Пульт управления безопасностью публичного облака

Почему же бизнес так активно уходит в облака? Все просто: это выгодно, удобно и открывает массу возможностей. Компании получают экономию за счет отсутствия больших вложений в оборудование, доступ к современным технологиям без лишних затрат, надежную инфраструктуру, которая не боится сбоев, ускорение разработки новых продуктов и гибкость в управлении ресурсами — бери сколько нужно и когда нужно.

Но с этими плюсами приходят и новые задачи. Специалисты по безопасности иногда шутят: «У нас в отделе ИБ всего два человека, какое еще облако?» И их можно понять — переход в облако действительно меняет правила игры. Безопасность облачной инфраструктуры — это совсем не то же самое, что защита привычных серверов, размещенных в офисе или ЦОД-е. В публичном облаке вы получаете почти бесконечные ресурсы, но вместе с ними — и ответственность за их безопасность. Облачные провайдеры заботятся о своей платформе, а вот конфигурация платформы, данные, приложения и доступ к ним — это уже головная боль клиента.

Бизнесу нужны новые решения — такие, которые понимают облака и умеют их защищать. И тут на помощь приходят CNAPP-системы — современные платформы, которые объединяют все нужное для безопасности в одном месте и помогают не только защищаться, но и экономить.

Что такое CNAPP-системы и почему они лучше для облака, чем традиционные ИБ-решения

CNAPP, или Cloud Native Application Protection Platform, представляют собой настоящую панель управления безопасностью в облаке. Ее можно сравнить с приборной панелью в современном самолете. Это не просто набор случайных инструментов, объединенных в одном интерфейсе, а целая система, созданная специально для защиты современных облачных приложений и инфраструктуры.

Традиционные инструменты защиты (NGFW, антивирусы, сканеры уязвимостей и т.д.), которые отлично работают в традиционных системах, в облаке часто оказываются бессильны. Они не успевают за быстрыми изменениями: ресурсы появляются и исчезают с большой скоростью, границы безопасности размываются, а ошибки в настройках облачных сервисов могут обернуться настоящим кошмаром. При размещении ресурсов в облаке часть важных настроек осуществляется на слое конфигурации. Это то, что видит пользователь в веб-консоли облачного провайдера. Но этот слой традиционные ИБ-решения «не видят». Например, им «не видно», какой из размещенных в облаке ресурсов (база данных, виртуальная машина, бакет и т.д.) является публично доступным из интернета. Им также недоступна информация, кто и с какими правами имеет доступ к тем или иным облачным ресурсам. Вот только некоторые наиболее типичные вызовы. Это «слепые зоны»: неправильно настроенные права доступа, открытые хранилища данных, уязвимые сервисы или бесконтрольное создание новых ресурсов. Все это может превратиться в серьезные дыры в защите. А вручную следить за всем этим в динамичном облаке — задача почти невыполнимая. Плюс ко всему, старые решения требуют установки агентов на каждую машину, что усложняет жизнь и увеличивает затраты.

CNAPP-системы меняют подход к безопасности. Они объединяют в себе все, что нужно для защиты облака: контроль конфигурации с помощью CSPM (Cloud Security Posture Management) — инструмента для управления состоянием безопасности облака, защиту рабочих нагрузок через CWPP (Cloud Workload Protection Platform) — решение облачной безопасности, предназначенное для защиты виртуальных машин в облачных средах, контроль прав доступа с помощью CIEM (Cloud Infrastructure Entitlement Management), поиск уязвимостей и даже защиту контейнеров и Kubernetes. Вместо того чтобы собирать пазл из разных инструментов, заказчик получает единую платформу, которая демонстрирует всю картину состояния безопасности облака целиком.

CNAPP-системы используют несколько путей соединения с облачной инфраструктурой. Большую часть информации они получают по API облачных провайдеров, поэтому их функции всегда будут работать на 100%. Также они используют соединение с кластерами Kubernetes. Третий тип соединения — агенты или безагентские сканеры, которые анализируют виртуальные машины.

Одна из самых интересных возможностей CNAPP — это анализ путей атак. Система не просто оповещает о найденной уязвимости, а приоритезирует информацию о них, выводя на первое место из десятков тысяч алертов наиболее важные, свидетельствующие о наиболее серьезных уязвимостях, которыми злоумышленник может воспользоваться, чтобы добраться до чувствительных данных заказчика. Система позволяет приоритезировать самые критичные оповещения о уязвимостях, чтобы пользователь мог в первую очередь оперативно исправить наиболее серьезные и опасные проблемы.

Кроме того, СNAPP-системы умеют не только защищать, но и экономить: находят лишние ресурсы, подсказывают, где можно сократить расходы. Одним словом, показывают, те ресурсы, за которые заказчик платит деньги облачному провайдеру, но при этом не пользуется ими, либо использует не на полную мощность, а на 5-10%.

CNAPP-системы дает полную видимость облачной инфраструктуры. Они создают живую базу данных всех ресурсов, которая обновляется сама, без пользовательского участия. А еще они помогают соответствовать законам и стандартам — проверяют, все ли работает по правилам российских и международных регуляторов, и выдают готовые отчеты. Это экономит время и ресурсы при аудиторских проверках.

Важно отметить, что одна платформа может работать сразу с любым количеством облаков от разных провайдеров и с различными типами облачных платформ от одного провайдера. Таким образом, CNAPP могут развеять любые оправданные и неоправданные страхи и заблуждения в области безопасности данных, которые возникают у бизнеса при мысли об использовании публичных облачных ресурсов.

Рис.1. Главное меню Cloud Advisor

Расскажем о том, как вышеупомянутые функции были реализованы в российской CNAPP-платформе Cloud Advisor, созданной с нуля нашими соотечественниками.

Безагентный подход — все под контролем

Одна из ключевых особенностей Cloud Advisor — запатентованная технология DiskScan. Никаких агентов или учетных записей на виртуальных машинах — система подключается к облаку через API с минимальными правами, собирает данные о ресурсах, делает временные снапшоты дисков и анализирует их. Она смотрит на файлы, софт, настройки — все, что нужно, чтобы найти проблемы. Заказчик получает целый ряд преимуществ, таких как полное отсутствие влияния на производительность защищаемых систем, а также легкость развертывания (даже на инфраструктуре из тысяч ВМ платформа может быть развернута за полчаса и выдать детальные отчеты о рисках уже через несколько часов после подключения), стопроцентное покрытие ВМ и контейнеров, и отсутствие необходимости обеспечивать сетевую связность между защищаемыми ресурсами и средством защиты.

Защита на всех уровнях

Платформа Cloud Advisor автоматически сканирует облачные ресурсы на уязвимости, зарегистрированные в международной базе CVE, учитывая, как они используются и насколько опасны в реальной жизни. Проверяет настройки облачных сервисов, чтобы рекомендации провайдера, права и политики доступа нигде не нарушались. Контролирует публичною доступность и сетевые соединения ресурсов, так называемый «периметр», который в облаке контролируется не только NGFW, но и контролем конфигурации облачных объектов, таких как управляемые базы и данных и бакеты объектного хранилища.

Рис.2. Проверка на уязвимости

Также система ищет и выявляет вирусы и вредоносное ПО, следит за безопасностью кластеров Kubernetes, находит и оповещает о забытых «секретах» — паролях и ключах, случайно оставленных в коде, виртуальной машине или контейнере, и напоминает о необходимости обновить софт, если он устарел.

Графы и пути атаки

Cloud Advisor не просто находит проблемы, а сортирует их по степени критичности. К примеру, ситуация, когда критическая уязвимость найдена на публично доступной виртуальной машине, хранящий реквизиты доступа к бакету объектного хранилища в открытом виде, будет выведена в качестве предупреждения в первую очередь.

Экономим деньги

Кроме безопасности, Cloud Advisor помогает держать бюджет под контролем. Она находит машины, которые простаивают или обладают избыточной мощностью для своих задач, показывает, как загружены процессоры и память, считает, сколько пользователь сэкономит в рублях, если послушается ее советов, и подсказывает, оптимальные конфигурации, чтобы получить максимум выгоды с минимумом усилий.

Рис.3. Рекомендации по оптимизации расходов

По словам разработчиков, иногда лицензия Cloud Advisor окупается уже за пару месяцев — просто за счет экономии.

Соответствие требованиям регуляторов

Если речь идет о предприятиях КИИ, госструктурах или бизнесе, работающем с конфиденциальной информацией или персональными данными пользователей, очень полезными будут возможности Cloud Advisor по проверке соответствия облачной инфраструктуры Рекомендациям по безопасной настройке операционных систем Linux ФСТЭК России, нормам ФЗ-152 или международным стандартам вроде PCI DSS и GDPR. Платформа не просто проверяет, но и выдает готовые отчеты для аудиторов.

Рис.4. Соответствие требованиям российских и международных регуляторов

Мультиоблачность

Каждая CNAPP-платформа поддерживает определенные облачные платформы, с которыми взаимодействует, в том числе и по API облачного провайдера. Решения западных CNAPP-разработчиков не «дружат» с российскими облаками. В то же время платформа Cloud Advisor совместима, то есть работает по API, с популярными российскими облаками, такими как Cloud.ru, Yandex Cloud, РТК, MTS Cloud и Selectel, а еще с зарубежными Huawei Cloud, VMware Cloud Director, Microsoft Azure, AWS и кластерами Kubernetes от разных провайдеров. Если заказчик использует несколько облаков, такая возможность будет очень полезна.

Инвентаризация ресурсов

Платформа сама автоматически собирает и обновляет базу всех облачных ресурсов организации — виртуальных машин, баз данных, бакетов, сетей, пользователей и множества других объектов. Заказчику не придется вручную искать и считать, что где лежит, — все уже перед глазами, четко и понятно.

Рис.5. Доступные ресурсы

Легкая интеграция

Cloud Advisor подстраивается под вас: отправляет уведомления в Telegram или MatterMost, работает с SIEM, подключается к Jira Cloud, шлет отчеты по почте при возникновении рисков безопасности. Платформа предоставляет мощный API для интеграции с внутренними системами пользователя, CMDB или GRC системами. Никаких революций в процессах — она просто вливается в ИТ-инфраструктуру компании.

