โปรโฮสต์ > บล็อก > การบริหาร > เหตุใดโปรแกรมป้องกันไวรัสแบบเดิมจึงไม่เหมาะกับระบบคลาวด์สาธารณะ แล้วฉันควรทำอย่างไร?

เหตุใดโปรแกรมป้องกันไวรัสแบบเดิมจึงไม่เหมาะกับระบบคลาวด์สาธารณะ แล้วฉันควรทำอย่างไร?

ผู้ใช้จำนวนมากขึ้นเรื่อยๆ กำลังนำโครงสร้างพื้นฐานด้านไอทีทั้งหมดของตนไปสู่ระบบคลาวด์สาธารณะ อย่างไรก็ตาม หากการควบคุมการป้องกันไวรัสไม่เพียงพอในโครงสร้างพื้นฐานของลูกค้า ก็อาจเกิดความเสี่ยงทางไซเบอร์ร้ายแรงได้ การปฏิบัติแสดงให้เห็นว่าไวรัสที่มีอยู่ถึง 80% อาศัยอยู่ในสภาพแวดล้อมเสมือนจริงอย่างสมบูรณ์แบบ ในโพสต์นี้ เราจะพูดถึงวิธีปกป้องทรัพยากรไอทีในระบบคลาวด์สาธารณะ และเหตุใดโปรแกรมป้องกันไวรัสแบบเดิมจึงไม่เหมาะกับวัตถุประสงค์เหล่านี้โดยสิ้นเชิง

เหตุใดโปรแกรมป้องกันไวรัสแบบเดิมจึงไม่เหมาะกับระบบคลาวด์สาธารณะ แล้วฉันควรทำอย่างไร?

ขั้นแรก เราจะบอกคุณว่าเรามาถึงแนวคิดที่ว่าเครื่องมือป้องกันไวรัสตามปกติไม่เหมาะกับระบบคลาวด์สาธารณะได้อย่างไร และจำเป็นต้องมีแนวทางอื่นในการปกป้องทรัพยากร

ประการแรก โดยทั่วไปผู้ให้บริการจะจัดเตรียมมาตรการที่จำเป็นเพื่อให้แน่ใจว่าแพลตฟอร์มคลาวด์ของตนได้รับการปกป้องในระดับสูง ตัวอย่างเช่น ที่ #CloudMTS เราวิเคราะห์การรับส่งข้อมูลเครือข่ายทั้งหมด ตรวจสอบบันทึกของระบบรักษาความปลอดภัยคลาวด์ของเรา และดำเนินการเพนเทสต์เป็นประจำ เซ็กเมนต์คลาวด์ที่จัดสรรให้กับไคลเอนต์แต่ละรายจะต้องได้รับการปกป้องอย่างปลอดภัยด้วย

ประการที่สอง ตัวเลือกคลาสสิกสำหรับการต่อสู้กับความเสี่ยงทางไซเบอร์คือการติดตั้งเครื่องมือป้องกันไวรัสและการจัดการแอนตี้ไวรัสบนเครื่องเสมือนแต่ละเครื่อง อย่างไรก็ตาม ด้วยเครื่องเสมือนจำนวนมาก แนวทางปฏิบัตินี้อาจไม่ได้ผลและต้องใช้ทรัพยากรการประมวลผลจำนวนมาก ดังนั้นจึงเป็นการโหลดโครงสร้างพื้นฐานของลูกค้าเพิ่มเติมและลดประสิทธิภาพโดยรวมของระบบคลาวด์ สิ่งนี้กลายเป็นข้อกำหนดเบื้องต้นที่สำคัญในการค้นหาแนวทางใหม่ในการสร้างการป้องกันไวรัสที่มีประสิทธิภาพสำหรับเครื่องเสมือนของลูกค้า

นอกจากนี้ โซลูชันแอนติไวรัสส่วนใหญ่ในตลาดไม่ได้รับการดัดแปลงเพื่อแก้ไขปัญหาการปกป้องทรัพยากรไอทีในสภาพแวดล้อมคลาวด์สาธารณะ ตามกฎแล้ว สิ่งเหล่านี้เป็นโซลูชัน EPP รุ่นเฮฟวี่เวท (Endpoint Protection Platforms) ซึ่งยิ่งไปกว่านั้นไม่ได้ให้การปรับแต่งที่จำเป็นในฝั่งไคลเอ็นต์ของผู้ให้บริการคลาวด์

