Цлоуд Сецурити Мониторинг

Премештање података и апликација у облак представља нови изазов за корпоративне СОЦ-ове, који нису увек спремни да прате инфраструктуру других људи. Према Нетоскопе-у, просечно предузеће (очигледно у САД) користи 1246 различитих услуга у облаку, што је 22% више него пре годину дана. 1246 цлоуд сервиса!!! Од тога 175 односи се на ХР услуге, 170 на маркетинг, 110 на област комуникација и 76 на финансије и ЦРМ. Цисцо користи „само“ 700 екстерних услуга у облаку. Тако да сам мало збуњен овим бројевима. Али у сваком случају, проблем није у њима, већ у чињеници да клауд почиње прилично активно да користи све већи број компанија које би желеле да имају исте могућности за праћење клауд инфраструктуре као у сопственој мрежи. И овај тренд расте – према према Америчкој рачунској комори До 2023. 1200 дата центара ће бити затворено у Сједињеним Државама (6250 је већ затворено). Али прелазак на облак није само „хајде да преселимо наше сервере на спољног провајдера“. Нова ИТ архитектура, нови софтвер, нови процеси, нова ограничења... Све то доноси значајне промене у раду не само ИТ, већ и информационе безбедности. А ако су провајдери научили да се некако носе са обезбеђивањем безбедности самог облака (срећом, постоји много препорука), онда са надзором безбедности информација у облаку, посебно на СааС платформама, постоје значајне потешкоће, о којима ћемо говорити.

Рецимо да је ваша компанија преместила део своје инфраструктуре у облак... Стани. Не на овај начин. Ако је инфраструктура пренета, а ви тек сада размишљате како ћете је надгледати, онда сте већ изгубили. Осим ако није Амазон, Гоогле или Мицрософт (и онда са резервацијама), вероватно нећете имати много могућности да надгледате своје податке и апликације. Добро је ако вам се пружи прилика да радите са евиденцијама. Понекад ће подаци о безбедносним догађајима бити доступни, али нећете имати приступ њима. На пример, Оффице 365. Ако имате најјефтинију Е1 лиценцу, онда вам безбедносни догађаји уопште нису доступни. Ако имате Е3 лиценцу, ваши подаци се чувају само 90 дана, а само ако имате Е5 лиценцу, трајање евиденције је доступно годину дана (међутим, и ово има своје нијансе везане за потребу да се засебно затражите бројне функције за рад са евиденцијама од Мицрософт подршке). Иначе, Е3 лиценца је много слабија у погледу функција праћења од корпоративне Екцханге. Да бисте постигли исти ниво, потребна вам је Е5 лиценца или додатна лиценца за напредну усклађеност, што може захтевати додатни новац који није урачунат у ваш финансијски модел за прелазак на инфраструктуру у облаку. А ово је само један пример потцењивања проблема у вези са надзором безбедности информација у облаку. У овом чланку, не претварајући се да је потпун, желим да скренем пажњу на неке нијансе које треба узети у обзир при избору провајдера у облаку са безбедносне тачке гледишта. И на крају чланка ће бити дата контролна листа коју вреди попунити пре него што се узме у обзир да је питање надгледања безбедности информација у облаку решено.

Постоји неколико типичних проблема који доводе до инцидената у клауд окружењима, на које службе за безбедност информација немају времена да одговоре или их уопште не виде:

• Безбедносни дневники не постоје. Ово је прилично уобичајена ситуација, посебно међу почетницима на тржишту решења у облаку. Али не треба одмах одустати од њих. Мали играчи, посебно домаћи, осетљивији су на захтеве купаца и могу брзо да имплементирају неке потребне функције променом одобрене мапе пута за своје производе. Да, ово неће бити аналог ГуардДути-а из Амазона или модула „Проактивна заштита“ из Битрикса, али барем нешто.
• Безбедност информација не зна где се чувају евиденције или им нема приступа. Овде је неопходно ући у преговоре са добављачем услуга у облаку - можда ће он дати такве информације ако сматра да је клијент значајан за њега. Али генерално, није баш добро када се приступ евиденцијама обезбеђује „посебном одлуком“.
• Такође се дешава да клауд провајдер има логове, али они омогућавају ограничено праћење и снимање догађаја, који нису довољни за откривање свих инцидената. На пример, можете да примате само евиденције промена на веб локацији или евиденције покушаја аутентификације корисника, али не и друге догађаје, као што је мрежни саобраћај, који ће сакрити од вас читав слој догађаја који карактеришу покушаје хаковања ваше инфраструктуре облака.
• Дневници постоје, али приступ њима је тешко аутоматизовати, што их приморава да се прате не континуирано, већ по распореду. А ако не можете аутоматски да преузимате евиденцију, онда преузимање дневника, на пример, у Екцел формату (као код великог броја домаћих добављача решења у облаку), може чак довести до невољности службе корпоративне информационе безбедности да се позабави њима.
• Нема праћења дневника. Ово је можда најнејаснији разлог за појаву инцидената безбедности информација у клауд окружењима. Чини се да евиденције постоје, и могуће је аутоматизовати приступ њима, али то нико не ради. Зашто?

Заједнички концепт безбедности у облаку

Прелазак на облак је увек потрага за равнотежом између жеље да се одржи контрола над инфраструктуром и њеног преношења у професионалније руке провајдера облака који је специјализован за њено одржавање. И у области безбедности у облаку, овај баланс се такође мора тражити. Штавише, у зависности од модела испоруке услуге у облаку који се користи (ИааС, ПааС, СааС), ова равнотежа ће бити различита све време. У сваком случају, морамо запамтити да сви провајдери облака данас следе такозвану подељену одговорност и модел заједничке безбедности информација. Облак је одговоран за неке ствари, а за друге је одговоран клијент, стављајући своје податке, своје апликације, своје виртуелне машине и друге ресурсе у облак. Било би непромишљено очекивати да ћемо одласком у облак сву одговорност пребацити на провајдера. Али такође није мудро сами изградити сву сигурност када прелазите на облак. Потребан је баланс, који ће зависити од многих фактора: - стратегије управљања ризиком, модела претњи, безбедносних механизама доступних добављачу облака, законодавства итд.

На пример, класификација података смештених у облаку је увек одговорност купца. Провајдер у облаку или екстерни провајдер услуга могу му помоћи само помоћу алата који ће помоћи у обележавању података у облаку, идентификацији кршења, брисању података који крше закон или маскирању на овај или онај начин. С друге стране, физичка безбедност је увек одговорност провајдера облака, коју не може да дели са клијентима. Али све што је између података и физичке инфраструктуре управо је предмет расправе у овом чланку. На пример, доступност облака је одговорност провајдера, а постављање правила заштитног зида или омогућавање шифровања је одговорност клијента. У овом чланку ћемо покушати да погледамо које механизме за праћење безбедности информација данас пружају разни популарни провајдери облака у Русији, које су карактеристике њихове употребе и када је вредно тражити спољна решења за преклапање (на пример, Цисцо Е- маил Сецурити) који проширују могућности вашег облака у смислу сајбер безбедности. У неким случајевима, посебно ако пратите стратегију са више облака, нећете имати другог избора осим да користите спољна решења за надзор безбедности информација у неколико окружења у облаку одједном (на пример, Цисцо ЦлоудЛоцк или Цисцо Стеалтхватцх Цлоуд). Па, у неким случајевима ћете схватити да добављач облака који сте изабрали (или вам је наметнуо) уопште не нуди никакве могућности праћења безбедности информација. Ово је непријатно, али и не мало, јер вам омогућава да адекватно процените ниво ризика повезан са радом са овим облаком.

Животни циклус надгледања безбедности у облаку

Да бисте надгледали безбедност облака које користите, имате само три опције:

• ослоните се на алате које пружа ваш добављач у облаку,
• користите решења трећих страна која ће надгледати ИааС, ПааС или СааС платформе које користите,
• изградите сопствену инфраструктуру за надгледање облака (само за ИааС/ПааС платформе).

Хајде да видимо које карактеристике има свака од ових опција. Али прво, морамо да разумемо општи оквир који ће се користити приликом надгледања платформи у облаку. Истакнуо бих 6 главних компоненти процеса праћења безбедности информација у облаку:

• Припрема инфраструктуре. Одређивање потребних апликација и инфраструктуре за прикупљање догађаја важних за безбедност информација у складиште.
• Цоллецтион. У овој фази, безбедносни догађаји се агрегирају из различитих извора за накнадни пренос ради обраде, складиштења и анализе.
• Третман. У овој фази, подаци се трансформишу и обогаћују како би се олакшала каснија анализа.
• Складиште. Ова компонента је одговорна за краткорочно и дугорочно складиштење прикупљених обрађених и необрађених података.
• Анализа. У овој фази имате могућност да откријете инциденте и реагујете на њих аутоматски или ручно.
• Извештавање. Ова фаза помаже да се формулишу кључни индикатори за заинтересоване стране (менаџмент, ревизори, добављачи у облаку, клијенти, итд.) који нам помажу да донесемо одређене одлуке, на пример, мењамо добављача или јачамо безбедност информација.

Разумевање ових компоненти ће вам омогућити да у будућности брзо одлучите шта можете да узмете од свог провајдера, а шта ћете морати да урадите сами или уз ангажовање спољних консултаната.

Уграђене услуге у облаку

Већ сам написао изнад да многе услуге у облаку данас не пружају никакве могућности праћења безбедности информација. Генерално, не обраћају много пажње на тему информационе безбедности. На пример, један од популарних руских сервиса за слање извештаја државним агенцијама путем Интернета (нећу посебно спомињати његово име). Цео одељак о безбедности ове услуге се врти око коришћења сертификованог ЦИПФ-а. Одељак за безбедност информација друге домаће услуге у облаку за електронско управљање документима се не разликује. Говори о сертификатима јавног кључа, сертификованој криптографији, елиминисању веб рањивости, заштити од ДДоС напада, коришћењу заштитних зидова, резервних копија, па чак и редовним ревизијама безбедности информација. Али нема ни речи о праћењу, нити о могућности приступа безбедносним догађајима који би могли бити интересантни клијентима овог провајдера.

Уопштено говорећи, по начину на који добављач облака описује проблеме безбедности информација на својој веб локацији иу својој документацији, можете разумети колико озбиљно схвата овај проблем. На пример, ако читате приручнике за производе „Моја канцеларија“, нема ни речи о безбедности, већ у документацији за посебан производ „Моја канцеларија. КС3”, дизајниран за заштиту од неовлашћеног приступа, постоји уобичајена листа тачака 17. реда ФСТЕЦ-а, које „Моја канцеларија.КС3” спроводи, али није описано како то спроводи и, што је најважније, како да интегришу ове механизме са корпоративном безбедношћу информација. Можда таква документација постоји, али је нисам нашао у јавном домену, на сајту „Моја канцеларија“. Иако можда једноставно немам приступ овим тајним информацијама?..

За Битрикс је ситуација много боља. Документација описује формате дневника догађаја и, занимљиво, дневника упада, који садржи догађаје који се односе на потенцијалне претње платформи у облаку. Одатле можете извући ИП, име корисника или госта, извор догађаја, време, кориснички агент, тип догађаја итд. Истина, са овим догађајима можете радити или са контролне табле самог облака или отпремити податке у МС Екцел формату. Сада је тешко аутоматизовати рад са Битрик евиденцијама и део посла ћете морати да урадите ручно (пребацивање извештаја и његово учитавање у свој СИЕМ). Али ако се сетимо да до релативно недавно таква прилика није постојала, онда је ово велики напредак. Истовремено, желео бих да напоменем да многи страни провајдери облака нуде сличну функционалност „за почетнике“ - или гледајте евиденције очима кроз контролну таблу, или отпремите податке себи (међутим, већина података отпрема у . цсв формату, а не Екцел).

Без разматрања опције без евиденције, добављачи облака вам обично нуде три опције за праћење безбедносних догађаја – контролне табле, отпремање података и приступ АПИ-ју. Чини се да први решава многе проблеме за вас, али то није сасвим тачно - ако имате неколико часописа, морате да прелазите између екрана на којима се они приказују, чиме се губи укупна слика. Поред тога, мало је вероватно да ће вам добављач у облаку пружити могућност да повежете безбедносне догађаје и да их генерално анализирате са безбедносне тачке гледишта (обично имате посла са сировим подацима, које морате сами да разумете). Постоје изузеци и о њима ћемо даље. На крају, вреди се запитати које догађаје бележи ваш провајдер у облаку, у ком формату и како они одговарају вашем процесу надзора безбедности информација? На пример, идентификација и аутентификација корисника и гостију. Исти Битрик вам омогућава, на основу ових догађаја, да снимите датум и време догађаја, име корисника или госта (ако имате модул „Веб аналитика“), објекат којем се приступа и друге елементе типичне за веб локацију. . Али корпоративним услугама безбедности информација можда ће бити потребне информације о томе да ли је корисник приступио облаку са поузданог уређаја (на пример, у корпоративној мрежи овај задатак имплементира Цисцо ИСЕ). Шта је са тако једноставним задатком као што је гео-ИП функција, која ће помоћи да се утврди да ли је кориснички налог услуге у облаку украден? Чак и ако вам га пружа добављач облака, то није довољно. Исти Цисцо ЦлоудЛоцк не анализира само геолокацију, већ за то користи машинско учење и анализира историјске податке за сваког корисника и прати различите аномалије у покушајима идентификације и аутентификације. Само МС Азуре има сличну функционалност (ако имате одговарајућу претплату).

Постоји још једна потешкоћа – пошто је за многе добављаче облака праћење безбедности информација нова тема којом тек почињу да се баве, они стално нешто мењају у својим решењима. Данас имају једну верзију АПИ-ја, сутра другу, прекосутра трећу. Такође морате бити спремни за ово. Исто важи и за функционалност, која се може променити, што се мора узети у обзир у вашем систему за надзор безбедности информација. На пример, Амазон је у почетку имао засебне услуге праћења догађаја у облаку — АВС ЦлоудТраил и АВС ЦлоудВатцх. Затим се појавио посебан сервис за праћење догађаја у безбедности информација - АВС ГуардДути. Након неког времена, Амазон је покренуо нови систем управљања, Амазон Сецурити Хуб, који укључује анализу података добијених од ГуардДути-а, Амазон Инспецтор-а, Амазон Мацие-а и неколико других. Други пример је алатка за интеграцију Азуре дневника са СИЕМ-ом - АзЛог. Активно су га користили многи добављачи СИЕМ-а, све док Мицрософт није 2018. године објавио престанак његовог развоја и подршке, што је многе клијенте који су користили ову алатку суочило са проблемом (о томе како је он решен касније).

Стога пажљиво пратите све функције надгледања које вам нуди ваш провајдер у облаку. Или се ослоните на спољне добављаче решења који ће деловати као посредници између вашег СОЦ-а и облака који желите да надгледате. Да, биће скупље (иако не увек), али ћете сву одговорност пребацити на туђа рамена. Или не све?.. Сетимо се концепта заједничке безбедности и схватимо да не можемо ништа да променимо – мораћемо самостално да разумемо како различити провајдери облака обезбеђују праћење информационе безбедности ваших података, апликација, виртуелних машина и других ресурса хостован у облаку. И почећемо са оним што Амазон нуди у овом делу.

Пример: Надгледање безбедности информација у ИааС-у засновано на АВС-у

Да, да, разумем да Амазон није најбољи пример због чињенице да је ово амерички сервис и да се може блокирати у оквиру борбе против екстремизма и ширења информација забрањених у Русији. Али у овој публикацији бих само желео да покажем како се различите платформе у облаку разликују у својим могућностима праћења безбедности информација и на шта треба да обратите пажњу када преносите своје кључне процесе у облаке са безбедносне тачке гледишта. Па, ако неко од руских програмера цлоуд решења научи нешто корисно за себе, онда ће то бити сјајно.

Прво што треба рећи је да Амазон није непробојна тврђава. Његовим клијентима се редовно дешавају разни инциденти. На пример, имена, адресе, датуми рођења и бројеви телефона 198 милиона гласача украдени су из Дееп Роот Аналитицс. Израелска компанија Нице Системс украла је 14 милиона записа претплатника Веризона. Међутим, АВС-ове уграђене могућности вам омогућавају да откријете широк спектар инцидената. На пример:

• утицај на инфраструктуру (ДДоС)
• компромис чвора (убризгавање команде)
• компромитовање налога и неовлашћени приступ
• нетачна конфигурација и рањивости
• несигурни интерфејси и АПИ-ји.

Ово неслагање је због чињенице да је, како смо горе сазнали, сам купац одговоран за безбедност података о клијентима. А ако се није потрудио да укључи заштитне механизме и није укључио алате за праћење, онда ће о инциденту сазнати само из медија или од својих клијената.

Да бисте идентификовали инциденте, можете користити широк спектар различитих сервиса за праћење које је развио Амазон (иако су они често допуњени спољним алатима као што је оскуери). Дакле, у АВС-у се надгледају све радње корисника, без обзира на то како се спроводе – преко управљачке конзоле, командне линије, СДК-а или других АВС услуга. Сви записи о активностима сваког АВС налога (укључујући корисничко име, радњу, услугу, параметре активности и резултат) и коришћење АПИ-ја доступни су преко АВС ЦлоудТраил-а. Можете да видите ове догађаје (као што су пријаве на АВС ИАМ конзолу) са ЦлоудТраил конзоле, да их анализирате користећи Амазон Атхена или да их „оутсоурцеујете“ спољним решењима као што су Сплунк, АлиенВаулт итд. Сами АВС ЦлоудТраил дневници се постављају у вашу АВС С3 корпу.

Две друге АВС услуге пружају низ других важних могућности праћења. Прво, Амазон ЦлоудВатцх је услуга надгледања АВС ресурса и апликација која вам, између осталог, омогућава да идентификујете различите аномалије у вашем облаку. Све уграђене АВС услуге, као што су Амазон Еластиц Цомпуте Цлоуд (сервери), Амазон Релатионал Датабасе Сервице (базе података), Амазон Еластиц МапРедуце (анализа података) и 30 других Амазон услуга, користе Амазон ЦлоудВатцх за чување својих евиденција. Програмери могу да користе отворени АПИ из Амазон ЦлоудВатцх-а да додају функционалност праћења евиденције прилагођеним апликацијама и услугама, омогућавајући им да прошире обим анализе догађаја у оквиру безбедносног контекста.

Друго, услуга ВПЦ Флов Логс вам омогућава да анализирате мрежни саобраћај који шаљу или примају ваши АВС сервери (екстерно или интерно), као и између микросервиса. Када било који од ваших АВС ВПЦ ресурса ступи у интеракцију са мрежом, ВПЦ Флов Логс бележи детаље о мрежном саобраћају, укључујући изворни и одредишни мрежни интерфејс, као и ИП адресе, портове, протокол, број бајтова и број пакета које Тестера. Они који имају искуства са безбедношћу локалне мреже препознаће ово као аналогно нитима Нето прилив, који могу да креирају свичеви, рутери и заштитни зидови предузећа. Ови дневники су важни у сврхе праћења безбедности информација јер, за разлику од догађаја о акцијама корисника и апликација, такође вам омогућавају да не пропустите мрежне интеракције у АВС виртуелном приватном облаку.

