Ngày càng có nhiều người dùng đưa toàn bộ cơ sở hạ tầng CNTT của họ lên đám mây công cộng. Tuy nhiên, nếu cơ sở hạ tầng của khách hàng không đủ khả năng kiểm soát chống vi-rút thì rủi ro mạng nghiêm trọng sẽ phát sinh. Thực tiễn cho thấy có tới 80% virus hiện có sống hoàn hảo trong môi trường ảo. Trong bài đăng này, chúng tôi sẽ nói về cách bảo vệ tài nguyên CNTT trên đám mây công cộng và tại sao các phần mềm chống vi-rút truyền thống không hoàn toàn phù hợp cho những mục đích này.
Để bắt đầu, chúng tôi sẽ cho bạn biết làm thế nào chúng tôi nảy ra ý tưởng rằng các công cụ bảo vệ chống vi-rút thông thường không phù hợp với đám mây công cộng và cần có các phương pháp khác để bảo vệ tài nguyên.
Đầu tiên, các nhà cung cấp thường cung cấp các biện pháp cần thiết để đảm bảo rằng nền tảng đám mây của họ được bảo vệ ở mức cao. Ví dụ: tại #CloudMTS, chúng tôi phân tích tất cả lưu lượng truy cập mạng, giám sát nhật ký của hệ thống bảo mật trên đám mây của chúng tôi và thường xuyên thực hiện các cuộc thử nghiệm dồn nén. Các phân đoạn đám mây được phân bổ cho từng khách hàng cũng phải được bảo vệ an toàn.
Thứ hai, tùy chọn cổ điển để chống lại rủi ro mạng liên quan đến việc cài đặt công cụ quản lý chống vi-rút và chống vi-rút trên mỗi máy ảo. Tuy nhiên, với số lượng lớn máy ảo, cách làm này có thể không hiệu quả và yêu cầu lượng tài nguyên máy tính đáng kể, do đó tải thêm cơ sở hạ tầng của khách hàng và giảm hiệu suất tổng thể của đám mây. Điều này đã trở thành điều kiện tiên quyết quan trọng để tìm kiếm các phương pháp tiếp cận mới nhằm xây dựng khả năng bảo vệ chống vi-rút hiệu quả cho các máy ảo của khách hàng.
Ngoài ra, hầu hết các giải pháp chống vi-rút trên thị trường đều không được điều chỉnh để giải quyết các vấn đề về bảo vệ tài nguyên CNTT trong môi trường đám mây công cộng. Theo quy định, chúng là các giải pháp EPP hạng nặng (Nền tảng bảo vệ điểm cuối), hơn nữa, không cung cấp tùy chỉnh cần thiết ở phía máy khách của nhà cung cấp đám mây.
Rõ ràng là các giải pháp chống vi-rút truyền thống không phù hợp để hoạt động trên đám mây, vì chúng tải cơ sở hạ tầng ảo trong quá trình cập nhật và quét, đồng thời không có các cấp độ quản lý và cài đặt dựa trên vai trò cần thiết. Tiếp theo, chúng tôi sẽ phân tích chi tiết lý do tại sao đám mây cần các phương pháp mới để bảo vệ chống vi-rút.
