Tobora ko'proq foydalanuvchilar o'zlarining butun IT infratuzilmasini ommaviy bulutga olib kelishmoqda. Biroq, agar mijozning infratuzilmasida antivirus nazorati etarli bo'lmasa, jiddiy kiberxavflar paydo bo'ladi. Amaliyot shuni ko'rsatadiki, mavjud viruslarning 80% gacha virtual muhitda mukammal yashaydi. Ushbu postda biz ommaviy bulutda IT resurslarini qanday himoya qilish va nima uchun an'anaviy antiviruslar bu maqsadlar uchun to'liq mos kelmasligi haqida gapiramiz.
Boshlash uchun biz sizga qanday qilib odatiy antivirus himoya vositalari ommaviy bulut uchun mos emasligi va resurslarni himoya qilish uchun boshqa yondashuvlar zarurligi haqidagi fikrga kelganimizni aytib beramiz.
Birinchidan, provayderlar odatda bulutli platformalarini yuqori darajada himoya qilish uchun zarur choralarni ko'radilar. Masalan, #CloudMTS da biz barcha tarmoq trafigini tahlil qilamiz, bulutli xavfsizlik tizimlari jurnallarini kuzatamiz va muntazam ravishda pentestlarni bajaramiz. Shaxsiy mijozlarga ajratilgan bulutli segmentlar ham xavfsiz himoyalangan bo'lishi kerak.
Ikkinchidan, kiberxavflarga qarshi kurashning klassik varianti har bir virtual mashinaga antivirus va antivirusni boshqarish vositalarini o'rnatishni o'z ichiga oladi. Biroq, ko'p sonli virtual mashinalar bilan bu amaliyot samarasiz bo'lishi mumkin va katta miqdordagi hisoblash resurslarini talab qiladi, shu bilan mijozning infratuzilmasini yanada yuklaydi va bulutning umumiy ishlashini kamaytiradi. Bu mijozlar virtual mashinalari uchun samarali antivirus himoyasini yaratish uchun yangi yondashuvlarni izlashning asosiy shartiga aylandi.
Bundan tashqari, bozordagi aksariyat antivirus yechimlari ommaviy bulutli muhitda AT resurslarini himoya qilish muammolarini hal qilish uchun moslashtirilmagan. Qoida tariqasida, ular og'ir vaznli EPP echimlari (Endpoint Protection Platforms), bundan tashqari, bulut provayderining mijoz tomonida kerakli sozlashni ta'minlamaydi.
An'anaviy antivirus echimlari bulutda ishlash uchun mos emasligi ayon bo'ladi, chunki ular yangilanishlar va skanerlash paytida virtual infratuzilmani jiddiy yuklaydi, shuningdek, rolga asoslangan boshqaruv va sozlamalarning zarur darajalariga ega emas. Keyinchalik, bulutga nima uchun virusga qarshi himoya qilish uchun yangi yondashuvlar kerakligini batafsil tahlil qilamiz.
Umumiy bulutdagi antivirus nima qila olishi kerak
Shunday qilib, virtual muhitda ishlashning o'ziga xos xususiyatlariga e'tibor qarataylik:
Yangilanishlar va rejalashtirilgan ommaviy skanerlashlar samaradorligi. Agar an'anaviy antivirusdan foydalanadigan ko'plab virtual mashinalar bir vaqtning o'zida yangilanishni boshlasa, bulutda yangilanishlar "bo'roni" paydo bo'ladi. Bir nechta virtual mashinalarni o'z ichiga olgan ESXi xostining kuchi sukut bo'yicha ishlaydigan shunga o'xshash vazifalarni bajarish uchun etarli bo'lmasligi mumkin. Bulutli provayder nuqtai nazaridan, bunday muammo bir qator ESXi xostlarida qo'shimcha yuklanishlarga olib kelishi mumkin, bu esa oxir-oqibat bulutli virtual infratuzilmaning ishlashining pasayishiga olib keladi. Bu, boshqa narsalar qatorida, boshqa bulutli mijozlarning virtual mashinalarining ishlashiga ta'sir qilishi mumkin. Ommaviy skanerlashni boshlashda shunga o'xshash vaziyat yuzaga kelishi mumkin: turli xil foydalanuvchilarning ko'plab o'xshash so'rovlarini disk tizimi tomonidan bir vaqtning o'zida qayta ishlash butun bulutning ishlashiga salbiy ta'sir qiladi. Yuqori darajadagi ehtimollik bilan, saqlash tizimining ishlashining pasayishi barcha mijozlarga ta'sir qiladi. Bunday keskin yuklar provayderni ham, uning mijozlarini ham mamnun qilmaydi, chunki ular bulutdagi "qo'shnilar" ga ta'sir qiladi. Shu nuqtai nazardan, an'anaviy antivirus katta muammo tug'dirishi mumkin.
