Geekly articles weekly

ومرة أخرى حول حماية البنية التحتية الافتراضية

في هذا المنشور ، سنحاول إخراج قرائنا من المفاهيم الخاطئة الشائعة المتعلقة بأمان الخوادم الافتراضية وإخبارنا بكيفية حماية الغيوم المستأجرة بشكل صحيح في نهاية عام 2019. تم تصميم المقال بشكل أساسي لعملائنا الجدد والمحتملين ، خاصة أولئك الذين اشتروا للتو أو يرغبون في شراء خوادم RUVDS الافتراضية ، لكنهم ليسوا على دراية كبيرة بالأمن السيبراني و VPS. نأمل أن يكون الأمر مفيدًا للمستخدمين ذوي المعرفة.


أربعة نهج سحابة الأمن خاطئ


هناك آراء شائعة جدًا بين مالكي الأعمال والمديرين التنفيذيين (سنبرزها بالخط العريض) وهي أن ضمان الأمن السيبراني للخدمات السحابية هو إما ليس بالأمر الضروري ، لأن السحابة آمنة (1) ، أو أنها مهمة موفر خدمة السحاب : يعني الدفع مقابل VPS يجب تهيئتها وآمنة والعمل دون مشاكل (2). هناك رأي ثالث ملازم لكل من متخصصي أمن المعلومات ورجال الأعمال: الغيوم خطيرة! لا يمكن لأدوات الأمان المعروفة توفير الحماية اللازمة للبيئات الافتراضية (3) - يرفض المسؤولون التنفيذيون في الشركات باستخدام هذا النهج التقنيات السحابية بسبب عدم الثقة أو سوء فهم الفرق بين أدوات الأمان التقليدية والمتخصصة (حولها أدناه). تعتقد الفئة الرابعة من المواطنين أن نعم ، سيكون من الضروري حماية البنية التحتية السحابية الخاصة بهم ، لأن هناك مكافحة الفيروسات القياسية (4).

كل هذه الطرق الأربعة خاطئة - يمكن أن تتسبب في خسائر (ما لم ، باستثناء النهج ، يجب ألا تستخدم خوادم افتراضية على الإطلاق ، ولكن هنا يجب ألا تهمل افتراض العمل "الربح المفقود هو أيضًا خسارة"). لتوضيح بعض الإحصاءات ، نقتبس من تقرير خبير دعم مبيعات الشركات في Kaspersky Lab فلاديمير Ostroverkhov ، الذي نشرناه في صيف عام 2017. ثم أجرت Kaspersky دراسة استقصائية بين خمسة آلاف شركة من 25 دولة - هذه شركات كبيرة لديها ما لا يقل عن ألف ونصف موظف. 75 ٪ منهم يستخدمون المحاكاة الافتراضية ، ولكن لا يستثمرون في الحماية. المشكلة لم تفقد أهميتها اليوم:

"لا يستخدم حوالي نصف الشركات [الكبيرة] أي حماية للأجهزة الافتراضية ، ويعتقد النصف الثاني أن أي برنامج مكافحة فيروسات قياسي يكفي. تنفق جميع هذه الشركات [كل واحدة] في المتوسط ​​ما يقرب من مليون دولار [سنويًا] على الاسترداد من الحوادث: في التحقيق ، واسترداد النظام ، وتعويض التكلفة ، والتعويض عن الخسائر الناجمة عن اختراق واحد ... ماذا ستكون تكلفتها إذا كانت هي نفسها تعرض للخطر؟ الخسائر المباشرة في عملية الاستعادة ، واستبدال المعدات ، والبرمجيات ... الخسائر غير المباشرة - السمعة ... الخسائر في التعويض لعملائها ، بما في ذلك السمعة ... وكذلك التحقيق في الحوادث ، والاستبدال الجزئي للبنية التحتية ، لأنها قد تعرضت بالفعل للخطر ، وهذه هي الحوارات مع الحكومات ، وهذه هي حوارات مع شركات التأمين ، حوارات مع العملاء الذين يتعين عليهم دفع تعويضات. "

