- PVSM.RU - https://www.pvsm.ru -
В этом посте мы постараемся вывести наших читателей из распространённых заблуждений относительно безопасности виртуальных серверов и рассказать, как надо правильно защищать свои арендованные облака на исходе 2019 года. Статья рассчитана в основном на наших новых и потенциальных клиентов, конкретнее тех, кто только приобрёл или хочет приобрести виртуальные серверы RUVDS [1], но пока не очень разбираются в вопросах кибербезопасности и работе
Бытуют мнения, довольно распространённые среди владельцев и руководителей бизнеса (выделим их жирным шрифтом), что обеспечение кибербезопасности облачных сервисов — это либо априори не нужная вещь, так как облака безопасны (1), либо это задача облачного провайдера: заплатил за
Все эти четыре подхода неверные — они могут приносить убытки (разве что, кроме подхода совсем не использовать виртуальные серверы, но и здесь не стоит пренебрегать бизнес-постулатом «упущенная выгода — тоже убыток»). Для некоторой иллюстрации статистики приведем цитату из доклада эксперта поддержки корпоративных продаж «Лаборатории Касперского» Владимира Островерхова, который мы публиковали [3] летом 2017. Тогда «Касперский» проводили опрос среди пяти тысяч компаний из 25 стран — это крупные компании, в которых работает не менее полутора тысяч сотрудников. 75% из них используют виртуализацию, но не вкладывают средства в защиту. Проблема не потеряла актуальности и сегодня:
«Порядка половины [крупных] компаний не используют никакой защиты для виртуальных машин, а вторая половина считает, что хватит любого стандартного антивируса. Все эти компании [каждая] в среднем тратят почти миллион долларов [в год] на восстановление после инцидентов: на расследование, на восстановление системы, на компенсацию затрат, на компенсацию потерь от одного единственного взлома… Какими будут их траты в случае, если они себя скомпрометируют? Прямые потери на восстановление, замену оборудования, софта… Косвенные потери — репутация… Потери на компенсацию для их клиентов, в том числе и репутации… А еще расследование инцидентов, частичная замена инфраструктуры, потому что она уже себя скомпрометировала, это диалоги с правительствами, это диалоги со страховыми компаниями, диалоги с заказчиками, которым приходится платить компенсации.»
Подход 1: Облака безопасны, их не надо защищать. Порядка 240 тысяч единиц вредоносного ПО, появляющихся ежедневно, отлично «живут» внутри облаков: от простого кода, который написал школьник и выложил в интернет (а значит он потенциально может повредить данные) до сложных целенаправленных атак, разрабатываемых специально под конкретные организации, кейсы и ситуации, которые очень хорошо умеют не только ломать и воровать данные, но и «прятать» себя. Виртуальная инфраструктура интересна и хакерам: её намного проще взломать и получить доступ сразу ко всем вашим виртуальным машинам и данным, нежели пытаться взломать каждый физический сервер отдельно. Плюс стоит учитывать, что внутри виртуальной инфраструктуры зловредный код распространяется с огромной скоростью — десятки тысяч машин можно заразить за десяток минут, что равнозначно эпидемии (см. вышеупомянутый доклад [3]). Вредоносные программы и действия вымогателей, способствующие утечке данных компании, составляют порядка 27% от общего числа облачных «опасностей». Самые же уязвимые места в облаке: незащищённые интерфейсы и несанкционированный доступ — около 80% в сумме (по данным исследования Cloud Security Report 2019 [4] при поддержке Check Point Software Technologies Ltd. — ведущим поставщиком решений кибербезопасности для правительств и корпоративных предприятий по всему миру).
Cloud Security Report 2019 [4]
Подход 2: Защита облачной инфраструктуры — это задача провайдера
Подход 3: Никакие инструменты безопасности не могут обеспечить нужную защиту виртуальных сред. Отнюдь. Существуют специализированные облачные защитные решения, о которых мы расскажем в последней части статьи.
Подход 4: Использование стандартного антивируса (традиционная защита). Здесь важно знать, что традиционные инструменты безопасности, которые все привыкли использовать на локальных компьютерах, попросту не предназначены для распределённых виртуальных сред (они не «видят», как происходит общение между виртуальными машинами) не защищают внутреннюю виртуальную инфраструктуру от попытки внутреннего взлома. Проще говоря, обычные антивирусы почти не работают в облаке. При этом, установленные на каждую WM, они потребляют огромное количество ресурсов всей виртуальной экосистемы при проверках на вирусы и обновлениях, «просаживая» сеть и тормозя работу компании, но выдавая в результате почти нулевой КПД по своей основной работе.
