`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

CloudGuard — защита облака, веб-приложений, Kubernetes в один щелчок мыши

+11
голос

Продолжая обзор «Конференции для партнеров Check Point 2021», предлагаем материал на основе выступления архитектора по безопасности в облачных средах Check Point Валерия Денисова.

Облачный рынок сегодня растет самыми быстрыми темпами, огромное количество компаний уже используют облако в той или иной мере. Но проблемы безопасности все равно остаются, используете вы Office 365, Azure или Amazon. Поэтому по мнению Check Point заказчикам нужно помочь в овладении этими технологиями.

Возьмем, скажем, контейнеры. Практически у каждого второго крупного заказчика уже где-то используется эта технология, но не всегда есть понимание того, но какие с ней сопряжены риски и угрозы с точки зрения безопасности многие пока не осознают. Первое, о чем беспокоятся специалисты в компаниях, это работоспособность, а второе — безопасность. Контейнеры настолько сложны, что здесь, как правило, требуется специальное техническое средство, чтобы защищать эту новую технологию. То есть, когда у заказчика, например, огромные веб-сервисы, там сотни тысяч контейнеров, то все это нужно обезопасить и закрывать новые векторы угроз, которые актуальны для этих сред. Check Point развивает отдельное направление, включающее все облачные продукты компании, в которых, наверное, огромное количество изменений. Появляются новые продукты, новые возможности, как помочь заказчикам, как понять их проблемы и как их решить.

CloudGuard — защита облака, веб-приложений, Kubernetes в один щелчок мыши

Валерий Денисов: «У Check Point есть отдельное направление, включающее все облачные продукты компании»

Это семейство продуктов называется CloudGuard с широким охватом различных направлений. Например, год назад в арсенале Check Point появился WAF, который работает на площадке у заказчика, но при этом управляется через облачную консоль. То есть, весь трафик обрабатывается в контуре компании, вся конфиденциальная информация содержится там, но при этом заказчику предоставляется простое в использовании облачное управление для WAF. Есть также продукт Cloud Security Posture Management (Управление состоянием защиты облачных сред CloudGuard), часть платформы CloudGuard Cloud Native Security, который автоматизирует управление ресурсами и сервисами нескольких облачных сред, включая визуализацию и оценку состояния защиты, обнаружение ошибочных конфигураций и использование передовых методов обеспечения безопасности и соответствия требованиям. Еще одно решение предназначено для определения различных аномалий в трафике. Например, когда у заказчика есть какой-нибудь кластер Kubernetes либо публичное облако, очень часто вообще не понятно, что там происходит, как общаются между собой разные регионы, разные виртуальные машины, разные контейнеры и т. п. Для того чтобы решить эту проблему, для того чтобы у заказчика было понимание, что происходит в его публичном облаке, есть как раз отдельный продукт в семействе CloudGuard.

В семейство CloudGuard входит виртуальный брандмауэр, который просто разворачивается в любом облаке. Там же можно развернуть, например, CloudManagement, соединить это все вместе, либо использовать уже готовый CloudManagement у Check Point, и дальше заказчик может защитить периметр, скажем, в облаке Azure, либо подключить огромное количество своих регионов, филиалов к единой точке, создать единое VPN-облако и дальше управлять всем этим.

CloudGuard — защита облака, веб-приложений, Kubernetes в один щелчок мыши

Плюс ко всему, этот шлюз можно запустить практически в любом имеющемся облаке, в частном или публичном. При этом функциональность везде будет одинаковой. С точки зрения новых продуктов, защиты новых сервисов, то здесь предлагается CloudGuard Native, или CloudGuard WorkLoad. Он включает в себя несколько разных продуктов, которые как раз заточены для защиты современных технологий, например, для защиты цикла разработки.

В программировании есть такой термин — shift left, когда команду тестировщиков привлекают еще на ранней стадии разработки ПО. Следовательно, они могут четко понимать требования и архитектуру ПО и разрабатывать тестовые примеры уже на начальном этапе. Это позволяет сделать для заказчика максимально безопасным его новый сервис, его новое приложение. Здесь одной из частей является защита самого облачного провайдера, то есть, фактически, это защита заказчика от прямых финансовых потерь. Если у заказчика взломают аккаунт в публичном облаке, то есть огромное количество примеров, к чему это может привести. Так, когда взломали Tesla, то на огромном количество машин начали добывать криптовалюту. Случается, что заказчик публикует какой-то сервис, забывает его защитить, применить шифрование, и буквально на следующее утро ему может прийти счет, скажем, на 20 тыс. долл. за перерасход каких-нибудь ресурсов.

Для того чтобы бороться с подобными случаями, для того чтобы заказчик понимал, что у него происходит в публичном облаке, чтобы он мог сделать инвентаризацию всех активов и всех настроек в публичном облаке, есть уже упоминавшийся выше продукт CloudGuard Posture Management. Причем с точки зрения облачных продуктов Check Point, в контексте пилотных проектов и демонстрации все максимально просто — все автоматизировано и делается буквально одним щелчком мыши. CloudGuard позволяет также выполнять анализ трафика. Когда есть некий кластер Kubernetes, и нужно понять, как разные сервисы, разные контейнеры обмениваются данными у заказчика в его кластере, нет ли каких-то аномалий, то это можно выполнить с помощью анализа трафика. Решение агрегирует все log-файлы трафика, который заказчик направляет в облачную консоль, и таким образом анализирует, ищет различные аномалии. Это позволяет провести расследование инцидентов с помощью уже готовых запросов.

Что касается самого Kubernetes, то у него могут появляться какие-то уязвимости, и с точки зрения самой этой технологии. Среди сотни контейнеров один может содержать какую-то уязвимость. Если она позволяет проникнуть внутрь этого кластера, и дальше, если нет внутри каких-либо ограничений, то, как показывает практика, такой уязвимый контейнер может просканировать весь кластер и понять, где есть критические данные, перехватить их и отправить наружу. То есть, для того чтобы бороться с этой проблемой, нужно интегрироваться с самим кластером Kubernetes, развернуть там несколько контейнеров Check Point, и они уже будут защищать этот кластер. Например, будут сканировать уязвимости, которые могут находиться внутри контейнера, будут сканировать исходный код внутри контейнера и следить за поведением этого контейнера. Нужно упомянуть еще об одном моменте. Это само лицензирование. Оно максимально простое, то есть, есть лицензия, которая, можно сказать, содержит токены, и можно выбирать лицензию с тем или иным количеством токенов.

CloudGuard — защита облака, веб-приложений, Kubernetes в один щелчок мыши

К примеру, для того чтобы получить максимальные функции для защиты Kubernetes, нужно просто потратить пять токенов на один узел (node). Получается, что по минимальной лицензии можно спокойно охватить пять узлов у заказчика. Что касается защиты публичных облаков, там также все довольно просто. То есть, каждый токен тратится на какой-нибудь защищаемый ресурс. Годовые лицензии продаются как сервис и можно свободно ими манипулировать, добавлять новые или убирать ненужные. Для комплексной защиты веб-приложений Check Point предлагает WAF.

CloudGuard — защита облака, веб-приложений, Kubernetes в один щелчок мыши

Check Point год назад создала собственный WAF. Идея заключалась в том, что WAF достаточно сложно поддерживать, возникают ложные срабатывания, постоянно нужно настраивать какие-то правила. Здесь же есть небольшой контейнер, который интегрируется с приложением заказчика, устанавливается буквально за несколько нажатий мыши и управляется из облака. Как уже упоминалось выше, вся обработка трафика и принятие решений выполняется на площадке заказчика, при этом площадка может располагаться где угодно, в публичном облаке, в частном облаке, внутри кластера Kubernetes, а дальше этими агентами управляет единая облачная консоль, где есть все лог-файлы, есть вся информация. С точки зрения интеграции, есть несколько разных вариантов. Например, можно просто развернуть виртуальную машину, сделать с ее помощью обычный инвертированный прокси-сервер, как у всех остальных WAF, и дальше защитить приложение заказчика. А можно встроиться внутрь кластера Kubernetes как входной контроллер (ingress controller). То есть, когда у заказчика есть большая инфраструктура с контейнерами, можно построить защиту прямо внутри этой инфраструктуры и защищать все приложения внутри этого кластера. Причем, поскольку это новые современные технологии, то все это делается автоматически с минимальными трудозатратами. Ну и самый простой вариант, если у заказчика есть модуль Nginx, то с ним это инсталлируется и интегрируется буквально за считанные минуты, то есть добавляется модуль, и заказчик уже получает WAF, работающий на Nginx внутри периметра заказчика. Создание WAF исходило из идеи, что есть огромное количество современных технологий, приложений, и там, порой, нет места для постоянной работы человека, как, например, решение каких-то проблем с ложными срабатываниями. WAF это решает сам за счет машинного обучения. Лицензируется WAF также довольно просто: по количеству запросов в год. Базовая лицензия включает 100 млн. запросов в год. При этом, трафик, который обрабатывается, не тарифицируется. Это хорошо для тех заказчиков, у которых передается большой объем контента, но при этом маленькое количество запросов. Для начала пилотного проекта заказчику нужно просто зарегистрироваться на портале, активировать сервис, то есть выбрать Infinity Policy для WAF или Posture Management для защиты публичного облака либо выбрать сервис защиты рабочей нагрузки для защиты Kubernetes, и уже дальше можно начать интеграцию. На самом портале есть все сервисы Check Point, которые представлены в облаке.

CloudGuard — защита облака, веб-приложений, Kubernetes в один щелчок мыши

Вы можете подписаться на нашу страницу в LinkedIn!

+11
голос

Напечатать Отправить другу

Читайте также

 
 

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT