Контакты
Подписка
МЕНЮ
Контакты
Подписка

Защита виртуальных ЦОД

Защита виртуальных ЦОД

В рубрику "Центры обработки данных (ЦОД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Защита виртуальных ЦОД

Сегодняшние тенденции перехода к новой виртуализированной архитектуре дата-центров меняют подход к их построению, при котором увеличивается уровень консолидации ресурсов и повышается эффективность использования оборудования.
Юрий Сергеев
руководитель группы проектирования
Центра информационной безопасности
компании "Инфосистемы Джет"

Это требует соответствующего подкрепления в виде адаптированных к новой среде механизмов обеспечения ИБ. Кроме того, необходимо, чтобы применяемые средства защиты не только запускались в виртуальной среде, но и использовали ее возможности для получения новых преимуществ с точки зрения ИБ.


Виртуальный ЦОД можно рассматривать как специализированную площадку с современной инженерной инфраструктурой (системами кондиционирования и вентиляции, общего и резервного электроснабжения, пожаротушения и т.д.). При этом информационные системы на ней размещаются не на физическом оборудовании, а в виртуальной среде, охватывающей серверную и телекоммуникационную части инфраструктуры. В такой ситуации сервисы, размещаемые в ЦОД постоянно, не привязаны к ресурсам конкретного физического устройства и динамически перемещаются между серверами виртуализации. А сетевая инфраструктура реализуется таким образом, чтобы после перемещения виртуальная машина (ВМ) могла полноценно продолжать свою работу.

В зоне безопасности - разделяй!

Виртуальный ЦОД - специализированная площадка с современной инженерной инфраструктурой, и информационные системы на ней размещаются в виртуальной среде, охватывающей серверную и телекоммуникационную части инфраструктуры. При этом сервисы, размещаемые в ЦОД постоянно, динамически перемещаются между серверами виртуализации, а сетевая инфраструктура реализуется таким образом, чтобы после перемещения ВМ могла полноценно продолжать свою работу.

Наиболее удачное решение для рассматриваемой среды основано на разделении виртуальной среды на зоны безопасности, являющиеся набором преднастроенных базовых сервисов защиты, в том числе антивирусной защиты, защиты от сетевых атак, контроля целостности и пр. Эти сервисы предоставляются виртуальным машинам по безагентской технологии, и при погружении новой виртуальной машины в ту или иную зону виртуального ЦОД сразу же обеспечивается ее защищенное функционирование без каких-либо дополнительных усилий. Реализацией такой защиты занимаются выделенные ВМ безопасности, тесно интегрируемые с функциями гипервизора. При этом, когда виртуальным дата-центром пользуются третьи (по отношению к обслуживающей организации) лица, выполнение этой концепции позволяет с уверенностью говорить об определенном уровне защиты, получаемом всеми пользователями вне зависимости от качественности защиты администраторами каждой конкретной ВМ.

Разделение на указанные зоны безопасности может быть выполнено на логическом уровне при управлении виртуальной средой. Это особенно актуально, когда в виртуальном дата-центре обрабатывается информация, содержащая данные о платежных картах, что требует обеспечения соответствия стандарту PCI DSS. В таком случае для оптимизации области действия стандарта (для выполнения всех требований только для части виртуального ЦОД) желательно выделять в зону безопасности область PCI DSS на логическом уровне с помощью средств контроля доступа к виртуальной среде. При этом важно обеспечить доступ к интерфейсам управления только по результатам строгой аутентификации. В этом плане применение двухфакторной аутентификации с точки зрения ИБ приобретает особую значимость.

Про технику безопасности

Многообразие векторов атак, направленных на различные компоненты и сервисы виртуальной среды, приводит к тому, что для обеспечения безопасности обработки информации в виртуальном ЦОД недостаточно установки какого-либо одного специализированного продукта. Обеспечение безопасности виртуальных ЦОД требует создания комплексной системы защиты, учитывающей критические векторы атаки и новые возможности нарушителей. При этом из-за повышения возможностей преодоления систем защиты при получении несанкционированного доступа к управлению виртуальной средой возрастает значимость построения ряда процессов обеспечения ИБ. Среди них: предоставление доступа, управление инцидентами, событиями, обновлениями и конфигурациями ИБ, анализ уязвимостей и актуализация угроз, проектирование и актуализация системы защиты.

На чем сосредоточиться?

Зачастую данные процессы невозможно реализовать без участия выделенных ИБ-специалистов и организации их работы на постоянной основе. Безусловно, что-то эффективнее автоматизировать, используя различные технологии и продукты. Отдельного внимания заслуживают проработка модели разделения полномочий пользователей и определение, кому конкретно какой доступ необходим. Это позволяет избежать концентрации у одного человека универсальных прав "гиперпользователя".

