Забезпечення інформаційної безпеки ІТ-інфраструктури передбачає рішення як мінімум двох завдань: забезпечення стану конфіденційності, цілісності та доступності інформації організаційними і програмно-технічними засобами та забезпечення відповідності вимогам законодавства щодо захисту конфіденційної інформації і персональних даних. Разом з тим обробка інформації у віртуальному середовищі має свої специфічні особливості, відсутні в фізичному середовищі:
інформація обробляється в гостьових машинах, які знаходяться під повним контролем гипервизора, здатного абсолютно непомітно для традиційних засобів захисту інформації перехоплювати всі дані, що йдуть через пристрої;
адміністратор віртуальної інфраструктури, який має права доступу до Гіпервізор, стає дуже важливим суб'єктом безпеки інформаційної системи - фактично він може отримати доступ до інформаційних ресурсів в обхід існуючої політики інформаційної безпеки компанії;
засоби управління віртуальною інфраструктурою є самостійний об'єкт атаки, проникнення до них дає можливість порушникові отримати доступ до Гіпервізор серверів віртуалізації, а потім до конфіденційних даних, оброблюваних
на гостьових машинах;традиційні засоби захисту інформації, розроблені для захисту фізичної інфраструктури, можуть не враховувати існування гипервизора, що є фактично порушником, які реалізують атаку «людина в середині», при взаємодії гостьовий машини з усіма пристроями;
диски гостьових машин зазвичай розміщуються в мережевих сховищах, які мають фізично захищатися як
самостійні пристрої;традиційні міжмережеві екрани не контролюють трафік усередині сервера віртуалізації, де можуть перебувати десятки гостьових машин, взаємодіючих між собою по мережі, однак цей мережевий трафік не залишає сервера віртуалізації і не проходить через фізичні міжмережеві екрани і інша фізична мережеве обладнання;
канали передачі службових даних серверів віртуалізації зазвичай не захищені, хоча по цих каналах серед інших даних передаються фрагменти оперативної пам'яті гостьових машин, які, зрозуміло, можуть містити конфіденційні дані.
До особливостей віртуальних інфраструктур відноситься також простота створення і введення в експлуатацію гостьових машин, що призводить до ефекту розростання парку віртуальних машин, який отримав окрему назву Virtual Sprawl. Слабоконтроліруемий зростання числа віртуальних машин призводить до проблем безпеки, оскільки частина віртуальних машин не отримує належного рівня адміністрування, включаючи установку оновлень і налаштування параметрів безпеки.
Віртуальна інфраструктура підвищує ступінь інтеграції обчислювальних засобів, зменшуючи кількість фізичного обладнання при такому ж або ще більшій кількості мережевих додатків, сервісів, робочих місць і т.п., що означає ускладнення структури взаємодії суб'єктів. Тому підвищувати захищеність віртуальної інфраструктури потрібно комплексно, шляхом комбінації мережевих і локальних засобів захисту з одночасною інтеграцією широкого набору захисних механізмів: засобів мережевої аутентифікації і авторизації користувачів; міжмережевого екранування як всередині сервера віртуалізації між гостьовими машинами, так і по периметру віртуальної інфраструктури; систем реєстрації, збору і кореляційного аналізу подій безпеки; засобів розмежування доступу (і делегування повноважень) до віртуальних машин і до самого сервера віртуалізації (і його Гіпервізор); систем контролю цілісності конфігурацій розподілених компонентів віртуальної інфраструктури; засобів антивірусного захисту
і управління доступом до елементів віртуальної інфраструктури.
Адміністратору віртуальної інфраструктури надається доступ до сервера віртуалізації, що фактично означає надання доступу до десяткам віртуальних машин, тому тут потрібна політика управління доступом і організація рольової моделі управління, побудованої на базі делегування адміністративних функцій від головного адміністратора до підлеглих з метою зменшення гранулярності надання доступу. Організаціям, модель порушника яких включає адміністраторів серверів (наприклад, підпункт 2 п. 6.7 СТО БР ІБСС-1.0-2008 стандарту Банку Росії «Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації»), слід так надавати повноваження, щоб виключити можливість «самосанкціонірованія» ( п. 7.4.3 СТО БР ІБСС-1.0-2008). Модель такого надання повноважень може реалізовуватися через:
систему заявок на надання доступу, що проходять процедуру узгодження у власників відповідних інформаційних ресурсів та інших осіб, що відповідають за інформаційну безпеку;
спеціальний механізм управління правами в системі розмежування доступу адміністратором безпеки, які не мають прав на систему віртуалізації, а адміністратор системи віртуалізації, в свою чергу, не має повноважень на призначення прав в системі розмежування доступу.
Розумно також використовувати комбінацію цих двох підходів.
