Контакты
Подписка
МЕНЮ
Контакты
Подписка

Защита виртуализации "в эпоху бурного развития"

Защита виртуализации "в эпоху бурного развития"

В рубрику "Защита информации и каналов связи" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Защита виртуализации "в эпоху бурного развития"

Требования пользователей к их компьютерам, рабочим или домашним, постоянно растут: 640 Кбайт оперативной памяти уже не хватает, невозможно обойтись без поддержки многозадачности и выхода в Интернет, и даже тогда многим мало одного рабочего места. Информационная система эволюционирует от физической к виртуальной, от виртуальной – к центру обработки данных, от ЦОДа через частное облако – к облаку гибридному или публичному.
Надежда Мозолина
ОКБ САПР, преподаватель кафедры “Защита информации” ФРТК МФТИ

Безопасники обычно утверждают, что использование публичных облаков для работы с корпоративными данными не подходит: информация выходит за пределы компании, безопасностью занимается провайдер (остается лишь верить в его благонадежность). Впрочем, когда технология виртуализации только занимала свое место на арене ИТ, опасений было не меньше. Новая технология – новые вызовы безопасности.

Сегмент-В.

Сегодня уже созданы свои средства защиты информации (СЗИ) для многих задач: для антивирусной защиты, доверенной загрузки виртуальных машин [1–4], разграничения доступа к объектам виртуальной инфраструктуры (ВИ) [5].

Так, разработанный ОКБ САПР программно-аппаратный комплекс (ПАК) "Сегмент-В." предназначен для разграничения доступа к функциям управления ВИ на базе VMware vSphere. В состав комплекса входят прокси-сервер, специальное программное обеспечение для настройки разграничения доступа к ВИ и сервис регистрации событий.

Используя ПАК "Сегмент-В.", администратор безопасности получает возможность на основе иерархических мандатных меток задавать правила доступа пользователей (администраторов ВИ) к объектам, а через назначение списка действий определять перечень операций, которые пользователь может совершать.

Прокси-сервер обрабатывает в соответствии с заданными правилами разграничения доступа все запросы, поступающие с рабочего места администратора ВИ на сервер управления vCenter (или на ESXi). "Сегмент-В." пропускает только разрешенные действия. Правила разграничения доступа задаются администратором безопасности через графическую утилиту из состава "Сегмент-В.". Сервис регистрации событий, устанавливаемый на рабочем месте администратора безопасности, собирает информацию обо всех действиях в системе, как разрешенных, так и запрещенных для исполнения.

Через назначение меток также обеспечивается сегментирование ВИ – прокси-сервер "Сегмент-В." не допускает выполнение действий, в которых участвуют объекты различных уровней доступа или с непересекающимися множествами категорий.

Дополнительный СЗИ – решение или проблема?

При использовании для разграничения доступа лишь встроенных механизмов VMware vSphere возникает проблема сосредоточения максимальных привилегий в рамках одной роли главного администратора ВИ, т.е. проблема "суперпользователя". Такой администратор может назначить любые права любому пользователю, дать доступ к любому объекту, являясь при этом администратором ВИ, а не безопасности; в рамках одного пользователя сосредоточены права двух администраторов, каждый из которых должен решать свои задачи и преследовать свои интересы.

Хотя решить данную проблему зачастую возможно организационными мерами, это не всегда удобно. "Сегмент-В." позволяет администратору безопасности самому разрешать пользователям выполнение только определенных действий, не являясь при этом администратором ВИ. Такое разделение полномочий администратора безопасности и администратора ВИ позволяет решить проблему "суперпользователя".

Несмотря на то что "Сегмент-В." позволяет разграничивать полномочия администраторов ВИ, после его установки в работе этих пользователей ничего не меняется, разве что настройки сети: теперь трафик проходит через прокси-сервер. На рабочем же месте не появляется дополнительных утилит, нет необходимости проходить аутентификацию в каких-либо дополнительных защитных сервисах, а для доступа к ВИ администратор может продолжать использовать привычные ему средства: vSphere Client (HTML5) для работы с последними версиями ВИ или Windows-клиент vClient для платформ vSphere 6.0 и ранее.

Использование резервирования прокси-сервера "Сегмент-В." позволяет обезопасить себя от создания точки отказа всей системы: работая в кластерном режиме, два прокси-сервера хранят одинаковые настройки правил разграничения доступа, а при выходе из строя одного из них автоматически происходит перенаправление трафика на второй.

Когда-то задачи разграничения действий пользователей в ВИ и обеспечение сегментирования были вызовом специалистам по защите информации, сегодня у нас есть решение. Наверняка завтра такой же обыденной задачей станет и защита данных в публичном облаке.

Литература

  1. Мозолина Н. В. Необходимо и достаточно, или контроль целостности виртуальных машин с помощью Аккорд-KVM // Information Security/Информационная безопасность. – 2018. – № 5. – С. 33.
  2. Рябов А. С., Угаров Д. В., Постоев Д. А. Безопасность виртуальных инфраструктур. Сложности и нюансы выполнения требований регулятора // Комплексная защита информации: материалы XXI научно-практической конференции, Смоленск, 17–19 мая 2016 г. М., 2016. – С. 217–220.
  3. Конявская С. В. Инновации в традиционных решениях для ЦОДов // Национальный банковский журнал. – 2018. – № 3 (169). – С. 94.
  4. Конявская С. В., Шамардина (Чепа-нова) Е. Г. Выводы о средствах защиты виртуализации // Национальный банковский журнал. – 2017. – № 9 (сентябрь). – С. 104.
  5. Конявская С. В., Угаров Д. В., Постоев Д. А. Инструмент контроля доступа к средствам управления виртуальной инфраструктурой // Information Security/Информационная безопасность. – 2016.– № 2. – С. 9.
ОКБ САПР
115114, Москва,
2-й Кожевнический пер., 12
Тел.: +7 (495) 994-7262
Факс: +7 (495) 234-0310
E-mail: okbsapr@okbsapr.ru
http://www.okbsapr.ru/

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2019

Приобрести этот номер или подписаться

Статьи про теме