2023/10/23 17:25:15

Защита гибридной облачной инфраструктуры. Касперский в помощь!

Современные пути импортозамещения идут по пути интеграции программного и аппаратного обеспечения российского производства. Однако, в эпоху цифровой трансформации, предприятия, нацеленные на оптимизацию затрат и повышение производительности, активно используют облачные решения и применяют контейнеризацию на базе таких технологий, как OpenStack и Kubernetes. Благодаря модельному подходу открытых стандартов эти платформы могут быть успешно реализованы на основе отечественных ПО и аппаратных платформ, обеспечивая совместимость и постепенный переход с иностранных продуктов на отечественные. Основной задачей в процессе импортозамещения является гарантирование информационной безопасности корпоративных систем и приложений. С учетом угрозы, исходящей от устаревших иностранных продуктов, отсутствующих в экосистеме обновлений производителя решений, повышается актуальность вопроса о целостности и безопасности облачных инфраструктур.

Содержание

Структура и защита облачных систем

Рассмотрим основные составляющие гибридной облачной системы, которые необходимо защищать:

  • ЦОД инфраструктура. Включает серверную часть с ИТ-инфраструктурой, где размещены корпоративные приложения и службы, такие как кластер домен контроллер (DC), система управления базами данных (СУБД), файловые хранилища, подключаемые по протоколам FTP/SMB, и группы серверов бизнес-приложений, работающих на базе API. Сервисы часто имеют API-взаимодействие с внешними системами, такими как Документооборот, ЕГАИС, «» и другие…
  • Арендованная инфраструктура. В условиях аренды инфраструктуры (Infrastructure as a Service – IaaS) или платформы (Platform as a Service – PaaS), компании могут быстро масштабировать вычислительные ресурсы, арендуя их у сторонних облачных провайдеров. Открытые технологии, такие как виртуализация и оркестрация, обеспечивают гибкость интеграции арендованных ресурсов.
  • Клиенты. Это терминальные устройства пользователей, которые соединяются с корпоративными и облачными ресурсами. Терминалы (или конечные точки) представляют собой физические и виртуальные устройства, с помощью которых пользователи подключаются к корпоративным и облачным ресурсам. Это могут быть:
    • Стационарные устройства: настольные компьютеры, рабочие станции.
    • Мобильные устройства: ноутбуки, смартфоны, планшеты.
    • Специализированные устройства: POS-терминалы, медицинское оборудование, промышленные контроллеры.
    • Виртуальные клиенты: VDI (Virtual Desktop Infrastructure) и другие виртуальные рабочие места.

Давайте рассмотрим, из каких компонентов должна состоять защита гибридной инфраструктуры. Эта инфраструктура объединяет корпоративные ЦОДы и инфраструктуру, одну или несколько арендованных технологических площадок, а также удаленных клиентов, которые могут подключаться к как корпоративной, так и облачной части.

  • Антивирус. В современной сфере информационной безопасности одним из ключевых элементов является защита от вредоносного ПО. С этой целью рекомендуется применять антивирусные решения или системы Endpoint Protection. Следует установить соответствующие агенты на серверы внутри корпоративной сети, на облачные виртуальные машины, контейнеры, а также на терминальное клиентское оборудование. Важно подчеркнуть, что агенты корпоративного антивируса должны быть совместимы с различными операционными системами: серверными (включая отечественные), настольными (Windows, Unix, даже в VDI-окружении и отечественных ОС) и мобильными (Android, iOS). Централизованный контроль всех агентов – оркестрация – необходима, и модуль для ее выполнения можно разместить как в корпоративной инфраструктуре, так и в облачном окружении, обеспечивая таким образом универсальность и гибкость системы управления информационной безопасностью.
  • Сетевая защита. Для обеспечения надежной защиты корпоративной сети от сетевых атак, крайне рекомендуется установить межсетевой экран. Этот инструмент служит барьером, оберегающим серверную инфраструктуру от потенциальных угроз. В то время как ответственность за безопасность облачной инфраструктуры часто лежит на плечах облачного провайдера — например, Yandex Cloud, VK Cloud или CloudMTS — при работе с множеством виртуальных машин в облаке рекомендуется дополнительно развертывать виртуальный коммутатор.
    Для выявления и анализа сложных, целенаправленных угроз целесообразно интегрировать сбор данных сетевого трафика с корпоративного межсетевого экрана и виртуального коммутатора в системы обработки событий безопасности (SIEM) и систему защиты от целенаправленных атак (Anti Target Attack – ATA), системы учета и анализа событий, обнаружения вторжений и расследования инцидентов безопасности. Это обогащение данных усиливает возможности по выявлению и реагированию на сложные угрозы в реальном времени
  • Анализ системных журналов. Анализ системных журналов играет ключевую роль в обеспечении информационной безопасности. Чтобы глубоко понимать и контролировать события в операционных системах и приложениях, эксперты используют системы сбора и обработки событий информационной безопасности, такие как SIEM. Она может собирать данные со всех элементов инфраструктуры, позволяя оперативно выявлять признаки потенциальных угроз. В случае инцидентов безопасности эта информация предоставляет возможность для тщательного расследования, восстановления хронологии событий и определения источника угрозы, что критически важно для принятия быстрых и эффективных мер реагирования.
  • Защита почты. Защита корпоративной почты имеет первостепенное значение, поскольку почтовые системы часто становятся объектом целенаправленных атак. Злоумышленники распространяют фишинговые сообщения, содержащие вредоносные вложения или ссылки, направляющие на мошеннические веб-ресурсы. Для обеспечения безопасности и проактивного обнаружения угроз необходимо осуществлять проверку как вложений, так и ссылок, содержащихся в электронных письмах. В этом контексте весьма эффективным решением является использование "песочницы" — специализированной виртуальной машины. Она эмулирует действия пользователя и предназначена для того, чтобы активировать и анализировать поведение возможных вредоносных программ, предоставляя тем самым глубокий анализ их действий без риска для основной инфраструктуры.
  • Защита от DDoS. DDoS-атаки, нацеленные на дестабилизацию работы наземной или облачной инфраструктуры, стали распространенной угрозой в современном мире. Чтобы успешно противостоять им, рекомендуется воспользоваться специализированными сервисами, которые предлагают продвинутые системы фильтрации, блокирующие нежелательный и вредоносный траффик. Кроме того, многие облачные провайдеры предоставляют средства защиты от DDoS в рамках своих услуг.

Важно отметить, что для компаний, подпадающих под действие законов №187-ФЗ «О безопасности критической информационной инфраструктуры РФ» и №152-ФЗ «О безопасности персональных данных», выполнение требований по взаимодействию с ГосСОПКА становится критически важным. При выборе защитных решений для таких организаций необходимо уделять особое внимание системам, которые поддерживают интеграцию с инфраструктурой ГосСОПКА и обеспечивают возможность составления отчетов для Роскомнадзора. Эти требования могут значительно влиять на решение о выборе конкретных средств защиты. Однако стоит помнить, что не все компании и их информационные системы обязаны соответствовать данным стандартам, поэтому каждый случай требует индивидуального подхода.

«
Для эффективной минимизации рисков информационной безопасности ключевым является глубокое понимание собственной сети: ее структуры, слабых мест и потенциальных направлений атак. Важно активно следить за актуальными уязвимостями и оперативно их устранять, обеспечивая защиту сервисов на всех уровнях. Кроме того, создание непредсказуемого для атакующего сценария собьёт злоумышленника с толку, заставив его действовать в рамках установленных вами правил и таким образом выявить себя в инфраструктуре. Создание "ловушек" или дезинформационных мер может служить дополнительным барьером на пути потенциального нарушителя.
И.В. Елисеев, инженер по информационной безопасности, Крайон.
»

Image:Крайон_Защита_гибридной_облачной_инфраструктуры.jpg

СУИБ от Касперского

Продукты "Лаборатории Касперского" имеют весь перечисленный выше функционал и позволяют построить на их основе полноценную систему управления информационной безопасности гибридной корпоративно-облачной инфраструктуры

Антивирусная защита:

  • Kaspersky Endpoint Security (KES): Это решение для комплексной защиты терминальных устройств от различных векторов угроз. Оно предназначено для операционных систем Windows, Linux, MacOS и мобильных ОС. Особо стоит выделить продукты KES, предназначенные для специализированных серверных окружений, например, для Linux Mail Server и Microsoft Exchange Servers.
  • Kaspersky Security Center (KSC): Централизованное решение для управления политиками безопасности и мониторинга состояния защиты инфраструктуры. Оно обеспечивает защиту от следующих типов атак: вредоносное ПО, трояны, вирусы, черви, руткиты, вымогатели и сетевые атаки на компьютеры, эксплойты, аномальная активность, файловые угрозы.

