ProHoster > Blog > Ma'muriyat > Bulutli xavfsizlik monitoringi

Bulutli xavfsizlik monitoringi

Maʼlumotlar va ilovalarni bulutga koʻchirish har doim ham boshqalarning infratuzilmasini kuzatishga tayyor boʻlmagan korporativ SOClar uchun yangi muammo tugʻdiradi. Netoskope ma'lumotlariga ko'ra, o'rtacha korxona (ko'rinishidan AQShda) 1246 xil bulutli xizmatlardan foydalanadi, bu bir yil oldingiga nisbatan 22 foizga ko'pdir. 1246 bulutli xizmatlar!!! Ulardan 175 tasi HR xizmatlariga, 170 tasi marketingga, 110 tasi aloqa sohasiga va 76 tasi moliya va CRM sohasiga tegishli. Cisco "faqat" 700 ta tashqi bulut xizmatlaridan foydalanadi. Shuning uchun men bu raqamlardan biroz chalkashib ketdim. Biroq, har qanday holatda, muammo ularda emas, balki bulutdan o'z tarmoqlarida bo'lgani kabi bulutli infratuzilmani kuzatish uchun bir xil imkoniyatlarga ega bo'lishni xohlaydigan ko'plab kompaniyalar tomonidan faol foydalanila boshlaganida. Va bu tendentsiya o'sib bormoqda - ko'ra Amerika Hisob palatasiga ko'ra 2023 yilga kelib, Qo'shma Shtatlarda 1200 ta ma'lumot markazlari yopiladi (6250 tasi allaqachon yopilgan). Ammo bulutga o'tish shunchaki "serverlarimizni tashqi provayderga o'tkazamiz" emas. Yangi IT arxitekturasi, yangi dasturiy ta'minot, yangi jarayonlar, yangi cheklovlar... Bularning barchasi nafaqat IT, balki axborot xavfsizligi faoliyatiga ham jiddiy o'zgarishlar olib keladi. Va agar provayderlar qandaydir tarzda bulutning o'zi xavfsizligini ta'minlashni o'rgangan bo'lsa (xayriyatki, juda ko'p tavsiyalar mavjud), bulutli axborot xavfsizligi monitoringi bilan, ayniqsa SaaS platformalarida, biz gaplashadigan jiddiy qiyinchiliklar mavjud.

Bulutli xavfsizlik monitoringi

Aytaylik, kompaniyangiz infratuzilmasining bir qismini bulutga o‘tkazdi... To‘xtating. Unday emas. Agar infratuzilma o'tkazilgan bo'lsa va siz hozir uni qanday kuzatish haqida o'ylayotgan bo'lsangiz, unda siz allaqachon yo'qotib qo'ygansiz. Agar bu Amazon, Google yoki Microsoft (va keyin bandlovlar bilan) bo'lmasa, sizda ma'lumotlar va ilovalaringizni kuzatish imkoni bo'lmasligi mumkin. Agar sizga jurnallar bilan ishlash imkoniyati berilsa yaxshi. Ba'zida xavfsizlik hodisasi ma'lumotlari mavjud bo'ladi, lekin siz unga kira olmaysiz. Masalan, Office 365. Agar sizda eng arzon E1 litsenziyasi bo'lsa, unda xavfsizlik hodisalari siz uchun umuman mavjud emas. Agar sizda E3 litsenziyasi bo'lsa, sizning ma'lumotlaringiz atigi 90 kun davomida saqlanadi va faqat sizda E5 litsenziyasi bo'lsa, jurnallarning davomiyligi bir yil davomida mavjud (ammo, bu ham alohida talab bilan bog'liq o'ziga xos nuanslarga ega. Microsoft qo'llab-quvvatlash xizmatidan jurnallar bilan ishlash uchun bir qator funktsiyalarni so'rang). Aytgancha, E3 litsenziyasi korporativ birjaga qaraganda monitoring funktsiyalari nuqtai nazaridan ancha zaifdir. Xuddi shu darajaga erishish uchun sizga E5 litsenziyasi yoki qo'shimcha Advanced Compliance litsenziyasi kerak bo'ladi, bu esa bulutli infratuzilmaga o'tish uchun moliyaviy modelingizga kiritilmagan qo'shimcha pul talab qilishi mumkin. Va bu bulutli axborot xavfsizligi monitoringi bilan bog'liq muammolarni etarlicha baholamaslikning bir misolidir. Ushbu maqolada, o'zimni to'liq deb ko'rsatmasdan, men xavfsizlik nuqtai nazaridan bulutli provayderni tanlashda e'tiborga olinishi kerak bo'lgan ba'zi nuanslarga e'tibor qaratmoqchiman. Va maqolaning oxirida bulutli axborot xavfsizligini monitoring qilish masalasi hal qilinganligini hisobga olishdan oldin to'ldirishga arziydigan nazorat ro'yxati beriladi.

Bulutli muhitda hodisalarga olib keladigan bir nechta tipik muammolar mavjud bo'lib, ularga axborot xavfsizligi xizmatlari javob berishga ulgurmaydi yoki ularni umuman ko'rmaydi:

  • Xavfsizlik jurnallari mavjud emas. Bu juda keng tarqalgan holat, ayniqsa bulutli echimlar bozorida yangi o'yinchilar orasida. Lekin siz darhol ulardan voz kechmasligingiz kerak. Kichik o'yinchilar, ayniqsa mahalliy o'yinchilar, mijozlar talablariga ko'proq sezgir va o'z mahsulotlari uchun tasdiqlangan yo'l xaritasini o'zgartirish orqali ba'zi kerakli funktsiyalarni tezda amalga oshirishlari mumkin. Ha, bu Amazon-dan GuardDuty-ning analogi yoki Bitrix-dan "Proaktiv himoya" moduli bo'lmaydi, lekin hech bo'lmaganda biror narsa.
  • Axborot xavfsizligi jurnallar qayerda saqlanganligini yoki ularga kirish imkoni yo'qligini bilmaydi. Bu erda bulutli xizmat ko'rsatuvchi provayder bilan muzokaralar olib borish kerak - ehtimol u mijozni o'zi uchun muhim deb hisoblasa, bunday ma'lumotni beradi. Ammo umuman olganda, jurnallarga kirish "maxsus qaror bilan" ta'minlanganda unchalik yaxshi emas.
  • Bundan tashqari, bulutli provayderda jurnallar mavjud, ammo ular cheklangan monitoring va hodisalarni qayd etishni ta'minlaydi, bu esa barcha hodisalarni aniqlash uchun etarli emas. Masalan, siz faqat veb-saytdagi o'zgarishlar jurnallarini yoki foydalanuvchi autentifikatsiya qilish urinishlari jurnallarini olishingiz mumkin, lekin boshqa hodisalarni, masalan, tarmoq trafigini emas, bu sizning bulut infratuzilmangizni buzishga urinishlarni tavsiflovchi voqealarning butun qatlamini sizdan yashiradi.
  • Jurnallar mavjud, ammo ularga kirishni avtomatlashtirish qiyin, bu ularni doimiy ravishda emas, balki jadval bo'yicha kuzatib borishga majbur qiladi. Va agar siz jurnallarni avtomatik ravishda yuklab olmasangiz, jurnallarni, masalan, Excel formatida (bir qator mahalliy bulutli yechim provayderlarida bo'lgani kabi) yuklab olish, hatto korporativ axborot xavfsizligi xizmatining ular bilan ishlashni istamasligiga olib kelishi mumkin.
  • Jurnal monitoringi yo'q. Bu, ehtimol, bulutli muhitda axborot xavfsizligi hodisalarining yuzaga kelishining eng noaniq sababidir. Ko'rinishidan, jurnallar mavjud va ularga kirishni avtomatlashtirish mumkin, ammo hech kim buni qilmaydi. Nega?

Umumiy bulut xavfsizligi kontseptsiyasi

Bulutga o'tish har doim infratuzilma ustidan nazoratni saqlab qolish va uni saqlashga ixtisoslashgan bulut provayderining professional qo'llariga topshirish istagi o'rtasidagi muvozanatni izlashdir. Bulut xavfsizligi sohasida ham bu muvozanatni izlash kerak. Bundan tashqari, foydalanilgan bulut xizmatlarini yetkazib berish modeliga (IaaS, PaaS, SaaS) qarab, bu balans har doim boshqacha bo'ladi. Qanday bo'lmasin, bugungi kunda barcha bulutli provayderlar umumiy javobgarlik va umumiy axborot xavfsizligi modeliga amal qilishlarini yodda tutishimiz kerak. Ba'zi narsalar uchun bulut mas'ul, boshqalari uchun esa mijoz o'z ma'lumotlarini, ilovalarini, virtual mashinalarini va boshqa resurslarni bulutga joylashtirish uchun javobgardir. Bulutga o'tish orqali biz barcha mas'uliyatni provayderga o'tkazamiz, deb kutish beparvo bo'lar edi. Ammo bulutga o'tishda barcha xavfsizlikni o'zingiz qurish ham oqilona emas. Muvozanat talab qilinadi, bu ko'plab omillarga bog'liq bo'ladi: - xavflarni boshqarish strategiyasi, tahdid modeli, bulut provayderi uchun mavjud xavfsizlik mexanizmlari, qonunchilik va boshqalar.

