Виртуализация как основа для создания новых средств защиты информации

Кирилл Прямов
Менеджер по маркетингу, ООО "АльтЭль"

Кроме таких преимуществ, как эффективное использование вычислительных мощностей, снижение энергопотребления, упрощение обслуживания и увеличение надежности исполнения прикладных сервисов, виртуализация также позволяет повысить уровень ИБ организации. В первую очередь это связано с такими возможностями виртуализации, как изолирование недоверенных сред и защита от атак, основанных на подмене МАС-адреса. Но как и любая технология, виртуализация обладает своими специфическими уязвимостями и нуждается в специализированных средствах и методиках защиты.

В настоящее время на российском IT-рынке представлено большое количество поставщиков, предлагающих свои решения для защиты виртуальных инфраструктур. У каждого из них есть свои достоинства и недостатки, но всех их объединяет одно - концентрация на защите виртуальных машин. Такой подход не учитывает ряд угроз, которые могут нанести существенный ущерб информационной безопасности организации. Например, если злоумышленник захватит гипервизор или завладеет правами доступа администратора виртуальной инфраструктуры, то средства, установленные внутри виртуальных машин (антивирусы, межсетевые экраны, системы обнаружения вторжений и т.д.), будут не способны защитить обрабатываемую информацию.

Кардинально новая защита виртуальных сред

Подход компании "АльтЭль" к защите виртуальных сред кардинально отличается от философии других разработчиков. Ее технология ALTELL seOS VT изначально разрабатывалась в соответствии с жесткими требованиями к степени обеспечения информационной безопасности на всех уровнях работы вычислительной системы. Благодаря этому ALTELL seOS VT обладает рядом уникальных характеристик, отличающих ее от других решений для защиты виртуальных сред:

• ALTELL seOS VT является доверенной средой виртуализации, в которой можно безопасно обрабатывать конфиденциальную информацию любого уровня секретности;
• ALTELL seOS VT обеспечивает изоляцию и двойную очистку страниц памяти, что является одним из требований, предъявляемых к системам, обрабатывающим информацию особой важности;
• ALTELL seOS VT позволяет использовать ролевой и мандатный принцип контроля доступа к виртуальным машинам и управлению;
• ALTELL seOS VT позволяет обеспечить изоляцию виртуальных машин друг от друга в соответствии с метками доступа, в том числе и возможность их разделения на физическом уровне;
• ALTELL seOS VT позволяет обеспечить доверенную работу специализированных сервисных виртуальных машин, на которых могут использоваться сертифицированные средства защиты информации, например криптографическое ПО. Это дает возможность комбинировать разные средства защиты, а также контролировать передаваемые данные и работу гостевых виртуальных машин;
• при применении ALTELL seOS VT сам факт использования виртуализации и средств защиты информации может быть скрыт от пользователя;
• ALTELL seOS VT позволяет обеспечить загрузку виртуальных машин в соответствии с определенными настройками (например, загрузку ОС в зависимости от аутентификации или загрузку модифицируемой или закрытой ОС), а также гарантирует невозможность одновременной работы в доверенных и недоверенных ОС;
• опционально в решениях на основе ALTELL seOS VT может использоваться СЗИ НСД ALTELL TRUST, обеспечивающее доверенную загрузку BIOS и гипервизора, контроль аппаратного и программного обеспечения, а также удаленное управление несколькими территориально распределенными системами на базе ALTELL seOS VT из единого центра.

Описанные характеристики ALTELL seOS VT дают возможность безопасно пользоваться всеми преимуществами, связанными с применением технологий виртуализации, что позволяет:

• снизить затраты на организацию рабочих мест пользователей (можно консолидировать рабочие места разных уровней доступа на одном физическом оборудовании);
• ускорить развертывание рабочих мест пользователей за счет использования образов ОС и стандартных конфигураций;
• использовать простой механизм резервного копирования и восстановления (так как работа с виртуальной машиной осуществляется как с единым файлом);
• исключить пользователя из процесса управления настройками автоматизированного рабочего места (АРМ) и специализированных средств защиты информации, что значительно повышает уровень информационной безопасности;
• исключить влияние пользователя на уровень информационной безопасности организации при передаче ему прав администратора ОС виртуальной машины (так как настройки самой виртуальной машины останутся для него закрытыми);
• обеспечить работу пользователя только в разрешенных виртуальных машинах, что повышает безопасность решения по сравнению с ситуацией, когда к ОС могут иметь доступ как администратор, так и пользователь.

