Azure Native Qumulo ahora disponible en la UE, el Reino Unido y Canadá: Más información

Índice del contenido

Arquitectura

  • Arquitectura de soluciones
  • Process Flow
  • Componentes

Beneficios de la solución

  • Casos de uso potencial

Consideraciones

  • Escalabilidad y rendimiento
  • Seguridad
  • Disponibilidad
Implementar este escenario
Colaboradores
Próximos pasos
Recursos Relacionados

Arquitectura de referencia: integración de Varonis con ANQ

Qumulo y Varonis se han asociado para proporcionar una solución de extremo a extremo que protege a los clientes de Qumulo de ataques de ransomware contra cargas de trabajo de PYMES en entornos locales y en la nube. Este artículo describe una solución en tiempo real para detectar y responder a malware y acceso no autorizado a datos en una implementación de Azure Native Qumulo Scalable File Service (ANQ), utilizando Varonis SaaS para proporcionar una sólida defensa de seguridad contra los malos actores.  

Arquitectura

Los registros de auditoría de un clúster Azure Native Qumulo rastrean las acciones impulsadas por el usuario, como el acceso y la modificación de archivos, el intercambio de datos y la administración de permisos, y los cambios en la configuración del sistema.

En esta solución, los registros de auditoría de Qumulo se transmiten a una instancia de Varonis basada en Azure, donde se analizan utilizando algoritmos de reconocimiento de patrones patentados para detectar actividad anómala. La solución combinada opera en tres dimensiones clave para proteger contra los intentos de los delincuentes de inyectar ransomware y malware: prevención mediante el refuerzo de permisos y análisis continuo, detección de actividad anómala en las capas de almacenamiento y datos, y recuperación de datos en caso de una solución exitosa. ataque.

Arquitectura de soluciones

Process Flow

Como se muestra arriba, el proceso de integración implica que el clúster Qumulo envíe registros de auditoría al Qumulo Broker, quien convierte los registros al formato necesario y los reenvía al Varonis Collector. Qumulo Broker también proporciona un servicio API para el tráfico de mensajes RabbitMQ, que es el servicio que reenvía los eventos a Varonis Collector.

El recopilador Varonis se conecta a ANQ, escanea carpetas, clasifica el contenido de los archivos y extrae eventos de acceso. Los metadatos extraídos (permisos de carpetas y archivos, etiquetas de clasificación y eventos de acceso) se cargan en la nube de Varonis Data Security Platform.

Esta arquitectura se centra en la protección contra ransomware y malware a través de tres dimensiones principales:

  • Prevención: La plataforma Varonis Data Security desempeña un papel crucial en la prevención de ransomware al monitorear continuamente los registros de auditoría enviados desde el clúster Qumulo a la aplicación Varonis SaaS. Varonis analiza estos registros para comprender los permisos de los usuarios y evaluar los niveles de acceso. Recomienda eliminar los permisos no utilizados y alerta a los administradores si se detectan cambios de permisos sospechosos o anómalos. Luego, los usuarios pueden tomar acciones correctivas dentro de la aplicación Varonis SaaS.
  • Detección: Varonis emplea inteligencia sobre amenazas, incluidas fuentes de amenazas y listas negras, para identificar ransomware y patrones de ataque conocidos. El aprendizaje automático se aplica a los registros de auditoría de Qumulo en busca de métodos de ataque nuevos o novedosos para detectar comportamientos inusuales que puedan indicar actividad maliciosa. Esto incluye monitorear los cambios en la actividad de los archivos, los permisos de acceso y los patrones de acceso, activando alertas cuando se detectan anomalías.

Recuperación: En caso de un ataque, es fundamental contar con un plan de recuperación. Qumulo permite a los administradores crear políticas instantáneas que retienen múltiples copias de datos a lo largo del tiempo. Incluso si un atacante obtiene permisos elevados e intenta cifrar datos, el bloqueo de instantáneas de Qumulo le impide eliminar o cifrar instantáneas existentes. Este enfoque aísla el ataque, lo que permite a los administradores volver a datos no comprometidos y reanudar las operaciones normales cuando sea necesario.

