ВСЕВОЛОД ШАБАД: при переносе работающего приложения в виртуальную среду именно обеспечение его защиты требует существенных изменений |
Журнал «Директор информационной службы» совместно с производителем средств информационной безопасности, компанией McAfee, провел круглый стол «Борьба с уязвимостями виртуализованных сред», на котором обсуждались особенности защиты виртуальных машин. Сегодня предприятия все шире используют технологии виртуализации информационных ресурсов. В России их используют не для экономии средств на обслуживание, но скорее для создания быстро изменяемой информационной системы: внедрения новых сервисов, тестирования новых продуктов, переноса устаревших приложений на новые платформы, интеграции информационных систем объединяющихся предприятий. Во всех этих случаях защита виртуальной инфраструктуры от современных угроз является ключевой для успеха проекта в целом. В то же время иногда при переносе работающего приложения в виртуальную среду именно обеспечение его защиты требует существенных изменений.
Дело в том, что если антивирусы и другие средства защиты не адаптированы к виртуальной среде, то они в лучшем случае неэффективно расходуют ресурсы виртуальной инфраструктуры, а в худшем приводят к сбоям.
Всеволод Шабад, генеральный директор компании «СетьПроект», привел пример, когда в одном проекте при переносе антивируса в виртуальную среду пришлось устанавливать специальный драйвер. «О необходимости этого было написано в инструкции к антивирусу, — отмечает Шабад, — но далеко не все ИТ-администраторы читают инструкции для всех приложений, переносимых в виртуальную машину».
Но даже если все антивирусы в отдельных виртуальных средах работают правильно, проблемы могут возникнуть при обновлении, когда сканеры каждого из них независимо друг от друга начинают одновременно перепроверять всю файловую систему. Для такой ситуации, когда ресурсы виртуальных машин быстро исчерпываются, придумано специальное название — «антивирусный шторм». Подобные эффекты, возникающие в совместно используемой инфраструктуре, нужно учитывать при развертывании виртуальных сред и организации их защиты.
Кроме того, в виртуализованных средах появляются новые цели для атаки — гипервизор и система управления виртуальной средой. Это приводит к тому, что и расходы на обеспечение безопасности виртуальной среды должны увеличиться — в них приходится включать средства для защиты новых инфраструктурных элементов и зарплату новым сотрудникам, компетенция которых при работе с виртуальной средой должна быть выше. По мнению Сергея Воронецкого, начальника отдела инженерно-технической и информационной безопасности Hosting Community, виртуализация требует изменения подходов к оценке активов — для правильно оценки стоимости защиты нужно не только проводить инвентаризацию всех ресурсов, но и моделировать происходящие с ними процессы.
Увы, производители программных средств виртуализации, говоря об эффективности технологий виртуальных сред, часто забывают упомянуть о дополнительных расходах, связанных с информационной безопасностью. Это может привести к неправильной оценке экономической эффективности проекта виртуализации в целом. Кроме того, при переходе на виртуальную инфраструктуру специалисты по информационной безопасности подключаются к проекту слишком поздно, когда исправление ошибок оказывается дороже, а получившееся решение менее эффективно.
В McAfee адаптировали для защиты виртуальных инфраструктур свое антивирусное решение MOVE Antivirus — Management for Optimized Virtual Environments. Оно обеспечивает централизованную проверку всех виртуальных машин, работающих в одной виртуальной инфраструктуе. Есть варианты реализации защиты с помощью специального агента (для технологий виртуализации Microsoft, VMware и Citrix соответственно) и без агента с помощью технологии vShield, которая работает только в инфраструктуре VMware.
MOVE Antivirus действует так. Файлы сканируются специальной выделенной виртуальной машиной и для них фиксируются контрольные суммы. Когда же агент, встроенный в защищаемую виртуальную машину, обнаруживает новый файл, записи о котором нет в базе проверенных, то этот файл передается на проверку в сканирующую виртуальную машину. Если такой же файл найдется другим агентом, то антивирусная машина просто выдаст вердикт последней проверки. Это обеспечивает однократную проверку файлов по всей инфраструктуре, что и гарантирует эффективную защиту от вредоносного кода. Продукт позволяет сканировать как работающие виртуальные машины, так и сохраненные на диске их моментальные снимки.