Semakin banyak pengguna yang mengerahkan seluruh infrastruktur TI mereka ke cloud publik. Namun, jika kontrol anti-virus tidak memadai, risiko dunia maya yang serius muncul dalam infrastruktur pelanggan. Praktek menunjukkan bahwa hingga 80% dari virus yang ada hidup sempurna di lingkungan virtual. Dalam posting ini, kita akan berbicara tentang bagaimana melindungi sumber daya TI di cloud publik dan mengapa antivirus tradisional tidak cukup cocok untuk tujuan ini.
Untuk mulai dengan, kami akan memberi tahu Anda bagaimana kami sampai pada kesimpulan bahwa alat perlindungan anti-virus yang biasa tidak cocok untuk cloud publik dan diperlukan pendekatan lain untuk melindungi sumber daya.
Pertama, sebagai suatu peraturan, penyedia menyediakan langkah-langkah yang diperlukan untuk menjamin perlindungan platform cloud mereka pada tingkat tinggi. Misalnya, kami di #CloudMTS menganalisis semua lalu lintas jaringan, memantau log keamanan cloud kami, dan secara teratur melakukan pentest. Segmen cloud yang diberikan kepada pelanggan individu juga harus dilindungi dengan andal.
Kedua, versi klasik perang melawan risiko dunia maya melibatkan pemasangan antivirus dan kontrolnya pada setiap mesin virtual. Namun, dengan sejumlah besar mesin virtual, praktik ini dapat menjadi tidak efisien dan membutuhkan sumber daya komputasi yang signifikan, sehingga menambah infrastruktur pelanggan dan mengurangi kinerja cloud secara keseluruhan. Ini telah menjadi prasyarat utama untuk menemukan pendekatan baru dalam membangun perlindungan antivirus yang efektif untuk mesin virtual pelanggan.
Selain itu, sebagian besar solusi anti-virus yang tersedia di pasar tidak diadaptasi untuk menyelesaikan masalah melindungi sumber daya TI di lingkungan cloud publik. Sebagai aturan, mereka adalah solusi EPP kelas berat (Endpoint Protection Platforms), yang, apalagi, tidak memberikan opsi penyesuaian yang diperlukan di sisi klien penyedia cloud.
Menjadi jelas bahwa solusi anti-virus tradisional kurang cocok untuk bekerja di cloud, karena mereka secara serius memuat infrastruktur virtual selama pembaruan dan pemindaian, dan juga tidak memiliki level manajemen peran dan pengaturan yang diperlukan. Selanjutnya, kami akan menganalisis secara terperinci mengapa cloud membutuhkan pendekatan baru untuk perlindungan antivirus.
Apa yang seharusnya dapat dilakukan oleh antivirus di cloud publik
Jadi, mari kita perhatikan spesifikasi bekerja di lingkungan virtual:
Efisiensi pembaruan dan pemeriksaan terjadwal massal. Jika sejumlah besar mesin virtual menggunakan antivirus tradisional memulai pembaruan pada suatu waktu, yang disebut "badai" pembaruan akan terjadi di cloud. Kapasitas host ESXi, yang menampung beberapa mesin virtual, mungkin tidak cukup untuk menangani kesibukan dari jenis tugas yang sama yang diluncurkan secara default. Dari sudut pandang penyedia cloud, masalah seperti itu dapat menyebabkan beban tambahan pada sejumlah host ESXi, yang pada akhirnya akan mengarah pada penurunan kinerja infrastruktur virtual cloud. Ini dapat mempengaruhi, antara lain, kinerja mesin virtual klien cloud lainnya. Situasi serupa dapat terjadi ketika memulai pemindaian massal: pemrosesan simultan oleh sistem disk dari banyak jenis permintaan yang sama dari pengguna yang berbeda akan mempengaruhi kinerja keseluruhan cloud. Dengan tingkat probabilitas yang tinggi, penurunan kapasitas kerja sistem penyimpanan akan memengaruhi semua pelanggan. Beban spasmodik seperti itu tidak menyenangkan penyedia atau pelanggannya, karena mereka mempengaruhi "tetangga" di cloud. Dari sudut pandang ini, antivirus tradisional bisa menjadi masalah besar.
Karantina yang aman. Jika suatu file atau dokumen yang berpotensi terinfeksi virus terdeteksi dalam sistem, ia dikirim ke karantina. Tentu saja, file yang terinfeksi dapat segera dihapus, tetapi ini sering tidak dapat diterima oleh sebagian besar perusahaan. Antivirus perusahaan perusahaan yang tidak disesuaikan untuk bekerja di cloud penyedia biasanya memiliki zona karantina yang sama - semua objek yang terinfeksi jatuh ke dalamnya. Misalnya, ditemukan di komputer pengguna perusahaan. Klien dari penyedia cloud "tinggal" di segmen mereka sendiri (atau penyewa). Segmen ini buram dan terisolasi: pelanggan tidak tahu satu sama lain dan, tentu saja, tidak melihat apa yang ditempatkan orang lain di cloud. Jelas bahwa dalam karantina umum, yang akan diakses oleh semua pengguna anti-virus di cloud, dokumen yang berisi informasi rahasia yang berpotensi atau rahasia dagang berpotensi masuk ke dalamnya. Ini tidak dapat diterima untuk penyedia dan pelanggannya. Oleh karena itu, hanya ada satu solusi - ini adalah karantina pribadi untuk setiap klien di segmennya, di mana penyedia maupun klien lain tidak memiliki akses.
Kebijakan keamanan individu. Setiap klien di cloud adalah perusahaan terpisah, yang departemen TI-nya menetapkan kebijakan keamanannya sendiri. Misalnya, administrator menetapkan aturan pemindaian dan jadwal pemindaian antivirus. Dengan demikian, setiap organisasi harus memiliki pusat kendali sendiri untuk mengonfigurasi kebijakan antivirus. Pada saat yang sama, pengaturan tidak boleh memengaruhi klien cloud lainnya, dan penyedia harus dapat memastikan bahwa, sebagai contoh, pembaruan anti-virus dilakukan secara normal untuk semua mesin virtual klien.
Organisasi penagihan dan perizinan. Model cloud ditandai oleh fleksibilitas dan hanya melibatkan pembayaran sejumlah sumber daya TI yang digunakan oleh pelanggan. Jika ada kebutuhan, misalnya, mengingat faktor musim, maka jumlah sumber daya dapat dengan cepat ditingkatkan atau dikurangi - semua didasarkan pada kebutuhan saat ini untuk daya komputasi. Antivirus tradisional tidak begitu fleksibel - sebagai suatu peraturan, klien membeli lisensi selama satu tahun untuk sejumlah server atau workstation yang telah ditentukan. Pengguna cloud secara berkala memutuskan dan menghubungkan mesin virtual tambahan tergantung pada kebutuhan mereka saat ini - karenanya, lisensi anti-virus harus mendukung model yang sama.
Pertanyaan kedua adalah apa tepatnya lisensi akan berlaku. Antivirus tradisional dilisensikan oleh jumlah server atau workstation. Lisensi untuk jumlah mesin virtual yang dilindungi tidak cukup sesuai dengan model cloud. Klien dapat membuat sejumlah mesin virtual yang tersedia dari sumber daya yang tersedia, misalnya, lima atau sepuluh mesin. Sebagian besar pelanggan tidak memiliki nomor ini, tidak mungkin bagi kami, sebagai penyedia, untuk melacak perubahannya. Lisensi oleh CPU secara teknis tidak mungkin: klien menerima prosesor virtual (vCPU), yang harus dilisensikan. Dengan demikian, model perlindungan anti-virus yang baru harus mencakup kemungkinan bagi pelanggan untuk menentukan jumlah vCPU yang diperlukan di mana ia akan menerima lisensi anti-virus.
Kepatuhan terhadap hukum. Poin penting, karena solusi yang diterapkan harus memastikan kepatuhan dengan persyaratan regulator. Misalnya, seringkali "penghuni" cloud bekerja dengan data pribadi. Dalam hal ini, penyedia harus memiliki segmen cloud tersertifikasi terpisah, yang sepenuhnya mematuhi persyaratan Undang-Undang tentang Data Pribadi. Maka perusahaan tidak perlu "membangun" seluruh sistem untuk bekerja dengan data pribadi sendiri: membeli peralatan bersertifikat, menghubungkan dan mengkonfigurasinya, dan lulus sertifikasi. Untuk perlindungan cyber ISPD untuk klien semacam itu, antivirus juga harus mematuhi persyaratan hukum Rusia dan memiliki sertifikat FSTEC.
Kami memeriksa kriteria wajib yang harus dipenuhi oleh perlindungan antivirus di cloud publik. Selanjutnya, kami akan berbagi pengalaman kami sendiri dalam mengadaptasi solusi antivirus untuk bekerja di cloud penyedia layanan.
Bagaimana saya bisa berteman dengan antivirus dan cloud
Seperti yang ditunjukkan oleh pengalaman kami, memilih satu untuk deskripsi dan dokumentasi adalah satu hal, dan menerapkannya dalam lingkungan cloud yang sudah berjalan adalah tugas yang sangat berbeda dalam hal kompleksitas. Kami akan memberi tahu Anda apa yang kami lakukan dalam praktik dan bagaimana kami mengadaptasi antivirus agar berfungsi di cloud publik penyedia. Vendor solusi antivirus adalah Kaspersky, yang memiliki solusi perlindungan antivirus untuk lingkungan cloud dalam portofolionya. Kami menetap di Kaspersky Security for Virtualization (Light Agent).
Ini termasuk konsol tunggal untuk Pusat Keamanan Kaspersky. Mesin Ringan dan Mesin Virtual Keamanan (SVM) dan Server Integrasi KSC.
Setelah kami mempelajari arsitektur solusi Kaspersky dan melakukan tes pertama bersama-sama dengan insinyur vendor, muncul pertanyaan untuk mengintegrasikan layanan ke cloud. Implementasi pertama dilakukan bersama di situs cloud Moskow. Dan inilah yang kami pahami.
Untuk meminimalkan lalu lintas jaringan, diputuskan untuk menempatkan SVM pada setiap host ESXi dan "mengikat" SVM ke host ESXi. Dalam hal ini, agen ringan dari mesin virtual yang dilindungi mengakses SVM dari host ESXi tertentu tempat mereka menjalankannya. Penyewa administrasi terpisah dipilih untuk KSC utama. Akibatnya, bawahan KSC berada di penyewa masing-masing klien individu dan beralih ke KSC unggul yang terletak di segmen manajemen. Skema semacam itu memungkinkan Anda untuk dengan cepat menyelesaikan masalah yang timbul pada penyewa klien.
Selain masalah dengan meningkatkan komponen dari solusi antivirus itu sendiri, kami menghadapi tugas mengatur interaksi jaringan melalui pembuatan VxLAN tambahan. Dan meskipun solusi ini awalnya ditujukan untuk klien perusahaan dengan cloud pribadi - dengan bantuan rekayasa kecerdikan dan fleksibilitas teknologi NSX Edge, kami dapat menyelesaikan semua masalah yang terkait dengan pemisahan penyewa dan perizinan.
Kami bekerja erat dengan insinyur Kaspersky. Jadi, dalam proses menganalisis arsitektur solusi dalam hal interaksi jaringan antara komponen sistem, ditemukan bahwa, selain akses dari agen cahaya ke SVM, umpan balik juga diperlukan - dari SVM ke agen cahaya. Konektivitas jaringan ini tidak dimungkinkan dalam lingkungan multitenant karena kemungkinan adanya pengaturan jaringan yang identik dengan mesin virtual di berbagai penyewa cloud. Oleh karena itu, atas permintaan kami, kolega dari vendor mendesain ulang mekanisme interaksi jaringan antara agen cahaya dan SVM dalam hal menghilangkan kebutuhan konektivitas jaringan dari SVM ke agen cahaya.
