リファレンス アーキテクチャ – Varonis と ANQ の統合
Qumulo と Varonis は提携して、クラウドおよびオンプレミス環境の SMB ワークロードに対するランサムウェア攻撃から Qumulo の顧客を保護するエンドツーエンドのソリューションを提供します。 この記事では、Varonis SaaS を使用して不正行為に対する堅牢なセキュリティ防御を提供し、Azure Native Qumulo Scalable File Service (ANQ) デプロイ上でマルウェアと不正なデータ アクセスを検出して対応するためのリアルタイム ソリューションについて説明します。
アーキテクチャ
Azure ネイティブ Qumulo クラスターの監査ログは、ファイルのアクセスと変更、データ共有とアクセス許可の管理、システム構成の変更などのユーザー主導のアクションを追跡します。
このソリューションでは、Qumulo 監査ログが Azure ベースの Varonis インスタンスにストリーミングされ、そこで独自のパターン認識アルゴリズムを使用して分析され、異常なアクティビティが検出されます。 統合されたソリューションは、ランサムウェアやマルウェアを注入する悪意のある攻撃者の試みから保護するための XNUMX つの主要な側面にわたって機能します。つまり、アクセス許可の強化と継続的な分析による防止、ストレージ層とデータ層にわたる異常なアクティビティの検出、成功した場合のデータの回復です。攻撃。
ソリューションアーキテクチャ
ダウンロード このアーキテクチャの Visio ファイル.
プロセスフロー
上に示したように、統合プロセスでは、Qumulo クラスターが監査ログを Qumulo Broker に送信し、Qumulo Broker がログを必要な形式に変換して Varonis Collector に転送します。 Qumulo Broker は、RabbitMQ メッセージ トラフィック用の API サービスも提供します。これは、イベントを Varonis Collector に転送するサービスです。
Varonis コレクターは ANQ に接続し、フォルダーをスキャンし、ファイルの内容を分類し、アクセス イベントを抽出します。 抽出されたメタデータ (フォルダーとファイルのアクセス許可、分類ラベル、アクセス イベント) は、Varonis Data Security Platform クラウドにアップロードされます。
このアーキテクチャは、次の XNUMX つの主要な側面を通じてランサムウェアとマルウェアから保護することに重点を置いています。
- 防止: Varonis Data Security Platform は、Qumulo クラスターから Varonis SaaS アプリケーションに送信される監査ログを継続的に監視することにより、ランサムウェアの防止において重要な役割を果たします。 Varonis はこれらのログを分析して、ユーザーの権限を理解し、アクセス レベルを評価します。 未使用の権限を削除することを推奨し、不審または異常な権限の変更が検出された場合は管理者に警告します。 その後、ユーザーは Varonis SaaS アプリケーション内で修正措置を講じることができます。
- 検出: Varonis は、脅威フィードやブラックリストなどの脅威インテリジェンスを利用して、既知のランサムウェアと攻撃パターンを特定します。 機械学習は、悪意のあるアクティビティを示す可能性のある異常な動作を検出するための新しい攻撃方法の Qumulo 監査ログに適用されます。 これには、ファイルアクティビティ、アクセス許可、アクセスパターンの変化を監視し、異常が検出されたときにアラートをトリガーすることが含まれます。
回復: 攻撃が発生した場合には、回復計画を立てることが重要です。 Qumulo を使用すると、管理者はデータの複数のコピーを長期にわたって保持するスナップショット ポリシーを作成できます。 攻撃者が昇格されたアクセス許可を取得してデータを暗号化しようとしても、Qumulo のスナップショット ロックにより、既存のスナップショットの削除や暗号化が阻止されます。 このアプローチにより攻撃が隔離され、管理者は必要に応じて侵害されていないデータに戻し、通常の操作を再開できるようになります。
コンポーネント
ソリューションの利点
Qumulo と Varonis SaaS の統合は、組織に次のようないくつかのメリットをもたらします。
- 包括的なデータセキュリティ: Varonis SaaS は、ANQ のデータ保護機能を補完する、高度な脅威検出、データ分類、およびアクセス制御機能を提供します。 この統合により、データが常に保護され、潜在的な脅威が迅速に検出されて軽減されます。
- 改善されたデータ管理: Qumulo のリアルタイム分析と Varonis のデータ分類機能を使用すると、組織はデータの可視性と制御を向上させることができます。 機密データを特定し、その使用状況を追跡し、より効率的に管理できます。
- コンプライアンスの準備: Varonis のコンプライアンス機能により、組織は GDPR、CCPA、HIPAA などのさまざまなデータ保護規制に準拠できます。 Qumulo との統合により、データは準拠した方法で保存および管理されます。
潜在的なユースケース