เห็นได้ชัดว่าโซลูชันแอนติไวรัสแบบเดิมไม่เหมาะสำหรับการทำงานในระบบคลาวด์ เนื่องจากโซลูชันเหล่านี้โหลดโครงสร้างพื้นฐานเสมือนอย่างจริงจังในระหว่างการอัพเดตและสแกน และยังไม่มีการจัดการและการตั้งค่าตามบทบาทในระดับที่จำเป็น ต่อไป เราจะวิเคราะห์โดยละเอียดว่าเหตุใดระบบคลาวด์จึงต้องการแนวทางใหม่ในการป้องกันไวรัส

โปรแกรมป้องกันไวรัสในระบบคลาวด์สาธารณะควรทำอะไรได้บ้าง

ดังนั้น มาดูลักษณะเฉพาะของการทำงานในสภาพแวดล้อมเสมือนจริงกันดีกว่า:

ประสิทธิภาพของการอัปเดตและการสแกนจำนวนมากตามกำหนดเวลา หากเครื่องเสมือนจำนวนมากที่ใช้โปรแกรมป้องกันไวรัสแบบเดิมเริ่มการอัปเดตพร้อมกัน สิ่งที่เรียกว่าการอัปเดตแบบ "พายุ" จะเกิดขึ้นในระบบคลาวด์ พลังของโฮสต์ ESXi ที่โฮสต์เครื่องเสมือนหลายเครื่องอาจไม่เพียงพอที่จะจัดการกับงานที่คล้ายกันที่ทำงานตามค่าเริ่มต้น จากมุมมองของผู้ให้บริการคลาวด์ ปัญหาดังกล่าวอาจนำไปสู่การโหลดเพิ่มเติมบนโฮสต์ ESXi จำนวนหนึ่ง ซึ่งท้ายที่สุดจะส่งผลให้ประสิทธิภาพของโครงสร้างพื้นฐานเสมือนบนคลาวด์ลดลงในที่สุด เหนือสิ่งอื่นใด สิ่งนี้อาจส่งผลต่อประสิทธิภาพของเครื่องเสมือนของไคลเอนต์คลาวด์อื่น ๆ สถานการณ์ที่คล้ายกันอาจเกิดขึ้นเมื่อเริ่มการสแกนจำนวนมาก: การประมวลผลพร้อมกันโดยระบบดิสก์ของคำขอที่คล้ายกันจำนวนมากจากผู้ใช้ที่แตกต่างกันจะส่งผลเสียต่อประสิทธิภาพของระบบคลาวด์ทั้งหมด ด้วยความเป็นไปได้สูง ประสิทธิภาพระบบจัดเก็บข้อมูลที่ลดลงจะส่งผลกระทบต่อไคลเอนต์ทั้งหมด การโหลดอย่างกะทันหันดังกล่าวไม่ได้ทำให้ทั้งผู้ให้บริการหรือลูกค้าพอใจ เนื่องจากจะส่งผลกระทบต่อ “เพื่อนบ้าน” ในระบบคลาวด์ จากมุมมองนี้ โปรแกรมป้องกันไวรัสแบบเดิมอาจทำให้เกิดปัญหาใหญ่ได้