Укратко, ове три АВС услуге — АВС ЦлоудТраил, Амазон ЦлоудВатцх и ВПЦ Флов Логс — заједно пружају прилично моћан увид у коришћење вашег налога, понашање корисника, управљање инфраструктуром, активност апликација и услуга и мрежну активност. На пример, могу се користити за откривање следећих аномалија:

• Покушаји скенирања сајта, тражење позадинских врата, тражење рањивости кроз рафале „404 грешке“.
• Напади убризгавањем (на пример, СКЛ ињекција) кроз рафале од „500 грешака“.
• Познати алати за напад су склмап, никто, в3аф, нмап, итд. кроз анализу поља Усер Агент.

Амазон Веб Сервицес је такође развио друге услуге у сврхе сајбер безбедности које вам омогућавају да решите многе друге проблеме. На пример, АВС има уграђену услугу за ревизију смерница и конфигурација – АВС Цонфиг. Ова услуга обезбеђује континуирану ревизију ваших АВС ресурса и њихових конфигурација. Узмимо једноставан пример: Рецимо да желите да будете сигурни да су корисничке лозинке онемогућене на свим вашим серверима и да је приступ могућ само на основу сертификата. АВС Цонфиг олакшава проверу овога за све ваше сервере. Постоје и друге смернице које се могу применити на ваше сервере у облаку: „Ниједан сервер не може да користи порт 22“, „Само администратори могу да мењају правила заштитног зида“ или „Само корисник Ивашко може да креира нове корисничке налоге, а то може да ради само уторком. " У лето 2016. услуга АВС Цонфиг је проширена да аутоматизује откривање кршења развијених смерница. АВС Цонфиг Рулес су у суштини непрекидни захтеви за конфигурисање за Амазон услуге које користите, а који генеришу догађаје ако се крше одговарајуће смернице. На пример, уместо повременог покретања АВС Цонфиг упита да би се проверило да ли су сви дискови на виртуелном серверу шифровани, АВС Цонфиг правила могу да се користе за сталну проверу дискова сервера како би се осигурало да је овај услов испуњен. И, што је најважније, у контексту ове публикације, свако кршење генерира догађаје које ваша служба за сигурност информација може анализирати.

АВС такође има свој еквивалент традиционалним корпоративним решењима за безбедност информација, која такође генеришу безбедносне догађаје које можете и треба да анализирате:

• Детекција упада - АВС ГуардДути
• Контрола цурења информација - АВС Мацие
• ЕДР (иако мало чудно говори о крајњим тачкама у облаку) - АВС Цлоудватцх + опен соурце оскуери или ГРР решења
• Нетфлов анализа – АВС Цлоудватцх + АВС ВПЦ Флов
• ДНС анализа - АВС Цлоудватцх + АВС Роуте53
• АД - АВС Дирецтори Сервице
• Управљање налогом – АВС ИАМ
• ССО - АВС ССО
• безбедносна анализа – АВС Инспецтор
• управљање конфигурацијом - АВС Цонфиг
• ВАФ - АВС ВАФ.

Нећу детаљно описивати све Амазон сервисе који могу бити корисни у контексту информационе безбедности. Најважније је схватити да сви они могу да генеришу догађаје које можемо и треба да анализирамо у контексту информационе безбедности, користећи у ту сврху и уграђене могућности самог Амазона и екстерна решења, на пример, СИЕМ, која може однесите безбедносне догађаје у свој центар за надгледање и тамо их анализирајте заједно са догађајима из других услуга у облаку или из интерне инфраструктуре, периметра или мобилних уређаја.

У сваком случају, све почиње од извора података који вам обезбеђују догађаје о безбедности информација. Ови извори укључују, али нису ограничени на:

• ЦлоудТраил – Употреба АПИ-ја и радње корисника
• Поуздани саветник - безбедносна провера у односу на најбоље праксе
• Конфигурација - инвентар и конфигурација налога и подешавања сервиса
• ВПЦ Флов Логс - везе са виртуелним интерфејсима
• ИАМ - услуга идентификације и аутентификације
• ЕЛБ Аццесс Логс - Лоад Баланцер
• Инспектор - рањивости апликација
• С3 - складиште датотека
• ЦлоудВатцх – Активност апликације
• СНС је сервис за обавештавање.

Амазон, иако нуди такав низ извора догађаја и алата за њихово генерисање, веома је ограничен у својој способности да анализира прикупљене податке у контексту безбедности информација. Мораћете самостално да проучавате доступне дневнике, тражећи релевантне индикаторе компромиса у њима. АВС Сецурити Хуб, који је Амазон недавно покренуо, има за циљ да реши овај проблем тако што ће постати цлоуд СИЕМ за АВС. Али за сада је тек на почетку свог пута и ограничен је и бројем извора са којима ради и другим ограничењима успостављеним архитектуром и претплатама самог Амазона.

Пример: Надгледање безбедности информација у ИааС базираном на Азуре-у

Не желим да улазим у дугу расправу о томе који је од три провајдера облака (Амазон, Мицрософт или Гоогле) бољи (поготово што сваки од њих и даље има своје специфичне специфичности и погодан је за решавање сопствених проблема); Хајде да се фокусирамо на могућности праћења безбедности информација које ови играчи пружају. Мора се признати да је Амазон АВС био један од првих у овом сегменту и самим тим је најдаље напредовао у погледу својих функција безбедности информација (иако многи признају да су тешке за коришћење). Али то не значи да ћемо занемарити могућности које нам пружају Мицрософт и Гугл.

Мицрософт производи су се увек одликовали својом „отвореношћу“, а у Азуреу је ситуација слична. На пример, ако АВС и ГЦП увек полазе од концепта „оно што није дозвољено је забрањено“, онда Азуре има потпуно супротан приступ. На пример, када креирате виртуелну мрежу у облаку и виртуелну машину у њој, сви портови и протоколи су отворени и дозвољени по подразумеваној вредности. Због тога ћете морати да уложите мало више труда на почетно подешавање система контроле приступа у облаку од Мицрософта. А ово вам такође намеће строже захтеве у погледу активности надгледања у Азуре облаку.

АВС има посебност повезану са чињеницом да када надгледате своје виртуелне ресурсе, ако се налазе у различитим регионима, онда имате потешкоћа у комбиновању свих догађаја и њихове обједињене анализе, да бисте елиминисали које морате да прибегнете разним триковима, као нпр. Направите сопствени код за АВС Ламбда који ће преносити догађаје између региона. Азуре нема овај проблем – његов механизам евиденције активности прати све активности у целој организацији без ограничења. Исто важи и за АВС Сецурити Хуб, који је недавно развио Амазон да консолидује многе безбедносне функције у оквиру једног безбедносног центра, али само у оквиру свог региона, што, међутим, није релевантно за Русију. Азуре има свој безбедносни центар, који није везан регионалним ограничењима, пружајући приступ свим безбедносним функцијама платформе у облаку. Штавише, за различите локалне тимове може да обезбеди сопствени скуп заштитних способности, укључујући безбедносне догађаје којима они управљају. АВС Сецурити Хуб је још увек на путу да постане сличан Азуре безбедносном центру. Али вреди додати муху - из Азуре-а можете истиснути много онога што је претходно описано у АВС-у, али то је најпогодније урадити само за Азуре АД, Азуре Монитор и Азуре Сецурити Центер. Свим другим Азуре механизмима безбедности, укључујући анализу безбедносних догађаја, још увек се не управља на најпогоднији начин. Проблем је делимично решен АПИ-јем, који прожима све Мицрософт Азуре услуге, али то ће захтевати додатни напор од вас да интегришете свој облак са вашим СОЦ-ом и присуство квалификованих стручњака (у ствари, као и са сваким другим СИЕМ-ом који ради са облаком АПИ-ји). Неки СИЕМ-ови, о којима ће бити речи касније, већ подржавају Азуре и могу да аутоматизују задатак његовог надгледања, али такође имају своје потешкоће - не могу сви да прикупе све евиденције које Азуре има.

Прикупљање и праћење догађаја у Азуре-у се обезбеђује коришћењем услуге Азуре Монитор, која је главни алат за прикупљање, складиштење и анализу података у Мицрософт облаку и његовим ресурсима – Гит репозиторијумима, контејнерима, виртуелним машинама, апликацијама итд. Сви подаци које прикупља Азуре Монитор подељени су у две категорије – метрике, које се прикупљају у реалном времену и које описују кључне показатеље перформанси Азуре облака, и евиденције, које садрже податке организоване у записе који карактеришу одређене аспекте активности Азуре ресурса и услуга. Поред тога, користећи Дата Цоллецтор АПИ, услуга Азуре Монитор може да прикупља податке из било ког РЕСТ извора да би изградила сопствене сценарије надгледања.

Ево неколико извора безбедносних догађаја које вам Азуре нуди и којима можете да приступите преко Азуре портала, ЦЛИ, ПоверСхелл-а или РЕСТ АПИ-ја (а некима само преко Азуре Монитор/Инсигхт АПИ-ја):

• Евиденције активности – овај дневник одговара на класична питања „ко“, ​​„шта“ и „када“ у вези са било којом операцијом писања (ПУТ, ПОСТ, ДЕЛЕТЕ) на ресурсима у облаку. Догађаји у вези са приступом за читање (ГЕТ) нису укључени у овај дневник, као и бројни други.
• Дијагностички дневники - садрже податке о операцијама са одређеним ресурсом укљученим у вашу претплату.
• Азуре АД извештавање – садржи и активности корисника и системске активности везане за управљање групама и корисницима.
• Виндовс Евент Лог и Линук Сислог – садржи догађаје са виртуелних машина хостованих у облаку.
• метрика – садржи телеметрију о перформансама и здравственом статусу ваших услуга и ресурса у облаку. Мери се сваког минута и чува. у року од 30 дана.
• Евиденција тока групе за безбедност мреже – садржи податке о догађајима безбедности мреже прикупљене коришћењем услуге Нетворк Ватцхер и надгледање ресурса на нивоу мреже.
• Стораге Логс – садржи догађаје у вези са приступом складишним објектима.

За надгледање можете да користите екстерне СИЕМ-ове или уграђени Азуре Монитор и његове екстензије. Касније ћемо разговарати о системима за управљање догађајима безбедности информација, али за сада да видимо шта нам сам Азуре нуди за анализу података у контексту безбедности. Главни екран за све што је у вези са безбедношћу у Азуре Монитору је Контролна табла безбедности и ревизије Лог Аналитицс (бесплатна верзија подржава ограничену количину складиштења догађаја за само једну недељу). Ова контролна табла је подељена на 5 главних области које визуелизују збирну статистику онога што се дешава у окружењу облака које користите:

• Безбедносни домени – кључни квантитативни индикатори који се односе на безбедност информација – број инцидената, број компромитованих чворова, незакрпљених чворова, безбедносни догађаји мреже итд.
• Значајни проблеми – приказује број и важност активних проблема безбедности информација
• Детекције – приказује обрасце напада који се користе против вас
• Интелигенција претњи – приказује географске информације о спољним чворовима који вас нападају
• Уобичајени безбедносни упити – типични упити који ће вам помоћи да боље пратите безбедност информација.

Азуре Монитор екстензије укључују Азуре Кеи Ваулт (заштита криптографских кључева у облаку), Малваре Ассессмент (анализа заштите од злонамерног кода на виртуелним машинама), Азуре Апплицатион Гатеваи Аналитицс (анализа, између осталог, евиденција заштитног зида у облаку) итд. . Ови алати, обогаћени одређеним правилима за обраду догађаја, омогућавају вам да визуелизујете различите аспекте активности цлоуд сервиса, укључујући безбедност, и идентификујете одређена одступања од рада. Али, као што се често дешава, свака додатна функционалност захтева одговарајућу плаћену претплату, што ће од вас захтевати одговарајућа финансијска улагања, која морате унапред планирати.

Азуре има бројне уграђене могућности праћења претњи које су интегрисане у Азуре АД, Азуре Монитор и Азуре безбедносни центар. Међу њима, на пример, откривање интеракције виртуелних машина са познатим злонамерним ИП адресама (због присуства интеграције са услугама Тхреат Интеллигенце компаније Мицрософт), откривање малвера у инфраструктури облака примањем аларма са виртуелних машина које се налазе у облаку, лозинка погађање напада” на виртуелне машине, рањивости у конфигурацији система за идентификацију корисника, пријављивање у систем са анонимизатора или заражених чворова, цурење налога, пријављивање у систем са необичних локација итд. Азуре данас је један од ретких добављача у облаку који вам нуди уграђене могућности обавештавања о претњама за обогаћивање прикупљених догађаја безбедности информација.