В следующих двух разделах статьи мы перечислим, какие же опасности могут возникать при работе компании в облаках (частных, публичных, гибридных) и расскажем, как эти опасности можно и нужно предотвращать правильно.
Это различного рода информационное разрушающее воздействие на распределённую вычислительную систему, осуществляемое программно по каналам связи для достижения разных целей. Самые распространённые из них:
Любые противоправные и несанкционированные атаки, имеющие своей целью либо получение данных, либо нарушение функционирования системы, либо захват контроля над системой называются эксплойтами. Вызываются они ошибками в процессе разработки ПО, в результате которых в системе защиты программ появляются уязвимости, успешно используемые киберпреступниками для получения неограниченного доступа к самой программе, а через неё — ко всему компьютеру и дальше — к сети машин.
Взлом посторонним лицом учётной записи сотрудника компании с целью получения доступа к защищаемой информации: от перехвата информации (в том числе звуковой) и ключей вредоносным ПО до проникновения к физическому хранению носителя информации.
Заражение серверов-хранилищ файлов-установщиков ПО, обновлений и библиотек.
Сюда относятся утечки информации по вине самих сотрудников компании. Это может быть простая халатность или преднамеренные вредоносные действия: от целенаправленного саботирования административных политик безопасности до продажи конфиденциальной информации на сторону. Сюда же можно отнести несанкционированный доступ, небезопасные интерфейсы, неправильную конфигурацию облачных платформ и установку/использование несанкционированных приложений.
Теперь рассмотрим, как можно предотвратить столь обширный (и далеко не полный) перечень проблем облачной безопасности.
Каждой облачной инфраструктуре требуется комплексная многоуровневая защита. Методы, описанные ниже, помогут понять, из чего должен состоять комплекс мер, обеспечивающий безопасность в облаке.
Важно запомнить, что любой традиционный антивирус не будет надёжным в попытках обеспечить облачную безопасность. Нужно использовать решение, специально разработанное для виртуальных и облачных сред, причём установка его так же имеет свои правила в данном случае. Сегодня существует два способа обеспечения облачной безопасности с помощью специализированных многокомпонентных антивирусов, разработанных по новейшим технологиям: безагентская защита и защита лёгкого агента.
Безагентская защита. Разработана в компании «VMware» и возможна только на её решениях. На физическом сервере с виртуальными машинами разворачиваются две дополнительные виртуальные машины: Сервер Защиты (SVM) и Сервер Сетевой Защиты (Network Attack Blocker, NAB). Внутрь каждой из них не ставится ничего. В SVM — выделенное устройство безопасности — устанавливается только антивирусное ядро. В машине NAB этот компонент отвечает только за проверку коммуникаций между виртуальными машинами и тем, что происходит в экосистеме (и за коммуникацию с технологией NSX). Проверкой всего трафика, приходящего на физический сервер, занимается эта SVM. Она составляет пул вердиктов, который доступен всем виртуальным машинам защиты через общий кэш вердиктов. К этому пулу каждая виртуальная машина защиты обращается в первую очередь, вместо сканирования всей системы — этот принцип позволяет снижать затраты ресурсов и ускорять работу экосистемы.
Защита с лёгким агентом. Разработана в компании Kaspersky и не имеет ограничений «VMware». Как и в безагентской защите на SVM устанавливается антивирусный движок, но в отличие от неё существует ещё лёгкий агент, устанавливаемый внутрь каждой WM. Агент не выполняет проверок, а занимается только мониторингом всего, что происходит внутри родной WM на основе технологии самообучающихся сетей. Эта технология запоминает правильную последовательность работы приложений; сталкиваясь с тем, что последовательность действий приложения внутри WM происходит неправильно, она ее блокирует.
Дополнительно о Security для виртуальных сред читайте на сайте разработчика [7], а о том, как установить антивирусную защиту с лёгким агентом для вашего виртуального сервера, читайте в нашем справочнике [8] (внизу страницы — контакты круглосуточной техподдержки на случай, если возникнут вопросы).
Так как эксплойты — это последствия уязвимостей в ПО, именно разработчики этого ПО должны исправлять ошибки в своём продукте. В ответственность же пользователей входит своевременная установка пакетов обновлений и патчей к нему сразу после их выпуска. Не пропустить обновления помогает использование инструмента автоматического поиска и установки обновлений или менеджера приложений с такой функцией. Автоматическая защита от эксплойтов встроена в описанное выше приложение Kaspersky Security для виртуальных сред Лёгкий агент [7].
