Поделиться
Виртуализация несет новые ИБ-угрозы
Переход на виртуальные инфраструктуры сегодня является одной из ключевых тенденций ИТ-рынка. Это дает множество новых возможностей и обеспечивает существенное сокращение расходов. Однако виртуальная среда несет и новые угрозы информационной безопасности, которые пока практически не учитываются. Гибкость виртуальных инфраструктур делает доступ злоумышленников к информационным системам гораздо более легким. Поэтому необходим комплексный подход к их защите с применением средств, разработанных именно для виртуальных сред.Интересна также особенность работы виртуальных машин с дисковой подсистемой, где тоже существует множество уязвимых мест. Например, вновь создаваемые виртуальные машины с определенным типом дисков в общем хранилище могут получить доступ к информации систем, которые ранее использовали данный раздел СХД. В таком случае следует использовать виртуальные диски, которые при создании удаляют старое содержимое блоков хранилища.
Также потенциально опасна технология дисков виртуальных машин, которые увеличиваются по мере заполнения их данными (так называемые "тонкие" диски). Платформы виртуализации позволяют с помощью "тонких" дисков существенно экономить пространство хранилища, однако отсутствие контроля их роста может привести к полному заполнению раздела, что приведет к отказу в обслуживании сразу всех виртуальных машин в виртуальном хранилище, которым требуется увеличение дисков.
Гибкость ВМ позволяет легко их создавать, клонировать и удалять, чем также может воспользоваться злоумышленник. Поэтому необходимо внимательно следить за жизненным циклом систем в виртуальной инфраструктуре и понимать отличие виртуальных систем от физических.
Средства управления виртуальной инфраструктурой
Сервер управления – весьма опасный компонент виртуальной инфраструктуры. Злоумышленник, получивший контроль над средствами управления, получает полный доступ ко всем виртуальным машинам, серверам виртуализации, сетям хостов и хранилищам данных. Поэтому необходимо как тщательно защищать сам сервер управления, так и уделять внимание средствам аутентификации и разграничения прав доступа, для чего имеет смысл использовать дополнительное ПО, разработанное специально для виртуальных инфраструктур. Неплохо было бы, если бы такое ПО соответствовало требованиям ФСТЭК. Помимо этого, в виртуальной инфраструктуре доступ к серверу виртуализации должен осуществляться по безопасному протоколу (например, SSL), а доступ администраторов должен быть ограничен по IP-адресам. Важно также, чтобы сеть управления виртуальной инфраструктурой и сеть производственной среды виртуальных машин были разделены физически или логически (сети VLAN) во избежание несанкционированного вмешательства пользователей в средства управления.
Распределенные службы ("горячая" миграция, отказоустойчивость и т.п.) также создают потенциальные угрозы информационной безопасности в виртуальных инфраструктурах. Например, при перемещении ВМ между хост-серверами без простоя трафик, идущий между ними, зачастую не шифруется и может быть перехвачен и проанализирован злоумышленником.
Использование средств для автоматизации развертывания виртуальных машин тоже имеет нюансы. С одной стороны, применение шаблонов ВМ позволяет поддерживать заданный уровень безопасности внутри лишь одного шаблона и развертывать новые виртуальные системы из него с гарантированным уровнем обновлений и требуемой конфигурацией. С другой же стороны, вредоносное ПО, внедренное злоумышленником в шаблон, будет распространяться самостоятельно. Особенно это касается технологии виртуальных ПК (VDI, Virtual Desktop Infrastructure), где новые системы очень часто создаются из одного базового образа. Поэтому в виртуальных средах нужно уделять особое внимание антивирусной защите гостевых операционных систем.
Специализированные средства защиты
На данный момент на ранке представлено несколько специализированных систем защиты виртуальной инфраструктуры, которые можно разделить на следующие классы. Программные продукты для анализа трафика и предотвращения вторжений, разработанные специально для виртуальной среды (vShield Zones от VMware, VMC от компании Reflex, несколько решений от Trend Micro). ПО для разграничения прав доступа в виртуальной инфраструктуре (HyTrust от одноименной компании, vGate от российского предприятия "Код Безопасности"). И продукты для проведения аудита виртуальной среды на предмет наличия ошибок в конфигурации безопасности (решения vWire, VMinformer от одноименной компании, ESX Compliance Checker от EMC и т.п.).
Все эти продукты позволяют повысить безопасность виртуальных инфраструктур, однако ни один из них не обеспечивает полной защиты виртуальной среды. Поэтому в компании необходимо выработать и стандартизовать подход к обеспечению ИБ в виде регламентов и стандартов, обязательно учитывая рекомендации производителя платформы виртуализации (такие есть, например, у VMware под названием Security Hardening Guide). Ведь именно технологические особенности платформы определяют необходимые меры по обеспечению безопасности.
Комплексный подход
Несмотря на то, что производители платформ виртуализации заявляют о высоком уровне безопасности, а их продукты имеют ИБ-сертификаты международных компаний, виртуальная инфраструктура требует особого подхода к защите ее компонентов. Безусловно, для защиты операционной системы и приложений стоит использовать классический подход (антивирусы, сетевые экраны и прочее), однако для таких объектов, как гипервизор, виртуальная машина и средства управления, необходима стандартизация мер по обеспечению ИБ с помощью как организационных, так и технических средств.
С организационной точки зрения нужно обеспечить регламентирование процедур аутентификации, эксплуатации и жизненного цикла систем, а с технической – выработать наиболее правильную конфигурацию виртуальной инфраструктуры с использованием, в том числе, специализированных средств и поддерживать ее в актуальном состоянии. Также необходимо проводить регулярный аудит виртуальной инфраструктуры на предмет соответствия корпоративным стандартам ИБ, желательно с привлечением внешнего поставщика услуг.
Короткая ссылка