กักกันอย่างปลอดภัย หากตรวจพบไฟล์หรือเอกสารที่อาจติดไวรัสในระบบ ไฟล์หรือเอกสารนั้นจะถูกส่งไปยังการกักกัน แน่นอนว่าไฟล์ที่ติดไวรัสสามารถลบได้ทันที แต่บริษัทส่วนใหญ่มักไม่ยอมรับสิ่งนี้ ตามกฎแล้วโปรแกรมป้องกันไวรัสระดับองค์กรที่ไม่ได้ปรับให้ทำงานในระบบคลาวด์ของผู้ให้บริการจะมีโซนกักกันทั่วไป - วัตถุที่ติดไวรัสทั้งหมดจะตกอยู่ในนั้น เช่นที่พบในคอมพิวเตอร์ของผู้ใช้บริษัท ลูกค้าของผู้ให้บริการคลาวด์ "สด" ในส่วนของตนเอง (หรือผู้เช่า) เซ็กเมนต์เหล่านี้มีความทึบและแยกออกจากกัน: ลูกค้าไม่รู้จักกัน และแน่นอนว่าไม่เห็นว่าผู้อื่นโฮสต์อะไรอยู่ในคลาวด์ แน่นอนว่าการกักกันทั่วไปซึ่งผู้ใช้แอนตี้ไวรัสทุกคนในระบบคลาวด์จะเข้าถึงได้ อาจรวมถึงเอกสารที่มีข้อมูลที่เป็นความลับหรือความลับทางการค้าด้วย สิ่งนี้เป็นสิ่งที่ยอมรับไม่ได้สำหรับผู้ให้บริการและลูกค้า ดังนั้นจึงมีวิธีแก้ปัญหาได้เพียงวิธีเดียวเท่านั้น นั่นคือการกักกันส่วนบุคคลสำหรับลูกค้าแต่ละรายในส่วนของเขา โดยที่ทั้งผู้ให้บริการและลูกค้ารายอื่นไม่สามารถเข้าถึงได้

นโยบายความปลอดภัยส่วนบุคคล ลูกค้าแต่ละรายในระบบคลาวด์เป็นบริษัทที่แยกจากกัน ซึ่งแผนกไอทีเป็นผู้กำหนดนโยบายความปลอดภัยของตนเอง ตัวอย่างเช่น ผู้ดูแลระบบกำหนดกฎการสแกนและกำหนดเวลาการสแกนป้องกันไวรัส ดังนั้นแต่ละองค์กรจะต้องมีศูนย์ควบคุมของตนเองเพื่อกำหนดค่านโยบายการป้องกันไวรัส ในเวลาเดียวกัน การตั้งค่าที่ระบุไม่ควรส่งผลกระทบต่อไคลเอนต์คลาวด์อื่น ๆ และผู้ให้บริการควรสามารถตรวจสอบได้ว่า ตัวอย่างเช่น การอัปเดตแอนติไวรัสจะดำเนินการตามปกติสำหรับเครื่องเสมือนไคลเอนต์ทั้งหมด

องค์กรของการเรียกเก็บเงินและการออกใบอนุญาต โมเดลคลาวด์มีลักษณะเฉพาะคือความยืดหยุ่น และเกี่ยวข้องกับการจ่ายเฉพาะจำนวนทรัพยากรไอทีที่ลูกค้าใช้เท่านั้น หากมีความจำเป็น เช่น เนื่องจากฤดูกาล ปริมาณทรัพยากรก็จะเพิ่มขึ้นหรือลดลงได้อย่างรวดเร็ว ทั้งหมดนี้ขึ้นอยู่กับความต้องการพลังการประมวลผลในปัจจุบัน โปรแกรมป้องกันไวรัสแบบเดิมไม่ยืดหยุ่นนัก - ตามกฎแล้วลูกค้าจะซื้อใบอนุญาตเป็นเวลาหนึ่งปีสำหรับเซิร์ฟเวอร์หรือเวิร์กสเตชันตามจำนวนที่กำหนดไว้ล่วงหน้า ผู้ใช้ระบบคลาวด์จะตัดการเชื่อมต่อและเชื่อมต่อเครื่องเสมือนเพิ่มเติมเป็นประจำโดยขึ้นอยู่กับความต้องการในปัจจุบัน ดังนั้น ใบอนุญาตป้องกันไวรัสจะต้องรองรับรุ่นเดียวกัน

คำถามที่สองคือใบอนุญาตจะครอบคลุมถึงอะไรบ้าง โปรแกรมป้องกันไวรัสแบบดั้งเดิมได้รับอนุญาตจากเซิร์ฟเวอร์หรือเวิร์กสเตชันจำนวนหนึ่ง สิทธิ์ใช้งานตามจำนวนเครื่องเสมือนที่ได้รับการป้องกันนั้นไม่เหมาะสมโดยสิ้นเชิงกับโมเดลคลาวด์ ลูกค้าสามารถสร้างเครื่องเสมือนจำนวนเท่าใดก็ได้ตามสะดวกสำหรับเขาจากทรัพยากรที่มีอยู่ เช่น เครื่องห้าหรือสิบเครื่อง หมายเลขนี้ไม่คงที่สำหรับลูกค้าส่วนใหญ่ ในฐานะผู้ให้บริการ ไม่สามารถติดตามการเปลี่ยนแปลงได้ ไม่มีความเป็นไปได้ทางเทคนิคในการอนุญาตสิทธิ์โดย CPU: ไคลเอนต์ได้รับตัวประมวลผลเสมือน (vCPU) ซึ่งควรใช้สำหรับการอนุญาตสิทธิ์ ดังนั้น รูปแบบการป้องกันไวรัสใหม่ควรรวมความสามารถของลูกค้าในการกำหนดจำนวน vCPU ที่ต้องการซึ่งเขาจะได้รับใบอนุญาตป้องกันไวรัส

