Представляем израильскую компанию Guardicore — нового вендора в портфеле Тайгер Оптикс. Guardicore разрабатывает систему Guardicore Centra, предназначенную для визуализации, микросегментации и защиты современных ЦОДов, гибридных облачных сред и контейнеров.
В этой статье мы рассмотрим проблематику защиты ЦОДов, контейнеров и облаков, и то, как Guardicore Centra позволяет решать эту задачу. Система доступна для тестирования и продажи через авторизованных партнеров Тайгер Оптикс.
Проблематика защиты ЦОДов, гибридных облаков и контейнеров
Инфраструктура современных организаций быстро меняется. Компании переходят от традиционной модели монолитного ЦОДа к облачной или гибридной архитектуре, сочетающей в себе множество платформ, сервисов и моделей развертывания приложений. Эта трансформация помогает повысить гибкость бизнеса и снизить затраты на ИТ, но также создает новую архитектуру, более сложную для защиты и более удобную для осуществления кибератак.
Злоумышленники в ответ на изменения архитектуры ЦОД модифицируют свое поведение и уделяют все больше внимания латеральному движению (east-west) между ресурсами внутри ЦОДов. Эти изменения делают традиционную концепцию сетевого периметра все менее актуальной, потому что каждый отдельный сервер может стать как потенциальной точкой запуска атаки, так и одной из целей на пути злоумышленника.
Платформа безопасности Guardicore Centra Security Platform — это комплексное решение для защиты центров обработки данных и облачных платформ, которое позволяет снижать поверхность атаки организации за счет простой и интуитивной реализации принципов микросегментации и нулевого доверия (Zero Trust). Кроме того, Guardicore Centra также позволяет выявлять, расследовать и реагировать на инциденты безопасности в периметре ЦОДа.
Guardicore Centra обеспечивает глубокое понимание зависимостей и потоков трафика между приложениями, позволяет описывать политики безопасности на уровне процесса и пользователя, что позволяет изолировать и сегментировать критически важные приложения и инфраструктуру.
Как работает Guardicore Centra
Guardicore Centra собирает подробную информацию об ИТ-инфраструктуре организации с помощью комбинации агентов, сетевых сенсоров и анализа журнальных файлов облачных провайдеров. Затем эта информация обогащается контекстом за счет автоматизированного процесса тегирования, который включает интеграцию с существующими источниками данных, например, системами оркестрации и базами данных управления конфигурациями (CMDB).
- Виртуальные машины. Агенты Guardicore, работающие на виртуальных машинах, могут быть объединены с дополнительными сборщиками данных уровня гипервизора для сбора подробной информации о виртуализированных средах. Эта информация используется для создания детальных политик безопасности, которые применяются агентами Guardicore.
- Облака. Агенты Guardicore работают в облачных инстансах, обеспечивая детальный мониторинг и контроль на основе политик. Guardicore предоставляет простой и унифицированный подход для визуализации и защиты приложений в гибридных облачных и мультиоблачных средах, включая поддержку широкого спектра операционных систем.
- Физические машины. Агенты Guardicore совместимы с широким спектром операционных систем, от последних версий Linux и Windows до устаревших и снятых с поддержки операционных систем, в том числе AIX и HP-UX. Это позволяет легко визуализировать и защищать такие серверы как отдельно, так и вместе с другими моделями развертывания приложений.
- Контейнеры. Агенты Guardicore, работающие на нодах, обеспечивают видимость всего кластера контейнеров, включая потоки данных между подами и между подом и виртуальной машиной. Политики безопасности могут быть интегрированы с процессами DevOps и единообразно применяться в контейнерах и других моделях развертывания приложений.
Результатом является динамическая визуальная карта всей ИТ-инфраструктуры ЦОДов и гибридных облаков организации, которая позволяет специалистам по информационной безопасности просматривать активности в этих средах вплоть до уровня отдельного процесса как в режиме реального времени, так и в исторической перспективе. Полученные подробные сведения о поведении приложений можно использовать для быстрого создания детализированных политик микросегментации через удобный визуальный интерфейс.
«Guardicore позволяет нам улучшить общую стратегию защиты ЦОДов и помочь нашей команде по информационной безопасности избегать актуальные угрозы».
Марино Агияр, CIO, Santander Brazil
Возможности микросегментации Centra также дополняются инновационным набором функционала для выявления и реагирования на инциденты безопасности.
Guardicore Centra обеспечивает защиту всей инфраструктуры организации. Платформа защищает вычислительные ресурсы в гибридных средах в любой комбинации legacy-систем, физических серверов, виртуальных машин, контейнеров и инстансов в облаках Amazon AWS, Microsoft Azure и Google Cloud Platform.
«Deutsche Bank придерживается самых высоких стандартов безопасности, и для нас первоочередной задачей является строгая сегментация сети в наших локальных и облачных средах. Guardicore дает нам эффективный способ защиты наших критически важных активов с помощью сегментации»
Алан Меирзон, Директор, Главное управление информационной безопасности, Deutsche Bank
Рассмотрим подробнее модули и возможности платформы.
Возможности Guardicore Centra
Визуализация
Guardicore Centra объединяет функционал мониторинга приложений и вычислительных ресурсов на уровне процессов и пользователей с возможностями детального определения политик, позволяя специалистам по ИБ находить, визуализировать, контролировать и осуществлять мониторинг происходящего в ЦОДах и облачных средах. Благодаря лучшему пониманию приложений и их взаимозависимостей организации могут применять гранулярные политики ИБ и оперативно выявлять инциденты.
После установки платформа Guardicore Centra автоматически создает подробную визуальную карту активностей во всех используемых средах. Активность на уровне процессов соотносится с сетевыми событиями, что дает администраторам визуальное представление обо всех вычислительных ресурсах. Администраторы имеют подробную информацию о конкретных активах, процессах в те или иные промежутки времени, что позволяет иметь полное представление о связях внутри и между центрами обработки данных и облачными средами. Guardicore Centra также делает создание политик микро- и наносегментации, ориентированных на приложения, простым, быстрым и не требующим изменения или отключения сервисов.
Политики безопасности
После того, как получено понимание об активностях в ЦОДе, необходимо определить и применить корректные правила коммуникаций между приложениями, а также с внешним миром. Guardicore упрощает разработку и управление политиками микросегментации за счет удобного визуального интерфейса.
Чтобы начать создавать политики, достаточно выбрать один из отображаемых коммуникационный потоков. Система автоматически предложит наиболее подходящее правило, основанное на исторических наблюдениях, и поможет быстро применить соответствующую политику. Механизм анализа изменений и интуитивно понятный процесс модификации политик поддерживают непрерывную подстройку политик и сокращают число ошибок.
Выявление атак и расследование инцидентов
Для быстрого выявления инцидентов Guardicore использует комбинацию из трех различных методов обнаружения: динамические эмуляции, анализ репутации и обнаружение нарушений политик безопасности. Эти методы распределены по всему центру обработки данных, централизованно управляются и выявляют инциденты практически в реальном времени по мере их возникновения.
- Динамическая эмуляция выявляет злоумышленников и вовлекает их в изолированную среду эмуляции с высоким уровнем интерактивности, отвлекая их от критических активов, и в то же время записывая их действия для дальнейшего анализа.
- Обнаружение на основе нарушения политик безопасности предупреждает аналитиков ИБ о нарушении предопределенных политик микросегментации.
- Репутационный анализ детектирует угрозы на основе выявления доменных имен, IP-адресов и хэшей файлов, связанных с известной вредоносной активностью.
При совместном использовании эти методы могут значительно сократить время обнаружения инцидентов и предоставляют организациям детальную контекстную информацию, необходимую для быстрого и эффективного реагирования на угрозы.
Реагирование на угрозы
При выявлении инцидентов Guardicore Centra позволяет одним щелчком мыши изменять политики сегментации для устранения нарушений трафика, а также инициировать действия на виртуальных машинах – ставить на паузу, останавливать, отключать или делать снимки (снэпшоты) машин для предотвращения распространения атаки и минимизации ущерба, в том числе при атаках криптолокерами.
Система также позволяет автоматически экспортировать индикаторы компрометации в шлюзы безопасности, SIEM-системы и другие СЗИ.
Расследования и форензика
Centra собирает полный набор форензики по атаке, в том числе ее источник, файлы и различные инструменты злоумышленника, а также используемые техники. Основываясь на этих данных, Guardicore проводит автоматическую классификацию атак по типу, а также анализ для выявления методов злоумышленников, тактик распространения и группировки схожих инцидентов.
Данные об инцидентах представлены в Guardicore в удобочитаемой форме и включают форензику, в том числе индикаторы компрометации, соответствующие артефакты и идентификационные характеристики атакующих злоумышленников и ботов.
Мониторинг целостности файлов (File Integrity Monitoring, FIM)
Многие стандарты и требования ИБ, в том числе PCI DSS и HIPAA, требуют отслеживать целостность файлов в качестве внутреннего контроля, который должен внедрен для защиты критически важных сегментов организации.
Используя легковесный агентский модуль, Centra выполняет периодические проверки целостности для выявления изменений файлов в облачных средах и средах центров обработки данных. Функционал FIM имеет низкую нагрузку на процессор и не влияет на производительность.
Польза внедрения Guardicore
Внедрение Guardicore Centra позволяет достичь множества преимуществ и помочь со следующими задачами:
- Предотвращение латерального движения в ЦОДе и облаках
- Защита наиболее ценных и критических сегментов ЦОДа
- Быстрое достижения соответствия регуляторным требованиям в новых и гетерогенных средах (физика, виртуальные среды, контейнеры, облака и пр.)
- Безопасный переход в гибридные облака и использование PaaS
- Защищенный доступ удаленных сотрудников, подрядчиков и партнеров к критическим приложениям
- Возможность быстрого и безопасного воплощения инноваций
- Внедрение методологии Zero Trust
Вы можете заказать индивидуальную демонстрацию или тестирование Guardicore Centra по ссылке ниже.