Bulutli xavfsizlik monitoringi

Misol uchun, bulutda joylashtirilgan ma'lumotlarni tasniflash har doim mijozning javobgarligi. Bulutli provayder yoki tashqi xizmat ko'rsatuvchi provayder unga faqat bulutdagi ma'lumotlarni belgilash, qoidabuzarliklarni aniqlash, qonunni buzgan ma'lumotlarni o'chirish yoki u yoki bu usul yordamida uni maskalashga yordam beradigan vositalar bilan yordam berishi mumkin. Boshqa tomondan, jismoniy xavfsizlik har doim bulut provayderining mas'uliyati bo'lib, u mijozlar bilan baham ko'ra olmaydi. Ammo ma'lumotlar va jismoniy infratuzilma o'rtasidagi barcha narsalar ushbu maqolada muhokama qilinadigan mavzudir. Misol uchun, bulutning mavjudligi provayderning javobgarligi, xavfsizlik devori qoidalarini o'rnatish yoki shifrlashni yoqish esa mijozning javobgarligi. Ushbu maqolada biz bugungi kunda Rossiyadagi turli xil bulutli provayderlar tomonidan axborot xavfsizligi monitoringi mexanizmlari qanday taqdim etilayotganini, ulardan foydalanish xususiyatlari qanday va tashqi qoplamali echimlarni qachon ko'rib chiqishga arziydi (masalan, Cisco E- mail Security) kiberxavfsizlik nuqtai nazaridan bulutingizning imkoniyatlarini kengaytiradi. Ba'zi hollarda, ayniqsa, siz ko'p bulutli strategiyaga amal qilsangiz, bir vaqtning o'zida bir nechta bulutli muhitda (masalan, Cisco CloudLock yoki Cisco Stealthwatch Cloud) tashqi axborot xavfsizligi monitoringi yechimlaridan foydalanishdan boshqa tanlovingiz bo'lmaydi. Xo'sh, ba'zi hollarda siz tanlagan (yoki sizga yuklagan) bulutli provayder hech qanday axborot xavfsizligi monitoringi imkoniyatlarini taklif qilmasligini tushunasiz. Bu yoqimsiz, lekin unchalik ham emas, chunki bu bulut bilan ishlash bilan bog'liq xavf darajasini etarli darajada baholashga imkon beradi.

Bulutli xavfsizlik monitoringi hayot aylanishi

Siz foydalanadigan bulutlar xavfsizligini kuzatish uchun sizda faqat uchta variant mavjud:

  • bulut provayderingiz tomonidan taqdim etilgan vositalarga tayaning,
  • siz foydalanadigan IaaS, PaaS yoki SaaS platformalarini kuzatadigan uchinchi tomon yechimlaridan foydalaning,
  • o'zingizning bulutli monitoring infratuzilmangizni yarating (faqat IaaS/PaaS platformalari uchun).

Keling, ushbu variantlarning har biri qanday xususiyatlarga ega ekanligini ko'rib chiqaylik. Lekin birinchi navbatda, bulutli platformalarni kuzatishda foydalaniladigan umumiy asosni tushunishimiz kerak. Bulutdagi axborot xavfsizligi monitoringi jarayonining 6 ta asosiy komponentini ajratib ko'rsataman:

  • Infratuzilmani tayyorlash. Axborot xavfsizligi uchun muhim voqealarni saqlash uchun to'plash uchun zarur ilovalar va infratuzilmani aniqlash.
  • To'plam. Ushbu bosqichda xavfsizlik hodisalari qayta ishlash, saqlash va tahlil qilish uchun keyingi uzatish uchun turli manbalardan jamlanadi.
  • Davolash. Ushbu bosqichda ma'lumotlar keyingi tahlilni osonlashtirish uchun o'zgartiriladi va boyitiladi.
  • Saqlash. Ushbu komponent yig'ilgan qayta ishlangan va xom ma'lumotlarni qisqa muddatli va uzoq muddatli saqlash uchun javobgardir.
  • Tahlil. Ushbu bosqichda siz hodisalarni aniqlash va ularga avtomatik yoki qo'lda javob berish imkoniyatiga egasiz.
  • Hisobot. Ushbu bosqich manfaatdor tomonlar (boshqaruv, auditorlar, bulutli provayder, mijozlar va boshqalar) uchun asosiy ko'rsatkichlarni shakllantirishga yordam beradi, ular bizga ma'lum qarorlar qabul qilishda yordam beradi, masalan, provayderni o'zgartirish yoki axborot xavfsizligini mustahkamlash.

Ushbu komponentlarni tushunish kelajakda provayderingizdan nimani olishingiz mumkinligini va o'zingiz yoki tashqi maslahatchilarni jalb qilgan holda nima qilishingiz kerakligini tezda hal qilish imkonini beradi.

O'rnatilgan bulutli xizmatlar

Yuqorida men yuqorida yozgan edim, bugungi kunda ko'plab bulutli xizmatlar axborot xavfsizligini monitoring qilish qobiliyatini ta'minlamaydi. Umuman olganda, ular axborot xavfsizligi mavzusiga unchalik ahamiyat berishmaydi. Misol uchun, Internet orqali davlat organlariga hisobotlarni jo'natish bo'yicha mashhur rus xizmatlaridan biri (men uning nomini alohida aytib o'tmayman). Ushbu xizmatning xavfsizligi haqidagi butun bo'lim sertifikatlangan CIPF dan foydalanish atrofida aylanadi. Elektron hujjat aylanishi uchun boshqa mahalliy bulut xizmatining axborot xavfsizligi bo'limi bundan farq qilmaydi. Unda ochiq kalit sertifikatlari, sertifikatlangan kriptografiya, veb-zaifliklarni bartaraf etish, DDoS hujumlaridan himoyalanish, xavfsizlik devorlaridan foydalanish, zahira nusxalari va hatto muntazam axborot xavfsizligi auditlari haqida so‘z boradi. Ammo monitoring haqida ham, ushbu xizmat ko'rsatuvchi provayder mijozlari uchun qiziqarli bo'lishi mumkin bo'lgan axborot xavfsizligi hodisalariga kirish imkoniyati haqida ham bir so'z yo'q.

Umuman olganda, bulut provayderi o'z veb-saytida va hujjatlarida axborot xavfsizligi masalalarini tasvirlab berganidek, bu muammoni qanchalik jiddiy qabul qilishini tushunishingiz mumkin. Misol uchun, agar siz "Mening ofisim" mahsulotlari uchun qo'llanmalarni o'qisangiz, xavfsizlik haqida umuman so'z yo'q, lekin "Mening ofisim" alohida mahsuloti hujjatlarida. KS3" ruxsatsiz kirishdan himoya qilish uchun mo'ljallangan, "Mening ofisim.KS17" amalga oshiradigan FSTEC ning 3-darajali nuqtalarining odatiy ro'yxati mavjud, ammo uni qanday amalga oshirishi va eng muhimi, qanday amalga oshirilishi tasvirlanmagan. ushbu mexanizmlarni korporativ axborot xavfsizligi bilan birlashtirish. Ehtimol, bunday hujjatlar mavjuddir, lekin men uni jamoat mulkida, "Mening ofisim" veb-saytida topmadim. Garchi menda bu maxfiy ma'lumotlarga kirish imkoni yo'qdir?..

Bulutli xavfsizlik monitoringi

Bitrix uchun vaziyat ancha yaxshi. Hujjatlar hodisalar jurnallarining formatlarini va eng qizig'i, bulutli platformaga potentsial tahdidlar bilan bog'liq hodisalarni o'z ichiga olgan hujumlar jurnalini tavsiflaydi. U yerdan IP, foydalanuvchi yoki mehmon nomi, voqea manbasi, vaqt, foydalanuvchi agenti, hodisa turi va boshqalarni chiqarib olishingiz mumkin. To'g'ri, siz ushbu hodisalar bilan bulutning boshqaruv panelidan ishlashingiz yoki ma'lumotlarni MS Excel formatida yuklashingiz mumkin. Endi Bitrix jurnallari bilan ishlashni avtomatlashtirish qiyin va siz ba'zi ishlarni qo'lda bajarishingiz kerak bo'ladi (hisobotni yuklash va uni SIEM-ga yuklash). Ammo yaqin vaqtgacha bunday imkoniyat bo'lmaganini eslasak, bu juda katta taraqqiyot. Shu bilan birga, shuni ta'kidlashni istardimki, ko'plab xorijiy bulutli provayderlar "yangi boshlanuvchilar uchun" shunga o'xshash funksiyani taklif qilishadi - yoki boshqaruv paneli orqali jurnallarga ko'z bilan qarang yoki ma'lumotlarni o'zingizga yuklang (ammo, ko'pchilik ma'lumotlarni . Excel emas, csv formati).

