Защита виртуальных ЦОД

Юрий Сергеев
руководитель группы проектирования
Центра информационной безопасности
компании "Инфосистемы Джет"

Это требует соответствующего подкрепления в виде адаптированных к новой среде механизмов обеспечения ИБ. Кроме того, необходимо, чтобы применяемые средства защиты не только запускались в виртуальной среде, но и использовали ее возможности для получения новых преимуществ с точки зрения ИБ.

Виртуальный ЦОД можно рассматривать как специализированную площадку с современной инженерной инфраструктурой (системами кондиционирования и вентиляции, общего и резервного электроснабжения, пожаротушения и т.д.). При этом информационные системы на ней размещаются не на физическом оборудовании, а в виртуальной среде, охватывающей серверную и телекоммуникационную части инфраструктуры. В такой ситуации сервисы, размещаемые в ЦОД постоянно, не привязаны к ресурсам конкретного физического устройства и динамически перемещаются между серверами виртуализации. А сетевая инфраструктура реализуется таким образом, чтобы после перемещения виртуальная машина (ВМ) могла полноценно продолжать свою работу.

В зоне безопасности - разделяй!

Наиболее удачное решение для рассматриваемой среды основано на разделении виртуальной среды на зоны безопасности, являющиеся набором преднастроенных базовых сервисов защиты, в том числе антивирусной защиты, защиты от сетевых атак, контроля целостности и пр. Эти сервисы предоставляются виртуальным машинам по безагентской технологии, и при погружении новой виртуальной машины в ту или иную зону виртуального ЦОД сразу же обеспечивается ее защищенное функционирование без каких-либо дополнительных усилий. Реализацией такой защиты занимаются выделенные ВМ безопасности, тесно интегрируемые с функциями гипервизора. При этом, когда виртуальным дата-центром пользуются третьи (по отношению к обслуживающей организации) лица, выполнение этой концепции позволяет с уверенностью говорить об определенном уровне защиты, получаемом всеми пользователями вне зависимости от качественности защиты администраторами каждой конкретной ВМ.

Разделение на указанные зоны безопасности может быть выполнено на логическом уровне при управлении виртуальной средой. Это особенно актуально, когда в виртуальном дата-центре обрабатывается информация, содержащая данные о платежных картах, что требует обеспечения соответствия стандарту PCI DSS. В таком случае для оптимизации области действия стандарта (для выполнения всех требований только для части виртуального ЦОД) желательно выделять в зону безопасности область PCI DSS на логическом уровне с помощью средств контроля доступа к виртуальной среде. При этом важно обеспечить доступ к интерфейсам управления только по результатам строгой аутентификации. В этом плане применение двухфакторной аутентификации с точки зрения ИБ приобретает особую значимость.

Про технику безопасности

Многообразие векторов атак, направленных на различные компоненты и сервисы виртуальной среды, приводит к тому, что для обеспечения безопасности обработки информации в виртуальном ЦОД недостаточно установки какого-либо одного специализированного продукта. Обеспечение безопасности виртуальных ЦОД требует создания комплексной системы защиты, учитывающей критические векторы атаки и новые возможности нарушителей. При этом из-за повышения возможностей преодоления систем защиты при получении несанкционированного доступа к управлению виртуальной средой возрастает значимость построения ряда процессов обеспечения ИБ. Среди них: предоставление доступа, управление инцидентами, событиями, обновлениями и конфигурациями ИБ, анализ уязвимостей и актуализация угроз, проектирование и актуализация системы защиты.

На чем сосредоточиться?

Зачастую данные процессы невозможно реализовать без участия выделенных ИБ-специалистов и организации их работы на постоянной основе. Безусловно, что-то эффективнее автоматизировать, используя различные технологии и продукты. Отдельного внимания заслуживают проработка модели разделения полномочий пользователей и определение, кому конкретно какой доступ необходим. Это позволяет избежать концентрации у одного человека универсальных прав "гиперпользователя".

Опыт показывает, что реализация процесса управления установками обновлений и серьезное отношение к процедурам аутентификации и выдаче привилегий нивелируют значительную часть ИБ-рисков для виртуального ЦОД. В целом проектирование виртуального дата-центра требует от ИБ-специалистов уделять более пристальное внимание сокращению потенциальной области, доступной для атаки злоумышленника, заблаговременному планированию сегментации сетей, отключению неиспользуемых виртуальных устройств и сетевых сервисов.

Всем уязвимостям по мере защиты

Технологии виртуализации бурно развиваются и уязвимостей, связанных со средой виртуализации, с каждым месяцем становится все больше. Поэтому основная задача - не столько ограничение возможностей злоумышленника для использования уязвимостей, сколько проактивная работа по контролю исправлений новых уязвимостей и проведению анализа сетевых узлов с помощью сканеров. В основном это развитие обусловлено IТ-причинами, в результате которых программный слой среды виртуализации зачастую разрабатывается без оглядки на требования И Б. Кроме большего количества уязвимостей, это приводит к тому, что средства управления виртуальной средой не обеспечивают фиксацию достаточного количества полей сообщений при ведении журналов действий пользователей. В итоге могут существенно затрудниться расследование инцидентов и возникнуть необходимость в реализации дополнительных мер защиты либо применении специализированных средств контроля доступа.

Рынок средств защиты, реагируя на новые вызовы защиты виртуальных ЦОД, сегодня предлагает множество оптимизированных для работы в виртуальной среде средств. Их использование позволит обеспечить такой уровень ИБ, который сопоставим с дата-центрами, построенными по старым принципам, и даже более того - даст шанс сделать защиту еще более эффективной.