At muli tungkol sa pagprotekta sa mga virtual na imprastraktura

Sa post na ito, susubukan naming gabayan ang aming mga mambabasa mula sa mga karaniwang maling kuru-kuro tungkol sa seguridad ng mga virtual server at sabihin sa amin kung paano maayos na protektahan ang kanilang mga inuupahang ulap sa pagtatapos ng 2019. Ang artikulo ay pangunahing inilaan para sa aming mga bago at potensyal na kliyente, mas partikular sa mga kabibili pa lang o gustong bumili mga virtual server na RUVDS, ngunit hindi pa masyadong sanay sa mga isyu sa cybersecurity at pagpapatakbo ng VPS. Umaasa kami na ang mga gumagamit na may kaalaman ay magiging kapaki-pakinabang ito.

Apat na Maling Diskarte sa Cloud Security

May mga opinyon, medyo karaniwan sa mga may-ari at tagapamahala ng negosyo (ina-highlight namin sila nang naka-bold), iyon ang pagtiyak sa cybersecurity ng mga serbisyo sa cloud ay alinman sa isang priori na hindi kinakailangang bagay, dahil ligtas ang mga ulap (1), o ito ang gawain ng cloud provider: Nagbayad ako para sa isang VPS - na nangangahulugan na ang lahat ay dapat na i-configure, secure at gumana nang walang problema (2). Mayroon ding pangatlong opinyon, karaniwan sa parehong mga espesyalista sa seguridad ng impormasyon at mga negosyante: mapanganib ang mga ulap! Walang kilalang mga tool sa seguridad ang makakapagbigay ng sapat na proteksyon para sa mga virtual na kapaligiran (3) — ang mga pinuno ng negosyo na may ganitong diskarte ay umaalis sa mga teknolohiya ng cloud dahil sa kawalan ng tiwala o hindi pagkakaunawaan sa pagkakaiba sa pagitan ng tradisyonal at espesyal na mga tool sa seguridad (higit pa sa mga ito sa ibaba). Ang ikaapat na kategorya ng mga mamamayan ay naniniwala na oo, dapat mong protektahan ang iyong imprastraktura ng ulap, dahil may mga karaniwang antivirus Na (4).

Ang lahat ng apat sa mga pamamaraang ito ay hindi tama - maaari silang magdulot ng mga pagkalugi (maliban marahil sa diskarte ng hindi paggamit ng mga virtual na server, ngunit kahit dito hindi mo dapat pabayaan ang postulate ng negosyo na "ang nawalang kita ay isang pagkalugi din"). Upang ilarawan ang mga istatistika sa ilang lawak, narito ang isang quote mula sa ulat ng Kaspersky Lab corporate sales support expert na si Vladimir Ostroverkhov, na aming inilathala sa tag-araw ng 2017. Sa oras na iyon, nagsagawa ng survey ang Kaspersky sa limang libong kumpanya mula sa 25 na bansa - ito ay malalaking kumpanya na may hindi bababa sa isa at kalahating libong empleyado. 75% sa kanila ay gumagamit ng virtualization ngunit hindi namumuhunan sa seguridad. Ang problema ay hindi nawala ang kaugnayan nito ngayon:

“Halos kalahati ng [malaking] kumpanya ay hindi gumagamit ng anumang proteksyon para sa mga virtual machine, at ang kalahati ay naniniwala na ang anumang karaniwang antivirus ay sapat na. Ang lahat ng mga kumpanyang ito [bawat isa] ay gumagastos sa karaniwan halos milyong dolyar [bawat taon] para sa pagbawi pagkatapos ng mga insidente: para sa pagsisiyasat, para sa pagpapanumbalik ng system, para sa kabayaran sa mga gastos, para sa kabayaran ng mga pagkalugi mula sa isang hack... Ano ang kanilang mga gastos kung ikompromiso nila ang kanilang mga sarili? Direktang pagkalugi para sa pagpapanumbalik, pagpapalit ng kagamitan, software... Hindi direktang pagkalugi - reputasyon... Pagkalugi para sa kabayaran para sa kanilang mga kliyente, kabilang ang reputasyon... At pagsisiyasat din ng mga insidente, bahagyang pagpapalit ng imprastraktura, dahil nakompromiso na nito ang sarili nito, ito ay mga pag-uusap sa mga gobyerno, ito ay pakikipag-usap sa mga kompanya ng seguro, mga pag-uusap sa mga customer na kailangang magbayad ng kabayaran."

