Защита публичного и частного облака с Check Point CloudGuard IaaS

Защита публичного и частного облака с Check Point CloudGuard IaaS

Продукт Check Point CloudGuard IaaS защищает информацию в облачных инфраструктурах разного типа и в виртуальных центрах обработки данных, предотвращая распространение угроз и обеспечивая управление безопасностью в физических и виртуальных сетях. С этой целью в нем применяется набор средств защиты, состоящий из межсетевого экрана, антивируса, анти-бота, IDS, песочницы, системы для контроля приложений и ряда других компонентов. Сегодня мы проведем анализ технологий этого решения.

 

 

 

  1. Введение
  2. Угрозы облачной инфраструктуре
  3. Архитектура Check Point CloudGuard IaaS
  4. Основные возможности Check Point CloudGuard IaaS
    1. 4.1. Check Point CloudGuard IaaS для публичной облачной инфраструктуры
    2. 4.2. Check Point CloudGuard IaaS для частной облачной инфраструктуры
    3. 4.3. Check Point CloudGuard IaaS VE
  5. Выводы

 

Введение

Сейчас наблюдается повышенный интерес к миграции сервисов организаций в облачную инфраструктуру. По данным «Лаборатории Касперского» от 2018 года, 66% крупных предприятий и 49% компаний малого и среднего бизнеса планируют в ближайшее время расширять свои гибридные облака.

Крупные организации чаще всего прибегают к построению собственных центров обработки данных (ЦОД) и внедрению облачных технологий с целью сократить накладные расходы, повысить скорость внедрения и обеспечить масштабируемость. К наиболее известным решениям для ЦОД можно отнести продукты OpenStack, VMware NSX, Cisco ACI, Microsoft Hyper-V и другие.

Однако несмотря на возможности, которые открывает перед компаниями собственный ЦОД, некоторые предприятия не готовы на его создание и поэтому используют публичные облачные сервисы. Перемещение вычислительных ресурсов и данных в публичные облака означает, что обязанности по обеспечению безопасности будут разделены между организацией-владельцем информационной системы и облачным провайдером. При том, что защитой инфраструктуры занимается сторонний поставщик, клиенты хотят контролировать свои собственные данные и защищать свои облачные активы, соблюдая при этом нормативные требования.

Публичные облачные среды, такие как Microsoft Azure, Google Cloud Platform, Amazon AWS и др., представляют особый интерес для злоумышленников, располагая огромными объемами конфиденциальных данных, а также большими вычислительными ресурсами. Откликаясь на растущее использование публичных облачных сервисов в качестве основной платформы для хранения корпоративной информации и управления рабочими нагрузками, в 2018 году злоумышленники создали множество новых методов, инструментов и разработок, направленных против облака. Согласно отчету от компании Check Point Software Technologies, количество облачных угроз продолжает расти.

Данные для проведения технического обзора предоставлены группой компаний MONT — одним из ключевых дистрибьюторов Check Point в России.

 

Угрозы облачной инфраструктуре

Основной проблемой при построении системы безопасности облачной инфраструктуры является особенность ее реализации — необходимость обеспечения доступа к облаку независимо от местоположения пользователя и используемых устройств. Это означает, что сетевой трафик выходит за рамки традиционных средств защиты. При этом внедренное в облако вредоносное программное обеспечение может легко распространяться среди облачных приложений, атаковать виртуальные сегменты или даже беспрепятственно перемещаться в корпоративные сети.

Журнал Network World составил рейтинг лидирующих угроз облачной безопасности. В первую тройку попали утечка данных, компрометация учетных записей и обход процедуры аутентификации, а также взлом интерфейсов и API. За ними следуют уязвимости приложений и систем, действия инсайдеров-злоумышленников, целевые компьютерные атаки наподобие APT, полная потеря данных в результате их удаления или обработки вирусом-шифровальщиком. Замыкают список недостаточная осведомленность персонала о рисках облачной инфраструктуры, злоупотребление облачными сервисами и DDoS-атаки.

 

Рисунок 1. Статистика обеспечения безопасности в облаке от Netwrix

 Статистика обеспечения безопасности в облаке от Netwrix

 

Согласно совместному отчету компании Oracle и KPMG, к наиболее частым инцидентам безопасности в облаке относятся несанкционированный доступ к данным, утечка информации и внедрение вредоносного программного обеспечения.