Защита от целенаправленных и сложных атак:

  • Kaspersky EDR Expert (KEDR Expert): Это современное решение для обеспечения углубленного мониторинга, детекции и реагирования на инциденты безопасности в корпоративной инфраструктуре. Единый агент позволяет организациям использовать решения Kaspersky EDR Expert и Kaspersky Security для бизнеса одновременно. В рамках одного агента компании получают контроль рабочих мест, автоматическое предотвращение массовых угроз, а также эффективное обнаружение, приоретизацию, детальное расследование сложных угроз и централизованное реагирование на комплексные инциденты. Оно обеспечивает защиту от следующих типов угроз: целенаправленные атаки, APT (Advanced Persistent Threats), комплексные атаки.
  • Kaspersky Anti Targeted Attack Platform (KATA): Платформа для анализа сетевой активности. Она осуществляет глубокий анализ сетевого трафика с сетевого оборудования периметра компании, проводит эмуляцию угроз с использованием песочницы (Sandbox) и выявляет сложные угрозы и целенаправленные атаки. Автоматизация сбора данных и выдача вердиктов в кратчайший срок позволяют получить оперативные данные для работы аналитического отдела службы ИБ и оперативно реагировать на возникшие инциденты и угрозы ИБ. Этот компонент защищает от следующих типов угроз: целенаправленные и сложные атаки, APT (Advanced Persistent Threats), аномальное поведение в сети, а также ранние стадии многокомпонентных атак и ранее неизвестные угрозы.

Мониторинг событий и SIEM:

  • Kaspersky Unified Monitoring and Analysis Platform (KUMA): Это интегрированное решение SIEM для сбора, анализа и корреляции данных о событиях безопасности из различных источников. Оно позволяет осуществлять комплексный мониторинг состояния всех узлов серверной и пользовательской инфраструктуры, обнаруживать аномальную активность и оперативно реагировать на инциденты информационной безопасности. Решение обеспечивает защиту от следующих типов угроз: выявление сложных и многокомпонентных атак, а также аномальное поведение на основе корреляции данных из системных журналов.

Защита корпоративной почты:

  • Kaspersky Secure Mail Gateway (KSMG): это полностью интегрированное решение, объединяющее систему электронной почты и средства ее защиты, в составе готового к использованию виртуального устройства безопасности. Продукт обеспечивает надежную защиту электронной почты от известных и неизвестных угроз. Продукт предназначен для защиты от следующих типов атак: фишинг, спам, мошенническая переписка (BEC-атаки), вредоносные вложения и ссылки.

Решения "Лаборатории Касперского" представляют собой глубоко интегрированный комплекс средств защиты, который учитывает все основные векторы угроз и предоставляет компаниям инструменты для эффективной защиты и своевременного реагирования на возникающие риски и угрозы информационной безопасности.

Заключение

В современных условиях, когда гибридные и многоуровневые корпоративно-облачные инфраструктуры становятся нормой, вопросы их защиты актуализируются. "Лаборатория Касперского" предоставляет интегрированный набор решений, которые обеспечивают высокий уровень безопасности таких инфраструктур. Особенно важно отметить поддержку отечественных операционных систем, что делает продукты "Лаборатории Касперского" весьма актуальными в рамках национальной стратегии импортозамещения.

Переход на отечественные технологии, операционные системы и СУБД требует чрезвычайной осторожности и комплексного подхода к безопасности. Благодаря опыту и технологиям "Лаборатории Касперского", процесс импортозамещения можно сделать максимально безопасным, эффективным и гладким.

Тем не менее, каждый проект импортозамещения уникален, и для его успешного выполнения требуется индивидуальный подход. В этом контексте обращение к опытным интеграторам, таким как "Крайон", может быть ключевым решением. Эксперты компании способны проанализировать конкретные потребности бизнеса, составить оптимальную архитектуру системы безопасности на базе продуктов "Лаборатории Касперского" и сопроводить весь процесс импортозамещения, обеспечивая контроль, безопасность и стабильность работы системы.