Beuki loba pamaké anu mawa sakabéh infrastruktur IT maranéhna pikeun awan umum. Nanging, upami kontrol anti-virus henteu cekap dina infrastruktur palanggan, résiko cyber anu serius timbul. Prakték nunjukkeun yén dugi ka 80% virus anu aya hirup sampurna dina lingkungan virtual. Dina tulisan ieu urang bakal ngobrol ngeunaan kumaha carana ngajaga sumber IT dina awan umum sareng kunaon antipirus tradisional henteu cocog pikeun tujuan ieu.
Pikeun mimitian, kami bakal nyarioskeun ka anjeun kumaha kami dugi ka ideu yén alat panyalindungan anti-virus biasa henteu cocog pikeun awan umum sareng yén pendekatan anu sanés pikeun ngajagi sumber diperyogikeun.
Kahiji, panyadia umumna nyadiakeun ukuran diperlukeun pikeun mastikeun yén platform awan maranéhanana ditangtayungan dina tingkat luhur. Salaku conto, di #CloudMTS kami nganalisis sadaya lalu lintas jaringan, ngawas log sistem kaamanan awan kami, sareng rutin ngalaksanakeun pentest. Bagéan awan anu dialokasikeun ka klien individu ogé kedah dijagi sacara aman.
Kadua, pilihan klasik pikeun merangan résiko cyber ngalibatkeun masang antipirus sareng alat manajemén antipirus dina unggal mesin virtual. Nanging, kalayan sajumlah ageung mesin virtual, prakték ieu tiasa henteu efektif sareng meryogikeun jumlah sumberdaya komputasi anu ageung, ku kituna ngamuat infrastruktur palanggan sareng ngirangan kinerja awan sacara umum. Ieu parantos janten prasyarat konci pikeun milarian pendekatan énggal pikeun ngawangun panyalindungan anti-virus anu efektif pikeun mesin virtual palanggan.
Salaku tambahan, kalolobaan solusi antipirus di pasar henteu diadaptasi pikeun ngabéréskeun masalah ngajagi sumber daya IT dina lingkungan awan umum. Sakumaha aturan, aranjeunna mangrupikeun solusi EPP beurat (Platform Perlindungan Titik), anu, salian ti éta, henteu nyayogikeun kustomisasi anu diperyogikeun dina sisi klien panyadia awan.
Janten écés yén solusi antipirus tradisional kirang cocog pikeun damel di méga, sabab sacara serius ngamuat infrastruktur virtual salami apdet sareng scan, sareng ogé henteu ngagaduhan tingkat manajemén sareng setélan dumasar-peran. Salajengna, urang bakal nganalisis sacara rinci naha méga peryogi pendekatan énggal pikeun panyalindungan anti-virus.
Naon anu kedah dilakukeun ku antipirus dina awan umum
Janten, hayu urang nengetan spésifik damel di lingkungan virtual:
Efisiensi apdet sareng scan massa anu dijadwalkeun. Upami sajumlah ageung mesin virtual anu nganggo antipirus tradisional ngamimitian apdet dina waktos anu sami, anu disebut "badai" apdet bakal lumangsung dina awan. Kakuatan hiji host ESXi nu host sababaraha mesin virtual bisa jadi teu cukup pikeun nanganan barrage tugas sarupa ngajalankeun sacara standar. Tina sudut pandang panyadia awan, masalah sapertos kitu tiasa nyababkeun beban tambahan dina sababaraha host ESXi, anu pamustunganana bakal ngakibatkeun turunna kinerja infrastruktur maya awan. Ieu tiasa, antara séjén, mangaruhan kinerja mesin virtual klien awan lianna. Kaayaan anu sami tiasa timbul nalika ngaluncurkeun scan massal: pamrosésan simultaneous ku sistem disk tina seueur pamenta anu sami ti pangguna anu béda-béda négatip mangaruhan kinerja sakabéh awan. Kalayan probabilitas anu luhur, panurunan dina kinerja sistem panyimpen bakal mangaruhan sadaya klien. Beban ngadadak sapertos kitu henteu kéngingkeun panyadia atanapi palangganna, sabab mangaruhan "tatanggana" dina méga. Tina sudut pandang ieu, antipirus tradisional tiasa nyababkeun masalah anu ageung.