การปฏิบัติตามกฎหมาย จุดสำคัญ เนื่องจากโซลูชันที่ใช้ต้องรับประกันการปฏิบัติตามข้อกำหนดของหน่วยงานกำกับดูแล ตัวอย่างเช่น “ผู้พักอาศัย” บนคลาวด์มักจะทำงานกับข้อมูลส่วนบุคคล ในกรณีนี้ ผู้ให้บริการจะต้องมีส่วนคลาวด์ที่ผ่านการรับรองแยกต่างหากซึ่งสอดคล้องกับข้อกำหนดของกฎหมายข้อมูลส่วนบุคคลโดยสมบูรณ์ จากนั้นบริษัทต่างๆ ไม่จำเป็นต้อง “สร้าง” ระบบทั้งหมดสำหรับการทำงานกับข้อมูลส่วนบุคคลอย่างอิสระ: ซื้ออุปกรณ์ที่ผ่านการรับรอง เชื่อมต่อและกำหนดค่า และผ่านการรับรอง สำหรับการป้องกันทางไซเบอร์ของ ISPD ของไคลเอนต์ดังกล่าว โปรแกรมป้องกันไวรัสจะต้องปฏิบัติตามข้อกำหนดของกฎหมายรัสเซียและมีใบรับรอง FSTEC

เราพิจารณาเกณฑ์บังคับที่การป้องกันไวรัสในระบบคลาวด์สาธารณะต้องเป็นไปตาม ต่อไป เราจะแบ่งปันประสบการณ์ของเราเองในการปรับโซลูชันแอนติไวรัสให้ทำงานในระบบคลาวด์ของผู้ให้บริการ

คุณจะสร้างมิตรภาพระหว่างโปรแกรมป้องกันไวรัสและคลาวด์ได้อย่างไร?

ตามที่ประสบการณ์ของเราได้แสดงให้เห็นแล้ว การเลือกโซลูชันตามคำอธิบายและเอกสารประกอบก็เป็นสิ่งหนึ่ง แต่การนำไปปฏิบัติจริงในสภาพแวดล้อมคลาวด์ที่ใช้งานได้อยู่แล้วนั้นเป็นงานที่แตกต่างไปจากเดิมอย่างสิ้นเชิงในแง่ของความซับซ้อน เราจะบอกคุณว่าเราทำอะไรในทางปฏิบัติ และวิธีที่เราปรับใช้โปรแกรมป้องกันไวรัสให้ทำงานในระบบคลาวด์สาธารณะของผู้ให้บริการ ผู้จำหน่ายโซลูชั่นป้องกันไวรัสคือ Kaspersky ซึ่งมีผลงานรวมถึงโซลูชั่นป้องกันไวรัสสำหรับสภาพแวดล้อมคลาวด์ เราตัดสินใจเลือก “Kaspersky Security for Virtualization” (Light Agent)

ประกอบด้วยคอนโซล Kaspersky Security Center คอนโซลเดียว Light agent และเครื่องเสมือนความปลอดภัย (SVM, Security Virtual Machine) และเซิร์ฟเวอร์การรวม KSC

หลังจากที่เราศึกษาสถาปัตยกรรมของโซลูชัน Kaspersky และทำการทดสอบครั้งแรกร่วมกับวิศวกรของผู้จำหน่าย คำถามก็เกิดขึ้นเกี่ยวกับการบูรณาการบริการเข้ากับระบบคลาวด์ การดำเนินการครั้งแรกดำเนินการร่วมกันที่ไซต์คลาวด์ของมอสโก และนั่นคือสิ่งที่เราตระหนักได้

