В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Денис Безкоровайный
RSA
В то время как виртуализация становится мейнстрим-технологией, помогающей организациям экономить средства и достигать новых высот в оптимальном использовании существующих ресурсов, сотрудникам служб информационной безопасности следует более внимательно отнестись к новым рискам, вызванным повсеместным переходом к виртуализации.
Одна из основных характеристик виртуальной среды - динамичность - является как преимуществом для эксплуатирующих служб, позволяющим быстро выполнять операции развертывания и миграции виртуальных машин, так и недостатком для служб информационной безопасности, поскольку именно с этим связаны основные риски в виртуальной среде.
Перенеся производственные серверы на виртуальную платформу, нам следует осознать, что:
Использование технологии виртуализации порождает принципиально новые риски, требующие понимания службы ИБ, и ставит перед ней новые вопросы:
Все эти вопросы необходимо решить в рамках программы управления рисками ИБ, в том числе требуется понять, какие принципиально новые инциденты ИБ могут возникнуть вследствие появления новых рисков, связанных с виртуализацией.
Чтобы понять, что может являться инцидентом в мире виртуальных машин, приведем характерные примеры для VMware Virtual Infrastructure. Предположим, что в каждом случае в сети имеется средство сбора событий и выявления инцидентов (Security Information and Event Management, SIEM), которое до перехода на виртуальную платформу использовалось для мониторинга физической инфраструктуры, и посмотрим, насколько эффективным окажется SIEM-решение в новых условиях.
Для того чтобы ответить на подобные вопросы, необходимо формализовать процедуры использования виртуальных машин, встроить новые подходы и методы, появившиеся в результате перехода к виртуальной инфраструктуре, в стандартные процессы управления и обслуживания IT-ресурсов, и, конечно же, учитывать вопросы информационной безопасности в этих процедурах. Кроме того, важно осуществлять постоянный контроль выполнения этих политик и процедур, а также быть готовым подтвердить их исполнение данными из журналов событий в случае проведения аудита или расследования инцидента.
Основное отличие при выявлении инцидентов в физической и виртуальной среде состоит в том, что в последней нельзя полагаться лишь на привычные механизмы журналирования и аудита гостевых ОС и приложений.
Для выявления подобных инцидентов необходимо производить мониторинг и аудит следующих компонентов:
Кроме мониторинга, необходимо также реализовать правила выявления специализированных инцидентов, присущих виртуальной среде, то есть понять логику проведения атак, подобных описанным выше, и соответственно формализовать правила их обнаружения.
Например, SIEM-система с помощью правил корреляции может выявлять и оповещать о таких инцидентах, как:
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2010