Продукт Check Point CloudGuard IaaS защищает информацию в облачных инфраструктурах разного типа и в виртуальных центрах обработки данных, предотвращая распространение угроз и обеспечивая управление безопасностью в физических и виртуальных сетях. С этой целью в нем применяется набор средств защиты, состоящий из межсетевого экрана, антивируса, анти-бота, IDS, песочницы, системы для контроля приложений и ряда других компонентов. Сегодня мы проведем анализ технологий этого решения.
- Введение
- Угрозы облачной инфраструктуре
- Архитектура Check Point CloudGuard IaaS
- Основные возможности Check Point CloudGuard IaaS
- 4.1. Check Point CloudGuard IaaS для публичной облачной инфраструктуры
- 4.2. Check Point CloudGuard IaaS для частной облачной инфраструктуры
- 4.3. Check Point CloudGuard IaaS VE
- Выводы
Введение
Сейчас наблюдается повышенный интерес к миграции сервисов организаций в облачную инфраструктуру. По данным «Лаборатории Касперского» от 2018 года, 66% крупных предприятий и 49% компаний малого и среднего бизнеса планируют в ближайшее время расширять свои гибридные облака.
Крупные организации чаще всего прибегают к построению собственных центров обработки данных (ЦОД) и внедрению облачных технологий с целью сократить накладные расходы, повысить скорость внедрения и обеспечить масштабируемость. К наиболее известным решениям для ЦОД можно отнести продукты OpenStack, VMware NSX, Cisco ACI, Microsoft Hyper-V и другие.
Однако несмотря на возможности, которые открывает перед компаниями собственный ЦОД, некоторые предприятия не готовы на его создание и поэтому используют публичные облачные сервисы. Перемещение вычислительных ресурсов и данных в публичные облака означает, что обязанности по обеспечению безопасности будут разделены между организацией-владельцем информационной системы и облачным провайдером. При том, что защитой инфраструктуры занимается сторонний поставщик, клиенты хотят контролировать свои собственные данные и защищать свои облачные активы, соблюдая при этом нормативные требования.
Публичные облачные среды, такие как Microsoft Azure, Google Cloud Platform, Amazon AWS и др., представляют особый интерес для злоумышленников, располагая огромными объемами конфиденциальных данных, а также большими вычислительными ресурсами. Откликаясь на растущее использование публичных облачных сервисов в качестве основной платформы для хранения корпоративной информации и управления рабочими нагрузками, в 2018 году злоумышленники создали множество новых методов, инструментов и разработок, направленных против облака. Согласно отчету от компании Check Point Software Technologies, количество облачных угроз продолжает расти.
Данные для проведения технического обзора предоставлены группой компаний MONT — одним из ключевых дистрибьюторов Check Point в России.
Угрозы облачной инфраструктуре
Основной проблемой при построении системы безопасности облачной инфраструктуры является особенность ее реализации — необходимость обеспечения доступа к облаку независимо от местоположения пользователя и используемых устройств. Это означает, что сетевой трафик выходит за рамки традиционных средств защиты. При этом внедренное в облако вредоносное программное обеспечение может легко распространяться среди облачных приложений, атаковать виртуальные сегменты или даже беспрепятственно перемещаться в корпоративные сети.
Журнал Network World составил рейтинг лидирующих угроз облачной безопасности. В первую тройку попали утечка данных, компрометация учетных записей и обход процедуры аутентификации, а также взлом интерфейсов и API. За ними следуют уязвимости приложений и систем, действия инсайдеров-злоумышленников, целевые компьютерные атаки наподобие APT, полная потеря данных в результате их удаления или обработки вирусом-шифровальщиком. Замыкают список недостаточная осведомленность персонала о рисках облачной инфраструктуры, злоупотребление облачными сервисами и DDoS-атаки.
Рисунок 1. Статистика обеспечения безопасности в облаке от Netwrix
Согласно совместному отчету компании Oracle и KPMG, к наиболее частым инцидентам безопасности в облаке относятся несанкционированный доступ к данным, утечка информации и внедрение вредоносного программного обеспечения.
Хотя разные аналитики неодинаково ранжируют угрозы, очевидно, что любой вектор реализации рисков требует внимания и должен контролироваться. Необходимо не только разработать корпоративную политику безопасности, но и внедрить специализированные инструменты, способные обеспечить комплексную защиту данных от современных вредоносных программ и атак нулевого дня, а также автоматизировать управление системой безопасности за счет интеграции с популярными версиями гипервизоров и частными виртуальными средами. Рассмотрим одну из возможных реализаций на примере Check Point CloudGuard IaaS.
Архитектура Check Point CloudGuard IaaS
В зависимости от типа облачной инфраструктуры Check Point CloudGuard IaaS делится на три основных типа продуктов. Доступны редакции для публичного и для частного облака. Кроме списка поддерживаемых облачных платформ, они различаются вариантами развертывания. Check Point CloudGuard для публичного облака доступен в соответствующих маркетплейсах (например, в Google Cloud Platform Marketplace или Microsoft Azure Marketplace) и устанавливается в несколько кликов мышкой. В то же время установка Check Point CloudGuard для частного облака будет выглядеть немного сложнее – путем установки дистрибутива на виртуальную машину в составе защищаемой инфраструктуры.
Рисунок 2. Поддерживаемые Check Point CloudGuard IaaS облачные платформы
Для «публичного» варианта Check Point CloudGuard поддерживаются два варианта приобретения: оплата по факту использования (PAYG) и ввод имеющейся лицензии (BYOL). При этом лицензирование производится по количеству виртуальных ядер (vCPU); аналогичный подход применен в CloudGuard VE. Лицензирование CloudGuard для NSX производится по физическим сокетам. Стоит отметить, что состав компонентов безопасности зависит от подписки (NGTP и NGTX, с песочницей и без, соответственно), а также от выбранных опций, таких как DLP, Mobile Access и др.
В состав Check Point CloudGuard IaaS входят два компонента – контроллер, который интегрируется с системами управления облачной инфраструктурой (например, vCenter, OpenStack, NSX, ACI), и шлюз, который реализует механизмы безопасности Check Point.
Check Point CloudGuard VE является подтипом редакции для частной облачной инфраструктуры и предназначен для защиты виртуальных машин в дата-центрах на платформах VMware ESX, Microsoft Hyper-V и KVM. Отличие заключается в способе установки CloudGuard IaaS для NSX - он устанавливается не как обычный межсетевой L2/L3, а как сервис (служба) в сам гипервизор, что открывает широкие возможности по микросегментации виртуальной инфраструктуры и изоляции виртуальных машин друг от друга даже в одной подсети. В следующих таблицах представлены системные требования Check Point CloudGuard IaaS.
Таблица 1. Системные требования Check Point CloudGuard IaaS для публичной облачной инфраструктуры
|
№ |
Платформа |
Поддерживаемые версии платформы |
| 1. | AWS | Amazon VPC |
| 2. | Google Cloud Platform | Google Cloud Platform |
| 3. | Microsoft Azure | Microsoft Azure; Microsoft Azure Stack |
| 4. | Oracle Cloud | Oracle Cloud |
| 5. | Alibaba Cloud | Alibaba Cloud |
| 6. | IBM Cloud | IBM Cloud |
Таблица 2. Системные требования Check Point CloudGuard IaaS для частной облачной инфраструктуры
|
№ |
Платформа виртуализации |
Поддерживаемые версии платформы виртуализации |
| 1. |
VMware ESXi |
vSphere 5 и выше |
| 2. |
Microsoft Hyper-V |
2012 R2 Windows Server 2016 Windows Server |
| 3. |
KVM |
CentOS 7 RHEL 7 |
| 4. |
Cisco |
APIC Version 1.3 / 2.0 / 2.1 / 2.2 / 2.3 |
| 5. |
VMware NSX |
VMware vSphere 5.5 и выше; VMware vCenter Server 5.5 и выше; VMware ESX 5.5 и выше; VMware NSX Manager 6.1.x и выше |
| 6. |
Open Stack |
Newton; Ocata; Pike |
Основные возможности Check Point CloudGuard IaaS
Предотвращение угроз безопасности организовано здесь с помощью оптимизированных под гибкую логику работы облачной инфраструктуры средств защиты информации, которые перечислены ниже.
- Межсетевой экран, средство предотвращения вторжений, антивирус и анти-бот (обеспечивают запрет несанкционированного доступа и защиту от вредоносных программ).
- Контроль приложений (предотвращает атаки на уровне облачных сервисов).
- IPsec VPN (устанавливает безопасное подключение к облачным ресурсам).
- Средство контроля доступа к облаку с применением двухфакторной аутентификации и сопряжением устройств.
- Система защиты от потери данных (обеспечивает охрану конфиденциальных сведений от кражи или непреднамеренной утраты).
- Песочница (проактивно защищает от вредоносных программ и атак нулевого дня).
Check Point CloudGuard IaaS для публичной облачной инфраструктуры
Вариант для общедоступного облака предлагает возможности централизованного управления, которое осуществляется с помощью системы унифицированного контроля Check Point Unified Security Management. Для корпоративных активов применяется единая политика безопасности — как в общедоступном облаке, так и в локальной инфраструктуре.
Еще одна его особенность — динамический и автоматизированный подход к защите. Check Point CloudGuard использует контекстную информацию облачной инфраструктуры. Определенные в облаке элементы (например, активы, объекты, группы и др.) обновляются в режиме реального времени, благодаря чему CloudGuard способен автоматически настраивать политики безопасности в соответствии с любыми изменениями в облачной среде. Check Point также ведет работу над поддержкой российских публичных облаков.
Рисунок 3. Перед установкой Check Point CloudGuard IaaS в Google Cloud Platform необходимо указать несколько параметров
Check Point CloudGuard IaaS для частной облачной инфраструктуры
«Частная» версия Check Point CloudGuard IaaS позволяет динамически внедрять и распределять ресурсы, а также изолировать сегменты сети или один узел в случае реализации угроз.
Доступно централизованное и автоматизированное управление безопасностью. Check Point CloudGuard IaaS предоставляет возможность единообразной настройки и мониторинга всех физических и виртуальных объектов. API-интерфейс обеспечивает контроль привилегий, ограничивая полномочия на редактирование в соответствии с настроенными правилами или объектами политики безопасности. Тем самым можно добиться необходимого уровня защиты для каждого сегмента сети.
Поддерживаются контекстно-зависимые политики. Интеграция Check Point CloudGuard IaaS с ведущими решениями контроллеров SDN гарантирует, что группы конечных устройств, идентификаторы виртуальных машин и другие параметры импортируются и далее используются в политиках безопасности Check Point. Это позволяет применять инструментарий защиты частного облака к виртуальным приложениям независимо от того, где они созданы или расположены.
Рисунок 4. Пример политик Check Point CloudGuard IaaS для VMware NSX
Обе редакции также предоставляют консолидированные журналы и отчеты для гибридных облачных сред. Благодаря этому появляется возможность анализировать информацию обо всех событиях и видеть полную картину активности в обоих сегментах – и локальном, и удаленном.
Check Point CloudGuard IaaS VE
Check Point CloudGuard IaaS для виртуальной инфраструктуры обеспечивает централизованное управление политикой безопасности, ведение журнала событий, мониторинг, анализ событий и генерацию отчетов. Продукт может быть развернут как шлюз безопасности для защиты точки входа-выхода виртуальной сети или виртуального сегмента; также он может поставляться как услуга при интеграции с контроллерами SDN для прозрачного перенаправления трафика.
Выводы
В связи с повышением популярности облачных технологий злоумышленники активно разрабатывают и применяют различные способы проникновения в облачную инфраструктуру организаций, так что привычные подходы к сетевой безопасности перестают удовлетворять установленным требованиям. Обращая внимание на особенности построения облака (доступность из сети Интернет, невозможность использования выделенных каналов связи, в определенных случаях — невозможность шифрования трафика и в то же время большое количество точек доступа), необходимо внимательно отнестись к его защите. Решение Check Point CloudGuard IaaS поддерживает значительное количество публичных и частных облачных платформ, таких как Amazon Web Services, Microsoft Azure, Google Cloud, VMware Cloud и NSX, Cisco ACI, OpenStack, Microsoft Hyper-V и др. При этом в его состав входят межсетевой экран, песочница, средство предотвращения вторжений, антивирус, анти-бот; также с его помощью можно организовать защищенное удаленное подключение. Все эти компоненты позволяют предотвратить реализацию угроз и распространение вредоносных программ, обеспечив при этом управление безопасностью и непрерывный мониторинг.