เพื่อลดปริมาณการรับส่งข้อมูลเครือข่าย จึงตัดสินใจวาง SVM บนโฮสต์ ESXi แต่ละตัวและ "เชื่อมโยง" SVM กับโฮสต์ ESXi ในกรณีนี้ light agent ของเครื่องเสมือนที่ได้รับการป้องกันจะเข้าถึง SVM ของโฮสต์ ESXi ที่แน่นอนที่เครื่องเหล่านั้นกำลังทำงานอยู่ มีการเลือกผู้เช่าฝ่ายบริหารแยกต่างหากสำหรับ KSC หลัก เป็นผลให้ KSC รองอยู่ในผู้เช่าของลูกค้าแต่ละรายและจัดการกับ KSC ที่เหนือกว่าที่อยู่ในส่วนการจัดการ โครงการนี้ช่วยให้คุณสามารถแก้ไขปัญหาที่เกิดขึ้นกับผู้เช่าของลูกค้าได้อย่างรวดเร็ว

นอกเหนือจากปัญหาในการยกระดับส่วนประกอบของโซลูชันป้องกันไวรัสแล้ว เรายังต้องเผชิญกับงานในการจัดการปฏิสัมพันธ์ของเครือข่ายผ่านการสร้าง VxLAN เพิ่มเติม และแม้ว่าเดิมทีโซลูชันนี้มีไว้สำหรับลูกค้าองค์กรที่มีคลาวด์ส่วนตัว แต่ด้วยความช่วยเหลือจากความเข้าใจด้านวิศวกรรมและความยืดหยุ่นทางเทคโนโลยีของ NSX Edge เราจึงสามารถแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับการแยกผู้เช่าและใบอนุญาตได้

เราทำงานอย่างใกล้ชิดกับวิศวกรของ Kaspersky ดังนั้นในกระบวนการวิเคราะห์สถาปัตยกรรมโซลูชันในแง่ของการโต้ตอบเครือข่ายระหว่างส่วนประกอบของระบบ พบว่านอกเหนือจากการเข้าถึงจากเอเจนต์แบบเบาไปยัง SVM แล้ว ข้อเสนอแนะก็จำเป็นเช่นกัน - จาก SVM ไปจนถึงเอเจนต์แบบเบา การเชื่อมต่อเครือข่ายนี้ไม่สามารถทำได้ในสภาพแวดล้อมที่มีผู้เช่าหลายราย เนื่องจากความเป็นไปได้ของการตั้งค่าเครือข่ายที่เหมือนกันของเครื่องเสมือนในผู้เช่าระบบคลาวด์ที่แตกต่างกัน ดังนั้น ตามคำขอของเรา เพื่อนร่วมงานจากผู้ขายจึงปรับปรุงกลไกการโต้ตอบของเครือข่ายระหว่าง light agent และ SVM ในแง่ของการขจัดความจำเป็นในการเชื่อมต่อเครือข่ายจาก SVM ไปยัง light agent

หลังจากปรับใช้และทดสอบโซลูชันบนไซต์ระบบคลาวด์ในมอสโกแล้ว เราก็จำลองโซลูชันดังกล่าวไปยังไซต์อื่น รวมถึงส่วนระบบคลาวด์ที่ได้รับการรับรองด้วย ขณะนี้มีให้บริการในทุกภูมิภาคของประเทศ

สถาปัตยกรรมของโซลูชันการรักษาความปลอดภัยของข้อมูลภายในกรอบของแนวทางใหม่

รูปแบบการทำงานทั่วไปของโซลูชันป้องกันไวรัสในสภาพแวดล้อมคลาวด์สาธารณะมีดังนี้:

เหตุใดโปรแกรมป้องกันไวรัสแบบเดิมจึงไม่เหมาะกับระบบคลาวด์สาธารณะ แล้วฉันควรทำอย่างไร?
แผนการทำงานของโซลูชันป้องกันไวรัสในสภาพแวดล้อมคลาวด์สาธารณะ #CloudMTS

ให้เราอธิบายคุณสมบัติของการทำงานขององค์ประกอบแต่ละส่วนของโซลูชันในระบบคลาวด์:

• คอนโซลเดียวที่ช่วยให้ไคลเอ็นต์จัดการระบบป้องกันจากส่วนกลาง: สแกน ควบคุมการอัปเดต และตรวจสอบโซนกักกัน คุณสามารถกำหนดค่านโยบายความปลอดภัยแต่ละรายการภายในเซ็กเมนต์ของคุณได้

ควรสังเกตว่าแม้ว่าเราจะเป็นผู้ให้บริการ แต่เราจะไม่ยุ่งเกี่ยวกับการตั้งค่าที่ลูกค้ากำหนด สิ่งเดียวที่เราทำได้คือรีเซ็ตนโยบายความปลอดภัยเป็นนโยบายมาตรฐานหากจำเป็นต้องกำหนดค่าใหม่ ตัวอย่างเช่น นี่อาจจำเป็นหากลูกค้าทำให้แน่นขึ้นหรือทำให้อ่อนลงอย่างมากโดยไม่ตั้งใจ บริษัทสามารถรับศูนย์ควบคุมที่มีนโยบายเริ่มต้นได้ตลอดเวลา ซึ่งสามารถกำหนดค่าได้อย่างอิสระ ข้อเสียของ Kaspersky Security Center คือปัจจุบันแพลตฟอร์มดังกล่าวใช้งานได้กับระบบปฏิบัติการ Microsoft เท่านั้น แม้ว่าเอเจนต์แบบไลท์เวทสามารถทำงานได้กับทั้งเครื่อง Windows และ Linux อย่างไรก็ตาม Kaspersky Lab สัญญาว่าในอนาคตอันใกล้นี้ KSC จะทำงานภายใต้ Linux OS หน้าที่ที่สำคัญอย่างหนึ่งของเคเอสซีคือความสามารถในการจัดการการกักกัน บริษัทลูกค้าแต่ละรายในระบบคลาวด์ของเรามีบริษัทส่วนตัว วิธีการนี้จะช่วยขจัดสถานการณ์ที่เอกสารที่ติดไวรัสปรากฏต่อสาธารณะโดยไม่ได้ตั้งใจ ดังที่อาจเกิดขึ้นในกรณีของโปรแกรมป้องกันไวรัสระดับองค์กรแบบคลาสสิกที่มีการกักกันทั่วไป

• สารแสง เนื่องจากเป็นส่วนหนึ่งของโมเดลใหม่นี้จึงมีการติดตั้ง Kaspersky Security agent แบบน้ำหนักเบาบนเครื่องเสมือนแต่ละเครื่อง ซึ่งช่วยลดความจำเป็นในการจัดเก็บฐานข้อมูลต่อต้านไวรัสบน VM แต่ละตัว ซึ่งจะช่วยลดจำนวนพื้นที่ดิสก์ที่ต้องการ บริการนี้รวมเข้ากับโครงสร้างพื้นฐานคลาวด์และทำงานผ่าน SVM ซึ่งจะเพิ่มความหนาแน่นของเครื่องเสมือนบนโฮสต์ ESXi และประสิทธิภาพของระบบคลาวด์ทั้งหมด light agent จะสร้างคิวงานสำหรับเครื่องเสมือนแต่ละเครื่อง: ตรวจสอบระบบไฟล์ หน่วยความจำ ฯลฯ แต่ SVM มีหน้าที่รับผิดชอบในการดำเนินการเหล่านี้ ซึ่งเราจะพูดถึงในภายหลัง เอเจนต์ยังทำหน้าที่เป็นไฟร์วอลล์ ควบคุมนโยบายความปลอดภัย ส่งไฟล์ที่ติดไวรัสไปยังการกักกัน และตรวจสอบ “สถานภาพ” โดยรวมของระบบปฏิบัติการที่ติดตั้ง ทั้งหมดนี้สามารถจัดการได้โดยใช้คอนโซลเดียวที่กล่าวถึงแล้ว

• การรักษาความปลอดภัยเครื่องเสมือน งานที่ต้องใช้ทรัพยากรมากทั้งหมด (การอัพเดตฐานข้อมูลป้องกันไวรัส การสแกนตามกำหนดเวลา) ได้รับการจัดการโดย Security Virtual Machine (SVM) ที่แยกต่างหาก เธอมีหน้าที่รับผิดชอบในการทำงานของกลไกป้องกันไวรัสและฐานข้อมูลที่ครบครัน โครงสร้างพื้นฐานด้านไอทีของบริษัทอาจรวมถึง SVM หลายรายการ วิธีการนี้จะเพิ่มความน่าเชื่อถือของระบบ - หากเครื่องหนึ่งล้มเหลวและไม่ตอบสนองเป็นเวลาสามสิบวินาที เจ้าหน้าที่จะเริ่มค้นหาเครื่องอื่นโดยอัตโนมัติ

