Suchen
Schließen Sie dieses Suchfeld.

Inhaltsverzeichnis

Architektur

  • Lösungsarchitektur
  • Prozessablauf
  • Komponenten

Lösungsvorteile

  • Mögliche Anwendungsfälle

Überlegungen

  • Skalierbarkeit und Leistung
  • Sicherheit
  • Verfügbarkeit
Stellen Sie dieses Szenario bereit
Mitwirkende
Nächste Schritte
Relevante Unterlagen

Referenzarchitektur – Varonis-Integration mit ANQ

Qumulo und Varonis haben sich zusammengetan, um eine End-to-End-Lösung bereitzustellen, die Qumulo-Kunden vor Ransomware-Angriffen auf SMB-Workloads in Cloud- und lokalen Umgebungen schützt. Dieser Artikel beschreibt eine Echtzeitlösung zum Erkennen und Reagieren auf Malware und unbefugten Datenzugriff auf eine Azure Native Qumulo Scalable File Service (ANQ)-Bereitstellung unter Verwendung von Varonis SaaS, um einen robusten Sicherheitsschutz gegen böswillige Akteure bereitzustellen.  

Architektur

Die Überwachungsprotokolle eines Azure Native Qumulo-Clusters verfolgen benutzergesteuerte Aktionen wie Dateizugriff und -änderung, Datenfreigabe und Berechtigungsverwaltung sowie Systemkonfigurationsänderungen.

Bei dieser Lösung werden Qumulo-Überwachungsprotokolle an eine Azure-basierte Varonis-Instanz gestreamt, wo sie mithilfe proprietärer Mustererkennungsalgorithmen analysiert werden, um anomale Aktivitäten zu erkennen. Die kombinierte Lösung arbeitet in drei Schlüsseldimensionen, um vor den Versuchen böswilliger Akteure, Ransomware und Malware einzuschleusen, zu schützen: Prävention durch Berechtigungshärtung und laufende Analyse, Erkennung anomaler Aktivitäten auf der Speicher- und Datenebene und Wiederherstellung von Daten im Erfolgsfall Attacke.

Lösungsarchitektur

Laden Sie ein Visio-Datei dieser Architektur.

Prozessablauf

Wie oben gezeigt, beinhaltet der Integrationsprozess, dass der Qumulo-Cluster Prüfprotokolle an den Qumulo-Broker sendet, der die Protokolle in das erforderliche Format konvertiert und sie an den Varonis Collector weiterleitet. Der Qumulo Broker stellt außerdem einen API-Dienst für den RabbitMQ-Nachrichtenverkehr bereit, bei dem es sich um den Dienst handelt, der die Ereignisse an den Varonis Collector weiterleitet.

Der Varonis-Collector stellt eine Verbindung zu ANQ her, scannt Ordner, klassifiziert Dateiinhalte und extrahiert Zugriffsereignisse. Die extrahierten Metadaten – Ordner- und Dateiberechtigungen, Klassifizierungsbezeichnungen und Zugriffsereignisse – werden in die Cloud der Varonis Data Security Platform hochgeladen.

Diese Architektur konzentriert sich auf den Schutz vor Ransomware und Malware in drei Hauptdimensionen:

  • Verhütung: Die Varonis Data Security Platform spielt eine entscheidende Rolle bei der Ransomware-Prävention, indem sie kontinuierlich Audit-Protokolle überwacht, die vom Qumulo-Cluster an die Varonis SaaS-Anwendung gesendet werden. Varonis analysiert diese Protokolle, um Benutzerberechtigungen zu verstehen und Zugriffsebenen zu bewerten. Es wird empfohlen, ungenutzte Berechtigungen zu entfernen und Administratoren zu warnen, wenn verdächtige oder ungewöhnliche Berechtigungsänderungen festgestellt werden. Benutzer können dann innerhalb der Varonis SaaS-Anwendung Korrekturmaßnahmen ergreifen.
  • Erkennung: Varonis nutzt Bedrohungsinformationen, einschließlich Bedrohungs-Feeds und Blacklists, um bekannte Ransomware- und Angriffsmuster zu identifizieren. Maschinelles Lernen wird auf Qumulo-Prüfprotokolle für neue oder neuartige Angriffsmethoden angewendet, um ungewöhnliches Verhalten zu erkennen, das auf böswillige Aktivitäten hinweisen könnte. Dazu gehört die Überwachung von Änderungen der Dateiaktivität, Zugriffsberechtigungen und Zugriffsmuster sowie das Auslösen von Warnungen, wenn Anomalien erkannt werden.