Phần mềm chống vi-rút trên đám mây công cộng có thể làm gì
Vì vậy, hãy chú ý đến các chi tiết cụ thể khi làm việc trong môi trường ảo:
Hiệu quả của các bản cập nhật và quét hàng loạt theo lịch trình. Nếu một số lượng đáng kể các máy ảo sử dụng phần mềm chống vi-rút truyền thống bắt đầu cập nhật cùng lúc, thì cái gọi là “cơn bão” cập nhật sẽ xảy ra trên đám mây. Sức mạnh của máy chủ ESXi lưu trữ một số máy ảo có thể không đủ để xử lý hàng loạt tác vụ tương tự đang chạy theo mặc định. Theo quan điểm của nhà cung cấp đám mây, sự cố như vậy có thể dẫn đến tải bổ sung trên một số máy chủ ESXi, điều này cuối cùng sẽ dẫn đến giảm hiệu suất của cơ sở hạ tầng ảo đám mây. Điều này có thể ảnh hưởng đến hiệu suất của máy ảo của các ứng dụng khách đám mây khác. Một tình huống tương tự có thể xảy ra khi khởi chạy quét hàng loạt: việc hệ thống đĩa xử lý đồng thời nhiều yêu cầu tương tự từ những người dùng khác nhau sẽ ảnh hưởng tiêu cực đến hiệu suất của toàn bộ đám mây. Với khả năng xảy ra cao, việc giảm hiệu suất hệ thống lưu trữ sẽ ảnh hưởng đến tất cả khách hàng. Việc tải đột ngột như vậy không làm hài lòng cả nhà cung cấp lẫn khách hàng của họ vì chúng ảnh hưởng đến “hàng xóm” trên đám mây. Từ quan điểm này, phần mềm chống vi-rút truyền thống có thể gây ra vấn đề lớn.
Cách ly an toàn. Nếu một tập tin hoặc tài liệu có khả năng bị nhiễm vi-rút được phát hiện trên hệ thống, nó sẽ được gửi đi kiểm dịch. Tất nhiên, một tệp bị nhiễm có thể bị xóa ngay lập tức, nhưng điều này thường không được hầu hết các công ty chấp nhận. Theo quy định, các phần mềm chống vi-rút dành cho doanh nghiệp của công ty không được điều chỉnh để hoạt động trong đám mây của nhà cung cấp, có một vùng cách ly chung - tất cả các đối tượng bị nhiễm đều rơi vào đó. Ví dụ: những thứ được tìm thấy trên máy tính của người dùng công ty. Khách hàng của nhà cung cấp đám mây “sống” trong phân khúc riêng của họ (hoặc người thuê). Các phân khúc này không rõ ràng và tách biệt: khách hàng không biết về nhau và tất nhiên không nhìn thấy những gì người khác đang lưu trữ trên đám mây. Rõ ràng, vùng cách ly chung, sẽ được tất cả người dùng chống vi-rút trên đám mây truy cập, có thể bao gồm một tài liệu chứa thông tin bí mật hoặc bí mật thương mại. Điều này là không thể chấp nhận được đối với nhà cung cấp và khách hàng của họ. Do đó, chỉ có thể có một giải pháp - cách ly cá nhân đối với từng khách hàng trong phân khúc của mình, nơi cả nhà cung cấp và khách hàng khác đều không có quyền truy cập.
Chính sách bảo mật cá nhân. Mỗi khách hàng trên đám mây là một công ty riêng biệt, có bộ phận CNTT đặt ra các chính sách bảo mật riêng. Ví dụ: quản trị viên xác định quy tắc quét và lên lịch quét chống vi-rút. Theo đó, mỗi tổ chức phải có trung tâm điều khiển riêng để cấu hình các chính sách chống virus. Đồng thời, các cài đặt được chỉ định sẽ không ảnh hưởng đến các máy khách đám mây khác và nhà cung cấp sẽ có thể xác minh rằng, chẳng hạn như các bản cập nhật chống vi-rút được thực hiện như bình thường đối với tất cả các máy ảo của máy khách.
Tổ chức thanh toán và cấp phép. Mô hình đám mây được đặc trưng bởi tính linh hoạt và chỉ bao gồm việc trả tiền cho lượng tài nguyên CNTT mà khách hàng đã sử dụng. Ví dụ: nếu có nhu cầu do tính thời vụ, thì lượng tài nguyên có thể tăng hoặc giảm nhanh chóng - tất cả đều dựa trên nhu cầu hiện tại về sức mạnh tính toán. Phần mềm chống vi-rút truyền thống không quá linh hoạt - theo quy định, khách hàng mua giấy phép trong một năm cho một số lượng máy chủ hoặc máy trạm được xác định trước. Người dùng đám mây thường xuyên ngắt kết nối và kết nối thêm các máy ảo tùy theo nhu cầu hiện tại của họ - theo đó, giấy phép chống vi-rút phải hỗ trợ cùng một mô hình.