Важливим завданням є забезпечення безпеки інформації в мережевих сховищах даних. Ідеальне рішення полягає в реконфігурації мережі таким чином, щоб файли-зображення віртуальних машин розміщувалися в ізольованому мережевому сховище, доступ до якого контролюється фаєрволом. Крім того, якщо стоїть завдання забезпечити ізоляцію даних в мережевому сховище від адміністратора сервера віртуалізації, то необхідно переконатися, що це завдання вирішується обраними технічними засобами. Для отримання доступу до даних віртуальних машин адміністратор може скористатися як штатними можливостями середовища управління виртуализацией, так і своїми адміністративними повноваженнями на самому сервері віртуалізації, завдяки яким він може мати прямий доступ до дисків віртуальних машин. Важливо забезпечити таку модель безпеки, щоб адміністратор міг в повному обсязі виконувати свої функції з адміністрування віртуальної інфраструктури, але при цьому не мав доступу до даних, оброблюваних всередині віртуальних машин, які створюються їх користувачами.
Якщо відсутня можливість виділити засіб зберігання даних для серверів віртуалізації (а до цього сховища звертаються також додатки і сервіси з самих гостьових віртуальних машин і користувачі фізичних робочих місць), то завдання забезпечення безпеки ускладнюється. В цьому випадку необхідно забезпечити фільтрацію трафіку за протоколами, які підтримуються мережевими сховищами даних, заборонити створення несанкціонованих пристроїв мережевого зберігання даних на фізичних робочих місцях і всередині гостьових віртуальних машин.
Окремо варто наголосити на необхідності контролю цілісності конфігурацій віртуальних машин з метою запобігання додаванню недозволених пристроїв (в основному накопичувачів різних типів) в гостьовій віртуальній машині, на які порушник може виконати копіювання конфіденційної інформації. Необхідно також забезпечити довірену завантаження і контроль цілісності сервера віртуалізації і гипервизора за допомогою апаратно-програмних модулів довіреної завантаження або їх аналогів.
У разі якщо у віртуальному середовищі обробляються персональні дані, захищеність віртуальної інформаційної системи повинна відповідати вимогам законодавства, однак вимоги Федерального закону № 152, Постанови Уряду РФ від 17.11.2007 р № 781, методичні рекомендації та матеріали регуляторів щодо забезпечення безпеки персональних даних не роблять відмінностей між фізичною та віртуальним середовищем обробки. Те ж саме стосується і керівних документів регуляторів в частині захисту конфіденційної інформації. Згідно з усіма цими нормативними актами, що застосовуються засоби технічного захисту інформації повинні бути сертифіковані, що означає необхідність використання і в віртуальної інфраструктури сертифікованих засобів захисту інформації необхідного рівня захищеності і з відсутніми в них недекларований можливість-ми. У зв'язку з цим особливої важливості набуває професійне проектування системи, причому, в залежності від категорії оброблюваних даних, потрібно проводити атестацію віртуальної інформаційної системи.
Потрібно відзначити, що при захист персональних даних, які обробляються на серверах віртуалізації, потрібне використання міжмережевого екранування високого класу захищеності. Зокрема, необхідно проводити аутентифікацію вхідних і вихідних з'єднань, визначати початок і закінчення сеансів зв'язку. Ці дії повинні виконуватися і по відношенню до з'єднань з боку адміністратора віртуальної інфраструктури.
Олександр Ширманом ( [email protected] ) - генеральний директор ТОВ «Код Безпеки», група компаній «Інформзахист» (Москва).
Реальні приклади «віртуальних» загроз
Атака на сервер віртуалізації і засоби управління віртуальної інфраструктури. Може бути реалізована за рахунок несанкціонованого доступу або експлуатації вразливостей ПЗ віртуалізації. Захист забезпечується комплексом організаційних і технічних заходів, серед яких: відділення мережі адміністрування віртуальної інфраструктури з подальшим захистом периметра мережі (забезпечує Security Code vGate); контроль цілісності і довірена завантаження серверів віртуалізації (забезпечує електронний замок «Соболь»), обмеження фізичного доступу до них; своєчасна установка оновлень ПО віртуалізації, і ряд інших заходів.
Атака на диск віртуальної машини. Реалізується за рахунок несанкціонованого доступу до системи зберігання даних або мережі передачі даних через скомпрометовані елементи віртуальної або фізичної інфраструктури. Захист також забезпечується комплексом заходів, серед яких захист мережі передачі даних і розмежування доступу до системи зберігання даних і окремих розділів цієї системи.
Атака на віртуальну машину з іншого віртуальної машини. Оскільки трафік між віртуальними машинами може не покидати меж сервера віртуалізації, то традиційні міжмережеві екрани не застосовні для захисту від подібного виду атак. Потрібно застосування спеціалізованих віртуальних міжмережевих екранів.
Засоби захисту віртуальних середовищ
Security Code vGate for VMware Infrastructure - спеціалізоване засіб захисту інформації, призначене для забезпечення безпеки управління віртуальною інфраструктурою VMware Infrastructure 3 та VMware vSphere 4. Застосування даного продукту спільно з організаційними заходами дозволяє деактуалізіровать основні види характерних для віртуалізації загроз.
Електронний замок «Соболь» - це апаратно-програмний засіб захисту комп'ютера від несанкціонованого доступу. Може застосовуватися для довіреної завантаження і контролю цілісності серверів віртуалізації VMware ESX Server.