«Приборная панель» для облака

Интерфейс у платформы простой и понятный, с дашбордами и графиками, которые в реальном времени отображают картину происходящего. Демонстрация связей между ресурсами помогает быстро найти слабые места и пресечь угрозы. Команды ИБ и ИТ получают все в одном месте, чтобы реагировать быстрее и защищать лучше.

Принципы работы Cloud Advisor

Cloud Advisor смотрит на облако с разных сторон. На уровне настроек облачной платформы он проверяет периметр, права доступа, сети, шифрование — все, что влияет на безопасность. Модуль Cloud Workload Protection Platform (Платформа защиты облачных рабочих нагрузок) защищает виртуальные машины и контейнеры в облаке от рисков, связанных с уязвимостями, вредоносным ПО, ошибками в конфигурации и секретами, хранящимися в открытом виде. Для Kubernetes есть свои проверки. Cloud Advisor осуществляет сканирование образов контейнеров и выявляет уязвимости в операционных системах, пакетах и библиотеках. Cloud Advisor не требует подключение к реестру образов и может осуществлять сканирование даже изолированных кластеров не имеющих сетевой связности. Cloud Advisor также включает в себя модуль Антивирус, который сканирует образы контейнеров. Антивирус осуществляет поиск шифровальщиков, троянов, вирусов, майнеров и прочего вредоносного ПО, обеспечивая безопасность и соответствие требованиям регулятора в облачной инфраструктуре. Другой модуль Kubernetes Security Posture Management (Управление Состоянием Кластера Kubernetes) проводит автоматизированную проверку конфигурации кластеров на соответствие лучшим практикам в области безопасности.

Cloud Advisor предоставляет возможность формулировать и приводить в исполнение собственные правила, которым должны удовлетворять ресурсы в кластере. А еще Cloud Advisor следит за доступом, чтобы никто не получил избыточных прав. Сотни правил, основанных на лучших практиках и реальных угрозах (Kubernetes CIS), работают на каждом этапе. Фактически, Cloud Advisor можно сравнить со «швейцарским ножом» или «мультитулом» для облаков.

Сценарии использования

Cloud Advisor следит за безопасностью инфраструктуры публичного облака и повышает эффективность ее использования. Среди заказчиков CloudAdviser немало технологических компаний, которые одними из первых осознают преимущества публичных облаков и начинают их активно использовать. Так, компания «Звук», предоставляющая одноименный музыкальный стриминговый сервис. Внедрение Cloud Advisor заменило целый ряд программных продуктов и предоставило информацию в режиме одного окна. Это позволило увидеть полную картину безопасности облака, сэкономить время и выявить пути атаки, которые недоступны традиционным решениям. Заказчик получил стопроцентное покрытие всех ресурсов средством управления уязвимостями через несколько часов после подключения инфраструктуры. Конфигурация виртуальных машин теперь проверяется на соответствие рекомендациям ФСТЭК. Кроме того, налажена оперативная реакция на появление небезопасно настроенных ресурсов (виртуальных машин, бакетов, PaaS). Например, присвоение публичного IP-адреса или предоставление неограниченного доступа в интернет. Есть и другие интересные сценарии. Так, один из ведущих российских производителей минеральных удобрений благодаря внедрению Cloud Advisor в своей облачной инфраструктуре наладил оперативную реакцию на появление небезопасно настроенных ресурсов (виртуальных машин, бакетов, PaaS). Например, на присвоение публичного IP-адреса или предоставление неограниченного доступа в интернет. Конфигурация облака проверяется модулем CSPM, выявляются несоответствия лучшим практикам и рекомендациям облачного провайдера. Также платформа помогает организовать безопасную миграцию с одного облачного провайдера на другого. Еще до старта миграции система проверяет, где могут быть проблемы, во время переезда следит за новыми ресурсами, а после — убеждается, что все прошло безопасно.

Вместо заключения

На глобальном рынке CNAPP есть свои звезды — Wiz, Prisma Cloud, Aqua Security, Lacework, Orca Security и другие решения. Cloud Advisor обладает схожей функциональностью и при этом имеет одно серьезное преимущество — это поддержка российских облачных платформ. Даже если западные CNAPP-вендоры вернутся на российский рынок, их продукты будут ориентированы на работу с зарубежными облаками, что неактуально для большинства российских компаний. Важно помнить, что это полностью российский продукт. Он заточен под наши реалии: знает требования ФСТЭК, работает с отечественными облачными провайдерами, имеет русский интерфейс, русскоязычную техподдержку и сообщество пользователей. Резюмируя скажем, что платформа Cloud Advisor не только снимает обоснованные и необоснованные страхи перед публичными облаками, но и позволяет бизнесу успешно расти и развиваться с опорой на облачные ресурсы.

На сайте продукта можно оставить заявку на 14 дневный бесплатный полнофункциональный пилот, в рамках которого Cloud Advisor проверит, возьмет под защиту облачную инфраструктуру, предоставит отчет о рисках и даст рекомендации по оптимизации расходов.