越來越多的用戶將他們的整個 IT 基礎設施遷移到公有雲。 然而,如果客戶基礎設施的防毒控制不足,則會出現嚴重的網路風險。 實踐表明,高達80%的現有病毒完美地生活在虛擬環境中。 在這篇文章中,我們將討論如何保護公有雲中的 IT 資源以及為什麼傳統防毒軟體並不完全適合這些目的。
首先,我們將告訴您我們如何得出這樣的想法:通常的防毒保護工具不適合公有雲,需要其他方法來保護資源。
首先,提供者通常會提供必要的措施來確保其雲端平台受到高水準的保護。 例如,在#CloudMTS,我們分析所有網路流量,監控雲端安全系統的日誌,並定期執行滲透測試。 分配給各個客戶的雲段也必須受到安全保護。
其次,應對網路風險的經典選擇是在每個虛擬機器上安裝防毒和防毒管理工具。 然而,對於大量虛擬機,這種做法可能效率低下,並且需要大量運算資源,從而進一步加重客戶基礎設施的負載並降低雲端的整體效能。 這已成為尋找新方法為客戶虛擬機構建立有效防毒保護的關鍵先決條件。
此外,市場上大多數的防毒解決方案都無法解決公有雲環境中IT資源的保護問題。 通常,它們是重量級 EPP 解決方案(端點保護平台),而且不提供雲端供應商客戶端的必要客製化。
很明顯,傳統的防毒解決方案不適合在雲端中工作,因為它們在更新和掃描期間嚴重加載虛擬基礎架構,並且也不具備必要級別的基於角色的管理和設定。 接下來,我們將詳細分析為什麼雲端需要新的防毒防護方法。
公有雲中的防毒軟體應該能夠做什麼
因此,讓我們注意一下在虛擬環境中工作的細節:
更新和規劃批量掃描的效率。 如果大量使用傳統防毒軟體的虛擬機器同時啟動更新,雲端就會出現所謂的更新「風暴」。 託管多個虛擬機器的 ESXi 主機的功能可能不足以處理預設運行的大量類似任務。 從雲端供應商的角度來看,這樣的問題可能會導致許多ESXi主機上出現額外的負載,最終導致雲端虛擬基礎設施的效能下降。 除此之外,這可能會影響其他雲端客戶端的虛擬機器的效能。 啟動大規模掃描時可能會出現類似的情況:磁碟系統同時處理來自不同使用者的許多相似請求會對整個雲端的效能產生負面影響。 儲存系統效能下降很可能會影響所有客戶端。 這種突然的負載不會讓提供者或其客戶滿意,因為它們會影響雲端中的「鄰居」。 從這個角度來看,傳統的防毒軟體可能會帶來很大的問題。
安全隔離。 如果系統上偵測到可能感染病毒的文件或文檔,則會將其傳送至隔離區。 當然,受感染的文件可以立即刪除,但這對大多數公司來說往往是不可接受的。 通常,不適合在提供者的雲端中工作的企業防毒軟體有一個公共隔離區 - 所有受感染的物件都會落入其中。 例如,在公司用戶的電腦上找到的那些。 雲端提供者的客戶「生活」在自己的細分市場(或租戶)。 這些部分是不透明且孤立的:客戶端彼此不了解,當然也看不到其他人在雲端中託管的內容。 顯然,雲端中所有防毒使用者都可以存取的一般隔離區可能包含包含機密資訊或商業機密的文件。 這對於提供者及其客戶來說是不可接受的。 因此,只能有一種解決方案——對所在細分市場中的每個客戶進行個人隔離,提供者和其他客戶都無法存取。
個人安全策略。 雲端中的每個客戶都是獨立的公司,其 IT 部門制定自己的安全策略。 例如,管理員定義掃描規則並安排防毒掃描。 因此,每個組織都必須有自己的控制中心來配置防毒策略。 同時,指定的設定不應影響其他雲端客戶端,且提供者應能夠驗證所有用戶端虛擬機器是否正常執行防毒更新等。
組織計費和許可。 雲端模型的特點是靈活性,只需為客戶使用的 IT 資源量付費。 如果有需要,例如由於季節性原因,那麼資源量可以快速增加或減少 - 一切都基於當前對運算能力的需求。 傳統的防毒軟體並不那麼靈活——通常,客戶為預定數量的伺服器或工作站購買一年的許可證。 雲端用戶根據當前需求定期斷開和連接其他虛擬機器 - 因此,防毒許可證必須支援相同的模型。
第二個問題是許可證到底涵蓋什麼內容。 傳統的防毒軟體是根據伺服器或工作站的數量進行許可的。 基於受保護虛擬機器數量的授權並不完全適合雲端模型。 客戶可以從可用資源中建立任意數量的對其方便的虛擬機,例如五台或十台機器。 對於大多數客戶來說,這個數字並不是恆定的;作為提供者,我們不可能追蹤其變化。 從技術上講,不存在按 CPU 進行許可的可能性:客戶端會收到虛擬處理器 (vCPU),應用於授權。 因此,新的防毒保護模型應讓客戶確定他將獲得防毒許可證所需的 vCPU 數量。
遵守法律。 這一點很重要,因為所使用的解決方案必須確保符合監管機構的要求。 例如,雲端「居民」經常使用個人資料。 在這種情況下,提供者必須擁有完全符合個人資料法要求的獨立認證雲端部分。 這樣,公司就不需要獨立「建構」處理個人資料的整個系統:購買經過認證的設備,連接和配置它,並接受認證。 為了對此類客戶的 ISPD 進行網路保護,防毒軟體還必須符合俄羅斯立法的要求並具有 FSTEC 證書。
我們研究了公有雲中的防毒保護必須滿足的強制性標準。 接下來,我們將分享我們在調整防毒解決方案以使其在提供者的雲端中工作方面的經驗。
如何在防毒軟體和雲端之間成為朋友?
正如我們的經驗所示,根據描述和文件選擇解決方案是一回事,但在已經運行的雲端環境中實際實施它的複雜性卻是完全不同的任務。 我們將告訴您我們在實踐中做了什麼,以及我們如何調整防毒軟體以使其在提供者的公有雲中運作。 防毒解決方案的供應商是卡巴斯基,其產品組合包括針對雲端環境的防毒保護解決方案。 我們選擇了「Kaspersky Security for Virtualization」(輕代理)。
它包括一個 Kaspersky Security Center 控制台。 輕代理和安全虛擬機(SVM,Security Virtual Machine)和 KSC 整合伺服器。
在我們研究了卡巴斯基解決方案的架構並與供應商的工程師進行了第一次測試後,出現了將服務整合到雲端的問題。 首次實施是在莫斯科雲端站點聯合進行的。 這就是我們意識到的。
為了最大限度地減少網路流量,我們決定在每個 ESXi 主機上放置一個 SVM,並將 SVM「綁定」到 ESXi 主機。 在這種情況下,受保護虛擬機器的輕代理將存取其運作所在的確切 ESXi 主機的 SVM。 主 KSC 選定了一個單獨的行政租戶。 因此,下級 KSC 位於每個單獨客戶的租戶中,並尋址位於管理段中的上級 KSC。 此方案可讓您快速解決客戶租戶中出現的問題。
除了增加防毒解決方案本身的元件問題之外,我們還面臨著透過創建額外的 VxLAN 來組織網路互動的任務。 儘管該解決方案最初是針對擁有私有雲的企業客戶,但藉助 NSX Edge 的工程知識和技術靈活性,我們能夠解決與租戶和授權分離相關的所有問題。
我們與卡巴斯基工程師密切合作。 因此,在從系統元件之間的網路互動角度分析解決方案架構的過程中,我們發現除了輕代理到SVM的存取之外,還需要回饋-從SVM到輕代理程式。 由於不同雲端租戶中的虛擬機器可能具有相同的網路設置,因此在多租戶環境中無法實現此網路連接。 因此,應我們的要求,供應商的同事重新設計了輕代理和SVM之間的網路互動機制,消除了SVM到輕代理之間的網路連線需求。
該解決方案在莫斯科雲端站點上部署並測試後,我們將其複製到其他站點,包括經過認證的雲端部分。 該服務現已覆蓋全國所有地區。
新方法框架內的資訊安全解決方案架構
公有雲環境中防毒解決方案的一般操作方案如下:
公有雲環境中防毒解決方案的操作方案#CloudMTS
讓我們描述一下雲端中解決方案的各個元素的運作特徵:
• 單一控制台可讓用戶端集中管理保護系統:執行掃描、控制更新和監控隔離區。 可以在您的網段內設定單獨的安全性原則。
需要注意的是,雖然我們是服務提供者,但我們不干涉客戶的設定。 如果需要重新配置,我們唯一能做的就是將安全性策略重設為標準策略。 例如,如果客戶不小心將它們擰緊或顯著削弱了它們,則這可能是必要的。 公司始終可以接收具有預設策略的控制中心,然後可以獨立配置該控制中心。 Kaspersky Security Center 的缺點是該平台目前僅適用於 Microsoft 作業系統。 儘管輕量級代理可以在 Windows 和 Linux 機器上運作。 不過,卡巴斯基實驗室承諾,在不久的將來,KSC 將在 Linux 作業系統下運作。 KSC 的重要功能之一是管理檢疫的能力。 我們雲端中的每個客戶公司都有一個個人的。 這種方法消除了受病毒感染的文件意外公開可見的情況,就像採用一般隔離的經典企業防毒軟體可能發生的情況一樣。
• 光劑。 作為新模型的一部分,每個虛擬機器上都安裝了一個輕量級的 Kaspersky Security 代理程式。 這樣就無需在每個虛擬機器上儲存防毒資料庫,從而減少了所需的磁碟空間量。 該服務與雲端基礎設施集成,透過SVM工作,提高了ESXi主機上虛擬機的密度以及整個雲端系統的效能。 輕代理為每個虛擬機構建立一個任務佇列:檢查檔案系統、記憶體等。 但 SVM 負責執行這些操作,我們稍後會討論。 該代理還充當防火牆,控制安全策略,發送受感染的文件進行隔離,並監控安裝該代理的作業系統的整體「健康狀況」。 所有這些都可以使用已經提到的單一控制台進行管理。
