Технологии виртуализации приобретают всё большую популярность: крупные компании виртуализируют свои локальные серверы и строят частные «облака», малый и средний бизнес активно пользуется облачными сервисами и арендует ресурсы в ЦОДах. Применение технологий виртуализации приносит бизнесу массу преимуществ, но имеет и оборотную сторону — увеличение информационных рисков. Почему так происходит?

Зачастую компании осуществляют проекты по виртуализации серверов без привлечения специалистов по безопасности и, соответственно, без учета специфики технологий виртуализации. Виртуальная инфраструктура отличается от физической двумя элементами: гипервизором — прослойкой между аппаратной и программной частью, которая исполняет виртуальные машины, и средством управления — инструментом, позволяющим централизованно управлять гипервизорами. Важность этих элементов чрезвычайно высока, так как при компрометации гипервизора будут скомпрометированы исполняемые им виртуальные машины, а если скомпрометировано средство управления, то и вся инфраструктура находится под угрозой. В связи с этим наиболее типичные риски в проектах по виртуализации серверов связаны:

• с отсутствием инструментов контроля администраторов виртуальной инфраструктуры;

• с невозможностью применения традиционных средств для защиты виртуальной инфраструктуры;

• с консолидацией приложений и информации разных уровней значимости на одном физическом сервере без обеспечения их достаточной изоляции;

• с уязвимостями и недокументированными возможностями в платформе виртуализации.

Требования регуляторов к защите технологий виртуализации

Процесс формирования лучших практик по защите виртуализации и регулятивной базы начался несколько лет назад и продолжается до сих пор. Одним из первых свои рекомендации по защите технологий виртуализации издал Национальный институт стандартов и технологий США (NIST). Сейчас международная организация Cloud Security Alliance выпустила уже третью редакцию руководства по безопасности облачных сред. Отраслевые рекомендации для финансовых организаций и индустрии платежных карт разрабатывает PCI Council.

В нашей стране пионером по контролю безопасности виртуализации является ФСТЭК России, в 2013 году издавший приказы № 17 и № 21. В этих документах, в частности, дан перечень мер защиты, обязательных при использовании виртуальных сред в государственных информационных системах и информационных системах персональных данных. При этом особое внимание уделяется необходимости применения сертифицированных средств защиты виртуальной среды.

Помимо этого в скором времени может появиться государственный стандарт серии ГОСТ Р «Защита информации. Требования по защите информации, обрабатываемой с использованием технологии виртуализации. Основные положения», который также готовится по инициативе ФСТЭК России.

Данные документы регуляторов помогают потребителям определить, какие действия необходимо предпринять для снижения информационных рисков и обеспечения безопасности применения технологий виртуализации.

vGate — сертифицированная защита для виртуализации

Разработанный компанией «Код Безопасности» продукт vGate — одно из наиболее популярных сертифицированных средств защиты информации для виртуальных платформ VMware vSphere и Microsoft Hyper-V. Продукт учитывает специфические особенности защиты информации в виртуальной среде и предоставляет службе безопасности предприятия инструменты контроля и противодействия злоупотреблениям при ее использовании.

Основное преимущество продукта vGate — возможность контроля всех действий по управлению виртуальной инфраструктурой и доступу к данным виртуальных машин. Одной из наиболее актуальных угроз для виртуальных инфраструктур является наличие суперпользователя, когда администраторы виртуальной инфраструктуры могут выполнять манипуляции с виртуальными машинами со своих рабочих мест и делать это бесконтрольно. Кроме того, виртуальную машину (в отличие от физической) можно скопировать, удалить или исказить, поэтому традиционные методы защиты (например, опечатывание корпуса, АПМДЗ, ограничения физического доступа и т. п.) для защиты виртуальной инфраструктуры не применимы.

vGate позволяет разграничить доступ администраторов к виртуальной инфраструктуре и контролировать их действия.

Администратор информационной безопасности имеет возможность ограничивать манипуляции с виртуальными машинами. Любые изменения в их конфигурации и расположении не вступят в силу без его подтверждения. Администратор также может сегментировать виртуальную инфраструктуру и самостоятельно решать, на каком хосте будут исполняться те или иные виртуальные машины. Это позволит снять проблему консолидации виртуальных машин разных уровней конфиденциальности в пределах одного и того же хоста.

Уязвимости самих платформ виртуализации, несомненно, исправляются их производителями, но не все используют последние версии платформ и тем более не все настраивают свою инфраструктуру в соответствии с рекомендациями производителя. Эти рекомендации, как правило, предоставляются вендорами в виде отдельного документа с инструкциями, которые нужно выполнить на хостах. vGate позволит автоматизировать этот процесс и выбрать для инфраструктуры наиболее безопасную конфигурацию, а также отслеживать ее неизменность. vGate также журналирует все события безопасности в режиме реального времени, оповещает администратора информационной безопасности о нарушениях, а также предоставляет мощный механизм отчетов о состоянии инфраструктуры.

vGate сертифицирован ФСТЭК России, и его использование поможет привести виртуальную инфраструктуру в соответствие требованиям регуляторов при обработке персональных данных, конфиденциальной информации, а также сведений, относящихся к гостайне.

СПЕЦПРОЕКТ КОМПАНИИ «КОД БЕЗОПАСНОСТИ»