Обзор Cloud Advisor – единой платформы для защиты ресурсов и приложений в облаке

Использование публичной облачной вычислительной инфраструктуры в российских организациях продолжает набирать обороты. Компании все активнее переносят свою ИТ-инфраструктуру в облачную среду, чтобы повысить гибкость, масштабируемость и снизить капитальные затраты. Развиваются аттестованные облака, многие ИБ-компании адаптируют свои решения для защиты обрабатываемых в облаках данных.

Однако наряду с преимуществами облачные технологии несут в себе и риски, связанные с безопасностью самих облачных сервисов, управлением ресурсами и контролем расходов. В отличие от сервисов во внутренней сети организации, облачный ресурс может быть доступен посторонним акторам – и при некорректных настройках доступа злоумышленники не преминут этим воспользоваться.

Это подтверждает отчет Top‌ ‌Threats‌ ‌to‌ ‌Cloud‌ ‌Computing 2024, выпущенный Cloud Security Alliance – ошибки конфигурации на первом месте среди причин инцидентов в облачной безопасности. Кроме того, ошибки в настройках ресурсов облачных сервисов нередко приводят к серьезным финансовым потерям (в публичном поле мало статистики по кейсам излишних затрат на российские облака, но, например, по некоторым оценкам, клиенты AWS переплачивают до $20 млрд в год, просто выбрав неверную мощность ресурсов). Для предотвращения этих проблем возникает отдельный класс решений – платформа для защиты облачной инфраструктуры и приложений, Cloud-Native Application Protection Platform (CNAPP).

В сегодняшнем обзоре – российское CNAPP-решение Cloud Advisor. Эта платформа объединяет в себе функции управления уязвимостями, контроля конфигурации облака, поиска вредоносного ПО, защиты контейнерных сред и виртуальных машин, compliance-проверок, оптимизации расходов и инвентаризации активов. Важная особенность Cloud Advisor в том, что он позволяет из одной консоли видеть все риски по вышеперечисленным модулям для всех подключенных облаков в режиме «одного окна». А антивирусное сканирование и управление уязвимостями осуществляется без использования агентов.

Начало работы с Cloud Advisor

Для использования Cloud Advisor нужно в анализируемой облачной платформе создать сервисную учетную запись, дать ей необходимые права и сохранить аутентификационные данные в консоли Cloud Advisor. Часть продукта, которая ответственна за обработку чувствительных данных, разворачивается в облаке пользователя.

После этого дальнейший анализ начинается автоматически. Периодичность сканирования по-умолчанию (может быть изменена в дальнейшем):

• Сканирование конфигураций облачных платформ (аудит конфигураций и оптимизация расходов) будет происходить раз в час.
• Поиск уязвимостей на виртуальных машинах – раз в сутки или при появлении новой виртуальной машины (ВМ).
• Антивирус сканирует ВМ раз в неделю или при появлении новой ВМ.

Функции и возможности Cloud Advisor

1. Управление уязвимостями ВМ и контейнеров

Модуль «Управление уязвимостями» в Cloud Advisor сканирует виртуальные машины и образы, из которых развернуты контейнеры. Сканирование происходит с использованием запатентованной безагентной технологии DiskScan, которая получает информацию о ВМ с помощью анализа снапшотов дисковой подсистемы, без необходимости устанавливать агент на каждую ВМ. Этот способ не влияет на производительность облака или виртуальных машин в нем. Благодаря этому обеспечивается 100% покрытие всех виртуальных машин и кластеров Kubernetes средствами безопасности сразу же после развертывания. Еще одно преимущество – сетевой доступ не нужен, сканируемый ресурс может находиться даже в изолированном сетевом сегменте.

Поддерживаются различные дистрибутивы, включая Alpine, Debian, Ubuntu, RHEL, SberLinux, CentOS и OpenSUSE.

Важным отличием Cloud Advisor от традиционных сканеров уязвимостей является использование контекста при приоритезации уязвимостей. Например, уязвимость RCE на публично доступной машине, на которой найдены ключи доступа от объектного хранилища, будет иметь больший приоритет, чем та же уязвимость на машине без доступа в интернет.

2. Антивирус для ВМ и контейнеров

Аналогично без использования агентов Cloud Advisor ведет поиск вредоносных файлов – не нужно тратить время для установки агента на каждую виртуальную машину. Благодаря тому, что производится сканирование снапшота вместо сканирования оригинальной ВМ, такой способ не влияет на производительность сканируемого объекта (что часто бывает недопустимо для высоконагруженных приложений).

3. Автоматический аудит конфигураций облачных ресурсов, виртуальных машин и кластеров Kubernetes

Cloud Advisor автоматически анализирует конфигурации:

• Облачных сервисов (CSPM, Cloud Security Posture Management),
• Операционных систем виртуальных машин,
• Кластеров Kubernetes (KSPM, Kubernetes Security Posture Management).

Конфигурации проверяются на соответствие рекомендациям, составленным на основе:

• Для облачных сервисов – лучшие практики и рекомендации облачного провайдера, CIS AWS/Azure/GCP Benchmarks и Стандарта по защите облачной инфраструктуры Yandex Cloud.
• Для ОС – рекомендаций ФСТЭК России и CIS Linux Benchmarks.
• Для Kubernetes – CIS Kubernetes Benchmarks.

Для модуля контроля конфигураций облака (CSPM) Cloud Advisor предоставляет пользователям возможность формулировать и применять собственные правила, по которым тоже будут проводиться проверки безопасности. Например, можно ограничить использование определенных образов ОС или определить список администраторов, у которых могут быть широкие права доступа к облаку. Правила создаются с помощью языка запросов GraphQL.

4. Проверка соответствия стандартам

Cloud Advisor проверяет публичное облако на соответствие требованиям регуляторов (152-ФЗ, PCI DSS, GDPR), лучшим практикам вендоров и индустрии (CIS Benchmarks). В результате для каждого стандарта выводится процент выполненных требований с возможностью раскрыть стандарт и посмотреть детальную информацию по непройденным проверкам – суть проверки и список активов, не соответствующих требованиям.

5. Оптимизация расходов

Другой ключевой возможностью Cloud Advisor является оптимизация расходов на облачные сервисы. Система анализирует использование ресурсов, выявляет возможности оптимизации (неиспользуемые или недозагруженные активы), если необходимо посоветует выбрать менее мощную конфигурацию и даст рекомендации по процессору и памяти, которые смогут обеспечить корректную загрузку виртуальной машины, управляемого сервиса или базы данных.

6. Инвентаризация

Cloud Advisor проводит инвентаризацию ресурсов во всех подключенных облаках, собирая в единую консоль список виртуальных машин, дисков, контейнеров и других ресурсов. Доступен не только список активов, но и некоторые свойства (например, для виртуальных машин – статус, потребляемые мощности).

7. Управление обновлениями

Cloud Advisor отслеживает актуальность версий ОС и ПО, используемых в виртуальных машинах и контейнерах. В консоли можно увидеть наличие доступных обновлений, а также факт используемого устаревшего (end-of-life) ПО.

8. Поиск секретов на ВМ и контейнерах

Модуль «Поиск секретов» ищет хранящиеся в открытом виде (например, просто записанные в conf-файле) секреты (API-ключи, IAM Cookies, IAM-токены, OAuth-токены, ключи от S3, GitLab, GitHub и другие). При нахождении секрета в консоли Cloud Advisor отображается ресурс, на котором был найден секрет, и путь к файлу с ним.

9. Сканирование файлов Terraform

Не только обнаружение, но и предотвращение: с помощью Cloud Advisor (точнее, с помощью утилиты Caterra, поставляемой с Cloud Advisor) можно встраиваться в процессы CI/CD и сканировать конфигурации разворачиваемых ресурсов. Когда DevOps-инженер коммитит изменения, Caterra сканирует сформированные файлы Terraform. И если содержащиеся в них конфигурации признаются небезопасными, то разворачивание отменяется. К сожалению, эта возможность доступна пока только для Яндекс.Облака.