• เซิร์ฟเวอร์การรวม KSC หนึ่งในองค์ประกอบของ KSC หลัก ซึ่งกำหนด SVM ให้กับเอเจนต์แสงตามอัลกอริทึมที่ระบุในการตั้งค่า และยังควบคุมความพร้อมใช้งานของ SVM อีกด้วย ดังนั้นโมดูลซอฟต์แวร์นี้จึงจัดให้มีการปรับสมดุลโหลดใน SVM ทั้งหมดของโครงสร้างพื้นฐานคลาวด์

อัลกอริทึมสำหรับการทำงานบนคลาวด์: ลดภาระบนโครงสร้างพื้นฐาน

โดยทั่วไปอัลกอริธึมการป้องกันไวรัสสามารถแสดงได้ดังนี้ เจ้าหน้าที่เข้าถึงไฟล์บนเครื่องเสมือนและตรวจสอบ ผลลัพธ์ของการตรวจสอบจะถูกจัดเก็บไว้ในฐานข้อมูลคำตัดสิน SVM แบบรวมศูนย์ทั่วไป (เรียกว่า Shared Cache) ซึ่งแต่ละรายการจะระบุตัวอย่างไฟล์ที่ไม่ซ้ำกัน วิธีการนี้ช่วยให้คุณมั่นใจได้ว่าไฟล์เดียวกันจะไม่ถูกสแกนหลายครั้งติดต่อกัน (เช่น หากเปิดไฟล์บนเครื่องเสมือนที่แตกต่างกัน) ไฟล์จะถูกสแกนซ้ำเฉพาะในกรณีที่มีการเปลี่ยนแปลงหรือเริ่มการสแกนด้วยตนเอง

เหตุใดโปรแกรมป้องกันไวรัสแบบเดิมจึงไม่เหมาะกับระบบคลาวด์สาธารณะ แล้วฉันควรทำอย่างไร?
การใช้งานโซลูชันป้องกันไวรัสในระบบคลาวด์ของผู้ให้บริการ

รูปภาพแสดงไดอะแกรมทั่วไปของการนำโซลูชันไปใช้ในระบบคลาวด์ Kaspersky Security Center หลักถูกปรับใช้ในโซนควบคุมของระบบคลาวด์ และ SVM แต่ละรายการถูกปรับใช้บนโฮสต์ ESXi แต่ละตัวโดยใช้เซิร์ฟเวอร์การรวม KSC (โฮสต์ ESXi แต่ละตัวมี SVM ของตัวเองแนบมาพร้อมกับการตั้งค่าพิเศษบน VMware vCenter Server) ลูกค้าทำงานในเซกเมนต์คลาวด์ของตนเอง ซึ่งมีเครื่องเสมือนพร้อมตัวแทนตั้งอยู่ มีการจัดการผ่านเซิร์ฟเวอร์ KSC แต่ละเครื่องที่อยู่รองจาก KSC หลัก หากจำเป็นต้องปกป้องเครื่องเสมือนจำนวนเล็กน้อย (สูงสุด 5 เครื่อง) คุณสามารถให้ไคลเอนต์เข้าถึงคอนโซลเสมือนของเซิร์ฟเวอร์ KSC เฉพาะพิเศษได้ การโต้ตอบบนเครือข่ายระหว่าง KSC ไคลเอ็นต์และ KSC หลัก ตลอดจน light agent และ SVM ดำเนินการโดยใช้ NAT ผ่านเราเตอร์เสมือนของไคลเอ็นต์ EdgeGW