Karantina aman. Upami file atanapi dokumén anu berpotensi katépaan ku virus dideteksi dina sistem, éta dikirim ka karantina. Tangtosna, file anu katépaan tiasa langsung dihapus, tapi ieu sering henteu ditarima pikeun kalolobaan perusahaan. Antivirus perusahaan perusahaan anu henteu diadaptasi pikeun damel di awan panyadia, biasana, gaduh zona karantina umum - sadaya objék anu katépaan digolongkeun kana éta. Contona, nu kapanggih dina komputer pamaké pausahaan. Klién panyadia awan "hirup" dina bagéan sorangan (atanapi panyewa). Bagéan ieu opak sareng terasing: klien henteu terang ngeunaan silih sareng, tangtosna, henteu ningali naon anu diayakeun ku batur dina awan. Jelas, karantina umum, anu bakal diaksés ku sadaya pangguna antipirus dina méga, berpotensi ngalebetkeun dokumén anu ngandung inpormasi rahasia atanapi rahasia dagang. Ieu unacceptable pikeun panyadia jeung konsumén na. Ku alatan éta, ngan ukur aya hiji solusi - karantina pribadi pikeun tiap klien di bagean na, dimana panyadia atanapi klien sanés gaduh aksés.
Kawijakan kaamanan individu. Unggal klien dina awan mangrupikeun perusahaan anu misah, anu departemén IT netepkeun kawijakan kaamanan sorangan. Contona, pangurus nangtukeun aturan scanning jeung jadwal scan anti virus. Sasuai, unggal organisasi kedah gaduh pusat kontrol sorangan pikeun ngonpigurasikeun kawijakan antipirus. Dina waktos anu sami, setélan anu ditangtukeun henteu kedah mangaruhan klien awan anu sanés, sareng panyadia kedah tiasa pariksa yén, contona, apdet antipirus dilaksanakeun sapertos biasa pikeun sadaya mesin virtual klien.
Organisasi tagihan sareng lisénsi. Modél awan dicirikeun ku kalenturan sareng ngalibatkeun mayar ngan pikeun jumlah sumber IT anu dianggo ku nasabah. Upami aya kabutuhan, contona, kusabab musiman, jumlah sumber daya tiasa gancang ningkat atanapi ngirangan - sadayana dumasar kana kabutuhan ayeuna pikeun kakuatan komputasi. Antipirus tradisional henteu fleksibel - sakumaha aturan, klien ngagaleuh lisénsi pikeun sataun pikeun sajumlah server atanapi stasiun kerja anu parantos ditangtukeun. Pamaké awan rutin megatkeun sambungan jeung nyambungkeun mesin virtual tambahan gumantung kana kaperluan maranéhanana ayeuna - sasuai, lisensi antipirus kudu ngarojong model sarua.
Patarosan kadua naon kahayang lisénsi bakal nutupan. Antipirus tradisional dilisensikeun ku jumlah server atanapi stasiun kerja. Lisensi dumasar kana jumlah mesin virtual anu ditangtayungan henteu sapinuhna cocog dina modél awan. Klién tiasa nyiptakeun sajumlah mesin virtual anu cocog pikeun anjeunna tina sumber daya anu sayogi, contona, lima atanapi sapuluh mesin. Jumlah ieu henteu konstan pikeun sabagéan ageung klien; teu mungkin pikeun urang, salaku panyadia, ngalacak parobahanana. Henteu aya kamungkinan téknis pikeun lisénsi ku CPU: klien nampi prosesor virtual (vCPU), anu kedah dianggo pikeun lisénsi. Ku kituna, modél panyalindungan anti-virus anyar kedah ngawengku kamampuh customer pikeun nangtukeun jumlah diperlukeun vCPUs nu anjeunna bakal nampa lisensi anti-virus.
Patuh kana panerapan. Titik penting, sabab solusi anu dianggo kedah mastikeun patuh kana syarat régulator. Contona, awan "warga" mindeng dianggo kalayan data pribadi. Dina hal ieu, panyadia kudu boga bagéan awan Certified misah nu pinuh sasuai jeung sarat tina Hukum Data Pribadi. Teras perusahaan henteu kedah mandiri "ngawangun" sadayana sistem pikeun damel sareng data pribadi: mésér alat anu disertipikasi, nyambungkeun sareng ngonpigurasikeunana, sareng ngalaman sertifikasi. Pikeun panyalindungan cyber tina ISPD klien sapertos kitu, antipirus ogé kedah sasuai sareng sarat panerapan Rusia sareng gaduh sertipikat FSTEC.
Kami ningal kritéria wajib yén panyalindungan antipirus dina awan umum kedah nyumponan. Salajengna, urang bakal ngabagi pangalaman sorangan dina adaptasi solusi antipirus pikeun dianggo dina awan panyadia.
Kumaha anjeun tiasa ngadamel babaturan antara antipirus sareng awan?
Sakumaha anu ditingalikeun ku pangalaman urang, milih solusi dumasar kana katerangan sareng dokuméntasi mangrupikeun hiji hal, tapi ngalaksanakeunana dina prakték dina lingkungan awan anu parantos damel mangrupikeun tugas anu béda-béda dina hal pajeulitna. Kami bakal nyarioskeun ka anjeun naon anu kami lakukeun dina prakna sareng kumaha kami diadaptasi antipirus pikeun dianggo dina awan umum panyadia. Anu ngajual solusi anti-virus nyaéta Kaspersky, anu portofoliona kalebet solusi panyalindungan anti-virus pikeun lingkungan awan. Urang netep dina "Kaamanan Kaspersky pikeun Virtualisasi" (Agen Cahaya).
Éta kalebet konsol Pusat Kaamanan Kaspersky tunggal. Agen cahaya sareng mesin virtual kaamanan (SVM, Mesin Virtual Kaamanan) sareng server integrasi KSC.
Saatos urang diajar arsitéktur solusi Kaspersky sareng ngalaksanakeun tés munggaran sareng insinyur vendor, timbul patarosan ngeunaan ngahijikeun jasa kana méga. Palaksanaan munggaran dilaksanakeun babarengan dina situs awan Moscow. Sareng éta anu urang sadar.
Dina raraga ngaleutikan lalulintas jaringan, ieu mutuskeun pikeun nempatkeun hiji SVM on unggal host ESXi sarta "dasi" SVM ka host ESXi. Dina hal ieu, agén lampu tina mesin virtual ditangtayungan ngakses SVM tina host ESXi pasti on mana maranéhna ngajalankeun. A tenant administrasi misah dipilih pikeun KSC utama. Hasilna, KSC bawahan lokasina di panyewa unggal klien individu sareng alamat KSC punjul anu aya di bagean manajemén. Skéma ieu ngamungkinkeun anjeun pikeun gancang ngajawab masalah anu timbul dina panyewa klien.
Salian masalah sareng ningkatkeun komponén tina solusi anti-virus sorangan, kami disanghareupan tugas ngatur interaksi jaringan ngaliwatan kreasi VxLAN tambahan. Sarta sanajan solusi asalna dimaksudkeun pikeun klien perusahaan kalawan awan swasta, kalayan bantuan ti savvy rékayasa jeung kalenturan téhnologis of NSX Tepi kami bisa ngajawab sagala masalah pakait sareng separation of lapak na lisénsi.
Kami damel caket sareng insinyur Kaspersky. Ku kituna, dina prosés analisa arsitéktur solusi dina watesan interaksi jaringan antara komponén sistem, éta kapanggih yén, sajaba aksés ti agén lampu mun SVM, eupan balik ogé diperlukeun - ti SVM ka agén lampu. Konektipitas jaringan ieu teu mungkin di lingkungan multitenant alatan kamungkinan setelan jaringan idéntik mesin virtual dina lapak awan béda. Ku alatan éta, dina pamundut urang, kolega ti vendor reworked mékanisme interaksi jaringan antara agén lampu na SVM dina watesan ngaleungitkeun kabutuhan konektipitas jaringan ti SVM ka agén lampu.
Saatos solusina disebarkeun sareng diuji dina situs awan Moskow, kami ngulang deui ka situs anu sanés, kalebet bagéan awan anu disertipikasi. Ladenan ayeuna sayogi di sadaya daérah nagara.