Setelah solusi dikerahkan dan diuji di situs cloud Moskow, kami mereplikasi ke situs lain, termasuk segmen cloud tersertifikasi. Sekarang layanan ini tersedia di semua wilayah negara.
Arsitektur solusi IB sebagai bagian dari pendekatan baru
Skema umum dari solusi anti-virus di lingkungan cloud publik adalah sebagai berikut:
Skema solusi anti-virus bekerja di lingkungan cloud publik #CloudMTSKami menguraikan fitur-fitur pekerjaan elemen individual dari solusi di cloud:
β’ Satu konsol yang memungkinkan pelanggan mengelola sistem perlindungan terpusat: menjalankan pemeriksaan, memantau pembaruan, dan memantau zona karantina. Dimungkinkan untuk mengonfigurasi kebijakan keamanan individu di dalam segmen Anda.
Perlu dicatat bahwa meskipun kami adalah penyedia layanan, kami tidak mengganggu pengaturan yang ditetapkan oleh klien. Satu-satunya hal yang dapat kita lakukan adalah mengatur ulang kebijakan keamanan ke standar jika migrasi diperlukan. Sebagai contoh, ini mungkin diperlukan jika klien secara tidak sengaja mengencangkannya atau secara signifikan melemahkannya. Perusahaan selalu dapat memperoleh pusat kendali dengan kebijakan default, yang kemudian dapat dikonfigurasikan sendiri. Kelemahan dari Pusat Keamanan Kaspersky adalah bahwa sementara platform hanya tersedia untuk sistem operasi Microsoft. Meskipun agen yang ringan dapat bekerja dengan mesin berbasis Windows dan Linux. Namun, Kaspersky Lab berjanji bahwa dalam waktu dekat KSC akan bekerja di Linux juga. Salah satu fitur penting KSC adalah kemampuan untuk mengelola karantina. Setiap perusahaan klien di cloud kami bersifat pribadi. Pendekatan ini menghilangkan situasi ketika dokumen yang terinfeksi virus secara tidak sengaja jatuh ke dalam domain publik, seperti halnya dengan antivirus korporat klasik dengan karantina umum.
β’ Agen ringan. Sebagai bagian dari model baru, agen ringan Kaspersky Security diinstal pada setiap mesin virtual. Ini menghilangkan kebutuhan untuk menyimpan database anti-virus pada setiap VM, yang mengurangi jumlah ruang disk yang digunakan. Layanan ini terintegrasi dengan infrastruktur cloud dan bekerja melalui SVM, yang meningkatkan kepadatan mesin virtual pada host ESXi dan kinerja seluruh sistem cloud. Agen cahaya membuat antrian pekerjaan untuk setiap mesin virtual: periksa sistem file, memori, dll. Tetapi SVM bertanggung jawab untuk melakukan operasi ini, yang akan kita bicarakan nanti. Agen ini juga bertindak sebagai firewall, memantau kebijakan keamanan, mengirim file yang terinfeksi ke karantina, dan memantau "kesehatan" keseluruhan sistem operasi yang diinstal. Semua ini dapat dikontrol menggunakan konsol tunggal yang telah disebutkan.
β’ Keamanan Mesin Virtual. Semua tugas intensif sumber daya (pembaruan basis data anti-virus, pemindaian terjadwal) ditangani oleh Security Virtual Machine (SVM) yang terpisah. Dia bertanggung jawab atas pengoperasian mesin anti-virus lengkap dan databasenya. Infrastruktur IT perusahaan dapat mencakup beberapa SVM. Pendekatan ini meningkatkan keandalan sistem - jika mesin gagal dan tidak merespons selama tiga puluh detik, agen secara otomatis mulai mencari yang lain.
β’ Server integrasi KSC. Salah satu komponen KSC utama, yang menetapkan SVM-nya sesuai dengan algoritma yang ditentukan dalam pengaturannya untuk agen ringan, dan juga mengontrol ketersediaan SVM. Dengan demikian, modul perangkat lunak ini menyediakan penyeimbangan beban pada semua infrastruktur cloud SVM.
Algoritma Awan: Mengurangi Beban Infrastruktur
Secara umum, algoritma antivirus dapat direpresentasikan sebagai berikut. Agen mengakses file di mesin virtual dan memeriksanya. Hasil verifikasi disimpan dalam database terpusat yang umum dari putusan SVM (disebut Shared Cache), setiap entri yang mengidentifikasi file sampel unik. Pendekatan ini memungkinkan Anda untuk memastikan bahwa file yang sama tidak dipindai beberapa kali berturut-turut (misalnya, jika dibuka pada mesin virtual yang berbeda). File dipindai lagi hanya jika telah dimodifikasi atau pemindaian telah dimulai secara manual.
Menerapkan solusi antivirus di cloud providerGambar menunjukkan skema umum untuk mengimplementasikan solusi di cloud. Pusat Keamanan Kaspersky utama dikerahkan di zona kontrol cloud, dan SVM individu dikerahkan pada setiap host ESXi menggunakan server integrasi KSC (setiap host ESXi memiliki SVM sendiri terkait dengan pengaturan khusus pada VMware vCenter Server). Klien bekerja di segmen cloud mereka, yang meng-host mesin virtual dengan agen. Mereka dikelola melalui masing-masing server KSC yang berada di bawah KSC utama. Jika perlu untuk melindungi sejumlah kecil mesin virtual (hingga 5), ββklien dapat diberikan akses ke konsol virtual dari server khusus KSC. Jaringan antara klien KSC dan KSC utama, serta agen ringan dan SVM, dilakukan menggunakan NAT melalui router virtual klien EdgeGW.
Menurut perkiraan kami dan hasil pengujian rekan-rekan di vendor, Light Agent mengurangi beban pada infrastruktur virtual klien sekitar 25% (bila dibandingkan dengan sistem yang menggunakan perangkat lunak antivirus tradisional). Secara khusus, antivirus standar Kaspersky Endpoint Security (KES) untuk lingkungan fisik menghabiskan waktu prosesor server hampir dua kali lipat (2,95%) daripada solusi virtualisasi berbasis agen yang ringan (1,67%).
Grafik perbandingan beban CPU
Situasi serupa diamati dengan frekuensi akses tulis ke disk: untuk antivirus klasik adalah 1011 IOPS, untuk antivirus cloud - 671 IOPS.
Grafik membandingkan tingkat akses disk
Keuntungan kinerja membantu menjaga stabilitas infrastruktur dan memanfaatkan daya komputasi. Dengan beradaptasi untuk bekerja di lingkungan cloud publik, solusinya tidak mengurangi kinerja cloud: ia melakukan pemeriksaan file terpusat dan memperbarui unduhan, mendistribusikan beban. Ini berarti bahwa, di satu sisi, ancaman yang relevan dengan infrastruktur cloud tidak akan terlewatkan, di sisi lain, kebutuhan sumber daya rata-rata mesin virtual akan menurun 25% dibandingkan dengan antivirus tradisional.
Dalam hal fungsionalitas, kedua solusi sangat mirip satu sama lain: tabel perbandingan diberikan di bawah ini. Namun, di cloud, seperti yang ditunjukkan oleh hasil tes di atas, masih lebih optimal untuk menggunakan solusi untuk lingkungan virtual.
Tentang tarif sebagai bagian dari pendekatan baru. Kami memutuskan untuk menggunakan model yang memungkinkan Anda memperoleh lisensi dengan jumlah vCPU. Ini berarti bahwa jumlah lisensi akan sama dengan jumlah vCPU. Antivirus dapat diuji dengan meninggalkan permintaan
di situs .
Dalam artikel berikutnya tentang topik terkait cloud, kami akan berbicara tentang evolusi WAF berbasis cloud dan apa yang terbaik untuk dipilih: perangkat keras, perangkat lunak, atau cloud.
Teks disiapkan oleh karyawan penyedia cloud #CloudMTS: Denis Myagkov, arsitek utama dan Alexey Afanasyev, manajer pengembangan produk IB.