• 安全虛擬機器。 所有資源密集任務(防毒資料庫更新、排程掃描)均由單獨的安全虛擬機器 (SVM) 處理。 她負責成熟的防毒引擎及其資料庫的操作。 本公司的 IT 基礎架構可能包括多個 SVM。 這種方法提高了系統的可靠性 - 如果一台機器發生故障並且在三十秒內沒有回應,代理會自動開始尋找另一台機器。
• KSC 整合伺服器。 主 KSC 的元件之一,根據其設定中指定的演算法將其 SVM 指派給輕代理,並控制 SVM 的可用性。 因此,此軟體模組提供跨雲端基礎架構的所有 SVM 的負載平衡。
在雲端工作的演算法:減少基礎設施的負載
一般來說,防毒演算法可以表示如下。 代理程式存取虛擬機器上的檔案並檢查它。 驗證的結果儲存在一個公共的集中式 SVM 判定資料庫(稱為共享快取)中,其中的每個條目標識一個唯一的文件樣本。 此方法可讓您確保同一檔案不會連續掃描多次(例如,如果它是在不同的虛擬機器上開啟的)。 只有當檔案發生變更或手動啟動掃描時,才會重新掃描該檔案。
在提供者的雲端中實施防毒解決方案
該圖顯示了雲端中解決方案實施的一般圖。 主 Kaspersky Security Center 部署在雲端的控制區域中,並使用 KSC 整合伺服器在每個 ESXi 主機上部署單獨的 SVM(每個 ESXi 主機都有自己的 SVM,並在 VMware vCenter Server 上附加了特殊設定)。 客戶在自己的雲端段中工作,其中包含具有代理的虛擬機器。 它們透過隸屬於主 KSC 的各個 KSC 伺服器進行管理。 如果需要保護少量虛擬機器(最多 5 個),可以為用戶端提供對特殊專用 KSC 伺服器虛擬控制台的存取權限。 客戶端 KSC 和主 KSC 以及輕代理和 SVM 之間的網路互動是透過 EdgeGW 用戶端虛擬路由器使用 NAT 進行的。
根據我們的估計和供應商同事的測試結果,Light Agent 可以將客戶虛擬基礎架構的負載減少約 25%(與使用傳統防毒軟體的系統相比)。 特別是,適用於實體環境的標準 Kaspersky Endpoint Security (KES) 防毒軟體消耗的伺服器 CPU 時間 (2,95%) 幾乎是基於代理的輕量級虛擬化解決方案 (1,67%) 的兩倍。
CPU負載比較圖
磁碟寫入存取頻率也存在類似情況:對於經典防毒軟體,該頻率為 1011 IOPS;對於雲端防毒軟體,該頻率為 671 IOPS。
磁碟存取速率對比圖
效能優勢使您能夠保持基礎設施穩定性並更有效地使用運算能力。 透過適應公有雲環境中的工作,該解決方案不會降低雲端效能:它集中檢查檔案並下載更新,分配負載。 這意味著,一方面不會錯過與雲端基礎架構相關的威脅,另一方面,與傳統防毒軟體相比,虛擬機器的資源需求將平均減少25%。
在功能方面,兩種解決方案非常相似:以下是比較表。 然而,在雲端中,正如上面的測試結果所示,使用虛擬環境的解決方案仍然是最佳的。
關於新辦法框架內的關稅。 我們決定使用一個模型,讓我們可以根據 vCPU 的數量取得授權。 這意味著許可證的數量將等於 vCPU 的數量。 您可以透過留下請求來測試您的防毒軟體 .
在下一篇有關雲端主題的文章中,我們將討論雲端 WAF 的演變以及更好的選擇:硬體、軟體還是雲端。
此文字由雲端提供者 #CloudMTS 的員工準備:首席架構師 Denis Myagkov 和資訊安全產品開發經理 Alexey Afanasyev。
來源: www.habr.com