Bulutli xavfsizlik monitoringi

Jurnalsiz opsiyani hisobga olmagan holda, bulutli provayderlar odatda xavfsizlik hodisalarini kuzatishning uchta variantini taklif qiladilar - asboblar paneli, ma'lumotlarni yuklash va API kirish. Birinchisi siz uchun ko'p muammolarni hal qilganga o'xshaydi, lekin bu mutlaqo to'g'ri emas - agar sizda bir nechta jurnallar bo'lsa, umumiy rasmni yo'qotib, ularni ko'rsatadigan ekranlar o'rtasida almashishingiz kerak. Bundan tashqari, bulut provayderi sizga xavfsizlik hodisalarini o'zaro bog'lash va ularni xavfsizlik nuqtai nazaridan tahlil qilish qobiliyatini taqdim etishi dargumon (odatda siz o'zingiz tushunishingiz kerak bo'lgan xom ma'lumotlar bilan shug'ullanasiz). Istisnolar mavjud va biz ular haqida batafsilroq gaplashamiz. Nihoyat, bulutli provayderingiz tomonidan qanday voqealar qayd etilgani, qaysi formatda va ular sizning axborot xavfsizligi monitoringi jarayoningizga qanday mos kelishini so'rashga arziydi. Masalan, foydalanuvchilar va mehmonlarni identifikatsiya qilish va autentifikatsiya qilish. Xuddi shu Bitrix sizga ushbu voqealarga asoslanib, voqea sanasi va vaqtini, foydalanuvchi yoki mehmonning ismini (agar sizda "Web Analytics" moduli bo'lsa), kirish ob'ekti va veb-saytga xos bo'lgan boshqa elementlarni yozib olish imkonini beradi. . Ammo korporativ axborot xavfsizligi xizmatlari foydalanuvchining ishonchli qurilmadan bulutga kirganligi haqida ma'lumotga muhtoj bo'lishi mumkin (masalan, korporativ tarmoqda bu vazifa Cisco ISE tomonidan amalga oshiriladi). Bulutli xizmat foydalanuvchisi hisobi o'g'irlanganligini aniqlashga yordam beradigan geo-IP funktsiyasi kabi oddiy vazifa haqida nima deyish mumkin? Va hatto bulut provayderi buni sizga taqdim qilsa ham, bu etarli emas. Xuddi shu Cisco CloudLock nafaqat geolokatsiyani tahlil qiladi, balki buning uchun mashinani o'rganishdan foydalanadi va har bir foydalanuvchi uchun tarixiy ma'lumotlarni tahlil qiladi va identifikatsiya va autentifikatsiya urinishlaridagi turli anomaliyalarni nazorat qiladi. Faqat MS Azure shunga o'xshash funksiyaga ega (agar sizda tegishli obuna bo'lsa).

Bulutli xavfsizlik monitoringi

Yana bir qiyinchilik bor - ko'pgina bulutli provayderlar uchun axborot xavfsizligi monitoringi ular endigina shug'ullanayotgan yangi mavzu bo'lgani uchun ular doimo o'z yechimlarida nimanidir o'zgartiradilar. Bugun ular API ning bitta versiyasiga ega, ertaga boshqasi, ertaga uchinchisi. Siz ham bunga tayyor bo'lishingiz kerak. Xuddi shu narsa o'zgarishi mumkin bo'lgan funksionallikka ham tegishli, bu sizning axborot xavfsizligi monitoringi tizimingizda hisobga olinishi kerak. Misol uchun, Amazon dastlab bulutli hodisalarni kuzatish uchun alohida xizmatlarga ega edi - AWS CloudTrail va AWS CloudWatch. Keyin axborot xavfsizligi hodisalarini kuzatish uchun alohida xizmat paydo bo'ldi - AWS GuardDuty. Bir muncha vaqt o'tgach, Amazon Amazon Security Hub yangi boshqaruv tizimini ishga tushirdi, u GuardDuty, Amazon Inspector, Amazon Macie va boshqalardan olingan ma'lumotlar tahlilini o'z ichiga oladi. Yana bir misol - Azure jurnallarini SIEM - AzLog bilan integratsiyalash vositasi. U ko'plab SIEM sotuvchilari tomonidan faol foydalanilgan, 2018 yilgacha Microsoft o'zining rivojlanishi va qo'llab-quvvatlashini to'xtatganini e'lon qildi, bu esa ushbu vositadan foydalangan ko'plab mijozlarga muammoga duch keldi (buni qanday hal qilingani haqida keyinroq gaplashamiz).

Shuning uchun, bulut provayderingiz sizga taqdim etadigan barcha monitoring xususiyatlarini diqqat bilan kuzatib boring. Yoki SOC va siz kuzatmoqchi bo'lgan bulut o'rtasida vositachi bo'lib ishlaydigan tashqi yechim provayderlariga ishoning. Ha, bu qimmatroq bo'ladi (har doim bo'lmasa ham), lekin siz barcha mas'uliyatni boshqa birovning yelkasiga yuklaysiz. Yoki hammasi emasmi?.. Keling, umumiy xavfsizlik tushunchasini eslaylik va biz hech narsani o'zgartira olmasligimizni tushunamiz - biz turli xil bulutli provayderlar sizning ma'lumotlaringiz, ilovalaringiz, virtual mashinalaringiz va boshqa resurslaringizning axborot xavfsizligi monitoringini qanday ta'minlashini mustaqil ravishda tushunishimiz kerak. bulutda joylashtirilgan. Va biz ushbu qismda Amazon taklif qiladigan narsalardan boshlaymiz.

Misol: AWS asosidagi IaaS da axborot xavfsizligi monitoringi

Ha, ha, men Amazon eng yaxshi namuna emasligini tushunaman, chunki bu Amerika xizmati va u ekstremizmga qarshi kurash va Rossiyada taqiqlangan ma'lumotlarni tarqatish doirasida bloklanishi mumkin. Ammo men ushbu nashrda turli xil bulutli platformalar axborot xavfsizligi monitoringi imkoniyatlarida qanday farq qilishini va xavfsizlik nuqtai nazaridan asosiy jarayonlarni bulutlarga o'tkazishda nimalarga e'tibor berish kerakligini ko'rsatmoqchiman. Xo'sh, agar rus bulutli echimlarni ishlab chiquvchilarning ba'zilari o'zlari uchun foydali narsalarni o'rganishsa, bu juda yaxshi bo'ladi.

Bulutli xavfsizlik monitoringi

Birinchi narsa shuni aytish kerakki, Amazon o'tib bo'lmaydigan qal'a emas. Uning mijozlari bilan muntazam ravishda turli hodisalar sodir bo'ladi. Masalan, Deep Root Analytics’dan 198 million saylovchining ism-sharifi, manzili, tug‘ilgan sanasi va telefon raqamlari o‘g‘irlangan. Isroilning Nice Systems kompaniyasi Verizon abonentlarining 14 million yozuvini o'g'irladi. Biroq, AWS-ning o'rnatilgan imkoniyatlari sizga turli xil hodisalarni aniqlash imkonini beradi. Masalan:

  • infratuzilmaga ta'siri (DDoS)
  • tugunning buzilishi (buyruqni kiritish)
  • hisobni buzish va ruxsatsiz kirish
  • noto'g'ri konfiguratsiya va zaifliklar
  • xavfsiz interfeyslar va API.

Ushbu nomuvofiqlik, yuqorida bilib olganimizdek, mijozning o'zi mijozlar ma'lumotlarining xavfsizligi uchun javobgar ekanligi bilan bog'liq. Va agar u himoya mexanizmlarini yoqishdan bezovta qilmagan bo'lsa va monitoring vositalarini yoqmagan bo'lsa, u voqea haqida faqat ommaviy axborot vositalaridan yoki mijozlaridan bilib oladi.

Voqealarni aniqlash uchun siz Amazon tomonidan ishlab chiqilgan turli xil monitoring xizmatlaridan foydalanishingiz mumkin (garchi ular ko'pincha osquery kabi tashqi vositalar bilan to'ldiriladi). Shunday qilib, AWS-da foydalanuvchining barcha harakatlari qanday amalga oshirilganidan qat'i nazar - boshqaruv konsoli, buyruq qatori, SDK yoki boshqa AWS xizmatlari orqali nazorat qilinadi. Har bir AWS hisobi faoliyati (jumladan, foydalanuvchi nomi, harakat, xizmat, faollik parametrlari va natija) va API foydalanish haqidagi barcha yozuvlar AWS CloudTrail orqali mavjud. Siz ushbu hodisalarni (masalan, AWS IAM konsoliga kirish) CloudTrail konsolidan koʻrishingiz, Amazon Athena yordamida tahlil qilishingiz yoki Splunk, AlienVault va boshqalar kabi tashqi yechimlarga “autsorsing” qilishingiz mumkin. AWS CloudTrail jurnallarining o'zlari AWS S3 paqiringizga joylashtirilgan.

Bulutli xavfsizlik monitoringi

Yana ikkita AWS xizmatlari bir qator boshqa muhim monitoring imkoniyatlarini taqdim etadi. Birinchidan, Amazon CloudWatch AWS resurslari va ilovalari uchun monitoring xizmati bo‘lib, u boshqa narsalar qatori bulutdagi turli anomaliyalarni aniqlash imkonini beradi. Amazon Elastic Compute Cloud (serverlar), Amazon Relational Database Service (ma’lumotlar bazalari), Amazon Elastic MapReduce (ma’lumotlar tahlili) va boshqa 30 ta Amazon xizmatlari kabi barcha o‘rnatilgan AWS xizmatlari o‘z jurnallarini saqlash uchun Amazon CloudWatch’dan foydalanadi. Ishlab chiquvchilar Amazon CloudWatch’dan ochiq API’dan maxsus ilovalar va xizmatlarga jurnal monitoringi funksiyasini qo‘shish uchun foydalanishlari mumkin, bu ularga xavfsizlik kontekstida hodisalar tahlili ko‘lamini kengaytirish imkonini beradi.

Bulutli xavfsizlik monitoringi

Ikkinchidan, VPC Flow Logs xizmati AWS serverlaringiz (tashqi yoki ichki) tomonidan yuborilgan yoki qabul qilingan tarmoq trafigini, shuningdek, mikroservislar oʻrtasida tahlil qilish imkonini beradi. Har qanday AWS VPC resurslaringiz tarmoq bilan o‘zaro aloqada bo‘lganda, VPC Flow Logs tarmoq trafigiga oid tafsilotlarni, jumladan manba va maqsad tarmoq interfeysini, shuningdek, IP manzillari, portlari, protokoli, baytlar soni va paketlar sonini yozib oladi. ko'rgan. Mahalliy tarmoq xavfsizligi bo'yicha tajribaga ega bo'lganlar buni mavzularga o'xshash deb bilishadi NetFlow, bu kalitlar, marshrutizatorlar va korporativ darajadagi xavfsizlik devorlari tomonidan yaratilishi mumkin. Ushbu jurnallar axborot xavfsizligi monitoringi maqsadlarida muhim ahamiyatga ega, chunki foydalanuvchilar va ilovalarning harakatlariga oid voqealardan farqli o'laroq, ular AWS virtual xususiy bulut muhitida tarmoq shovqinlarini o'tkazib yubormaslikka imkon beradi.

Bulutli xavfsizlik monitoringi

Xulosa qilib aytganda, ushbu uchta AWS xizmatlari — AWS CloudTrail, Amazon CloudWatch va VPC Flow Logs — birgalikda hisobingizdan foydalanish, foydalanuvchi xatti-harakati, infratuzilmani boshqarish, ilova va xizmat faoliyati hamda tarmoq faoliyati haqida juda kuchli maʼlumot beradi. Masalan, ular quyidagi anomaliyalarni aniqlash uchun ishlatilishi mumkin:

  • Saytni skanerlash, orqa eshiklarni qidirish, "404 xato" portlashlari orqali zaifliklarni qidirishga urinishlar.
  • Injection hujumlar (masalan, SQL in'ektsiyasi) "500 ta xato" portlashlari orqali.
  • Ma'lum bo'lgan hujum vositalari - sqlmap, nikto, w3af, nmap va boshqalar. Foydalanuvchi agenti maydonini tahlil qilish orqali.

Amazon Web Services, shuningdek, kiberxavfsizlik maqsadlarida ko'plab boshqa muammolarni hal qilish imkonini beruvchi boshqa xizmatlarni ishlab chiqdi. Masalan, AWS siyosat va konfiguratsiyalarni tekshirish uchun o'rnatilgan xizmatga ega - AWS Config. Ushbu xizmat AWS resurslaringiz va ularning konfiguratsiyalarini doimiy tekshirishni ta'minlaydi. Oddiy misolni olaylik: Aytaylik, siz barcha serverlaringizda foydalanuvchi parollari o'chirilganligiga ishonch hosil qilmoqchisiz va kirish faqat sertifikatlar asosida mumkin. AWS Config buni barcha serverlaringiz uchun tekshirishni osonlashtiradi. Bulutli serverlaringizga qo'llanilishi mumkin bo'lgan boshqa siyosatlar ham mavjud: "Hech bir server 22-portdan foydalana olmaydi", "Faqat ma'murlar xavfsizlik devori qoidalarini o'zgartirishi mumkin" yoki "Faqat foydalanuvchi Ivashko yangi foydalanuvchi hisoblarini yaratishi mumkin va u buni faqat seshanba kunlari amalga oshirishi mumkin. " 2016 yilning yozida AWS Config xizmati ishlab chiqilgan siyosatlarning buzilishini aniqlashni avtomatlashtirish uchun kengaytirildi. AWS Config Rules asosan siz foydalanadigan Amazon xizmatlari uchun uzluksiz konfiguratsiya soʻrovlari boʻlib, tegishli siyosatlar buzilgan taqdirda hodisalarni keltirib chiqaradi. Masalan, virtual serverdagi barcha disklar shifrlanganligini tekshirish uchun vaqti-vaqti bilan AWS Config so‘rovlarini o‘tkazish o‘rniga, AWS Config Rules ushbu shart bajarilishini ta’minlash uchun server disklarini doimiy tekshirish uchun ishlatilishi mumkin. Va eng muhimi, ushbu nashr kontekstida har qanday qoidabuzarliklar sizning axborot xavfsizligi xizmati tomonidan tahlil qilinishi mumkin bo'lgan voqealarni keltirib chiqaradi.

Bulutli xavfsizlik monitoringi

AWS shuningdek, siz tahlil qilishingiz va tahlil qilishingiz kerak bo'lgan xavfsizlik hodisalarini yaratadigan an'anaviy korporativ axborot xavfsizligi echimlariga ekvivalentiga ega:

  • Intrusionni aniqlash - AWS GuardDuty
  • Axborot oqishini nazorat qilish - AWS Macie
  • EDR (garchi u bulutdagi so'nggi nuqtalar haqida biroz g'alati gapirsa ham) - AWS Cloudwatch + ochiq manbali osquery yoki GRR yechimlari
  • Netflow tahlili - AWS Cloudwatch + AWS VPC Flow
  • DNS tahlili - AWS Cloudwatch + AWS Route53
  • AD - AWS katalog xizmati
  • Hisobni boshqarish - AWS IAM
  • SSO - AWS SSO
  • xavfsizlik tahlili - AWS inspektori
  • konfiguratsiyani boshqarish - AWS Config
  • WAF - AWS WAF.

Axborot xavfsizligi kontekstida foydali bo'lishi mumkin bo'lgan barcha Amazon xizmatlarini batafsil tasvirlab bermayman. Asosiysi, ularning barchasi biz axborot xavfsizligi kontekstida tahlil qila oladigan va tahlil qilishimiz kerak bo'lgan voqealarni yaratishi mumkinligini tushunish, buning uchun Amazonning o'ziga o'rnatilgan imkoniyatlari va tashqi echimlar, masalan, SIEM, xavfsizlik hodisalarini monitoring markazingizga olib boring va ularni boshqa bulut xizmatlari yoki ichki infratuzilma, perimetr yoki mobil qurilmalar voqealari bilan birga tahlil qiling.

Bulutli xavfsizlik monitoringi

Qanday bo'lmasin, barchasi sizni axborot xavfsizligi hodisalari bilan ta'minlaydigan ma'lumotlar manbalaridan boshlanadi. Ushbu manbalarga quyidagilar kiradi, lekin ular bilan cheklanmaydi:

  • CloudTrail - API foydalanish va foydalanuvchi harakatlari
  • Ishonchli maslahatchi - eng yaxshi amaliyotlarga qarshi xavfsizlikni tekshirish
  • Config - hisoblar va xizmat sozlamalarini inventarizatsiya qilish va sozlash
  • VPC Flow Logs - virtual interfeyslarga ulanish
  • IAM - identifikatsiya va autentifikatsiya xizmati
  • ELB kirish jurnallari - Load Balancer
  • Inspektor - dastur zaifliklari
  • S3 - fayllarni saqlash
  • CloudWatch - Ilova faoliyati
  • SNS - bu xabar berish xizmati.

Amazon voqea manbalari va ularni yaratish vositalarini taqdim etar ekan, axborot xavfsizligi kontekstida to'plangan ma'lumotlarni tahlil qilish imkoniyati juda cheklangan. Siz mavjud jurnallarni mustaqil ravishda o'rganishingiz kerak, ulardagi tegishli kelishuv ko'rsatkichlarini qidirasiz. Amazon yaqinda ishga tushirilgan AWS Security Hub ushbu muammoni AWS uchun bulutli SIEMga aylanish orqali hal qilishni maqsad qilgan. Ammo hozircha u faqat sayohatning boshida va u ishlaydigan manbalar soni va Amazonning o'zi arxitekturasi va obunalari tomonidan o'rnatilgan boshqa cheklovlar bilan cheklangan.

Misol: Azure asosidagi IaaS da axborot xavfsizligi monitoringi

Men uchta bulut provayderining (Amazon, Microsoft yoki Google) qaysi biri yaxshiroq ekanligi haqida uzoq bahslashmoqchi emasman (ayniqsa, ularning har biri hali ham o'ziga xos xususiyatlarga ega va o'z muammolarini hal qilish uchun mos); Keling, ushbu o'yinchilar taqdim etadigan axborot xavfsizligi monitoringi imkoniyatlariga e'tibor qarataylik. Shuni tan olish kerakki, Amazon AWS ushbu segmentda birinchilardan biri bo'lgan va shuning uchun axborot xavfsizligi funktsiyalari bo'yicha eng uzoqqa erishgan (garchi ko'pchilik ulardan foydalanish qiyinligini tan oladi). Ammo bu biz Microsoft va Google bizga taqdim etayotgan imkoniyatlarni e'tiborsiz qoldiramiz degani emas.

Microsoft mahsulotlari har doim o'zining "ochiqligi" bilan ajralib turadi va Azure-da vaziyat o'xshash. Misol uchun, agar AWS va GCP har doim "ruxsat etilmagan narsa taqiqlangan" tushunchasidan kelib chiqsa, Azure mutlaqo teskari yondashuvga ega. Masalan, bulutda virtual tarmoq va undagi virtual mashinani yaratishda barcha portlar va protokollar ochiq va sukut bo'yicha ruxsat etiladi. Shuning uchun, Microsoft-dan bulutdagi kirishni boshqarish tizimini dastlabki sozlash uchun biroz ko'proq kuch sarflashingiz kerak bo'ladi. Va bu sizga Azure bulutidagi faoliyatni kuzatish nuqtai nazaridan yanada qattiqroq talablarni qo'yadi.

