Architecture de référence – Intégration de Varonis avec ANQ

Qumulo et Varonis se sont associés pour fournir une solution de bout en bout qui protège les clients Qumulo contre les attaques de ransomware contre les charges de travail des PME dans les environnements cloud et sur site. Cet article décrit une solution en temps réel pour détecter et répondre aux logiciels malveillants et aux accès non autorisés aux données sur un déploiement Azure Native Qumulo Scalable File Service (ANQ), en utilisant Varonis SaaS pour fournir une défense de sécurité robuste contre les acteurs malveillants.

Architecture

Les journaux d'audit d'un cluster Azure Native Qumulo suivent les actions pilotées par l'utilisateur telles que l'accès et la modification des fichiers, le partage de données et la gestion des autorisations, ainsi que les modifications de la configuration du système.

Dans cette solution, les journaux d'audit Qumulo sont diffusés vers une instance Varonis basée sur Azure, où ils sont analysés à l'aide d'algorithmes de reconnaissance de formes propriétaires pour détecter toute activité anormale. La solution combinée fonctionne sur trois dimensions clés pour protéger contre les tentatives d'injection de ransomwares et de malwares par des acteurs malveillants : prévention via le renforcement des autorisations et l'analyse continue, détection des activités anormales à travers les couches de stockage et de données, et récupération des données en cas de succès. attaque.

Architecture de solution

Télécharger un Fichier visio de cette architecture.

Process Flow

Comme indiqué ci-dessus, le processus d'intégration implique que le cluster Qumulo envoie des journaux d'audit au Qumulo Broker, qui convertit les journaux au format nécessaire et les transmet au Varonis Collector. Le courtier Qumulo fournit également un service API pour le trafic de messages RabbitMQ, qui est le service qui transmet les événements au collecteur Varonis.

Le collecteur Varonis se connecte à ANQ, analyse les dossiers, classe le contenu des fichiers et extrait les événements d'accès. Les métadonnées extraites (autorisations de dossiers et de fichiers, étiquettes de classification et événements d'accès) sont téléchargées sur le cloud Varonis Data Security Platform.

Cette architecture se concentre sur la protection contre les ransomwares et les malwares à travers trois dimensions principales :

La prévention: La plateforme de sécurité des données Varonis joue un rôle crucial dans la prévention des ransomwares en surveillant en permanence les journaux d'audit envoyés du cluster Qumulo à l'application Varonis SaaS. Varonis analyse ces journaux pour comprendre les autorisations des utilisateurs et évaluer les niveaux d'accès. Il recommande de supprimer les autorisations inutilisées et alerte les administrateurs si des modifications d'autorisation suspectes ou anormales sont détectées. Les utilisateurs peuvent ensuite prendre des mesures correctives au sein de l'application Varonis SaaS.
Détection: Varonis utilise des renseignements sur les menaces, notamment des flux de menaces et des listes noires, pour identifier les ransomwares et les modèles d'attaque connus. L'apprentissage automatique est appliqué aux journaux d'audit Qumulo pour les méthodes d'attaque nouvelles ou inédites afin de détecter un comportement inhabituel pouvant indiquer une activité malveillante. Cela inclut la surveillance des changements dans l'activité des fichiers, les autorisations d'accès et les modèles d'accès, déclenchant des alertes lorsque des anomalies sont détectées.

Récupération: En cas d'attaque, il est crucial de mettre en place un plan de rétablissement. Qumulo permet aux administrateurs de créer des politiques d'instantanés qui conservent plusieurs copies de données au fil du temps. Même si un attaquant obtient des autorisations élevées et tente de chiffrer les données, le verrouillage des instantanés de Qumulo l'empêche de supprimer ou de chiffrer les instantanés existants. Cette approche isole l'attaque, permettant aux administrateurs de revenir à des données non compromises et de reprendre les opérations normales si nécessaire.

Composants

Avantages de la solution

L'intégration de Qumulo et Varonis SaaS offre plusieurs avantages aux organisations, notamment :

Sécurité complète des données : Le SaaS Varonis fournit des fonctionnalités avancées de détection des menaces, de classification des données et de contrôle d'accès qui complètent les capacités de protection des données d'ANQ. Cette intégration garantit que les données sont protégées à tout moment et que toutes les menaces potentielles sont détectées et atténuées rapidement.
Gestion des données améliorée : Grâce aux analyses en temps réel de Qumulo et aux fonctionnalités de classification des données de Varonis, les organisations peuvent avoir une meilleure visibilité et un meilleur contrôle sur leurs données. Ils peuvent identifier les données sensibles, suivre leur utilisation et les gérer plus efficacement.
Préparation à la conformité : Les fonctionnalités de conformité de Varonis permettent aux organisations de se conformer à diverses réglementations en matière de protection des données telles que le RGPD, le CCPA et la HIPAA. L'intégration avec Qumulo garantit que les données sont stockées et gérées de manière conforme.

Cas d'utilisation potentiels

Gestion du contrôle d'accès : Varonis SaaS offre des fonctionnalités de contrôle d'accès granulaires, permettant aux administrateurs de gérer l'accès des utilisateurs en fonction de leurs rôles et responsabilités. Cela complète la prise en charge de Qumulo pour plusieurs protocoles, garantissant que les données ne sont accessibles qu'aux utilisateurs autorisés.

Varonis utilise des techniques avancées telles que la correspondance de proximité, les mots clés négatifs et la vérification algorithmique pour identifier les données sensibles dans les partages de fichiers Qumulo. Cela va au-delà des expressions régulières et fournit des résultats de haute précision.

Détection des menaces et gestion des risques : Varonis utilise des modèles de menaces basés sur le comportement pour identifier les activités anormales de données en temps réel, empêchant ainsi de manière proactive les violations de données.

Varonis propose des tableaux de bord personnalisables qui offrent une vue en temps réel de l'état de sécurité de vos données. Les utilisateurs peuvent explorer des utilisateurs ou des groupes spécifiques pour voir leurs autorisations d'accès aux données et leurs activités, ce qui permet de gérer et d'atténuer efficacement les risques.

Considérations

L'intégration d'ANQ avec Varonis offre aux organisations une solution complète de protection et de gestion des données. Il offre des fonctionnalités avancées de détection des menaces, de classification des données et de contrôle d'accès complétant les capacités de protection des données de Qumulo. Cette intégration garantit que les données sont protégées, gérées efficacement et conformes aux diverses réglementations en matière de protection des données.

Évolutivité et performances

La couche middleware Qumulo Broker est cruciale pour l'intégration d'ANQ avec Varonis, et elle a été construite sur les capacités standard du service Rsyslog et Docker. Vous pouvez utiliser votre distribution Linux préférée pour cette intégration. Les journaux d'audit sont stockés dans la mémoire de l'ordinateur pour une conversion rapide, et Rsyslog peut augmenter automatiquement le nombre de threads en fonction des numéros de journal de réception.

Sa conception par défaut lui permet de traiter facilement de lourdes charges de travail provenant d'un ou plusieurs services ANQ. Cependant, s'il existe un goulot d'étranglement concernant ses performances, la première approche devrait être d'augmenter les ressources CPU et mémoire de la machine Qumulo Broker.

Le SaaS Varonis est par nature une plate-forme de sécurité des données évolutive. Il peut évoluer en fonction des besoins en performances et en capacité.

Sécurité

Le service de fichiers évolutif natif Azure Qumulo se connecte à votre environnement Azure à l’aide de l’injection de réseau virtuel, qui est entièrement routable, sécurisée et visible uniquement par vos ressources. Aucune coordination de l'espace IP entre votre environnement et le cluster ANQ n'est requise.

Le verrouillage des instantanés de Qumulo empêche la modification des instantanés existants. Cette fonctionnalité permet aux administrateurs de stockage d'isoler et de contenir une attaque, leur permettant ainsi de revenir aux données non affectées pour les opérations normales.

Qumulo est conforme à plusieurs cadres et protocoles de sécurité standard, notamment HIPAA, SOC 2 Type II et FIPS 140-2 Level 1. Pour plus d'informations, voir Posture de conformité de Qumulo dans le Guide de l'administrateur Qumulo Core.

Disponibilité

La solution comporte différents composants qui peuvent être considérés individuellement et fournissent des scénarios de disponibilité en fonction des politiques métiers. Pour une discussion plus approfondie, veuillez contacter vos représentants Qumulo ou Varonis.