për të ruajtur bazën e të dhënave antivirus në çdo VM, gjë që redukton sasinë e hapësirës së konsumuar në disk. Shërbimi është i integruar me infrastrukturën cloud dhe funksionon përmes SVM, gjë që rrit densitetin e makinave virtuale në hostin ESXi dhe performancën e të gjithë sistemit cloud. Agjenti i dritës ndërton një radhë detyrash për secilën makinë virtuale: kontrolloni sistemin e skedarëve, kujtesën, etj. Por SVM është përgjegjëse për kryerjen e këtyre operacioneve, për të cilat do të flasim më vonë. Agjenti funksionon gjithashtu si një mur zjarri, kontrollon politikat e sigurisë, dërgon skedarë të infektuar në karantinë dhe monitoron "shëndetin" e përgjithshëm të sistemit operativ në të cilin është instaluar. E gjithë kjo mund të menaxhohet duke përdorur tastierën e vetme të përmendur tashmë.
• Makina virtuale e sigurisë. Të gjitha detyrat me burime intensive (përditësimet e bazës së të dhënave antivirus, skanimet e planifikuara) trajtohen nga një makinë virtuale e veçantë e sigurisë (SVM). Ajo është përgjegjëse për funksionimin e një motori antivirus të plotë dhe bazat e të dhënave për të. Infrastruktura IT e një kompanie mund të përfshijë disa SVM. Kjo qasje rrit besueshmërinë e sistemit - nëse një makinë dështon dhe nuk përgjigjet për tridhjetë sekonda, agjentët fillojnë automatikisht të kërkojnë një tjetër.
• Serveri i integrimit të KSC. Një nga komponentët e KSC-së kryesore, i cili cakton SVM-të e tij tek agjentët e dritës në përputhje me algoritmin e specifikuar në cilësimet e tij, dhe gjithashtu kontrollon disponueshmërinë e SVM-ve. Kështu, ky modul softuerik siguron balancimin e ngarkesës në të gjitha SVM-të e infrastrukturës cloud.
Algoritmi për të punuar në cloud: zvogëlimi i ngarkesës në infrastrukturë
Në përgjithësi, algoritmi antivirus mund të përfaqësohet si më poshtë. Agjenti i qaset skedarit në makinën virtuale dhe e kontrollon atë. Rezultati i verifikimit ruhet në një bazë të dhënash të përbashkët të centralizuar të verdikteve SVM (e quajtur Shared Cache), çdo hyrje në të cilën identifikon një mostër unike skedari. Kjo qasje ju lejon të siguroheni që i njëjti skedar të mos skanohet disa herë radhazi (për shembull, nëse është hapur në makina të ndryshme virtuale). Skedari riskanohet vetëm nëse janë bërë ndryshime në të ose skanimi është nisur manualisht.
Zbatimi i një zgjidhjeje antivirus në cloud të ofruesit
Imazhi tregon një diagram të përgjithshëm të zbatimit të zgjidhjes në re. Qendra kryesore e Kaspersky Security vendoset në zonën e kontrollit të cloud dhe një SVM individual vendoset në çdo host ESXi duke përdorur serverin e integrimit KSC (çdo host ESXi ka SVM-në e tij të bashkangjitur me cilësime të veçanta në serverin VMware vCenter). Klientët punojnë në segmentet e tyre cloud, ku ndodhen makinat virtuale me agjentë. Ato menaxhohen përmes serverëve individualë të KSC në varësi të KSC-së kryesore. Nëse është e nevojshme të mbrohet një numër i vogël i makinave virtuale (deri në 5), klientit mund t'i sigurohet akses në tastierën virtuale të një serveri të veçantë të dedikuar KSC. Ndërveprimi i rrjetit midis klientëve KSC dhe KSC-së kryesore, si dhe agjentëve të dritës dhe SVM-ve, kryhet duke përdorur NAT përmes ruterave virtualë të klientëve EdgeGW.
Sipas vlerësimeve tona dhe rezultateve të testeve të kolegëve në shitës, Light Agent zvogëlon ngarkesën në infrastrukturën virtuale të klientëve me afërsisht 25% (kur krahasohet me një sistem që përdor softuer tradicional antivirus). Në veçanti, antivirusi standard Kaspersky Endpoint Security (KES) për mjediset fizike konsumon pothuajse dy herë më shumë kohë CPU të serverit (2,95%) sesa një zgjidhje e lehtë virtualizimi e bazuar në agjentë (1,67%).
Grafiku i krahasimit të ngarkesës së CPU-së
Një situatë e ngjashme vërehet me frekuencën e akseseve të shkrimit të diskut: për një antivirus klasik është 1011 IOPS, për një antivirus cloud është 671 IOPS.
Grafiku i krahasimit të shkallës së hyrjes në disk
Përfitimi i performancës ju lejon të ruani stabilitetin e infrastrukturës dhe të përdorni fuqinë llogaritëse në mënyrë më efikase. Duke u përshtatur për të punuar në një mjedis publik cloud, zgjidhja nuk zvogëlon performancën e resë kompjuterike: kontrollon në mënyrë qendrore skedarët dhe shkarkon përditësimet, duke shpërndarë ngarkesën. Kjo do të thotë që, nga njëra anë, kërcënimet që lidhen me infrastrukturën cloud nuk do të mungojnë, nga ana tjetër, kërkesat për burime për makinat virtuale do të reduktohen mesatarisht me 25% në krahasim me një antivirus tradicional.
Për sa i përket funksionalitetit, të dyja zgjidhjet janë shumë të ngjashme me njëra-tjetrën: më poshtë është një tabelë krahasimi. Sidoqoftë, në cloud, siç tregojnë rezultatet e testit të mësipërm, është ende optimale të përdoret një zgjidhje për mjediset virtuale.
Për tarifat në kuadër të qasjes së re. Ne vendosëm të përdorim një model që na lejon të marrim licenca bazuar në numrin e vCPU-ve. Kjo do të thotë që numri i licencave do të jetë i barabartë me numrin e vCPU-ve. Ju mund të testoni antivirusin tuaj duke lënë një kërkesë .
Në artikullin tjetër mbi temat e cloud, ne do të flasim për evolucionin e WAF-ve të cloud dhe çfarë është më mirë të zgjidhni: harduer, softuer ose cloud.
Teksti u përgatit nga punonjësit e ofruesit të cloud #CloudMTS: Denis Myagkov, arkitekti kryesor dhe Alexey Afanasyev, menaxher i zhvillimit të produktit të sigurisë së informacionit.
Burimi: www.habr.com