Parami nang parami ang mga user ang nagdadala ng kanilang buong imprastraktura ng IT sa pampublikong ulap. Gayunpaman, kung ang kontrol ng anti-virus ay hindi sapat sa imprastraktura ng customer, ang mga seryosong panganib sa cyber ay lumitaw. Ipinapakita ng pagsasanay na hanggang 80% ng mga umiiral na virus ay perpektong nabubuhay sa isang virtual na kapaligiran. Sa post na ito ay pag-uusapan natin kung paano protektahan ang mga mapagkukunan ng IT sa pampublikong ulap at kung bakit ang mga tradisyonal na antivirus ay hindi ganap na angkop para sa mga layuning ito.
Upang magsimula, sasabihin namin sa iyo kung paano kami nakarating sa ideya na ang karaniwang mga tool sa proteksyon ng anti-virus ay hindi angkop para sa pampublikong ulap at na ang iba pang mga diskarte sa pagprotekta sa mga mapagkukunan ay kinakailangan.
Una, ang mga provider ay karaniwang nagbibigay ng mga kinakailangang hakbang upang matiyak na ang kanilang mga cloud platform ay protektado sa isang mataas na antas. Halimbawa, sa #CloudMTS sinusuri namin ang lahat ng trapiko sa network, sinusubaybayan ang mga log ng mga sistema ng seguridad ng aming cloud, at regular na nagsasagawa ng mga pentest. Ang mga segment ng cloud na inilalaan sa mga indibidwal na kliyente ay dapat ding ligtas na protektado.
Pangalawa, ang klasikong opsyon para sa paglaban sa mga panganib sa cyber ay nagsasangkot ng pag-install ng antivirus at mga tool sa pamamahala ng antivirus sa bawat virtual machine. Gayunpaman, sa isang malaking bilang ng mga virtual machine, ang kasanayang ito ay maaaring hindi epektibo at nangangailangan ng malaking halaga ng mga mapagkukunan ng pag-compute, at sa gayon ay higit pang na-load ang imprastraktura ng customer at binabawasan ang pangkalahatang pagganap ng cloud. Ito ay naging isang pangunahing kinakailangan para sa paghahanap ng mga bagong diskarte sa pagbuo ng epektibong proteksyon ng anti-virus para sa mga virtual machine ng customer.
Bilang karagdagan, ang karamihan sa mga solusyon sa antivirus sa merkado ay hindi inangkop upang malutas ang mga problema sa pagprotekta sa mga mapagkukunan ng IT sa isang pampublikong kapaligiran sa ulap. Bilang isang patakaran, ang mga ito ay mga mabibigat na solusyon sa EPP (Endpoint Protection Platform), na, bukod dito, ay hindi nagbibigay ng kinakailangang pagpapasadya sa panig ng kliyente ng cloud provider.
Nagiging malinaw na ang mga tradisyunal na solusyon sa antivirus ay hindi angkop para sa pagtatrabaho sa cloud, dahil seryoso silang naglo-load ng virtual na imprastraktura sa panahon ng mga pag-update at pag-scan, at wala ring mga kinakailangang antas ng pamamahala at setting na nakabatay sa tungkulin. Susunod, susuriin namin nang detalyado kung bakit kailangan ng cloud ng mga bagong diskarte sa proteksyon ng anti-virus.