Хотя разные аналитики неодинаково ранжируют угрозы, очевидно, что любой вектор реализации рисков требует внимания и должен контролироваться. Необходимо не только разработать корпоративную политику безопасности, но и внедрить специализированные инструменты, способные обеспечить комплексную защиту данных от современных вредоносных программ и атак нулевого дня, а также автоматизировать управление системой безопасности за счет интеграции с популярными версиями гипервизоров и частными виртуальными средами. Рассмотрим одну из возможных реализаций на примере Check Point CloudGuard IaaS.

 

Архитектура Check Point CloudGuard IaaS

В зависимости от типа облачной инфраструктуры Check Point CloudGuard IaaS делится на три основных типа продуктов. Доступны редакции для публичного и для частного облака. Кроме списка поддерживаемых облачных платформ, они различаются вариантами развертывания. Check Point CloudGuard для публичного облака доступен в соответствующих маркетплейсах (например, в Google Cloud Platform Marketplace или Microsoft Azure Marketplace) и устанавливается в несколько кликов мышкой. В то же время установка Check Point CloudGuard для частного облака будет выглядеть немного сложнее – путем установки дистрибутива на виртуальную машину в составе защищаемой инфраструктуры.

 

Рисунок 2. Поддерживаемые Check Point CloudGuard IaaS облачные платформы

 Поддерживаемые Check Point CloudGuard IaaS облачные платформы

 

Для «публичного» варианта Check Point CloudGuard поддерживаются два варианта приобретения: оплата по факту использования (PAYG) и ввод имеющейся лицензии (BYOL). При этом лицензирование производится по количеству виртуальных ядер (vCPU); аналогичный подход применен в CloudGuard VE. Лицензирование CloudGuard для NSX производится по физическим сокетам. Стоит отметить, что состав компонентов безопасности зависит от подписки (NGTP и NGTX, с песочницей и без, соответственно), а также от выбранных опций, таких как DLP, Mobile Access и др.

В состав Check Point CloudGuard IaaS входят два компонента – контроллер, который интегрируется с системами управления облачной инфраструктурой (например, vCenter, OpenStack, NSX, ACI), и шлюз, который реализует механизмы безопасности Check Point.

Check Point CloudGuard VE является подтипом редакции для частной облачной инфраструктуры и предназначен для защиты виртуальных машин в дата-центрах на платформах VMware ESX, Microsoft Hyper-V и KVM. Отличие заключается в способе установки CloudGuard IaaS для NSX - он устанавливается не как обычный межсетевой L2/L3, а как сервис (служба) в сам гипервизор, что открывает широкие возможности по микросегментации виртуальной инфраструктуры и изоляции виртуальных машин друг от друга даже в одной подсети. В следующих таблицах представлены системные требования Check Point CloudGuard IaaS.

 

Таблица 1. Системные требования Check Point CloudGuard IaaS для публичной облачной инфраструктуры

Платформа

Поддерживаемые версии платформы

1. AWS Amazon VPC
2. Google Cloud Platform Google Cloud Platform
3.  Microsoft Azure Microsoft Azure;
Microsoft Azure Stack
4.  Oracle Cloud Oracle Cloud
5.  Alibaba Cloud Alibaba Cloud
6.  IBM Cloud IBM Cloud

 

Таблица 2. Системные требования Check Point CloudGuard IaaS для частной облачной инфраструктуры

Платформа виртуализации

Поддерживаемые версии платформы виртуализации

 1.

VMware ESXi

vSphere 5 и выше

 2.

Microsoft Hyper-V

2012 R2 Windows Server

2016 Windows Server

 3.

KVM

CentOS 7

RHEL 7

 4.

Cisco

APIC Version 1.3 / 2.0 / 2.1 / 2.2 / 2.3

 5.

VMware NSX

VMware vSphere 5.5 и выше;

VMware vCenter Server 5.5 и выше;

VMware ESX 5.5 и выше;

VMware NSX Manager 6.1.x и выше

 6.

Open Stack

Newton;

Ocata;

Pike

 

Основные возможности Check Point CloudGuard IaaS

Предотвращение угроз безопасности организовано здесь с помощью оптимизированных под гибкую логику работы облачной инфраструктуры средств защиты информации, которые перечислены ниже.

