Watumiaji zaidi na zaidi wanaleta miundombinu yao yote ya IT kwenye wingu la umma. Hata hivyo, ikiwa udhibiti wa kupambana na virusi hautoshi katika miundombinu ya mteja, hatari kubwa za mtandao hutokea. Mazoezi yanaonyesha kuwa hadi 80% ya virusi vilivyopo huishi kikamilifu katika mazingira ya kawaida. Katika chapisho hili tutazungumzia jinsi ya kulinda rasilimali za IT katika wingu la umma na kwa nini antivirus za jadi hazifai kabisa kwa madhumuni haya.
Kuanza, tutakuambia jinsi tulivyopata wazo kwamba zana za kawaida za kinga dhidi ya virusi hazifai kwa wingu la umma na kwamba mbinu zingine za kulinda rasilimali zinahitajika.
Kwanza, watoa huduma kwa ujumla hutoa hatua zinazohitajika ili kuhakikisha kwamba majukwaa yao ya wingu yanalindwa kwa kiwango cha juu. Kwa mfano, kwenye #CloudMTS tunachanganua trafiki yote ya mtandao, kufuatilia kumbukumbu za mifumo yetu ya usalama ya wingu, na kutekeleza pentest mara kwa mara. Sehemu za wingu zilizotengwa kwa wateja binafsi lazima pia zilindwe kwa usalama.
Pili, chaguo la kawaida la kupambana na hatari za mtandao ni pamoja na kusakinisha antivirus na zana za usimamizi wa antivirus kwenye kila mashine pepe. Hata hivyo, kukiwa na idadi kubwa ya mashine pepe, mazoezi haya yanaweza kukosa ufanisi na kuhitaji kiasi kikubwa cha rasilimali za kompyuta, na hivyo kupakia zaidi miundombinu ya mteja na kupunguza utendakazi wa jumla wa wingu. Hili limekuwa hitaji kuu la kutafuta mbinu mpya za kujenga ulinzi bora wa kuzuia virusi kwa mashine pepe za wateja.
Kwa kuongeza, ufumbuzi mwingi wa antivirus kwenye soko haujabadilishwa ili kutatua matatizo ya kulinda rasilimali za IT katika mazingira ya wingu ya umma. Kama sheria, ni suluhu za EPP zenye uzani mzito (Majukwaa ya Ulinzi ya Mwisho), ambayo, zaidi ya hayo, haitoi ubinafsishaji unaohitajika kwa upande wa mteja wa mtoaji wa wingu.
Inakuwa dhahiri kuwa suluhisho za antivirus za kitamaduni hazifai kufanya kazi kwenye wingu, kwani zinapakia sana miundombinu ya kawaida wakati wa sasisho na skana, na pia hazina viwango muhimu vya usimamizi na mipangilio inayotegemea jukumu. Ifuatayo, tutachambua kwa undani kwa nini wingu inahitaji mbinu mpya za ulinzi wa kupambana na virusi.
Nini antivirus katika wingu la umma inapaswa kuwa na uwezo wa kufanya
Kwa hivyo, wacha tuzingatie maalum ya kufanya kazi katika mazingira ya kawaida:
Ufanisi wa sasisho na skana za wingi zilizopangwa. Ikiwa idadi kubwa ya mashine za kawaida zinazotumia antivirus ya jadi huanzisha sasisho kwa wakati mmoja, kinachojulikana kama "dhoruba" ya sasisho itatokea katika wingu. Nguvu ya seva pangishi ya ESXi inayopangisha mashine kadhaa pepe inaweza isitoshe kushughulikia msururu wa kazi zinazofanana zinazoendeshwa kwa chaguo-msingi. Kutoka kwa mtazamo wa mtoa huduma wa wingu, tatizo kama hilo linaweza kusababisha mizigo ya ziada kwa idadi ya majeshi ya ESXi, ambayo hatimaye itasababisha kushuka kwa utendaji wa miundombinu ya wingu. Hii inaweza, kati ya mambo mengine, kuathiri utendaji wa mashine za kawaida za wateja wengine wa wingu. Hali kama hiyo inaweza kutokea wakati wa kuzindua skanati ya misa: usindikaji wa wakati mmoja na mfumo wa diski wa maombi mengi sawa kutoka kwa watumiaji tofauti utaathiri vibaya utendaji wa wingu zima. Kwa kiwango cha juu cha uwezekano, kupungua kwa utendaji wa mfumo wa kuhifadhi kutaathiri wateja wote. Mizigo kama hiyo ya ghafla haifurahishi mtoaji au wateja wake, kwani huathiri "majirani" kwenye wingu. Kwa mtazamo huu, antivirus ya jadi inaweza kusababisha tatizo kubwa.
Karantini salama. Ikiwa faili au hati inayoweza kuambukizwa na virusi imegunduliwa kwenye mfumo, inatumwa kwa karantini. Bila shaka, faili iliyoambukizwa inaweza kufutwa mara moja, lakini hii mara nyingi haikubaliki kwa makampuni mengi. Antivirus za biashara za kampuni ambazo hazijabadilishwa kufanya kazi katika wingu la mtoaji, kama sheria, zina eneo la kawaida la karantini - vitu vyote vilivyoambukizwa huanguka ndani yake. Kwa mfano, zile zinazopatikana kwenye kompyuta za watumiaji wa kampuni. Wateja wa mtoaji wa huduma ya wingu "wanaishi" katika sehemu zao (au wapangaji). Sehemu hizi ni opaque na zimetengwa: wateja hawajui kuhusu kila mmoja na, bila shaka, hawaoni ni nini wengine wanakaribisha katika wingu. Ni wazi, karantini ya jumla, ambayo itafikiwa na watumiaji wote wa antivirus katika wingu, inaweza kujumuisha hati iliyo na maelezo ya siri au siri ya biashara. Hii haikubaliki kwa mtoa huduma na wateja wake. Kwa hiyo, kunaweza kuwa na suluhisho moja tu - karantini ya kibinafsi kwa kila mteja katika sehemu yake, ambapo hakuna mtoa huduma au wateja wengine wanaoweza kufikia.
Sera za usalama za kibinafsi. Kila mteja katika wingu ni kampuni tofauti, ambayo idara yake ya IT inaweka sera zake za usalama. Kwa mfano, wasimamizi hufafanua sheria za skanning na ratiba ya uchunguzi wa kupambana na virusi. Ipasavyo, kila shirika lazima liwe na kituo chake cha udhibiti ili kusanidi sera za antivirus. Wakati huo huo, mipangilio iliyoainishwa haipaswi kuathiri wateja wengine wa wingu, na mtoaji anapaswa kuwa na uwezo wa kudhibitisha kuwa, kwa mfano, sasisho za antivirus hufanywa kama kawaida kwa mashine zote za kawaida za mteja.
Shirika la bili na leseni. Mfano wa wingu una sifa ya kubadilika na inahusisha kulipa tu kiasi cha rasilimali za IT ambazo zilitumiwa na mteja. Ikiwa kuna haja, kwa mfano, kutokana na msimu, basi kiasi cha rasilimali kinaweza kuongezeka haraka au kupunguzwa - yote kulingana na mahitaji ya sasa ya nguvu za kompyuta. Antivirus ya jadi haibadilika sana - kama sheria, mteja hununua leseni kwa mwaka kwa idadi iliyopangwa ya seva au vituo vya kazi. Watumiaji wa wingu mara kwa mara hutenganisha na kuunganisha mashine za ziada pepe kulingana na mahitaji yao ya sasa - ipasavyo, leseni za antivirus lazima ziauni muundo sawa.
Swali la pili ni nini hasa leseni itashughulikia. Antivirus ya jadi ina leseni na idadi ya seva au vituo vya kazi. Leseni kulingana na idadi ya mashine pepe zinazolindwa hazifai kabisa ndani ya muundo wa wingu. Mteja anaweza kuunda idadi yoyote ya mashine za kawaida zinazofaa kwake kutoka kwa rasilimali zilizopo, kwa mfano, mashine tano au kumi. Nambari hii si mara kwa mara kwa wateja wengi; haiwezekani kwetu, kama mtoa huduma, kufuatilia mabadiliko yake. Hakuna uwezekano wa kiufundi wa kutoa leseni kwa CPU: wateja hupokea vichakataji mtandaoni (vCPUs), ambavyo vinapaswa kutumika kwa kutoa leseni. Kwa hivyo, mtindo mpya wa ulinzi wa kupambana na virusi unapaswa kujumuisha uwezo wa mteja kuamua nambari inayotakiwa ya vCPU ambayo atapata leseni za kupambana na virusi.
Kuzingatia sheria. Jambo muhimu, kwa kuwa ufumbuzi unaotumiwa lazima uhakikishe kufuata mahitaji ya mdhibiti. Kwa mfano, "wakazi" wa wingu mara nyingi hufanya kazi na data ya kibinafsi. Katika hali hii, mtoa huduma lazima awe na sehemu tofauti ya wingu iliyoidhinishwa ambayo inatii kikamilifu mahitaji ya Sheria ya Data ya Kibinafsi. Kisha makampuni hawana haja ya kujitegemea "kujenga" mfumo mzima wa kufanya kazi na data ya kibinafsi: kununua vifaa vya kuthibitishwa, kuunganisha na kusanidi, na kupitia vyeti. Kwa ulinzi wa mtandao wa ISPD ya wateja hao, antivirus lazima pia kuzingatia mahitaji ya sheria ya Kirusi na kuwa na cheti cha FSTEC.
Tuliangalia vigezo vya lazima ambavyo ulinzi wa antivirus katika wingu la umma lazima ukidhi. Ifuatayo, tutashiriki uzoefu wetu wenyewe katika kurekebisha suluhisho la antivirus ili kufanya kazi katika wingu la mtoa huduma.
Unawezaje kufanya marafiki kati ya antivirus na wingu?
Kama uzoefu wetu umeonyesha, kuchagua suluhisho kulingana na maelezo na nyaraka ni jambo moja, lakini kutekeleza kwa vitendo katika mazingira ya wingu tayari ni kazi tofauti kabisa katika suala la utata. Tutakuambia tulichofanya kwa vitendo na jinsi tulivyobadilisha kizuia virusi kufanya kazi katika wingu la umma la mtoa huduma. Muuzaji wa suluhisho la kupambana na virusi alikuwa Kaspersky, ambaye kwingineko yake inajumuisha ufumbuzi wa ulinzi wa kupambana na virusi kwa mazingira ya wingu. Tulikaa kwenye "Usalama wa Kaspersky kwa Virtualization" (Wakala wa Mwanga).
Inajumuisha console moja ya Kituo cha Usalama cha Kaspersky. Wakala mwepesi na mashine pepe za usalama (SVM, Mashine pepe ya Usalama) na seva ya ujumuishaji ya KSC.
Baada ya kujifunza usanifu wa ufumbuzi wa Kaspersky na kufanya vipimo vya kwanza pamoja na wahandisi wa muuzaji, swali liliondoka kuhusu kuunganisha huduma kwenye wingu. Utekelezaji wa kwanza ulifanyika kwa pamoja kwenye tovuti ya wingu ya Moscow. Na ndivyo tuligundua.
Ili kupunguza trafiki ya mtandao, iliamuliwa kuweka SVM kwa kila mpangishi wa ESXi na "kufunga" SVM kwa wapangishi wa ESXi. Katika hali hii, mawakala wa mwanga wa mashine pepe zinazolindwa hufikia SVM ya seva pangishi kamili ya ESXi ambayo wanaendesha. Mpangaji tofauti wa kiutawala alichaguliwa kwa KSC kuu. Kwa hivyo, KSC za chini ziko katika wapangaji wa kila mteja binafsi na kushughulikia KSC bora iliyoko katika sehemu ya usimamizi. Mpango huu hukuruhusu kutatua haraka shida zinazotokea kwa wapangaji wa mteja.
Mbali na masuala ya kuinua vipengele vya ufumbuzi wa kupambana na virusi yenyewe, tulikabiliwa na kazi ya kuandaa mwingiliano wa mtandao kupitia kuundwa kwa VxLAN za ziada. Na ingawa suluhisho hapo awali lilikusudiwa wateja wa biashara na mawingu ya kibinafsi, kwa msaada wa savvy ya uhandisi na ubadilikaji wa kiteknolojia wa NSX Edge tuliweza kutatua shida zote zinazohusiana na mgawanyo wa wapangaji na leseni.
Tulifanya kazi kwa karibu na wahandisi wa Kaspersky. Kwa hiyo, katika mchakato wa kuchambua usanifu wa ufumbuzi kwa suala la mwingiliano wa mtandao kati ya vipengele vya mfumo, iligundua kuwa, pamoja na upatikanaji kutoka kwa mawakala wa mwanga hadi SVM, maoni pia ni muhimu - kutoka kwa SVM hadi mawakala wa mwanga. Muunganisho huu wa mtandao hauwezekani katika mazingira ya wapangaji wengi kwa sababu ya uwezekano wa mipangilio ya mtandao inayofanana ya mashine za kawaida katika wapangaji tofauti wa wingu. Kwa hiyo, kwa ombi letu, wenzake kutoka kwa muuzaji walifanya upya utaratibu wa mwingiliano wa mtandao kati ya wakala wa mwanga na SVM katika suala la kuondoa haja ya kuunganishwa kwa mtandao kutoka kwa SVM hadi mawakala wa mwanga.
Baada ya suluhisho kupelekwa na kujaribiwa kwenye tovuti ya wingu ya Moscow, tuliirudia kwenye tovuti nyingine, ikiwa ni pamoja na sehemu ya wingu iliyoidhinishwa. Huduma hiyo sasa inapatikana katika mikoa yote nchini.
Usanifu wa suluhisho la usalama wa habari ndani ya mfumo wa mbinu mpya
Mpango wa jumla wa uendeshaji wa suluhisho la antivirus katika mazingira ya wingu ya umma ni kama ifuatavyo.
Mpango wa uendeshaji wa suluhisho la antivirus katika mazingira ya wingu ya umma #CloudMTS
Wacha tueleze sifa za utendakazi wa vitu vya kibinafsi vya suluhisho kwenye wingu:
β’ Dashibodi moja inayowaruhusu wateja kudhibiti mfumo mkuu wa ulinzi: endesha ukaguzi, dhibiti masasisho na ufuatilie maeneo ya karantini. Inawezekana kusanidi sera za usalama za kibinafsi ndani ya sehemu yako.
Ikumbukwe kwamba ingawa sisi ni watoa huduma, hatuingiliani na mipangilio iliyowekwa na wateja. Kitu pekee tunachoweza kufanya ni kuweka upya sera za usalama kwa zile za kawaida ikiwa usanidi upya ni muhimu. Kwa mfano, hii inaweza kuwa muhimu ikiwa mteja alizifunga kwa bahati mbaya au kuzidhoofisha sana. Kampuni inaweza kupokea kila wakati kituo cha udhibiti chenye sera chaguo-msingi, ambacho kinaweza kusanidi kwa kujitegemea. Hasara ya Kituo cha Usalama cha Kaspersky ni kwamba jukwaa kwa sasa linapatikana tu kwa mfumo wa uendeshaji wa Microsoft. Ingawa mawakala wepesi wanaweza kufanya kazi na mashine za Windows na Linux. Hata hivyo, Kaspersky Lab inaahidi kwamba katika siku za usoni KSC itafanya kazi chini ya Linux OS. Moja ya kazi muhimu za KSC ni uwezo wa kusimamia karantini. Kila kampuni ya mteja kwenye wingu yetu ina kibinafsi. Mbinu hii huondoa hali ambapo hati iliyoambukizwa na virusi huonekana hadharani kwa bahati mbaya, kama inavyoweza kutokea katika kesi ya antivirus ya kawaida ya shirika iliyo na karantini ya jumla.
β’ Wakala wa mwanga. Kama sehemu ya mtindo mpya, wakala wa Usalama wa Kaspersky nyepesi amewekwa kwenye kila mashine ya kawaida. Hii inaondoa haja ya kuhifadhi hifadhidata ya kupambana na virusi kwenye kila VM, ambayo inapunguza kiasi cha nafasi ya disk inayohitajika. Huduma imeunganishwa na miundombinu ya wingu na inafanya kazi kupitia SVM, ambayo huongeza msongamano wa mashine pepe kwenye seva pangishi ya ESXi na utendakazi wa mfumo mzima wa wingu. Wakala wa mwanga huunda foleni ya kazi kwa kila mashine ya kawaida: angalia mfumo wa faili, kumbukumbu, nk. Lakini SVM inawajibika kwa kufanya shughuli hizi, ambazo tutazungumza baadaye. Wakala pia hufanya kazi kama ngome, hudhibiti sera za usalama, hutuma faili zilizoambukizwa kwa karantini na hufuatilia "afya" ya jumla ya mfumo wa uendeshaji ambao umesakinishwa. Yote hii inaweza kudhibitiwa kwa kutumia koni iliyotajwa tayari.
β’ Mashine pepe ya Usalama. Kazi zote zinazohitaji rasilimali nyingi (usasisho wa hifadhidata ya kupambana na virusi, skanaji zilizoratibiwa) hushughulikiwa na Mashine Maalum ya Usalama ya Usalama (SVM). Anawajibika kwa uendeshaji wa injini kamili ya kupambana na virusi na hifadhidata zake. Miundombinu ya IT ya kampuni inaweza kujumuisha SVM kadhaa. Njia hii huongeza kuegemea kwa mfumo - ikiwa mashine moja itashindwa na haijibu kwa sekunde thelathini, mawakala huanza kutafuta mwingine.
β’ Seva ya ujumuishaji ya KSC. Moja ya vipengele vya KSC kuu, ambayo huwapa SVM zake kwa mawakala wa mwanga kwa mujibu wa algoriti iliyobainishwa katika mipangilio yake, na pia kudhibiti upatikanaji wa SVM. Kwa hivyo, moduli hii ya programu hutoa kusawazisha mzigo kwenye SVM zote za miundombinu ya wingu.
Algorithm ya kufanya kazi katika wingu: kupunguza mzigo kwenye miundombinu
Kwa ujumla, algorithm ya antivirus inaweza kuwakilishwa kama ifuatavyo. Wakala hufikia faili kwenye mashine pepe na kuiangalia. Matokeo ya uthibitishaji huhifadhiwa katika hifadhidata ya kawaida ya hukumu ya SVM (inayoitwa Akiba ya Pamoja), kila ingizo ambalo linabainisha sampuli ya kipekee ya faili. Njia hii hukuruhusu kuhakikisha kuwa faili sawa haijachanganuliwa mara kadhaa mfululizo (kwa mfano, ikiwa ilifunguliwa kwenye mashine tofauti za kawaida). Faili huchanganuliwa upya ikiwa tu mabadiliko yamefanywa kwayo au uchanganuzi umeanzishwa mwenyewe.
Utekelezaji wa suluhisho la antivirus katika wingu la mtoa huduma
Picha inaonyesha mchoro wa jumla wa utekelezaji wa suluhisho katika wingu. Kituo kikuu cha Usalama cha Kaspersky kinawekwa katika eneo la udhibiti wa wingu, na SVM ya mtu binafsi inatumwa kwa kila mwenyeji wa ESXi kwa kutumia seva ya ushirikiano ya KSC (kila mpangishi wa ESXi ana SVM yake iliyoambatanishwa na mipangilio maalum kwenye Seva ya VMware vCenter). Wateja hufanya kazi katika sehemu zao za wingu, ambapo mashine pepe zilizo na mawakala ziko. Zinasimamiwa kupitia seva za kibinafsi za KSC zilizo chini ya KSC kuu. Ikiwa inahitajika kulinda idadi ndogo ya mashine za kawaida (hadi 5), mteja anaweza kupewa ufikiaji wa koni ya seva maalum ya KSC iliyojitolea. Mwingiliano wa mtandao kati ya KSC za mteja na KSC kuu, pamoja na mawakala wa mwanga na SVM, unafanywa kwa kutumia NAT kupitia vipanga njia pepe vya mteja vya EdgeGW.
Kulingana na makadirio yetu na matokeo ya majaribio ya wafanyakazi wenzetu katika muuzaji, Wakala wa Mwanga hupunguza mzigo kwenye miundombinu ya mtandaoni ya wateja kwa takriban 25% (ikilinganishwa na mfumo unaotumia programu ya jadi ya kuzuia virusi). Hasa, antivirus ya kawaida ya Kaspersky Endpoint Security (KES) kwa mazingira halisi hutumia karibu mara mbili ya muda wa CPU ya seva (2,95%) kama suluhisho la uboreshaji la kikali (1,67%).
Chati ya kulinganisha ya upakiaji wa CPU
Hali kama hiyo inazingatiwa na mzunguko wa ufikiaji wa uandishi wa diski: kwa antivirus ya kawaida ni 1011 IOPS, kwa antivirus ya wingu ni 671 IOPS.
Grafu ya kulinganisha kiwango cha ufikiaji wa diski
Faida ya utendaji hukuruhusu kudumisha uthabiti wa miundombinu na kutumia nguvu za kompyuta kwa ufanisi zaidi. Kwa kuzoea kufanya kazi katika mazingira ya wingu ya umma, suluhisho haipunguzi utendaji wa wingu: inakagua faili kuu na sasisho za kupakua, kusambaza mzigo. Hii ina maana kwamba, kwa upande mmoja, vitisho vinavyohusiana na miundombinu ya wingu hazitakosekana, kwa upande mwingine, mahitaji ya rasilimali kwa mashine za kawaida yatapungua kwa wastani wa 25% ikilinganishwa na antivirus ya jadi.
Kwa upande wa utendaji, suluhisho zote mbili ni sawa kwa kila mmoja: hapa chini ni jedwali la kulinganisha. Hata hivyo, katika wingu, kama matokeo ya majaribio hapo juu yanavyoonyesha, bado ni vyema kutumia suluhisho kwa mazingira pepe.
Kuhusu ushuru ndani ya mfumo wa mbinu mpya. Tuliamua kutumia muundo unaoturuhusu kupata leseni kulingana na idadi ya vCPU. Hii ina maana kwamba idadi ya leseni itakuwa sawa na idadi ya vCPU. Unaweza kujaribu antivirus yako kwa kuacha ombi .
Katika makala inayofuata juu ya mada ya wingu, tutazungumzia kuhusu mageuzi ya WAF ya wingu na nini ni bora kuchagua: vifaa, programu au wingu.
Maandishi hayo yalitayarishwa na wafanyakazi wa mtoa huduma wa mtandao #CloudMTS: Denis Myagkov, mbunifu mkuu na Alexey Afanasyev, meneja wa maendeleo ya bidhaa za usalama wa habari.
Chanzo: mapenzi.com