Ano ang dapat gawin ng isang antivirus sa isang pampublikong ulap
Kaya, bigyang-pansin natin ang mga detalye ng pagtatrabaho sa isang virtual na kapaligiran:
Kahusayan ng mga update at naka-iskedyul na mass scan. Kung ang isang malaking bilang ng mga virtual machine na gumagamit ng isang tradisyunal na antivirus ay nagpasimula ng isang pag-update sa parehong oras, isang tinatawag na "bagyo" ng mga update ay magaganap sa cloud. Ang kapangyarihan ng isang ESXi host na nagho-host ng ilang virtual machine ay maaaring hindi sapat upang mahawakan ang barrage ng mga katulad na gawain na tumatakbo bilang default. Mula sa punto ng view ng cloud provider, ang ganitong problema ay maaaring humantong sa karagdagang pag-load sa isang bilang ng mga ESXi host, na sa huli ay hahantong sa pagbaba sa pagganap ng cloud virtual infrastructure. Ito ay maaaring, bukod sa iba pang mga bagay, ay makakaapekto sa pagganap ng mga virtual machine ng iba pang mga cloud client. Maaaring lumitaw ang isang katulad na sitwasyon kapag naglulunsad ng mass scan: ang sabay-sabay na pagproseso ng disk system ng maraming katulad na mga kahilingan mula sa iba't ibang mga user ay negatibong makakaapekto sa pagganap ng buong cloud. Sa mataas na antas ng posibilidad, ang pagbaba sa pagganap ng storage system ay makakaapekto sa lahat ng kliyente. Ang ganitong mga biglaang pag-load ay hindi nakalulugod sa provider o sa kanyang mga customer, dahil nakakaapekto ang mga ito sa "mga kapitbahay" sa cloud. Mula sa puntong ito ng view, ang tradisyonal na antivirus ay maaaring magdulot ng malaking problema.
Ligtas na quarantine. Kung ang isang file o dokumentong posibleng nahawaan ng virus ay nakita sa system, ipapadala ito sa quarantine. Siyempre, ang isang nahawaang file ay maaaring tanggalin kaagad, ngunit ito ay madalas na hindi katanggap-tanggap para sa karamihan ng mga kumpanya. Ang mga antivirus ng corporate enterprise na hindi iniangkop upang gumana sa cloud ng provider, bilang panuntunan, ay may karaniwang quarantine zone - lahat ng mga nahawaang bagay ay nahuhulog dito. Halimbawa, ang mga matatagpuan sa mga computer ng mga gumagamit ng kumpanya. Ang mga kliyente ng cloud provider ay "live" sa sarili nilang mga segment (o mga nangungupahan). Ang mga segment na ito ay malabo at nakahiwalay: hindi alam ng mga kliyente ang tungkol sa isa't isa at, siyempre, hindi nakikita kung ano ang hina-host ng iba sa cloud. Malinaw, ang pangkalahatang kuwarentenas, na ia-access ng lahat ng mga gumagamit ng antivirus sa cloud, ay maaaring potensyal na magsama ng isang dokumento na naglalaman ng kumpidensyal na impormasyon o isang lihim ng kalakalan. Hindi ito katanggap-tanggap para sa provider at sa mga customer nito. Samakatuwid, maaari lamang magkaroon ng isang solusyon - personal na kuwarentenas para sa bawat kliyente sa kanyang segment, kung saan walang access ang provider o iba pang mga kliyente.
Mga indibidwal na patakaran sa seguridad. Ang bawat kliyente sa cloud ay isang hiwalay na kumpanya, na ang departamento ng IT ay nagtatakda ng sarili nitong mga patakaran sa seguridad. Halimbawa, tinutukoy ng mga administrator ang mga panuntunan sa pag-scan at nag-iskedyul ng mga pag-scan ng anti-virus. Alinsunod dito, ang bawat organisasyon ay dapat magkaroon ng sarili nitong control center upang i-configure ang mga patakaran ng antivirus. Kasabay nito, ang mga tinukoy na setting ay hindi dapat makaapekto sa iba pang mga cloud client, at dapat na ma-verify ng provider na, halimbawa, ang mga pag-update ng antivirus ay isinasagawa bilang normal para sa lahat ng mga virtual machine ng kliyente.
Organisasyon ng pagsingil at paglilisensya. Ang modelo ng ulap ay nailalarawan sa pamamagitan ng kakayahang umangkop at nagsasangkot ng pagbabayad lamang para sa dami ng mga mapagkukunang IT na ginamit ng customer. Kung may pangangailangan, halimbawa, dahil sa seasonality, kung gayon ang halaga ng mga mapagkukunan ay maaaring mabilis na madagdagan o mabawasan - lahat ay batay sa kasalukuyang mga pangangailangan para sa kapangyarihan ng pag-compute. Ang tradisyunal na antivirus ay hindi masyadong nababaluktot - bilang isang patakaran, ang kliyente ay bumili ng lisensya para sa isang taon para sa isang paunang natukoy na bilang ng mga server o workstation. Ang mga user ng cloud ay regular na nagdidiskonekta at nagkokonekta ng mga karagdagang virtual machine depende sa kanilang kasalukuyang pangangailangan - nang naaayon, ang mga lisensya ng antivirus ay dapat na sumusuporta sa parehong modelo.
