Pangimeutan Kaamanan Awan

Mindahkeun data sareng aplikasi kana méga nampilkeun tangtangan énggal pikeun SOC perusahaan, anu henteu salawasna siap ngawas infrastruktur jalma sanés. Numutkeun Netoskope, perusahaan rata-rata (katingalina di AS) nganggo 1246 jasa awan anu béda, nyaéta 22% langkung ti sataun katukang. 1246 jasa awan!!! 175 diantarana aya hubunganana sareng jasa SDM, 170 aya hubunganana sareng pamasaran, 110 aya dina widang komunikasi sareng 76 aya dina keuangan sareng CRM. Cisco migunakeun "ngan" 700 jasa awan éksternal. Janten kuring rada bingung ku nomer ieu. Tapi dina hal naon waé, masalahna sanés sareng aranjeunna, tapi ku kanyataan yén awan mimiti dianggo sacara aktip ku paningkatan jumlah perusahaan anu hoyong gaduh kamampuan anu sami pikeun ngawaskeun infrastruktur awan sapertos dina jaringan sorangan. Jeung trend ieu tumuwuh - nurutkeun nurutkeun Amérika Kamar Akun Dina taun 2023, 1200 pusat data bakal ditutup di Amérika Serikat (6250 parantos ditutup). Tapi transisi ka awan henteu ngan "hayu urang mindahkeun server kami ka panyadia éksternal." Arsitéktur IT anyar, software anyar, prosés anyar, larangan anyar ... Sadaya ieu brings parobahan signifikan kana karya teu ukur IT, tapi ogé kaamanan informasi. Tur upami panyadia geus diajar kumaha bae Cope jeung mastikeun kaamanan awan sorangan (untungna aya loba saran), lajeng ku ngawas kaamanan informasi awan, utamana dina platform SaaS, aya kasusah signifikan, nu urang bakal ngobrol ngeunaan.

Anggap perusahaan anjeun parantos mindahkeun bagian tina infrastrukturna ka méga... Eureun. Teu cara kieu. Upami infrastruktur parantos dialihkeun, sareng anjeun ayeuna ngan ukur mikirkeun kumaha anjeun bakal ngawas éta, maka anjeun parantos kaleungitan. Iwal éta Amazon, Google, atawa Microsoft (lajeng kalawan reservations), Anjeun meureun moal boga loba kamampuhan pikeun ngawas data anjeun sarta aplikasi. Éta saé upami anjeun dibéré kasempetan pikeun damel sareng log. Kadang-kadang data acara kaamanan bakal sadia, tapi anjeun moal boga aksés ka dinya. Contona, Office 365. Upami Anjeun gaduh lisénsi E1 cheapest, acara kaamanan teu sadia pikeun anjeun sakabehna. Upami anjeun gaduh lisénsi E3, data anjeun disimpen ngan ukur 90 dinten, sareng ngan upami anjeun gaduh lisénsi E5, durasi log sayogi salami sataun (tapi, ieu ogé gaduh nuansa sorangan anu aya hubunganana sareng kabutuhan misah. nyuhunkeun sababaraha pungsi pikeun gawé bareng log ti pangrojong Microsoft). Ku jalan kitu, lisénsi E3 langkung lemah dina hal fungsi ngawaskeun tibatan Exchange perusahaan. Pikeun ngahontal tingkat anu sami, anjeun peryogi lisénsi E5 atanapi lisénsi Patuh Lanjutan tambahan, anu panginten peryogi artos tambahan anu henteu kalebet kana modél kauangan anjeun pikeun ngalih ka infrastruktur awan. Sareng ieu mangrupikeun salah sahiji conto underestimation tina masalah anu aya hubunganana sareng ngawaskeun kaamanan inpormasi awan. Dina tulisan ieu, tanpa pura-pura lengkep, abdi hoyong ngagambar perhatian kana sababaraha nuansa anu kedah diperhatoskeun nalika milih panyadia awan tina sudut pandang kaamanan. Sareng dina ahir tulisan, daptar pariksa bakal dipasihkeun anu pantes pikeun réngsé sateuacan nganggap yén masalah ngawaskeun kaamanan inpormasi awan parantos direngsekeun.

Aya sababaraha masalah umum anu nyababkeun kajadian dina lingkungan awan, dimana jasa kaamanan inpormasi henteu gaduh waktos pikeun ngaréspon atanapi henteu ningali aranjeunna:

• Log kaamanan teu aya. Ieu mangrupikeun kaayaan anu cukup umum, khususna diantara pamaén novice dina pasar solusi awan. Tapi anjeun teu kedah nyerah aranjeunna langsung. Pamaén leutik, khususna domestik, langkung sénsitip kana syarat palanggan sareng tiasa gancang ngalaksanakeun sababaraha fungsi anu diperyogikeun ku ngarobih peta jalan anu disatujuan pikeun produkna. Leres, ieu moal janten analog GuardDuty ti Amazon atanapi modul "Perlindungan Proaktif" ti Bitrix, tapi sahenteuna hal.
• Kaamanan inpormasi henteu terang dimana log disimpen atanapi henteu aya aksés ka aranjeunna. Di dieu perlu asup kana hungkul jeung panyadia ladenan awan - sugan anjeunna bakal nyadiakeun informasi misalna lamun nganggap klien penting pikeun anjeunna. Tapi sacara umum, éta henteu saé nalika aksés ka log disayogikeun "ku kaputusan khusus."
• Éta ogé kajadian yén panyadia awan gaduh log, tapi aranjeunna nyayogikeun monitoring terbatas sareng ngarékam acara, anu henteu cekap pikeun ngadeteksi sadaya kajadian. Contona, Anjeun ngan bisa nampa log parobahan dina ramatloka atawa log usaha auténtikasi pamaké, tapi teu acara lianna, kayaning lalulintas jaringan, nu bakal nyumputkeun ti anjeun sakabeh lapisan acara nu characterize usaha hack infrastruktur awan Anjeun.
• Aya log, tapi aksés ka aranjeunna hese ngajadikeun otomatis, anu maksa aranjeunna diawaskeun henteu terus-terusan, tapi dina jadwal. Sareng upami anjeun henteu tiasa ngaunduh log sacara otomatis, teras unduh log, contona, dina format Excel (sapertos sajumlah panyadia solusi awan domestik), bahkan tiasa nyababkeun horéam dina bagian tina jasa kaamanan inpormasi perusahaan pikeun tinker sareng aranjeunna.
• Taya pangawas log. Ieu panginten alesan anu paling teu jelas pikeun lumangsungna insiden kaamanan inpormasi dina lingkungan awan. Sigana mah aya log, sarta kasebut nyaéta dimungkinkeun pikeun ngajadikeun otomatis aksés ka aranjeunna, tapi teu saurang ogé ngalakukeun ieu. Naha?

Konsep kaamanan awan dibagikeun

Transisi ka awan sok milarian kasaimbangan antara kahayang pikeun ngajaga kontrol kana infrastruktur sareng nransferkeunana ka panangan anu langkung profésional ti panyadia awan anu khusus pikeun ngajaga éta. Sareng dina widang kaamanan awan, kasaimbangan ieu ogé kedah dipilarian. Sumawona, gumantung kana modél pangiriman jasa awan anu dianggo (IaaS, PaaS, SaaS), kasaimbangan ieu bakal béda unggal waktos. Dina naon waé, urang kedah émut yén sadaya panyadia awan ayeuna nuturkeun anu disebut tanggung jawab dibagikeun sareng modél kaamanan inpormasi anu dibagikeun. Awan nanggungjawaban kanggo sababaraha hal, sareng pikeun anu sanésna tanggung jawab klien, nempatkeun datana, aplikasina, mesin virtual sareng sumber daya sanésna dina méga. Éta bakal gagabah nyangka yén ku angkat ka méga, urang bakal mindahkeun sadaya tanggung jawab ka panyadia. Tapi éta ogé henteu wijaksana pikeun ngawangun sadaya kaamanan sorangan nalika ngalih ka méga. Kasaimbangan diperyogikeun, anu bakal gumantung kana sababaraha faktor: - strategi manajemén résiko, modél ancaman, mékanisme kaamanan anu sayogi pikeun panyadia awan, panerapan, jsb.