Bakit hindi gumagana ang mga diskarteng ito

Diskarte 1: Ang mga ulap ay ligtas, hindi kailangang protektahan. Humigit-kumulang 240 libong piraso ng malware na lumilitaw araw-araw na nabubuhay nang perpekto sa loob ng mga ulap: mula sa simpleng code na isinulat ng isang mag-aaral at nai-post sa Internet (na nangangahulugang maaari itong makapinsala sa data) hanggang sa mga kumplikadong naka-target na pag-atake na partikular na binuo para sa mga partikular na organisasyon, kaso at sitwasyon na ay napakahusay hindi lamang sa pagsira at pagnanakaw ng data, kundi pati na rin sa "pagtatago" ng kanilang mga sarili. Ang virtual na imprastraktura ay kawili-wili din para sa mga hacker: mas madaling i-hack at makakuha ng access sa lahat ng iyong virtual machine at data nang sabay-sabay, sa halip na subukang i-hack ang bawat pisikal na server nang hiwalay. Dagdag pa, ito ay nagkakahalaga ng pagsasaalang-alang na sa loob ng virtual na imprastraktura, ang malisyosong code ay kumakalat sa napakabilis na bilis - sampu-sampung libong mga makina ang maaaring mahawahan sa loob ng sampung minuto, na katumbas ng isang epidemya (tingnan ang nabanggit sa itaas ulat). Ang mga aktibidad ng malware at ransomware na nag-aambag sa pagtagas ng data ng kumpanya ay humigit-kumulang 27% ng kabuuang bilang ng mga “panganib” sa cloud. Ang pinakamaraming kahinaan sa cloud: mga hindi protektadong interface at hindi awtorisadong pag-access - halos 80% sa kabuuan (ayon sa pananaliksik Ulat sa Cloud Security 2019 na may suporta mula sa Check Point Software Technologies Ltd. ay isang nangungunang provider ng mga solusyon sa cybersecurity sa mga gobyerno at negosyo sa buong mundo. 

Ulat sa Cloud Security 2019

Diskarte 2: Ang pag-secure ng cloud infrastructure ay responsibilidad ng VPS provider. Ito ay bahagyang totoo, dahil ang virtual server provider ay nagmamalasakit sa katatagan ng mga system nito at isang sapat na mataas na antas ng proteksyon para sa mga pangunahing bahagi ng cloud: mga server, storage device, network, virtualization (kinokontrol ng isang service level agreement, SLA) . Ngunit hindi niya kailangang mag-alala tungkol sa pagpigil sa panloob at panlabas na mga banta na maaaring lumabas sa cloud infrastructure ng kliyente. Hayaan natin ang ating sarili ng isang dental analogy dito. Ang pagkakaroon ng pagbabayad ng kahit na maraming pera para sa isang mahusay na implant, ang isang kliyente ng isang dental clinic ay nauunawaan na ang tamang operasyon ng prosthesis ay higit na nakasalalay sa kanyang sarili (ang kliyente). Ang orthopedic dentist, para sa kanyang bahagi, ay ginawa ang lahat ng kailangan sa mga tuntunin ng kaligtasan: pinili niya ang mga de-kalidad na materyales, mapagkakatiwalaang "nakalakip" ang implant, hindi nakakagambala sa kagat, pinagaling ang mga gilagid pagkatapos ng operasyon, atbp. At kung ang gumagamit ay hindi sumusunod sa mga alituntunin ng kalinisan sa hinaharap, ito ay magiging, halimbawa, , buksan ang mga takip ng bote ng metal gamit ang iyong mga ngipin at magsagawa ng iba pang katulad na hindi ligtas na mga aksyon, magiging imposibleng magarantiya ang mahusay na paggana ng bagong ngipin. Ang parehong kuwento ay nalalapat sa pagtiyak ng 100% cloud security sa VPS na nirentahan mula sa isang provider. "Wala sa hurisdiksyon" ng cloud service provider, ang pagprotekta sa data at mga application ng kliyente ay kanyang personal na responsibilidad.