Bulutli xavfsizlik monitoringi

AWS-ning o'ziga xos xususiyati shundaki, siz virtual resurslaringizni kuzatib borganingizda, agar ular turli mintaqalarda joylashgan bo'lsa, unda siz barcha hodisalarni va ularning yagona tahlilini birlashtirishda qiyinchiliklarga duch kelasiz, ularni yo'q qilish uchun turli xil hiyla-nayranglarga murojaat qilishingiz kerak, masalan. AWS Lambda uchun o'z kodingizni yarating, u mintaqalar o'rtasida voqealarni o'tkazadi. Azure-da bunday muammo yo'q - uning Faoliyat jurnali mexanizmi butun tashkilotdagi barcha faoliyatni cheklovlarsiz kuzatib boradi. Xuddi shu narsa AWS Security Hub uchun ham amal qiladi, u yaqinda Amazon tomonidan ko'plab xavfsizlik funktsiyalarini yagona xavfsizlik markazida birlashtirish uchun ishlab chiqilgan, ammo faqat o'z mintaqasida, ammo bu Rossiya uchun ahamiyatli emas. Azure o'zining Xavfsizlik markaziga ega, u mintaqaviy cheklovlar bilan bog'lanmagan va bulutli platformaning barcha xavfsizlik xususiyatlariga kirishni ta'minlaydi. Bundan tashqari, turli mahalliy jamoalar uchun u o'zining himoya imkoniyatlarini, shu jumladan ular tomonidan boshqariladigan xavfsizlik hodisalarini taqdim etishi mumkin. AWS Security Hub hali ham Azure xavfsizlik markaziga o'xshash bo'lish yo'lida. Ammo malhamga chivin qo'shishga arziydi - siz Azure-dan AWS-da ilgari tasvirlangan ko'p narsalarni siqib chiqarishingiz mumkin, ammo bu faqat Azure AD, Azure Monitor va Azure Security Center uchun eng qulay tarzda amalga oshiriladi. Boshqa barcha Azure xavfsizlik mexanizmlari, shu jumladan xavfsizlik hodisalari tahlili, hali eng qulay tarzda boshqarilmagan. Muammo qisman barcha Microsoft Azure xizmatlarini qamrab oluvchi API tomonidan hal qilinadi, ammo bu sizning bulutingizni SOC bilan integratsiya qilish va malakali mutaxassislarning mavjudligi (aslida, bulut bilan ishlaydigan har qanday boshqa SIEM kabi) uchun sizdan qo'shimcha kuch talab qiladi. API). Keyinchalik muhokama qilinadigan ba'zi SIEM-lar allaqachon Azure-ni qo'llab-quvvatlaydi va uni monitoring qilish vazifasini avtomatlashtirishi mumkin, ammo uning o'ziga xos qiyinchiliklari ham bor - ularning hammasi ham Azure-da mavjud bo'lgan barcha jurnallarni to'play olmaydi.

Bulutli xavfsizlik monitoringi

Azure-da hodisalarni yig'ish va monitoring qilish Microsoft bulutida va uning resurslarida ma'lumotlarni to'plash, saqlash va tahlil qilish uchun asosiy vosita bo'lgan Azure Monitor xizmati yordamida amalga oshiriladi - Git omborlari, konteynerlar, virtual mashinalar, ilovalar va boshqalar. Azure Monitor tomonidan to'plangan barcha ma'lumotlar ikki toifaga bo'lingan - real vaqt rejimida to'plangan va Azure bulutining asosiy ishlash ko'rsatkichlarini tavsiflovchi ko'rsatkichlar va Azure resurslari va xizmatlari faoliyatining ayrim jihatlarini tavsiflovchi yozuvlarga tashkil etilgan ma'lumotlarni o'z ichiga olgan jurnallar. Bundan tashqari, Data Collector API yordamida Azure Monitor xizmati oʻzining monitoring stsenariylarini yaratish uchun istalgan REST manbasidan maʼlumotlarni toʻplashi mumkin.

Bulutli xavfsizlik monitoringi

Bu yerda Azure sizga taqdim etadigan va siz Azure Portal, CLI, PowerShell yoki REST API (va baʼzilari faqat Azure Monitor/Insight API orqali) orqali kirishingiz mumkin boʻlgan bir nechta xavfsizlik hodisasi manbalari:

  • Faoliyat jurnallari - bu jurnal bulut resurslarida har qanday yozish operatsiyasi (QO'YISH, POST, O'CHIRISH) bilan bog'liq "kim", "nima" va "qachon" kabi klassik savollarga javob beradi. O'qishga kirish (GET) bilan bog'liq voqealar, boshqa qatorlar kabi, ushbu jurnalga kiritilmagan.
  • Diagnostika jurnallari - obunangizga kiritilgan ma'lum bir resurs bilan operatsiyalar to'g'risidagi ma'lumotlarni o'z ichiga oladi.
  • Azure AD hisoboti - foydalanuvchi faoliyati va guruh va foydalanuvchilarni boshqarish bilan bog'liq tizim faolligini o'z ichiga oladi.
  • Windows Event Log va Linux Syslog - bulutda joylashgan virtual mashinalardagi voqealarni o'z ichiga oladi.
  • Ko'rsatkichlar - bulut xizmatlari va resurslaringizning ishlashi va sog'lig'i haqida telemetriyani o'z ichiga oladi. Har daqiqada o'lchanadi va saqlanadi. 30 kun ichida.
  • Tarmoq xavfsizligi guruhlari oqimi jurnallari - Tarmoqni kuzatuvchi xizmati va tarmoq darajasida resurslar monitoringi yordamida to'plangan tarmoq xavfsizligi hodisalari haqidagi ma'lumotlarni o'z ichiga oladi.
  • Saqlash jurnallari - saqlash joylariga kirish bilan bog'liq voqealarni o'z ichiga oladi.

Bulutli xavfsizlik monitoringi

Monitoring uchun siz tashqi SIEM yoki o'rnatilgan Azure Monitor va uning kengaytmalaridan foydalanishingiz mumkin. Axborot xavfsizligi hodisalarini boshqarish tizimlari haqida keyinroq gaplashamiz, ammo hozircha Azurening o'zi xavfsizlik kontekstida ma'lumotlarni tahlil qilish uchun bizga nimani taklif qilishini ko'rib chiqamiz. Azure Monitor-da xavfsizlik bilan bog'liq barcha narsalar uchun asosiy ekran Log Analytics Xavfsizlik va Audit boshqaruv panelidir (bepul versiya faqat bir hafta davomida cheklangan miqdordagi hodisalarni saqlashni qo'llab-quvvatlaydi). Ushbu asboblar paneli 5 ta asosiy sohaga boʻlingan boʻlib, ular siz foydalanayotgan bulutli muhitda sodir boʻlayotgan voqealarning umumiy statistikasini aks ettiradi:

  • Xavfsizlik domenlari - axborot xavfsizligi bilan bog'liq asosiy miqdoriy ko'rsatkichlar - hodisalar soni, buzilgan tugunlar soni, tuzatilmagan tugunlar, tarmoq xavfsizligi hodisalari va boshqalar.
  • E'tiborga molik muammolar - faol axborot xavfsizligi masalalari soni va ahamiyatini ko'rsatadi
  • Aniqlanishlar - sizga qarshi ishlatilgan hujumlar namunalarini ko'rsatadi
  • Threat Intelligence - sizga hujum qilayotgan tashqi tugunlar haqida geografik ma'lumotlarni ko'rsatadi
  • Umumiy xavfsizlik so'rovlari - axborot xavfsizligini yaxshiroq nazorat qilishda yordam beradigan odatiy so'rovlar.

Bulutli xavfsizlik monitoringi

Azure Monitor kengaytmalariga Azure Key Vault (bulutdagi kriptografik kalitlarni himoya qilish), Zararli dasturlarni baholash (virtual mashinalarda zararli kodlardan himoyalanish tahlili), Azure Application Gateway Analytics (boshqa narsalar qatori, bulut xavfsizlik devori jurnallarini tahlil qilish) va boshqalar kiradi. . Hodisalarni qayta ishlashning muayyan qoidalari bilan boyitilgan ushbu vositalar bulut xizmatlari faoliyatining turli jihatlarini, jumladan, xavfsizlikni tasavvur qilish va ishlashdan maʼlum chetlanishlarni aniqlash imkonini beradi. Ammo, tez-tez bo'lganidek, har qanday qo'shimcha funktsiya tegishli pullik obunani talab qiladi, bu sizdan oldindan rejalashtirishingiz kerak bo'lgan tegishli moliyaviy investitsiyalarni talab qiladi.