Contona, klasifikasi data hosted dina awan salawasna tanggung jawab konsumén. Panyadia awan atanapi panyadia ladénan éksternal ngan ukur tiasa ngabantosan anjeunna nganggo alat anu bakal ngabantosan nyirian data dina méga, ngaidentipikasi palanggaran, ngahapus data anu ngalanggar hukum, atanapi topéng ngagunakeun hiji metode atanapi anu sanés. Di sisi anu sanés, kaamanan fisik mangrupikeun tanggung jawab panyadia awan, anu henteu tiasa dibagikeun sareng klien. Tapi sadayana anu aya antara data sareng infrastruktur fisik mangrupikeun topik diskusi dina tulisan ieu. Salaku conto, kasadiaan awan mangrupikeun tanggung jawab panyadia, sareng nyetél aturan firewall atanapi ngaktipkeun enkripsi mangrupikeun tanggung jawab klien. Dina artikel ieu kami baris coba pikeun nempo naon mékanisme ngawaskeun kaamanan informasi anu disadiakeun kiwari ku sagala rupa panyadia awan populér di Rusia, naon fitur pamakéan maranéhanana, sarta iraha éta patut pilari solusi overlay éksternal (contona, Cisco E- mail Security) anu ngalegaan kamampuan awan anjeun dina hal kaamanan maya. Dina sababaraha kasus, utamana lamun anjeun nuturkeun strategi multi-awan, anjeun bakal boga pilihan tapi ngagunakeun solusi ngawaskeun kaamanan informasi éksternal dina sababaraha lingkungan awan sakaligus (Contona, Cisco CloudLock atanapi Cisco Stealthwatch Awan). Nya, dina sababaraha kasus anjeun bakal sadar yén panyadia awan anu anjeun pilih (atanapi ditumpukeun ka anjeun) henteu nawiskeun kamampuan ngawaskeun kaamanan inpormasi. Ieu henteu pikaresepeun, tapi ogé henteu sakedik, sabab éta ngamungkinkeun anjeun pikeun ngevaluasi tingkat résiko anu aya hubunganana sareng damel sareng awan ieu.

Awan Kaamanan pangimeutan Lifecycle

Pikeun ngawas kaamanan awan anu anjeun anggo, anjeun ngan ukur gaduh tilu pilihan:

• ngandelkeun alat anu disayogikeun ku panyadia awan anjeun,
• nganggo solusi ti pihak katilu anu bakal ngawas platform IaaS, PaaS atanapi SaaS anu anjeun anggo,
• ngawangun infrastruktur ngawaskeun awan anjeun sorangan (ngan pikeun platform IaaS / PaaS).

Hayu urang tingali naon fitur unggal pilihan ieu. Tapi ke heula, urang kedah ngartos kerangka umum anu bakal dianggo nalika ngawas platform awan. Kuring bakal nyorot 6 komponén utama prosés ngawaskeun kaamanan inpormasi dina awan:

• Persiapan infrastruktur. Nangtukeun aplikasi sareng infrastruktur anu dipikabutuh pikeun ngumpulkeun acara anu penting pikeun kaamanan inpormasi kana panyimpenan.
• Koléksi. Dina tahap ieu, acara kaamanan dikumpulkeun tina sababaraha sumber pikeun pangiriman salajengna pikeun ngolah, neundeun sareng analisa.
• Pangobatan. Dina tahap ieu, data ditransformasikeun sareng dikayakeun pikeun ngagampangkeun analisis salajengna.
• Panyimpenan. Komponén ieu tanggung jawab pikeun neundeun jangka pondok sareng jangka panjang data olahan sareng atah anu dikumpulkeun.
• Analisis. Dina tahap ieu, anjeun gaduh kamampuan pikeun ngadeteksi kajadian sareng ngabalesana sacara otomatis atanapi sacara manual.
• Ngalaporkeun. Tahap ieu mantuan pikeun ngarumuskeun indikator konci pikeun stakeholder (manajemén, auditors, panyadia awan, klien, jsb) nu mantuan kami nyieun kaputusan nu tangtu, contona, ngarobah panyadia atawa strengthening kaamanan informasi.

Ngartos komponén ieu bakal ngidinan Anjeun pikeun gancang mutuskeun dina mangsa nu bakal datang naon anjeun tiasa nyandak ti panyadia anjeun, sarta naon anu kudu maneh mun diri atawa jeung involvement konsultan éksternal.

jasa awan diwangun-di

Kuring parantos nyerat di luhur yén seueur jasa awan ayeuna henteu nyayogikeun kamampuan ngawaskeun kaamanan inpormasi. Sacara umum, aranjeunna henteu merhatoskeun topik kaamanan inpormasi. Contona, salah sahiji ladenan Rusia populér pikeun ngirim laporan ka instansi pamaréntah via Internet (Kuring moal husus nyebut ngaranna). Sakabéh bagian ngeunaan kaamanan jasa ieu revolves sabudeureun pamakéan CIPF Certified. Bagian kaamanan inpormasi ngeunaan jasa awan domestik sanés pikeun manajemén dokumén éléktronik henteu béda. Éta nyarioskeun ngeunaan sertipikat konci umum, kriptografi anu disertipikasi, ngaleungitkeun kerentanan wéb, panyalindungan ngalawan serangan DDoS, nganggo firewall, cadangan, sareng audit kaamanan inpormasi biasa. Tapi teu aya kecap ngeunaan ngawaskeun, atanapi ngeunaan kamungkinan kéngingkeun aksés kana acara kaamanan inpormasi anu tiasa dipikaresep ku klien panyadia jasa ieu.

Sacara umum, ku cara panyadia awan ngajelaskeun masalah kaamanan inpormasi dina situs wéb sareng dina dokuméntasina, anjeun tiasa ngartos kumaha seriusna masalah ieu. Contona, upami anjeun maca manual pikeun produk "Kantor abdi", teu aya kecap ngeunaan kaamanan, tapi dina dokuméntasi pikeun produk misah "Kantor abdi. KS3", dirancang pikeun nangtayungan tina aksés diidinan, aya Listing dawam tina titik tina urutan 17 tina FSTEC, nu "Kantor abdi.KS3" implements, tapi teu digambarkeun kumaha eta implements na, paling importantly, kumaha carana ngahijikeun mékanisme ieu sareng kaamanan inpormasi perusahaan. Panginten dokuméntasi sapertos kitu aya, tapi kuring henteu mendakanana dina domain umum, dina halaman wéb "Kantor abdi". Sanajan meureun kuring ngan teu boga aksés ka informasi rusiah ieu?..

Pikeun Bitrix, kaayaan éta langkung saé. Dokuméntasi ngajelaskeun format log acara sareng, anu pikaresepeun, log intrusion, anu ngandung acara anu aya hubunganana sareng ancaman poténsial kana platform awan. Ti dinya anjeun tiasa narik IP, pangguna atanapi nami tamu, sumber acara, waktos, Agen Pamaké, jinis acara, jsb. Leres, anjeun tiasa damel sareng acara ieu tina panel kontrol awan sorangan, atanapi unggah data dina format MS Excel. Ayeuna hese pikeun ngajadikeun otomatis damel sareng log Bitrix sareng anjeun kedah ngalakukeun sababaraha padamelan sacara manual (munggah laporan sareng ngamuat kana SIEM anjeun). Tapi upami urang émut yén dugi ka ayeuna kasempetan sapertos kitu henteu aya, maka ieu mangrupikeun kamajuan anu hébat. Dina waktos anu sami, kuring hoyong perhatikeun yén seueur panyadia awan asing nawiskeun pungsionalitas anu sami "pikeun pamula" - boh ningali log kalayan panon anjeun ngaliwatan panel kontrol, atanapi unggah data ka diri anjeun (tapi, kalolobaan unggah data dina . format csv, sanes Excel).