Componentes

Beneficios de la solución

La integración de Qumulo y Varonis SaaS ofrece varios beneficios a las organizaciones, que incluyen:

  • Seguridad integral de los datos: Varonis SaaS proporciona funciones avanzadas de detección de amenazas, clasificación de datos y control de acceso que complementan las capacidades de protección de datos de ANQ. Esta integración garantiza que los datos estén protegidos en todo momento y que cualquier amenaza potencial se detecte y mitigue rápidamente.
  • Gestión de datos mejorada: Con el análisis en tiempo real de Qumulo y las funciones de clasificación de datos de Varonis, las organizaciones pueden tener una mejor visibilidad y control sobre sus datos. Pueden identificar datos confidenciales, rastrear su uso y administrarlos de manera más eficiente.
  • Preparación para el cumplimiento: Las funciones de cumplimiento de Varonis permiten a las organizaciones cumplir con diversas regulaciones de protección de datos, como GDPR, CCPA e HIPAA. La integración con Qumulo garantiza que los datos se almacenen y administren de manera compatible.

Posibles casos de uso

  • Gestión de control de acceso: Varonis SaaS proporciona capacidades de control de acceso granular, lo que permite a los administradores gestionar el acceso de los usuarios en función de sus funciones y responsabilidades. Esto complementa el soporte de Qumulo para múltiples protocolos, asegurando que solo los usuarios autorizados puedan acceder a los datos.

Varonis emplea técnicas avanzadas como coincidencia de proximidad, palabras clave negativas y verificación algorítmica para identificar datos confidenciales dentro de los archivos compartidos de Qumulo. Esto va más allá de las expresiones regulares y proporciona resultados de alta precisión.

  • Detección de amenazas y gestión de riesgos: Varonis emplea modelos de amenazas basados ​​en el comportamiento para identificar actividades anormales en los datos en tiempo real, previniendo de forma proactiva las violaciones de datos.

Varonis ofrece paneles personalizables que brindan una vista en tiempo real del estado de seguridad de sus datos. Los usuarios pueden profundizar en usuarios o grupos específicos para ver sus permisos y actividades de acceso a datos, lo que ayuda a gestionar y mitigar los riesgos de forma eficaz.

Consideraciones

La integración de ANQ con Varonis proporciona a las organizaciones una solución integral de gestión y protección de datos. Ofrece funciones avanzadas de detección de amenazas, clasificación de datos y control de acceso que complementan las capacidades de protección de datos de Qumulo. Esta integración garantiza que los datos estén protegidos, administrados de manera eficiente y cumplan con diversas regulaciones de protección de datos.

Escalabilidad y rendimiento

La capa de middleware Qumulo Broker es crucial para integrar ANQ con Varonis y se creó sobre las capacidades del servicio estándar Rsyslog y Docker. Puede utilizar su distribución de Linux preferida para esta integración. Los registros de auditoría se almacenan en la memoria de la computadora para una conversión rápida y Rsyslog puede aumentar la cantidad de subprocesos automáticamente de acuerdo con los números de registro de recepción.

Su diseño predeterminado le permite procesar fácilmente cargas de trabajo pesadas de uno o más servicios ANQ. Sin embargo, si hay un cuello de botella con respecto a su rendimiento, el primer enfoque debería ser aumentar los recursos de CPU y memoria de la máquina Qumulo Broker. 

Varonis SaaS es una plataforma de seguridad de datos escalable por naturaleza. Puede escalar según las necesidades de rendimiento y capacidad.

Seguridad

El servicio de archivos escalable Qumulo nativo de Azure se conecta a su entorno de Azure mediante inyección de VNet, que es completamente enrutable, seguro y visible solo para sus recursos. No se requiere coordinación del espacio IP entre su entorno y el clúster ANQ.

El bloqueo de instantáneas de Qumulo evita la modificación de instantáneas existentes. Esta capacidad permite a los administradores de almacenamiento aislar y contener un ataque, permitiéndoles volver a datos no afectados para operaciones regulares.

Qumulo cumple con múltiples marcos y protocolos de seguridad estándar, incluidos HIPAA, SOC 2 Tipo II y FIPS 140-2 Nivel 1. Para obtener más información, consulte Postura de Cumplimiento de Qumulo en la Guía del administrador de Qumulo Core.

Disponibilidad

La solución cuenta con diferentes componentes que pueden considerarse individualmente y brindar escenarios de disponibilidad de acuerdo a las políticas comerciales. Para obtener más información, comuníquese con sus representantes de Qumulo o Varonis.

Implementar este escenario

Para obtener más información sobre las redes entrantes y salientes, consulte Puertos de red necesarios para Qumulo Core

Colaboradores

Este artículo es mantenido por Qumulo. Fue escrito originalmente por los siguientes colaboradores.

Autores principales:
Berat G. Ulualán | Arquitecto de soluciones en Qumulo

Próximos pasos

Recursos Relacionados

Ir al Inicio