Интиқоли додаҳо ва барномаҳо ба абр барои SOC-ҳои корпоративӣ, ки на ҳамеша омодаанд, инфрасохтори одамони дигарро назорат мекунанд, мушкилоти навро ба миён меорад. Мувофиқи маълумоти Netoskope, корхонаи миёна (аз афташ дар ИМА) 1246 хидмати абрии гуногунро истифода мебарад, ки ин нисбат ба як соли пеш 22% зиёд аст. 1246 хадамоти абрӣ!!! 175-тои онҳо ба хадамоти кадрӣ, 170-то ба маркетинг, 110-тоаш дар соҳаи алоқа ва 76-тоаш ба молия ва CRM марбутанд. Cisco "танҳо" 700 хидмати абрии беруниро истифода мебарад. Аз ин рӯ, ман аз ин рақамҳо каме ошуфтаам. Аммо дар ҳар сурат, мушкилот дар онҳо нест, балки дар он аст, ки абрро шумораи афзояндаи ширкатҳое, ки мехоҳанд ҳамон имкониятҳоро барои мониторинги инфрасохтори абрӣ мисли шабакаи худ дошта бошанд, ба таври фаъол истифода мебаранд. Ва ин тамоюл меафзояд - мувофиқи То соли 2023, дар Иёлоти Муттаҳида 1200 маркази додаҳо баста мешаванд (6250 аллакай баста шудаанд). Аммо гузариш ба абр на танҳо "бигзор серверҳои худро ба провайдери беруна интиқол диҳем". Архитектураи нави IT, нармафзори нав, равандҳои нав, маҳдудиятҳои нав... Ҳамаи ин ба кори на танҳо IT, балки амнияти иттилоотӣ низ тағйироти назаррас меорад. Ва агар провайдерҳо фаҳмиданд, ки бо роҳи таъмини амнияти худи абр мубориза баранд (хушбахтона тавсияҳо зиёданд), пас ҳангоми мониторинги амнияти иттилоотии абрӣ, махсусан дар платформаҳои SaaS, мушкилоти назаррас мавҷуданд, ки мо дар бораи онҳо сӯҳбат хоҳем кард.
Фарз мекунем, ки ширкати шумо як қисми инфрасохтори худро ба абр интиқол додааст... Истед. На ин тавр. Агар инфрасохтор интиқол дода шуда бошад ва шумо ҳоло дар бораи он фикр мекунед, ки чӣ гуна онро назорат мекунед, пас шумо аллакай гум кардаед. Агар он Amazon, Google ё Microsoft (ва он гоҳ бо қайдҳо) набошад, шумо эҳтимолан қобилияти назорати маълумот ва барномаҳои худро надоред. Ин хуб аст, агар ба шумо имкони кор бо логҳо дода шавад. Баъзан маълумоти рӯйдодҳои амниятӣ дастрас хоҳад буд, аммо шумо ба он дастрасӣ надоред. Масалан, Office 365. Агар шумо литсензияи арзонтарини E1 дошта бошед, рӯйдодҳои амниятӣ барои шумо умуман дастрас нестанд. Агар шумо литсензияи E3 дошта бошед, маълумоти шумо танҳо 90 рӯз нигоҳ дошта мешавад ва танҳо агар шумо иҷозатномаи E5 дошта бошед, давомнокии гузоришҳо барои як сол дастрас аст (аммо ин инчунин нозукиҳои худро дорад, ки ба зарурати ҷудогона ворид кардан лозим аст. як қатор функсияҳоро барои кор бо гузоришҳо аз дастгирии Microsoft дархост кунед). Дар омади гап, литсензияи E3 аз ҷиҳати функсияҳои мониторинг нисбат ба Exchange корпоративӣ хеле заифтар аст. Барои ноил шудан ба ҳамон сатҳ, ба шумо иҷозатномаи E5 ё иҷозатномаи иловагии Advanced Compliance лозим аст, ки метавонад пули иловагиеро талаб кунад, ки барои гузаштан ба инфрасохтори абрӣ ба модели молиявии шумо дохил карда нашудааст. Ва ин танҳо як мисоли нодида гирифтани масъалаҳои марбут ба мониторинги амнияти абрии иттилоот аст. Дар ин мақола, бе вонамуд кардани мукаммал, ман мехоҳам таваҷҷӯҳро ба баъзе нозукиҳое ҷалб намоям, ки ҳангоми интихоби провайдери абрӣ аз нуқтаи назари амният бояд ба назар гирифта шаванд. Ва дар охири мақола, рӯйхати санҷиш дода мешавад, ки пеш аз он ки масъалаи мониторинги амнияти иттилоотии абрӣ ҳал шудааст, бояд пур карда шавад.
Якчанд мушкилоти маъмулӣ вуҷуд доранд, ки боиси ҳодисаҳо дар муҳити абрӣ мегарданд, ки хадамоти амнияти иттилоотӣ барои посух додан вақт надоранд ё умуман онҳоро намебинанд:
- Журналҳои амниятӣ вуҷуд надоранд. Ин як вазъияти хеле маъмул аст, махсусан дар байни бозигарони нав дар бозори ҳалли абр. Аммо шумо набояд дарҳол аз онҳо даст кашед. Бозингарони хурд, бахусус бозигарони ватанӣ, ба талаботи муштариён ҳассостаранд ва метавонанд тавассути тағир додани харитаи роҳ барои маҳсулоти худ баъзе вазифаҳои заруриро зуд иҷро кунанд. Бале, ин на аналоги GuardDuty аз Amazon ё модули "Проактив муҳофизат" аз Bitrix, балки ҳадди аққал чизе хоҳад буд.
- Амнияти иттилоотӣ намедонад, ки гузоришҳо дар куҷо нигоҳ дошта мешаванд ё дастрасӣ ба онҳо вуҷуд надорад. Дар ин ҷо зарур аст, ки бо провайдери хидматрасонии абрӣ гуфтушунид кунед - шояд ӯ чунин маълумотро пешниҳод кунад, агар ӯ муштариро барои ӯ муҳим мешуморад. Аммо дар маҷмӯъ, вақте ки дастрасӣ ба гузоришҳо "бо қарори махсус" таъмин карда мешавад, он қадар хуб нест.
- Инчунин рӯй медиҳад, ки провайдери абр гузоришҳо дорад, аммо онҳо мониторинг ва сабти рӯйдодҳои маҳдудро таъмин мекунанд, ки барои ошкор кардани ҳама ҳодисаҳо кофӣ нестанд. Масалан, шумо метавонед танҳо сабтҳои тағиротро дар вебсайт ё сабти кӯшишҳои тасдиқи корбар қабул кунед, аммо на рӯйдодҳои дигар, ба монанди трафики шабака, ки аз шумо як қабати рӯйдодҳоеро, ки кӯшиши вайрон кардани инфрасохтори абрии шуморо тавсиф мекунанд, пинҳон мекунанд.
- Гузоришҳо вуҷуд доранд, аммо дастрасӣ ба онҳо душвор аст, ки автоматӣ кунонида шавад, ки ин маҷбур мекунад, ки онҳо на пайваста, балки аз рӯи ҷадвал назорат карда шаванд. Ва агар шумо сабтҳоро ба таври худкор зеркашӣ карда натавонед, пас зеркашии гузоришҳо, масалан, дар формати Excel (ба мисли як қатор провайдерҳои ҳалли абрии ватанӣ), ҳатто метавонад боиси худдории хадамоти амнияти иттилоотии корпоративӣ бо онҳо гардад.
- Мониторинги сабт нест. Ин шояд норавшантарин сабаби рух додани ҳодисаҳои амнияти иттилоотӣ дар муҳити абрӣ бошад. Чунин ба назар мерасад, ки гузоришҳо вуҷуд доранд ва дастрасиро ба онҳо автоматӣ кардан мумкин аст, аммо ҳеҷ кас ин корро намекунад. Чаро?
Консепсияи амнияти абрии муштарак
Гузариш ба абр ҳамеша ҷустуҷӯи мувозинат байни хоҳиши нигоҳ доштани назорат аз болои инфрасохтор ва интиқоли он ба дасти касбии провайдери абрест, ки дар нигоҳдории он тахассус дорад. Ва дар соҳаи амнияти абр, ин мувозинатро низ бояд ҷустуҷӯ кард. Ғайр аз он, вобаста ба модели расонидани хидмати абрии истифодашуда (IaaS, PaaS, SaaS), ин тавозуни ҳама вақт гуногун хоҳад буд. Дар ҳар сурат, мо бояд дар хотир дорем, ки имрӯз ҳама провайдерҳои абрӣ ба истилоҳ масъулияти муштарак ва модели амнияти иттилоотии муштарак пайравӣ мекунанд. Абр барои баъзе чизҳо масъул аст ва барои дигарон муштарӣ масъул аст, ки маълумот, замимаҳо, мошинҳои виртуалии худ ва дигар захираҳоро дар абр ҷойгир мекунад. Интизор шудан беэътиноӣ мебуд, ки бо рафтан ба абр мо тамоми масъулиятро ба дӯши провайдер мегузорем. Аммо ҳангоми гузаштан ба абр тамоми амниятро худатон сохтани он низ оқилона нест. Мувозинат лозим аст, ки аз бисёр омилҳо вобаста хоҳад буд: - стратегияи идоракунии хавф, модели таҳдид, механизмҳои амниятӣ, ки ба провайдери абр дастрас аст, қонунгузорӣ ва ғайра.
Масалан, таснифоти маълумоте, ки дар абр ҷойгир аст, ҳамеша масъулияти муштарӣ аст. Провайдери абр ё провайдери хидматрасони беруна метавонад ба ӯ танҳо бо абзорҳое кӯмак кунад, ки ба қайд кардани маълумот дар абр, муайян кардани қонуншиканиҳо, нест кардани маълумоте, ки қонунро вайрон мекунанд ё бо истифода аз ин ё он усул онро ниқоб мекунанд. Аз тарафи дигар, амнияти ҷисмонӣ ҳамеша масъулияти провайдери абр аст, ки онро бо мизоҷон мубодила карда наметавонад. Аммо ҳама чизест, ки байни маълумот ва инфрасохтори ҷисмонӣ маҳз мавзӯи муҳокима дар ин мақола аст. Масалан, мавҷудияти абр масъулияти провайдер аст ва муқаррар кардани қоидаҳои брандмауэр ё фаъолсозии рамзгузорӣ масъулияти муштарӣ аст. Дар ин мақола мо мекӯшем бубинем, ки кадом механизмҳои мониторинги амнияти иттилоотиро имрӯз аз ҷониби провайдерҳои машҳури абрӣ дар Русия пешниҳод мекунанд, хусусиятҳои истифодаи онҳо кадомҳоянд ва кай бояд ба ҳалли қабатҳои берунӣ муроҷиат кунем (масалан, Cisco E- mail Security), ки имкониятҳои абри шуморо аз ҷиҳати киберамният васеъ мекунанд. Дар баъзе мавридҳо, махсусан агар шумо стратегияи бисёрабрро риоя кунед, шумо илоҷ нахоҳед дошт, ба ҷуз аз истифодаи қарорҳои мониторинги амнияти иттилоотии беруна дар як вақт дар якчанд муҳити абр (масалан, Cisco CloudLock ё Cisco Stealthwatch Cloud). Хуб, дар баъзе ҳолатҳо шумо хоҳед фаҳмид, ки провайдери абре, ки шумо интихоб кардаед (ё ба шумо бор кардаед) ҳеҷ гуна қобилияти мониторинги амнияти иттилоотиро пешниҳод намекунад. Ин ногувор аст, аммо каме ҳам нест, зеро он ба шумо имкон медиҳад, ки сатҳи хавфи марбут ба кор бо ин абрро дуруст арзёбӣ кунед.
Давраи мониторинги амнияти абрӣ
Барои назорат кардани амнияти абрҳое, ки шумо истифода мебаред, шумо танҳо се интихоб доред:
- ба асбобҳое, ки провайдери абрии шумо пешниҳод кардаанд, такя кунед,
- қарорҳои шахсони сеюмро истифода баред, ки платформаҳои IaaS, PaaS ё SaaS-ро назорат мекунанд,
- инфрасохтори мониторинги абрии худро созед (танҳо барои платформаҳои IaaS/PaaS).
Биёед бубинем, ки ҳар яке аз ин вариантҳо кадом хусусиятҳоро доранд. Аммо аввал, мо бояд чаҳорчӯбаи умумиеро фаҳмем, ки ҳангоми мониторинги платформаҳои абрӣ истифода мешавад. Ман 6 ҷузъи асосии раванди мониторинги амнияти иттилоотиро дар абр таъкид мекунам:
- Омодасозии инфрасохтор. Муайян кардани замимаҳо ва инфрасохтори зарурӣ барои ҷамъоварии рӯйдодҳое, ки барои амнияти иттилоотӣ дар нигаҳдорӣ муҳиманд.
- Коллексия. Дар ин марҳила, рӯйдодҳои амниятӣ аз манбаъҳои гуногун барои интиқоли минбаъда барои коркард, нигоҳдорӣ ва таҳлил ҷамъ карда мешаванд.
- Табобат. Дар ин марҳила, маълумот барои осон кардани таҳлили минбаъда табдил ва ғанӣ гардонида мешавад.
- Нигоҳдорӣ. Ин ҷузъ барои нигоҳдории кӯтоҳмуддат ва дарозмуддати маълумоти коркардшуда ва хоми ҷамъшуда масъул аст.
- Таҳлил. Дар ин марҳила, шумо қобилияти ошкор кардани ҳодисаҳоро доред ва ба онҳо ба таври худкор ё дастӣ посух диҳед.
- Ҳисоботдиҳӣ. Ин марҳила барои таҳияи нишондиҳандаҳои асосӣ барои ҷонибҳои манфиатдор (роҳбарият, аудиторҳо, провайдери абрӣ, мизоҷон ва ғайра) кӯмак мекунад, ки ба мо дар қабули қарорҳои муайян, масалан, иваз кардани провайдер ё таҳкими амнияти иттилоотӣ кӯмак мекунанд.
Фаҳмидани ин ҷузъҳо ба шумо имкон медиҳад, ки дар оянда ба зудӣ қарор қабул кунед, ки шумо аз провайдери худ чӣ гирифта метавонед ва шумо бояд худатон ё бо ҷалби мушовирони беруна чӣ кор кунед.
Хидматҳои абрии дарунсохт
Ман аллакай дар боло навишта будам, ки бисёре аз хидматҳои абрӣ имрӯз ҳеҷ гуна қобилияти мониторинги амнияти иттилоотиро таъмин намекунанд. Умуман, ба мавзӯи амнияти иттилоотӣ чандон аҳамият намедиҳанд. Масалан, яке аз хидматҳои маъмули Русия барои ирсоли гузоришҳо ба мақомоти давлатӣ тавассути Интернет (номи онро мушаххасан зикр намекунам). Тамоми бахш дар бораи амнияти ин хидмат дар атрофи истифодаи CIPF-и сертификатсияшуда мегузарад. Бахши амнияти иттилоотии хидмати дигари абрии ватанӣ барои муомилоти ҳуҷҷатҳои электронӣ фарқ надорад. Он дар бораи сертификатҳои калидҳои ҷамъиятӣ, криптографияи тасдиқшуда, рафъи осебпазирии веб, муҳофизат аз ҳамлаҳои DDoS, истифодаи деворҳо, нусхабардорӣ ва ҳатто аудитҳои мунтазами амнияти иттилоотӣ сухан меравад. Аммо дар бораи мониторинг ва имкони дастрасӣ ба рӯйдодҳои амнияти иттилоотӣ, ки метавонанд барои муштариёни ин провайдери хидматрасон таваҷҷӯҳ кунанд, ҳарфе нест.
Умуман, бо он ки провайдери абр масъалаҳои амнияти иттилоотиро дар вебсайти худ ва ҳуҷҷатҳои худ тавсиф мекунад, шумо метавонед бифаҳмед, ки ин масъала то чӣ андоза ҷиддӣ аст. Масалан, агар шумо дастурҳои маҳсулоти «Дафтари ман»-ро хонед, дар бораи амният умуман сухане нест, балки дар ҳуҷҷатҳои маҳсулоти алоҳидаи «Дафтари ман. KS3", ки барои муҳофизат аз дастрасии беиҷозат пешбинӣ шудааст, рӯйхати муқаррарии нуқтаҳои тартиби 17-уми FSTEC мавҷуд аст, ки "My Office.KS3" онҳоро амалӣ мекунад, аммо дар он тавсиф карда нашудааст, ки он чӣ гуна онро амалӣ мекунад ва муҳимтар аз ҳама, чӣ гуна бояд ҳамгироии ин механизмҳо бо амнияти иттилоотии корпоративӣ. Шояд чунин ҳуҷҷатҳо вуҷуд дошта бошанд, аммо ман онро дар домени ҷамъиятӣ, дар вебсайти "Дафтари ман" наёфтам. Гарчанде ки шояд ман ба ин маълумоти махфӣ дастрасӣ надошта бошам?..
Барои Bitrix, вазъият хеле беҳтар аст. Ҳуҷҷатҳо форматҳои сабтҳои рӯйдодҳоро тавсиф мекунанд ва ҷолиб он аст, ки сабти ҳамла, ки рӯйдодҳои марбут ба таҳдидҳои эҳтимолӣ ба платформаи абрро дар бар мегирад. Аз он ҷо шумо метавонед IP, номи корбар ё меҳмон, манбаи рӯйдод, вақт, Агенти корбар, намуди рӯйдод ва ғайраро берун кунед. Дуруст аст, ки шумо метавонед бо ин рӯйдодҳо ё аз панели идоракунии абр кор кунед ё маълумотро дар формати MS Excel бор кунед. Ҳоло автоматикунонии кор бо сабтҳои Bitrix душвор аст ва шумо бояд баъзе корҳоро дастӣ иҷро кунед (боркунии гузориш ва боркунии он ба SIEM-и худ). Вале агар ба хотир орем, ки то ин дам нис-батан вактхои охир чунин имконият вучуд надошт, пас ин пешравии бузург аст. Ҳамзамон, мехоҳам қайд намоям, ки бисёре аз провайдерҳои абрии хориҷӣ функсияҳои шабеҳро "барои шурӯъкунандагон" пешниҳод мекунанд - ё тавассути панели идоракунӣ ба гузоришҳо бо чашмони худ нигоҳ кунед ё маълумотро ба худ бор кунед (аммо, аксари маълумот дар . формати csv, на Excel).