- アクセス制御管理: Varonis SaaS は、きめ細かいアクセス制御機能を提供し、管理者が自分の役割と責任に基づいてユーザー アクセスを管理できるようにします。 これは Qumulo の複数プロトコルのサポートを補完し、承認されたユーザーのみがデータにアクセスできるようにします。
Varonis は、近接マッチング、除外キーワード、アルゴリズム検証などの高度な技術を採用して、Qumulo ファイル共有内の機密データを識別します。 これは正規表現を超えており、高精度の結果が得られます。
- 脅威の検出とリスク管理: Varonis は、行動ベースの脅威モデルを採用して異常なデータ活動をリアルタイムで特定し、データ侵害をプロアクティブに防止します。
Varonis は、データ セキュリティ ステータスをリアルタイムで表示するカスタマイズ可能なダッシュボードを提供します。 ユーザーは、特定のユーザーまたはグループにドリルダウンしてデータ アクセス権限とアクティビティを確認できるため、リスクを効果的に管理および軽減できます。
考慮事項
ANQ と Varonis の統合により、組織に包括的なデータ保護および管理ソリューションが提供されます。 Qumulo のデータ保護機能を補完する、高度な脅威検出、データ分類、アクセス制御機能を提供します。 この統合により、データが保護され、効率的に管理され、さまざまなデータ保護規制に準拠することが保証されます。
スケーラビリティとパフォーマンス
Qumulo Broker ミドルウェア層は、ANQ と Varonis を統合する上で重要であり、標準の Rsyslog サービス機能と Docker の上に構築されています。 この統合には、好みの Linux ディストリビューションを使用できます。 監査ログは高速変換のためにコンピューターのメモリに保存され、Rsyslog は受信したログの番号に応じてスレッドの数を自動的に増やすことができます。
デフォルトの設計では、XNUMX つ以上の ANQ サービスからの重いワークロードを簡単に処理できます。 ただし、パフォーマンスに関してボトルネックがある場合は、最初のアプローチとして、Qumulo Broker マシンの CPU およびメモリ リソースを増やす必要があります。
Varonis SaaS は、本質的にスケーラブルなデータ セキュリティ プラットフォームです。 パフォーマンスと容量のニーズに応じて拡張できます。
セキュリティ
Azure ネイティブ Qumulo スケーラブル ファイル サービスは、VNet インジェクションを使用して Azure 環境に接続します。これは完全にルーティング可能で安全で、リソースのみに表示されます。 環境と ANQ クラスターの間の IP 空間調整は必要ありません。
Qumulo のスナップショット ロックにより、既存のスナップショットの変更が防止されます。 この機能により、ストレージ管理者は攻撃を隔離して封じ込め、通常の操作では影響を受けていないデータに戻すことができます。
Qumulo は、HIPAA、SOC 2 Type II、FIPS 140-2 Level 1 など、複数の標準セキュリティ フレームワークおよびプロトコルに準拠しています。 詳細については、次を参照してください。 Qumulo のコンプライアンス体制 『Qumulo Core 管理者ガイド』を参照してください。
商品在庫
このソリューションには、個別に検討できるさまざまなコンポーネントがあり、ビジネス ポリシーに応じた可用性シナリオを提供します。 さらに詳しい議論が必要な場合は、Qumulo または Varonis の担当者にお問い合わせください。
このシナリオをデプロイする
- ANQ の展開ガイドについては、次を参照してください。 Azure ネイティブ Qumulo スケーラブル ファイル サービスとデプロイの開始方法
- Qumulo Broker をデプロイするためのガイドについては、次を参照してください。 Qumulo ブローカーと Varonis の統合
- Varonis の展開ガイドについては、次を参照してください。 Qumulo の Varonis 導入ガイド
インバウンドおよびアウトバウンド ネットワーキングの詳細については、次を参照してください。 Qumulo Core に必要なネットワーク ポート
協力者
この記事は Qumulo によって管理されています。 元々は以下の寄稿者によって書かれました。
主な著者:
ベラト・G・ウルアラン | Qumulo のソリューションアーキテクト
次のステップ
関連リソース
Azure ネイティブ Qumulo スケーラブル ファイル サービス (市場)
Azure ネイティブ Qumulo スケーラブル ファイル サービス
Azure ネイティブ Qumulo スケーラブル ファイル サービス ガイド
Varonis SaaS ソリューション
ランサムウェアと戦うには Varonis と Qumulo フェイルオーバーによる包括的なデータ セキュリティ
統合 – Qumulo
Varonis – Qumulo の統合
Qumulo ブローカー GitHub リポジトリ
Varonis を使用してランサムウェアからデータを保護するためのベスト プラクティス (ウェビナー録画)
Qumulo Core でのスナップショットのロックとロック解除