Контакты
Подписка
МЕНЮ
Контакты
Подписка

Белые пятна виртуализации

Белые пятна виртуализации

В рубрику "Спецпроект: SaaS" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Белые пятна виртуализации

Использование виртуализации позволяет компаниям получать ряд бесспорных преимуществ, среди которых более эффективное использование ресурсов, легкая реализация отказоустойчивых конфигураций, снижение затрат на эксплуатацию инфраструктуры и другие. Однако виртуализация несет с собой не только выгоды, но и ряд дополнительных рисков, связанных в первую очередь с защитой информации.
Мария Сидорова
Заместитель руководителя направления
"Защита виртуальных инфраструктур"
компании "Код Безопасности"

Большинство проектов по виртуализации до сих пор осуществляется без привлечения специалистов по ИБ. В итоге виртуальные машины (ВМ) создаются "по умолчанию" или по устаревшим шаблонам и используются без применения специальных средств защиты. Все это может привести к утечке конфиденциальной информации, которая хранится и обрабатывается в виртуальной инфраструктуре (ВИ).

Атака ВМ на ВМ

Кроме того, перенос информации в виртуальную среду влечет за собой принципиально новые риски и угрозы, связанные в основном с архитектурными особенностями ВИ. В частности, на одном физическом сервере (сервере виртуализации) одновременно в среднем может работать до десяти ВМ, при этом внутренний трафик "ВМ – ВМ" не покидает пределы сервера виртуализации. Контролировать внутренние соединения между ВМ очень сложно, поскольку традиционный межсетевой экран (МЭ) просто не сможет отследить нарушение заданных правил в рамках одного сервера виртуализации.


Чтобы исключить угрозу атаки ВМ на ВМ, как правило, применяются специализированные распределенные МЭ, которые контролируют как внешний, так и внутренний трафик ВИ. При этом между собой ВМ "общаются" через гипервизор, который также является слабым звеном и может быть доступен для злоумышленника. Доступ к гипер-визору и данным ВМ он может получить и через средства управления ВИ. Соответственно защита от несанкционированного доступа (НСД) на этих компонентах также является первоочередной задачей.

Утечка данных через администратора ВИ

Так как ВМ представляет собой не что иное, как набор файлов, которые в любой момент можно скопировать, возникает еще один тип инцидента – утечка данных через администратора ВИ, который фактически имеет полный доступ к ВМ. При этом копирование данных ВМ вообще может остаться незамеченным, поскольку в виртуальной среде нет проактивных средств контроля действий администратора. В данном случае решением может стать разделение полномочий и ответственности между администратором ВИ и администратором ИБ. Соответственно один назначает права доступа, другой этими правами пользуется. Реализуют этот функционал специализированные средства защиты информации, поскольку при помощи традиционных встроенных средств управлять правами доступа и разделять полномочия сложно или зачастую практически невозможно.

Настройка серверов виртуализации и ВМ в соответствии с требованиями регуляторов

Еще один немаловажный фактор для ВИ в контексте ИБ – это настройка серверов виртуализации и ВМ в соответствии с законодательством и отраслевыми стандартами. Поскольку виртуализация вносит свои коррективы в управление IТ-инфра-структурой, то и требования к безопасности ВИ увеличиваются, а вместе с ними и объем "ручной" работы администратора ВИ.

На сегодняшний день существует несколько групп специальных инструментов защиты, которые можно применять для защиты ВИ. В частности:

  • средства ИБ от производителя платформы виртуализации;
  • средства для защиты от внешних угроз, сетевых атак, вредоносного ПО и уязвимостей;
  • средства для защиты среды управления от НСД, контроля настроек ИБ, целостности и прав доступа.

Ручная настройка и поддержка ВИ в соответствии с требованиями регуляторов отнимает много времени (особенно если учесть объем документов, которые следует изучить администратору ВИ) и не исключает "прорехи" в защите, которые могут возникнуть по недосмотру администратора ВИ. Поэтому  такую  работу необходимо автоматизировать. В частности, чтобы осуществлять контроль над критичными для безопасности ВИ настройками ВМ, можно устанавливать политики   безопасности   (или шаблоны). Как правило, специализированные СЗИ имеют набор встроенных ИБ-политик и позволяют создавать свои собственные. С помощью таких шаблонов можно не только быстро настроить защиту ВИ в соответствии с рекомендациями производителя платформы виртуализации и требованиями отраслевых стандартов  (например, PCI DSS), но и контролировать конфигурацию критически важных параметров безопасности. В случае если в виртуальной среде обрабатывается конфиденциальная информация, к примеру, персональные данные, то защищенность ВИ также должна соответствовать требованиям законодательства, в частности ФЗ-152. В этом случае стоит использовать сертифицированные средства защиты информации требуемого уровня защищенности и с отсутствующими в них недекларируемыми возможностями.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2011
Посещений: 7729

Приобрести этот номер или подписаться

В рубрику "Спецпроект: SaaS" | К списку рубрик  |  К списку авторов  |  К списку публикаций