Видеть цель, верить в себя, не замечать препятствий — эти правила берут на вооружение не только начинающие чародеи, но и различные злоумышленники, внедряющиеся в виртуализованные среды. Очевидно, что для защиты от их атак и от написанных ими вредоносных кодов требуется целый бастион различных средств ИБ, защищающих от разных рисков и опирающихся на различные методики.
По мнению Саида Аль-Уляфи, директора по информационной безопасности Национального банка «Траст», самый большой риск при использовании виртуальной среды создает наличие гипервизора: обладая правами администратора на уровне гипервизора, можно получить неограниченные права на всю инфраструктуру. «Не случайно координационный совет международного стандарта платежных карт PCI Security Standards Council до сих пор оставляет разграничение доступа на уровне систем визуализации на усмотрение аудиторов, а в большинстве случаев требует и физического разделения серверов», — добавляет Аль-Уляфи. Еще одним риском виртуальной среды он считает теоретическую возможность получения доступа к активам через общие ресурсы внутри виртуальной среды.
Джабраил Матиев, руководитель отдела информационной безопасности системного интегратора IBS Platformix, наиболее серьезным риском ИБ в виртуализованных средах считает взлом платформы виртуализации изнутри: «Некоторые пользователи из числа клиентов провайдера частных или публичных облаков нередко внутри среды виртуализации получают более высокий уровень привилегий, что открывает им широкие возможности для злоупотреблений». Еще один серьезный риск связан с нарушением доступности виртуализованной среды (по сути, это отсутствие сервиса). Третий важный риск — взлом системы управления виртуализованной средой.
Денис Безкоровайный, технический консультант Trend Micro в России и странах СНГ, при переходе в виртуализованную среду настоятельно советует пересмотреть методы реализации привычных подсистем безопасности: «Архитектура виртуализации имеет особенности и накладывает определенные ограничения на использование ресурсов, которых нет в физической среде. В частности, это касается взаимодействия виртуальных машин друг с другом, при котором обходятся стандартные средства сетевой защиты. Сложность управления уязвимостями в виртуальной среде обусловлена ее динамичностью, что приводит к разрастанию количества виртуальных машин с разным числом установленных «заплаток» для операционной системы и приложений. Следует также помнить, что системы антивирусной защиты, которые не адаптированы к работе в виртуальной среде, потребляют значительное количество ресурсов, особенно при обновлении сигнатур и антивирусном сканировании».
Еще один риск связан с потерей контроля над корпоративными данными, попавшими в личную зону пользователя в виртуализованной среде, отмечает Сергей Вахонин, директор по ИТ компании DeviceLock. Поскольку для доступа к корпоративным приложениям, размещенным в виртуализованной среде, пользователи нередко применяют свои личные устройства, резко увеличивается вероятность утечки данных вовне. Чтобы это предотвратить, потребуются DLP, способные работать в виртуализованной среде.
«Вне зависимости от того, физическая ли у пользователя рабочая станция или виртуальная, он может использовать конфиденциальную информацию, к которой имеет доступ, не по назначению. Основной угрозой по-прежнему остается человеческий фактор», — продолжает Алексей Калгин, руководитель продуктового направления EndPoint Security компании InfoWatch. В качестве решения в данном случае он также предлагает DLP-системы.
Компоненты бастиона
В каких компонентах и узлах виртуализованных сред следует развертывать средства ИБ? «При выборе объектов защиты нужно отталкиваться от анализа рисков и от требований нормативных актов, под действие которых подпадает компания, — рекомендует Безкоровайный. — В самом общем случае необходима защита гипервизора, системы управления виртуальной инфраструктурой, самих виртуальных машин и данных в них». Также он напоминает, что в перечень защитных мер при использовании виртуализации для обработки персональных данных, согласно приказу ФСТЭК
№ 21, вошли антивирусная защита, регистрация событий, управление и фильтрация трафика, контроль целостности компонентов виртуальной инфраструктуры и др.
«Полный контроль на уровне гипервизора — неотъемлемая часть системы безопасности. Все имеющиеся на уровне виртуальной среды средства защиты легко можно отключить через гипервизор, поэтому доступ к нему требует наибольшего контроля со стороны менеджеров ИБ». — уверен Аль-Уляфи.
Алексей Сабанов, заместитель генерального директора компании «Аладдин Р.Д.», никаких особых проблем в построении защиты виртуализованной и облачной среды не видит: «Как правило, имеется свой ЦОД, контролируемый штатными сотрудниками, и подобрать средства защиты в соответствии с корпоративными политиками безопасности не составляет проблемы. Главное — чтобы средства защиты могли контролировать все без исключения информационные взаимодействия».
Матиев советует обратить внимание на защиту всех компонентов виртуализованной инфраструктуры, выполняющих внутри нее функции сетевого взаимодействия. Используя так называемые виртуальные шлюзы ИБ, можно фильтровать внутренний трафик, выявляя аномальную активность. Также важно защитить дисковые подсистемы и виртуальные диски. Необходимо тщательно защищать и систему управления виртуализованной средой. Наконец, нужно защищать от DDoS-атак «точку входа» — некий порт или веб-сервис, через который клиенты виртуализованной или облачной среды получают доступ к ее сервисам.