Основные векторы атаки, свойственные виртуальным ЦОД:

  • атаки на сетевые сервисы ВМ: сетевые службы виртуальной машины, так же как и физической, доступны из сети для проведения атак;
  • атаки на сетевой стек гипервизора: сервер виртуализации и все виртуальные машины имеют общий программный сетевой стек, реализующий коммутацию пакетов между ВМ, сервером виртуализации и внешней средой. Например, известны уязвимости виртуальных коммутаторов, в том числе и распределенных, когда обработка потока заблокированных пакетов приводила к падению гипервизора (CVE-2011 - 0355);
  • атаки на гипервизор из гостевой машины: при программной реализации взаимодействия между ВМ и гипервизором возможны ошибки. Это может привести к выходу за пределы доступной одной виртуальной машине памяти. Например, известны escape-атаки для ESX (CVE-2012-2450, когда неверная регистрация SCSI-устройств позволяла атакующему вызывать отказ в обслуживании или запуск произвольного кода, записывая данные в процесс VMX сервера виртуализации из ВМ) и для XenServer (CVE-2012-3516, при которых ошибка в реализации grant table гипервызова позволила записывать информацию в память гипервизора, что чревато получением повышенных привилегий);
  • атаки на интерфейс управления гипервизора: многие производители разрабатывают собственные Web-based API для управления гипервизорами, в которых уже были найдены уязвимости (CVE-2010-0633, CVE-2012-5703);
  • атаки на интерфейс управления средства управления гипервизорами: например, повышение привилегий за счет получения чужого SOAP session ID в vCenter (CVE-2011-1788);
  • атаки на прикладные сервисы, обеспечивающие работу средства управления гипервизорами: Web-интерфейс часто использует серверы приложений и базы данных, компрометация которых приводит к аналогичным последствиям для виртуальной инфраструктуры (например, уязвимость CVE-201 20022B Apache Tomcat, который использует VMware vCenter);
  • атаки на интерфейс управления систем хранения данных, приводящие к получению доступа к образам виртуальных машин;
  • атаки на сетевые устройства, позволяющие перенаправлять сетевые потоки с последующим анализом хэшей паролей, перехватом сессий и др.;
  • атаки на серверы аутентификации: среда управления гипервизорами часто интегрируется с Active Directory, поэтому уязвимости в ОС Windows контроллера домена создают риск получения значительных привилегий в виртуальной среде.

Опыт показывает, что реализация процесса управления установками обновлений и серьезное отношение к процедурам аутентификации и выдаче привилегий нивелируют значительную часть ИБ-рисков для виртуального ЦОД. В целом проектирование виртуального дата-центра требует от ИБ-специалистов уделять более пристальное внимание сокращению потенциальной области, доступной для атаки злоумышленника, заблаговременному планированию сегментации сетей, отключению неиспользуемых виртуальных устройств и сетевых сервисов.

Всем уязвимостям по мере защиты

Компания "Инфосистемы Джет" - один из крупнейших российских системных интеграторов, образована в 1991 г., с 1996 г. работает на рынке ИБ, более 16 лет занимая лидирующие позиции в данном сегменте. Основные направления деятельности: бизнес-решения и программные разработки. IT- и телекоммуникационная инфраструктура, ИБ, IT-аутсорсинг и техническая поддержка, управление комплексными проектами и др. Опыт работы включает выполнение проектов в сфере виртуализации, ставшей де-факто стандартом в банковской сфере. Использование специализированных средств при построении систем защиты позволяет реализовывать их с меньшим влиянием на производительность по сравнению с классическими, закрывать требования PCI DSS и защиты персональных данных, а также контролировать сетевое взаимодействие между ВМ, не выходящее за пределы сервера виртуализации. Все это реализуется одновременно как с использованием безагентских технологий защиты, так и с применением специальных серверов управления доступом.

Технологии виртуализации бурно развиваются и уязвимостей, связанных со средой виртуализации, с каждым месяцем становится все больше. Поэтому основная задача - не столько ограничение возможностей злоумышленника для использования уязвимостей, сколько проактивная работа по контролю исправлений новых уязвимостей и проведению анализа сетевых узлов с помощью сканеров. В основном это развитие обусловлено IТ-причинами, в результате которых программный слой среды виртуализации зачастую разрабатывается без оглядки на требования И Б. Кроме большего количества уязвимостей, это приводит к тому, что средства управления виртуальной средой не обеспечивают фиксацию достаточного количества полей сообщений при ведении журналов действий пользователей. В итоге могут существенно затрудниться расследование инцидентов и возникнуть необходимость в реализации дополнительных мер защиты либо применении специализированных средств контроля доступа.

Рынок средств защиты, реагируя на новые вызовы защиты виртуальных ЦОД, сегодня предлагает множество оптимизированных для работы в виртуальной среде средств. Их использование позволит обеспечить такой уровень ИБ, который сопоставим с дата-центрами, построенными по старым принципам, и даже более того - даст шанс сделать защиту еще более эффективной.

ИНФОСИСТЕМЫ ДЖЕТ, КОМПАНИЯ
127015 Москва, ул. Большая
Новодмитровская, 14, стр. 1
Тел.: (495) 411-7601, 411-7603
Факс: (495) 411-7602
E-mail: info@jet.msk.su
www.jet.msk.su

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2012
Посещений: 30556

Приобрести этот номер или подписаться
  Автор

Юрий Сергеев

Юрий Сергеев

Руководитель группы проектирования
Центра информационной безопасности
компании "Инфосистемы Джет"

Всего статей:  3

В рубрику "Центры обработки данных (ЦОД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций