Axborot xavfsizligi bilan bog'liq hodisalarga o'z vaqtida javob berish uchun muammoning manbasini o'z vaqtida aniqlash kerak. Buning uchun tunu kun va uzilishlarsiz ishlashi kerak bo'lgan ishonchli monitoring vositalaridan foydalanish zarur. Bunday tizimlar muqarrar ravishda resurslarni iste'mol qiladi, ammo Yandex.Cloud xavfsizlik vositalarini hisoblash narxini platforma foydalanuvchilariga o'zgartirmaydi.
Uskunalar to'plamini tanlashda, Yandeks yana bir muhim talabni qo'lga kiritdi: ilovalarning birida 0 kunlik zaiflikdan muvaffaqiyatli foydalanilganda, tajovuzkor dastur egasini tark etmasligi kerak, xavfsizlik guruhi esa voqea to'g'risida bir zumda bilib olishi va kerak bo'lganda munosabat bildirishi kerak.
Va nihoyat, eng muhimi, barcha vositalar ochiq manba bo'lishi kerak edi. Yandex.Cloud-da foydalanishga qaror qilingan AppArmor + Osquery ushbu mezonlarga to'liq javob beradi.
AppArmor
AppArmor yuqorida aytib o'tilgan edi: bu maxsus xavfsizlik profillariga asoslangan proaktiv himoya vositasi. Profillar LSM yordamida to'g'ridan-to'g'ri Linux yadrosining o'zida 2.6-versiyadan boshlab qo'llaniladigan Maxfiylikni etiketlash texnologiyasidan foydalanadi. Yandex ishlab chiquvchilari quyidagi sabablarga ko'ra AppArmor-ni tanladilar:
yengilligi va tezligi, chunki asbob Linux yadrosining bir qismiga tayanadi;
bu ochiq manbali echim;
AppArmor hech qanday kod yozmasdan Linuxda juda tez joylashtirilishi mumkin;
moslashuvchan konfiguratsiya konfiguratsiya fayllari yordamida mumkin.
Osquery
Osquery - bu Facebook tomonidan ishlab chiqilgan tizim xavfsizligini kuzatish vositasi va hozirda ko'plab IT sohalarida muvaffaqiyatli qo'llanilmoqda. Bundan tashqari, vosita o'zaro faoliyat platforma va ochiq manba hisoblanadi.
Osquery-dan foydalanib, siz turli xil tarkibiy qismlarning holati to'g'risida ma'lumot to'plashingiz mumkin operatsion tizim, uni to'plang, standartlashtirilgan JSON formatiga o'zgartiring va tanlangan qabul qiluvchiga yuboring. Ushbu vosita, rockdb ma'lumotlar bazasida saqlanadigan standart SQL so'rovlarini yozish va dasturga yuborish imkonini beradi. Siz ushbu so'rovlarni bajarish yoki qayta ishlash chastotasi va shartlarini sozlashingiz mumkin.
Standart jadvallar allaqachon ko'plab funktsiyalarni amalga oshirgan, masalan, tizimda ishlaydigan jarayonlarning ro'yxati, o'rnatilgan paketlar, iptables qoidalarining joriy to'plami, crontab sub'ektlari va hk. Qutidan tashqarida yadrolarni tekshirish tizimidan voqealarni qabul qilish va ularni tahlil qilishni qo'llab-quvvatlash amalga oshiriladi (Yandex.Cloud-da AppArmor voqealarini boshqarish uchun ishlatiladi).
Osquery-ning o'zi C ++ da yozilgan va ochiq manba bilan tarqatilgan, ularni o'zgartirishingiz va ikkalasi ham asosiy kod bazasiga yangi jadvallar qo'shishingiz va C, Go yoki Python-da o'z kengaytmalaringizni yaratishingiz mumkin.
Osquery-ning foydali xususiyati - bu tarqatilgan so'rovlar tizimining mavjudligi, uning yordamida tarmoqdagi barcha virtual mashinalarga real vaqt rejimida so'rovlarni bajarishingiz mumkin. Bu foydali bo'lishi mumkin, masalan, paketda zaiflik topilgan bo'lsa: bitta so'rov bilan siz ushbu paket o'rnatilgan mashinalar ro'yxatini olishingiz mumkin. Ushbu xususiyat murakkab infratuzilma bilan ta'minlangan yirik tarqatilgan tizimlarni boshqarishda keng qo'llaniladi.
Do'stlaringiz bilan baham: |