  1. Межсетевой экран, средство предотвращения вторжений, антивирус и анти-бот (обеспечивают запрет несанкционированного доступа и защиту от вредоносных программ).
  2. Контроль приложений (предотвращает атаки на уровне облачных сервисов).
  3. IPsec VPN (устанавливает безопасное подключение к облачным ресурсам).
  4. Средство контроля доступа к облаку с применением двухфакторной аутентификации и сопряжением устройств.
  5. Система защиты от потери данных (обеспечивает охрану конфиденциальных сведений от кражи или непреднамеренной утраты).
  6. Песочница (проактивно защищает от вредоносных программ и атак нулевого дня).

Check Point CloudGuard IaaS для публичной облачной инфраструктуры

Вариант для общедоступного облака предлагает возможности централизованного управления, которое осуществляется с помощью системы унифицированного контроля Check Point Unified Security Management. Для корпоративных активов применяется единая политика безопасности — как в общедоступном облаке, так и в локальной инфраструктуре.

Еще одна его особенность — динамический и автоматизированный подход к защите. Check Point CloudGuard использует контекстную информацию облачной инфраструктуры. Определенные в облаке элементы (например, активы, объекты, группы и др.) обновляются в режиме реального времени, благодаря чему CloudGuard способен автоматически настраивать политики безопасности в соответствии с любыми изменениями в облачной среде. Check Point также ведет работу над поддержкой российских публичных облаков.

 

Рисунок 3. Перед установкой Check Point CloudGuard IaaS в Google Cloud Platform необходимо указать несколько параметров

 Перед установкой Check Point CloudGuard IaaS в Google Cloud Platform необходимо указать несколько параметров

Check Point CloudGuard IaaS для частной облачной инфраструктуры

«Частная» версия Check Point CloudGuard IaaS позволяет динамически внедрять и распределять ресурсы, а также изолировать сегменты сети или один узел в случае реализации угроз.

Доступно централизованное и автоматизированное управление безопасностью. Check Point CloudGuard IaaS предоставляет возможность единообразной настройки и мониторинга всех физических и виртуальных объектов. API-интерфейс обеспечивает контроль привилегий, ограничивая полномочия на редактирование в соответствии с настроенными правилами или объектами политики безопасности. Тем самым можно добиться необходимого уровня защиты для каждого сегмента сети.

Поддерживаются контекстно-зависимые политики. Интеграция Check Point CloudGuard IaaS с ведущими решениями контроллеров SDN гарантирует, что группы конечных устройств, идентификаторы виртуальных машин и другие параметры импортируются и далее используются в политиках безопасности Check Point. Это позволяет применять инструментарий защиты частного облака к виртуальным приложениям независимо от того, где они созданы или расположены.

 

Рисунок 4. Пример политик Check Point CloudGuard IaaS для VMware NSX

 Пример политик Check Point CloudGuard IaaS для VMware NSX

 

Обе редакции также предоставляют консолидированные журналы и отчеты для гибридных облачных сред. Благодаря этому появляется возможность анализировать информацию обо всех событиях и видеть полную картину активности в обоих сегментах – и локальном, и удаленном.

Check Point CloudGuard IaaS VE

Check Point CloudGuard IaaS для виртуальной инфраструктуры обеспечивает централизованное управление политикой безопасности, ведение журнала событий, мониторинг, анализ событий и генерацию отчетов. Продукт может быть развернут как шлюз безопасности для защиты точки входа-выхода виртуальной сети или виртуального сегмента; также он может поставляться как услуга при интеграции с контроллерами SDN для прозрачного перенаправления трафика.

 

Выводы

В связи с повышением популярности облачных технологий злоумышленники активно разрабатывают и применяют различные способы проникновения в облачную инфраструктуру организаций, так что привычные подходы к сетевой безопасности перестают удовлетворять установленным требованиям. Обращая внимание на особенности построения облака (доступность из сети Интернет, невозможность использования выделенных каналов связи, в определенных случаях — невозможность шифрования трафика и в то же время большое количество точек доступа), необходимо внимательно отнестись к его защите. Решение Check Point CloudGuard IaaS поддерживает значительное количество публичных и частных облачных платформ, таких как Amazon Web Services, Microsoft Azure, Google Cloud, VMware Cloud и NSX, Cisco ACI, OpenStack, Microsoft Hyper-V и др. При этом в его состав входят межсетевой экран, песочница, средство предотвращения вторжений, антивирус, анти-бот; также с его помощью можно организовать защищенное удаленное подключение. Все эти компоненты позволяют предотвратить реализацию угроз и распространение вредоносных программ, обеспечив при этом управление безопасностью и непрерывный мониторинг.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru