Владимир Чибисов, CIO компании «Еврохим»; Vladimir.Chibisov@eurochem.ru |
Только комплексный подход сможет обеспечить эффективную информационную безопасность виртуализованных сред
Виртуальные среды становятся неотъемлемой частью ИТ-инфраструктуры многих компаний, а обеспечение информационной безопасности — одним из важнейших направлений деятельности служб ИБ и ИТ. Компания «Еврохим» не исключение.
В настоящее время мы используем следующие виртуальные серверы: почтовый, файловый, приложений (включая антивирус, сервер обновлений, внешний веб-сервер, коммуникаторы, UDS-сервисы, сервер баз данных). Все эти объекты защищаются собственной системой информационной безопасности. В дальнейшем планируется ввести в эксплуатацию сервер, на котором будет работать домен контроллера.
Для системы с наиболее важными данными в рамках виртуализированной среды была создана зона высокого доверия, которая является наиболее безопасным участком инфраструктуры виртуализации.
В эту зону помещены наиболее чувствительные к компрометации приложения — те, что работают с самыми важными данными, выполняют административные функции и отвечают за безопасность инфраструктуры, критически важные для деятельности компании, а также системы, которые находятся под контролем регулирующих органов.
Риски виртуализации
Риски виртуализации
Эксперты в области информационной безопасности сходятся в том, что основными рисками виртуализации с точки зрения ИБ являются следующие.
1. Уязвимость уровня виртуализации может сделать уязвимыми все системы, которые работают в данном виртуализованном пространстве.
2. Отсутствие видимости и контроля внутренних виртуальных сетей, созданных для коммуникации между виртуальными машинами, лишает эффективности имеющиеся механизмы реализации политик безопасности.
3. Системы с разным уровнем доверия работают на одном физическом сервере без должного разделения.
4. Отсутствие должного контроля административного доступа к уровню гипервизора и системы управления виртуальными машинами, а также к средствам администрирования.
5. Вероятность нарушения разделения полномочий управления сетью и безопасностью.
Система безопасности контролирует связи между зонами доверия через узлы реализации политик и включает в себя ряд элементов управления: брандмауэры, прокси-приложения, системы аутентификации и регистрации, обнаружения вторжений. Связь между зонами жестко регламентирована, она находится под постоянным мониторингом и контролем. Выделенные зоны локализуются на физических и виртуальных локальных сетях, для каждой из них существует своя система управления.
В нашей компании применяются лучшие, как мы считаем, практики оценки и управления рисками виртуализированной среды. Методы управления рисками (их всего 24) сгруппированы в четыре категории:
• администраторский контроль — 9 методов, в том числе специальная система администрирования учетных записей зоны высокого доверия и многофакторной аутентификации;
• контроль приложений — 6 методов, в том числе методы, перекрывающие друг друга и тем самым усиливающие защиту: сопровождение жизненного цикла, аутентификация, авторизация, регистрация и пр.;
• мониторинг управления — 5 методов, в том числе непрерывный мониторинг аномальных событий или атак на инфраструктуру виртуальных зон высокого доверия, сетей, виртуальных машин и приложений;
• контроль сети — 4 метода, включая использование резервных коммутаторов и датчиков сетевых систем обнаружения вторжений (network intrusion detection system, NIDS).
Для защиты инфраструктуры управления виртуализацией мы применяем изоляцию виртуализированных инфраструктур, защиту учетных записей, служащих для управления виртуализацией, защиту приложений при их перемещении в зоны высокого доверия, а также обеспечение непрерывной доступности приложений и анализ связанных с ней рисков, включая устранение внешнего доступа в зоны высокого доверия, оценку безопасности архитектуры сети, определение правил работы брандмауэра и при необходимости внесение изменений в эти правила, оценку работы прокси-серверов и узлов-бастионов (специальных устройств, принимающих на себя внешние атаки и способных этим атакам противостоять), оценку архитектуры приложения, в том числе соответствия требованиям создания безопасного ПО по предложенной Microsoft методике управления жизненным циклом информационной безопасности (Security Development Lifecycle, SDL), оценку безопасности системы, включая регистрацию, контроль доступа, администраторские ограничения и многое другое.
Для расширения мониторинга безопасности создаются механизмы обеспечения централизованной регистрации, журнала мониторинга событий, бизнес-аналитики и оповещений администраторов, которые позволят точно локализовать и исследовать необычные явления. Важным дополнением к этим механизмам является улучшение уровня безопасности самих приложений. Централизованно осуществляются записи системных журналов, ведется работа по повышению уровня защиты приложений.
В рамках комплексного мониторинга сети постоянно анализируются все входы и выходы из зон высокого доверия и действия пользователей — это дает возможность составить картину их нормального поведения. На ее фоне хорошо заметны проявления аномального поведения, о них следует оповещать администраторов.
На собственном опыте
Несмотря на то что работа по созданию комплексной системы ИБ виртуализованных сред в «Еврохиме» еще не завершена, можно уже говорить о подходе и принципах, которые хорошо зарекомендовали себя в нашей собственной практике и могут быть использованы при создании безопасных виртуализированных, облачных и гибридных систем в других организациях.
Прежде всего необходимо иметь целостное представление о всех уязвимостях системы и связанных с этим рисках. Второе: к защите гипервизора нужно относиться так же, как на невиртуализированных серверах относились к защите операционных систем. К сожалению, понимание того, что гипервизор, как и ОС, требует мониторинга и защиты, пока не получило распространения в ИТ-сфере, поэтому готовые продукты и решения такого рода отсутствуют. В результате при реализации архитектуры зоны высокого доверия приходится импровизировать, создавая временную защиту гипервизора и проводя эксперименты параллельно с построением системы, — таким образом может быть снижен риск компрометации гипервизора.
Третье: минимизировать риски можно путем ограничения трафика между виртуальными машинами. Сегрегация машин достигается путем объединения их в изолированные друг от друга классы. В процессе жизненного цикла виртуальной машины всегда должен быть известен ее владелец. На физических серверах возможно совместное размещение только тех машин, которые отвечают требованиям к совместному размещению на том или ином сервере.
Четвертое: необходимо точное и гибкое администрирование. Нужно увеличить количество ролей, требуемых для решения конкретных задач, а также запретить некоторые действия персонала.
Пятое: нужно увеличить детализацию журналирования и мониторинга. Поскольку виртуализация приводит к консолидации ресурсов и более целостной инфраструктуре, очень важно увидеть, как работает каждый из компонентов системы.
Шестое: требуется мониторинг самих средств управления. Выяснилось, что для полноты картины необходимо в единую базу помещать также системные журналы сетевых коммутаторов, подсистем хранения данных и управления серверами. Один из практических способов управления трафиком между виртуальными машинами заключается в использовании виртуальных локальных сетей с целью изоляции трафика виртуальных машин, принадлежащих разным клиентам. Чтобы такой подход был эффективным, нужно распространить поддержку виртуальных сетей за пределы базовой инфраструктуры коммутации вплоть до физических серверов, на которых располагаются гостевые системы. Такая поддержка осуществляется практически повсеместно при использовании виртуализации.
И наконец, чтобы обеспечить безопасность облака, особенно при переносе в него секретных данных и приложений, которые с ними работают, требуется комплексный подход с использованием расширенного мониторинга безопасности, точного определения потенциальной опасности каждого события и качественной проработки управления доступом.