Diskarte 3: Walang mga tool sa seguridad ang makakapagbigay ng sapat na proteksyon para sa mga virtual na kapaligiran. Hindi talaga. Mayroong mga espesyal na solusyon sa seguridad sa ulap, na tatalakayin natin sa huling bahagi ng artikulo.

Diskarte 4: Paggamit ng karaniwang antivirus (tradisyonal na proteksyon). Mahalagang malaman dito na ang mga tradisyunal na tool sa seguridad na nakasanayan na ng lahat na gamitin sa mga lokal na computer ay hindi lang idinisenyo para sa mga ipinamahagi na virtual na kapaligiran (hindi nila "nakikita" kung paano nangyayari ang komunikasyon sa pagitan ng mga virtual machine) at hindi pinoprotektahan ang panloob na virtual na imprastraktura mula sa panloob na mga pagtatangka sa pag-hack. Sa madaling salita, ang maginoo na antivirus software ay halos hindi gumagana sa cloud. Kasabay nito, na naka-install sa bawat WM, kumonsumo sila ng isang malaking halaga ng mga mapagkukunan ng buong virtual na ekosistema kapag sinusuri ang mga virus at pag-update, "nag-aaksaya" sa network at nagpapabagal sa gawain ng kumpanya, ngunit bilang isang resulta, nagbibigay ng halos walang kahusayan sa kanilang pangunahing gawain.

Sa susunod na dalawang seksyon ng artikulo, ililista namin kung anong mga panganib ang maaaring lumitaw kapag ang isang kumpanya ay nagpapatakbo sa mga ulap (pribado, pampubliko, hybrid) at sasabihin kung paano ang mga panganib na ito ay maaaring at dapat na pigilan nang tama.

Ang mga panganib na patuloy na nagbabanta sa mga serbisyo ng ulap

▍ Mga pag-atake sa malayong network

Ito ay isang iba't ibang uri ng impormasyon na mapanirang epekto sa isang distributed computing system, na isinasagawa sa pamamagitan ng programmatically sa pamamagitan ng mga channel ng komunikasyon upang makamit ang iba't ibang layunin. Ang pinakakaraniwan sa kanila:

• Pag-atake ng DDoS (Ipinamamahagi pagtanggi ng Serbisyo). Napakalaking pagpapadala ng mga kahilingan ng impormasyon sa server na may layuning gumamit ng mga mapagkukunan o bandwidth sa inaatakeng sistema upang hindi paganahin ang target na sistema, at sa gayon ay magdulot ng pinsala sa kumpanya. Ginagamit ng mga kakumpitensya bilang isang custom na serbisyo, mga extortionist, aktibistang pampulitika at mga pamahalaan upang makakuha ng mga dibidendo sa pulitika. Ang ganitong mga pag-atake ay isinasagawa gamit ang isang botnet - isang network ng mga computer na may mga bot na naka-install sa mga ito (software na maaaring naglalaman ng mga virus, mga programa para sa remote control ng computer at mga tool para sa pagtatago mula sa OS), na ginagamit ng mga hacker nang malayuan upang ipamahagi ang spam at ransomware . Magbasa pa sa aming post DDoS: Ang mga IT maniac ay nangunguna sa pag-atake.
• Ping Pagbaha - upang maging sanhi ng overload ng linya. 
• Ping ng Kamatayan - magdulot ng pagyeyelo, pag-reboot at pag-crash ng system.
• Mga pag-atake sa antas ng aplikasyon — upang makakuha ng access sa isang computer na nagpapahintulot sa mga application na ilunsad para sa isang partikular na (privileged system) account.
• Pagkapira-piraso ng data — para sa emergency system shutdown dahil sa software buffer overflow.
• Autorooters — upang i-automate ang proseso ng pag-hack sa pamamagitan ng pag-scan ng malaking bilang ng mga system sa maikling panahon sa pamamagitan ng pag-install ng rootkit.
• Nangangamoy — upang makinig sa channel.
• Pagpataw ng package - upang lumipat sa iyong computer ng isang koneksyon na itinatag sa pagitan ng iba pang mga computer.
• Packet interception sa router - upang makatanggap ng mga password ng user at impormasyon mula sa email.
• IP spoofing - upang ang isang hacker sa loob o labas ng network ay maaaring magpanggap bilang isang computer na mapagkakatiwalaan. Ginagawa ito sa pamamagitan ng IP address spoofing.
• Mga pag-atake ng brute force (brute force) - upang pumili ng password sa pamamagitan ng pagsubok ng mga kumbinasyon. Pinagsasamantalahan nila ang mga kahinaan sa RDP at SSH.
• Smurf — upang bawasan ang throughput ng channel ng komunikasyon at/o upang ganap na ihiwalay ang inaatakeng network.
• DNS spoofing — upang sirain ang integridad ng data sa DNS system sa pamamagitan ng “pagkalason” sa DNS cache. 
• Pinagkakatiwalaang host spoofing — upang makapagsagawa ng session sa server sa ngalan ng isang pinagkakatiwalaang host. 
• TCP SYN Flood — para umapaw ang memorya ng server.
• Lalaki sa gitna — para sa pagnanakaw ng impormasyon, pagbaluktot ng ipinadalang data, pag-atake ng DoS, pag-hack ng kasalukuyang sesyon ng komunikasyon upang makakuha ng access sa mga mapagkukunan ng pribadong network, pagsusuri ng trapiko upang makakuha ng impormasyon tungkol sa network at mga gumagamit nito.
• Network intelligence — upang pag-aralan ang impormasyon tungkol sa network at mga application na tumatakbo sa mga host bago ang isang pag-atake.
• Pag-redirect ng port ay isang uri ng pag-atake na gumagamit ng isang nakompromisong host upang ipasa ang trapiko sa pamamagitan ng isang firewall. Halimbawa, kung nakakonekta ang isang firewall sa tatlong host (panlabas, panloob, at segment ng serbisyong pampubliko), magagawa ng external na host na makipag-ugnayan sa panloob na host sa pamamagitan ng pagpapasa ng mga port sa host ng pampublikong serbisyo.
• Pagsasamantala sa tiwala - mga pag-atake na nangyayari kapag sinasamantala ng isang tao ang mga pinagkakatiwalaang relasyon sa loob ng isang network. Halimbawa, ang pag-hack ng isang system sa loob ng isang corporate network (HTTP, DNS, SMTP server) ay maaaring humantong sa pag-hack ng iba pang mga system. 

▍Social engineering

• Phishing — upang makatanggap ng kumpidensyal na impormasyon (mga password, numero ng bank card, atbp.) sa pamamagitan ng mga pagpapadala ng koreo sa ngalan ng mga kilalang organisasyon at bangko.
• Packet sniffing (Packet sniffers) - upang makakuha ng access sa kritikal na impormasyon, kabilang ang mga password. Ito ay higit na matagumpay dahil sa ang katunayan na ang mga gumagamit ay madalas na muling ginagamit ang kanilang username at password upang makakuha ng access sa iba't ibang mga application at system. Sa ganitong paraan, ang isang hacker ay maaaring makakuha ng access sa isang system user account at lumikha ng isang bagong account sa pamamagitan nito upang magkaroon ng access sa network at mga mapagkukunan nito anumang oras.
• Pagkukunwari - isang scripted attack gamit ang voice communications, ang layunin nito ay pilitin ang biktima na magsagawa ng aksyon. 
• Kabayo sa Trojan - isang pamamaraan batay sa damdamin ng biktima: takot, pag-usisa. Karaniwang makikita ang malware bilang isang email attachment.
• Quid about quo (pagkatapos para dito, quid pro quo) - nakipag-ugnayan sa iyo ang isang umaatake sa pamamagitan ng isang corporate phone o email sa ilalim ng pagkukunwari ng isang empleyado ng teknikal na suporta, nag-uulat ng mga problema sa computer ng biktima at nag-aalok na lutasin ang mga ito. Ang layunin ay mag-install ng software at magsagawa ng mga nakakahamak na command sa computer na ito.
• Road mansanas — pagtatanim ng mga nahawaang pisikal na storage media sa mga pampublikong lugar ng kumpanya (flash drive sa banyo, disk sa elevator), nilagyan ng mga inskripsiyon na pumukaw ng pagkamausisa. 
• Pagkolekta ng impormasyon mula sa mga social network.

▍Mga pagsasamantala

Anumang ilegal at hindi awtorisadong pag-atake na naglalayong makakuha ng data, makagambala sa paggana ng isang system, o pag-agaw ng kontrol sa isang system ay tinatawag na mga pagsasamantala. Ang mga ito ay sanhi ng mga error sa proseso ng pag-develop ng software, bilang isang resulta kung saan lumilitaw ang mga kahinaan sa sistema ng proteksyon ng programa, na matagumpay na ginagamit ng mga cybercriminal upang makakuha ng walang limitasyong pag-access sa mismong programa, at sa pamamagitan nito sa buong computer at higit pa sa isang network ng mga makina.

▍Kompromiso ng mga account

Pag-hack ng account ng empleyado ng kumpanya ng isang tagalabas upang makakuha ng access sa protektadong impormasyon: mula sa pagharang ng impormasyon (kabilang ang audio) at mga susi na may malware hanggang sa pagpasok sa pisikal na storage ng carrier ng impormasyon.

▍Kompromiso ng mga repositoryo

Impeksyon ng mga server ng imbakan para sa mga installer ng software, mga update at mga aklatan.

▍Mga panloob na panganib ng kumpanya

Kabilang dito ang mga pagtagas ng impormasyon dahil sa kasalanan ng mga empleyado mismo ng kumpanya. Ito ay maaaring simpleng kapabayaan o sinadyang malisyosong pagkilos: mula sa sinasadyang pamiminsala sa mga patakarang pang-administratibo sa seguridad hanggang sa pagbebenta ng kumpidensyal na impormasyon sa mga ikatlong partido. Maaaring kabilang din dito ang hindi awtorisadong pag-access, hindi secure na mga interface, maling pagsasaayos ng mga cloud platform, at pag-install/paggamit ng mga hindi awtorisadong application.

Ngayon tingnan natin kung paano mo mapipigilan ang napakalawak (at malayo sa kumpletong) listahan ng mga problema sa seguridad sa ulap.

Mga modernong espesyal na solusyon sa seguridad sa ulap

Ang bawat imprastraktura ng ulap ay nangangailangan ng komprehensibo, multi-layered na seguridad. Ang mga pamamaraan na inilarawan sa ibaba ay makakatulong sa iyo na maunawaan kung ano ang dapat na binubuo ng isang cloud security package.

▍Mga Antivirus

Mahalagang tandaan na ang anumang tradisyonal na antivirus ay hindi magiging maaasahan kapag sinusubukang magbigay ng seguridad sa ulap. Kailangan mong gumamit ng solusyon na partikular na idinisenyo para sa mga virtual at cloud na kapaligiran, at ang pag-install nito ay mayroon ding sariling mga panuntunan sa kasong ito. Sa ngayon, may dalawang paraan upang matiyak ang seguridad sa cloud gamit ang mga espesyal na multi-component na antivirus na binuo gamit ang mga pinakabagong teknolohiya: proteksyon ng walang ahente at proteksyon ng light agent.

