A MetaDefender Cloud
MetaDefender Cloud az OPSWATfelhőalapú, fejlett fenyegetésmegelőzési és rosszindulatú programok elemzési platformja. A Deep CDR egyedülálló kombinációja a több mint 20 legjobb AV-motor többszöri átvizsgálásával kombinálva megvédi a szervezeteket a nulladik napi támadásoktól és az egyre kifinomultabb rosszindulatú programoktól. MetaDefender Cloudaz OPSWATvilágszínvonalú threat intelligence adatbázisát használó valós idejű hash-, IP- és domain-elemzéssel kombinált homokozója segíti a rosszindulatú programok kutatóit, és mélyreható képet nyújt a meglévő és potenciális fenyegetésekről.
A MetaDefender Cloud platform jelenleg több mint 5 millió vizsgálati kérést támogat naponta ügyfeleinktől, miközben az átlagos vizsgálati idő 0,4 másodperc.
Miért fejlesztettük ki a MetaDefender mint szolgáltatást (MDaaS)?
A piaci igényeknek való megfelelés és ügyfeleink jobb támogatása érdekében
Biztosítani akartuk, hogy a MetaDefender Cloud képes legyen a változó követelményeknek és a fejlett alkalmazásbiztonsági szolgáltatások iránti növekvő igénynek megfelelni, valamint a DevOps Security növekvő komplexitásának, ahogy egyre több alkalmazás költözik a felhőbe. A fájlforgalom növekedésével szükségszerű volt, hogy a MetaDefender Cloud fenntartsa és javítsa teljesítményét, hogy zökkenőmentes felhasználói élményt biztosítson végfelhasználóink számára.
A nyomon követés és a prediktív méretezés javítása
Úgy döntöttünk, hogy a helyhez kötött architektúránkat áttelepítjük a mikroszolgáltatásokon alapuló felhő-natív Kubernetesre, infrastruktúra mint kóddal, hogy a jelenlegi telepítési és felügyeleti modellhez képest zökkenőmentes és konzisztens élményt tudjunk nyújtani.
MetaDefender Szolgáltatásként architektúra
Az MDaaS-re való áttérés során a Multiscanning szolgáltatásainkat a Windows-alapú AMI oldalról egy Kubernetes-alapú fürtre helyeztük át. A rendszergazdák most már motoronként konfigurálhatják a skálázhatóságot. Mivel a motorok teljesítménye eltérő, a lassabb motor(ok) felskálázható(ak) a gyors keresési idők fenntartása érdekében.
A fájlfeldolgozás folyamata most a következő:
1. Egy külső kérő üzenetet küld egy "request" Kafka-témának (1), amely olyan kérési utasításokat tartalmaz, mint például egy fájl átvizsgálása az AV1, AV2 stb. segítségével, szanálása a Deep CDR segítségével, és elemzése a Sandbox segítségével stb.
2. Ezt követően egy Lambda extractor (2), amely feliratkozik az üzenetek fogadására, a kérést több különböző parancsra bontja, és elküldi őket egy másik Kafka-témába (3), ahol azokat osztályozzák és hozzárendelik a megfelelő motor(ok)hoz. (4)
3. A motorfeldolgozás (4) a rendszer szíve. Több motor konténert tartalmaz, az Amazon Elastic Kubernetes Service (EKS) szolgáltatáson fut, és képes a munkaterhelés függvényében skálázódni vagy skálázódni. Minden egyes motor egy adott kérést kezel, amely növeli a feldolgozási teljesítményt.
4. A folyamat során egy S3 vödröt (5) is használunk a bemeneti és kimeneti fájlok tárolására.
5. Ezzel egyidejűleg egy rendelkezésre álló naplófeldolgozó modul (6) fogadja a naplót a motoroktól, és továbbítja azt egy naplóelemző rendszerhez.
6. A fájlfeldolgozás után az egyes motorokból származó eredményt visszaküldjük az "eredmények" Kafka-témába (7).
7. Ezt követően egy AWS Lambda-t használó mikroszolgáltatás-aggregátor (8) összevonja az eredményeket egy jelentéssé, és elküldi egy Kafka-témába (9), amely visszakerül a kérvényezőhöz.
Technikai kihívások és megoldások
A motor viselkedésének előrejelzése és a rendellenességek kezelése
A hagyományos MD Core AMI telepítés lehetővé teszi, hogy a motorok egy nagy teljesítményű számítógépen fussanak, ahol megoszthatják egymással az erőforrásokat (CPU, RAM, lemez, hálózat stb.). A mikroszolgáltatási architektúra esetén azonban minden motor külön-külön működik egy kisebb teljesítményű konténerben. Így ebben az esetben nehéz volt meghatározni a rendszer erőforrásigényét.
Ennek a problémának a megoldására a régi rendszer korábbi adatait használtuk fel, hogy minden motor számára beállítsunk egy alapszintet, és hozzáadtuk a Datadog-figyelést. Folyamatosan figyelemmel kísértük a motorok viselkedését, és addig finomhangoltuk az infrastruktúrát, amíg a termék el nem érte a kiváló teljesítményt.
A teljesítmény és a tárhelyköltségek közötti egyensúly fenntartása
Az új architektúrával a MetaDefender Cloud könnyen skálázható, hogy alkalmazkodjon ügyfeleink korlátlan igényeihez és optimális szinten teljesítsen. Ez azonban azt is jelentette, hogy a karbantartási költségek arányosan megugorhattak. A kiadások ellenőrzése vagy irányítási modellek nélkül a skálázás ellenőrizhetetlen lehetett, ami a felhőszolgáltatás számláinak növekedéséhez vezetett, messze túl az eredetileg elkülönített költségvetésen.
Ezért gyakori építészeti felülvizsgálatokat végeztek az érdekelt felekkel, hogy biztosítsák a stabil és kiegyensúlyozott költségekkel kapcsolatos következetes tapasztalatokat.
Környezeti szimuláció
A termelési terhelés szimulálása egy nem termelési környezetbe valós adatok nélkül kihívást jelent. Ennek kezelésére párhuzamos munkafolyamatokat állítottunk be, hogy a valós adatok mind a régi, mind az új architektúrán áthaladjanak, lehetővé téve, hogy egymás mellett értékeljük a két architektúra kulcsfontosságú mutatóit. Ez az összehasonlítás lehetővé tette számunkra, hogy gyorsan és hatékonyan azonosítsuk azokat a területeket, ahol az új architektúra jobb volt a réginél, valamint azokat, ahol az új architektúrán javítani kellett.
Monitoring, jelentéstétel és ellenőrzés
Valós idejű felhőinfrastruktúra-felügyelet
MetaDefender Cloud nagy hangsúlyt fektet arra, hogy rendszereibe robusztus felügyeletet építsen be, hogy világos képet adjon a rendszer állapotáról. Egy olyan szolgáltatás esetében, mint az MDaaS, amely - több mint 44 kérést kezel másodpercenként (RPS) 0,6%-os hibaarány mellett, számos upstream rendszerre és partner ökoszisztémára támaszkodik, mint forgalmi forrásra, és egyidejűleg nagy forgalmat generál különböző belső és külső downstream rendszerek számára, fontos, hogy a metrikák, riasztások és naplózás erős kombinációja álljon rendelkezésre.
Figyelmeztetések a magas abnormális forgalmú környezetekre a Datadog-ban
A szabványos rendszerállapot-mérőszámok, mint például a CPU, a memória és a teljesítmény mellett számos "szolgáltatási perem" mérőszámot is hozzáadtunk, mint például a sorban állás növekedése, a szolgáltatás válaszideje, a státusz-torta és a naplózás, hogy a feljebb vagy lejjebb lévő rendszerekből származó bármilyen eltérést rögzítsünk. Továbbá trendelemzéssel egészítettük ki a fontos mérőszámokat, hogy segítsük a hosszabb távú romlások felismerését. Az MDaaS-t a Datadog nevű valós idejű stream-feldolgozó alkalmazással instrumentáltuk ( itt tudhat meg többet róla). Ez lehetővé tette számunkra az események valós idejű nyomon követését a vezetéken keresztül, konténerspecifikus granularitással, ami megkönnyítette a hibakeresést. Végül hasznosnak találtuk a szolgáltatásspecifikus riasztásokat, hogy gyorsabban azonosítani tudjuk a problémák kiváltó okait.
Események létrehozása a Datadogban a webhely megbízhatósági mérnökök figyelmét igénylő kivételekkel kapcsolatban
A Datadog platformmal történő SaaS felügyelet lehetővé teszi a csapatok számára, hogy gyorsabban és könnyebben beinduljanak, és nincs szükség folyamatos eszközkarbantartásra, kapacitásskálázásra, frissítésre vagy menedzsmentre. Ezek az előnyök azt jelentik, hogy a csapatoknak több idejük marad az alaptermékkel való foglalkozásra, és nem kell saját maguknak létrehozniuk egy felügyeleti megoldást.
Eredmények
- Az MDaaS-re való áttéréssel a motor mikroszolgáltatás rugalmasabbá vált, így segíthet a FedRAMP mérsékelt alapszintű biztonsági ellenőrzési követelményeinek teljesítésében.
- Az alkalmazások teljesítményének felügyelete mostantól valós idejű riasztásokkal és műszerfalakkal bővül. Az új mikroszolgáltatási architektúra lehetővé teszi a rendszergazdák számára, hogy egyszerűen és hatékonyan felügyeljék az alkalmazást és az egyes komponenseket. Emellett megkönnyíti az egyszerű telepítést és a skálázhatóságot is.
- Amennyiben az infrastruktúra kódként van definiálva, lehetővé teszi a felhasználók számára, hogy könnyen szerkesszék és terjesszék a konfigurációkat, miközben biztosítják az infrastruktúra kívánt állapotát. Ez azt jelenti, hogy reprodukálható infrastruktúra-konfigurációkat hozhat létre.
Tudjon meg többet MetaDefender Cloud vagy lépjen kapcsolatba velünk további információkért.
