На первый взгляд безопасность виртуальных серверов не отличается от безопасности физических машин, на которых они размещены. И на самом деле начинать аудит виртуальной безопасности, учитывая опыт, полученный в реальном мире, прекрасный подход. Специалист
Программное обеспечение может развертываться значительно быстрее при использовании виртуальных машин, поэтому ряд операций типичного процесса инициализации можно исключить. Что, в свою очередь, требует от ИТ-службы обеспечения необходимых средств управления и контроля с учетом урезанного временного интервала. Таково мнение Поля Лава, директора по информационной безопасности из компании Standard Insurance.
«Имея дело с виртуальными машинами, стоит обратить внимание на существующую конфигурацию системы, − рекомендует Лав. − Вам необходима надежная компоновка, чтобы все тысячи ее версий при развертывании отвечали руководящим требованиям, а для этого должны быть установлены средства управления».
Когда сотрудники Лава проводят аудит безопасности среды виртуального сервера, они не столько вводят новые операции, сколько расширяют уже существующие для реальных серверов. Это подразумевает проверку взаимодействия систем и обеспечение, чтобы операционная система, на которой функционируют виртуальные машины, была безопасна и не сталкивалась со «смещением конфигурации».
«Нам необходимо тесно контролировать управление изменений», − говорит Лав.
Перед тем как проводить аудит и совершенствовать виртуальную безопасность вам, возможно, стоит ознакомиться с руководством по обеспечению безопасности среды виртуального сервера, которое можно найти в Центре безопасности Internet (Center for Internet Security, CIS), в Агентстве по оборонным информационным системам (Defense Information Systems Agency, DISA) и у лидера в сфере виртуальных серверов VMware.
«ИТ-директорам нужно изучить эти руководства и подготовить сводку, комплекс запорных и усиливающих защиту правил, приспособленных к их среде, − советует Нэд Мулчандани, старший руководитель, отвечающий за выпуск продукции и маркетинг в компании VMware. − Одного этого уже достаточно, чтобы намного упрочить вашу безопасность».
Виртуальные средства безопасности также могут пригодиться, но аналитики рекомендуют клиентам обратить внимание на уже используемые ими продукты, прежде чем купить новые, специально разработанные для виртуальных серверов. Сегодня существуют 10−15 поставщиков, предлагающих специальные средства безопасности для виртуальных машин, а к концу года , их число, вероятно, возрастет до 30, так считает Крис Кристиансен, аналитик из IDC.
Вот пять действий, которые следует предпринять для защиты виртуальной среды:
1. Провести полную оценку риска, чтобы понять, как части системы были разделены и сгруппированы.
«Не забывайте то, что вы знаете о конфигурации и управлении рисками, − советует Пит Линдстром, аналитик из Burton Group. − В целом не произошло радикальных изменений, за исключением расширения кругозора с учетом того, что реальный ведущий узел заключает целый сетевой сегмент внутри. Из этого следует, что вам нужно оценить конфигурации самих виртуальных машин. Сделав это, вы произведете аудит любой другой конфигурации».
2. Утвердить процесс создания, использования, управления и внесения изменений в виртуальные машины.
«Сейчас приобретение оборудования, загрузка операционной системы, тестирование и выделение места под стойки больше не требуются», − говорит Джон Пескатор, аналитик из Gartner.
«Очень важно то, что виртуальные машины не принадлежат одной группе внутри организации, − добавляет Лав из Standard Insurance. − С точки зрения безопасности это позволяет вести диалог с администраторами систем и сети для понимания того, что меняется в виртуальной среде».
Приводя пример потенциальной проблемы, он говорит: «После загрузки виртуальная машина может уйти в офлайн, прежде чем вы запустите сканирование».
3. Безопасно конфигурировать уровень виртуализации, поддерживая программные вставки с исправлениями на современном уровне.
«Прочтите руководство по усилению защиты, перед тем как приступить к разработке основы, а затем проведите аудит, чтобы не произошло отклонения безопасности уровня виртуализации, − говорит Нил Макдональд, аналитик из компании Gartner. − Средства от таких поставщиков, как Configuresoft и Tripwire, могут помочь с конфигурацией».
4. Обезопасьте виртуальный коммутатор внутри виртуального сервера. Взвесьте. насколько необходимы дополнительные средства контроля, например, виртуальный брандмауэр или виртуальная система защиты от вторжения.
«Вам следует обратить внимание на то, как ваши виртуальные машины сообщаются друг с другом и внешним миром, через инфраструктуру виртуального коммутатора на реальном компьютере, − дает совет Линдстром. − Надо обратить внимание на конфигурацию этих коммутаторов, движение трафика и возможность доступа к этому трафику от одной виртуальной машины к другой и от виртуальной машины к внешним устройствам».
5. Осуществляйте строгий контроль доступа к служебной консоли и инструментам управления.
Вы желаете тщательно контролировать доступ к консоли и инструментам, таким как VMotion компании VMware и Virtual Center, и к их эквивалентам в других средах? Передовой опыт рекомендует использовать инструменты управления в отдельной сети.
«Это исключит возможность внедрения виртуальной машины в трафик, который идет у консоли управления с серверами для их контроля, − говорит Мулчандани из VMware. − Это походит на прослушивание чужих телефонных разговоров».
«Основные проблемы безопасности виртуального мира возникнут из-за неверной организации, неправильного управления или банальных ошибок», − не сомневается Макдональд. − Эта проблема вызвана тем, что в реальном мире мы применяем другие инструменты, отличные от используемых в виртуальном мире».