Proteksyon na walang ahente. Binuo ng VMware at posible lamang sa mga solusyon nito. Dalawang karagdagang virtual machine ang naka-deploy sa isang pisikal na server na may mga virtual machine: isang Security Server (SVM) at isang Network Attack Blocker (NAB). Walang nakalagay sa loob ng bawat isa sa kanila. Tanging ang antivirus kernel lang ang naka-install sa SVM - isang dedikadong security device. Sa isang NAB machine, ang bahaging ito ay responsable lamang sa pag-verify ng mga komunikasyon sa pagitan ng mga virtual machine at kung ano ang nangyayari sa ecosystem (at komunikasyon sa teknolohiya ng NSX). Sinusuri ng SVM na ito ang lahat ng trapikong dumarating sa pisikal na server. Ito ay bumubuo ng isang pool ng mga hatol, na magagamit sa lahat ng mga virtual machine ng seguridad sa pamamagitan ng isang karaniwang cache ng hatol. Ang bawat security virtual machine ay unang nag-a-access sa pool na ito, sa halip na i-scan ang buong system - ang prinsipyong ito ay nagpapahintulot sa iyo na bawasan ang mga gastos sa mapagkukunan at pabilisin ang pagpapatakbo ng ecosystem. 

Proteksyon sa isang light agent. Binuo ng Kaspersky at walang mga paghihigpit sa VMware. Tulad ng sa agentless protection, isang antivirus engine ang naka-install sa SVM, ngunit hindi katulad nito, mayroon ding lightweight agent na naka-install sa loob ng bawat WM. Ang ahente ay hindi nagsasagawa ng mga pagsusuri, ngunit sinusubaybayan lamang ang lahat ng nangyayari sa loob ng katutubong WM batay sa teknolohiya ng network na self-learning. Naaalala ng teknolohiyang ito ang tamang pagkakasunod-sunod ng mga aplikasyon; Kapag nahaharap sa katotohanan na ang pagkakasunud-sunod ng mga aksyon ng aplikasyon sa loob ng WM ay hindi nangyayari nang tama, hinaharangan ito. 

Higit pa tungkol sa Basahin ang Seguridad para sa mga virtual na kapaligiran sa website ng developer, ngunit tungkol sa kung paano mag-install ng proteksyon ng anti-virus gamit ang isang light agent para sa iyong virtual server, basahin sa aming direktoryo (sa ibaba ng pahina ay mga contact para sa 24/7 na teknikal na suporta kung sakaling mayroon kang anumang mga katanungan). 

▍Pagsasama sa mga serbisyo upang maiwasan o itama ang mga isyu sa seguridad sa cloud

• Baguhin ang mga platform ng pamamahala. Ito ay mga napatunayang serbisyo na sumusuporta sa mga pangunahing proseso ng ITSM ng kumpanya, kabilang ang tulad ng IT security at mga insidente. Halimbawa, ServiceNow, Remedy, JIRA.
• Mga tool sa pag-scan ng seguridad. Halimbawa, Rapid7, Qualys, Tenable.
• Mga tool sa pamamahala ng configuration. Pinapayagan ka nitong i-automate ang pagpapatakbo ng mga server at sa gayon ay gawing simple ang pag-setup at pagpapanatili ng sampu, daan-daan at kahit libu-libong mga server na maaaring ipamahagi sa buong mundo. Halimbawa, TrueSight Server Automation, IBM BigFix, TrueSight Vulnerability Manager, Chef, Puppet.
• Mga tool sa pamamahala ng secure na alerto. Binibigyang-daan kang magbigay ng tuluy-tuloy na serbisyo at patuloy na subaybayan ang sitwasyon sa panahon ng mga insidente, magbigay ng karampatang suporta para sa pagsasama ng telepono, pagmemensahe, at email (Ayon sa Cisco, higit sa 85% ng mga email na mensahe ay spam noong Hulyo 2019, na posibleng naglalaman ng malware, mga pagtatangka sa phishing, atbp. Sa kasalukuyan, ang malware ay madalas na ipinapadala sa pamamagitan ng "regular" na mga uri ng mga attachment: ang pinakakaraniwang nakakahamak na mga attachment sa email ay mga Microsoft Office file. Cisco Hunyo 2019 Email Security Report). Ang ganitong tool ay maaaring, halimbawa, OpsGenie.