Arsitéktur solusi kaamanan inpormasi dina kerangka pendekatan anyar
Skéma umum operasi solusi antipirus dina lingkungan awan umum nyaéta kieu:
Skéma operasi solusi antipirus dina lingkungan awan umum #CloudMTS
Hayu urang ngajelaskeun fitur operasi elemen individu tina solusi dina awan:
• A konsol tunggal anu ngamungkinkeun klien pikeun centrally ngatur sistem panyalindungan: ngajalankeun scan, kontrol apdet sarta ngawas zona quarantine. Kasebut nyaéta dimungkinkeun pikeun ngonpigurasikeun kawijakan kaamanan individu dina bagéan anjeun.
Ieu kudu dicatet yén sanajan kami panyadia ladenan, urang teu ngaganggu setelan diatur ku klien. Hiji-hijina hal anu urang tiasa laksanakeun nyaéta ngareset kabijakan kaamanan ka standar upami perlu reconfiguration. Contona, ieu bisa jadi diperlukeun lamun klien ngahaja tightened aranjeunna atanapi nyata ngaruksak aranjeunna. Pausahaan salawasna tiasa nampi pusat kontrol kalayan kawijakan standar, anu teras tiasa dikonpigurasikeun sacara mandiri. Karugian Kaspersky Security Center nyaéta yén platformna ayeuna ngan sayogi pikeun sistem operasi Microsoft. Sanajan agén lightweight tiasa dianggo sareng mesin Windows sareng Linux. Nanging, Kaspersky Lab ngajangjikeun yén dina waktos badé KSC bakal tiasa dianggo dina OS Linux. Salah sahiji fungsi penting KSC nyaéta kamampuan ngatur karantina. Masing-masing perusahaan klien dina awan kami gaduh perusahaan pribadi. Pendekatan ieu ngaleungitkeun kaayaan dimana dokumen anu kainfeksi virus teu kahaja janten katingali ku masarakat, sapertos anu tiasa kajantenan dina kasus antipirus perusahaan klasik sareng karantina umum.
• agén hampang. Salaku bagian tina modél énggal, agén Kaspersky Security anu hampang dipasang dina unggal mesin virtual. Ieu ngaleungitkeun kabutuhan pikeun nyimpen database anti-virus dina unggal VM, anu ngirangan jumlah rohangan disk anu diperyogikeun. jasa ieu terpadu kalayan infrastruktur awan sarta jalan ngaliwatan SVM, nu ngaronjatkeun dénsitas mesin virtual dina host ESXi jeung kinerja sakabéh sistem awan. Agen cahaya ngawangun antrian tugas pikeun unggal mesin virtual: pariksa sistem file, memori, jsb. Tapi SVM tanggung jawab pikeun ngalakukeun operasi ieu, anu bakal urang bahas engké. Agén ogé fungsina salaku firewall, ngadalikeun kawijakan kaamanan, ngirim file kainféksi ka karantina jeung ngawas sakabéh "kaséhatan" sistem operasi nu eta dipasang. Sadaya ieu tiasa diurus nganggo konsol tunggal anu parantos disebatkeun.
• Mesin Virtual Kaamanan. Sadaya tugas sumberdaya-intensif (apdet database anti-virus, scan dijadwalkeun) diatur ku Mesin Virtual Kaamanan misah (SVM). Anjeunna tanggung jawab pikeun operasi mesin anti virus anu lengkep sareng pangkalan data pikeun éta. Infrastruktur IT perusahaan tiasa kalebet sababaraha SVM. Pendekatan ieu ngaronjatkeun reliabiliti sistem - lamun hiji mesin gagal sarta teu ngabales pikeun tilu puluh detik, agén otomatis mimitian néangan sejen.
• server integrasi KSC. Salah sahiji komponén tina KSC utama, nu nangtukeun SVMs -na pikeun agén lampu luyu jeung algoritma dieusian dina setélan na, sarta ogé ngadalikeun ketersediaan SVMs. Janten, modul parangkat lunak ieu nyayogikeun kasaimbangan beban dina sadaya SVM infrastruktur awan.
Algoritma pikeun digawé di awan: ngurangan beban dina infrastruktur
Sacara umum, algoritma antipirus bisa digambarkeun saperti kieu. Agén ngaksés file dina mesin virtual sareng pariksa. Hasil verifikasi disimpen dina database vonis SVM terpusat umum (disebut Shared Cache), unggal éntri nu nangtukeun sampel file unik. Pendekatan ieu ngamungkinkeun anjeun pikeun mastikeun yén file anu sami henteu di-scan sababaraha kali sakaligus (contona, upami dibuka dina mesin virtual anu béda). Berkas di-scan deui ngan upami parobihan parantos dilakukeun atanapi panyekenan parantos dimimitian sacara manual.
Palaksanaan solusi antipirus dina awan panyadia
Gambar nunjukkeun diagram umum ngeunaan palaksanaan solusi dina méga. Kaspersky Kaamanan Center utama ieu deployed dina zona kontrol awan, sarta hiji SVM individu deployed on unggal host ESXi ngagunakeun server integrasi KSC (unggal host ESXi boga SVM sorangan napel kalawan setelan husus dina VMware vCenter Server). Klién damel di bagéan awan sorangan, dimana mesin virtual sareng agén aya. Éta dikokolakeun ngaliwatan server KSC individu bawahan ka KSC utama. Lamun perlu ngajaga sajumlah leutik mesin virtual (nepi ka 5), klien nu bisa disadiakeun kalawan aksés ka konsol virtual husus dedicated server KSC. Interaksi jaringan antara KSC klien sareng KSC utama, kitu ogé agén lampu sareng SVM, dilaksanakeun nganggo NAT ngalangkungan router maya klien EdgeGW.
Numutkeun perkiraan kami sareng hasil tes kolega di vendor, Light Agent ngirangan beban infrastruktur maya klien sakitar 25% (upami dibandingkeun sareng sistem anu nganggo parangkat lunak anti-virus tradisional). Khususna, antipirus Kaspersky Endpoint Security (KES) standar pikeun lingkungan fisik meakeun ampir dua kali waktos CPU server (2,95%) salaku solusi virtualisasi dumasar-agén ringan (1,67%).
Bagan ngabandingkeun beban CPU
Kaayaan anu sami dititénan kalayan frékuénsi aksés nulis disk: pikeun antipirus klasik nyaéta 1011 IOPS, pikeun antipirus awan nyaéta 671 IOPS.
Grafik ngabandingkeun laju aksés disk
Mangpaat kinerja ngidinan Anjeun pikeun ngajaga stabilitas infrastruktur sarta ngagunakeun kakuatan komputasi leuwih éfisién. Ku adaptasi pikeun damel di lingkungan awan umum, solusina henteu ngirangan kinerja awan: éta sacara sentral mariksa file sareng ngaunduh apdet, nyebarkeun beban. Ieu ngandung harti yén, di hiji sisi, ancaman relevan pikeun infrastruktur awan moal sono, di sisi séjén, sarat sumberdaya pikeun mesin virtual bakal ngurangan ku rata-rata 25% dibandingkeun antipirus tradisional.
Dina watesan fungsionalitas, duanana solusi pisan sarupa silih: handap mangrupa tabel ngabandingkeun. Nanging, dina méga, sakumaha hasil tés di luhur nunjukkeun, masih optimal ngagunakeun solusi pikeun lingkungan virtual.
Ngeunaan tariffs dina kerangka pendekatan anyar. Urang mutuskeun pikeun ngagunakeun modél anu ngamungkinkeun urang pikeun ménta lisénsi dumasar kana jumlah vCPUs. Ieu ngandung harti yén jumlah lisénsi bakal sarua jeung jumlah vCPUs. Anjeun tiasa nguji antipirus anjeun ku ngantunkeun pamundut .
Dina tulisan salajengna ngeunaan topik awan, urang bakal ngobrol ngeunaan évolusi awan WAFs sareng naon anu langkung saé pikeun dipilih: hardware, software atanapi awan.
Téks ieu disiapkeun ku pagawé panyadia awan #CloudMTS: Denis Myagkov, arsiték ngarah sareng Alexey Afanasyev, manajer pangembangan produk kaamanan inpormasi.
sumber: www.habr.com