Увеличение числа угроз и объема трафика заставляет владельцев центров обработки данных применять различные решения для их защиты, что, в свою очередь, приводит к бурному росту соответствующего рынка. Так, по данным Markets and Markets, общие продажи продуктов безопасности для ЦОДов должны составить в 2016 году 6,3 млрд долларов, а к 2021 году ожидается двукратное увеличение — до 12,9 млрд долларов, то есть приращение более 15% ежегодно. Схожие цифры приводят и другие аналитические агентства — например, Transparency Market Research прогнозирует ежегодный прирост в 12,6%.
В широком смысле обеспечение безопасности ЦОДа можно разделить на физическую и логическую защиту. Несмотря на всю важность первой, главные усилия сосредоточены на второй. Так, согласно Transparency Market Research, еще в 2013 году на логические компоненты тратилось 85% всех средств, направляемых на устранение риска угроз для ЦОДов. При этом из-за повсеместного перехода к облачным вычислениям и необходимости ускорения разработки приложений принципы защиты приходится пересматривать.
Актуальные темы защиты центров обработки данных обсуждались на секции «Безопасность» во время проведения форума «МИР ЦОД – 2016. Услуги. Облака».
АВТОМАТИЗИРОВАННАЯ ЗАЩИТА ОТ DDoS
DDoS-атаки привлекают, пожалуй, наибольшее внимание из-за их широкомасштабных последствий. Так, недавняя атака на серверы компании Dyn, контролирующей значительную часть инфраструктуры DNS, привела к недоступности множества известных сайтов в США и Европе. Это была самая крупная атака с использованием зараженных устройств, которые сейчас принято относить к Интернету вещей (в данном случае цифровых камер и DVD-плееров). Мощность атаки с использованием сети 100 тыс. ботов Mirai составила, по некоторым оценкам, 1,2 Тбит/с, что вдвое больше, чем когда-либо ранее (см. рис. 1).
Рис. 1. Для визуализации DDoS-атак в реальном времени сайт digitalattackmap.com использует данные, которые система ATLAS, разработанная Arbor Networks, получает от 300 операторов из разных стран мира |
Как отмечается в недавнем отчете Nexusguard (службы защиты от DDoS), число атак во II квартале 2016 года по сравнению с аналогичным периодом 2015 года уменьшилось почти на 40%, зато их интенсивность значительно возросла. Чтобы защититься от массированных атак, одних мер безопасности на уровне ЦОДа недостаточно. Между тем, как отмечает Антон Шевчук, менеджер по продукции Arbor Networks в компании Netwell, до сих пор есть заказчики, уверенные в том, что они могут уберечься от DDoS-атаки с помощью межсетевых экранов и систем предотвращения вторжений. Как свидетельствует статистика, свыше половины организаций, у которых были установлены эти устройства, столкнулись со сбоями сети в результате атак DDoS. Помимо использования специализированных средств, необходимо организовать эшелонированную оборону.
В ходе DDoS-атаки ресурсы ЦОДа подвергаются «бомбардировке» путем направления к ним множества специфических запросов и в конечном итоге перестают справляться с нагрузкой. Всего можно выделить три больших класса атак: массированные атаки на переполнение интернет-канала; атаки на устройства с контролем состояния, такие как балансировщики нагрузки, межсетевые экраны, серверы приложений; атаки на уровне приложений, небольшие по мощности, но не менее эффективные — как правило, они нацелены на конкретные уязвимости. DDoS-атаки легко организовать, а стоимость соответствующих предложений начинается от 5 долларов в час.
Концепция эшелонированной обороны для защиты от DDoS, предложенная компанией Arbor Networks, предполагает установку двух специализированных компонентов — в ЦОДе и у оператора. Первый позволяет блокировать все типы атак, однако, когда масштаб атаки на канал становится сопоставимым с имеющейся пропускной способностью, он обращается за помощью к компоненту, установленному у оператора. Поэтому, как отмечает Антон Шевчук, очень важно, чтобы эти компоненты «умели» взаимодействовать друг с другом.
Когда атака на канал достигает предопределенной мощности, компонент в ЦОДе сообщает оператору о необходимости очистки трафика, который направляется на определенный префикс. Кроме того, в идеале такое двухсоставное решение должно синхронизировать черные и белые списки, а также профили защиты. Ориентируясь на черные списки, оператор может осуществлять предварительную фильтрацию трафика, снижая нагрузку на систему защиты ЦОДа. Таким образом, клиенту (оператору ЦОДа) не нужно обращаться к провайдеру с просьбой о принятии срочных мер для блокирования атаки — защита включается автоматически, а время простоя сводится к минимуму.