Као што је горе поменуто, безбедносна функционалност и, као резултат тога, безбедносни догађаји које она генерише нису доступни свим корисницима подједнако, већ захтевају одређену претплату која укључује функционалност која вам је потребна, а која генерише одговарајуће догађаје за праћење безбедности информација. На пример, неке од функција описаних у претходном параграфу за праћење аномалија на налозима доступне су само у П2 премиум лиценци за услугу Азуре АД. Без тога ћете, као иу случају АВС-а, морати да анализирате прикупљене безбедносне догађаје „ручно“. Такође, у зависности од типа лиценце Азуре АД, неће сви догађаји бити доступни за анализу.

На Азуре порталу можете да управљате и упитима за претрагу за евиденције које вас занимају и да подесите контролне табле за визуелизацију кључних индикатора безбедности информација. Поред тога, тамо можете да изаберете Азуре Монитор екстензије, које вам омогућавају да проширите функционалност евиденције Азуре Монитора и добијете дубљу анализу догађаја са безбедносне тачке гледишта.

Ако вам је потребна не само способност рада са евиденцијама, већ и свеобухватан безбедносни центар за вашу Азуре клауд платформу, укључујући управљање политиком безбедности информација, онда можете разговарати о потреби да радите са Азуре безбедносним центром, од којих већина корисних функција доступни су за нешто новца, на пример, откривање претњи, надгледање ван Азуре-а, процена усклађености итд. (у бесплатној верзији имате приступ само безбедносној процени и препорукама за отклањање идентификованих проблема). Обједињује сва безбедносна питања на једном месту. У ствари, можемо да говоримо о вишем нивоу безбедности информација него што вам Азуре Монитор пружа, пошто су у овом случају подаци прикупљени у вашој фабрици облака обогаћени коришћењем многих извора, као што су Азуре, Оффице 365, Мицрософт ЦРМ на мрежи, Мицрософт Динамицс АКС , оутлоок .цом, МСН.цом, Мицрософт Дигитал Цримес Унит (ДЦУ) и Мицрософт Сецурити Респонсе Центер (МСРЦ), на које су постављени различити софистицирани алгоритми за машинско учење и аналитику понашања, што би на крају требало да побољша ефикасност откривања претњи и реаговања на њих. .

Азуре такође има свој СИЕМ - појавио се почетком 2019. Ово је Азуре Сентинел, који се ослања на податке из Азуре Монитора и такође може да се интегрише са. спољна безбедносна решења (на пример, НГФВ или ВАФ), чија листа стално расте. Поред тога, кроз интеграцију Мицрософт Грапх Сецурити АПИ-ја, имате могућност да повежете сопствене изворе података Тхреат Интеллигенце са Сентинел-ом, што обогаћује могућности за анализу инцидената у вашем Азуре облаку. Може се тврдити да је Азуре Сентинел први „нативни“ СИЕМ који се појавио од добављача услуга у облаку (исти Сплунк или ЕЛК, који се могу хостовати у облаку, на пример, АВС, још увек нису развијени од стране традиционалних добављача услуга у облаку). Азуре Сентинел и Сецурити Центер могли би се назвати СОЦ за Азуре облак и могли би бити ограничени на њих (уз одређене резерве) ако више немате никакву инфраструктуру и пренели сте све своје рачунарске ресурсе у облак и то би био Мицрософт цлоуд Азуре.

Али пошто уграђене могућности Азуре-а (чак и ако имате претплату на Сентинел) често нису довољне за потребе надгледања безбедности информација и интеграције овог процеса са другим изворима безбедносних догађаја (и у облаку и интерним), постоји потребно је да извезете прикупљене податке у екстерне системе, који могу укључити СИЕМ. Ово се ради и коришћењем АПИ-ја и помоћу специјалних екстензија, које су тренутно званично доступне само за следеће СИЕМ-ове – Сплунк (додатак за Азуре Монитор за Сплунк), ИБМ КРадар (Мицрософт Азуре ДСМ), СумоЛогиц, АрцСигхт и ЕЛК. До недавно је било више таквих СИЕМ-ова, али је од 1. јуна 2019. Мицрософт престао да подржава Азуре Лог Интегратион Тоол (АзЛог), који је у зору постојања Азуре-а и у недостатку нормалне стандардизације рада са евиденцијама (Азуре Монитор још није ни постојао) олакшала је интеграцију екстерног СИЕМ-а са Мицрософт облаком. Сада се ситуација променила и Мицрософт препоручује Азуре Евент Хуб платформу као главни алат за интеграцију за друге СИЕМ-ове. Многи су већ имплементирали такву интеграцију, али будите опрезни – можда неће ухватити све Азуре евиденције, већ само неке (погледајте у документацији за ваш СИЕМ).

Завршавајући кратак излет у Азуре, желео бих да дам општу препоруку о овој услузи у облаку – пре него што кажете било шта о функцијама надзора безбедности информација у Азуре-у, требало би да их веома пажљиво конфигуришете и тестирате да раде како је написано у документацији и као што су вам консултанти рекли Мицрософт-у (и они могу имати различите погледе на функционалност Азуре функција). Ако имате финансијска средства, можете из Азуреа извући много корисних информација у смислу надзора безбедности информација. Ако су ваши ресурси ограничени, онда ћете, као у случају АВС-а, морати да се ослоните само на своју снагу и необрађене податке које вам Азуре Монитор пружа. И запамтите да многе функције надгледања коштају новац и боље је да се унапред упознате са политиком цена. На пример, бесплатно можете да складиштите 31 дан података до максимално 5 ГБ по кориснику - прекорачење ових вредности захтеваће од вас да издвојите додатни новац (приближно 2 УСД за чување сваког додатног ГБ од клијента и 0,1 УСД за складиштење 1 ГБ сваког додатног месеца). Рад са телеметријом и метриком апликације такође може захтевати додатна средства, као и рад са упозорењима и обавештењима (бесплатно је доступно одређено ограничење, што можда неће бити довољно за ваше потребе).

Пример: Надгледање безбедности информација у ИааС-у засновано на Гоогле Цлоуд Платформу

Гоогле Цлоуд Платформ изгледа као млађи у поређењу са АВС-ом и Азуреом, али ово је делимично добро. За разлику од АВС-а, који је постепено повећавао своје могућности, укључујући и безбедносне, имајући проблеме са централизацијом; ГЦП, као и Азуре, се много боље управља централно, што смањује грешке и време имплементације у целом предузећу. Са безбедносне тачке гледишта, ГЦП је, зачудо, између АВС-а и Азуре-а. Он такође има јединствену регистрацију догађаја за целу организацију, али је непотпуна. Неке функције су још увек у бета режиму, али постепено овај недостатак треба елиминисати и ГЦП ће постати зрелија платформа у смислу надзора безбедности информација.