▍Samantalahin ang proteksyon

Dahil ang mga pagsasamantala ay ang mga kahihinatnan ng mga kahinaan ng software, ang mga developer ng software ang dapat magtama ng mga error sa kanilang produkto. Responsibilidad ng mga user na mag-install kaagad ng mga update package at patch pagkatapos ng kanilang release. Ang paggamit ng isang awtomatikong tool sa paghahanap at pag-install o isang application manager na may tampok na ito ay nakakatulong sa iyong maiwasan ang mga nawawalang update. Ang awtomatikong pagsasamantala sa proteksyon ay binuo sa application na inilarawan sa itaas Kaspersky Security para sa Virtualization Light Agent. 

▍Firewall

Firewall, firewall. Sinasala at kinokontrol ang trapiko ng network ayon sa mga paunang na-configure na panuntunan. Ang isang firewall ay maaaring katawanin bilang isang pagkakasunud-sunod ng mga filter na nagpoproseso ng daloy ng impormasyon sa network. Ang wastong pagsasaayos ng firewall ay epektibo laban sa mga malupit na pag-atake. Maaari mong payagan ang mga RDP o SSH na koneksyon lamang mula sa ilang mga IP address ng may-ari ng server at protektahan ang server mula sa mga pagtatangka sa paghula ng password. Ang mga firewall ay naroroon sa lahat ng modernong operating system. Bilang karagdagan dito, nag-aalok ang personal na account ng RUVDS libreng firewall sa antas ng kagamitan sa network. Kaya, ang hindi gustong trapiko sa network ay hindi makakarating sa virtual machine, ngunit sasalain sa antas ng data center. Para sa karagdagang kaginhawahan ng kliyente, ang pinakakaraniwang ginagamit na mga panuntunan sa pag-filter ay idinagdag sa interface ng firewall. Kung ang IP address ay binago, ang kliyente ay maaaring pumunta lamang sa kanyang personal na account at i-edit ang panuntunan nang hindi kinakailangang mag-log in sa server.

▍Proteksyon laban sa mga pag-atake ng DDoS

Mayroong karagdagang serbisyo na maaaring mabili mula sa 
provider ng virtual (at pisikal) na mga server. Ito ay batay sa mga teknolohiya para sa pagsusuri ng trapiko sa network, na, halimbawa, sa RUVDS ay isinasagawa 24/7, at ang proteksyon ay maaaring matatag na makatiis hanggang sa 1500 Gbit/s. Magbabayad ka lamang para sa trapiko na kailangan mo. Ngayon sa promosyon sa RUVDS libre ang unang buwan 0.5 Mbit/s, pagkatapos ay mula sa 400 rub. kada buwan.

▍Pagguhit at pagkamit ng pagsunod sa regulasyon

Ang mga nakasulat at isinagawa na mga panuntunan at panuntunan ng user para sa mga hakbang sa rehabilitasyon (cybersecurity incident response plan) ay may malaking bigat sa mga usapin ng cloud security mula sa human factor point of view, kabilang ang pag-hack gamit ang mga pamamaraan ng social engineering. Kasama sa puntong ito ang paghihigpit sa pag-access ng empleyado, pagtukoy sa mga pangunahing cloud application ng kumpanya (walang ibang mga application maliban sa iilan na nasa ganoong "white list" ang maaaring mai-install), at pagtiyak ng seguridad ng mga mobile device na magagamit sa kumpanya para sa pakikipag-ugnayan kasama ang imprastraktura ng ulap ng kumpanya, at kontrol ng device, na responsable para sa mga patakaran para sa paggamit ng external na media.

Inaasahan namin na ang artikulo ay naging kapaki-pakinabang. Gaya ng nakasanayan, tinatanggap namin ang mga nakabubuo na komento, bagong impormasyon, kawili-wiling opinyon, pati na rin ang mga ulat ng anumang mga kamalian sa materyal. 

Pinagmulan: www.habr.com