لماذا هذه النهج لا تعمل


الطريقة الأولى: تكون الغيوم آمنة ، ولا تحتاج إلى الحماية . يعيش ما يقرب من 240 ألف وحدة من البرامج الضارة التي تظهر كل يوم داخل الغيوم تمامًا: من الكود البسيط الذي كتبه طالب المدرسة ونشره على الإنترنت (مما يعني أنه يمكن أن يلحق الضرر بالبيانات) إلى الهجمات المستهدفة المعقدة المصممة خصيصًا لمنظمات وحالات محددة مواقف جيدة جدًا ليس فقط في كسر وسرقة البيانات ، ولكن أيضًا في "إخفاء" أنفسهم. تعتبر البنية التحتية الافتراضية مهمة أيضًا للمتسللين: فمن الأسهل بكثير اختراق الأجهزة والبيانات الافتراضية الخاصة بك والوصول إليها مرة واحدة بدلاً من محاولة اختراق كل خادم فعلي بشكل منفصل. بالإضافة إلى ذلك ، تجدر الإشارة إلى أن الشفرات الخبيثة تنتشر بسرعة هائلة داخل البنية الأساسية الافتراضية - حيث يمكن إصابة عشرات الآلاف من الآلات في عشر دقائق ، وهو ما يعادل الوباء (انظر التقرير أعلاه). تمثل البرامج الضارة وإجراءات الفدية التي تسهم في تسرب بيانات الشركة حوالي 27٪ من إجمالي عدد "المخاطر" الغائمة. النقاط الأكثر ضعفا في السحابة هي: واجهات غير محمية والوصول غير المصرح به - حوالي 80 ٪ في المجموع (وفقا لدراسة صادرة عن Cloud Security Report 2019 بدعم من Check Point Software Technologies Ltd. ، المزود الرائد لحلول الأمن السيبراني للحكومات ومؤسسات الشركات في جميع أنحاء العالم).


Cloud Security Report 2019

النهج 2: حماية البنية التحتية السحابية هي مهمة VPS. هذا صحيح جزئياً ، لأن موفر الخادم الظاهري يهتم باستقرار أنظمته ، حول مستوى عالٍ للغاية من الحماية للمكونات الرئيسية للسحابة: الخوادم ومحركات الأقراص والشبكات والمحاكاة الافتراضية (التي تنظمها اتفاقية مستوى الخدمة ، SLA). لكنه لا داعي للقلق بشأن منع التهديدات الداخلية والخارجية التي قد تنشأ في البنية التحتية السحابية للعميل. دعونا نسمح لأنفسنا بقياس الأسنان هنا. بعد أن دفع الكثير من المال مقابل غرس جيد ، يفهم عميل عيادة الأسنان أن العملية الصحيحة للجراحة الاصطناعية تعتمد إلى حد كبير على نفسه (العميل). من جانبه ، فعل طبيب الأسنان طبيب الأسنان كل ما هو ضروري فيما يتعلق بالسلامة: لقد التقط مواد عالية الجودة ، و "يعلق" بقوة الزرع ، ولم يكسر اللقمة ، أو شفي اللثة بعد الجراحة ، وما إلى ذلك. وإذا كان المستخدم لا يتبع قواعد النظافة في المستقبل ، فلنفترض ، قم بفتح أغطية زجاجات معدنية بأسنانك وأداء إجراءات أخرى غير آمنة مماثلة ، فسيكون من المستحيل ضمان عمل أسنان جديدة بشكل جيد. نفس القصة مع 100 ٪ الأمن سحابة المستأجرة من مزود VPS. "ليس في اختصاص" مزود الخدمة السحابية الذي يحمي بيانات العميل وتطبيقاته هو مسؤوليته الشخصية.

الطريقة الثالثة: لا يمكن لأدوات الأمان توفير الحماية اللازمة للبيئات الافتراضية. لا على الإطلاق. هناك حلول أمنية تستند إلى مجموعة النظراء والتي سنغطيها في الجزء الأخير من هذه المقالة.

الطريقة الرابعة: استخدام مضاد فيروسات قياسي (الحماية التقليدية). من المهم أن تعرف أن أدوات الأمان التقليدية التي اعتاد الجميع استخدامها على أجهزة الكمبيوتر المحلية ليست مصممة ببساطة للبيئات الافتراضية الموزعة (لا "ترى" كيفية حدوث الاتصالات بين الأجهزة الافتراضية) ولا تحمي البنية التحتية الافتراضية الداخلية من محاولة اختراق داخلية. ببساطة ، لا تعمل الفيروسات التقليدية تقريبًا في السحابة. في الوقت نفسه ، يتم تثبيتها على كل WM ، وتستهلك قدرًا هائلاً من موارد النظام الإيكولوجي الافتراضي بأكمله عند البحث عن الفيروسات والتحديثات ، و "إهدار" الشبكة وتثبيط عمل الشركة ، ولكن إعطاء ما يقرب من الكفاءة نتيجة لعملها الرئيسي.

في القسمين التاليين من المقال ، سنقوم بإدراج المخاطر التي قد تنشأ عندما تعمل شركة في السحب (خاصة وعامة وهجينة) ونقول كيف يمكن ويجب تجنب هذه المخاطر بشكل صحيح.

الأخطار تهدد باستمرار الخدمات السحابية


Network هجمات الشبكة البعيدة


هذا نوع مختلف من التأثير المدمر للمعلومات على نظام الحوسبة الموزعة ، ويتم تنفيذه برمجياً من خلال قنوات الاتصال لتحقيق أهداف مختلفة. الأكثر شيوعا منهم:

  • هجوم DDoS ( رفض الخدمة الموزع ). إرسال مكثف لطلبات المعلومات إلى الخادم من أجل استهلاك الموارد أو عرض النطاق الترددي على النظام الذي تمت مهاجمته من أجل تعطيل النظام الهدف ، مما يؤدي إلى إلحاق ضرر بالشركة. تستخدم من قبل المنافسين كخدمة مخصصة ، وابتزاز ونشطاء سياسيين وحكومات لتلقي أرباح سياسية. يتم تنفيذ مثل هذه الهجمات باستخدام الروبوتات - شبكة من أجهزة الكمبيوتر التي تحتوي على برامج الروبوت المثبتة عليها (البرامج التي يمكن أن تحتوي على فيروسات وبرامج للتحكم عن بُعد في جهاز كمبيوتر وأدوات للاختباء من نظام التشغيل) التي يستخدمها المتسللون عن بُعد لتوزيع البريد العشوائي ورانسومواري. اقرأ المزيد في منشور DDoS الخاص بنا : مجانين تكنولوجيا المعلومات على حافة الهجوم .
  • Ping Flooding - للاتصال بخط الازدحام.
  • Ping of Death - لتسبب تجميد النظام وإعادة تشغيله وتعطله.
  • الهجمات على مستوى التطبيق - للوصول إلى جهاز كمبيوتر يسمح بتشغيل التطبيقات لحساب محدد (نظام متميز).
  • تجزئة البيانات - لإنهاء نظام غير طبيعي من خلال تجاوز سعة المخازن المؤقتة للبرنامج.
  • المؤلفون - لأتمتة عملية القرصنة عن طريق مسح عدد كبير من الأنظمة في وقت قصير عن طريق تثبيت الجذور الخفية.
  • استنشاق - للاستماع إلى القناة.
  • فرض الحزم - للتبديل إلى الكمبيوتر الخاص بك الاتصال بين أجهزة الكمبيوتر الأخرى.
  • التقاط الحزمة على جهاز التوجيه - لتلقي كلمات مرور المستخدم والمعلومات من البريد الإلكتروني.
  • خداع IP - بحيث يتمكن أحد المتطفلين داخل الشبكة أو خارجها من انتحال شخصية جهاز كمبيوتر يمكنك الوثوق به. ويتم ذلك من خلال استبدال عنوان IP.
  • هجمات القوة الغاشمة (القوة الغاشمة) - لتحديد كلمة مرور عن طريق تعداد المجموعات. أنها تستغل نقاط الضعف في RDP و SSH.
  • Smurf - لتقليل عرض النطاق الترددي لقناة الاتصال و / أو لعزل الشبكة المهاجمة تمامًا.
  • خداع DNS - لتلف سلامة البيانات في نظام DNS من خلال "التسمم" لذاكرة التخزين المؤقت DNS.
  • استبدال مضيف موثوق به - لتتمكن من إجراء جلسة مع الخادم نيابة عن مضيف موثوق.
  • TCP SYN Flood - لتجاوز سعة ذاكرة الخادم.
  • Man-in-the-middle - لسرقة المعلومات ، وتشويه البيانات ، وهجمات DoS ، اختراق جلسة الاتصالات الحالية من أجل الوصول إلى موارد الشبكة الخاصة ، وتحليل حركة المرور من أجل الحصول على معلومات حول الشبكة ومستخدميها.
  • شبكة المخابرات - لفحص المعلومات حول الشبكة والتطبيقات التي تعمل على المضيفين قبل الهجوم.
  • إعادة توجيه المنفذ - نوع من الهجوم يستخدم مضيفًا تم اختراقه لنقل حركة المرور عبر جدار الحماية. على سبيل المثال ، إذا كان جدار الحماية متصلاً بثلاثة مضيفات (في الخارج ، وفي الداخل وفي قطاع الخدمات العامة) ، فإن المضيف الخارجي يحصل على فرصة الاتصال بالمضيف الداخلي عن طريق إعادة تعيين المنافذ على مضيف الخدمات العامة.
  • استغلال الثقة - الهجمات التي تحدث عندما يستفيد شخص ما من علاقات الثقة داخل الشبكة. على سبيل المثال ، قد يؤدي اختراق نظام واحد داخل شبكة الشركة (HTTP ، DNS ، خوادم SMTP) إلى اختراق أنظمة أخرى.