Рвы, капканы и блок-посты
Для защиты виртуальной среды потребуются как традиционные средства защиты периметра ЦОД, так и средства защиты виртуальных машин, адаптированные к их специфике, считает Владимир Вакациенко, технический консультант подразделения RSA компании ЕМС Россия и СНГ. В числе таких средств ИБ — межсетевые экраны, средства защиты каналов связи, системы обнаружения и предотвращения вторжений, антивирусные средства, а также механизмы аутентификации и разграничения доступа. Кроме того, необходимы способные работать в виртуализованных средах автоматизированные средства контроля соответствия требованиям регулирующих органов и специализированные механизмы для предотвращения утечек конфиденциальной информации, а также средства протоколирования всего, что происходит внутри среды, включая журналы событий и сетевой трафик.
«Учитывая возможности, предоставляемые виртуальной средой для управления конечными активами и соответствующим функционалом доступа к ним, средства защиты, разворачиваемые в виртуальной среде, должны быть комплексными: иметь единый центр управления, максимально использовать функционал виртуализации и контролировать как конечные системы, так и сам гипервизор», — отмечает Аль-Уляфи. В комплексной системе должен быть реализован контроль доступа к инфраструктуре на уровне гипервизора и контроль за распределением и сохранением конфиденциальности ресурсов.
Матиев рекомендует четыре основные группы средств ИБ для защиты. Первая — виртуальные шлюзы ИБ: системы предотвращения вторжений, потоковые антивирусные средства, иногда также требуются веб-шлюзы, шлюзы электронной почты и пр. Второй набор средств нужен для защиты рабочих станций и серверов внутри виртуальной среды. «По сути, это агенты безопасности, адаптированные к виртуализованным средам и сканирующие трафик на уровне гипервизора», — поясняет Матиев. Третий блок — средства усиленной (двухфакторной и многофакторной) аутентификации. Четвертый — средства защиты систем управления виртуализованными средами.
«Стоит обратить более пристальное внимание на контроль изменений и блокирование атак на гипервизор и систему управления виртуальными машинами, использовать средства защиты от атак, межсетевого экранирования для контроля трафика между виртуальными машинами и средства антивирусной защиты, — считает Безкоровайный. — При необходимости следует использовать системы шифрования данных виртуальных машин (виртуальных дисков) и системы управления учетными записями и доступом».
В компаниях с достаточно большим числом рабочих станций основным элементом системы ИБ виртуализованных сред, безусловно, должны служить средства централизованного управления, отмечает Калгин. Необходимым условием для небольших компаний является возможность обслуживания и фиксации инцидентов силами одного системного администратора.
Общий план развертывания обороны
Выстраивая систему защиты виртуализованных сред, следует придерживаться классической последовательности, считает Сабанов: сначала анализ угроз и уязвимостей, затем оценка рисков на основе модели угроз и модели нарушителя, затем подбор адекватной системы защиты и организационных мер. «Беда в том, что технологии виртуализации молоды и до конца не изучены, пространство угроз полностью еще не определено, основные направления атак не исследованы глубоко и всесторонне, — добавляет Сабанов. — Управляя безопасностью виртуализированных сред, следует придерживаться принципа: внутри контролируемого периметра нужно производить максимум критических операций — все действия по управлению криптографическими ключами, настройками, управлению доступом и т. д. В противном случае ненужных потерь не избежать».
Систему ИБ виртуализованной среды необходимо начинать выстраивать с определения активов, обрабатываемых в ней и хранимых. «Ценность гипервизора при этом равна суммарной ценности активов, поскольку потеря контроля над ним означает потерю контроля над всей средой виртуализации», — поясняет Аль-Уляфи. По его мнению, в ходе проведения анализа угроз и рисков как для объектов среды, так и для гипервизора в отдельности очень важно оценить степень разделения виртуальных машин по сегментам и определить, в частности, не приведет ли появление злоумышленника в менее безопасном сегменте к его проникновению в другие сегменты и не получится ли так, что ресурсы, используемые совместно машинами, могут стать новым каналом утечки внутри среды. Таких нюансов довольно много, особенно в частных облаках, считает Аль-Уляфи.
Выстраивание защиты уже созданной виртуализованной среды Матиев советует начинать с развертывания шлюзов безопасности, затем переходить к защите рабочих станций и серверов от вредоносных кодов и DDoS-атак, после чего заняться системой управления виртуализованной или облачной средой, включая контроль доступа.
Наконец, последнее: систему защиты виртуализованной среды проще всего выстраивать одновременно с созданием этой среды. Если среда уже развернута, то ее защиту следует обеспечить как можно скорее — пока в нее не внедрились злоумышленники и вредоносные коды, ведь, как известно, выстраивать оборону «нестерильной» вычислительной среды (в особенности виртуализованной) гораздо сложнее и дороже.