Bulutli xavfsizlik monitoringi

Azure’da Azure AD, Azure Monitor va Azure Security Center bilan integratsiyalangan bir qator o‘rnatilgan tahdidlarni kuzatish imkoniyatlari mavjud. Ular orasida, masalan, virtual mashinalarning ma'lum zararli IP-lar bilan o'zaro ta'sirini aniqlash (Microsoft tomonidan Threat Intelligence xizmatlari bilan integratsiya mavjudligi sababli), bulutda joylashgan virtual mashinalardan signallarni qabul qilish orqali bulut infratuzilmasidagi zararli dasturlarni aniqlash, parol. virtual mashinalarga hujumlarni taxmin qilish, foydalanuvchini identifikatsiya qilish tizimining konfiguratsiyasidagi zaifliklar, anonimatorlar yoki virusli tugunlardan tizimga kirish, hisob qaydnomalarining sizib chiqishi, tizimga noodatiy joylardan kirish va hk. Azure bugungi kunda to'plangan axborot xavfsizligi hodisalarini boyitish uchun sizga o'rnatilgan Threat Intelligence imkoniyatlarini taklif qiluvchi bir nechta bulutli provayderlardan biridir.

Bulutli xavfsizlik monitoringi

Yuqorida aytib o'tilganidek, xavfsizlik funksiyasi va natijada u tomonidan yaratilgan xavfsizlik hodisalari barcha foydalanuvchilar uchun bir xilda mavjud emas, lekin ma'lum bir obunani talab qiladi, bu sizga kerak bo'lgan funksiyani o'z ichiga oladi, bu esa axborot xavfsizligi monitoringi uchun tegishli hodisalarni yaratadi. Masalan, hisoblardagi anomaliyalarni kuzatish uchun oldingi paragrafda tasvirlangan ba'zi funksiyalar faqat Azure AD xizmati uchun P2 premium litsenziyasida mavjud. Busiz, siz, AWS misolida bo'lgani kabi, to'plangan xavfsizlik hodisalarini "qo'lda" tahlil qilishingiz kerak bo'ladi. Bundan tashqari, Azure AD litsenziyasi turiga qarab, barcha hodisalar tahlil qilish uchun mavjud bo'lmaydi.

Azure portalida siz o'zingizni qiziqtirgan jurnallar uchun ikkala qidiruv so'rovlarini boshqarishingiz va asosiy axborot xavfsizligi ko'rsatkichlarini vizualizatsiya qilish uchun asboblar panelini o'rnatishingiz mumkin. Bundan tashqari, u yerda siz Azure Monitor jurnallarining funksiyalarini kengaytirish va xavfsizlik nuqtai nazaridan voqealarni chuqurroq tahlil qilish imkonini beruvchi Azure Monitor kengaytmalarini tanlashingiz mumkin.

Bulutli xavfsizlik monitoringi

Agar sizga nafaqat jurnallar bilan ishlash qobiliyati, balki Azure bulut platformangiz uchun keng qamrovli xavfsizlik markazi, shu jumladan axborot xavfsizligi siyosatini boshqarish kerak bo'lsa, siz Azure Security Center bilan ishlash zarurati haqida gapirishingiz mumkin, ularning aksariyati foydali funktsiyalari. ba'zi pullar uchun mavjud, masalan, tahdidni aniqlash, Azure'dan tashqari monitoring, muvofiqlikni baholash va hk. (bepul versiyada siz faqat xavfsizlikni baholash va aniqlangan muammolarni bartaraf etish bo'yicha tavsiyalarga kirishingiz mumkin). U barcha xavfsizlik masalalarini bir joyda birlashtiradi. Darhaqiqat, biz Azure Monitor taqdim etgandan ko'ra yuqori darajadagi axborot xavfsizligi haqida gapirishimiz mumkin, chunki bu holda bulut zavodingiz bo'ylab to'plangan ma'lumotlar Azure, Office 365, Microsoft CRM onlayn, Microsoft Dynamics AX kabi ko'plab manbalar yordamida boyitiladi. , outlook .com, MSN.com, Microsoft Digital Crimes Unit (DCU) va Microsoft Security Response Center (MSRC), ularda turli murakkab mashinalarni o'rganish va xulq-atvorni tahlil qilish algoritmlari o'rnatilgan bo'lib, ular oxir-oqibat tahdidlarni aniqlash va ularga javob berish samaradorligini oshirishi kerak. .

Azure shuningdek, o'zining SIEM tizimiga ega - u 2019 yil boshida paydo bo'lgan. Bu Azure Sentinel, u Azure Monitor maʼlumotlariga tayanadi va u bilan ham integratsiyalasha oladi. tashqi xavfsizlik yechimlari (masalan, NGFW yoki WAF), ularning ro'yxati doimiy ravishda o'sib bormoqda. Bundan tashqari, Microsoft Graph Security API integratsiyasi orqali siz oʻzingizning Threat Intelligence tasmalaringizni Sentinel-ga ulash imkoniyatiga ega boʻlasiz, bu sizning Azure bulutingizdagi hodisalarni tahlil qilish imkoniyatlarini boyitadi. Aytish mumkinki, Azure Sentinel bulutli provayderlardan paydo bo'lgan birinchi "mahalliy" SIEM (bulutda joylashtirilishi mumkin bo'lgan bir xil Splunk yoki ELK, masalan, AWS hali ham an'anaviy bulutli xizmat ko'rsatuvchi provayderlar tomonidan ishlab chiqilmagan). Azure Sentinel va Xavfsizlik markazini Azure buluti uchun SOC deb atash mumkin va ular bilan cheklanishi mumkin (ma'lum zaxiralar bilan), agar sizda endi hech qanday infratuzilma bo'lmasa va barcha hisoblash resurslaringizni bulutga o'tkazsangiz va u Microsoft buluti Azure bo'ladi.

Bulutli xavfsizlik monitoringi

Ammo Azure-ning o'rnatilgan imkoniyatlari (sizda Sentinel-ga obuna bo'lsangiz ham) axborot xavfsizligini kuzatish va ushbu jarayonni boshqa xavfsizlik hodisalari manbalari (ham bulutli, ham ichki) bilan integratsiya qilish uchun ko'pincha etarli emasligi sababli, to'plangan ma'lumotlarni SIEMni o'z ichiga olishi mumkin bo'lgan tashqi tizimlarga eksport qilish kerak. Bu API yordamida ham, hozirda faqat quyidagi SIEM'lar uchun rasmiy ravishda mavjud bo'lgan maxsus kengaytmalar yordamida amalga oshiriladi - Splunk (Splunk uchun Azure Monitor Add-On), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight va ELK. Yaqin vaqtgacha bunday SIEMlar ko'p edi, ammo 1 yil 2019 iyundan Microsoft Azure mavjud bo'lgan paytda va jurnallar bilan ishlashni normal standartlashtirish yo'qligida (Azure) Azure Log Integration Tool (AzLog) ni qo'llab-quvvatlashni to'xtatdi. Monitor hali mavjud emas edi) tashqi SIEMni Microsoft buluti bilan oson integratsiyalash imkonini berdi. Endi vaziyat o'zgardi va Microsoft boshqa SIEM'lar uchun asosiy integratsiya vositasi sifatida Azure Event Hub platformasini tavsiya qiladi. Ko'pchilik allaqachon bunday integratsiyani amalga oshirgan, ammo ehtiyot bo'ling - ular barcha Azure jurnallarini ushlamasligi mumkin, faqat ba'zilari (SIEM uchun hujjatlarga qarang).

Azure-ga qisqacha ekskursiyani yakunlab, men ushbu bulut xizmati haqida umumiy tavsiyalar bermoqchiman - Azure-da axborot xavfsizligi monitoringi funktsiyalari haqida biror narsa aytishdan oldin, siz ularni juda ehtiyotkorlik bilan sozlashingiz va hujjatlarda yozilganidek ishlashini sinab ko'rishingiz kerak. maslahatchilar sizga Microsoft aytganidek (va ular Azure funksiyalarining funksionalligi haqida turli qarashlarga ega bo'lishi mumkin). Agar sizda moliyaviy resurslar mavjud bo'lsa, Azure-dan axborot xavfsizligi monitoringi nuqtai nazaridan juda ko'p foydali ma'lumotlarni siqib chiqarishingiz mumkin. Agar sizning resurslaringiz cheklangan bo'lsa, AWS misolida bo'lgani kabi, siz faqat o'z kuchingizga va Azure Monitor sizga taqdim etadigan xom ma'lumotlarga tayanishingiz kerak bo'ladi. Va shuni yodda tutingki, ko'plab monitoring funktsiyalari pul talab qiladi va narx siyosati bilan oldindan tanishish yaxshiroqdir. Masalan, siz 31 kunlik maʼlumotni har bir mijoz uchun maksimal 5 GB hajmda bepul saqlashingiz mumkin - bu qiymatlardan oshib ketish sizdan qoʻshimcha pul ajratishni talab qiladi (mijozdan har bir qoʻshimcha GB saqlash uchun taxminan $2+ va $0,1 uchun). har oyda 1 GB saqlash). Ilova telemetriyasi va o'lchovlari bilan ishlash, shuningdek, ogohlantirishlar va bildirishnomalar bilan ishlash bilan bir qatorda qo'shimcha mablag'larni ham talab qilishi mumkin (ma'lum bir cheklov bepul, bu sizning ehtiyojlaringiz uchun etarli bo'lmasligi mumkin).

Misol: Google Cloud Platform asosidagi IaaS da axborot xavfsizligi monitoringi

Google Cloud Platform AWS va Azure bilan solishtirganda yosh bolaga o'xshaydi, ammo bu qisman yaxshi. AWS-dan farqli o'laroq, o'z imkoniyatlarini, shu jumladan xavfsizlikni oshirib, asta-sekin markazlashtirish bilan bog'liq muammolarga duch keldi; GCP, xuddi Azure kabi, markazdan ancha yaxshi boshqariladi, bu esa korxona bo'ylab xatolar va amalga oshirish vaqtini qisqartiradi. Xavfsizlik nuqtai nazaridan, GCP, g'alati darajada, AWS va Azure o'rtasida. Shuningdek, u butun tashkilot uchun yagona hodisa ro'yxatiga ega, ammo u to'liq emas. Ba'zi funktsiyalar hali ham beta rejimida, lekin asta-sekin bu kamchilikni bartaraf etish kerak va GCP axborot xavfsizligi monitoringi nuqtai nazaridan yanada etuk platformaga aylanadi.

Bulutli xavfsizlik monitoringi

GCP-da hodisalarni qayd qilishning asosiy vositasi bu Stackdriver Logging (Azure Monitor-ga o'xshash) bo'lib, u sizga butun bulut infratuzilmasi (shuningdek, AWS-dan) bo'ylab voqealarni to'plash imkonini beradi. GCP-da xavfsizlik nuqtai nazaridan har bir tashkilot, loyiha yoki papkada to'rtta jurnal mavjud:

  • Administrator faoliyati - ma'muriy kirish bilan bog'liq barcha voqealarni o'z ichiga oladi, masalan, virtual mashinani yaratish, kirish huquqlarini o'zgartirish va hokazo. Ushbu jurnal sizning xohishingizdan qat'i nazar, har doim yoziladi va uning ma'lumotlarini 400 kun davomida saqlaydi.
  • Ma'lumotlarga kirish - bulut foydalanuvchilari tomonidan ma'lumotlar bilan ishlash bilan bog'liq barcha voqealarni o'z ichiga oladi (yaratish, o'zgartirish, o'qish va boshqalar). Odatiy bo'lib, bu jurnal yozilmaydi, chunki uning hajmi juda tez shishiradi. Shu sababli, uning saqlash muddati atigi 30 kun. Bundan tashqari, bu jurnalda hamma narsa yozilmagan. Misol uchun, barcha foydalanuvchilar uchun ochiq bo'lgan yoki GCP-ga kirmasdan foydalanish mumkin bo'lgan resurslar bilan bog'liq voqealar unga yozilmaydi.
  • Tizim hodisasi - foydalanuvchilar bilan bog'liq bo'lmagan tizim hodisalari yoki bulutli resurslar konfiguratsiyasini o'zgartiradigan ma'murning harakatlari. U har doim 400 kun davomida yoziladi va saqlanadi.
  • Access Transparency - bu sizning infratuzilmangizga o'z vazifalari doirasida kiradigan Google xodimlarining (lekin barcha GCP xizmatlari uchun emas) barcha harakatlarini yozib oladigan jurnalning noyob namunasidir. Ushbu jurnal 400 kun davomida saqlanadi va har bir GCP mijozi uchun mavjud emas, lekin bir qator shartlar bajarilgan taqdirdagina (yoki Gold yoki Platinum darajasidagi qo'llab-quvvatlash yoki korporativ yordamning bir qismi sifatida ma'lum turdagi 4 ta rolning mavjudligi). Shunga o'xshash funktsiya, masalan, Office 365 - Lockbox-da ham mavjud.

Jurnalga misol: Shaffoflikka kirish

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Ushbu jurnallarga kirish bir necha usullar bilan mumkin (oldin muhokama qilingan Azure va AWS kabi) - Log Viewer interfeysi, API orqali, Google Cloud SDK orqali yoki loyihangizning faoliyat sahifasi orqali. voqealarga qiziqadi. Xuddi shu tarzda, ular qo'shimcha tahlil qilish uchun tashqi echimlarga eksport qilinishi mumkin. Ikkinchisi jurnallarni BigQuery yoki Cloud Pub/Sub xotirasiga eksport qilish orqali amalga oshiriladi.

Stackdriver Logging-dan tashqari, GCP platformasi bulutli xizmatlar va ilovalarning asosiy ko‘rsatkichlarini (ishlash, MTBF, umumiy salomatlik va h.k.) kuzatish imkonini beruvchi Stackdriver Monitoring funksiyasini ham taklif etadi. Qayta ishlangan va vizualizatsiya qilingan ma'lumotlar bulut infratuzilmangizdagi, jumladan, xavfsizlik nuqtai nazaridan muammolarni topishni osonlashtirishi mumkin. Ammo shuni ta'kidlash kerakki, bu funksionallik axborot xavfsizligi kontekstida unchalik boy bo'lmaydi, chunki bugungi kunda GCP bir xil AWS GuardDuty analogiga ega emas va barcha ro'yxatdan o'tgan hodisalar orasida yomonlarini aniqlay olmaydi (Google Voqealar tahdidini aniqlashni ishlab chiqdi, lekin u hali beta-versiyada ishlab chiqilmoqda va uning foydaliligi haqida gapirishga hali erta). Stackdriver Monitoring anomaliyalarni aniqlash tizimi sifatida ishlatilishi mumkin, keyinchalik ularning paydo bo'lish sabablarini aniqlash uchun tekshiriladi. Ammo bozorda GCP axborot xavfsizligi sohasida malakali kadrlar etishmasligini hisobga olsak, bu vazifa hozirda qiyin ko'rinadi.

Bulutli xavfsizlik monitoringi

Bundan tashqari, GCP bulutingizda ishlatilishi mumkin bo'lgan va AWS taklif qiladigan narsalarga o'xshash ba'zi axborot xavfsizligi modullari ro'yxatini berish kerak:

  • Bulutli xavfsizlik buyruqlar markazi AWS Security Hub va Azure Security Centerning analogidir.
  • Cloud DLP - 90 dan ortiq oldindan belgilangan tasniflash siyosatlaridan foydalangan holda bulutda joylashgan ma'lumotlarni avtomatik ravishda topish va tahrirlash (masalan, niqoblash).
  • Cloud Scanner - bu App Engine, Compute Engine va Google Kubernetes’dagi ma’lum zaifliklarni (XSS, Flash Injection, yamalmagan kutubxonalar va h.k.) skaner.
  • Cloud IAM - barcha GCP resurslariga kirishni boshqarish.
  • Cloud Identity - GCP foydalanuvchisi, qurilma va ilova hisoblarini bitta konsoldan boshqaring.
  • Cloud HSM - kriptografik kalitlarni himoya qilish.
  • Bulutli kalitlarni boshqarish xizmati - GCP-da kriptografik kalitlarni boshqarish.
  • VPC xizmatini boshqarish - GCP resurslaringiz oqishdan himoya qilish uchun ularni himoya qilish uchun xavfsiz perimetr yarating.
  • Titan Security Key - fishingdan himoya.

Bulutli xavfsizlik monitoringi

Ushbu modullarning aksariyati tahlil qilish yoki boshqa tizimlarga, jumladan SIEMga eksport qilish uchun BigQuery xotirasiga yuborilishi mumkin bo'lgan xavfsizlik hodisalarini yaratadi. Yuqorida aytib o'tilganidek, GCP faol rivojlanayotgan platforma bo'lib, Google hozirda o'z platformasi uchun bir qator yangi axborot xavfsizligi modullarini ishlab chiqmoqda. Ular orasida Stackdriver jurnallarini ruxsatsiz faoliyat izlarini izlash uchun skanerlaydigan Voqealar tahdidini aniqlash (hozir beta-versiyada mavjud) yoki Policy Intelligence (alfa-da mavjud), bu sizga aqlli siyosatlarni ishlab chiqish imkonini beradi. GCP resurslariga kirish.

Men mashhur bulut platformalarida o'rnatilgan monitoring imkoniyatlari haqida qisqacha ma'lumot berdim. Ammo sizda "xom" IaaS provayder jurnallari bilan ishlashga qodir mutaxassislar bormi (hamma ham AWS yoki Azure yoki Google-ning ilg'or imkoniyatlarini sotib olishga tayyor emas)? Bundan tashqari, ko'pchilik xavfsizlik sohasida har qachongidan ham to'g'riroq bo'lgan "ishon, lekin tekshir" maqolini yaxshi biladi. Sizga axborot xavfsizligi hodisalarini yuboradigan bulutli provayderning o'rnatilgan imkoniyatlariga qanchalik ishonasiz? Ular umuman axborot xavfsizligiga qanchalik e'tibor berishadi?

Ba'zan o'rnatilgan bulut xavfsizligini to'ldirishi mumkin bo'lgan bulutli infratuzilma monitoringi yechimlarini ko'rib chiqishga arziydi va ba'zida bunday echimlar bulutda joylashgan ma'lumotlaringiz va ilovalaringiz xavfsizligini tushunishning yagona variantidir. Bundan tashqari, ular shunchaki qulayroqdir, chunki ular turli xil bulutli provayderlarning turli xil bulut xizmatlari tomonidan yaratilgan kerakli jurnallarni tahlil qilish bo'yicha barcha vazifalarni o'z zimmalariga oladilar. Bunday qoplamali yechimga misol sifatida Cisco Stealthwatch Cloudni keltirish mumkin, u yagona vazifaga qaratilgan – bulutli muhitda axborot xavfsizligi anomaliyalarini, jumladan, nafaqat Amazon AWS, Microsoft Azure va Google Cloud Platform, balki shaxsiy bulutlarni ham kuzatishga qaratilgan.