У Arbor Networks есть различное оборудование — с производительностью от 100 Мбит/с до 160 Гбит/с на устройство. Эти решения могут разворачиваться и в виде виртуальных машин. В России услуги по защите от DDoS-атак на базе оборудования Arbor Networks предоставляют «Ростелеком», Orange, RETN, «Акадо» и другие операторы, а значит, уже сейчас эту модель можно реализовывать в подключенных к ним ЦОДах. Как заявляет Антон Шевчук, только такой подход позволяет предприятиям обеспечить защиту и доступность своих ресурсов.
ЗАЧЕМ НАМ АГЕНТ?
По оценкам зарубежных экспертов, общая величина потерь от взлома системы безопасности составляет в среднем около 4 млн долларов. В России цифры сопоставимые. Так, согласно отчету Русского международного банка, 21 января 2016 года на него была совершена хакерская атака, в результате которой с корсчета банка в ЦБ похищено 508 млн руб. Многие атаки начинаются с того, что злоумышленник получает доступ, в том числе с помощью социальной инженерии, к рабочему месту, одной ВМ, а с нее уже инициируются атаки.
В новой, виртуальной реальности те решения, которые использовались десятилетиями для защиты физических сред, перестают работать. По мнению Юрия Бражникова, генерального директора 5nine Software по России и СНГ, подобные инциденты, во всяком случае заметная их часть, связаны именно с тем, что многие компании продолжают использовать старые средства управления и защиты для сред виртуализации, которые основаны на агентском подходе. При этом на каждую защищаемую единицу (ВМ) устанавливается агент, что не всегда оправданно, тем более что его можно отключить. К тому же при непосредственной защите конечных точек потребляется большое количество ограниченных ресурсов, из-за чего существенно снижаются производительность и эффективность ЦОДа.
Старая модель была сфокусирована на защите конечных точек, но теперь многие нагрузки перемещаются на серверы и в облака. Между тем, по словам Юрия Бражникова, известные производители продолжают воспроизводить в виртуальной среде архитектуру информационной безопасности, изначально разработанную для физической среды. Это приводит к тому, что новые уязвимости на уровне гипервизора и ОС оказываются незащищенными. Так, например, атаки на уровне виртуальной сети или с одной ВМ на другую не определяются аппаратными средствами, контролирующими физическую среду.
Внутри виртуальной среды надо использовать новые способы защиты. Так, в соответствии с рекомендациями ЦБ РФ по обеспечению информационной безопасности при использовании технологии виртуализации, предпочтительным решением является применение средств защиты от воздействия вредоносного кода на уровне гипервизора без установки агентского ПО на виртуальные машины. Однако такой подход возможен, только если разработчик имеет доступ на уровень виртуального коммутатора, внутри которого и проходят все пакеты, которые потом доставляются в ВМ. Будучи партнером по разработке решений для защиты и управления виртуальными средами на базе Microsoft Hyper-V, компания 5nine Software имеет доступ к виртуальному коммутатору Hyper-V, на уровне которого и реализуется защита (см. рис. 2).
Такой подход позволяет сэкономить до 30% ресурсов сервера, а антивирусное сканирование выполняется в 70 раз быстрее. В числе других преимуществ безагентского подхода Юрий Бражников называет устранение зависимости от действий персонала и клиентов, поскольку систему защиты нельзя отключить на уровне ВМ. Кроме того, общая трудоемкость обеспечения безопасности в результате снижается, поскольку теперь не нужно заботиться о каждой ВМ. Политику можно настроить на хосте или в центре управления, а затем очень быстро масштабировать ее в рамках ЦОДа, ведь виртуальная среда чрезвычайно динамична — ВМ постоянно создаются, переносятся и ликвидируются.
Благодаря интеграции 5nine Cloud Security Plugin в System Center, провайдеры могут предоставить своим клиентам не только средства управления инфраструктурой, но и инструменты контроля за безопасностью. «Любой клиент сможет самостоятельно обеспечивать и контролировать безопасность своих решений, — говорит Юрий Бражников. — Если вы пользуетесь ресурсами нескольких ЦОДов (например, собственного и принадлежащего хостинг-провайдеру), политики безопасности синхронизируются, так что при миграции в случае аварии или перераспределения нагрузки из одного центра в другой будут сохраняться все настройки корпоративной безопасности».