ตามการประมาณการของเราและผลการทดสอบของเพื่อนร่วมงานที่ผู้จำหน่าย Light Agent จะช่วยลดภาระบนโครงสร้างพื้นฐานเสมือนของลูกค้าได้ประมาณ 25% (เมื่อเปรียบเทียบกับระบบที่ใช้ซอฟต์แวร์ป้องกันไวรัสแบบเดิม) โดยเฉพาะอย่างยิ่ง โปรแกรมป้องกันไวรัส Kaspersky Endpoint Security (KES) มาตรฐานสำหรับสภาพแวดล้อมทางกายภาพใช้เวลา CPU ของเซิร์ฟเวอร์เกือบสองเท่า (2,95%) เมื่อเทียบกับโซลูชันการจำลองเสมือนที่ใช้เอเจนต์แบบน้ำหนักเบา (1,67%)

เหตุใดโปรแกรมป้องกันไวรัสแบบเดิมจึงไม่เหมาะกับระบบคลาวด์สาธารณะ แล้วฉันควรทำอย่างไร?
ตารางเปรียบเทียบโหลด CPU

สถานการณ์ที่คล้ายกันเกิดขึ้นกับความถี่ในการเข้าถึงการเขียนดิสก์: สำหรับโปรแกรมป้องกันไวรัสแบบคลาสสิกคือ 1011 IOPS สำหรับโปรแกรมป้องกันไวรัสบนคลาวด์คือ 671 IOPS

เหตุใดโปรแกรมป้องกันไวรัสแบบเดิมจึงไม่เหมาะกับระบบคลาวด์สาธารณะ แล้วฉันควรทำอย่างไร?
กราฟเปรียบเทียบอัตราการเข้าถึงดิสก์

ประโยชน์ด้านประสิทธิภาพช่วยให้คุณรักษาเสถียรภาพของโครงสร้างพื้นฐานและใช้พลังการประมวลผลได้อย่างมีประสิทธิภาพมากขึ้น ด้วยการปรับให้เข้ากับการทำงานในสภาพแวดล้อมคลาวด์สาธารณะ โซลูชันนี้จะไม่ลดประสิทธิภาพการทำงานของคลาวด์ แต่จะตรวจสอบไฟล์จากส่วนกลางและดาวน์โหลดไฟล์อัปเดต และกระจายโหลด ซึ่งหมายความว่าในอีกด้านหนึ่ง ภัยคุกคามที่เกี่ยวข้องกับโครงสร้างพื้นฐานคลาวด์จะไม่พลาด ในทางกลับกัน ความต้องการทรัพยากรสำหรับเครื่องเสมือนจะลดลงโดยเฉลี่ย 25% เมื่อเทียบกับโปรแกรมป้องกันไวรัสแบบดั้งเดิม

ในแง่ของฟังก์ชันการทำงาน โซลูชันทั้งสองมีความคล้ายคลึงกันมาก: ด้านล่างเป็นตารางเปรียบเทียบ อย่างไรก็ตาม ในระบบคลาวด์ ดังที่ผลการทดสอบข้างต้นแสดงให้เห็น การใช้โซลูชันสำหรับสภาพแวดล้อมเสมือนจริงยังคงเหมาะสมที่สุด

เหตุใดโปรแกรมป้องกันไวรัสแบบเดิมจึงไม่เหมาะกับระบบคลาวด์สาธารณะ แล้วฉันควรทำอย่างไร?

เกี่ยวกับอัตราภาษีภายในกรอบของแนวทางใหม่ เราตัดสินใจใช้โมเดลที่ช่วยให้เราได้รับใบอนุญาตตามจำนวน vCPU ซึ่งหมายความว่าจำนวนใบอนุญาตจะเท่ากับจำนวน vCPU คุณสามารถทดสอบโปรแกรมป้องกันไวรัสของคุณได้โดยส่งคำขอ ออนไลน์.

ในบทความถัดไปเกี่ยวกับหัวข้อคลาวด์ เราจะพูดถึงวิวัฒนาการของ WAF บนคลาวด์ และสิ่งไหนดีกว่าให้เลือก: ฮาร์ดแวร์ ซอฟต์แวร์ หรือคลาวด์

ข้อความนี้จัดทำโดยพนักงานของผู้ให้บริการคลาวด์ #CloudMTS: Denis Myagkov สถาปนิกชั้นนำและ Alexey Afanasyev ผู้จัดการฝ่ายพัฒนาผลิตภัณฑ์รักษาความปลอดภัยข้อมูล

ที่มา: will.com

เพิ่มความคิดเห็น