Tanpa mertimbangkeun pilihan no-log, panyadia awan biasana nawiskeun anjeun tilu pilihan pikeun ngawaskeun acara kaamanan - dasbor, unggah data sareng aksés API. Kahiji sigana ngajawab loba masalah pikeun anjeun, tapi ieu teu sagemblengna bener - lamun boga sababaraha majalah, Anjeun kudu pindah antara layar mintonkeun aranjeunna, leungit sakabéh gambar. Sajaba ti éta, panyadia awan saperti teu mirip nyadiakeun Anjeun sareng kamampuhan pikeun correlate acara kaamanan jeung umumna analisa aranjeunna tina sudut pandang kaamanan (biasana anjeun kaayaan data atah, nu kudu ngarti sorangan). Aya pangecualian sareng urang bakal ngobrolkeun aranjeunna langkung jauh. Tungtungna, éta patut naroskeun acara naon anu dirékam ku panyadia awan anjeun, dina format naon, sareng kumaha aranjeunna pakait sareng prosés ngawaskeun kaamanan inpormasi anjeun? Contona, idéntifikasi jeung auténtikasi pamaké sarta sémah. Bitrix anu sami ngamungkinkeun anjeun, dumasar kana acara ieu, pikeun ngarékam tanggal sareng waktos kajadian, nami pangguna atanapi tamu (upami anjeun gaduh modul "Web Analytics"), obyék anu diaksés sareng elemen sanés anu khas pikeun halaman wéb. . Tapi jasa kaamanan inpormasi perusahaan tiasa peryogi inpormasi ngeunaan naha pangguna ngaksés méga tina alat anu dipercaya (contona, dina jaringan perusahaan, tugas ieu dilaksanakeun ku Cisco ISE). Kumaha upami tugas saderhana sapertos fungsi geo-IP, anu bakal ngabantosan naha akun pangguna jasa awan dipaling? Sareng upami panyadia awan nyayogikeun ka anjeun, ieu henteu cekap. Cisco CloudLock sarua teu ngan nganalisis geolocation, tapi ngagunakeun learning mesin keur kieu jeung nganalisa data sajarah pikeun tiap pamaké sarta ngawas rupa anomali dina idéntifikasi jeung auténtikasi usaha . Ngan MS Azure boga pungsi sarupa (lamun boga langganan luyu).

Aya kasusah anu sanés - sabab pikeun seueur panyadia awan ngawaskeun kaamanan inpormasi mangrupikeun topik énggal anu aranjeunna nembé diurus, aranjeunna teras-terasan ngarobih hiji hal dina solusina. Dinten aranjeunna gaduh hiji versi API, isukan sejen, dinten saatos isukan katilu. Anjeun ogé kedah disiapkeun pikeun ieu. Hal anu sami leres sareng fungsionalitas, anu tiasa robih, anu kedah dipertimbangkeun dina sistem ngawaskeun kaamanan inpormasi anjeun. Salaku conto, Amazon mimitina ngagaduhan jasa ngawaskeun acara awan anu misah-AWS CloudTrail sareng AWS CloudWatch. Teras jasa anu misah pikeun ngawaskeun acara kaamanan inpormasi muncul - AWS GuardDuty. Saatos sababaraha waktos, Amazon ngaluncurkeun sistem manajemén énggal, Amazon Security Hub, anu kalebet analisa data anu ditampi ti GuardDuty, Amazon Inspector, Amazon Macie sareng sababaraha anu sanésna. Conto sanésna nyaéta alat integrasi log Azure sareng SIEM - AzLog. Ieu aktip dipaké ku loba ngical paralatan SIEM, nepi ka 2018 Microsoft ngumumkeun gencatan patempuran ngembangkeun sarta rojongan na, nu confronted loba klien anu ngagunakeun alat ieu kalawan masalah (urang bakal ngobrol ngeunaan kumaha eta direngsekeun engké).

Ku alatan éta, pantau sacara saksama sadaya fitur ngawaskeun anu ditawarkeun panyadia awan anjeun. Atanapi ngandelkeun panyadia solusi éksternal anu bakal janten perantara antara SOC anjeun sareng awan anu anjeun hoyong monitor. Leres, éta bakal langkung mahal (sanaos henteu salawasna), tapi anjeun bakal mindahkeun sadaya tanggung jawab kana taktak batur. Atanapi henteu sadayana?.. Hayu urang émut kana konsép kaamanan anu dibagikeun sareng ngartos yén urang moal tiasa mindahkeun nanaon - urang kedah mandiri ngartos kumaha panyadia awan anu béda nyayogikeun ngawaskeun kaamanan inpormasi data anjeun, aplikasi, mesin virtual sareng sumber daya sanés. hosted dina awan. Sareng urang mimitian ku naon anu ditawarkeun Amazon dina bagian ieu.

Conto: Ngawaskeun kaamanan inpormasi dina IaaS dumasar kana AWS

Leres, leres, kuring ngartos yén Amazon sanés conto anu pangsaéna kusabab kanyataan yén ieu mangrupikeun jasa Amérika sareng éta tiasa diblokir salaku bagian tina perang ngalawan ekstremisme sareng panyebaran inpormasi anu dilarang di Rusia. Tapi dina publikasi ieu kuring ngan ukur hoyong nunjukkeun kumaha platform awan béda dina kamampuan ngawaskeun kaamanan inpormasi sareng naon anu anjeun kedah perhatosan nalika nransferkeun prosés konci anjeun ka méga tina sudut pandang kaamanan. Nya, upami sababaraha pamekar Rusia ngeunaan solusi awan diajar hal anu mangpaat pikeun dirina, maka éta bakal saé.

Hal kahiji anu kedah disebatkeun nyaéta yén Amazon sanés bénténg anu teu tiasa ditembus. Sagala rupa kajadian rutin lumangsung ka klien-Na. Salaku conto, nami, alamat, tanggal lahir, sareng nomer telepon 198 juta pamilih dipaling tina Deep Root Analytics. Perusahaan Israél Nice Systems maok 14 juta rékaman palanggan Verizon. Nanging, kamampuan anu diwangun dina AWS ngamungkinkeun anjeun ngadeteksi rupa-rupa kajadian. Salaku conto:

• dampak dina infrastruktur (DDoS)
• kompromi titik (komando suntikan)
• kompromi akun sareng aksés anu henteu sah
• konfigurasi lepat sareng kerentanan
• panganteur teu aman tur API.

Penyimpangan ieu disababkeun ku kanyataan yén, sakumaha anu urang terangkeun di luhur, palanggan nyalira tanggung jawab pikeun kaamanan data palanggan. Sareng upami anjeunna henteu ganggu ngaktipkeun mékanisme pelindung sareng henteu ngaktipkeun alat ngawaskeun, maka anjeunna ngan ukur diajar ngeunaan kajadian éta tina média atanapi ti klien na.

Pikeun ngaidentipikasi kajadian, anjeun tiasa nganggo rupa-rupa jasa ngawaskeun anu béda-béda anu dikembangkeun ku Amazon (sanaos ieu sering dilengkepan ku alat éksternal sapertos osquery). Janten, dina AWS, sadaya tindakan pangguna diawaskeun, henteu paduli kumaha aranjeunna dilaksanakeun - ngalangkungan konsol manajemén, garis paréntah, SDK atanapi jasa AWS anu sanés. Sadaya rékaman kagiatan unggal akun AWS (kalebet nami pangguna, tindakan, jasa, parameter kagiatan, sareng hasil) sareng panggunaan API sayogi ngalangkungan AWS CloudTrail. Anjeun tiasa ningali kajadian ieu (sapertos logins konsol AWS IAM) tina konsol CloudTrail, nganalisis aranjeunna nganggo Amazon Athena, atanapi "outsource" kana solusi éksternal sapertos Splunk, AlienVault, jsb. AWS CloudTrail log sorangan disimpen dina ember AWS S3 Anjeun.

Dua jasa AWS anu sanés nyayogikeun sajumlah kamampuan ngawaskeun anu penting. Anu mimiti, Amazon CloudWatch mangrupikeun jasa ngawaskeun sumber daya sareng aplikasi AWS anu, antara anu sanésna, ngamungkinkeun anjeun pikeun ngaidentipikasi sababaraha anomali dina awan anjeun. Sadaya jasa AWS anu diwangun, sapertos Amazon Elastic Compute Cloud (server), Amazon Relational Database Service (databases), Amazon Elastic MapReduce (analisis data), sareng 30 jasa Amazon anu sanés, nganggo Amazon CloudWatch pikeun nyimpen logna. Pamekar tiasa nganggo API kabuka ti Amazon CloudWatch pikeun nambihan fungsionalitas ngawaskeun log kana aplikasi sareng jasa khusus, ngamungkinkeun aranjeunna ngalegaan ruang lingkup analisa acara dina konteks kaamanan.