Wiederherstellung: Im Falle eines Angriffs ist es wichtig, einen Wiederherstellungsplan zu haben. Mit Qumulo können Administratoren Snapshot-Richtlinien erstellen, die mehrere Kopien von Daten über einen längeren Zeitraum hinweg aufbewahren. Selbst wenn ein Angreifer erhöhte Berechtigungen erhält und versucht, Daten zu verschlüsseln, verhindert die Snapshot-Sperre von Qumulo, dass er vorhandene Snapshots löscht oder verschlüsselt. Durch diesen Ansatz wird der Angriff isoliert, sodass Administratoren bei Bedarf auf unverschlüsselte Daten zurückgreifen und den normalen Betrieb wieder aufnehmen können.

Komponenten

Lösungsvorteile

Die Integration von Qumulo und Varonis SaaS bietet Unternehmen mehrere Vorteile, darunter:

  • Umfassende Datensicherheit: Das Varonis SaaS bietet erweiterte Funktionen zur Bedrohungserkennung, Datenklassifizierung und Zugriffskontrolle, die die Datenschutzfunktionen von ANQ ergänzen. Diese Integration stellt sicher, dass die Daten jederzeit geschützt sind und potenzielle Bedrohungen schnell erkannt und entschärft werden.
  • Verbessertes Datenmanagement: Mit den Echtzeitanalysen von Qumulo und den Datenklassifizierungsfunktionen von Varonis können Unternehmen eine bessere Transparenz und Kontrolle über ihre Daten erhalten. Sie können sensible Daten identifizieren, deren Nutzung verfolgen und sie effizienter verwalten.
  • Compliance-Bereitschaft: Die Compliance-Funktionen von Varonis ermöglichen es Unternehmen, verschiedene Datenschutzbestimmungen wie DSGVO, CCPA und HIPAA einzuhalten. Die Integration mit Qumulo stellt sicher, dass Daten konform gespeichert und verwaltet werden.

Mögliche Anwendungsfälle

  • Zugangskontrollverwaltung: Varonis SaaS bietet granulare Zugriffskontrollfunktionen, die es Administratoren ermöglichen, den Benutzerzugriff basierend auf ihren Rollen und Verantwortlichkeiten zu verwalten. Dies ergänzt Qumulos Unterstützung für mehrere Protokolle und stellt sicher, dass Daten nur autorisierten Benutzern zugänglich sind.

Varonis nutzt fortschrittliche Techniken wie Proximity-Matching, negative Schlüsselwörter und algorithmische Überprüfung, um sensible Daten in Qumulo-Dateifreigaben zu identifizieren. Dies geht über reguläre Ausdrücke hinaus und liefert hochpräzise Ergebnisse.

  • Bedrohungserkennung und Risikomanagement: Varonis setzt verhaltensbasierte Bedrohungsmodelle ein, um abnormale Datenaktivitäten in Echtzeit zu erkennen und Datenschutzverletzungen proaktiv zu verhindern.

Varonis bietet anpassbare Dashboards, die eine Echtzeitansicht Ihres Datensicherheitsstatus bieten. Benutzer können einen Drilldown zu bestimmten Benutzern oder Gruppen durchführen, um deren Datenzugriffsberechtigungen und -aktivitäten anzuzeigen und so Risiken effektiv zu verwalten und zu mindern.

Überlegungen

Die Integration von ANQ mit Varonis bietet Unternehmen eine umfassende Datenschutz- und Verwaltungslösung. Es bietet erweiterte Bedrohungserkennung, Datenklassifizierung und Zugriffskontrollfunktionen, die die Datenschutzfunktionen von Qumulo ergänzen. Diese Integration stellt sicher, dass Daten geschützt, effizient verwaltet und den verschiedenen Datenschutzbestimmungen entsprechen.

Skalierbarkeit und Leistung

Die Middleware-Schicht von Qumulo Broker ist für die Integration von ANQ mit Varonis von entscheidender Bedeutung und basiert auf den Standardfunktionen des Rsyslog-Dienstes und Docker. Sie können für diese Integration Ihre bevorzugte Linux-Distribution verwenden. Überwachungsprotokolle werden zur schnellen Konvertierung im Computerspeicher gespeichert, und Rsyslog kann die Anzahl der Threads automatisch entsprechend den empfangenen Protokollnummern erhöhen.

Sein Standarddesign ermöglicht es ihm, große Arbeitslasten von einem oder mehreren ANQ-Diensten problemlos zu verarbeiten. Wenn jedoch ein Leistungsengpass auftritt, sollte der erste Ansatz darin bestehen, die CPU- und Speicherressourcen der Qumulo-Broker-Maschine zu erhöhen. 

Das Varonis SaaS ist von Natur aus eine skalierbare Datensicherheitsplattform. Es kann je nach Leistungs- und Kapazitätsbedarf skaliert werden.

Sicherheit

Der Azure Native Qumulo Scalable File Service stellt über VNet-Injection eine Verbindung zu Ihrer Azure-Umgebung her, die vollständig weiterleitbar, sicher und nur für Ihre Ressourcen sichtbar ist. Es ist keine IP-Raumkoordinierung zwischen Ihrer Umgebung und dem ANQ-Cluster erforderlich.

Die Snapshot-Sperre von Qumulo verhindert Änderungen an vorhandenen Snapshots. Mit dieser Funktion können Speicheradministratoren einen Angriff isolieren und eindämmen, sodass sie für den regulären Betrieb auf nicht betroffene Daten zurückgreifen können.

Qumulo ist mit mehreren Standard-Sicherheitsframeworks und -protokollen kompatibel, darunter HIPAA, SOC 2 Typ II und FIPS 140-2 Level 1. Weitere Informationen finden Sie unter Qumulo-Compliance-Haltung im Qumulo Core-Administratorhandbuch.

Verfügbarkeit

Die Lösung besteht aus verschiedenen Komponenten, die einzeln betrachtet werden können und Verfügbarkeitsszenarien gemäß den Geschäftsrichtlinien bereitstellen. Für weitere Diskussionen wenden Sie sich bitte an Ihren Qumulo- oder Varonis-Vertreter.

Stellen Sie dieses Szenario bereit

Weitere Informationen zu eingehenden und ausgehenden Netzwerken finden Sie unter Erforderliche Netzwerkports für Qumulo Core

Mitwirkende

Dieser Artikel wird von Qumulo gepflegt. Es wurde ursprünglich von den folgenden Mitwirkenden geschrieben.

Hauptautoren:
Berat G. Ulualan | Lösungsarchitekt bei Qumulo

Nächste Schritte

Qumulo-Skala überall

Qumulo-Nexus 

Qumulo Security – Beste Architektur und Best Practices

Qumulo zur Azure-Sicherheitsübersicht

Ähnliche Resourcen

Azure Native Qumulo Scalable File Service (Marktplatz)
Azure Native Qumulo Scalable File Service
Leitfaden zum skalierbaren Dateidienst Azure Native Qumulo
Varonis SaaS-Lösung
Bekämpfen Sie Ransomware mit Umfassende Datensicherheit von Varonis und Qumulo Failover mit 
Integrationen – Qumulo
Varonis – Qumulo-Integration
Qumulo Broker GitHub Repository
Best Practices zum Schutz von Daten vor Ransomware mit Varonis (Webinar-Aufzeichnung)
Sperren und Entsperren von Snapshots in Qumulo Core

Produkte

Anwendungsbeispiele

Industriesektoren

Partner

Loslegen

Folgen Sie uns

Unternehmen

Qumulo-Vertrauen

Unsere größte Veröffentlichung

© Qumulo 2024 Alle Rechte vorbehalten.
Nach oben scrollen