Câu hỏi thứ hai là chính xác giấy phép sẽ bao gồm những gì. Phần mềm chống virus truyền thống được cấp phép theo số lượng máy chủ hoặc máy trạm. Giấy phép dựa trên số lượng máy ảo được bảo vệ không hoàn toàn phù hợp trong mô hình đám mây. Khách hàng có thể tạo bất kỳ số lượng máy ảo nào thuận tiện cho mình từ các tài nguyên có sẵn, chẳng hạn như năm hoặc mười máy. Con số này không phải là hằng số đối với hầu hết khách hàng; chúng tôi, với tư cách là nhà cung cấp, không thể theo dõi những thay đổi của nó. Không có khả năng kỹ thuật để cấp phép theo CPU: máy khách nhận được bộ xử lý ảo (vCPU), bộ xử lý này sẽ được sử dụng để cấp phép. Do đó, mô hình bảo vệ chống vi-rút mới phải bao gồm khả năng cho khách hàng xác định số lượng vCPU cần thiết mà họ sẽ nhận được giấy phép chống vi-rút.
Tuân thủ pháp luật. Một điểm quan trọng là các giải pháp được sử dụng phải đảm bảo tuân thủ các yêu cầu của cơ quan quản lý. Ví dụ: “cư dân” trên đám mây thường làm việc với dữ liệu cá nhân. Trong trường hợp này, nhà cung cấp phải có phân khúc đám mây được chứng nhận riêng biệt tuân thủ đầy đủ các yêu cầu của Luật Dữ liệu Cá nhân. Khi đó, các công ty không cần phải “xây dựng” toàn bộ hệ thống làm việc với dữ liệu cá nhân một cách độc lập: mua thiết bị được chứng nhận, kết nối và định cấu hình nó cũng như trải qua chứng nhận. Để bảo vệ mạng ISPD của những khách hàng như vậy, phần mềm chống vi-rút cũng phải tuân thủ các yêu cầu của pháp luật Nga và có chứng chỉ FSTEC.
Chúng tôi đã xem xét các tiêu chí bắt buộc mà tính năng bảo vệ chống vi-rút trên đám mây công cộng phải đáp ứng. Tiếp theo, chúng tôi sẽ chia sẻ kinh nghiệm của bản thân trong việc điều chỉnh giải pháp chống vi-rút để hoạt động trên đám mây của nhà cung cấp.
Làm thế nào bạn có thể kết bạn giữa phần mềm chống vi-rút và đám mây?
Như kinh nghiệm của chúng tôi đã chỉ ra, việc chọn giải pháp dựa trên mô tả và tài liệu là một chuyện, nhưng việc triển khai giải pháp đó trên thực tế trong môi trường đám mây đã hoạt động lại là một nhiệm vụ hoàn toàn khác xét về độ phức tạp. Chúng tôi sẽ cho bạn biết những gì chúng tôi đã làm trong thực tế và cách chúng tôi điều chỉnh phần mềm chống vi-rút để hoạt động trên đám mây công cộng của nhà cung cấp. Nhà cung cấp giải pháp chống vi-rút là Kaspersky, công ty có danh mục bao gồm các giải pháp bảo vệ chống vi-rút cho môi trường đám mây. Chúng tôi đã quyết định về “Kaspersky Security for Virtualization” (Light Agent).
Nó bao gồm một bảng điều khiển Kaspersky Security Center duy nhất. Tác nhân nhẹ và máy ảo bảo mật (SVM, Máy ảo bảo mật) và máy chủ tích hợp KSC.
Sau khi chúng tôi nghiên cứu kiến trúc của giải pháp Kaspersky và tiến hành các thử nghiệm đầu tiên cùng với các kỹ sư của nhà cung cấp, câu hỏi đặt ra là về việc tích hợp dịch vụ vào đám mây. Việc triển khai đầu tiên được thực hiện chung tại địa điểm đám mây ở Moscow. Và đó là điều chúng tôi nhận ra.