Xavfsiz karantin. Agar tizimda virus bilan zararlangan fayl yoki hujjat aniqlansa, u karantinga yuboriladi. Albatta, zararlangan fayl darhol o'chirilishi mumkin, lekin bu ko'pincha kompaniyalar uchun qabul qilinmaydi. Provayder bulutida ishlashga moslashtirilmagan korporativ korporativ antiviruslar, qoida tariqasida, umumiy karantin zonasiga ega - barcha yuqtirilgan ob'ektlar unga tushadi. Masalan, kompaniya foydalanuvchilarining kompyuterlarida topilganlar. Bulutli provayderning mijozlari o'z segmentlarida (yoki ijarachilarda) "yashashadi". Ushbu segmentlar noaniq va izolyatsiya qilingan: mijozlar bir-birlari haqida bilishmaydi va, albatta, boshqalar bulutda nima joylashayotganini ko'rmaydilar. Shubhasiz, bulutdagi barcha antivirus foydalanuvchilari kirishi mumkin bo'lgan umumiy karantin maxfiy ma'lumot yoki tijorat sirini o'z ichiga olgan hujjatni o'z ichiga olishi mumkin. Bu provayder va uning mijozlari uchun qabul qilinishi mumkin emas. Shuning uchun, faqat bitta yechim bo'lishi mumkin - o'z segmentidagi har bir mijoz uchun shaxsiy karantin, bu erda na provayder, na boshqa mijozlar kirish huquqiga ega.
Shaxsiy xavfsizlik siyosati. Bulutdagi har bir mijoz alohida kompaniya bo'lib, uning IT bo'limi o'zining xavfsizlik siyosatini belgilaydi. Masalan, ma'murlar skanerlash qoidalarini belgilaydi va virusga qarshi skanerlashni rejalashtiradi. Shunga ko'ra, har bir tashkilot antivirus siyosatini sozlash uchun o'z nazorat markaziga ega bo'lishi kerak. Shu bilan birga, ko'rsatilgan sozlamalar boshqa bulutli mijozlarga ta'sir qilmasligi kerak va provayder, masalan, antivirus yangilanishlari barcha mijoz virtual mashinalari uchun odatdagidek amalga oshirilganligini tekshirishi kerak.
Billing va litsenziyalashni tashkil etish. Bulutli model moslashuvchanligi bilan ajralib turadi va faqat mijoz tomonidan foydalanilgan IT resurslari miqdori uchun to'lashni o'z ichiga oladi. Agar zarurat bo'lsa, masalan, mavsumiylik tufayli, resurslar miqdori tezda ko'paytirilishi yoki kamayishi mumkin - bularning barchasi hisoblash quvvatiga bo'lgan joriy ehtiyojlarga asoslanadi. An'anaviy antivirus unchalik moslashuvchan emas - qoida tariqasida, mijoz oldindan belgilangan miqdordagi serverlar yoki ish stantsiyalari uchun bir yilga litsenziya sotib oladi. Bulutli foydalanuvchilar o'zlarining joriy ehtiyojlariga qarab qo'shimcha virtual mashinalarni muntazam ravishda uzib qo'yishadi va ulashadi - shunga ko'ra, antivirus litsenziyalari bir xil modelni qo'llab-quvvatlashi kerak.
Ikkinchi savol - litsenziya aynan nimani qamrab oladi. An'anaviy antivirus serverlar yoki ish stantsiyalari soni bo'yicha litsenziyalanadi. Himoyalangan virtual mashinalar soniga asoslangan litsenziyalar bulutli modelga to'liq mos kelmaydi. Mijoz mavjud resurslardan o'zi uchun qulay bo'lgan istalgan miqdordagi virtual mashinalarni yaratishi mumkin, masalan, besh yoki o'nta mashina. Bu raqam ko'pchilik mijozlar uchun doimiy emas, biz provayder sifatida uning o'zgarishlarini kuzatish imkoni yo'q. CPU tomonidan litsenziyalashning texnik imkoniyati yo'q: mijozlar litsenziyalash uchun ishlatilishi kerak bo'lgan virtual protsessorlarni (vCPU) oladi. Shunday qilib, yangi antivirus himoya modeli mijozga antivirus litsenziyalarini oladigan vCPUlarning kerakli sonini aniqlash qobiliyatini o'z ichiga olishi kerak.
Qonun hujjatlariga rioya qilish. Muhim nuqta, chunki ishlatiladigan echimlar regulyatorning talablariga muvofiqligini ta'minlashi kerak. Masalan, bulutli "rezidentlar" ko'pincha shaxsiy ma'lumotlar bilan ishlaydi. Bunday holda, provayder Shaxsiy ma'lumotlar to'g'risidagi qonun talablariga to'liq javob beradigan alohida sertifikatlangan bulut segmentiga ega bo'lishi kerak. Keyin kompaniyalar shaxsiy ma'lumotlar bilan ishlash uchun butun tizimni mustaqil ravishda "qurishi" shart emas: sertifikatlangan uskunani sotib olish, uni ulash va sozlash va sertifikatlashdan o'tish. Bunday mijozlarning ISPD kiber himoyasi uchun antivirus ham Rossiya qonunchiligi talablariga javob berishi va FSTEC sertifikatiga ega bo'lishi kerak.
Biz ommaviy bulutda antivirus himoyasi javob berishi kerak bo'lgan majburiy mezonlarni ko'rib chiqdik. Keyinchalik, provayder bulutida ishlash uchun antivirus yechimini moslashtirish bo'yicha o'z tajribamiz bilan o'rtoqlashamiz.
Qanday qilib antivirus va bulut o'rtasida do'stlashish mumkin?
Bizning tajribamiz ko'rsatganidek, tavsif va hujjatlar asosida yechim tanlash bir narsa, lekin uni allaqachon ishlaydigan bulutli muhitda amalda qo'llash murakkablik nuqtai nazaridan butunlay boshqacha vazifadir. Biz sizga amalda nima qilganimizni va antivirusni provayderning umumiy bulutida ishlashga qanday moslashtirganimizni aytib beramiz. Antivirus yechimining sotuvchisi Kasperskiy edi, uning portfelida bulutli muhitlar uchun virusga qarshi himoya yechimlari mavjud. Biz "Virtualizatsiya uchun Kasperskiy xavfsizligi" (Light Agent) ga qaror qildik.
U bitta Kaspersky Security Center konsolini o'z ichiga oladi. Light agenti va xavfsizlik virtual mashinalari (SVM, Security Virtual Machine) va KSC integratsiya serveri.
Kasperskiy yechimining arxitekturasini o'rganib chiqqanimizdan va sotuvchining muhandislari bilan birgalikda birinchi sinovlarni o'tkazganimizdan so'ng, xizmatni bulutga integratsiya qilish haqida savol tug'ildi. Birinchi amalga oshirish Moskva bulutli saytida birgalikda amalga oshirildi. Va bu biz tushungan narsadir.
Tarmoq trafigini minimallashtirish uchun har bir ESXi xostiga SVM joylashtirish va SVMni ESXi xostlariga “bog‘lash” qaror qilindi. Bunday holda, himoyalangan virtual mashinalarning yorug'lik agentlari o'zlari ishlayotgan aniq ESXi xostining SVM-ga kirishadi. Asosiy KSC uchun alohida ma'muriy ijarachi tanlangan. Natijada, bo'ysunuvchi KSClar har bir alohida mijozning ijarachilarida joylashgan bo'lib, boshqaruv segmentida joylashgan yuqori darajadagi KSCga murojaat qilishadi. Ushbu sxema mijoz ijarachilarida yuzaga keladigan muammolarni tezda hal qilish imkonini beradi.
Antivirus yechimining tarkibiy qismlarini ko'tarish bilan bir qatorda, biz qo'shimcha VxLAN-larni yaratish orqali tarmoq o'zaro ta'sirini tashkil qilish vazifasiga duch keldik. Garchi bu yechim dastlab xususiy bulutli korporativ mijozlar uchun mo'ljallangan bo'lsa-da, NSX Edge-ning muhandislik bilimi va texnologik moslashuvchanligi yordamida biz ijarachilarni ajratish va litsenziyalash bilan bog'liq barcha muammolarni hal qila oldik.
Biz Kasperskiy muhandislari bilan yaqindan hamkorlik qildik. Shunday qilib, tizim komponentlari o'rtasidagi tarmoq o'zaro ta'siri nuqtai nazaridan yechim arxitekturasini tahlil qilish jarayonida yorug'lik agentlaridan SVMga kirishdan tashqari, SVM dan yorug'lik agentlariga qayta aloqa ham zarurligi aniqlandi. Turli xil bulutli ijarachilarda virtual mashinalarning bir xil tarmoq sozlamalari imkoniyati tufayli ushbu tarmoqqa ulanish ko'p ijarachili muhitda mumkin emas. Shu sababli, bizning iltimosimizga binoan, sotuvchining hamkasblari SVM dan yorug'lik agentlariga tarmoq ulanishiga bo'lgan ehtiyojni bartaraf etish nuqtai nazaridan yorug'lik agenti va SVM o'rtasidagi tarmoq o'zaro ta'siri mexanizmini qayta ishladilar.
Yechim Moskva bulutli saytida joylashtirilgan va sinovdan o'tkazilgandan so'ng, biz uni boshqa saytlarga, shu jumladan sertifikatlangan bulut segmentiga ko'chirdik. Xizmat endilikda mamlakatning barcha hududlarida mavjud.
Yangi yondashuv doirasida axborot xavfsizligi yechimi arxitekturasi
Ommaviy bulutli muhitda antivirus yechimining umumiy ish sxemasi quyidagicha:
#CloudMTS ommaviy bulutli muhitda antivirus yechimining ishlash sxemasi
Keling, bulutdagi eritmaning alohida elementlarining ishlash xususiyatlarini tavsiflaymiz:
• Mijozlarga himoya tizimini markaziy boshqarish imkonini beruvchi yagona konsol: skanerlash, yangilanishlarni boshqarish va karantin zonalarini kuzatish. Segmentingizda shaxsiy xavfsizlik siyosatlarini sozlashingiz mumkin.
Shuni ta'kidlash kerakki, biz xizmat ko'rsatuvchi provayder bo'lsak-da, biz mijozlar tomonidan o'rnatilgan sozlamalarga aralashmaymiz. Biz qila oladigan yagona narsa, agar qayta konfiguratsiya zarur bo'lsa, xavfsizlik siyosatlarini standartga qaytarishdir. Misol uchun, agar mijoz ularni tasodifan kuchaytirsa yoki sezilarli darajada zaiflashtirsa, bu zarur bo'lishi mumkin. Kompaniya har doim standart siyosatlarga ega boshqaruv markazini olishi mumkin, keyin uni mustaqil ravishda sozlashi mumkin. Kasperskiy xavfsizlik markazining kamchiligi shundaki, platforma hozircha faqat Microsoft operatsion tizimi uchun mavjud. Yengil agentlar ham Windows, ham Linux mashinalari bilan ishlashi mumkin. Biroq, Kasperskiy laboratoriyasi yaqin kelajakda KSC Linux OS ostida ishlashini va'da qilmoqda. KSC ning muhim vazifalaridan biri karantinni boshqarish qobiliyatidir. Bizning bulutimizdagi har bir mijoz kompaniyasining shaxsiy bor. Ushbu yondashuv virus bilan zararlangan hujjat tasodifan hammaga ko'rinadigan holatlarni bartaraf qiladi, xuddi umumiy karantinli klassik korporativ antivirusda bo'lishi mumkin.
• Yengil agentlar. Yangi modelning bir qismi sifatida har bir virtual mashinaga yengil Kaspersky Security agenti o‘rnatilgan. Bu har bir VMda virusga qarshi ma'lumotlar bazasini saqlash zaruratini yo'q qiladi, bu esa kerakli disk maydonini kamaytiradi. Xizmat bulutli infratuzilma bilan birlashtirilgan va SVM orqali ishlaydi, bu ESXi xostidagi virtual mashinalar zichligini va butun bulutli tizimning ishlashini oshiradi. Nur agenti har bir virtual mashina uchun vazifalar navbatini tuzadi: fayl tizimini, xotirani va hokazolarni tekshiring. Ammo SVM ushbu operatsiyalarni bajarish uchun javobgardir, biz keyinroq gaplashamiz. Agent shuningdek, xavfsizlik devori vazifasini bajaradi, xavfsizlik siyosatini nazorat qiladi, zararlangan fayllarni karantinga yuboradi va o'rnatilgan operatsion tizimning umumiy "sog'lig'ini" nazorat qiladi. Bularning barchasini yuqorida aytib o'tilgan yagona konsol yordamida boshqarish mumkin.
• Xavfsizlik virtual mashinasi. Resurs talab qiladigan barcha vazifalar (antivirus ma'lumotlar bazasini yangilash, rejalashtirilgan skanerlash) alohida Virtual Virtual Machine (SVM) tomonidan boshqariladi. U to'laqonli virusga qarshi vosita va uning ma'lumotlar bazalarining ishlashi uchun javobgardir. Kompaniyaning IT infratuzilmasi bir nechta SVMlarni o'z ichiga olishi mumkin. Bunday yondashuv tizimning ishonchliligini oshiradi - agar bitta mashina ishlamay qolsa va o'ttiz soniya davomida javob bermasa, agentlar avtomatik ravishda boshqasini qidira boshlaydi.
• KSC integratsiya serveri. Asosiy KSC tarkibiy qismlaridan biri, u o'z SVMlarini o'z sozlamalarida ko'rsatilgan algoritmga muvofiq yorug'lik agentlariga tayinlaydi, shuningdek, SVMlarning mavjudligini nazorat qiladi. Shunday qilib, ushbu dasturiy modul bulut infratuzilmasining barcha SVMlarida yuk muvozanatini ta'minlaydi.
Bulutda ishlash algoritmi: infratuzilmadagi yukni kamaytirish
Umuman olganda, antivirus algoritmini quyidagicha ifodalash mumkin. Agent virtual mashinadagi faylga kiradi va uni tekshiradi. Tekshiruv natijasi umumiy markazlashtirilgan SVM hukmlari ma'lumotlar bazasida (Birgalikda kesh deb ataladi) saqlanadi, unda har bir yozuv noyob fayl namunasini aniqlaydi. Ushbu yondashuv bir xil fayl ketma-ket bir necha marta skanerdan o'tkazilmasligini ta'minlashga imkon beradi (masalan, agar u turli virtual mashinalarda ochilgan bo'lsa). Fayl faqat unga o'zgartirishlar kiritilgan yoki skanerlash qo'lda boshlangan bo'lsa, qayta tekshiriladi.
