Основные меры по защите виртуальной инфраструктуры (ВИ) складываются как из специфики работы самой виртуальной среды, так и из особенностей обрабатываемой в ней информации. Стандартные подходы для защиты физических сред в данном случае малоприменимы: существует целый ряд специфических угроз, которые необходимо принимать во внимание при построении контура защиты виртуальной инфраструктуры.
Представьте себе ситуацию, когда администратор ВИ имеет доступ и к средствам управления виртуальной машиной (ВМ), и к обрабатываемым ею данным. При этом он может скопировать образ ВМ на какой-либо внешний носитель и вынести его за пределы защищаемого периметра, тем самым получив возможность извлечения любых данных из этого образа. Таким образом, любые конфиденциальные сведения будут скомпрометированы так называемым “суперпользователем”.
Другой опасной ситуацией может стать атака на сервер виртуализации и, соответственно, компрометация всех развернутых на нем ВМ. Уязвимым участком виртуальной инфраструктуры является и обмен между ВМ и хостом. Нередки также ситуации, когда на одном сервере развернуты несколько ВМ с различными уровнями конфиденциальности, в результате чего атака на менее защищенную машину может быть использована в качестве одного из этапов для атаки на ВМ с более высоким уровнем доступа. А ведь отследить взаимодействие между ВМ с помощью стандартного межсетевого экрана попросту невозможно. В целом, если речь идет о защите ВИ, нельзя забывать о защите и более низкого уровня, физического, на котором происходит развертывание системы, так как виртуальная среда воспринимает этот уровень как доверенный. Другими словами, вопросы защиты серверов виртуализации от НСД, сегментация сетевой инфраструктуры и прочие атрибуты ИБ должны быть реализованы заранее, иначе теряется весь смысл защиты виртуализации. Не стоит также сбрасывать со счетов возможные атаки на вспомогательные компоненты ВИ, такие как средства репликации и СХД.
Существует и другая сторона рассматриваемого вопроса — нормативно-правовая, касающаяся регулирования информационной безопасности в сфере виртуализации. В декабре 2012 г. ФСТЭК России опубликовала два проекта приказов: “Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах” и “Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”. Первый документ касается далеко не всех, а вот на второй следует обратить внимание большинству компаний: впервые в нормативно-правовых документах были определены 11 мер по защите среды виртуализации, включающие в себя аутентификацию компонентов, контроль и разграничение доступа, резервное копирование данных, контроль целостности, сегментирование ВИ и т. д. Можно быть уверенным, что в той или иной степени эти меры войдут и в окончательную версию приказа, а это означает последующую необходимость приведения в соответствие с законодательством виртуальных инфраструктур многих компаний с помощью сертифицированных средств защиты.
К сожалению, защита с помощью встроенных возможностей платформы виртуализации, даже будучи сертифицированной, зачастую является либо недостаточной для реализации требуемых мер, либо ее настройка и дальнейшее обслуживание оказываются нетривиальными и ресурсоемкими. Каким образом привести все в соответствие, если встроенных возможностей платформы виртуализации недостаточно? Один из наиболее эффективных вариантов — применить специализированные средства защиты от несанкционированного доступа (НСД) для ВИ. Такие средства защиты не только способны обезопасить среду виртуализации и контролировать ее состояние в будущем, но и, как правило, обладают соответствующими сертификатами ФСТЭК России. Кроме того, эти средства располагают достаточным функционалом, чтобы “закрывать большую часть” перечисленных в проекте приказа ФСТЭК России требований. Однако не стоит забывать про резервное копирование, распределенное хранение данных и восстановление информации, антивирусную защиту и обнаружение вторжений — эти функции также являются неотъемлемой частью общей концепции и требуют принятия мер ИБ.
Сегодня производители специализированных СЗИ для защиты ВИ частично предлагают требуемые продукты (например, средства доверенной загрузки сервера виртуализации), но речь о едином законченном решении от одного вендора здесь не идет. В результате очень часто приходится “городить огород”, развертывая антивирус, IDS/IPS, средства защиты ВИ и т. д. от абсолютно разных поставщиков без возможности объединения их в единую консоль управления. К чему это приводит — говорить, полагаю, не нужно. Поэтому на данный момент среди самых перспективных направлений в разработке решений можно назвать создание некой “экосистемы безопасности”, позволяющей гибко управлять политиками ИБ не только в сфере виртуализации, но и во всех смежных областях, таких как защита физической инфраструктуры, включая серверы, АРМ и информационные каналы данных. В конце концов защита любого объекта должна быть комплексной, а развертывание, управление и мониторинг ИБ из единого графического интерфейса с помощью заранее созданных профилей безопасности — мечта любого администратора.
Применяя такой универсальный инструмент можно было бы в несколько кликов получить защищенную виртуальную среду с четким контролем и мониторингом всех производимых администраторами и пользователями действий. И одновременно привести автоматизированную систему в соответствие с требованиями российского законодательства и зарубежных рекомендательных документов, таких как PCI DSS или VMware Security Hardening Guide. Однако в настоящий момент приходится ограничиваться отдельными сертифицированными средствами защиты от разных производителей и комбинировать их оптимальным способом под специфику работы компании. Будем надеяться, что в ближайшее время на российском рынке все же произойдут соответствующие изменения и мы сможем увидеть единое решение, закрывающее широкий спектр проблем в сфере ИБ.
СПЕЦПРОЕКТ КОМПАНИИ “КОД БЕЗОПАСНОСТИ”