Межсетевой экран, брендмауэр. Фильтрует и контролирует сетевой трафик по заранее сконфигурированным правилам. Файрвол можно представить в виде последовательности фильтров, обрабатывающих сетевой поток информации. Правильная настройка фаервола эффективна против брутфорс атак. Можно разрешить RDP или SSH подключения только с определенный IP адресов владельца сервера и обезопасить сервер от попыток подбора пароля. Фаерволы есть во всех современных операционных системах. В дополнение к этому в личном кабинете RUVDS предлагается бесплатный файрвол на уровне сетевого оборудования. Таким образом нежелательный сетевой трафик не будет попадать на виртуальную машину, а будет отфильтровываться на уровне датацентра. Для дополнительного удобства клиента в интерфейс файрвола добавлены наиболее часто используемые правила фильтрации. В случае смены IP адреса, клиент может просто зайти в личный кабинет и отредактировать правило без необходимости заходить на сервер.
Существует такая дополнительная услуга, которую можно приобрести у
провайдера виртуальных (и физических) серверов. Она основана на технологиях анализа сетевого трафика, который, например, в RUVDS производится в режиме 24/7, а защита позволяет стабильно выдерживать до 1500 Гбит/сек. Вы платите только за нужный вам трафик. Сейчас по акции в RUVDS первый месяц бесплатно 0.5 Мбит/с, далее — от 400 р. в месяц.
Существенный вес в вопросах облачной безопасности с точки зрения человеческого фактора, включая взломы методами социальной инженерии, имеют написанные и выполняемые пользовательские правила и правила по реабилитационным мероприятиям (план реагирования на инциденты кибербезопасности). В этот пункт можно отнести и разграничение доступа сотрудников, и определение основных облачных приложений компании (никакие другие приложения, кроме тех нескольких, что находятся в таком «белом списке» не могут быть установлены), и обеспечение безопасности мобильных приборов, которые можно использовать в компании для взаимодействия с облачной инфраструктурой компании, и контроль устройств, отвечающий за политики использования внешних носителей.
Надеемся, статья была полезной. Как всегда рады конструктивным комментариям, новой информации, интересным мнениям, а также сообщениям о каких-то неточностях в материале.
Автор: ru_vds
Источник [10]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/340540
Ссылки в тексте:
[1] виртуальные серверы RUVDS: https://ruvds.com/ru-rub/
[2] VPS: https://www.reg.ru/?rlink=reflink-717
[3] публиковали: https://m.habr.com/ru/company/ruvds/blog/331830/
[4] Cloud Security Report 2019: https://www.checkpoint.com/downloads/resources/cloud-security-report-2019.pdf?mkt_tok=eyJpIjoiWVdSa05EVXdPR1l4TlRkayIsInQiOiJBbFRVaEpwN2h6MHhyMjRhSE5RK1VHUFpoVFZpM1wvNm00V1FnV2RYU2dtbHVjR3JQWnJ3eUora2FIYU9DelFrTUozb2xyVWlKR2ViWWtsYmVjaG9cL0pDXC9JVndMTnAwYnhkeG95ck9wXC9aUldaekJCbnhRSXMzRVB1QTNQWVRLS08ifQ%3D%3D
[5] Distributed Denial of Service: https://www.cisco.com/c/ru_ru/products/security/what-is-a-ddos-attack.html?dtid=pseggl000183&ccid=cc000890&gclid=Cj0KCQiA0NfvBRCVARIsAO4930n0gI2b4f_77h_MPQLO9l_ZPFplGqwJJfZkVoH-rDyzap3XvXE_0sgaAjX2EALw_wcB&gclsrc=aw.ds
[6] DDoS: ИТ-маньяки на острие атаки: https://m.habr.com/ru/company/ruvds/blog/308764/
[7] Security для виртуальных сред читайте на сайте разработчика: https://www.kaspersky.ru/small-to-medium-business-security/virtualization-light-agent
[8] читайте в нашем справочнике: https://ruvds.com/ru-rub/vps/post/antivirus
[9] отчёте Cisco о безопасности электронной почты за июнь 2019 года: https://www.cisco.com/c/dam/en/us/products/collateral/security/email-security/email-threat-report.pdf?dtid=oemzzz000233&ccid=cc000160&ecid=19583&oid=ebksc017068
[10] Источник: https://habr.com/ru/post/481018/?utm_source=habrahabr&utm_medium=rss&utm_campaign=481018
Нажмите здесь для печати.