Виртуализация серверов в последние годы развивается весьма активно. Эта технология позволяет существенно повысить эффективность использования оборудования, оптимизировать место в ЦОДе, а значит, сократить затраты, что весьма актуально для любого бизнеса.
Вместе с тем использование технологий виртуализации сопряжено с рядом проблем, в том числе и в области обеспечения информационной безопасности. Во-первых, те угрозы, что свойственны физическим системам, актуальны и для виртуальных инфраструктур. Во-вторых, при размещении информации в среде виртуализации к классическим угрозам безопасности прибавляется угроза несанкционированного доступа (НСД) к гипервизору. Реализованная атака на гипервизор позволяет получить доступ к данным всех виртуальных машин, при этом выявить такую атаку трудно. Виртуальная машина по определению представляет собой программную систему, и ее легко можно подключить к такому же гипервизору на другой системе и получить полный доступ к локальным данным. Проблемы такого рода вызваны наличием так называемого «суперпользователя» — администратора, имеющего права доступа и к виртуальной инфраструктуре, и к данным внутри виртуальных машин. И если такой администратор не вполне лоялен по отношению к компании, то можно ожидать самых серьезных неприятностей. При этом встроенные в платформу виртуализации средства защиты малоприменимы для решения проблемы «суперпользователя», так как требуют очень тонкой настройки и трудоемкого управления.
Другая проблема связана с особенностями развертывания виртуальных машин. Для реализации определенных типов атак могут использоваться каналы взаимодействия между виртуальными машинами и гипервизором, где злоумышленник перехватывает управляющий трафик и модифицирует его по своему усмотрению. Возможна и ситуация, когда несколько виртуальных машин одного физического сервера обрабатывают данные разного уровня конфиденциальности, что открывает лазейки для НСД. Например, данные о производительности ESX-сервера, которые гипервизор отправляет гостевым ОС по умолчанию, могут быть использованы в качестве информации для планирования потенциальной атаки на хост.
Защита виртуальной инфраструктуры никогда не будет полноценной, если не обеспечить безопасность физической среды, включая непосредственные серверы виртуализации, сеть передачи данных и СХД. Для этого обычно применяются привычные средства защиты, но есть и определенная специфика. Например, установка антивирусного ПО на каждую виртуальную машину не рациональна, поскольку в этом случае есть риск возникновения так называемого «антивирусного шторма», когда происходит одновременное обновление антивирусных баз на множестве виртуальных машин, что вызывает резкое падение производительности всей инфраструктуры. Поэтому для защиты виртуальных сред применяются безагентские антивирусные средства, которые охватывают все виртуальные машины. Не следует также забывать о необходимости средств межсетевого экранирования, доверенной загрузки ОС и критичных программных модулей, контроле каналов утечки информации через USB-устройства или средства печати и о многих других потенциальных угрозах.
В 2010 году компания Gartner провела исследование по безопасности виртуальных сред, и по его результатам оказалось, что 60% виртуальных машин защищено хуже физических. При этом предполагается, что клишь к 2015 году эта цифра снизится до 30%. Другими словами, вопрос защиты среды виртуализации стоит весьма остро. Как обеспечить защиту виртуальной инфраструктуры на практике?
Развертывание системы защиты виртуальной инфраструктуры не представляет особой сложности. Архитектура решения базируется на изолировании контура виртуальной инфраструктуры от сети администрирования путем установки специального сервера авторизации между ними, при этом сам сервер может представлять собой виртуальную машину. Через него будут проходить все запросы аутентификации администраторов, а также разграничиваться доступ к средствам управления и составляющим виртуальной инфраструктуры. При этом выделяются две стандартные роли: администратор информационной безопасности (АИБ) и администратор виртуальной инфраструктуры (АВИ), которые имеют четкое разделение ролей по административным функциям и не могут санкционировать изменение собственных полномочий. Для АИБ устанавливается консоль управления и средство просмотра отчетов, а на автоматизированных рабочих местах (АРМ) АВИ устанавливается агент аутентификации со встроенным контролем его целостности для предотвращения взлома. Следующим этапом будет задание меток безопасности, которые обычно включают в себя категории безопасности и уровни конфиденциальности по всем объектам виртуальной инфраструктуры, включая серверы виртуализации, виртуальные машины, сетевые адаптеры и СХД. Затем задаются политики безопасности виртуальной инфраструктуры и создаются учетные записи пользователей АВИ с необходимыми уровнями доступа и категориями конфиденциальности. При этом можно использовать заранее созданные шаблоны политик безопасности для приведения виртуальной среды в соответствие таким стандартам, как PCI DSS и СТО БР ИББС. Рекомендуется также включить функцию контроля целостности таких объектов виртуальной инфраструктуры, как сервер авторизации, файлы виртуальных машин и файлы гостевых систем, включая целостность их загрузочного сектора. Нужно предусмотреть и защиту физических серверов виртуализации и АРМ от НСД и атак типа «человек посередине», для чего обычно применяются соответствующие программно-аппаратные комплексы, которые поставщик решения предлагает вместе со средствами защиты виртуальной инфраструктуры. Они позволяют предотвратить атаки путем вмешательства в программно-аппаратную часть компьютера благодаря проверке целостности программной среды, блокировке загрузки ОС со съемных носителей, контролю конфигурации, обеспечению доверенной информационной среды и двухфакторной аутентификации пользователей.
На российском рынке представлено несколько соответствующих продуктов, среди которых следовало бы отметить vGate от «Кода Безопасности», «Аккорд-В» компании ОКБ САПР и HyTrust одноименной зарубежной фирмы. У каждого из них есть свои преимущества и недостатки, однако при выборе решения следует учитывать такие факторы, как наличие сертификата ФСТЭК, поддержка современных сред виртуализации (например, VMware View), гибкость в настройке политик безопасности и наличие профилей соответствия нормативным или рекомендательным документам. Наличие шаблона для соответствия требованиям по защите персональных данных разных классов также будет значительным плюсом. Такие профили нужны для того, чтобы облегчить внедрение решения и приведение виртуальной инфраструктуры в соответствие тем или иным стандартам, избавив администраторов от необходимости тонкой ручной настройки.
В декабре прошлого года ФСТЭК опубликовал два проекта приказов («Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных…» и «О защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»), где впервые было определено одиннадцать мер по защите среды виртуализации. По отдельности средства защиты виртуальной инфраструктуры (средства резервного копирования и восстановления, антивирусной защиты и др.) способны выполнить одно-два требования регулятора, в то время как результатом внедрения специализированных решений вроде vGate может стать выполнение от пяти до восьми требований по защите среды виртуализации. В связи с этим очень важным преимуществом является наличие сертификата ФСТЭК России. Отсутствие такого документа означает как минимум большие сложности при аттестации систем.
В конечном счете специализированные средства в сфере защиты среды виртуализации помогут обеспечить не только информационную безопасность виртуальной инфраструктуры предприятия с разделением и контролем доступа, но и соответствие автоматизированной системы необходимому классу защищенности, отвечающей требованиям регуляторов.