Провайдерҳои абрӣ бидуни назардошти имкони бидуни қайдҳо, одатан ба шумо се вариантро барои мониторинги рӯйдодҳои амниятӣ пешниҳод мекунанд - панелҳои идоракунӣ, боркунии маълумот ва дастрасии API. Чунин ба назар мерасад, ки аввал барои шумо мушкилоти зиёдеро ҳал мекунад, аммо ин комилан дуруст нест - агар шумо якчанд маҷалла дошта бошед, шумо бояд байни экранҳои намоиши онҳо гузаред ва тасвири умумиро аз даст диҳед. Илова бар ин, провайдери абр гумон аст, ки ба шумо қобилияти алоқаманд кардани рӯйдодҳои амниятӣ ва умуман таҳлили онҳоро аз нуқтаи назари амният таъмин кунад (одатан шумо бо маълумоти хом, ки шумо бояд худатонро фаҳмед) сарукор доред. Истисноҳо вуҷуд доранд ва мо минбаъд дар бораи онҳо сӯҳбат хоҳем кард. Дар ниҳоят, пурсидан лозим аст, ки кадом рӯйдодҳоро провайдери абрии шумо сабт мекунад, дар кадом формат ва онҳо ба раванди мониторинги амнияти иттилоотии шумо чӣ гуна мувофиқат мекунанд? Масалан, муайянкунӣ ва тасдиқи корбарон ва меҳмонон. Ҳамин Bitrix ба шумо имкон медиҳад, ки дар асоси ин рӯйдодҳо сана ва вақти рӯйдод, номи корбар ё меҳмонро (агар шумо модули "Web Analytics" дошта бошед), объекти дастрас ва дигар унсурҳои барои вебсайт хосро сабт кунед. . Аммо хадамоти амнияти иттилоотии корпоративӣ метавонанд маълумотро дар бораи он ки оё корбар ба абр аз дастгоҳи боэътимод дастрас кардааст (масалан, дар шабакаи корпоративӣ ин вазифа аз ҷониби Cisco ISE амалӣ карда мешавад) лозим аст. Дар бораи чунин як вазифаи оддӣ ба монанди функсияи гео-IP, ки барои муайян кардани дуздии ҳисоби корбари хидмати абрӣ кӯмак мекунад, чӣ гуфтан мумкин аст? Ва ҳатто агар провайдери абр онро ба шумо пешниҳод кунад, ин кофӣ нест. Ҳамон Cisco CloudLock на танҳо ҷойгиршавии ҷуғрофиро таҳлил мекунад, балки омӯзиши мошинро барои ин истифода мебарад ва маълумоти таърихиро барои ҳар як корбар таҳлил мекунад ва аномалияҳои гуногунро дар кӯшишҳои мушаххассозӣ ва аутентификатсия назорат мекунад. Танҳо MS Azure функсияҳои шабеҳ дорад (агар шумо обунаи мувофиқ дошта бошед).
Мушкилоти дигар вуҷуд дорад - азбаски барои бисёре аз провайдерҳои абрӣ мониторинги амнияти иттилоотӣ мавзӯи нав аст, ки онҳо ҳоло ба он шурӯъ мекунанд, онҳо ҳамеша дар ҳалли худ чизеро иваз мекунанд. Имрӯз онҳо як версияи API доранд, фардо дигар, пас аз фардо сеюм. Шумо низ бояд ба ин омода бошед. Ҳамин чиз ба функсияҳое дахл дорад, ки метавонад тағир ёбад, ки бояд дар системаи мониторинги амнияти иттилоотии шумо ба назар гирифта шавад. Масалан, Amazon дар аввал хидматҳои алоҳидаи мониторинги рӯйдодҳои абрӣ дошт - AWS CloudTrail ва AWS CloudWatch. Сипас хидмати алоҳида барои мониторинги рӯйдодҳои амнияти иттилоотӣ пайдо шуд - AWS GuardDuty. Пас аз чанде, Amazon як системаи нави идоракунии Amazon Security Hub -ро оғоз кард, ки таҳлили маълумоти аз GuardDuty, Amazon Inspector, Amazon Macie ва чанде дигар гирифташударо дар бар мегирад. Мисоли дигар ин абзори ҳамгироии log Azure бо SIEM - AzLog мебошад. Он аз ҷониби бисёре аз фурӯшандагони SIEM фаъолона истифода мешуд, то он даме, ки дар соли 2018 Microsoft қатъи таҳия ва дастгирии худро эълон кард, ки бо бисёре аз муштариёне, ки ин асбобро бо мушкилот истифода мекарданд (мо дар бораи он ки чӣ тавр он баъдтар ҳал карда шуд) рӯ ба рӯ шуд.
Аз ин рӯ, ҳама хусусиятҳои мониторингеро, ки провайдери абрии шумо ба шумо пешниҳод мекунад, бодиққат назорат кунед. Ё ба провайдерҳои ҳалли беруна такя кунед, ки ҳамчун миёнарав байни SOC ва абре, ки шумо мехоҳед назорат кунед, амал кунанд. Бале, он гаронтар хоҳад буд (ҳарчанд на ҳамеша), аммо шумо тамоми масъулиятро ба дӯши ягон каси дигар мегузоред. Ё на ҳама?.. Биёед мафҳуми амнияти муштаракро ба ёд орем ва бифаҳмем, ки мо чизеро иваз карда наметавонем - мо бояд мустақилона бифаҳмем, ки чӣ гуна провайдерҳои абрии гуногун мониторинги амнияти иттилоотии маълумот, замимаҳо, мошинҳои виртуалӣ ва дигар захираҳои шуморо таъмин мекунанд. дар абр ҷойгир карда шудааст. Ва мо бо он чизе, ки Amazon дар ин қисм пешниҳод мекунад, оғоз мекунем.
Мисол: Мониторинги амнияти иттилоотӣ дар IaaS дар асоси AWS
Бале, бале, ман мефаҳмам, ки Amazon намунаи беҳтарин нест, зеро ин хидмати амрикоӣ аст ва онро метавон ҳамчун як қисми мубориза бо ифротгароӣ ва паҳн кардани иттилооте, ки дар Русия мамнӯъ аст, масдуд кард. Аммо дар ин нашрия ман мехоҳам нишон диҳам, ки платформаҳои абрии гуногун бо қобилияти мониторинги амнияти иттилоотии худ чӣ гуна фарқ мекунанд ва ҳангоми интиқоли равандҳои калидии худ ба абрҳо аз нуқтаи назари амният, шумо бояд ба он диққат диҳед. Хуб, агар баъзе аз таҳиягарони русии ҳалли абрӣ чизи муфидро барои худ омӯзанд, ин хеле хуб хоҳад буд.
Аввалин чизе, ки бояд гуфт, ин аст, ки Амазонка қалъаи касногузар нест. Бо мизоҷонаш мунтазам ҳодисаҳои гуногун рӯй медиҳанд. Масалан, аз Deep Root Analytics ном, суроға, санаи таваллуд ва рақами телефони 198 миллион интихобкунанда дуздида шуд. Ширкати исроилии Nice Systems 14 миллион сабти муштариёни Verizon-ро дуздидааст. Бо вуҷуди ин, қобилиятҳои дарунсохташудаи AWS ба шумо имкон медиҳанд, ки доираи васеи ҳодисаҳоро ошкор кунед. Барои намуна:
- таъсир ба инфрасохтор (DDoS)
- созиши гиреҳ (тазриқи фармон)
- вайрон кардани ҳисоб ва дастрасии беиҷозат
- конфигуратсияи нодуруст ва осебпазирӣ
- интерфейсҳои бехатар ва API.
Ин ихтилоф ба он вобаста аст, ки тавре ки мо дар боло фаҳмидем, худи муштарӣ барои амнияти маълумоти муштарӣ масъул аст. Ва агар вай барои ба кор даровардани механизмҳои муҳофизатӣ ташвиш надиҳад ва асбобҳои назоратро ба кор набурда бошад, пас ӯ дар бораи ҳодиса танҳо аз расонаҳо ё муштариёнаш огоҳ хоҳад кард.
Барои муайян кардани ҳодисаҳо, шумо метавонед доираи васеи хидматҳои гуногуни мониторингро, ки Amazon таҳия кардааст, истифода баред (гарчанде ки онҳо аксар вақт бо абзорҳои беруна, ба монанди осquery пурра карда мешаванд). Ҳамин тавр, дар AWS, ҳама амалҳои корбар новобаста аз он ки чӣ тавр иҷро карда мешаванд - тавассути консоли идоракунӣ, сатри фармон, SDK ё дигар хидматҳои AWS назорат карда мешаванд. Ҳама сабтҳои фаъолияти ҳар як ҳисоби AWS (аз ҷумла номи корбар, амал, хидмат, параметрҳои фаъолият ва натиҷа) ва истифодаи API тавассути AWS CloudTrail дастрасанд. Шумо метавонед ин рӯйдодҳоро (ба монанди воридшавии консолҳои AWS IAM) аз консоли CloudTrail дидан кунед, онҳоро бо истифода аз Amazon Athena таҳлил кунед ё онҳоро ба ҳалли беруна ба монанди Splunk, AlienVault ва ғайра "аутсорсинг" кунед. Худи сабтҳои AWS CloudTrail дар сатили AWS S3 ҷойгир карда мешаванд.
Ду хидмати дигари AWS як қатор дигар қобилиятҳои муҳими мониторингро таъмин мекунанд. Аввалан, Amazon CloudWatch як хидмати мониторинги захираҳо ва барномаҳои AWS мебошад, ки дар байни чизҳои дигар ба шумо имкон медиҳад, ки аномалияҳои гуногунро дар абри худ муайян кунед. Ҳама хидматҳои дарунсохташудаи AWS, ба монанди Amazon Elastic Compute Cloud (серверҳо), Amazon Relational Database Service (маълумотҳо), Amazon Elastic MapReduce (таҳлили маълумот) ва 30 хидмати дигари Amazon, Amazon CloudWatch-ро барои нигоҳ доштани гузоришҳои худ истифода мебаранд. Таҳиягарон метавонанд API-и кушодаи Amazon CloudWatch-ро барои илова кардани функсияи мониторинги гузориш ба барномаҳо ва хидматҳои фармоишӣ истифода баранд, ки ба онҳо имкон медиҳад, ки доираи таҳлили рӯйдодҳоро дар заминаи амният васеъ кунанд.
Дуюм, хидмати VPC Flow Logs ба шумо имкон медиҳад, ки трафики шабакавиро, ки серверҳои AWS-и шумо (берунӣ ё дохилӣ) фиристодаанд ё қабул мекунанд, инчунин байни хидматрасониҳои хурд таҳлил кунед. Вақте ки ягон захираҳои VPC AWS-и шумо бо шабака ҳамкорӣ мекунанд, VPC Flow Logs тафсилотро дар бораи трафики шабака, аз ҷумла интерфейси шабакавии манбаъ ва таъинот, инчунин суроғаҳои IP, портҳо, протокол, шумораи байтҳо ва шумораи бастаҳои шумо сабт мекунад. дид. Онҳое, ки бо амнияти шабакаи маҳаллӣ таҷриба доранд, инро ҳамчун шабеҳи риштаҳо эътироф хоҳанд кард , ки онро тавассути коммутаторҳо, роутерҳо ва деворҳои сатҳи корхона сохтан мумкин аст. Ин гузоришҳо барои ҳадафҳои мониторинги амнияти иттилоотӣ муҳиманд, зеро бар хилофи рӯйдодҳо дар бораи амалҳои корбарон ва барномаҳо, онҳо инчунин ба шумо имкон медиҳанд, ки муоширати шабакавиро дар муҳити абрии хусусии виртуалии AWS аз даст надиҳед.
Хулоса, ин се хидмати AWS - AWS CloudTrail, Amazon CloudWatch ва VPC Flow Logs - якҷоя дар бораи истифодаи ҳисоби шумо, рафтори корбар, идоракунии инфрасохтор, фаъолияти барномаҳо ва хидматҳо ва фаъолияти шабака фаҳмиши хеле пурқувват медиҳанд. Масалан, онҳо метавонанд барои ошкор кардани аномалияҳои зерин истифода шаванд:
- Кӯшишҳо барои скан кардани сайт, ҷустуҷӯи пушти дарҳо, ҷустуҷӯи осебпазириҳо тавассути таркишҳои "404 хато".
- Ҳамлаҳои тазриқӣ (масалан, тазриқи SQL) тавассути таркишҳои "500 хато".
- Воситаҳои маълуми ҳамла инҳоянд sqlmap, nikto, w3af, nmap ва ғайра. тавассути таҳлили соҳаи Агенти корбар.
Amazon Web Services инчунин хидматҳои дигареро бо ҳадафҳои киберамният таҳия кардааст, ки ба шумо имкон медиҳанд, ки бисёр мушкилоти дигарро ҳал кунед. Масалан, AWS дорои хидмати дохилӣ барои аудити сиёсатҳо ва конфигуратсияҳо мебошад - AWS Config. Ин хидмат аудити пайвастаи захираҳои AWS ва конфигуратсияҳои онҳоро таъмин мекунад. Биёед як мисоли оддиро гирем: Фарз мекунем, ки шумо мехоҳед боварӣ ҳосил кунед, ки паролҳои корбар дар ҳама серверҳои шумо хомӯш карда шудаанд ва дастрасӣ танҳо дар асоси сертификатҳо имконпазир аст. AWS Config санҷидани инро барои ҳамаи серверҳои шумо осон мекунад. Дигар сиёсатҳое вуҷуд доранд, ки ба серверҳои абрии шумо татбиқ карда мешаванд: "Ҳеҷ сервер наметавонад бандари 22-ро истифода барад", "Танҳо маъмурон қоидаҳои брандмауэрро тағир дода метавонанд" ё "Танҳо корбар Ивашко метавонад ҳисобҳои нави корбарӣ эҷод кунад ва ӯ метавонад онро танҳо рӯзҳои сешанбе анҷом диҳад. " Тобистони соли 2016 хидмати AWS Config барои автоматикунонии ошкор кардани нақзи сиёсатҳои таҳияшуда васеъ карда шуд. Қоидаҳои конфигуратсияи AWS аслан дархостҳои пайвастаи конфигуратсия барои хидматҳои Амазонка мебошанд, ки шумо истифода мебаред, ки ҳангоми вайрон кардани сиёсатҳои мувофиқ рӯйдодҳоро ба вуҷуд меоранд. Масалан, ба ҷои мунтазам иҷро кардани дархостҳои AWS Config барои тасдиқи он, ки ҳамаи дискҳо дар сервери виртуалӣ рамзгузорӣ шудаанд, Қоидаҳои танзимоти AWS метавонанд барои тафтиши пайвастаи дискҳои сервер истифода шаванд, то ки ин шарт риоя карда шавад. Ва муҳимтар аз ҳама, дар заминаи ин нашрия, ҳама гуна қонуншиканиҳо рӯйдодҳоеро ба вуҷуд меоранд, ки метавонанд аз ҷониби хадамоти амнияти иттилоотии шумо таҳлил карда шаванд.
AWS инчунин ба ҳалли анъанавии амнияти иттилоотии корпоративӣ муодили худро дорад, ки инчунин рӯйдодҳои амниятӣ эҷод мекунанд, ки шумо метавонед ва бояд таҳлил кунед:
- Муайян кардани ҳамла - AWS GuardDuty
- Назорати ихроҷи иттилоот - AWS Macie
- EDR (гарчанде ки он дар бораи нуқтаҳои ниҳоии абр каме аҷиб гап мезанад) - AWS Cloudwatch + osquery кушодаасос ё ҳалли GRR
- Таҳлили Netflow - AWS Cloudwatch + AWS VPC Flow
- Таҳлили DNS - AWS Cloudwatch + AWS Route53
- AD - Хадамоти директорияи AWS
- Идоракунии ҳисоб - AWS IAM
- SSO - AWS SSO
- таҳлили амният - Inspector AWS
- идоракунии конфигуратсия - AWS Config
- WAF - AWS WAF.
Ман ҳама хидматҳои Amazon-ро, ки метавонанд дар заминаи амнияти иттилоотӣ муфид бошанд, ба таври муфассал тавсиф намекунам. Муҳим он аст, ки фаҳмидани он аст, ки ҳамаи онҳо метавонанд рӯйдодҳоеро тавлид кунанд, ки мо метавонем ва бояд дар заминаи амнияти иттилоотӣ таҳлил кунем ва бо ин мақсад ҳам қобилиятҳои дохилии худи Amazon ва ҳам ҳалли берунӣ, масалан, SIEM, ки метавонанд рӯйдодҳои амниятиро ба маркази мониторинги худ баред ва онҳоро дар он ҷо бо рӯйдодҳои дигар хидматҳои абрӣ ё инфрасохтори дохилӣ, периметр ё дастгоҳҳои мобилӣ таҳлил кунед.
Дар ҳар сурат, ҳамааш аз сарчашмаҳои маълумоте оғоз мешавад, ки ба шумо рӯйдодҳои амнияти иттилоотиро пешкаш мекунанд. Ин манбаъҳо дар бар мегиранд, вале бо онҳо маҳдуд нестанд:
- CloudTrail - Истифодаи API ва Амали корбар
- Мушовири боэътимод - санҷиши амният аз таҷрибаҳои беҳтарин
- Config - инвентаризатсия ва конфигуратсияи ҳисобҳо ва танзимоти хидмат
- VPC Flow Logs - пайвастшавӣ ба интерфейсҳои виртуалӣ
- IAM - хидмати мушаххас ва аутентификатсия
- Гузоришҳои дастрасии ELB - Мувозинати сарборӣ
- Инспектор - осебпазирии барнома
- S3 - нигаҳдории файл
- CloudWatch - Фаъолияти барнома
- SNS хидмати огоҳӣ мебошад.
Amazon, дар ҳоле, ки чунин як қатор сарчашмаҳо ва асбобҳои рӯйдодҳоро барои насли онҳо пешниҳод мекунад, дар қобилияти худ барои таҳлили маълумоти ҷамъоварӣ дар заминаи амнияти иттилоотӣ хеле маҳдуд аст. Шумо бояд гузоришҳои мавҷударо мустақилона омӯзед ва дар онҳо нишондиҳандаҳои мувофиқи созишро ҷустуҷӯ кунед. AWS Security Hub, ки Amazon ба наздикӣ оғоз кардааст, ҳадаф дорад, ки ин мушкилотро тавассути табдил додани SIEM абрии AWS ҳал кунад. Аммо то ҳол он танҳо дар оғози сафар аст ва ҳам аз рӯи шумораи манбаъҳое, ки бо он кор мекунад ва ҳам бо маҳдудиятҳои дигаре, ки меъморӣ ва обунаҳои худи Амазонка муқаррар кардааст, маҳдуд аст.
Мисол: Мониторинги амнияти иттилоотӣ дар IaaS дар асоси Azure
Ман намехоҳам баҳси тӯлонӣ дар бораи кадоме аз се провайдери абрӣ (Amazon, Microsoft ё Google) беҳтар аст (хусусан азбаски ҳар кадоми онҳо то ҳол хусусиятҳои хоси худро доранд ва барои ҳалли мушкилоти худ мувофиқанд); Биёед ба қобилиятҳои мониторинги амнияти иттилоотие, ки ин бозигарон пешниҳод мекунанд, тамаркуз кунем. Бояд иқрор шуд, ки Amazon AWS яке аз аввалинҳо дар ин сегмент буд ва аз ин рӯ, аз ҷиҳати функсияҳои амнияти иттилоотии худ дуртарин пешрафт кардааст (гарчанде ки бисёриҳо эътироф мекунанд, ки истифодаи онҳо душвор аст). Аммо ин маънои онро надорад, ки мо имкониятҳоеро, ки Microsoft ва Google ба мо пешкаш мекунанд, сарфи назар мекунем.
Маҳсулоти Microsoft ҳамеша бо "кушода"-и худ фарқ мекарданд ва дар Azure вазъ монанд аст. Масалан, агар AWS ва GCP ҳамеша аз мафҳуми "он чизе, ки иҷозат дода намешавад, манъ аст" барояд, пас Azure муносибати комилан муқобил дорад. Масалан, ҳангоми сохтани шабакаи маҷозӣ дар абр ва мошини маҷозӣ дар он, ҳама портҳо ва протоколҳо ба таври нобаёнӣ кушода ва иҷозат дода мешаванд. Аз ин рӯ, шумо бояд барои насби ибтидоии системаи идоракунии дастрасӣ дар абр аз Microsoft каме кӯшиш кунед. Ва ин инчунин ба шумо дар робита ба мониторинги фаъолият дар абри Azure талаботҳои сахттар мегузорад.
AWS хусусияти хосе дорад, ки ҳангоми назорат кардани захираҳои виртуалии худ, агар онҳо дар минтақаҳои гуногун ҷойгир бошанд, пас шумо дар муттаҳид кардани ҳама рӯйдодҳо ва таҳлили ягонаи онҳо душворӣ мекашед, ки барои бартараф кардани онҳо шумо бояд ба ҳилаҳои гуногун муроҷиат кунед, масалан Рамзи шахсии худро барои AWS Lambda эҷод кунед, ки рӯйдодҳоро байни минтақаҳо интиқол медиҳад. Azure ин мушкилот надорад - механизми сабти фаъолияти он тамоми фаъолиятҳоро дар тамоми созмон бидуни маҳдудият пайгирӣ мекунад. Ин ба AWS Security Hub дахл дорад, ки ба наздикӣ аз ҷониби Amazon барои муттаҳид кардани бисёр вазифаҳои амниятӣ дар як маркази ягонаи амният таҳия шудааст, аммо танҳо дар дохили минтақаи он, аммо барои Русия аҳамият надорад. Azure Маркази Амнияти худро дорад, ки бо маҳдудиятҳои минтақавӣ вобаста нест ва дастрасӣ ба тамоми хусусиятҳои амниятии платформаи абриро таъмин мекунад. Ғайр аз он, барои дастаҳои гуногуни маҳаллӣ он метавонад маҷмӯи қобилияти муҳофизатии худро, аз ҷумла рӯйдодҳои амниятии аз ҷониби онҳо идорашавандаро таъмин намояд. AWS Security Hub ҳоло ҳам дар роҳи шабеҳ шудан ба Маркази Амнияти Azure мебошад. Аммо ба он магасеро дар атрафшон илова кардан лозим аст - шумо метавонед аз Azure бисёр чизҳоеро, ки қаблан дар AWS тавсиф шуда буданд, ғунҷонед, аммо ин танҳо барои Azure AD, Azure Monitor ва Маркази Амнияти Azure анҷом дода мешавад. Ҳама механизмҳои дигари амнияти Azure, аз ҷумла таҳлили рӯйдодҳои амниятӣ, ҳанӯз ба таври қулай идора карда намешаванд. Мушкилот қисман аз ҷониби API ҳал карда мешавад, ки тамоми хидматҳои Microsoft Azure-ро фаро мегирад, аммо ин аз шумо кӯшиши иловагиро талаб мекунад, то абри худро бо SOC-и худ ва ҳузури мутахассисони соҳибихтисос (воқеан, мисли ҳама гуна SIEM-и дигар, ки бо абр кор мекунад) ҳамроҳ шавед. APIs). Баъзе SIEM-ҳо, ки баъдтар баррасӣ хоҳанд шуд, аллакай Azure-ро дастгирӣ мекунанд ва метавонанд вазифаи мониторинги онро автоматӣ кунанд, аммо он инчунин мушкилоти худро дорад - на ҳама онҳо метавонанд ҳамаи гузоришҳои Azure-ро ҷамъ оваранд.
Ҷамъоварӣ ва мониторинги рӯйдодҳо дар Azure бо истифода аз хидмати Azure Monitor таъмин карда мешавад, ки воситаи асосии ҷамъоварӣ, нигоҳдорӣ ва таҳлили маълумот дар абри Microsoft ва захираҳои он - анбори Git, контейнерҳо, мошинҳои виртуалӣ, барномаҳо ва ғайра мебошад. Ҳама маълумоте, ки аз ҷониби Azure Monitor ҷамъоварӣ шудааст, ба ду категория тақсим мешавад - ченакҳо, ки дар вақти воқеӣ ҷамъоварӣ шудаанд ва нишондиҳандаҳои асосии самаранокии абри Azure-ро тавсиф мекунанд ва гузоришҳо, ки дорои маълумоте мебошанд, ки дар сабтҳо ташкил карда шудаанд, ки ҷанбаҳои муайяни фаъолияти захираҳо ва хидматҳои Azure-ро тавсиф мекунанд. Илова бар ин, бо истифода аз API Data Collector, хидмати Monitor Azure метавонад аз ҳама манбаи REST маълумот ҷамъоварӣ кунад, то сенарияҳои мониторинги худро созад.
Инҳоянд чанд манбаи рӯйдодҳои амниятӣ, ки Azure ба шумо пешниҳод мекунад ва шумо метавонед тавассути Azure Portal, CLI, PowerShell ё REST API дастрасӣ пайдо кунед (ва баъзеҳо танҳо тавассути Azure Monitor/Insight API):
- Сабти фаъолият - ин сабт ба саволҳои классикии "кӣ", "чӣ" ва "кай" дар бораи ҳама гуна амалиёти навиштан (PUT, POST, DELETE) дар захираҳои абрӣ ҷавоб медиҳад. Ҳодисаҳои марбут ба дастрасии хондан (GET) ба ин гузориш дохил карда нашудаанд, ба мисли як қатор дигар.
- Гузоришҳои ташхисӣ - дорои маълумот дар бораи амалиёт бо манбаи мушаххасе, ки ба обунаи шумо дохил карда шудаанд.
- Ҳисоботи Azure AD - ҳам фаъолияти корбар ва ҳам системаи марбут ба идоракунии гурӯҳ ва корбарро дар бар мегирад.
- Windows Event Log ва Linux Syslog - дорои рӯйдодҳои мошинҳои виртуалии дар абр ҷойгиршуда.
- Метрикҳо - телеметрияро дар бораи фаъолият ва вазъи саломатии хидматҳо ва захираҳои абрии шумо дар бар мегирад. Ҳар дақиқа чен карда, захира карда мешавад. дар давоми 30 рӯз.
- Гузоришҳои ҷараёни гурӯҳи амнияти шабакавӣ - дорои маълумот дар бораи рӯйдодҳои амнияти шабакавӣ, ки бо истифода аз хидмати Network Watcher ва мониторинги захираҳо дар сатҳи шабака ҷамъ оварда шудаанд.
- Гузоришҳои нигаҳдорӣ - дорои рӯйдодҳои марбут ба дастрасӣ ба анборҳо.
Барои мониторинг, шумо метавонед SIEM-ҳои беруна ё Monitor Azure дарунсохт ва васеъшавии онро истифода баред. Мо дертар дар бораи системаҳои идоракунии рӯйдодҳои амнияти иттилоотӣ сӯҳбат хоҳем кард, аммо ҳоло биёед бубинем, ки худи Azure ба мо барои таҳлили додаҳо дар заминаи амният чӣ пешниҳод мекунад. Экрани асосӣ барои ҳама чизҳои марбут ба амният дар Azure Monitor панели Log Analytics Амният ва Аудит мебошад (версияи ройгон миқдори маҳдуди нигаҳдории рӯйдодҳоро дар тӯли як ҳафта дастгирӣ мекунад). Ин панели идоракунӣ ба 5 самти асосӣ тақсим шудааст, ки омори мухтасари рӯйдодҳоро дар муҳити абре, ки шумо истифода мебаред, тасаввур мекунанд:
- Доменҳои амниятӣ - нишондиҳандаҳои калидии миқдории марбут ба амнияти иттилоотӣ - шумораи ҳодисаҳо, шумораи гиреҳҳои вайроншуда, гиреҳҳои навсозӣ, рӯйдодҳои амнияти шабака ва ғайра.
- Масъалаҳои назаррас - шумора ва аҳамияти масъалаҳои фаъоли амнияти иттилоотиро нишон медиҳад
- Муайянкунӣ - намунаҳои ҳамлаҳои зидди шумо истифодашударо нишон медиҳад
- Таҳлили таҳдид - маълумоти ҷуғрофиро дар гиреҳҳои беруна, ки ба шумо ҳамла мекунанд, нишон медиҳад
- Дархостҳои умумии амниятӣ - дархостҳои маъмулӣ, ки ба шумо барои беҳтар назорат кардани амнияти иттилоотии шумо кӯмак мекунанд.
Васеъкуниҳои Azure Monitor аз Azure Key Vault (ҳифзи калидҳои криптографӣ дар абр), Арзёбии нармафзори зараровар (таҳлили муҳофизат аз коди зараровар дар мошинҳои виртуалӣ), Azure Application Gateway Analytics (таҳлили, аз ҷумла, гузоришҳои девори абрӣ) ва ғайра мебошанд. . Ин абзорҳо, ки бо қоидаҳои муайяни коркарди рӯйдодҳо ғанӣ гардонида шудаанд, ба шумо имкон медиҳанд, ки ҷанбаҳои гуногуни фаъолияти хидматҳои абрӣ, аз ҷумла амниятро тасаввур кунед ва инҳирофҳои муайянро аз кор муайян кунед. Аммо, чунон ки аксар вақт рӯй медиҳад, ҳама гуна функсияҳои иловагӣ обунаи мувофиқи пулакиро талаб мекунанд, ки аз шумо сармоягузориҳои молиявии мувофиқро талаб мекунад, ки шумо бояд пешакӣ ба нақша гиред.
Azure дорои як қатор қобилиятҳои дохилии мониторинги таҳдидҳо мебошад, ки ба Azure AD, Azure Monitor ва Маркази Амнияти Azure муттаҳид шудаанд. Дар байни онҳо, масалан, ошкор кардани ҳамкории мошинҳои виртуалӣ бо IP-ҳои маълуми зараровар (бо сабаби мавҷудияти интегратсия бо хидматҳои Threat Intelligence аз Microsoft), ошкор кардани нармафзори зараровар дар инфрасохтори абрӣ тавассути қабули ҳушдорҳо аз мошинҳои виртуалии дар абр ҷойгиршуда, парол. тахмин задани ҳамлаҳо ” ба мошинҳои виртуалӣ, осебпазирӣ дар конфигуратсияи системаи мушаххаси корбар, ворид шудан ба система аз анонимайзерҳо ё гиреҳҳои сироятшуда, ихроҷи ҳисобҳо, ворид шудан ба система аз маконҳои ғайриоддӣ ва ғайра. Azure имрӯз яке аз чанд провайдерҳои абрист, ки ба шумо қобилиятҳои дарунсохташудаи Таҳлили Таҳдидро барои ғанӣ гардонидани рӯйдодҳои амнияти иттилоотии ҷамъшуда пешниҳод мекунад.
Тавре ки дар боло зикр гардид, функсияҳои амниятӣ ва дар натиҷа, рӯйдодҳои амниятие, ки тавассути он тавлид мешаванд, барои ҳама корбарон баробар дастрас нестанд, аммо обунаи муайянеро талаб мекунад, ки функсияи заруриро дар бар мегирад, ки рӯйдодҳои мувофиқро барои мониторинги амнияти иттилоотӣ тавлид мекунад. Масалан, баъзе аз вазифаҳое, ки дар параграфи қаблӣ барои мониторинги аномалияҳо дар ҳисобҳо тавсиф шудаанд, танҳо дар иҷозатномаи мукофоти P2 барои хидмати Azure AD дастрасанд. Бе он, шумо, ба монанди AWS, бояд рӯйдодҳои амнияти ҷамъшударо "дастӣ" таҳлил кунед. Ва инчунин, вобаста ба намуди иҷозатномаи Azure AD, на ҳама рӯйдодҳо барои таҳлил дастрас хоҳанд буд.
Дар портали Azure, шумо метавонед ҳарду дархостҳои ҷустуҷӯиро барои гузоришҳои ҷолиби шумо идора кунед ва панелҳои идоракуниро барои визуализатсияи нишондиҳандаҳои асосии амнияти иттилоотӣ насб кунед. Илова бар ин, дар он ҷо шумо метавонед васеъкуниҳои Azure Monitor-ро интихоб кунед, ки ба шумо имкон медиҳанд, ки функсияҳои гузоришҳои Azure Monitor васеъ карда шаванд ва аз нуқтаи назари амният таҳлили амиқтари рӯйдодҳо гиред.
Агар ба шумо на танҳо қобилияти кор бо гузоришҳо, балки як маркази ҳамаҷонибаи амниятӣ барои платформаи абрии Azure-и худ, аз ҷумла идоракунии сиёсати амнияти иттилоотӣ лозим бошад, пас шумо метавонед дар бораи зарурати кор бо Маркази Амнияти Azure, ки аксари вазифаҳои муфиди он барои баъзе пул дастрасанд, масалан, ошкор кардани таҳдид, мониторинги берун аз Azure, арзёбии мувофиқат ва ғайра. (дар версияи ройгон, шумо танҳо ба арзёбии амният ва тавсияҳо барои рафъи мушкилоти муайяншуда дастрасӣ доред). Он тамоми масъалаҳои амниятро дар як ҷо муттаҳид мекунад. Дарвоқеъ, мо метавонем дар бораи сатҳи баландтари амнияти иттилоотӣ аз он ки Azure Monitor ба шумо пешниҳод мекунад, сӯҳбат кунем, зеро дар ин ҳолат маълумоте, ки дар тамоми корхонаи абрии шумо ҷамъоварӣ шудааст, бо истифода аз сарчашмаҳои зиёд, аз қабили Azure, Office 365, Microsoft CRM онлайн, Microsoft Dynamics AX ғанӣ гардонида мешавад. , outlook .com, MSN.com, Microsoft Digital Crimes Unit (DCU) ва Microsoft Security Response Center (MSRC), ки дар онҳо алгоритмҳои гуногуни мураккаби омӯзиши мошинсозӣ ва таҳлили рафтор ҷойгир шудаанд, ки дар ниҳоят бояд самаранокии ошкор ва вокуниш ба таҳдидҳоро беҳтар созанд. .
Azure инчунин SIEM-и худро дорад - он дар аввали соли 2019 пайдо шуд. Ин Azure Sentinel аст, ки ба маълумоти Azure Monitor такя мекунад ва инчунин метавонад бо ҳамгироӣ кунад. ҳалли бехатарии беруна (масалан, NGFW ё WAF), ки рӯйхати онҳо доимо меафзояд. Илова бар ин, тавассути ҳамгироии API-и Microsoft Graph Security, шумо имкон доред, ки каналҳои худии Threat Intelligence-ро ба Sentinel пайваст кунед, ки қобилиятҳои таҳлили ҳодисаҳоро дар абри Azure-и худ ғанӣ мегардонад. Гуфтан мумкин аст, ки Azure Sentinel аввалин SIEM "модарӣ" аст, ки аз провайдерҳои абрӣ пайдо шудааст (ҳамон Splunk ё ELK, ки дар абр ҷойгир карда мешавад, масалан, AWS, то ҳол аз ҷониби провайдерҳои анъанавии хидматрасонии абрӣ таҳия нашудаанд). Маркази Azure Sentinel ва Амният метавонад SOC барои абри Azure номида шавад ва метавонад бо онҳо (бо қайдҳои муайян) маҳдуд карда шавад, агар шумо дигар инфрасохтор надошта бошед ва шумо тамоми захираҳои компютерии худро ба абр интиқол дода бошед ва он Microsoft абрии Azure хоҳад буд.
Аммо азбаски имкониятҳои дарунсохташудаи Azure (ҳатто агар шумо ба Sentinel обуна шуда бошед) аксар вақт барои мониторинги амнияти иттилоотӣ ва ҳамгироии ин раванд бо дигар манбаъҳои рӯйдодҳои амниятӣ (ҳам абрӣ ва ҳам дохилӣ) кофӣ нестанд. бояд содироти маълумоти ҷамъовардашуда ба системаҳои беруна, ки метавонад ба онҳо SIEM дохил шавад. Ин ҳам бо истифода аз API ва ҳам бо истифода аз васеъшавии махсус анҷом дода мешавад, ки ҳоло расман танҳо барои SIEM-ҳои зерин дастрасанд - Splunk (Azure Monitor Add-On for Splunk), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight ва ELK. То ба наздикӣ, чунин SIEMҳо зиёд буданд, аммо аз 1 июни соли 2019, Microsoft дастгирии Асбоби Integration Log Azure (AzLog) -ро қатъ кард, ки дар ибтидои мавҷудияти Azure ва дар сурати мавҷуд набудани стандартизатсияи муқаррарии кор бо гузоришҳо (Azure) Монитор ҳанӯз вуҷуд надошт) ба осонӣ ҳамгироии SIEM-и берунаро бо абри Microsoft фароҳам овард. Ҳоло вазъ тағйир ёфт ва Microsoft платформаи Azure Event Hub-ро ҳамчун воситаи асосии ҳамгироӣ барои дигар SIEMҳо тавсия медиҳад. Бисёриҳо аллакай ин гуна ҳамгироиро амалӣ кардаанд, аммо эҳтиёт бошед - онҳо на ҳама гузоришҳои Azure, балки танҳо баъзеи онҳоро сабт мекунанд (ба ҳуҷҷатҳои SIEM-и худ нигаред).
Дар анҷом додани як экскурсияи мухтасар ба Azure, ман мехоҳам як тавсияи умумӣ дар бораи ин хидмати абрӣ диҳам - пеш аз он ки шумо дар бораи функсияҳои мониторинги амнияти иттилоотӣ дар Azure чизе нагӯед, шумо бояд онҳоро бодиққат танзим кунед ва санҷед, ки онҳо дар ҳуҷҷатҳо ва чунон ки мушовирон ба шумо Microsoft гуфтанд (ва онҳо метавонанд дар бораи фаъолияти функсияҳои Azure назари гуногун дошта бошанд). Агар шумо захираҳои молиявӣ дошта бошед, шумо метавонед маълумоти зиёди муфидро аз Azure дар робита ба мониторинги амнияти иттилоотӣ фишурда кунед. Агар захираҳои шумо маҳдуд бошанд, пас, ба мисли AWS, шумо бояд танҳо ба қувваи худ ва маълумоти хоме, ки Azure Monitor ба шумо медиҳад, такя кунед. Ва дар хотир доред, ки бисёре аз вазифаҳои мониторинг пулро талаб мекунанд ва беҳтар аст, ки бо сиёсати нархгузорӣ пешакӣ шинос шавед. Масалан, шумо метавонед 31 рӯз маълумотро то ҳадди аксар 5 ГБ барои як муштарӣ нигоҳ доред - аз ин зиёд шумо пули иловагиро талаб мекунад (тақрибан $2+ барои нигоҳ доштани ҳар як ГБ иловагӣ аз муштарӣ ва $0,1 барои нигоҳ доштани 1 ГБ ҳар моҳи иловагӣ). Кор бо телеметрия ва метрикаи барнома метавонад инчунин маблағҳои иловагӣ, инчунин кор бо огоҳиҳо ва огоҳиҳоро талаб кунад (маҳдудияти муайян ройгон дастрас аст, ки метавонад барои эҳтиёҷоти шумо кофӣ набошад).
Мисол: Мониторинги амнияти иттилоотӣ дар IaaS дар асоси Google Cloud Platform
Google Cloud Platform дар муқоиса бо AWS ва Azure як ҷавон ба назар мерасад, аммо ин қисман хуб аст. Баръакси AWS, ки қобилиятҳои худ, аз ҷумла амниятро афзоиш дод, тадриҷан бо марказизатсия мушкилот пайдо мекунад; GCP, ба монанди Azure, ба таври мутамарказ беҳтар идора карда мешавад, ки хатогиҳо ва вақти татбиқро дар тамоми корхона кам мекунад. Аз нуқтаи назари амният, GCP, аҷиб аст, ки байни AWS ва Azure аст. Вай инчунин барои тамоми созмон сабти ягонаи чорабиниҳо дорад, аммо он нопурра аст. Баъзе функсияҳо ҳоло ҳам дар реҷаи бета ҳастанд, аммо тадриҷан ин норасоӣ бояд бартараф карда шавад ва GCP як платформаи баркамолтар аз ҷиҳати мониторинги амнияти иттилоотӣ мегардад.