Misol: Stealthwatch Cloud yordamida axborot xavfsizligi monitoringi

AWS moslashuvchan hisoblash platformasini taqdim etadi, ammo bu moslashuvchanlik kompaniyalarning xavfsizlik muammolariga olib keladigan xatolarga yo'l qo'yishini osonlashtiradi. Va umumiy axborot xavfsizligi modeli faqat bunga hissa qo'shadi. Noma'lum zaifliklar bilan bulutda ishlaydigan dasturiy ta'minot (ma'lum bo'lganlar bilan kurashish mumkin, masalan, AWS Inspector yoki GCP Cloud Scanner), zaif parollar, noto'g'ri konfiguratsiyalar, insayderlar va boshqalar. Va bularning barchasi axborot xavfsizligi monitoringi va hujumlarni aniqlash tizimi bo'lgan Cisco Stealthwatch Cloud tomonidan kuzatilishi mumkin bo'lgan bulutli resurslarning xatti-harakatlarida aks etadi. umumiy va shaxsiy bulutlar.

Bulutli xavfsizlik monitoringi

Cisco Stealthwatch Cloud ning asosiy xususiyatlaridan biri ob'ektlarni modellashtirish qobiliyatidir. Uning yordamida siz bulutli resurslaringizning har birining dasturiy modelini (ya'ni, real vaqtga yaqin simulyatsiya) yaratishingiz mumkin (u AWS, Azure, GCP yoki boshqa narsa bo'ladimi, muhim emas). Bularga serverlar va foydalanuvchilar, shuningdek, xavfsizlik guruhlari va avtomatik oʻlchov guruhlari kabi bulutli muhitingizga xos manba turlari boʻlishi mumkin. Ushbu modellar kirish sifatida bulut xizmatlari tomonidan taqdim etilgan tuzilgan ma'lumotlar oqimlaridan foydalanadi. Masalan, AWS uchun bular VPC Flow Logs, AWS CloudTrail, AWS CloudWatch, AWS Config, AWS Inspector, AWS Lambda va AWS IAM bo'ladi. Ob'ektni modellashtirish sizning manbalaringizning roli va xatti-harakatlarini avtomatik ravishda aniqlaydi (siz barcha bulutli faoliyatni profillash haqida gapirishingiz mumkin). Ushbu rollarga Android yoki Apple mobil qurilmasi, Citrix PVS serveri, RDP serveri, pochta shlyuzi, VoIP mijozi, terminal serveri, domen boshqaruvchisi va boshqalar kiradi. Keyinchalik xavfli yoki xavfsizlikka tahdid soladigan xatti-harakatlar sodir bo'lganligini aniqlash uchun ularning xatti-harakatlarini doimiy ravishda kuzatib boradi. Siz parolni taxmin qilish, DDoS hujumlari, ma'lumotlarning sizib chiqishi, noqonuniy masofaviy kirish, zararli kod faoliyati, zaifliklarni skanerlash va boshqa tahdidlarni aniqlashingiz mumkin. Masalan, tashkilotingiz uchun odatiy boʻlmagan mamlakatdan (Janubiy Koreya) Kubernetes klasteriga SSH orqali masofaviy kirish urinishini aniqlash quyidagicha koʻrinadi:

Bulutli xavfsizlik monitoringi

Postgress ma'lumotlar bazasidan biz ilgari o'zaro aloqada bo'lmagan mamlakatga ma'lumotlarning sizib chiqishi shunday ko'rinadi:

Bulutli xavfsizlik monitoringi

Va nihoyat, tashqi masofaviy qurilmadan Xitoy va Indoneziyadagi juda ko'p muvaffaqiyatsiz SSH urinishlari quyidagicha ko'rinadi:

Bulutli xavfsizlik monitoringi

Yoki, VPC-dagi server nusxasi, siyosatga ko'ra, hech qachon masofaviy kirish manzili bo'lmaydi, deylik. Faraz qilaylik, xavfsizlik devori qoidalari siyosatidagi xato o'zgarishlar tufayli ushbu kompyuter masofadan tizimga kirishni boshdan kechirdi. Shaxsni modellashtirish funksiyasi bu faoliyatni (“Noodatiy masofaviy kirish”) aniq vaqt rejimida aniqlaydi va hisobot beradi va maxsus AWS CloudTrail, Azure Monitor yoki GCP Stackdriver Logging API chaqiruviga ishora qiladi (jumladan, foydalanuvchi nomi, sana va vaqt va boshqa tafsilotlar ) XEI qoidasini o'zgartirishga turtki bo'ldi. Va keyin bu ma'lumot tahlil qilish uchun SIEMga yuborilishi mumkin.

Bulutli xavfsizlik monitoringi

Shunga o'xshash imkoniyatlar Cisco Stealthwatch Cloud tomonidan qo'llab-quvvatlanadigan har qanday bulutli muhit uchun amalga oshiriladi:

Bulutli xavfsizlik monitoringi

Ob'ektlarni modellashtirish - bu sizning odamlaringiz, jarayonlaringiz yoki texnologiyalaringiz bilan oldindan noma'lum muammolarni ochib beradigan xavfsizlikni avtomatlashtirishning noyob shakli. Masalan, u boshqa narsalar qatori xavfsizlik muammolarini aniqlash imkonini beradi, masalan:

  • Kimdir biz foydalanadigan dasturiy ta'minotda orqa eshikni topdimi?
  • Bizning bulutimizda uchinchi tomon dasturiy ta'minoti yoki qurilmasi bormi?
  • Vakolatli foydalanuvchi imtiyozlarni suiiste'mol qilyaptimi?
  • Masofaviy kirish yoki resurslardan boshqa maqsadsiz foydalanishga ruxsat beruvchi konfiguratsiya xatosi bormi?
  • Bizning serverlarimizdan ma'lumotlar sizib chiqyaptimi?
  • Kimdir biz bilan atipik geografik joylashuvdan ulanishga harakat qildimi?
  • Bizning bulutimiz zararli kod bilan zararlanganmi?

Bulutli xavfsizlik monitoringi

Aniqlangan axborot xavfsizligi hodisasi Slack, Cisco Spark, PagerDuty hodisalarini boshqarish tizimiga tegishli chipta shaklida yuborilishi mumkin, shuningdek, turli SIEM-larga, jumladan Splunk yoki ELK-ga yuborilishi mumkin. Xulosa qilib aytadigan bo'lsak, agar sizning kompaniyangiz ko'p bulutli strategiyadan foydalansa va yuqorida tavsiflangan axborot xavfsizligini monitoring qilish imkoniyatlari biron bir bulut provayderi bilan cheklanmasa, Cisco Stealthwatch Cloud-dan foydalanish yagona monitoring to'plamini olish uchun yaxshi imkoniyatdir. etakchi bulut o'yinchilari uchun imkoniyatlar - Amazon , Microsoft va Google. Eng qizig'i shundaki, agar siz Stealthwatch Cloud narxlarini AWS, Azure yoki GCP-da axborot xavfsizligi monitoringi uchun ilg'or litsenziyalar bilan taqqoslasangiz, Cisco yechimi Amazon, Microsoft-ning o'rnatilgan imkoniyatlaridan ham arzonroq bo'lishi mumkin. va Google yechimlari. Bu paradoksal, lekin bu haqiqat. Va qanchalik ko'p bulutlar va ularning imkoniyatlaridan foydalansangiz, konsolidatsiyalangan yechimning afzalligi shunchalik aniq bo'ladi.

Bulutli xavfsizlik monitoringi

Кроме того, Stealthwatch Cloud может мониторить и частные облака, развернутые у вас в организации, например, на базе контейнеров Kubernetes или путем мониторинга потоков Netflow или сетевого трафика, получаемого через зеркалирование в сетевом оборудовании (даже отечественного производства), данных AD или DNS-серверов va h.k. Bu ma'lumotlarning barchasi Cisco Talos, kiberxavfsizlik tahdidlari bo'yicha tadqiqotchilarning dunyodagi eng yirik nodavlat guruhi tomonidan to'plangan Threat Intelligence ma'lumotlari bilan boyitiladi.

Bulutli xavfsizlik monitoringi

Bu sizning kompaniyangiz foydalanishi mumkin bo'lgan ommaviy va gibrid bulutlar uchun yagona monitoring tizimini joriy qilish imkonini beradi. Keyin to'plangan ma'lumotlar Stealthwatch Cloud-ning o'rnatilgan imkoniyatlaridan foydalangan holda tahlil qilinishi yoki SIEM-ga yuborilishi mumkin (Splunk, ELK, SumoLogic va boshqalar sukut bo'yicha qo'llab-quvvatlanadi).

Shu bilan biz maqolaning birinchi qismini yakunlaymiz, unda men IaaS/PaaS platformalarining axborot xavfsizligini monitoring qilish uchun o'rnatilgan va tashqi vositalarni ko'rib chiqdim, bu bizga bulutli muhitda sodir bo'lgan hodisalarni tezda aniqlash va ularga javob berishga imkon beradi. korxonamiz tanladi. Ikkinchi qismda biz mavzuni davom ettiramiz va Salesforce va Dropbox misolida SaaS platformalarini monitoring qilish variantlarini ko'rib chiqamiz, shuningdek, turli xil bulutli provayderlar uchun yagona axborot xavfsizligi monitoringi tizimini yaratish orqali hamma narsani umumlashtirishga va birlashtirishga harakat qilamiz.

Manba: www.habr.com

a Izoh qo'shish