Как обеспечить защиту виртуальной инфраструктуры ЦОД?

Александр Зайцев
Менеджер проектов ООО “Код Безопасности"

Система защиты виртуальной среды ЦОД должна обеспечивать не только защиту информации, обрабатываемой в виртуальной инфраструктуре, но и защиту элементов управления виртуальной инфраструктурой. По сути, появление такого элемента, как виртуальная среда, создает и новые угрозы ИБ. К таким угрозам можно отнести:

• угрозу компрометации гипервизора (Microsoft Hyper-V, VMware vSphere Hypervisor) как нового, по сравнению с физической средой, элемента управления инфраструктурой;
• угроза утечки данных вследствие злонамеренных или непреднамеренных действий системного администратора, получающего доступ к данным и к инфраструктуре;
• повышение риска компрометации консолидированного хранилища данных при объединении множества виртуальных серверов на одном аппаратном комплексе;
• угроза несанкционированного доступа администратора виртуальной инфраструктуры к настройкам и правам пользователей на серверах виртуализации;
• угроза нарушения целостности виртуальной машины;
• невозможность контролировать все события ИБ и расследовать инциденты информационной безопасности в случае их возникновения.

Данные угрозы актуальны не только в случаях, когда компания использует свой собственный ЦОД, но и когда ресурсы арендуются в стороннем коммерческом ЦОД.

Минимизируем угрозы

Чтобы свести эти угрозы к минимуму, рекомендуется использовать встроенные в платформу виртуализации механизмы защиты гипервизора, а также специализированные средства защиты. Кроме того, в случае если в виртуальном ЦОД обрабатываются персональные данные, гостайна или другая информация ограниченного доступа, то для защиты виртуальной среды должны применяться только сертифицированные по требованиям безопасности информации средства. Специализированных средств защиты для виртуальных инфраструктур, прошедших сертификацию в ФСТЭК России, на сегодняшний день не так много. Одним из таких средств является СЗИ от НСД vGate R2 для защиты виртуальных инфраструктур VMware.

СЗИ от НСД vGate обеспечивает комплекс мер по защите виртуальной инфраструктуры:

• разделение прав на управление виртуальной инфраструктурой и на управление безопасностью виртуальной инфраструктуры;
• усиленную аутентификацию администраторов виртуальной инфраструктуры и администраторов ИБ;
• полномочное управление доступом к конфиденциальным ресурсам;
• контроль целостности конфигурации виртуальной машины (ВМ) и файлов гостевых систем ВМ, доверенную загрузку;
• централизованное управление и аудит событий безопасности;
• регистрацию событий.
• подготовку отчетов о состоянии и событиях ИБ.

Помимо защиты элементов управления виртуальной инфраструктурой ЦОД, необходимо обеспечивать защиту информации, обрабатываемой непосредственно на виртуальных машинах. Применение комплекса мер позволит не только соответствовать требованиям регуляторов, но и обеспечит высокий уровень защищенности виртуального ЦОД.