Ang pangalawang tanong ay kung ano ang eksaktong saklaw ng lisensya. Ang tradisyonal na antivirus ay lisensyado ng bilang ng mga server o workstation. Ang mga lisensyang batay sa bilang ng mga protektadong virtual machine ay hindi ganap na angkop sa loob ng cloud model. Ang kliyente ay maaaring lumikha ng anumang bilang ng mga virtual machine na maginhawa para sa kanya mula sa mga magagamit na mapagkukunan, halimbawa, lima o sampung makina. Ang numerong ito ay hindi pare-pareho para sa karamihan ng mga kliyente; hindi posible para sa amin, bilang isang provider, na subaybayan ang mga pagbabago nito. Walang teknikal na posibilidad na maglisensya sa pamamagitan ng CPU: ang mga kliyente ay tumatanggap ng mga virtual na processor (vCPU), na dapat gamitin para sa paglilisensya. Kaya, dapat isama sa bagong modelo ng proteksyon ng anti-virus ang kakayahan ng customer na matukoy ang kinakailangang bilang ng mga vCPU kung saan siya makakatanggap ng mga lisensyang anti-virus.
Pagsunod sa batas. Isang mahalagang punto, dahil ang mga solusyon na ginamit ay dapat tiyakin ang pagsunod sa mga kinakailangan ng regulator. Halimbawa, madalas na gumagana ang mga "residente" ng cloud sa personal na data. Sa kasong ito, ang provider ay dapat magkaroon ng isang hiwalay na certified cloud segment na ganap na sumusunod sa mga kinakailangan ng Personal Data Law. Kung gayon ang mga kumpanya ay hindi kailangang independiyenteng "buuin" ang buong sistema para sa pagtatrabaho sa personal na data: bumili ng sertipikadong kagamitan, kumonekta at i-configure ito, at sumailalim sa sertipikasyon. Para sa cyber protection ng ISPD ng naturang mga kliyente, ang antivirus ay dapat ding sumunod sa mga kinakailangan ng Russian legislation at magkaroon ng FSTEC certificate.
Tiningnan namin ang mandatoryong pamantayan na dapat matugunan ng proteksyon ng antivirus sa pampublikong ulap. Susunod, ibabahagi namin ang aming sariling karanasan sa pag-aangkop ng solusyon sa antivirus upang gumana sa cloud ng provider.
Paano ka makikipagkaibigan sa pagitan ng antivirus at cloud?
Tulad ng ipinakita ng aming karanasan, ang pagpili ng solusyon batay sa paglalarawan at dokumentasyon ay isang bagay, ngunit ang pagpapatupad nito sa pagsasanay sa isang gumaganang cloud environment ay isang ganap na naiibang gawain sa mga tuntunin ng pagiging kumplikado. Sasabihin namin sa iyo kung ano ang ginawa namin sa pagsasanay at kung paano namin inangkop ang antivirus upang gumana sa pampublikong cloud ng provider. Ang nagtitinda ng solusyon sa anti-virus ay ang Kaspersky, na ang portfolio ay kinabibilangan ng mga solusyon sa proteksyon ng anti-virus para sa mga cloud environment. Kami ay nanirahan sa "Kaspersky Security para sa Virtualization" (Light Agent).
Kasama dito ang isang console ng Kaspersky Security Center. Light agent at security virtual machine (SVM, Security Virtual Machine) at KSC integration server.
Pagkatapos naming pag-aralan ang arkitektura ng Kaspersky solution at magsagawa ng mga unang pagsubok kasama ang mga engineer ng vendor, bumangon ang tanong tungkol sa pagsasama ng serbisyo sa cloud. Ang unang pagpapatupad ay isinagawa nang magkasama sa Moscow cloud site. At iyon ang napagtanto namin.
Upang mabawasan ang trapiko sa network, napagpasyahan na maglagay ng SVM sa bawat host ng ESXi at "itali" ang SVM sa mga host ng ESXi. Sa kasong ito, ina-access ng mga light agent ng mga protektadong virtual machine ang SVM ng eksaktong ESXi host kung saan sila tumatakbo. Isang hiwalay na administratibong nangungupahan ang napili para sa pangunahing KSC. Bilang resulta, ang mga subordinate na KSC ay matatagpuan sa mga nangungupahan ng bawat indibidwal na kliyente at tinutugunan ang superior KSC na matatagpuan sa segment ng pamamahala. Ang scheme na ito ay nagpapahintulot sa iyo na mabilis na malutas ang mga problema na lumitaw sa mga nangungupahan ng kliyente.
Bilang karagdagan sa mga isyu sa pagpapataas ng mga bahagi ng solusyon sa anti-virus mismo, nahaharap kami sa gawain ng pag-aayos ng pakikipag-ugnayan sa network sa pamamagitan ng paglikha ng mga karagdagang VxLAN. At kahit na ang solusyon ay orihinal na inilaan para sa mga kliyente ng enterprise na may mga pribadong ulap, sa tulong ng engineering savvy at teknolohikal na flexibility ng NSX Edge, nalutas namin ang lahat ng mga problemang nauugnay sa paghihiwalay ng mga nangungupahan at paglilisensya.
Nakipagtulungan kami nang malapit sa mga inhinyero ng Kaspersky. Kaya, sa proseso ng pag-aaral ng arkitektura ng solusyon sa mga tuntunin ng pakikipag-ugnayan ng network sa pagitan ng mga bahagi ng system, natagpuan na, bilang karagdagan sa pag-access mula sa mga light agent sa SVM, kinakailangan din ang feedback - mula sa SVM hanggang sa mga light agent. Ang koneksyon sa network na ito ay hindi posible sa isang multitenant na kapaligiran dahil sa posibilidad ng magkaparehong mga setting ng network ng mga virtual machine sa iba't ibang mga nangungupahan sa ulap. Samakatuwid, sa aming kahilingan, muling ginawa ng mga kasamahan mula sa vendor ang mekanismo ng pakikipag-ugnayan ng network sa pagitan ng light agent at SVM sa mga tuntunin ng pag-aalis ng pangangailangan para sa koneksyon sa network mula sa SVM hanggang sa mga light agent.
Matapos ma-deploy at masuri ang solusyon sa cloud site ng Moscow, ginagaya namin ito sa iba pang mga site, kabilang ang certified cloud segment. Ang serbisyo ay magagamit na ngayon sa lahat ng rehiyon ng bansa.
Arkitektura ng isang solusyon sa seguridad ng impormasyon sa loob ng balangkas ng isang bagong diskarte
Ang pangkalahatang pamamaraan ng pagpapatakbo ng isang solusyon sa antivirus sa isang pampublikong kapaligiran sa ulap ay ang mga sumusunod:
Scheme ng pagpapatakbo ng isang antivirus solution sa isang pampublikong cloud environment #CloudMTS
Ilarawan natin ang mga tampok ng pagpapatakbo ng mga indibidwal na elemento ng solusyon sa cloud:
β’ Isang console na nagbibigay-daan sa mga kliyente na sentral na pamahalaan ang sistema ng proteksyon: magpatakbo ng mga pag-scan, kontrolin ang mga update at subaybayan ang mga quarantine zone. Posibleng i-configure ang mga indibidwal na patakaran sa seguridad sa loob ng iyong segment.
Dapat tandaan na bagama't isa kaming service provider, hindi kami nakikialam sa mga setting na itinakda ng mga kliyente. Ang tanging magagawa namin ay i-reset ang mga patakaran sa seguridad sa mga karaniwang patakaran kung kinakailangan ang muling pagsasaayos. Halimbawa, ito ay maaaring kailanganin kung ang kliyente ay hindi sinasadyang humigpit sa kanila o makabuluhang humina sa kanila. Ang isang kumpanya ay palaging makakatanggap ng isang control center na may mga default na patakaran, na maaari nitong i-configure nang nakapag-iisa. Ang kawalan ng Kaspersky Security Center ay ang platform ay kasalukuyang magagamit lamang para sa Microsoft operating system. Bagama't ang mga magaan na ahente ay maaaring gumana sa parehong Windows at Linux machine. Gayunpaman, ipinangako ng Kaspersky Lab na sa malapit na hinaharap ay gagana ang KSC sa ilalim ng Linux OS. Isa sa mahalagang tungkulin ng KSC ay ang kakayahang pamahalaan ang kuwarentenas. Ang bawat kumpanya ng kliyente sa aming cloud ay may personal na isa. Ang diskarteng ito ay nag-aalis ng mga sitwasyon kung saan ang isang dokumentong nahawaan ng virus ay hindi sinasadyang nakikita ng publiko, gaya ng maaaring mangyari sa kaso ng isang klasikong corporate antivirus na may pangkalahatang kuwarentenas.
β’ Mga ahente ng ilaw. Bilang bahagi ng bagong modelo, ang isang magaan na ahente ng Kaspersky Security ay naka-install sa bawat virtual machine. Tinatanggal nito ang pangangailangang mag-imbak ng database ng anti-virus sa bawat VM, na binabawasan ang dami ng kinakailangang espasyo sa disk. Ang serbisyo ay isinama sa cloud infrastructure at gumagana sa pamamagitan ng SVM, na nagpapataas ng density ng mga virtual machine sa ESXi host at ang performance ng buong cloud system. Ang light agent ay bumubuo ng isang pila ng mga gawain para sa bawat virtual machine: suriin ang file system, memorya, atbp. Ngunit ang SVM ang may pananagutan sa pagsasagawa ng mga operasyong ito, na pag-uusapan natin mamaya. Ang ahente ay gumaganap din bilang isang firewall, kinokontrol ang mga patakaran sa seguridad, nagpapadala ng mga nahawaang file sa quarantine at sinusubaybayan ang pangkalahatang "kalusugan" ng operating system kung saan ito naka-install. Ang lahat ng ito ay maaaring pamahalaan gamit ang nabanggit na solong console.
β’ Security Virtual Machine. Ang lahat ng mga resource-intensive na gawain (anti-virus database updates, scheduled scans) ay pinangangasiwaan ng isang hiwalay na Security Virtual Machine (SVM). Siya ang responsable para sa pagpapatakbo ng isang ganap na anti-virus engine at mga database para dito. Maaaring kasama sa imprastraktura ng IT ng kumpanya ang ilang SVM. Ang diskarte na ito ay nagpapataas ng pagiging maaasahan ng system - kung ang isang makina ay nabigo at hindi tumugon sa loob ng tatlumpung segundo, ang mga ahente ay awtomatikong magsisimulang maghanap ng isa pa.
β’ KSC integration server. Isa sa mga bahagi ng pangunahing KSC, na nagtatalaga ng mga SVM nito sa mga light agent alinsunod sa algorithm na tinukoy sa mga setting nito, at kinokontrol din ang pagkakaroon ng mga SVM. Kaya, ang software module na ito ay nagbibigay ng load balancing sa lahat ng SVM ng cloud infrastructure.
Algorithm para sa pagtatrabaho sa cloud: pagbabawas ng load sa imprastraktura
Sa pangkalahatan, ang algorithm ng antivirus ay maaaring katawanin bilang mga sumusunod. Ina-access ng ahente ang file sa virtual machine at sinusuri ito. Ang resulta ng pag-verify ay naka-imbak sa isang karaniwang sentralisadong database ng hatol ng SVM (tinatawag na Shared Cache), bawat entry kung saan kinikilala ang isang natatanging sample ng file. Ang diskarte na ito ay nagbibigay-daan sa iyo upang matiyak na ang parehong file ay hindi na-scan ng ilang beses sa isang hilera (halimbawa, kung ito ay binuksan sa iba't ibang mga virtual machine). Ang file ay muling ini-scan lamang kung ang mga pagbabago ay ginawa dito o ang pag-scan ay sinimulan nang manu-mano.
Pagpapatupad ng isang antivirus solution sa cloud ng provider
Ang larawan ay nagpapakita ng pangkalahatang diagram ng pagpapatupad ng solusyon sa cloud. Ang pangunahing Kaspersky Security Center ay naka-deploy sa control zone ng cloud, at isang indibidwal na SVM ang naka-deploy sa bawat ESXi host gamit ang KSC integration server (bawat ESXi host ay may sariling SVM na naka-attach na may mga espesyal na setting sa VMware vCenter Server). Nagtatrabaho ang mga kliyente sa sarili nilang mga cloud segment, kung saan matatagpuan ang mga virtual machine na may mga ahente. Ang mga ito ay pinamamahalaan sa pamamagitan ng mga indibidwal na KSC server na nasa ilalim ng pangunahing KSC. Kung kinakailangan upang protektahan ang isang maliit na bilang ng mga virtual machine (hanggang 5), ang kliyente ay maaaring bigyan ng access sa virtual console ng isang espesyal na dedikadong KSC server. Ang pakikipag-ugnayan sa network sa pagitan ng mga KSC ng kliyente at ng pangunahing KSC, gayundin ng mga light agent at SVM, ay isinasagawa gamit ang NAT sa pamamagitan ng mga virtual na router ng kliyente ng EdgeGW.
Ayon sa aming mga pagtatantya at mga resulta ng mga pagsubok ng mga kasamahan sa vendor, binabawasan ng Light Agent ang pagkarga sa virtual na imprastraktura ng mga kliyente ng humigit-kumulang 25% (kung ihahambing sa isang system na gumagamit ng tradisyonal na anti-virus software). Sa partikular, ang karaniwang Kaspersky Endpoint Security (KES) antivirus para sa mga pisikal na kapaligiran ay kumokonsumo ng halos dalawang beses ng mas maraming oras ng CPU ng server (2,95%) bilang isang magaan na solusyon sa virtualization na batay sa ahente (1,67%).
Chart ng paghahambing ng pag-load ng CPU
Ang isang katulad na sitwasyon ay sinusunod sa dalas ng pag-access sa disk write: para sa isang klasikong antivirus ito ay 1011 IOPS, para sa isang cloud antivirus ito ay 671 IOPS.
Grap ng paghahambing ng rate ng pag-access sa disk
Ang benepisyo sa pagganap ay nagbibigay-daan sa iyo na mapanatili ang katatagan ng imprastraktura at gumamit ng kapangyarihan sa pag-compute nang mas mahusay. Sa pamamagitan ng pag-aangkop para magtrabaho sa isang pampublikong kapaligiran sa cloud, hindi binabawasan ng solusyon ang pagganap ng cloud: sentral nitong sinusuri ang mga file at nagda-download ng mga update, na namamahagi ng load. Nangangahulugan ito na, sa isang banda, ang mga banta na nauugnay sa imprastraktura ng ulap ay hindi mapalampas, sa kabilang banda, ang mga kinakailangan sa mapagkukunan para sa mga virtual machine ay mababawasan ng average na 25% kumpara sa isang tradisyonal na antivirus.
Sa mga tuntunin ng pag-andar, ang parehong mga solusyon ay halos magkapareho sa isa't isa: sa ibaba ay isang talahanayan ng paghahambing. Gayunpaman, sa cloud, tulad ng ipinapakita ng mga resulta ng pagsubok sa itaas, pinakamainam pa rin na gumamit ng solusyon para sa mga virtual na kapaligiran.
Tungkol sa mga taripa sa loob ng balangkas ng bagong diskarte. Nagpasya kaming gumamit ng modelong nagbibigay-daan sa amin na makakuha ng mga lisensya batay sa bilang ng mga vCPU. Nangangahulugan ito na ang bilang ng mga lisensya ay magiging katumbas ng bilang ng mga vCPU. Maaari mong subukan ang iyong antivirus sa pamamagitan ng pag-iwan ng kahilingan .
Sa susunod na artikulo sa mga paksa ng ulap, pag-uusapan natin ang tungkol sa ebolusyon ng mga cloud WAF at kung ano ang mas mahusay na piliin: hardware, software o cloud.
Ang text ay inihanda ng mga empleyado ng cloud provider na #CloudMTS: Denis Myagkov, nangungunang arkitekto at Alexey Afanasyev, information security product development manager.
Pinagmulan: www.habr.com