Главни алат за евидентирање догађаја у ГЦП-у је Стацкдривер Логгинг (слично Азуре Монитору), који вам омогућава да прикупљате догађаје у читавој инфраструктури облака (као и са АВС-а). Из безбедносне перспективе у ГЦП-у, свака организација, пројекат или фасцикла има четири евиденције:

• Админ Ацтивити – садржи све догађаје који се односе на административни приступ, на пример, креирање виртуелне машине, промену права приступа итд. Овај дневник се увек пише, без обзира на вашу жељу, и чува своје податке 400 дана.
• Приступ подацима – садржи све догађаје везане за рад са подацима од стране корисника облака (креирање, модификација, читање итд.). Подразумевано, овај дневник није написан, јер се његов волумен веома брзо повећава. Из тог разлога, његов рок трајања је само 30 дана. Осим тога, није све написано у овом часопису. На пример, догађаји који се односе на ресурсе који су јавно доступни свим корисницима или који су доступни без пријављивања на ГЦП се не уписују у њега.
• Системски догађај – садржи системске догађаје који се не односе на кориснике, или радње администратора који мења конфигурацију Цлоуд ресурса. Увек се пише и чува 400 дана.
• Транспарентност приступа је јединствен пример евиденције која бележи све радње Гоогле запослених (али не још за све ГЦП услуге) који приступају вашој инфраструктури у оквиру својих радних обавеза. Овај дневник се чува 400 дана и није доступан сваком ГЦП клијенту, али само ако су испуњени одређени услови (подршка на Голд или Платинум нивоу, или присуство 4 улоге одређеног типа као део корпоративне подршке). Слична функција је такође доступна, на пример, у Оффице 365 - Лоцкбок.

Пример евиденције: Транспарентност приступа

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Приступ овим евиденцијама је могућ на неколико начина (прилично на исти начин као што је претходно разматрано Азуре и АВС) – преко интерфејса Лог Виевер-а, преко АПИ-ја, преко Гоогле Цлоуд СДК-а или преко странице Активности вашег пројекта за који сте су заинтересовани за догађаје. На исти начин се могу експортовати у екстерна решења ради додатне анализе. Ово последње се ради извозом евиденције у БигКуери или Цлоуд Пуб/Суб складиште.

Поред Стацкдривер евидентирања, ГЦП платформа такође нуди функцију Стацкдривер Мониторинг, која вам омогућава да пратите кључне метрике (перформансе, МТБФ, укупно здравље, итд.) услуга и апликација у облаку. Обрађени и визуелизовани подаци могу олакшати проналажење проблема у инфраструктури облака, укључујући и у контексту безбедности. Али треба напоменути да ова функционалност неће бити много богата у контексту информационе безбедности, пошто ГЦП данас нема аналогни исти АВС ГуардДути и не може да идентификује лоше међу свим регистрованим догађајима (Гоогле је развио детекцију претњи догађаја, али је још увек у развоју у бета верзији и прерано је говорити о његовој корисности). Стацкдривер Мониторинг би могао да се користи као систем за откривање аномалија, које би се потом истраживале како би се пронашли узроци њиховог настанка. Али с обзиром на недостатак особља квалификованог у области ГЦП информационе безбедности на тржишту, овај задатак тренутно изгледа тежак.

Такође је вредно дати листу неких модула за безбедност информација који се могу користити у оквиру вашег ГЦП облака и који су слични ономе што нуди АВС:

• Командни центар за безбедност у облаку је аналог АВС безбедносног чворишта и Азуре безбедносног центра.
• Цлоуд ДЛП – Аутоматско откривање и уређивање (нпр. маскирање) података смештених у облаку помоћу више од 90 унапред дефинисаних смерница класификације.
• Цлоуд Сцаннер је скенер за познате рањивости (КССС, Фласх Ињецтион, незакрпљене библиотеке, итд.) у Апп Енгине-у, Цомпуте Енгине-у и Гоогле Кубернетес-у.
• Цлоуд ИАМ – Контролишите приступ свим ГЦП ресурсима.
• Цлоуд Идентити – Управљајте ГЦП корисничким налозима, уређајима и налозима апликација са једне конзоле.
• Цлоуд ХСМ - заштита криптографских кључева.
• Цлоуд Кеи Манагемент Сервице - управљање криптографским кључевима у ГЦП-у.
• Контрола ВПЦ услуга – Направите безбедни периметар око ваших ГЦП ресурса да бисте их заштитили од цурења.
• Титан сигурносни кључ - заштита од пхисхинга.

Многи од ових модула генеришу безбедносне догађаје који се могу послати у БигКуери складиште ради анализе или извоза у друге системе, укључујући СИЕМ. Као што је горе поменуто, ГЦП је платформа која се активно развија и Гоогле сада развија низ нових модула за безбедност информација за своју платформу. Међу њима су Детекција претњи догађаја (сада доступна у бета верзији), која скенира Стацкдривер евиденције у потрази за траговима неовлашћених активности (аналогно ГуардДути-у у АВС-у) или Полици Интеллигенце (доступна у алфа верзији), која ће вам омогућити да развијете интелигентне смернице за приступ ГЦП ресурсима.

Направио сам кратак преглед уграђених могућности праћења у популарним цлоуд платформама. Али да ли имате стручњаке који могу да раде са „сировим“ евиденцијама ИааС провајдера (нису сви спремни да купе напредне могућности АВС-а или Азуре-а или Гоогле-а)? Поред тога, многима је позната изрека „веруј, али провери“, која је истинитија него икада у области безбедности. Колико верујете уграђеним могућностима провајдера у облаку који вам шаље догађаје о безбедности информација? Колико се уопште фокусирају на безбедност информација?

Понекад је вредно погледати решења за надгледање инфраструктуре у облаку која могу да допуне уграђену безбедност у облаку, а понекад су таква решења једина опција за стицање увида у безбедност ваших података и апликација смештених у облаку. Осим тога, они су једноставно практичнији, јер преузимају све задатке анализе потребних дневника које генеришу различите услуге у облаку од различитих провајдера облака. Пример таквог решења за преклапање је Цисцо Стеалтхватцх Цлоуд, који је фокусиран на један задатак – праћење аномалија безбедности информација у клауд окружењима, укључујући не само Амазон АВС, Мицрософт Азуре и Гоогле Цлоуд Платформ, већ и приватне облаке.

