В рубрику "Спецпроект: SaaS" | К списку рубрик | К списку авторов | К списку публикаций
Большинство проектов по виртуализации до сих пор осуществляется без привлечения специалистов по ИБ. В итоге виртуальные машины (ВМ) создаются "по умолчанию" или по устаревшим шаблонам и используются без применения специальных средств защиты. Все это может привести к утечке конфиденциальной информации, которая хранится и обрабатывается в виртуальной инфраструктуре (ВИ).
Кроме того, перенос информации в виртуальную среду влечет за собой принципиально новые риски и угрозы, связанные в основном с архитектурными особенностями ВИ. В частности, на одном физическом сервере (сервере виртуализации) одновременно в среднем может работать до десяти ВМ, при этом внутренний трафик "ВМ – ВМ" не покидает пределы сервера виртуализации. Контролировать внутренние соединения между ВМ очень сложно, поскольку традиционный межсетевой экран (МЭ) просто не сможет отследить нарушение заданных правил в рамках одного сервера виртуализации.
Чтобы исключить угрозу атаки ВМ на ВМ, как правило, применяются специализированные распределенные МЭ, которые контролируют как внешний, так и внутренний трафик ВИ. При этом между собой ВМ "общаются" через гипервизор, который также является слабым звеном и может быть доступен для злоумышленника. Доступ к гипер-визору и данным ВМ он может получить и через средства управления ВИ. Соответственно защита от несанкционированного доступа (НСД) на этих компонентах также является первоочередной задачей.
Так как ВМ представляет собой не что иное, как набор файлов, которые в любой момент можно скопировать, возникает еще один тип инцидента – утечка данных через администратора ВИ, который фактически имеет полный доступ к ВМ. При этом копирование данных ВМ вообще может остаться незамеченным, поскольку в виртуальной среде нет проактивных средств контроля действий администратора. В данном случае решением может стать разделение полномочий и ответственности между администратором ВИ и администратором ИБ. Соответственно один назначает права доступа, другой этими правами пользуется. Реализуют этот функционал специализированные средства защиты информации, поскольку при помощи традиционных встроенных средств управлять правами доступа и разделять полномочия сложно или зачастую практически невозможно.
Еще один немаловажный фактор для ВИ в контексте ИБ – это настройка серверов виртуализации и ВМ в соответствии с законодательством и отраслевыми стандартами. Поскольку виртуализация вносит свои коррективы в управление IТ-инфра-структурой, то и требования к безопасности ВИ увеличиваются, а вместе с ними и объем "ручной" работы администратора ВИ.
На сегодняшний день существует несколько групп специальных инструментов защиты, которые можно применять для защиты ВИ. В частности:
Ручная настройка и поддержка ВИ в соответствии с требованиями регуляторов отнимает много времени (особенно если учесть объем документов, которые следует изучить администратору ВИ) и не исключает "прорехи" в защите, которые могут возникнуть по недосмотру администратора ВИ. Поэтому такую работу необходимо автоматизировать. В частности, чтобы осуществлять контроль над критичными для безопасности ВИ настройками ВМ, можно устанавливать политики безопасности (или шаблоны). Как правило, специализированные СЗИ имеют набор встроенных ИБ-политик и позволяют создавать свои собственные. С помощью таких шаблонов можно не только быстро настроить защиту ВИ в соответствии с рекомендациями производителя платформы виртуализации и требованиями отраслевых стандартов (например, PCI DSS), но и контролировать конфигурацию критически важных параметров безопасности. В случае если в виртуальной среде обрабатывается конфиденциальная информация, к примеру, персональные данные, то защищенность ВИ также должна соответствовать требованиям законодательства, в частности ФЗ-152. В этом случае стоит использовать сертифицированные средства защиты информации требуемого уровня защищенности и с отсутствующими в них недекларируемыми возможностями.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2011