Để giảm thiểu lưu lượng mạng, người ta đã quyết định đặt một SVM trên mỗi máy chủ ESXi và “gắn” SVM với các máy chủ ESXi. Trong trường hợp này, các tác nhân nhẹ của các máy ảo được bảo vệ sẽ truy cập vào SVM của máy chủ ESXi chính xác mà chúng đang chạy trên đó. Một đối tượng thuê quản trị riêng biệt đã được chọn cho KSC chính. Do đó, các KSC cấp dưới được đặt trong đối tượng thuê của từng khách hàng riêng lẻ và xử lý KSC cấp trên nằm trong phân khúc quản lý. Đề án này cho phép bạn nhanh chóng giải quyết các vấn đề phát sinh ở khách hàng thuê nhà.
Ngoài các vấn đề về nâng cao các thành phần của giải pháp chống vi-rút, chúng tôi còn phải đối mặt với nhiệm vụ tổ chức tương tác mạng thông qua việc tạo thêm VxLAN. Và mặc dù giải pháp ban đầu được dành cho các khách hàng doanh nghiệp có đám mây riêng, nhưng với sự trợ giúp của hiểu biết về kỹ thuật và tính linh hoạt về công nghệ của NSX Edge, chúng tôi đã có thể giải quyết tất cả các vấn đề liên quan đến việc tách biệt người thuê và cấp phép.
Chúng tôi đã hợp tác chặt chẽ với các kỹ sư của Kaspersky. Như vậy, trong quá trình phân tích kiến trúc giải pháp về mặt tương tác mạng giữa các thành phần hệ thống, người ta nhận thấy rằng, ngoài khả năng truy cập từ tác nhân nhẹ đến SVM, phản hồi cũng rất cần thiết - từ SVM đến tác nhân nhẹ. Không thể kết nối mạng này trong môi trường nhiều đối tượng thuê do khả năng cài đặt mạng giống hệt nhau của các máy ảo trong các đối tượng thuê đám mây khác nhau. Do đó, theo yêu cầu của chúng tôi, các đồng nghiệp từ nhà cung cấp đã làm lại cơ chế tương tác mạng giữa tác nhân nhẹ và SVM nhằm loại bỏ nhu cầu kết nối mạng từ SVM đến tác nhân nhẹ.
Sau khi giải pháp được triển khai và thử nghiệm trên trang web đám mây ở Moscow, chúng tôi đã nhân rộng nó sang các trang web khác, bao gồm cả phân khúc đám mây được chứng nhận. Hiện nay dịch vụ đã có mặt ở khắp các tỉnh thành trên cả nước.
Kiến trúc giải pháp bảo mật thông tin trong khuôn khổ cách tiếp cận mới
Sơ đồ hoạt động chung của giải pháp chống vi-rút trong môi trường đám mây công cộng như sau:
Sơ đồ hoạt động của giải pháp chống vi-rút trong môi trường đám mây công cộng #CloudMTS
Hãy để chúng tôi mô tả các tính năng hoạt động của các yếu tố riêng lẻ của giải pháp trên đám mây:
• Một bảng điều khiển duy nhất cho phép khách hàng quản lý tập trung hệ thống bảo vệ: chạy quét, kiểm soát cập nhật và giám sát các vùng cách ly. Có thể định cấu hình các chính sách bảo mật riêng lẻ trong phân khúc của bạn.
Cần lưu ý rằng mặc dù chúng tôi là nhà cung cấp dịch vụ nhưng chúng tôi không can thiệp vào cài đặt do khách hàng đặt. Điều duy nhất chúng ta có thể làm là đặt lại các chính sách bảo mật về chính sách tiêu chuẩn nếu cần phải cấu hình lại. Ví dụ, điều này có thể cần thiết nếu khách hàng vô tình siết chặt chúng hoặc làm chúng yếu đi đáng kể. Một công ty luôn có thể nhận được một trung tâm điều khiển với các chính sách mặc định, sau đó công ty có thể định cấu hình độc lập. Điểm bất lợi của Kaspersky Security Center là nền tảng này hiện chỉ có sẵn cho hệ điều hành Microsoft. Mặc dù các tác nhân nhẹ có thể hoạt động với cả máy Windows và Linux. Tuy nhiên, Kaspersky Lab hứa hẹn rằng trong thời gian tới KSC sẽ hoạt động trên hệ điều hành Linux. Một trong những chức năng quan trọng của KSC là khả năng quản lý việc cách ly. Mỗi công ty khách hàng trong đám mây của chúng tôi đều có một công ty khách hàng. Cách tiếp cận này giúp loại bỏ các tình huống trong đó tài liệu bị nhiễm vi-rút vô tình hiển thị công khai, như có thể xảy ra trong trường hợp phần mềm chống vi-rút cổ điển của công ty được cách ly chung.
• Chất nhẹ. Là một phần của mô hình mới, một tác nhân Kaspersky Security nhẹ được cài đặt trên mỗi máy ảo. Điều này giúp loại bỏ nhu cầu lưu trữ cơ sở dữ liệu chống vi-rút trên mỗi VM, giúp giảm dung lượng ổ đĩa cần thiết. Dịch vụ này được tích hợp với cơ sở hạ tầng đám mây và hoạt động thông qua SVM, giúp tăng mật độ máy ảo trên máy chủ ESXi và hiệu suất của toàn bộ hệ thống đám mây. Tác nhân nhẹ xây dựng một hàng tác vụ cho từng máy ảo: kiểm tra hệ thống tệp, bộ nhớ, v.v. Nhưng SVM chịu trách nhiệm thực hiện các thao tác này mà chúng ta sẽ nói đến sau. Tác nhân này cũng thực hiện các chức năng của tường lửa, kiểm soát các chính sách bảo mật, gửi các tệp bị nhiễm để cách ly và giám sát “sức khỏe” tổng thể của hệ điều hành mà nó được cài đặt trên đó. Tất cả điều này có thể được quản lý bằng bảng điều khiển đơn đã được đề cập.
• Bảo mật máy ảo. Tất cả các tác vụ tiêu tốn nhiều tài nguyên (cập nhật cơ sở dữ liệu chống vi-rút, quét theo lịch) đều được xử lý bởi Máy ảo bảo mật (SVM) riêng biệt. Cô chịu trách nhiệm vận hành một công cụ chống vi-rút chính thức và cơ sở dữ liệu cho nó. Cơ sở hạ tầng CNTT của một công ty có thể bao gồm một số SVM. Cách tiếp cận này làm tăng độ tin cậy của hệ thống - nếu một máy bị lỗi và không phản hồi trong ba mươi giây, các nhân viên sẽ tự động bắt đầu tìm kiếm một máy khác.
• Máy chủ tích hợp KSC. Một trong những thành phần của KSC chính, gán các SVM của nó cho các tác nhân nhẹ theo thuật toán được chỉ định trong cài đặt của nó, đồng thời kiểm soát tính khả dụng của SVM. Do đó, mô-đun phần mềm này cung cấp khả năng cân bằng tải trên tất cả các SVM của cơ sở hạ tầng đám mây.
Thuật toán làm việc trên đám mây: giảm tải cho cơ sở hạ tầng
Nói chung, thuật toán chống vi-rút có thể được trình bày như sau. Tác nhân truy cập tệp trên máy ảo và kiểm tra nó. Kết quả xác minh được lưu trữ trong cơ sở dữ liệu kết quả SVM tập trung chung (được gọi là Bộ đệm chia sẻ), mỗi mục trong đó xác định một mẫu tệp duy nhất. Cách tiếp cận này cho phép bạn đảm bảo rằng cùng một tệp không bị quét nhiều lần liên tiếp (ví dụ: nếu tệp đó được mở trên các máy ảo khác nhau). Tệp chỉ được quét lại nếu có thay đổi đối với tệp hoặc quá trình quét được bắt đầu theo cách thủ công.
Triển khai giải pháp chống vi-rút trên đám mây của nhà cung cấp
Hình ảnh hiển thị sơ đồ chung về việc triển khai giải pháp trên đám mây. Kaspersky Security Center chính được triển khai trong vùng kiểm soát của đám mây và một SVM riêng lẻ được triển khai trên mỗi máy chủ ESXi bằng máy chủ tích hợp KSC (mỗi máy chủ ESXi có SVM riêng kèm theo các cài đặt đặc biệt trên VMware vCenter Server). Khách hàng làm việc trong các phân khúc đám mây của riêng họ, nơi đặt các máy ảo có tác nhân. Chúng được quản lý thông qua các máy chủ KSC riêng lẻ phụ thuộc vào KSC chính. Nếu cần bảo vệ một số lượng nhỏ máy ảo (tối đa 5), máy khách có thể được cung cấp quyền truy cập vào bảng điều khiển ảo của máy chủ KSC chuyên dụng đặc biệt. Tương tác mạng giữa các KSC máy khách và KSC chính, cũng như các tác nhân nhẹ và SVM, được thực hiện bằng cách sử dụng NAT thông qua bộ định tuyến ảo máy khách EdgeGW.
Theo ước tính của chúng tôi và kết quả thử nghiệm của các đồng nghiệp tại nhà cung cấp, Light Agent giảm tải cho cơ sở hạ tầng ảo của khách hàng khoảng 25% (khi so sánh với hệ thống sử dụng phần mềm chống vi-rút truyền thống). Đặc biệt, phần mềm diệt virus Kaspersky Endpoint Security (KES) tiêu chuẩn dành cho môi trường vật lý tiêu tốn thời gian CPU của máy chủ gần như gấp đôi (2,95%) so với giải pháp ảo hóa dựa trên tác nhân nhẹ (1,67%).
Biểu đồ so sánh tải CPU
Một tình huống tương tự cũng xảy ra với tần suất truy cập ghi vào đĩa: đối với phần mềm chống vi-rút cổ điển là 1011 IOPS, đối với phần mềm chống vi-rút đám mây là 671 IOPS.
Biểu đồ so sánh tốc độ truy cập đĩa
Lợi ích về hiệu suất cho phép bạn duy trì sự ổn định của cơ sở hạ tầng và sử dụng sức mạnh tính toán hiệu quả hơn. Bằng cách thích ứng để hoạt động trong môi trường đám mây công cộng, giải pháp không làm giảm hiệu suất của đám mây: nó kiểm tra tập trung các tệp và tải xuống các bản cập nhật, phân phối tải. Điều này có nghĩa là, một mặt, các mối đe dọa liên quan đến cơ sở hạ tầng đám mây sẽ không bị bỏ qua, mặt khác, yêu cầu về tài nguyên cho máy ảo sẽ giảm trung bình 25% so với phần mềm diệt virus truyền thống.
Về chức năng, cả hai giải pháp đều rất giống nhau: bên dưới là bảng so sánh. Tuy nhiên, trên đám mây, như kết quả thử nghiệm ở trên cho thấy, việc sử dụng giải pháp cho môi trường ảo vẫn là tối ưu.
Về thuế quan trong khuôn khổ cách tiếp cận mới. Chúng tôi quyết định sử dụng một mô hình cho phép chúng tôi nhận được giấy phép dựa trên số lượng vCPU. Điều này có nghĩa là số lượng giấy phép sẽ bằng số lượng vCPU. Bạn có thể kiểm tra phần mềm chống vi-rút của mình bằng cách để lại yêu cầu .
Trong bài viết tiếp theo về chủ đề đám mây, chúng ta sẽ nói về sự phát triển của WAF đám mây và lựa chọn nào tốt hơn: phần cứng, phần mềm hay đám mây.
Văn bản được chuẩn bị bởi các nhân viên của nhà cung cấp đám mây #CloudMTS: Denis Myagkov, kiến trúc sư hàng đầu và Alexey Afanasyev, giám đốc phát triển sản phẩm bảo mật thông tin.
Nguồn: www.habr.com