В настоящее время технология ALTELL seOS VT используется в четырех решениях компании "АльтЭль": ALTELL vDesktop, ALTELL vServer, ALTELL vStorage и ALTELL vMobile.

ALTELL vDesktop

Решение ALTELL vDesktop позволяет обрабатывать данные разного уровня доступа на одном рабочем месте на разных изолированных друг от друга виртуальных машинах. Например, на одной виртуальной машине пользователь может работать с данными ограниченного доступа, а на другой - с Интернетом через открытые каналы связи. При этом работа с виртуальной машиной осуществляется в полноэкранном режиме, и пользователь не чувствует отличий от традиционной работы с ОС, установленной непосредственно на рабочей станции. Важно отметить, что при такой схеме работы у пользователя отсутствует доступ к служебным виртуальным машинам, которые управляют гипервизором и несут полезную нагрузку в виде СКЗИ, межсетевого экрана, антивируса или клиента для работы с Wi-Fi.

При организации работы на одном АРМ нескольких пользователей ALTELL vDesktop позволит создать для них разные виртуальные машины, загружаемые в зависимости от данных, предоставленных пользователем при аутентификации. Эта возможность делает работу пользователей полностью независимой друг от друга (разные данные, ОС, уровни доступа и т.д.), что также положительно сказывается на уровне информационной безопасности.

ALTELL vServer

Решение ALTELL vServer является системой серверной виртуализации, которая, кроме перечисленных выше возможностей по безопасной обработке информации, предоставляет все функции, необходимые для такого класса решений. За счет использования служебных виртуальных машин такой сервер можно трансформировать в специализированное виртуальное устройство, например в криптомаршрутизатор, межсетевой экран, агрегатор СДХ и т.д. Стоит отметить, что возможности ALTELL vServer позволяют создавать надежные и защищенные решения для создания частных и публичных облаков.

ALTELL vStorage

Решение ALTELL vStorage позволяет объединить серверы на базе ALTELL seOS VT для создания базового узла ЦОД, состоящего из трех основных частей:

1. серверов виртуализации (реализованных с помощью ALTELL vServer) и виртуальных машин, исполняющих прикладные задачи;
2. СХД прокси (серверов агрегации) на базе ALTELL vServer, объединяющих узлы СХД в отказоустойчивые RAID-массивы и предоставляющие к ним доступ серверам виртуализации;
3. СХД-узлов - систем хранения, представляющих собой шасси с дисками и механизмом кэширования информации.

Коммутация осуществляется через InfiniBand с пропускной способностью до 100 Гбит/с, что позволяет значительно увеличить скорость обмена информацией между компонентами решения. Подобная реализация ЦОД обладает рядом преимуществ, например позволяет менять компоненты серверов без остановки работы ЦОД, наращивать вычислительные мощности и мощности хранения в зависимости от текущей потребности, обеспечивать высокий уровень отказоустойчивости, а также максимально упрощает процесс модернизации и обслуживания.

ALTELL vMobile

Решение ALTELL vMobile предназначено для защиты мобильных устройств, таких как планшетные компьютеры и смартфоны. В этом случае личная информация пользователей обрабатывается в одной виртуальной машине, а рабочая - в другой. Такая реализация позволяет разграничить персональные и корпоративные данные, а также минимизировать ущерб от вредоносных программ. При этом IT- и ИБ-специалисты могут создавать и тонко настраивать типовые конфигурации для разных групп пользователей, добиваясь достижения максимального уровня информационной безопасности организации. Таким образом, применение ALTELL vMobile позволяет в полной мере реализовать концепцию BYOD.

В настоящее время все решения на базе технологии ALTELL seOS VT проходят сертификацию во ФСТЭК и ФСБ, что позволит использовать их в целях защиты информации в автоматизированных информационных системах.