Kadua, ladenan VPC Flow Logs ngamungkinkeun anjeun pikeun nganalisis lalu lintas jaringan anu dikirim atanapi ditampi ku pangladén AWS anjeun (ékternal atanapi internal), ogé antara jasa mikro. Nalika salah sahiji sumber AWS VPC anjeun berinteraksi sareng jaringan, VPC Flow Logs ngarékam rinci ngeunaan lalu lintas jaringan, kalebet antarmuka jaringan sumber sareng tujuan, ogé alamat IP, palabuhan, protokol, jumlah bait, sareng jumlah pakét anjeun. nempo. Anu ngalaman sareng kaamanan jaringan lokal bakal ngakuan ieu sami sareng benang NetFlow, anu tiasa diciptakeun ku saklar, router sareng firewall kelas perusahaan. Log ieu penting pikeun tujuan ngawaskeun kaamanan inpormasi sabab, teu sapertos kajadian ngeunaan tindakan pangguna sareng aplikasi, aranjeunna ogé ngamungkinkeun anjeun henteu sono kana interaksi jaringan dina lingkungan awan pribadi virtual AWS.

Kasimpulanana, tilu jasa AWS ieu-AWS CloudTrail, Amazon CloudWatch, sareng VPC Flow Logs-bareng masihan wawasan anu cukup kuat ngeunaan pamakean akun anjeun, paripolah pangguna, manajemén infrastruktur, aplikasi sareng kagiatan jasa, sareng kagiatan jaringan. Salaku conto, aranjeunna tiasa dianggo pikeun ngadeteksi anomali ieu:

• Usaha pikeun nyeken situs, milarian backdoors, milarian kerentanan ngaliwatan bursts "404 kasalahan".
• Serangan suntikan (contona, suntikan SQL) ngalangkungan "500 kasalahan".
• Alat serangan anu dipikanyaho nyaéta sqlmap, nikto, w3af, nmap, jsb. ngaliwatan analisis widang Agén pamaké.

Amazon Web Services ogé parantos ngembangkeun jasa sanés pikeun tujuan kaamanan maya anu ngamungkinkeun anjeun pikeun ngarengsekeun seueur masalah anu sanés. Contona, AWS boga layanan diwangun-di pikeun auditing kawijakan jeung konfigurasi - AWS Config. Ladenan ieu nyayogikeun pamariksaan kontinyu sumber AWS anjeun sareng konfigurasina. Hayu urang nyandak conto saderhana: Anggap anjeun hoyong mastikeun yén kecap akses pangguna ditumpurkeun dina sadaya pangladén anjeun sareng aksés ngan ukur tiasa dumasar kana sertipikat. AWS Config ngagampangkeun parios ieu pikeun sadaya pangladén anjeun. Aya kawijakan séjén anu tiasa diterapkeun ka server awan anjeun: "Henteu aya server anu tiasa nganggo port 22", "Ngan pangurus anu tiasa ngarobih aturan firewall" atanapi "Ngan pangguna Ivashko tiasa nyiptakeun akun pangguna énggal, sareng anjeunna tiasa ngalakukeun éta ngan ukur dina Salasa. " Dina usum panas 2016, layanan AWS Config dilegakeun pikeun ngajadikeun otomatis deteksi palanggaran kawijakan anu dikembangkeun. Aturan AWS Config mangrupikeun pamundut konfigurasi anu kontinyu pikeun jasa Amazon anu anjeun anggo, anu ngahasilkeun acara upami kawijakan anu saluyu dilanggar. Contona, tinimbang ngajalankeun périodik AWS Config queries pikeun pariksa yen sakabeh disk dina server virtual énkripsi, AWS Config Aturan bisa dipaké pikeun terus pariksa disk server pikeun mastikeun yén kaayaan ieu patepung. Sareng, anu paling penting, dina kontéks ieu publikasi, sagala palanggaran ngahasilkeun acara anu tiasa dianalisis ku jasa kaamanan inpormasi anjeun.

AWS ogé gaduh sarimbag sareng solusi kaamanan inpormasi perusahaan tradisional, anu ogé ngahasilkeun acara kaamanan anu anjeun tiasa sareng kedah dianalisis:

• Deteksi Intrusion - AWS GuardDuty
• Émbaran Leak Control - AWS Macie
• EDR (sanaos nyarioskeun titik-titik dina awan rada anéh) - AWS Cloudwatch + open source osquery atanapi solusi GRR
• Analisis Netflow - AWS Cloudwatch + AWS VPC Aliran
• Analisis DNS - AWS Cloudwatch + AWS Route53
• AD - AWS Diréktori Service
• Manajemén Akun - AWS IAM
• SSO - AWS SSO
• analisis kaamanan - AWS Inspektur
• manajemén konfigurasi - AWS Config
• WAF - AWS WAF.

Kuring moal ngajelaskeun sacara rinci sadaya jasa Amazon anu tiasa mangpaat dina konteks kaamanan inpormasi. Hal utama pikeun ngarti yén sakabéh éta bisa ngahasilkeun acara nu urang bisa jeung kudu analisa dina konteks kaamanan informasi, ngagunakeun pikeun tujuan ieu duanana kamampuhan diwangun-di Amazon sorangan jeung solusi éksternal, contona, SIEM, nu bisa bawa acara kaamanan ka pusat ngawaskeun anjeun sareng analisa di dinya sareng acara tina jasa awan anu sanés atanapi tina infrastruktur internal, perimeter atanapi alat sélulér.

Dina naon waé, éta sadayana dimimitian ku sumber data anu nyayogikeun anjeun acara kaamanan inpormasi. Sumber ieu kalebet, tapi henteu dugi ka:

• CloudTrail - Pamakéan API sareng Aksi Pamaké
• Panaséhat Dipercaya - pamariksaan kaamanan ngalawan prakték pangsaéna
• Config - inventaris sareng konfigurasi akun sareng setélan jasa
• VPC Flow Logs - sambungan kana interfaces virtual
• IAM - jasa idéntifikasi jeung auténtikasi
• ELB Aksés Log - beban Balancer
• Inspektur - vulnerabilities aplikasi
• S3 - neundeun file
• CloudWatch - Kagiatan Aplikasi
• SNS nyaéta layanan béwara.

Amazon, nalika nawiskeun sajumlah sumber acara sareng alat pikeun generasina, terbatas pisan dina kamampuan pikeun nganalisis data anu dikumpulkeun dina kontéks kaamanan inpormasi. Anjeun kedah diajar sacara mandiri log anu sayogi, milarian indikator kompromi anu relevan dina éta. Hub Kaamanan AWS, anu nembe diluncurkeun Amazon, tujuanana pikeun ngarengsekeun masalah ieu ku janten SIEM awan pikeun AWS. Tapi sajauh ieu ngan ukur dina awal perjalananna sareng dibatesan ku jumlah sumber anu dianggo sareng ku larangan sanés anu ditetepkeun ku arsitéktur sareng langganan Amazon sorangan.

Conto: Ngawaskeun kaamanan inpormasi dina IaaS dumasar kana Azure

Kuring teu hayang meunang kana debat panjang ngeunaan mana tina tilu panyadia awan (Amazon, Microsoft atawa Google) hadé (utamana saprak unggal sahijina masih boga spésifik husus sorangan sarta cocog pikeun ngarengsekeun masalah sorangan); Hayu urang difokuskeun kamampuan ngawaskeun kaamanan inpormasi anu disayogikeun ku pamaén ieu. Perlu ngaku yén Amazon AWS mangrupikeun salah sahiji anu munggaran dina bagean ieu sareng ku kituna parantos maju paling jauh dina hal fungsi kaamanan inpormasi na (sanaos seueur anu ngaku yén aranjeunna hésé dianggo). Tapi ieu lain hartosna yén urang bakal malire kasempetan nu Microsoft sarta Google nyadiakeun kami.

Produk Microsoft sok dibédakeun ku "keterbukaan" na di Azure kaayaanna sami. Salaku conto, upami AWS sareng GCP sok teraskeun tina konsép "naon anu teu diidinan dilarang," maka Azure gaduh pendekatan anu sabalikna. Salaku conto, nalika nyiptakeun jaringan virtual dina méga sareng mesin virtual di jerona, sadaya palabuhan sareng protokol dibuka sareng diidinan sacara standar. Ku alatan éta, anjeun bakal kudu méakkeun saeutik leuwih usaha dina setelan awal sistem kontrol aksés dina awan ti Microsoft. Sareng ieu ogé maksakeun syarat anu langkung ketat pikeun anjeun dina hal ngawaskeun kagiatan dina awan Azure.

AWS gaduh peculiarity pakait sareng kanyataan yén nalika anjeun ngawas sumberdaya maya anjeun, upami aranjeunna lokasina di wewengkon béda, mangka anjeun ngalaman kasusah dina ngagabungkeun sakabeh acara jeung analisis hasil ngahijikeun Tatar maranéhanana, pikeun ngaleungitkeun nu kudu Resort ka sagala rupa trik, kayaning Jieun kode anjeun sorangan pikeun AWS Lambda anu bakal ngangkut acara antara daérah. Azure henteu ngagaduhan masalah ieu - mékanisme Log Aktivitas na ngalacak sadaya kagiatan di sakumna organisasi tanpa aya larangan. Hal anu sami manglaku ka AWS Security Hub, anu nembe dikembangkeun ku Amazon pikeun ngahijikeun seueur fungsi kaamanan dina hiji pusat kaamanan tunggal, tapi ngan ukur dina daérahna, anu kitu, henteu relevan pikeun Rusia. Azure boga Center Kaamanan sorangan, nu teu kabeungkeut ku larangan régional, nyadiakeun aksés ka sadaya fitur kaamanan tina platform awan. Sumawona, pikeun tim lokal anu béda éta tiasa nyayogikeun kamampuan pelindung sorangan, kalebet acara kaamanan anu diurus ku aranjeunna. Hub Kaamanan AWS masih nuju janten sami sareng Pusat Kaamanan Azure. Tapi éta patut nambahkeun hiji laleur dina salep nu - anjeun tiasa squeeze kaluar tina Azure loba naon saméméhna dijelaskeun dina AWS, tapi ieu paling merenah dipigawé ngan pikeun Azure AD, Azure Monitor jeung Azure Kaamanan Center. Sadaya mékanisme kaamanan Azure anu sanés, kalebet analisa acara kaamanan, henteu acan diurus ku cara anu paling merenah. Masalahna sawaréh direngsekeun ku API, anu ngalangkungan sadaya jasa Microsoft Azure, tapi ieu ngabutuhkeun usaha tambahan ti anjeun pikeun ngahijikeun awan anjeun sareng SOC anjeun sareng ayana spesialis anu mumpuni (saleresna, sapertos sareng SIEM sanés anu dianggo sareng awan API). Sababaraha SIEM, anu bakal dibahas engké, parantos ngadukung Azure sareng tiasa ngajadikeun otomatis tugas ngawaskeunana, tapi éta ogé ngagaduhan kasusah sorangan - henteu sadayana tiasa ngumpulkeun sadaya log anu dipiboga Azure.

Koléksi sareng ngawaskeun acara di Azure disayogikeun nganggo jasa Azure Monitor, anu mangrupikeun alat utama pikeun ngumpulkeun, nyimpen sareng nganalisa data dina awan Microsoft sareng sumberna - repositori Git, wadah, mesin virtual, aplikasi, jsb. Sadaya data dikumpulkeun ku Azure Monitor dibagi kana dua kategori - metrics, dikumpulkeun sacara real waktu jeung ngajéntrékeun indikator kinerja konci awan Azure, sarta log, ngandung data diatur kana rékaman characterizing aspék tangtu kagiatan sumberdaya Azure sarta jasa. Salaku tambahan, ngagunakeun Data Collector API, jasa Azure Monitor tiasa ngumpulkeun data tina sumber REST mana waé pikeun ngawangun skénario ngawaskeun sorangan.

Ieu sababaraha sumber acara kaamanan anu ditawarkeun Azure ka anjeun sareng anjeun tiasa ngaksés ngalangkungan Azure Portal, CLI, PowerShell, atanapi REST API (sareng sababaraha ngan ukur ngalangkungan Azure Monitor/Insight API):

• Log Aktivitas - log ieu ngajawab patarosan klasik ngeunaan "saha," "naon," sareng "iraha" ngeunaan operasi nulis (PUT, POST, DELETE) dina sumber awan. Kajadian anu aya hubunganana sareng aksés baca (GET) henteu kalebet dina log ieu, sapertos sajumlah anu sanés.
• Log Diagnostik - ngandung data ngeunaan operasi sareng sumber daya khusus anu kalebet dina langganan anjeun.
• Pelaporan Azure AD - ngandung kagiatan pangguna sareng kagiatan sistem anu aya hubunganana sareng grup sareng manajemén pangguna.
• Windows Event Log sareng Linux Syslog - ngandung acara tina mesin virtual anu di-host dina awan.
• Métrik - ngandung telemétri ngeunaan kinerja sareng status kaséhatan jasa sareng sumber awan anjeun. Diukur unggal menit sareng disimpen. dina 30 poé.
• Log Aliran Grup Kaamanan Jaringan - ngandung data ngeunaan acara kaamanan jaringan anu dikumpulkeun nganggo jasa Network Watcher sareng ngawaskeun sumber daya di tingkat jaringan.
• Log Panyimpenan - ngandung acara anu aya hubunganana sareng aksés ka fasilitas panyimpen.

Pikeun ngawaskeun, anjeun tiasa nganggo SIEM éksternal atanapi Azure Monitor sareng ekstensina. Urang bakal ngobrol ngeunaan sistem manajemén acara kaamanan informasi engké, tapi pikeun ayeuna hayu urang tingali naon Azure sorangan nawarkeun kami pikeun analisis data dina konteks kaamanan. Layar utama pikeun sadayana anu aya hubunganana sareng kaamanan di Azure Monitor nyaéta Log Analytics Security and Audit Dashboard (versi gratis ngadukung jumlah kawates panyimpen acara ngan ukur saminggu). Dasbor ieu dibagi kana 5 daérah utama anu ngagambarkeun statistik kasimpulan naon anu lumangsung di lingkungan awan anu anjeun anggo:

• Domain Kaamanan - indikator kuantitatif konci anu aya hubunganana sareng kaamanan inpormasi - jumlah kajadian, jumlah titik anu dikompromi, titik anu teu ditambal, acara kaamanan jaringan, jsb.
• Isu Kasohor - mintonkeun jumlah jeung pentingna isu kaamanan informasi aktif
• Deteksi - ningalikeun pola serangan anu dianggo ngalawan anjeun
• AKAL Ancaman - mintonkeun inpormasi geografis dina titik éksternal anu nyerang anjeun
• Patarosan kaamanan umum - patarosan khas anu bakal ngabantosan anjeun ngawas kaamanan inpormasi anjeun.

Ekstensi Azure Monitor kalebet Azure Key Vault (perlindungan konci kriptografis dina awan), Penilaian Malware (analisis panyalindungan ngalawan kode jahat dina mesin virtual), Azure Application Gateway Analytics (analisis, antara séjén, log firewall awan), jsb. . Alat-alat ieu, diperkaya ku aturan anu tangtu pikeun ngolah acara, ngamungkinkeun anjeun pikeun ngabayangkeun sagala rupa aspék kagiatan jasa awan, kalebet kaamanan, sareng ngaidentipikasi panyimpangan tina operasi. Tapi, sakumaha mindeng kajadian, sagala pungsionalitas tambahan merlukeun langganan mayar saluyu, nu bakal merlukeun Investasi finansial pakait ti anjeun, nu peryogi rencana sateuacanna.

Azure ngagaduhan sababaraha kamampuan ngawaskeun ancaman anu diintegrasikeun kana Azure AD, Azure Monitor, sareng Azure Security Center. Diantarana, contona, deteksi interaksi mesin virtual sareng IP jahat anu dipikanyaho (kusabab ayana integrasi sareng jasa Ancaman Intelijen ti Microsoft), deteksi malware dina infrastruktur awan ku cara nampi alarm tina mesin virtual anu di-host dina awan, kecap akses. nebak serangan ” dina mesin virtual, kerentanan dina konfigurasi sistem idéntifikasi pangguna, asup kana sistem tina anonim atanapi titik anu kainféksi, bocor akun, asup kana sistem tina lokasi anu teu biasa, jsb. Azure ayeuna mangrupikeun salah sahiji ti saeutik panyadia awan anu nawiskeun anjeun kamampuan Ancaman Ancaman anu diwangun pikeun memperkaya acara kaamanan inpormasi anu dikumpulkeun.

Sakumaha didadarkeun di luhur, pungsionalitas kaamanan sarta, salaku hasilna, acara kaamanan dihasilkeun ku eta teu sadia pikeun sakabéh pamaké sarua, tapi merlukeun langganan tangtu nu ngawengku fungsi nu peryogi, nu ngahasilkeun acara luyu pikeun ngawas kaamanan informasi. Contona, sababaraha fungsi anu dijelaskeun dina paragraf sateuacana pikeun ngawaskeun anomali dina akun ngan ukur aya dina lisénsi premium P2 pikeun layanan Azure AD. Tanpa éta, anjeun, sapertos dina kasus AWS, kedah nganalisis acara kaamanan anu dikumpulkeun "sacara manual". Sareng, ogé, gumantung kana jinis lisénsi Azure AD, henteu sadayana acara bakal sayogi pikeun dianalisis.

Dina portal Azure, anjeun tiasa ngatur duanana pamundut milarian log anu dipikaresep ku anjeun sareng nyetél dasbor pikeun ngabayangkeun indikator kaamanan inpormasi konci. Salaku tambahan, anjeun tiasa milih ekstensi Azure Monitor, anu ngamungkinkeun anjeun ngalegaan pungsionalitas log Azure Monitor sareng kéngingkeun analisa acara anu langkung jero tina sudut pandang kaamanan.

Upami anjeun peryogi henteu ngan ukur kamampuan pikeun damel sareng log, tapi ogé pusat kaamanan anu komprehensif pikeun platform awan Azure anjeun, kalebet manajemén kawijakan kaamanan inpormasi, teras anjeun tiasa nyarios ngeunaan kabutuhan pikeun damel sareng Pusat Kaamanan Azure, anu paling seueur fungsi anu mangpaat. sadia pikeun sawatara duit, Contona, deteksi anceman, mantau di luar Azure, assessment minuhan, jsb. (dina versi bébas, anjeun ngan boga aksés ka assessment kaamanan sarta rekomendasi pikeun ngaleungitkeun masalah dicirikeun). Éta ngahijikeun sadaya masalah kaamanan dina hiji tempat. Nyatana, urang tiasa nyarioskeun tingkat kaamanan inpormasi anu langkung luhur tibatan anu disayogikeun ku Azure Monitor, sabab dina hal ieu data anu dikumpulkeun sapanjang pabrik awan anjeun diperkaya nganggo seueur sumber, sapertos Azure, Office 365, Microsoft CRM online, Microsoft Dynamics AX. , outlook .com, MSN.com, Unit Kejahatan Digital Microsoft (DCU) sareng Pusat Tanggapan Kaamanan Microsoft (MSRC), dimana rupa-rupa pembelajaran mesin canggih sareng algoritma analitik paripolah ditumpangkeun, anu pamustunganana kedah ningkatkeun efisiensi ngadeteksi sareng ngaréspon ancaman. .

Azure ogé gaduh SIEM sorangan - éta muncul dina awal 2019. Ieu Azure Sentinel, anu ngandelkeun data ti Azure Monitor sareng ogé tiasa ngahijikeun sareng. solusi kaamanan éksternal (contona, NGFW atanapi WAF), daptar nu terus tumuwuh. Salaku tambahan, ngalangkungan integrasi API Microsoft Graph Security, anjeun gaduh kamampuan pikeun nyambungkeun feed Anceman Ancaman anjeun ka Sentinel, anu ningkatkeun kamampuan pikeun nganalisa kajadian dina awan Azure anjeun. Ieu bisa pamadegan yén Azure Sentinel kahiji "pribumi" SIEM nu mucunghul ti panyadia awan (Splunk sarua atawa ELK, nu bisa hosted dina awan, contona, AWS, masih teu dikembangkeun ku panyadia ladenan awan tradisional). Azure Sentinel sareng Pusat Kaamanan tiasa disebat SOC pikeun awan Azure sareng tiasa dugi ka aranjeunna (kalayan reservasi anu tangtu) upami anjeun henteu ngagaduhan infrastruktur sareng anjeun mindahkeun sadaya sumber komputasi anjeun ka awan sareng éta bakal janten awan Microsoft Azure.

Tapi kusabab kamampuan Azure anu diwangun (sanaos anjeun gaduh langganan Sentinel) sering henteu cekap pikeun ngawas kaamanan inpormasi sareng ngahijikeun prosés ieu sareng sumber acara kaamanan anu sanés (duanana awan sareng internal), aya kedah ngékspor data anu dikumpulkeun ka sistem éksternal, anu tiasa kalebet SIEM. Hal ieu dilakukeun boh nganggo API sareng nganggo ekstensi khusus, anu ayeuna sacara resmi sayogi ngan ukur pikeun SIEM di handap ieu - Splunk (Azure Monitor Add-On pikeun Splunk), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight sareng ELK. Nepi ka ayeuna, aya langkung seueur SIEM sapertos kitu, tapi ti 1 Juni 2019, Microsoft lirén ngadukung Alat Integrasi Log Azure (AzLog), anu dina subuh ayana Azure sareng henteuna standarisasi normal damel sareng log (Azure). Monitor henteu acan aya) ngagampangkeun ngahijikeun SIEM éksternal sareng awan Microsoft. Ayeuna kaayaan parantos robih sareng Microsoft nyarankeun platform Azure Event Hub salaku alat integrasi utama pikeun SIEM anu sanés. Seueur anu parantos ngalaksanakeun integrasi sapertos kitu, tapi ati-ati - aranjeunna henteu tiasa nyandak sadayana log Azure, tapi ngan ukur sababaraha (tingali dina dokuméntasi pikeun SIEM anjeun).

Nyimpulkeun wisata ringkes kana Azure, Abdi hoyong masihan rekomendasi umum ngeunaan jasa awan ieu - sateuacan anjeun nyarios nanaon ngeunaan fungsi ngawaskeun kaamanan inpormasi dina Azure, anjeun kedah ngonpigurasikeunana taliti pisan sareng nguji yén aranjeunna tiasa dianggo sakumaha anu diserat dina dokuméntasi sareng sakumaha konsultan ngawartoskeun anjeun Microsoft (sarta maranéhna bisa boga pamadegan béda dina fungsionalitas fungsi Azure). Upami anjeun gaduh sumber kauangan, anjeun tiasa nyéépkeun seueur inpormasi anu mangpaat ti Azure dina hal ngawaskeun kaamanan inpormasi. Upami sumber daya anjeun terbatas, teras, sapertos dina kasus AWS, anjeun kedah ngan ukur ngandelkeun kakuatan anjeun nyalira sareng data atah anu disayogikeun ku Azure Monitor. Sareng émut yén seueur fungsi ngawaskeun biaya artos sareng langkung saé pikeun familiarize diri sareng kawijakan harga sateuacanna. Salaku conto, gratis anjeun tiasa nyimpen data 31 dinten dugi ka maksimal 5 GB per palanggan - ngaleuwihan nilai ieu ngabutuhkeun anjeun ngaluarkeun artos tambahan (sakitar $2+ kanggo nyimpen unggal GB tambahan ti nasabah sareng $0,1 kanggo. nyimpen 1 GB unggal bulan tambahan). Gawe sareng telemétri aplikasi sareng métrik ogé tiasa meryogikeun dana tambahan, ogé damel sareng panggeuing sareng béwara (wates anu tangtu sayogi gratis, anu panginten henteu cekap pikeun kabutuhan anjeun).

Conto: Ngawaskeun kaamanan inpormasi dina IaaS dumasar kana Google Cloud Platform

Google Cloud Platform Sigana budak ngora dibandingkeun AWS sareng Azure, tapi ieu sabagéan saé. Beda sareng AWS, anu ningkatkeun kamampuanna, kalebet kaamanan, laun-laun, gaduh masalah sareng sentralisasi; GCP, sapertos Azure, langkung saé diurus sacara sentral, anu ngirangan kasalahan sareng waktos palaksanaan di sakuliah perusahaan. Tina sudut pandang kaamanan, GCP, cukup aneh, antara AWS sareng Azure. Anjeunna oge gaduh pendaptaran acara tunggal pikeun sakabéh organisasi, tapi teu lengkep. Sababaraha pungsi masih dina modeu béta, tapi saeutik demi saeutik kakurangan ieu kudu dileungitkeun tur GCP bakal jadi platform leuwih dewasa dina hal ngawaskeun kaamanan informasi.

Alat utama pikeun logging acara di GCP nyaéta Stackdriver Logging (sarupa jeung Azure Monitor), nu ngidinan Anjeun pikeun ngumpulkeun acara sakuliah sakabéh infrastruktur awan Anjeun (ogé ti AWS). Tina sudut pandang kaamanan di GCP, unggal organisasi, proyék atanapi folder ngagaduhan opat log:

• Admin Activity - ngandung sakabéh acara nu patali jeung aksés administrasi, contona, nyieun mesin virtual, ngarobah hak aksés, jsb. log ieu salawasna ditulis, paduli kahayang anjeun, sarta nyimpen data na pikeun 400 poé.
• Aksés Data - ngandung sadaya kajadian anu aya hubunganana sareng damel sareng data ku pangguna awan (nyiptakeun, modifikasi, maca, jsb.). Sacara standar, log ieu teu ditulis, sabab volume na swells pisan gancang. Ku sabab kitu, umur rakna ngan ukur 30 dinten. Sajaba ti éta, teu sagalana ditulis dina majalah ieu. Contona, kajadian nu patali jeung sumber daya nu bisa diasupan umum ku sakabéh pamaké atawa nu bisa diasupan tanpa asup ka GCP teu ditulis ka dinya.
• Acara Sistem - ngandung acara sistem anu henteu aya hubunganana sareng pangguna, atanapi tindakan administrator anu ngarobih konfigurasi sumberdaya awan. Éta salawasna ditulis sareng disimpen salami 400 dinten.
• Transparansi Aksés mangrupikeun conto unik tina log anu nyandak sadaya tindakan karyawan Google (tapi henteu acan pikeun sadaya jasa GCP) anu ngaksés infrastruktur anjeun salaku bagian tina tugas padamelan na. Log ieu disimpen salami 400 dinten sareng henteu sayogi pikeun unggal klien GCP, tapi ngan upami sababaraha sarat anu kacumponan (boh dukungan tingkat Emas atanapi Platinum, atanapi ayana 4 peran tina jinis anu tangtu salaku bagian tina dukungan perusahaan). Fungsi anu sami ogé sayogi, contona, dina Office 365 - Lockbox.

Conto log: Aksés Transparansi

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Aksés ka log ieu mungkin ku sababaraha cara (dina cara anu sami sareng Azure sareng AWS anu dibahas sateuacana) - ngalangkungan antarmuka Log Viewer, ngalangkungan API, ngalangkungan Google Cloud SDK, atanapi ngalangkungan halaman Kagiatan proyék anjeun. museurkeun acara. Dina cara anu sami, aranjeunna tiasa diékspor ka solusi éksternal pikeun analisa tambahan. Anu terakhir dilakukeun ku ngékspor log ka BigQuery atanapi Cloud Pub/Sub storage.

Salian Stackdriver Logging, platform GCP ogé nawiskeun fungsionalitas Stackdriver Monitoring, anu ngamungkinkeun anjeun ngawas métrik konci (kinerja, MTBF, kaséhatan sakabéh, jsb.) tina jasa sareng aplikasi awan. Data olahan sareng visualisasi tiasa ngagampangkeun milarian masalah dina infrastruktur awan anjeun, kalebet dina konteks kaamanan. Tapi kudu dicatet yén fungsionalitas ieu moal pisan euyeub dina konteks kaamanan informasi, saprak kiwari GCP teu boga analog tina AWS GuardDuty sarua jeung teu bisa nangtukeun goréng diantara sakabeh acara nu kadaptar (Google geus ngembangkeun Acara Ancaman Deteksi. tapi éta kénéh dina ngembangkeun dina béta sarta éta teuing mimiti ngobrol ngeunaan usefulness na). Stackdriver Monitoring tiasa dianggo salaku sistem pikeun ngadeteksi anomali, anu teras ditalungtik pikeun milari panyababna. Tapi nunjukkeun kurangna tanaga anu mumpuni dina widang kaamanan inpormasi GCP di pasar, tugas ieu ayeuna sigana sesah.

Éta ogé patut masihan daptar sababaraha modul kaamanan inpormasi anu tiasa dianggo dina awan GCP anjeun, sareng anu sami sareng anu ditawarkeun AWS:

• Cloud Security Command Center mangrupikeun analog tina AWS Security Hub sareng Azure Security Center.
• Cloud DLP - Panemuan sareng éditan otomatis (contona masking) data anu di-host dina méga nganggo langkung ti 90 kawijakan klasifikasi anu tos ditetepkeun.
• Cloud Scanner mangrupikeun panyeken pikeun kerentanan anu dipikanyaho (XSS, Flash Injection, perpustakaan anu teu ditambal, jsb) dina App Engine, Compute Engine sareng Google Kubernetes.
• Cloud IAM - Kontrol aksés ka sadaya sumber GCP.
• Cloud Identity - Atur akun pangguna, alat sareng aplikasi GCP tina hiji konsol.
• Cloud HSM - panyalindungan konci cryptographic.
• Cloud Key Management Service - manajemén konci cryptographic di GCP.
• Kontrol Layanan VPC - Jieun perimeter anu aman di sabudeureun sumber GCP anjeun pikeun ngajagi aranjeunna tina bocor.
• Titan Security Key - panyalindungan ngalawan phishing.

Loba modul ieu ngahasilkeun acara kaamanan nu bisa dikirim ka gudang BigQuery pikeun analisis atawa ékspor ka sistem sejen, kaasup SIEM. Sakumaha didadarkeun di luhur, GCP mangrupikeun platform anu aktip ngembang sareng Google ayeuna ngembangkeun sababaraha modul kaamanan inpormasi anyar pikeun platformna. Diantarana nyaéta Deteksi Ancaman Acara (ayeuna sayogi dina béta), anu nyeken log Stackdriver pikeun milari jejak kagiatan anu henteu diidinan (sarua sareng GuardDuty di AWS), atanapi Kabijakan Kabijakan (sayogi dina alfa), anu bakal ngamungkinkeun anjeun ngembangkeun kawijakan anu cerdas pikeun aksés ka sumberdaya GCP.

Kuring ngadamel tinjauan pondok ngeunaan kamampuan ngawaskeun anu diwangun dina platform awan anu populér. Tapi anjeun gaduh spesialis anu tiasa dianggo sareng "atah" panyadia IaaS log (teu sadayana siap mésér kamampuan canggih AWS atanapi Azure atanapi Google)? Salaku tambahan, seueur anu wawuh sareng paribasa "percanten, tapi pariksa," anu langkung leres ti kantos dina widang kaamanan. Sabaraha anjeun percanten kana kamampuan panyadia awan anu ngirimkeun anjeun acara kaamanan inpormasi? Sabaraha aranjeunna museurkeun kana kaamanan inpormasi?

Kadang-kadang patut ningali solusi ngawaskeun infrastruktur awan anu tiasa ngalengkepan kaamanan awan anu diwangun, sareng kadang solusi sapertos kitu mangrupikeun hiji-hijina pilihan pikeun nyandak wawasan ngeunaan kaamanan data anjeun sareng aplikasi anu di-host dina awan. Salaku tambahan, aranjeunna ngan ukur langkung merenah, sabab ngalaksanakeun sagala tugas pikeun nganalisa log anu diperyogikeun ku jasa awan anu béda ti panyadia awan anu béda. Conto solusi overlay sapertos nyaéta Cisco Stealthwatch Cloud, anu museurkeun kana hiji tugas - ngawaskeun anomali kaamanan inpormasi dina lingkungan awan, kalebet henteu ngan ukur Amazon AWS, Microsoft Azure sareng Google Cloud Platform, tapi ogé awan pribadi.

Conto: Pangimeutan Kaamanan Informasi Ngagunakeun Stealthwatch Cloud

AWS nyayogikeun platform komputasi anu fleksibel, tapi kalenturan ieu ngagampangkeun perusahaan pikeun ngalakukeun kasalahan anu nyababkeun masalah kaamanan. Sareng modél kaamanan inpormasi anu dibagikeun ngan ukur nyumbang kana ieu. Ngajalankeun parangkat lunak dina awan kalayan kerentanan anu teu dipikanyaho (anu dikenal tiasa dilawan, contona, ku AWS Inspector atanapi GCP Cloud Scanner), kecap konci anu lemah, konfigurasi anu salah, insider, jsb. Sarta sakabeh ieu reflected dina kabiasaan sumberdaya awan, nu bisa diawaskeun ku Cisco Stealthwatch Awan, nu mangrupa ngawaskeun kaamanan informasi sarta sistem deteksi serangan. awan umum jeung swasta.

Salah sahiji fitur konci Cisco Stealthwatch Cloud nyaéta kamampuhan pikeun modél éntitas. Kalayan éta, anjeun tiasa nyiptakeun modél parangkat lunak (nyaéta, simulasi ampir-real-time) unggal sumber awan anjeun (henteu masalah naha éta AWS, Azure, GCP, atanapi anu sanés). Ieu tiasa kalebet pangladén sareng pangguna, ogé jinis sumberdaya khusus pikeun lingkungan awan anjeun, sapertos grup kaamanan sareng grup skala otomatis. Modél ieu nganggo aliran data terstruktur anu disayogikeun ku jasa awan salaku input. Contona, pikeun AWS ieu bakal VPC Flow Log, AWS CloudTrail, AWS CloudWatch, AWS Config, AWS Inspector, AWS Lambda, sareng AWS IAM. Modeling éntitas otomatis mendakan peran sareng paripolah sumber daya anjeun (anjeun tiasa nyarioskeun profil sadaya kagiatan awan). Peran ieu kalebet alat sélulér Android atanapi Apple, server Citrix PVS, server RDP, gateway mail, klien VoIP, server terminal, controller domain, jsb. Éta teras-terasan ngawaskeun paripolahna pikeun nangtoskeun iraha paripolah anu picilakaeun atanapi ngancam kasalametan lumangsung. Anjeun tiasa ngaidentipikasi guessing sandi, serangan DDoS, bocor data, aksés jauh ilegal, aktivitas kode jahat, scanning kerentanan jeung ancaman lianna. Salaku conto, ieu mangrupikeun cara ngadeteksi usaha aksés jauh ti nagara anu teu biasa pikeun organisasi anjeun (Koréa Kidul) kana klaster Kubernetes via SSH sapertos kieu:

Sareng ieu anu disangka bocor inpormasi tina pangkalan data Postgress ka nagara anu urang henteu kantos mendakan interaksi sapertos kieu:

Tungtungna, ieu mangrupikeun seueur teuing usaha SSH anu gagal ti China sareng Indonesia tina alat jauh éksternal sapertos kieu:

Atanapi, anggap yén conto server dina VPC, ku kawijakan, henteu pernah janten tujuan login jauh. Hayu urang salajengna nganggap yén komputer ieu ngalaman logon jauh alatan parobahan erroneous dina kawijakan aturan firewall. Fitur Entity Modeling bakal ngadeteksi sareng ngalaporkeun kagiatan ieu ("Akses Jauh Luar Biasa") sacara real-time sareng nunjuk kana telepon AWS CloudTrail, Azure Monitor, atanapi GCP Stackdriver Logging API khusus (kalebet nami pangguna, tanggal sareng waktos, diantara detil sanésna. ). anu nyababkeun parobahan kana aturan ITU. Teras inpormasi ieu tiasa dikirim ka SIEM pikeun dianalisis.

Kamampuhan anu sami dilaksanakeun pikeun lingkungan awan anu dirojong ku Cisco Stealthwatch Cloud:

Modeling éntitas mangrupikeun bentuk otomatisasi kaamanan anu unik anu tiasa mendakan masalah anu teu dipikanyaho ku jalma, prosés atanapi téknologi anjeun. Salaku conto, éta ngamungkinkeun anjeun pikeun ngadeteksi, diantara hal séjén, masalah kaamanan sapertos:

• Naha aya anu mendakan backdoor dina parangkat lunak anu kami anggo?
• Naha aya parangkat lunak atanapi alat pihak katilu dina awan kami?
• Naha pamaké otorisasi nyalahgunakeun hak husus?
• Naha aya kasalahan konfigurasi anu ngamungkinkeun aksés jauh atanapi pamakean sumberdaya anu teu dihaja?
• Naha aya bocor data ti server kami?
• Naha aya anu nyobian nyambung ka kami tina lokasi geografis atypical?
• Naha awan urang kainfeksi kode jahat?

Acara kaamanan inpormasi anu dideteksi tiasa dikirim dina bentuk tikét anu cocog pikeun Slack, Cisco Spark, sistem manajemen kajadian PagerDuty, sareng ogé dikirim ka sababaraha SIEM, kalebet Splunk atanapi ELK. Pikeun nyimpulkeun, urang tiasa nyebatkeun yén upami perusahaan anjeun nganggo strategi multi-awan sareng henteu dugi ka hiji panyadia awan, kamampuan ngawaskeun kaamanan inpormasi anu dijelaskeun di luhur, teras nganggo Cisco Stealthwatch Cloud mangrupikeun pilihan anu hadé pikeun kéngingkeun set ngawaskeun. kamampuhan pikeun pamaén awan ngarah - Amazon, Microsoft sarta Google. Hal anu paling pikaresepeun nyaéta upami anjeun ngabandingkeun harga Stealthwatch Cloud sareng lisénsi canggih pikeun ngawaskeun kaamanan inpormasi dina AWS, Azure atanapi GCP, sigana yén solusi Cisco bakal langkung mirah tibatan kamampuan anu diwangun dina Amazon, Microsoft. jeung solusi Google. Éta paradoks, tapi éta leres. Sareng langkung seueur awan sareng kamampuan anu anjeun anggo, langkung atra kauntungan tina solusi gabungan.

Salaku tambahan, Stealthwatch Cloud tiasa ngawas awan pribadi anu dipasang dina organisasi anjeun, contona, dumasar kana wadah Kubernetes atanapi ku ngawaskeun aliran Netflow atanapi lalu lintas jaringan anu ditampi ku pangeunteungan dina alat jaringan (sanajan diproduksi sacara domestik), data AD atanapi server DNS sareng saterasna. Sadaya data ieu bakal diperkaya sareng inpormasi Anceman Ancaman anu dikumpulkeun ku Cisco Talos, grup peneliti ancaman cybersecurity non-pamaréntah panggedéna di dunya.

Ieu ngamungkinkeun anjeun pikeun nerapkeun sistem ngawaskeun ngahijikeun pikeun awan umum sareng hibrida anu tiasa dianggo ku perusahaan anjeun. Inpormasi anu dikumpulkeun teras tiasa dianalisis nganggo kamampuan Stealthwatch Cloud anu diwangun atanapi dikirim ka SIEM anjeun (Splunk, ELK, SumoLogic sareng sababaraha anu sanésna dirojong sacara standar).

Kalayan ieu, urang bakal ngalengkepan bagian mimiti tulisan, dimana kuring marios alat-alat internal sareng éksternal pikeun ngawaskeun kaamanan inpormasi tina platform IaaS / PaaS, anu ngamungkinkeun urang gancang ngadeteksi sareng ngaréspon kana kajadian anu aya dina lingkungan awan. perusahaan kami geus dipilih. Dina bagian kadua, urang bakal neraskeun topik sareng ningali pilihan pikeun ngawaskeun platform SaaS nganggo conto Salesforce sareng Dropbox, sareng urang ogé bakal nyobian nyimpulkeun sareng nempatkeun sadayana babarengan ku nyiptakeun sistem ngawaskeun kaamanan inpormasi anu ngahijikeun pikeun panyadia awan anu béda.

sumber: www.habr.com