Пример: Надгледање безбедности информација помоћу Стеалтхватцх Цлоуд-а

АВС пружа флексибилну рачунарску платформу, али ова флексибилност олакшава компанијама да праве грешке које доводе до безбедносних проблема. А заједнички модел безбедности информација томе само доприноси. Покретање софтвера у облаку са непознатим рањивостима (са познатим се може борити, на пример, АВС Инспецтор или ГЦП Цлоуд Сцаннер), слабим лозинкама, нетачним конфигурацијама, инсајдерима итд. А све се то огледа у понашању ресурса у облаку, које може да прати Цисцо Стеалтхватцх Цлоуд, који је систем за праћење безбедности информација и откривање напада. јавни и приватни облаци.

Једна од кључних карактеристика Цисцо Стеалтхватцх Цлоуд-а је могућност моделирања ентитета. Помоћу њега можете да креирате софтверски модел (то јест, симулацију скоро у реалном времену) сваког вашег ресурса у облаку (није битно да ли је то АВС, Азуре, ГЦП или нешто друго). То може укључивати сервере и кориснике, као и типове ресурса специфичне за ваше окружење у облаку, као што су безбедносне групе и групе за аутоматско скалирање. Ови модели користе структуриране токове података које пружају услуге у облаку као улаз. На пример, за АВС то би били ВПЦ Флов Логс, АВС ЦлоудТраил, АВС ЦлоудВатцх, АВС Цонфиг, АВС Инспецтор, АВС Ламбда и АВС ИАМ. Моделирање ентитета аутоматски открива улогу и понашање било ког вашег ресурса (можете говорити о профилисању свих активности у облаку). Ове улоге укључују Андроид или Аппле мобилни уређај, Цитрик ПВС сервер, РДП сервер, мрежни пролаз за пошту, ВоИП клијент, терминал сервер, контролер домена итд. Затим континуирано прати њихово понашање како би утврдио када се дешава ризично или безбедносно угрожавајуће понашање. Можете да идентификујете нагађање лозинке, ДДоС нападе, цурење података, илегални даљински приступ, активност злонамерног кода, скенирање рањивости и друге претње. На пример, овако изгледа откривање покушаја удаљеног приступа из земље нетипичне за вашу организацију (Јужна Кореја) Кубернетес кластеру преко ССХ-а:

А овако изгледа наводно цурење информација из Постгрес базе података у земљу са којом раније нисмо наишли на интеракцију:

Коначно, овако изгледа превише неуспелих покушаја ССХ из Кине и Индонезије са спољног удаљеног уређаја:

Или, претпоставимо да инстанца сервера у ВПЦ-у, према смерницама, никада неће бити одредиште за удаљено пријављивање. Претпоставимо даље да је овај рачунар доживео удаљену пријаву због погрешне промене у политици правила заштитног зида. Функција Ентити Моделинг ће открити и пријавити ову активност („Необичан даљински приступ“) у скоро реалном времену и указати на одређени АВС ЦлоудТраил, Азуре Монитор или ГЦП Стацкдривер Логгинг АПИ позив (укључујући корисничко име, датум и време, између осталих детаља ).што је довело до промене правила ИТУ. А онда се ове информације могу послати СИЕМ-у на анализу.

Сличне могућности су имплементиране за било које окружење у облаку које подржава Цисцо Стеалтхватцх Цлоуд:

Моделирање ентитета је јединствен облик безбедносне аутоматизације који може да открије претходно непознати проблем са вашим људима, процесима или технологијом. На пример, омогућава вам да откријете, између осталог, безбедносне проблеме као што су:

• Да ли је неко открио бацкдоор у софтверу који користимо?
• Да ли постоји софтвер или уређај треће стране у нашем облаку?
• Да ли овлашћени корисник злоупотребљава привилегије?
• Да ли је дошло до грешке у конфигурацији која је омогућила даљински приступ или другу ненаменску употребу ресурса?
• Да ли постоји цурење података са наших сервера?
• Да ли је неко покушавао да се повеже са нама са нетипичне географске локације?
• Да ли је наш облак заражен злонамерним кодом?

Откривени догађај безбедности информација може бити послат у облику одговарајуће улазнице у Слацк, Цисцо Спарк, систем за управљање инцидентима ПагерДути, а такође се може послати на различите СИЕМ-ове, укључујући Сплунк или ЕЛК. Да резимирамо, можемо рећи да ако ваша компанија користи стратегију у више облака и није ограничена на једног добављача облака, могућности надзора безбедности информација описане изнад, онда је коришћење Цисцо Стеалтхватцх Цлоуд-а добра опција за добијање обједињеног скупа надгледања могућности за водеће играче у облаку - Амазон, Мицрософт и Гоогле. Најинтересантније је да ако упоредите цене за Стеалтхватцх Цлоуд са напредним лиценцама за праћење безбедности информација у АВС, Азуре или ГЦП, може се испоставити да ће Цисцо решење бити чак јефтиније од уграђених могућности Амазона, Мицрософта. и Гоогле решења. Парадоксално, али је истина. И што више облака и њихових могућности користите, то ће бити очигледнија предност консолидованог решења.

Поред тога, Стеалтхватцх Цлоуд може да надгледа приватне облаке који су распоређени у вашој организацији, на пример, на основу Кубернетес контејнера или праћењем Нетфлов токова или мрежног саобраћаја примљеног преко пресликавања у мрежну опрему (чак и домаћу производњу), АД податке или ДНС сервере и тако даље. Сви ови подаци биће обогаћени информацијама о претњама које прикупља Цисцо Талос, највећа светска невладина група истраживача претњи за сајбер безбедност.

Ово вам омогућава да примените обједињени систем надгледања и за јавне и за хибридне облаке које ваша компанија може да користи. Прикупљене информације се затим могу анализирати коришћењем уграђених могућности Стеалтхватцх Цлоуд-а или послати на ваш СИЕМ (Сплунк, ЕЛК, СумоЛогиц и неколико других су подразумевано подржани).

Овим ћемо завршити први део чланка, у којем сам прегледао уграђене и екстерне алате за праћење информационе безбедности ИааС/ПааС платформи, који нам омогућавају да брзо откријемо и реагујемо на инциденте који се дешавају у клауд окружењима који наше предузеће је изабрало. У другом делу ћемо наставити тему и размотрити опције за праћење СааС платформи на примеру Салесфорце-а и Дропбок-а, а такође ћемо покушати да све сумирамо и спојимо креирањем јединственог система за праћење безбедности информација за различите цлоуд провајдере.

Извор: ввв.хабр.цом