Engineering الهندسة الاجتماعية


  • الخداع - للحصول على معلومات سرية (كلمات المرور وأرقام البطاقات المصرفية ، وما إلى ذلك) من خلال رسالة إخبارية نيابة عن المنظمات المعروفة ، والبنوك.
  • المتشممون الحزمة - للوصول إلى المعلومات الهامة ، بما في ذلك كلمات المرور. إنها ناجحة إلى حد كبير لأن المستخدمين يستخدمون غالبًا اسم المستخدم وكلمة المرور مرارًا وتكرارًا للوصول إلى التطبيقات والأنظمة المختلفة. بهذه الطريقة ، يمكن للمتسلل الوصول إلى حساب مستخدم النظام وإنشاء حساب جديد من خلاله من أجل الوصول إلى الشبكة ومواردها في أي وقت.
  • التفسير هو هجوم كتابي يستخدم الاتصالات الصوتية ، والغرض منه هو إجبار الضحية على اتخاذ إجراء.
  • حصان طروادة - تقنية تعتمد على عواطف الضحية: الخوف والفضول. توجد البرامج الضارة عادة في مرفق البريد الإلكتروني.
  • جدل حول الوضع الراهن (لذلك ، خدمة للخدمة) - اتصال المهاجم عبر هاتف شركة أو بريد إلكتروني متنكّر فيه كشخص دعم فني يقدم مشاكل في كمبيوتر الضحية ويقترح حلها. الهدف هو تثبيت البرامج وتنفيذ الأوامر الضارة على هذا الكمبيوتر.
  • تفاحة أثناء التنقل - قذف وسائط التخزين المادية المصابة إلى الأماكن العامة للشركة (محرك أقراص محمول في المرحاض ، ومحرك في المصعد) ، ومزود بنقوش تثير الفضول.
  • جمع المعلومات من الشبكات الاجتماعية.

▍ يستغل


أي هجمات غير قانونية وغير مصرح بها تهدف إلى الحصول على البيانات ، أو تعطيل عمل النظام ، أو السيطرة على النظام وتسمى مآثر. سببها أخطاء في عملية تطوير البرمجيات ، ونتيجة لذلك تظهر الثغرات الأمنية في نظام حماية البرنامج الذي يتم استخدامه بنجاح من قبل مجرمي الإنترنت للوصول غير المحدود إلى البرنامج نفسه ، ومن خلاله إلى جهاز الكمبيوتر بأكمله وكذلك إلى شبكة من الآلات.

omp مسابقة الحسابات


القرصنة من قبل شخص غير مصرح له لحساب موظف في شركة من أجل الوصول إلى المعلومات المحمية: من اعتراض المعلومات (بما في ذلك الصوت) والمفاتيح مع البرامج الضارة حتى يخترق التخزين الفعلي لوسيط المعلومات.

ompCompetition من المستودعات


إصابة خوادم المستودع بملفات برنامج التثبيت والتحديثات والمكتبات.

▍ المخاطر الداخلية للشركة


وهذا يشمل تسرب المعلومات الناجمة عن موظفي الشركة أنفسهم. قد يكون هذا إهمالًا بسيطًا أو إجراءات ضارة متعمدة: من التخريب المستهدف لسياسات الأمن الإداري إلى بيع المعلومات السرية إلى الجانب. وتشمل هذه الوصول غير المصرح به ، واجهات غير آمنة ، والتكوين غير السليم للمنصات السحابية ، وتثبيت / استخدام التطبيقات غير المصرح بها.

الآن ، لنلقِ نظرة على كيفية منع مثل هذه القائمة الشاملة (والبعيدة عن الاكتمال) لمشاكل الأمن السحابية.

الحلول الأمنية السحابية الحديثة المتخصصة


تتطلب كل بنية تحتية سحابية أمانًا شاملاً متعدد المستويات. ستساعدك الطرق الموضحة أدناه على فهم مجموعة التدابير التي يجب أن تتألف منها الأمان في السحابة.

▍Antivirusy


من المهم أن تتذكر أن أي برنامج مكافحة فيروسات تقليدي لن يكون موثوقًا به في محاولة توفير الحماية السحابية. تحتاج إلى استخدام حل مصمم خصيصًا للبيئات الافتراضية والسحابية ، كما أن تثبيته له قواعده الخاصة في هذه الحالة. اليوم ، هناك طريقتان لضمان الحماية السحابية باستخدام مضادات الفيروسات المتخصصة متعددة المكونات المطورة باستخدام أحدث التقنيات: الحماية بدون عامل وحماية عامل الضوء.

حماية بلا وكيل. تم تطويره في شركة VMware وهو ممكن فقط على حلوله. يتم نشر جهازين ظاهريين إضافيين على الخادم الفعلي مع الأجهزة الظاهرية: خادم الحماية (SVM) وحظر هجوم الشبكة (NAB). لا يوجد شيء داخل كل منهم. في SVM ، جهاز أمان مخصص ، يتم تثبيت محرك مكافحة الفيروسات فقط. في جهاز NAB ، يكون هذا المكون مسؤولاً فقط عن التحقق من الاتصالات بين الأجهزة الافتراضية وما يحدث في النظام البيئي (والتواصل مع تقنية NSX). تتم معالجة التحقق من كل حركة المرور القادمة إلى الخادم الفعلي بواسطة SVM. يتكون من مجموعة تكميلية للحكم يمكن الوصول إليها من جميع أجهزة الدفاع الافتراضية من خلال ذاكرة تخزين مؤقت مشتركة للحكم. تعالج كل آلة حماية افتراضية هذا التجمع في المقام الأول ، بدلاً من فحص النظام بأكمله - يسمح هذا المبدأ بتخفيض تكاليف الموارد وتسريع النظام البيئي.


الحماية مع وكيل الضوء. تم تطويره بواسطة Kaspersky ولا يوجد به أي قيود على برنامج VMware. كما هو الحال في الحماية بدون عامل ، يتم تثبيت محرك مضاد للفيروسات على SVM ، ولكن على النقيض من ذلك ، لا يزال هناك عامل خفيف مثبت داخل كل WM. لا يقوم الوكيل بإجراء عمليات فحص ، لكنه يراقب فقط كل ما يحدث داخل WM الأصلي استنادًا إلى تكنولوجيا شبكات التعلم الذاتي. هذه التكنولوجيا يتذكر التسلسل الصحيح للتطبيقات. في مواجهة حقيقة أن تسلسل إجراءات التطبيق داخل WM لا يحدث بشكل صحيح ، فإنه يحظره.


اقرأ المزيد حول الأمان للبيئات الافتراضية على موقع ويب المطور ، وكيفية تثبيت الحماية من الفيروسات مع وكيل سهل لخادمك الافتراضي ، اقرأ دليلنا المرجعي (في أسفل الصفحة ، توجد جهات اتصال للدعم الفني على مدار الساعة في حال كان لديك أي أسئلة).

with التكامل مع الخدمات لمنع أو إصلاح المشكلات المتعلقة بأمان السحابة


  • تغيير منصات الإدارة. هذه خدمات مثبتة تدعم عمليات ITSM الأساسية للشركة ، بما في ذلك أمن تكنولوجيا المعلومات والحوادث. على سبيل المثال ، ServiceNow ، علاج ، JIRA.
  • أدوات مسح الأمان. على سبيل المثال ، Rapid7 ، Qualys ، Tenable.
  • أدوات إدارة التكوين. إنها تسمح لك بأتمتة تشغيل الخوادم وبالتالي تبسيط تكوين وصيانة عشرات والمئات وحتى الآلاف من الخوادم التي يمكن توزيعها في جميع أنحاء العالم. على سبيل المثال ، TrueSight Server Automation و IBM BigFix و TrueSight Vulnerability Manager و Chef و Puppet.
  • أدوات لإدارة الإخطار الآمن. اسمح لك بتقديم خدمة مستمرة ومتابعة مراقبة الموقف أثناء الحوادث ، وتقديم دعم كفء للتكامل مع هاتفك والمراسلة والبريد الإلكتروني (وفقًا لسيسكو ، فإن أكثر من 85٪ من رسائل البريد الإلكتروني كانت رسائل غير مرغوب فيها في يوليو 2019 ، والتي قد تحتوي على برامج ضارة ، محاولات الخداع ، إلخ. حاليًا ، يتم إرسال البرامج الضارة غالبًا عبر الأنواع "المعتادة" من المرفقات: المرفقات الضارة الأكثر شيوعًا في البريد الإلكتروني مايكروسوفت أوفيس لاي أكثر - في تقرير سيسكو أمان البريد الإلكتروني ليونيو 2019 ). يمكن أن تكون مثل هذه الأداة ، على سبيل المثال ، OpsGenie.



▍ الحماية من المآثر


نظرًا لأن عمليات الاستغلال هي عواقب نقاط الضعف في البرامج ، فإن مطوري هذا البرنامج هم الذين يجب عليهم إصلاح الخلل في منتجهم. تتضمن مسؤولية المستخدمين التثبيت في الوقت المناسب لحزم الخدمة والتصحيحات عليها فور صدورها. لا تفوت التحديثات يساعد في استخدام أداة البحث التلقائي وتثبيت التحديثات أو مدير التطبيق مع هذه الميزة. Kaspersky Security .


, . . , . . RDP SSH IP . . RUVDS . , . . IP , .


▍ DDoS-


,
( ) . , , , RUVDS 24/7, 1500 /. . RUVDS 0.5 /, — 400 . شهريا



, , ( ). , ( , , « » ), , , , .

نأمل أن المقالة كانت مفيدة. كما هو الحال دائمًا ، نرحب بالتعليقات البناءة ، والمعلومات الجديدة ، والآراء المثيرة للاهتمام ، وكذلك التقارير عن أي أخطاء في المادة.


Source: https://habr.com/ru/post/ar481018/

More articles:


All Articles