Воситаи асосии сабти рӯйдодҳо дар GCP ин Stackdriver Logging (монанди Azure Monitor) мебошад, ки ба шумо имкон медиҳад рӯйдодҳоро дар тамоми инфрасохтори абрии худ (инчунин аз AWS) ҷамъоварӣ кунед. Аз нуқтаи назари амният дар GCP, ҳар як созмон, лоиҳа ё ҷузвдон дорои чаҳор гузориш аст:
- Фаъолияти маъмурӣ - ҳамаи рӯйдодҳои марбут ба дастрасии маъмуриро дар бар мегирад, масалан, сохтани мошини виртуалӣ, тағир додани ҳуқуқи дастрасӣ ва ғайра. Ин гузориш, новобаста аз хоҳиши шумо, ҳамеша навишта мешавад ва маълумоти онро барои 400 рӯз нигоҳ медорад.
- Дастрасии додаҳо - дорои ҳама рӯйдодҳои марбут ба кор бо додаҳо аз ҷониби корбарони абр (офариниш, тағир додан, хондан ва ғайра). Бо нобаёнӣ, ин гузориш навишта нашудааст, зеро ҳаҷми он хеле зуд варам мекунад. Аз хамин сабаб мухлати нигохдории он хамагй 30 руз аст. Илова бар ин, дар ин журнал на ҳама чиз навишта шудааст. Масалан, рӯйдодҳои марбут ба захираҳое, ки ба ҳама корбарон дастрасанд ё бидуни ворид шудан ба GCP дастрасанд, ба он навишта намешаванд.
- Ҳодисаи система - дорои рӯйдодҳои системавӣ, ки ба корбарон алоқаманд нестанд, ё амалҳои маъмуре, ки конфигуратсияи захираҳои абрро тағир медиҳад. Он ҳамеша навишта мешавад ва барои 400 рӯз нигоҳ дошта мешавад.
- Шаффофияти дастрасӣ як намунаи беназири гузоришест, ки тамоми амалҳои кормандони Google (вале на барои ҳама хидматҳои GCP), ки ба инфрасохтори шумо ҳамчун як қисми вазифаҳои кори худ дастрасӣ доранд, сабт мекунад. Ин гузориш барои 400 рӯз нигоҳ дошта мешавад ва барои ҳар як муштарии GCP дастрас нест, аммо танҳо дар сурати иҷро шудани як қатор шартҳо (ё дастгирии сатҳи Gold ё Platinum, ё мавҷудияти 4 нақши як намуди муайян ҳамчун қисми дастгирии корпоративӣ). Функсияи шабеҳ, масалан, дар Office 365 - Lockbox низ мавҷуд аст.
Намунаи гузориш: Дастрасӣ ба шаффофият
{
insertId: "abcdefg12345"
jsonPayload: {
@type: "type.googleapis.com/google.cloud.audit.TransparencyLog"
location: {
principalOfficeCountry: "US"
principalEmployingEntity: "Google LLC"
principalPhysicalLocationCountry: "CA"
}
product: [
0: "Cloud Storage"
]
reason: [
detail: "Case number: bar123"
type: "CUSTOMER_INITIATED_SUPPORT"
]
accesses: [
0: {
methodName: "GoogleInternal.Read"
resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
}
]
}
logName: "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
operation: {
id: "12345xyz"
}
receiveTimestamp: "2017-12-18T16:06:37.400577736Z"
resource: {
labels: {
project_id: "1234567890"
}
type: "project"
}
severity: "NOTICE"
timestamp: "2017-12-18T16:06:24.660001Z"
}Дастрасӣ ба ин гузоришҳо бо чанд роҳ имконпазир аст (ба ҳамон тарзе, ки қаблан баррасӣ шуда буд Azure ва AWS) - тавассути интерфейси Log Viewer, тавассути API, тавассути Google Cloud SDK ё тавассути саҳифаи Фаъолияти лоиҳаи шумо, ки барои он шумо ба вокеахо шавку хавас доранд. Ба ҳамин тариқ, онҳо метавонанд ба ҳалли берунӣ барои таҳлили иловагӣ содир карда шаванд. Охирин тавассути содироти гузоришҳо ба BigQuery ё Cloud Pub/Sub анбор анҷом дода мешавад.
Илова ба Stackdriver Logging, платформаи GCP инчунин функсияи Stackdriver Monitoring-ро пешниҳод мекунад, ки ба шумо имкон медиҳад ченакҳои калидӣ (иҷро, MTBF, саломатии умумӣ ва ғ.)-и хидматҳо ва барномаҳои абриро назорат кунед. Маълумоти коркардшуда ва визуалӣ метавонад ёфтани мушкилотро дар инфрасохтори абрии шумо, аз ҷумла дар заминаи амният осонтар кунад. Аммо бояд қайд кард, ки ин функсия дар заминаи амнияти иттилоотӣ чандон бой нахоҳад буд, зеро имрӯз GCP аналоги ҳамон AWS GuardDuty надорад ва дар байни ҳама рӯйдодҳои ба қайд гирифташуда ҳодисаҳои бадро муайян карда наметавонад (Google ошкор кардани таҳдиди ҳодисаҳоро таҳия кардааст, аммо он то ҳол дар марҳилаи бета таҳия аст ва дар бораи фоиданокии он сухан гуфтан барвақт аст). Мониторинги Stackdriver метавонад ҳамчун система барои ошкор кардани аномалияҳо истифода шавад, ки баъдан барои пайдо кардани сабабҳои пайдоиши онҳо тафтиш карда мешавад. Аммо бо дарназардошти набудани кадрҳои соҳибихтисос дар соҳаи амнияти иттилоотии GCP дар бозор, ин вазифа дар айни замон душвор ба назар мерасад.
Инчунин бояд рӯйхати баъзе модулҳои амнияти иттилоотиро пешниҳод кунем, ки онҳоро дар дохили абри GCP-и худ истифода бурдан мумкин аст ва ба он чизе, ки AWS пешниҳод мекунад, монанд аст:
- Маркази Фармони абрии Амният аналоги AWS Security Hub ва Маркази Azure Security мебошад.
- Cloud DLP - Кашф ва таҳрири худкор (масалан, ниқоб кардани) додаҳои дар абр ҷойгиршуда бо истифода аз зиёда аз 90 сиёсати таснифоти пешакӣ муайяншуда.
- Cloud Scanner як сканер барои осебпазириҳои маълум (XSS, Flash Injection, китобхонаҳои часпак ва ғайра) дар App Engine, Compute Engine ва Google Kubernetes мебошад.
- Абри IAM - Назорати дастрасӣ ба тамоми захираҳои GCP.
- Идентификатсияи абрӣ - Корбари GCP, ҳисобҳои дастгоҳ ва барномаҳоро аз як консол идора кунед.
- Cloud HSM - ҳифзи калидҳои криптографӣ.
- Хадамоти идоракунии калидҳои абрӣ - идоракунии калидҳои криптографӣ дар GCP.
- Назорати хидматрасонии VPC - Дар атрофи захираҳои GCP-и худ периметри бехатар эҷод кунед, то онҳоро аз ихроҷ муҳофизат кунед.
- Titan Security Key - муҳофизат аз фишинг.
Бисёре аз ин модулҳо рӯйдодҳои бехатариро тавлид мекунанд, ки метавонанд ба анбори BigQuery барои таҳлил ё содирот ба системаҳои дигар, аз ҷумла SIEM фиристода шаванд. Тавре ки дар боло зикр гардид, GCP як платформаи фаъолона рушдёбанда аст ва Google ҳоло як қатор модулҳои нави амнияти иттилоотиро барои платформаи худ таҳия мекунад. Дар байни онҳо Detection таҳдиди рӯйдодҳо (ҳоло дар бета дастрас аст), ки гузоришҳои Stackdriver-ро дар ҷустуҷӯи осори фаъолияти беиҷозат скан мекунад (ба аналоги GuardDuty дар AWS) ё Policy Intelligence (дар алфа дастрас аст), ки ба шумо имкон медиҳад, ки сиёсатҳои интеллектуалиро таҳия кунед. дастрасӣ ба захираҳои GCP.
Ман шарҳи мухтасари қобилиятҳои мониторинги дарунсохтро дар платформаҳои абрии маъмул таҳия кардам. Аммо оё шумо мутахассисоне доред, ки қодиранд бо гузоришҳои провайдери "хом" IaaS кор кунанд (на ҳама барои харидани қобилиятҳои пешрафтаи AWS ё Azure ё Google омодаанд)? Илова бар ин, бисёриҳо бо мақоли «бовар кунед, вале тафтиш кунед» шиносанд, ки дар соҳаи амният аз ҳарвақта дурусттар аст. Шумо ба қобилиятҳои дарунсохташудаи провайдери абр, ки ба шумо рӯйдодҳои амнияти иттилоотиро мефиристанд, то чӣ андоза эътимод доред? То чӣ андоза онҳо ба амнияти иттилоотӣ таваҷҷӯҳ доранд?
Баъзан зарур аст, ки ба қарорҳои мониторинги инфрасохтори абрии қабати боло нигаред, ки метавонанд амнияти абрии дарунсохтро мукаммал созанд ва баъзан чунин қарорҳо ягона имкони гирифтани фаҳмиш дар бораи амнияти додаҳо ва барномаҳои дар абр ҷойгиршуда мебошанд. Илова бар ин, онҳо осонтаранд, зеро онҳо тамоми вазифаҳои таҳлили гузоришҳои заруриро, ки аз ҷониби хидматҳои абрии гуногун аз провайдерҳои абрии гуногун тавлид шудаанд, ба дӯш мегиранд. Намунаи чунин ҳалли қабати болоӣ Cisco Stealthwatch Cloud мебошад, ки ба як вазифа - мониторинги аномалияҳои амнияти иттилоотӣ дар муҳити абрӣ, аз ҷумла на танҳо Amazon AWS, Microsoft Azure ва Google Cloud Platform, балки абрҳои хусусӣ нигаронида шудааст.
Мисол: Мониторинги амнияти иттилоотӣ бо истифода аз Stealthwatch Cloud
AWS платформаи чандири компютериро таъмин мекунад, аммо ин чандирӣ барои ширкатҳо хатогиҳоеро осон мекунад, ки боиси мушкилоти амниятӣ мешаванд. Ва модели муштараки амнияти иттилоотӣ танҳо ба ин мусоидат мекунад. Иҷрои нармафзор дар абр бо осебпазириҳои номаълум (бо онҳо метавонанд бо онҳо мубориза баранд, масалан, AWS Inspector ё GCP Cloud Scanner), паролҳои заиф, конфигуратсияҳои нодуруст, инсайдерҳо ва ғайра. Ва ҳамаи ин дар рафтори захираҳои абрӣ, ки метавонад аз ҷониби Cisco Stealthwatch Cloud назорат карда шавад, ки системаи мониторинги амнияти иттилоотӣ ва системаи ошкоркунии ҳамлаҳост, инъикос ёфтааст. абрҳои ҷамъиятӣ ва хусусӣ.
Яке аз хусусиятҳои асосии Cisco Stealthwatch Cloud қобилияти моделсозии объектҳо мебошад. Бо он, шумо метавонед модели нармафзорро (яъне симулятсияи наздики вақти воқеӣ) ҳар як захираи абрии худро эҷод кунед (фарқ надорад, ки ин AWS, Azure, GCP ё чизи дигар аст). Инҳо метавонанд серверҳо ва корбарон, инчунин намудҳои захираҳои ба муҳити абрии шумо хосро дар бар гиранд, ба монанди гурӯҳҳои амниятӣ ва гурӯҳҳои автоматӣ. Ин моделҳо ҷараёнҳои сохтории додаҳои аз ҷониби хидматҳои абрӣ пешниҳодшударо ҳамчун вуруд истифода мебаранд. Масалан, барои AWS инҳоянд VPC Flow Logs, AWS CloudTrail, AWS CloudWatch, AWS Config, AWS Inspector, AWS Lambda ва AWS IAM. Моделсозии объект ба таври худкор нақш ва рафтори ҳама гуна захираҳои шуморо кашф мекунад (шумо метавонед дар бораи профил кардани тамоми фаъолияти абрӣ сӯҳбат кунед). Ба ин нақшҳо дастгоҳи мобилии Android ё Apple, сервери Citrix PVS, сервери RDP, шлюзи почта, муштарии VoIP, сервери терминал, контролери домен ва ғайра дохил мешаванд. Он гоҳ мунтазам рафтори онҳоро назорат мекунад, то муайян кунад, ки кай рафтори хатарнок ё ба бехатарӣ таҳдидкунанда рух медиҳад. Шумо метавонед тахмини парол, ҳамлаҳои DDoS, ихроҷи маълумот, дастрасии ғайриқонунии дурдаст, фаъолияти коди зараровар, сканкунии осебпазирӣ ва дигар таҳдидҳоро муайян кунед. Масалан, ин аст он чизе ки ошкор кардани кӯшиши дастрасии дурдаст аз кишвари барои ташкилоти шумо (Кореяи Ҷанубӣ) ба кластери Кубернетес тавассути SSH чунин менамояд:
Ва ин аст, ки ихроҷи эҳтимолии иттилоот аз пойгоҳи додаҳои Postgress ба кишваре, ки мо бо он қаблан бо он ҳамкорӣ накардаем, чунин аст:
Ниҳоят, ин аст он чизе ки кӯшишҳои аз ҳад зиёди SSH ноком аз Чин ва Индонезия аз дастгоҳи дурдасти беруна чунинанд:
Ё, фарз кунед, ки намунаи сервер дар VPC, тибқи сиёсат, ҳеҷ гоҳ макони воридшавии дурдаст нест. Биёед минбаъд фарз кунем, ки ин компютер бо сабаби тағири хато дар сиёсати қоидаҳои брандмауэр воридшавии дурдастро аз сар гузаронидааст. Хусусияти моделсозии объект ин фаъолиятро ("Дастрасии ғайриоддии дурдаст") дар вақти воқеӣ ошкор ва гузориш медиҳад ва ба занги мушаххаси AWS CloudTrail, Azure Monitor ё GCP Stackdriver Logging API (аз ҷумла номи корбар, сана ва вақт, дар қатори тафсилоти дигар) ишора мекунад. ).ки боиси тагьир додани коидаи ITU гардид. Ва он гоҳ ин маълумот метавонад ба SIEM барои таҳлил фиристода шавад.
Имкониятҳои шабеҳ барои ҳама муҳити абрӣ, ки аз ҷониби Cisco Stealthwatch Cloud дастгирӣ мешаванд, татбиқ карда мешаванд:
Моделсозии объект як шакли беназири автоматикунонии амният аст, ки метавонад мушкилоти қаблан номаълумро бо одамон, равандҳо ё технологияи шумо ошкор кунад. Масалан, он ба шумо имкон медиҳад, ки дар байни чизҳои дигар, мушкилоти амниятро ошкор кунед, ба монанди:
- Оё касе дар нармафзоре, ки мо истифода мебарем, пушти дарвозаро кашф кардааст?
- Оё дар абри мо ягон нармафзор ё дастгоҳи сеюм вуҷуд дорад?
- Оё корбари ваколатдор аз имтиёзҳо сӯиистифода мекунад?
- Оё хатои конфигуратсия вуҷуд дошт, ки дастрасии дурдаст ё дигар истифодаи ғайримунтазираи захираҳоро иҷозат дод?
- Оё аз серверҳои мо ихроҷи маълумот вуҷуд дорад?
- Оё касе кӯшиш мекард, ки бо мо аз макони ғайримуқаррарии ҷуғрофӣ пайваст шавад?
- Оё абри мо бо рамзи зараровар сироят ёфтааст?
Ҳодисаи ошкоршудаи амнияти иттилоотӣ метавонад дар шакли чиптаи мувофиқ ба Slack, Cisco Spark, системаи идоракунии ҳодисаҳои PagerDuty фиристода шавад ва инчунин ба SIEM-ҳои гуногун, аз ҷумла Splunk ё ELK фиристода шавад. Барои ҷамъбаст, мо метавонем бигӯем, ки агар ширкати шумо стратегияи абрии бисёрқабатаро истифода барад ва бо ягон провайдери абр маҳдуд набошад, қобилияти мониторинги амнияти иттилоотии дар боло тавсифшуда, пас истифодаи Cisco Stealthwatch Cloud як варианти хуб барои ба даст овардани маҷмӯи ягонаи мониторинг мебошад. қобилиятҳо барои бозигарони пешбари абр - Amazon, Microsoft ва Google. Аз ҳама ҷолиб он аст, ки агар шумо нархҳои Stealthwatch Cloud-ро бо иҷозатномаҳои пешрафта барои мониторинги амнияти иттилоотӣ дар AWS, Azure ё GCP муқоиса кунед, маълум мешавад, ки ҳалли Cisco ҳатто аз қобилиятҳои дарунсохташудаи Amazon, Microsoft арзонтар хоҳад буд. ва ҳалли Google. Ин парадоксист, аммо ин дуруст аст. Ва чӣ қадаре ки абрҳо ва қобилиятҳои онҳоро истифода баред, бартарии ҳалли муттаҳидшуда ҳамон қадар аёнтар хоҳад буд.
Илова бар ин, Stealthwatch Cloud метавонад абрҳои хусусии дар ташкилоти шумо ҷойгиршударо назорат кунад, масалан, дар асоси контейнерҳои Kubernetes ё тавассути мониторинги ҷараёнҳои Netflow ё трафики шабакавӣ, ки тавассути оина дар таҷҳизоти шабакавӣ (ҳатто дар дохили кишвар истеҳсол шудааст), маълумоти AD ё серверҳои DNS ва ғайра гирифта мешавад. Ҳамаи ин маълумот бо маълумоти Threat Intelligence, ки аз ҷониби Cisco Talos, бузургтарин гурӯҳи ғайридавлатии муҳаққиқони таҳдидҳои киберамният дар ҷаҳон ҷамъоварӣ шудааст, ғанӣ гардонида мешавад.
Ин ба шумо имкон медиҳад, ки системаи ягонаи мониторингро ҳам барои абрҳои ҷамъиятӣ ва ҳам гибридӣ, ки ширкати шумо истифода мебарад, татбиқ кунед. Маълумоти ҷамъовардашуда пас аз он метавонад бо истифода аз қобилиятҳои дарунсохташудаи Stealthwatch Cloud таҳлил карда шавад ё ба SIEM-и шумо фиристода шавад (Splunk, ELK, SumoLogic ва чанде дигарон бо нобаёнӣ дастгирӣ карда мешаванд).
Бо ин, мо қисми якуми мақоларо ба итмом мерасонем, ки дар он ман абзорҳои дарунсохт ва берунии мониторинги амнияти иттилоотии платформаҳои IaaS/PaaS-ро баррасӣ кардам, ки ба мо имкон медиҳанд, ки ҳодисаҳои дар муҳити абрӣ рухдода зуд ошкор ва вокуниш нишон диҳанд. корхонаи мо интихоб кардааст. Дар қисми дуюм, мо мавзӯъро идома медиҳем ва имконоти мониторинги платформаҳои SaaS-ро бо истифода аз мисоли Salesforce ва Dropbox дида мебароем ва инчунин кӯшиш мекунем, ки ҳама чизро тавассути эҷоди як системаи ягонаи мониторинги амнияти иттилоотӣ барои провайдерҳои абрии гуногун ҷамъбаст ва якҷоя кунем.
Манбаъ: will.com