Компания Trend Micro является в настоящее время одним из немногих в мире ИБ-вендоров, поставляющих на рынок комплексные решения для защиты облачных и виртуальных сред, и первой в сотрудничестве с VMware разработала модель системы безопасности без использования агентов, базирующуюся на тесно интегрированных продуктах VMware vShield Endpoint и Trend Micro Deep Security. Об актуальных проблемах, связанных с обеспечением безопасности виртуализированных ИТ-ресурсов, и текущей ситуации в этой области рассказывает технический консультант Trend Micro в России и странах СНГ Николай Романов.
Согласно прогноза компании Gartner от 2010 г., даже к 2015 г. около 30% виртуальных машин по-прежнему будут защищены хуже физических (в 2010 г. таких виртуальных машин, согласно данным этой компании, было 60%). А как обстоят дела с защищенностью виртуализированных ИТ-компонентов сегодня?
Возможно, российские ИТ-пользователи оказались более зрелыми, чем предполагалось, или же сыграл свою роль активный информационный фон вокруг ИБ-проблем, связанных с виртуализацией, но ситуация у нас в стране не так плоха, как ее прогнозировала компания Gartner. Я бы сказал, что она даже лучше, чем в европейских странах, но несколько хуже, чем в США.
Виртуализация используется российскими компаниями прежде всего в ИТ-решениях, предназначенных для обслуживания бизнес-задач и задач из области самих ИТ. ИБ-проблемы виртуализации неплохо осознаются российскими заказчиками, представляющими различные отрасли, лучше — банками, слабее — производственными предприятиями.
Корпоративные ИТ-пользователи понимают, что виртуализированные среды наряду с трансформированными под специфику виртуализации аналогами классических средств защиты (антивирусами, межсетевыми экранами и др.) требуют решения сугубо специальных ИБ-задач, таких, как защита от несанкционированного доступа к системе управления виртуализацией, защита гипервизора и др. Другое дело, что им не всегда ясно, с помощью каких средств можно решить такие задачи.
На защищенности каких виртуализированных компонентов ИТ-инфраструктуры сегодня сфокусирован интерес ИТ-пользователей и ИБ-вендоров? Сходятся ли их мнения о том, какие компоненты виртуализированной ИТ-среды нужно защищать в первую очередь?
В первую очередь сегодня компании защищают серверные платформы, потому что на них работают их ключевые бизнес-приложения. Активная виртуализация настольных систем требует также внимания и к их защите. При этом нельзя сказать, что проблемы, связанные с их уязвимостями проще серверных, разве что связанные с ними риски потерь оцениваются ниже. Поэтому виртуализированные рабочие места по приоритету на втором месте.
Виртуализированные сети и системы хранения данных пока составляют ничтожно малую часть в проектах, связанных с обеспечением ИБ виртуальных сред. Даже компания VMware, безоговорочный лидер в области платформ виртуализации, только в прошлом году купила стартап, копанию Nicira, занимающуюся виртуализированными сетевыми системами и управлением ими. Те отдельные компоненты защиты виртуализированных сетей, которые предлагают такие вендоры, как Cisco, только дополняют основные решения для виртуальных сред. Что касается полномасштабных аппаратно-программных систем хранения данных (которые, кстати, сами используются для поддержки виртуальных сред), то мне неизвестны примеры их виртуализации. При этом я не беру во внимание файловые серверы — это, скорее, сервисы.
Готовы ли средства защиты виртуализированных сред к их интеграции в такие комплексы верхнего уровня, как центры управления инцидентами ИБ и системы управления корпоративной ИБ? Есть ли в этом потребность у российских заказчиков?
Второй вопрос заказчика, собирающегося построить защиту своей виртуализированной ИТ-среды, который он задает поставщикам средств защиты, — умеют ли их продукты работать с высокоуровневыми системами сбора и корреляции ИБ-событий и управления корпоративной ИБ. Тут, правда, нужно сделать поправку на отрасль, которую заказчик представляет. Как я уже говорил, компании разных отраслей находятся на разных уровнях зрелости ИБ. Соответственно и требования они предъявляют разные.
На рынке существуют ИБ-продукты, располагающие необходимыми интеграционными механизмами, а в продуктах Trend Micro такие возможности реализованы нативно.
Какой вызов безопасности виртуализированных сред вы относите к самым актуальным в настоящее время и в перспективе?
Прежде всего, это функционирование средств защиты виртуальной среды без помех для работы тех ИТ-ресурсов, которые они защищают. Заказчики в первую очередь ориентируются на эти свойства при выборе ИБ-продуктов для виртуализированных ИТ-средств. Следующим по важности является вопрос обеспечения безопасности гипервизора.
В комплексных проектах заказчики начинают с задач несанкционированного доступа и сетевой безопасности — межсетевого экранирования и предотвращения вторжений.
Если же говорить о перспективе, то основные вызовы здесь связаны с развитием облачных ИТ-сервисов. Такие сервисы ориентированы прежде всего на бизнес-цели, а задачи ИБ отодвигаются на второй план. Даже компания Amazon в правилах пользования своими облачными сервисами ранее возлагала ответственность за ИБ на самих пользователей сервисов.
Хотя сегодня к вопросам безопасности облачных сервисов относятся более внимательно, нежели несколько лет назад, и нередко пытаются решать их одновременно с разработкой облачной архитектуры, довлеющими все же остаются вопросы стоимости и окупаемости таких проектов. Поэтому с ростом популярности облачных сервисов будет расширяться и спектр ИБ-угроз.
Пока это не слишком проявляется на практике ввиду все еще слабого распространения облачных сервисов. Но нужно отметить, что профессиональные ассоциации, такие как Cloud Security Alliance, уже активно работают над методами защиты подобных сервисов. Опираясь на их опыт, можно сделать вывод о том, что проблемы виртуализированных корпоративных сред пополнятся проблемами, связанными с облаками, среди которых прежде всего следует упомянуть очистку данных на стороне провайдера облачных услуг при смене провайдера и распределение прав доступа специалистов провайдера к клиентским ресурсам.
Как вы определяете комплексность защищенности виртуализированной ИТ-среды? Можно ли сегодня говорить о том, что она реализуема?
Думаю, что говорить об этом уже можно, поскольку некоторые из представленных на рынке систем защиты виртуальных сред, среди которых и наша Deep Security, могут интегрироваться как с платформами виртуализации, так и с внешними ИБ-системами (такими, например, как системы управления ИБ-инцидентами и защиты от несанкционированного доступа) и работать согласованно с ними как единый комплекс. При этом каждый из интегрированных компонентов решает свой круг задач. Кстати, уже есть примеры технических реализаций таких комплексов.
Что технологически представляет собой сегодня российский типовой проект, направленный на построение защиты виртуализированных ИТ-ресурсов? Сколько он стоит?
Начиная такие проекты, заказчики, как правило, в первую очередь стремятся выяснить возможности низкоуровневой интеграции своей ИТ-инфраструктуры с востребованными ими по функционалу средствами защиты виртуальной среды, а также оценить влияние защиты на производительность ИТ-ресурсов. Кроме того, их волнует, не будет ли управление защитой слишком сложным.
Если же говорить о функциональности, то одни довольствуются сегодня антивирусной защитой виртуализированных ресурсов, другим необходимо контролировать целостность виртуальной среды и передавать информацию об ИБ-событиях во внешнюю систему анализа таких событий, для третьих актуально лишь обезопасить виртуальную среду от несанкционированного доступа и действий. То есть требования к функциональности ИБ-средств сегодня очень разнятся.
Что касается стоимости проектов, то она напрямую зависит от внедряемого функционала защиты и колеблется в интервале от нескольких десятков тысяч до многих миллионов долларов. В России есть примеры и очень дорогих и сравнительно малозатратных внедрений.
Как вы оцениваете действия российских регуляторов, направленные на обеспечение безопасности использования технологии виртуализации?
Российских регуляторов сегодня больше заботит не столько сертификация защиты виртуализированных ИТ-систем, сколько сертификация механизмов защиты, работающих как в виртуализированной, так и в невиртуализированной ИТ-среде. Специальных требований к средствам защиты именно виртуальных сред, насколько мне известно, регуляторы до сих пор не сформулировали. Кстати, это способствует распространению виртуализации в стране. Если бы они жестко зарегулировали условия использования виртуализации, то сильно осложнили бы жизнь разработчиков и замедлили темпы распространения этой технологии.
СПЕЦПРОЕКТ КОМПАНИИ TREND MICRO