Provayder bulutida antivirus yechimini amalga oshirish
Rasmda bulutda yechimni amalga oshirishning umumiy diagrammasi ko'rsatilgan. Asosiy Kasperskiy xavfsizlik markazi bulutning boshqaruv zonasida joylashtirilgan va KSC integratsiya serveridan foydalangan holda har bir ESXi xostiga individual SVM joylashtirilgan (har bir ESXi xosti VMware vCenter Serverda maxsus sozlamalar bilan biriktirilgan o‘z SVM-ga ega). Mijozlar agentlari bilan virtual mashinalar joylashgan o'zlarining bulut segmentlarida ishlaydi. Ular asosiy KSCga bo'ysunuvchi alohida KSC serverlari orqali boshqariladi. Agar oz sonli virtual mashinalarni (5 tagacha) himoya qilish zarur bo'lsa, mijozga maxsus ajratilgan KSC serverining virtual konsoliga kirish huquqi berilishi mumkin. Mijoz KSC va asosiy KSC, shuningdek yorug'lik agentlari va SVMlar o'rtasidagi tarmoq o'zaro ta'siri NAT yordamida EdgeGW mijoz virtual routerlari orqali amalga oshiriladi.
Bizning hisob-kitoblarimiz va sotuvchidagi hamkasblar sinovlari natijalariga ko'ra, Light Agent mijozlarning virtual infratuzilmasidagi yukni taxminan 25% ga kamaytiradi (an'anaviy virusga qarshi dasturlardan foydalanadigan tizim bilan solishtirganda). Xususan, jismoniy muhitlar uchun standart Kaspersky Endpoint Security (KES) antivirusi engil agentga asoslangan virtualizatsiya yechimiga (2,95%) nisbatan server protsessor vaqtini (1,67%) deyarli ikki baravar ko'p sarflaydi.
CPU yukini taqqoslash jadvali
Xuddi shunday holat disk yozishga kirish chastotasida ham kuzatiladi: klassik antivirus uchun bu 1011 IOPS, bulutli antivirus uchun 671 IOPS.
Diskdan foydalanish tezligini taqqoslash grafigi
Ishlashning afzalliklari infratuzilma barqarorligini saqlash va hisoblash quvvatidan samaraliroq foydalanish imkonini beradi. Umumiy bulutli muhitda ishlashga moslashgan holda, yechim bulut ish faoliyatini kamaytirmaydi: u fayllarni markazlashtirilgan tarzda tekshiradi va yangilanishlarni yuklaydi, yukni taqsimlaydi. Bu, bir tomondan, bulut infratuzilmasi bilan bog'liq tahdidlar o'tkazib yuborilmaydi, boshqa tomondan, virtual mashinalar uchun resurs talablari an'anaviy antivirusga nisbatan o'rtacha 25% ga kamayadi.
Funktsionallik nuqtai nazaridan, ikkala yechim ham bir-biriga juda o'xshash: quyida taqqoslash jadvali mavjud. Biroq, bulutda, yuqoridagi test natijalari ko'rsatganidek, virtual muhitlar uchun yechimdan foydalanish hali ham maqbuldir.
Yangi yondashuv doirasidagi tariflar haqida. Biz vCPUlar soniga qarab litsenziya olish imkonini beruvchi modeldan foydalanishga qaror qildik. Bu shuni anglatadiki, litsenziyalar soni vCPUlar soniga teng bo'ladi. So'rov qoldirib, antivirusingizni sinab ko'rishingiz mumkin .
Bulutli mavzulardagi keyingi maqolada biz bulutli WAF-larning evolyutsiyasi va nimani tanlash yaxshiroq: apparat, dasturiy ta'minot yoki bulut haqida gapiramiz.
Matnni #CloudMTS bulutli provayderi xodimlari tayyorladilar: yetakchi arxitektor Denis Myagkov va axborot xavfsizligi mahsulotlarini ishlab chiqish menejeri Aleksey Afanasyev.
Manba: www.habr.com