Если на начальном этапе в облако переносились емкие, но не самые ценные ресурсы, то теперь, когда на повестке дня встал вопрос о переносе критичных ресурсов, камнем преткновения оказывается вопрос обеспечения ИБ. Когда клиент передает свои ключевые бизнес-сервисы в облако, он хочет быть уверен в поддержании такой политики безопасности, которая удовлетворяет его требованиям.
БЕЗОПАСНОСТЬ — ЭТО СЕТЬ
Резонансные взломы системы безопасности с очевидностью продемонстрировали, что традиционная защита периметра, фокусирующаяся на трафике «север — юг» (межсетевые экраны, системы обнаружения и предотвращения, защищающие от атак извне), не способна оградить от неприятностей центр обработки данных, где между серверами преобладает трафик «восток — запад», не выходящий за его пределы. По некоторым оценкам, на последний приходится три четверти всего объема трафика ЦОДа.
Действенным решением проблемы разграничения трафика внутри центра обработки данных является микросегментация: разделение на многочисленные защищенные зоны. Благодаря современным виртуализированным решениям практически каждая виртуальная машина может быть снабжена собственным межсетевым экраном, что позволяет создать сеть с нулевым уровнем доверия внутри ЦОДа. Однако, как уже отмечалось в предыдущем разделе, гораздо более эффективным решением оказывается реализация средств безопасности на уровне гипервизора — речь идет о встроенном в этот гипервизор виртуальном коммутаторе.
Появление такого устройства стало ответом на потребность в обеспечении оперативного развертывания и динамической миграции виртуальных машин и приложений. Например, при развертывании нового приложения после запуска ВМ нужно было вручную задать VLAN, сконфигурировать маршрутизацию в физической сети, настроить политики МСЭ. Все эти операции занимали время, и к тому же они оказывались уникальными для каждой аппаратной платформы, на которой построен ЦОД. Иначе говоря, приложения и ВМ были привязаны к конкретной физической сети. Необходимо было устранить эту привязку, то есть виртуализировать сеть. Теперь, как отмечает Александр Кренев, руководитель направления сетевой виртуализации в московском офисе VMware, у каждой платформы виртуализации есть свой коммутатор, который является для нее «родным». Например, для гипервизора ESXi такой виртуальный распределенный коммутатор — Distributed Virtual Switch, для KVM в масштабах ЦОДа таковым можно считать Open Virtual Switch и т. д.
Поверх виртуального коммутатора на программном уровне реализуютcя базовые сетевые функции: коммутация, маршрутизация, брандмауэр и балансировка нагрузки. Каждый физический сервер с гипервизором становится не просто вычислительной платформой, на которой можно выделить ресурсы виртуальным машинам, но еще и многогигабитным коммутатором и маршрутизатором (старый слоган «сеть — это компьютер» получает новый смысл). Чтобы эти функции работали, нужна базовая IP-связность между серверами. На физической сети больше не нужно тратить время на настройку VLAN — достаточно один раз настроить транспортную сеть. Для передачи трафика через физическую сеть используется инкапсуляция VxLAN.
Использование виртуальных коммутаторов позволяет автоматизировать рутинные операции по настройке сети, ускорить аварийное восстановление и, конечно, повысить эффективность защиты. «Когда функции безопасности и фильтрации трафика выполняются на уровне виртуальной платформы, на уровне гипервизора, приложения можно защитить независимо от нижележащей физической архитектуры, — объясняет Александр Кренев. — Наверняка многие слышали о микросегментации или о модели нулевого доверия. Построить такую модель на платформе сетевой виртуализации очень просто, для этого не потребуется развертывать множество МСЭ».
Если отойти от вопросов безопасности и взглянуть чуть шире, то виртуализация сети открывает путь к реализации полностью программно определяемых центров обработки данных (см. рис. 3).
Рис. 3. Виртуализация сети устраняет последний барьер на пути к программно определяемому центру обработки данных |
НА ЗАЩИТУ ПРИЛОЖЕНИЙ
В своем прогнозе на 2017 год среди 10 ключевых технологических тенденций Gartner называет адаптивную архитектуру защиты. Правда, по сравнению с прогнозом на текущий 2016-й, она теперь находится не на седьмом месте, а на десятом, что объясняется скорее эффектом потери новизны, чем снижением актуальности. Как отмечается в комментарии, «многоуровневая защита и анализ поведения пользователей и объектов станут обязательными требованиями для каждого предприятия».
Адаптивная защита предполагает встраивание мер безопасности во все бизнес-процессы — реализация их постфактум означает создание проблем самому себе. Соответственно, специалисты по безопасности должны тесно взаимодействовать с архитекторами решений и разработчиками приложений для включения мер безопасности еще на этапе проектирования решений и разработки приложений. Последние все чаще становятся объектом целенаправленных атак.
Как отметил в своем выступлении Рустэм Хайретдинов, заместитель генерального директора InfoWatch и руководитель проекта Appercut, все научились неплохо защищать свою сеть, поэтому атаки постепенно переносятся на прикладной уровень. К сожалению, они не детектируются с помощью традиционных средств, неспособных определить, где запрограммированная функция, а где просмотренная ошибка, — то есть нет аномалий, по которым можно решить, что идет атака.
При развертывании облачных сервисов большее внимание уделялось возможностям, но не рискам. «Теперь же настала пора фиксировать успехи, — призывает Рустэм Хайретдинов, — и думать об угрозах, которые начинают захлестывать сервисы, построенные без учета такой опасности». Выстроенная защита, ориентированная на монолитные приложения, безусловно, позволяет нивелировать часть из них, потому что старые атаки никуда не делись. Однако нападению подвергается не только сервис в целом (что выражается в попытках заблокировать канал или реализовать какие-то другие известные атаки), но и отдельные приложения в нем.
Эта ситуация усугубляется тем, что провайдеры не имеют контроля за предоставляемыми приложениями, которые к тому же часто обновляются. Ведь облако — неважно IaaS, PaaS или SaaS — это, по сути, некоторый набор приложений, создаваемых другими людьми. «Не зная, как устроены конкретные приложения, отражать новые атаки против них, при организации которых используется специфика их написания и проектирования, становится все труднее», — предостерегает он.
Злоумышленники используют ошибки и уязвимости в тех приложениях, которые пишутся быстро в соответствии с гибкой методологией разработки (agile). Скорость вывода на рынок новых функций оказывается важнее обеспечения их безопасности, к тому же старые методы защиты просто не успевают за скоростью разработки. Так, тест на проникновение (pentest) занимает несколько недель, и к моменту его завершения можно быть уверенным лишь в том, что позапрошлая версия сайта была безопасной.
Разработка ускоряется, практически «идет с колес» — изменения происходят каждые две недели, а такие проверки, как тест на проникновение, выполняются раз в полгода. В сложившейся ситуации есть лишь один выход — интеграция систем защиты с самим объектом. Однако пока подобная возможность реализована только в крупнейших сервисах уровня Amazon, где отдельной службы безопасности нет: имеются ответственные за безопасность в команде разработчиков и представители той же команды, например, в подразделении, обеспечивающем доступность.
Таким образом, подход к защите приложений кардинально меняется (см. рис. 4). «Я думаю, что к 20-м годам парадигмы разработки и защиты приложений полностью обновятся. Они сольются и будут развиваться вместе. Эта тенденция явно прослеживается, — заключает Рустэм Хайретдинов. — Сейчас мы находимся на промежуточном этапе, который характеризуется реализацией адаптивной безопасности, когда средство защиты не только изучает тот или иной защищаемый объект, но и подстраивается под него, а также подстраивает объект под свои требования. Однако пока здесь больше вопросов, чем ответов».
Рис. 4. Изменение подхода к защите приложений |
КАК ЗАЩИТИТЬ ЦОД
Атаки становятся многослойными, многоэтапными и многоуровневыми, они осуществляются с разных сторон, с разведкой, с отвлечением, с прикрытием. Сейчас уже нет чистой DDoS- или чистой хакерской атаки. Поэтому те, кто проектирует средства защиты, должны разбираться в видах атак. Только в рамках ЦОДа серьезного хостинг-провайдера можно собрать компетенции и оборудование такого уровня, которое сможет противостоять атакам DDoS и прочим видам наиболее тяжелых и разрушительных для бизнеса и репутации компании действий. О том, как организована защита реального ЦОДа, в своем выступлении рассказал Владимир Малиновский, руководитель продаж решений дата-центра Lattelecom, национального латвийского провайдера телекоммуникационных и облачных услуг.
Провайдеры облачных услуг находятся в основной группе риска — именно против них направлена основная доля атак DDoS. Однако даже провайдеру невозможно реализовать сразу все меры защиты, поэтому их внедрение происходило поэтапно. Построенный в 2013 году центр обработки данных Dattum отвечает базовым требованиям к физической защите ЦОДа уровня Tier III: отделенный периметр вокруг помещений ЦОДа, круглосуточная физическая охрана, комбинированный контроль доступа с использованием RFID и биометрии, а также удаленное видеонаблюдение с ведением архива записей. Однако, как отмечает Владимир Малиновский, физическая защита представляет собой лишь небольшую часть мер по обеспечению безопасности.
Прежде всего в Lattelecom классифицировали имеющиеся данные по критериям их критичности и доступности и свели все в таблицу, которая позволяет наглядно видеть, для чего требуется обеспечить приоритетную защиту (см. рис. 5). «Составив такую таблицу, вы уже более-менее понимаете, какими системами нужно заниматься в первую очередь», — объясняет Владимир Малиновский. Кроме этого, для ЦОДа в целом были определены основные источники угроз, к которым отнесены DDoS-атаки, хакеры, нелояльные сотрудники и клиенты хостинга.
Рис. 5. Значимость данных в зависимости от требований к их доступности и критичности |
На следующий год после введения ЦОДа в эксплуатацию были реализованы меры по обеспечению соответствия требованиям PCI DSS. Cертификация по PCI DSS нужна для тех клиентов, кто проводит финансовые транзакции. Этот сложный процесс предполагает реализацию целой программы, состоящей из более чем 250 пунктов. Для защиты сетевого периметра было развернуто решение AlientVault. Платформа AlienVault Security Management (USM) позволяет контролировать пять основных функций безопасности с единой консоли: инвентаризацию активов, оценку уязвимостей, мониторинг поведения, обнаружение вторжения и корреляцию событий безопасности (SIEM).
Толчком к внедрению следующего уровня защиты стало председательство Латвии в ЕС — требовалось обезопасить Интернет в национальном масштабе. Для защиты от DDoS-атак было внедрено решение RADware, однако для компании оно оказалось избыточным, поэтому на его базе было организовано предоставление услуг для банков. Реальный спрос на них появился только после того, как банки подверглись атакам. «Когда банки стали получать «письма счастья» от хакеров с предложением заплатить деньги, на следующий день почти все они приходили к нам и заключали договоры, и мы успешно устранили все угрозы», — рассказывает Владимир Малиновский.
Наконец, в этом году была реализована система RAPID 7, которая позволяет проводить тестирование уязвимостей в ОС и сервисах, выявлять ошибки в конфигурации, проверять соответствие политикам безопасности. Она же позволяет имитировать взлом, оценить уровень готовности системы к работе и составить отчет с рекомендациями о внесении требуемых улучшений. Lattelecom предлагает услуги по выявлению уязвимостей своим клиентам: «Казалось бы, можно один раз выполнить сканирование и на этом успокоиться. На самом деле после любого изменения в ОС и установки любой заплаты сканирование необходимо проводить снова. Так что заказчикам оказывается выгоднее подписаться на услугу», — резюмирует представитель Lattelecom.
МЕЧ И ЩИТ
Вечное противостояние между нападением и защитой выходит на новый уровень. Атаки быстро роботизируются, а боты уже имеют признаки искусственного интеллекта: они действуют автономно, сами находят приложения с уязвимостями, которые они умеют вскрывать, и начинают действовать по определенной программе. Такие концепции, как адаптивная архитектура защиты, предполагают переход от пассивных мер к активному противодействию в стремлении переиграть киберпреступников на их поле. Как выражаются в Gartner, защита должна стать «подвижной и адаптивной».
Однако на завершавшей форум дискуссии «Модель угроз для дата-центра. Чего бояться и что защищать в первую очередь» много говорилось о том, что применяемые меры защиты все же недостаточны: исключить на 100% вероятность успешной атаки неспособно ни одно техническое средство, если существует обмен данными с какой-то внешней системой и информация передается вовне. Для сведения ущерба к минимуму одним из решений могут быть принятие модели минимального доверия в ЦОДе, разграничение и ограничение прав администраторов, микросегментация сети.
Более-менее крупные компании стремятся построить свои ЦОДы и обеспечить их защиту собственными силами — такая критичная функция, как безопасность, делегируется весьма неохотно. Как известно, одной из самых больших угроз для любой ИС является тот, кто ее эксплуатирует. Однако, как указывают провайдеры услуг ЦОДов, облачные ресурсы более абстрагированы от конкретного персонала, чем корпоративные. К тому же провайдеры целенаправленно накапливают необходимые компетенции для организации профессиональной и потому эффективной защиты.
Обеспечивать безопасность самому или довериться провайдерам услуг ИБ — каждый выбирает в зависимости от своих приоритетов и возможностей, но угнаться в гонке кибервооружений за злоумышленниками становится все сложнее. И погоня оказывается совсем безнадежным делом, если пытаться обойтись лишь устаревшими методами периметральной защиты.
Дмитрий Ганьжа, главный редактор «Журнала сетевых решений/LAN»