10. Отчетность, уведомления и внешние интеграции

Если вы внимательно смотрели на скриншоты в предыдущих разделах, то могли заметить, что результаты сканирований отображаются в пункте меню «Отчеты» – правда, фактически, это интерактивная кликабельная аналитика по обнаруженным проблемам. Но отчеты в привычном понимании – выгружаемые документы – в Cloud Advisor тоже есть. Для каждого раздела проверок можно выгрузить результаты в CSV. А в разделе «Соответствие требованиям» для каждого стандарта доступна выгрузка PDF-отчета с настраиваемой полнотой информации.

Чтобы получать информацию о обнаруженных нарушениях как можно быстрее, можно настроить отправку уведомлений по следующим каналам:

• Email,
• Telegram,
• Slack,
• Mattermost,
• Webhook,
• Jira Cloud,
• SIEM (syslog в формате CEF).

А с помощью API внешние системы могут получать из Cloud Advisor информацию о любых ресурсах в облаке (например ВМ, контейнерах, пользователях, группах безопасности и так далее) и рисках безопасности (сработавшие правила, найденные уязвимости).

Пользователи и ролевая модель

В Cloud Advisor можно назначить пользователю две роли:

• Наблюдатель – роль только для чтения, может менять лишь настройки своих личных уведомлений.
• Администратор – роль для внесения изменений.

Отдельно стоит роль «Владелец» – она назначается единственному пользователю при создании аккаунта организации и не может быть переназначена.

Для упрощения управления доступом Cloud Advisor наряду с локальными пользователями поддерживает SSO-аутентификацию через системы Active Directory, Google Workspace, Keycloak. После первого входа через SSO пользователь по умолчанию получает роль Наблюдатель.

Кроме того, Cloud Advisor предоставляет функциональность проектов, позволяя группировать ресурсы и пользователей по отдельным проектам, с индивидуальным назначением ролей в каждом проекте.

Лицензионная политика и сертификаты

Лицензирование Cloud Advisor осуществляется на основе количества сканируемых активов. Актив – это виртуальная машина, хост управляемых сервисов, хост базы данных или нода Kubernetes. Доступны два типа лицензий:

• Стандартная (проверки конфигурации на уровне облака, соответствия требованиям, оптимизация расходов, инвентаризация);
• Продвинутая (к стандартным возможностям добавляются проверки конфигурации ВМ, Kubernetes, антивирус, поиск уязвимостей, секретов и управление обновлениями).

Cloud Advisor внесен в Реестр российского ПО (запись № 14413 от 08.08.2022).

Заключение

Cloud Advisor становится незаменимым инструментом в эпоху активного перехода на облачные технологии, когда компании стремятся обеспечить защиту данных. Возможность из одной консоли контролировать управление уязвимостями, конфигурацию облака, защиту виртуальных машин и контейнеров сильно упрощает анализ рисков и снижает вероятность того, что важный сервис на одной из платформ останется без внимания. Решение использует запатентованный безагентный подход, обеспечивающий полное покрытие виртуальных машин и контейнеров сразу после развертывания, не влияя на их производительность и снижая затраты на эксплуатацию.

Cloud Advisor автоматически проводит аудит конфигурации облака, виртуальных машин и контейнеров и понимает риски, специфичные для облачных сред. Благодаря возможности проверки соответствия нормативным требованиям и лучшим практикам, Cloud Advisor помогает организациям не только повысить уровень информационной безопасности, но и обеспечить стабильность бизнес-процессов. Таким образом, применение решения способствует более осознанному и безопасному использованию облачных технологий, что является важным фактором для успешной цифровой трансформации российских компаний.

На сайте продукта можно оставить заявку на 14-дневный бесплатный полнофункциональный пилот, в рамках которого Cloud Advisor осуществит проверку облачной инфраструктуры и предоставит отчеты о рисках безопасности и возможностям по оптимизации расходов.

Реклама. ООО «КЛАУДЭДВАЙЗОР», ИНН: 7802709316, Erid: 2SDnjc4ihue