Безопасность виртуальной инфраструктуры

Решения на базе виртуализации получают сегодня все большее распространение, однако часто забывают о наличии специфических особенностей обеспечения информационной безопасности таких сред.

Технология виртуализации имеет множество преимуществ: удобство управления виртуальной средой; высокая скорость разворачивания новых серверов; оперативность создания резервных копий, тестирования обновлений и нового функционала на актуальных копиях продуктивных систем. По мнению аналитиков Gartner, к 2012 году в виртуальных средах будет находиться 50% корпоративных бизнес-приложений, и хотя России до такого показателя еще далеко, но и здесь тенденции аналогичны. Поэтому неудивительно, что виртуальные системы становятся объектом повышенного интереса со стороны злоумышленников, и несомненно, будут выявляться все новые уязвимости и эксплуатирующий их разрушительный код.

Механизмы защиты виртуальных сред

Почему имеет смысл говорить о безопасности виртуализации как об отдельном направлении в рамках общей безопасности ИТ-инфрастуктуры, для которого не применимы традиционные для физической среды средства и методы защиты?

 

Рис. 1. Элементы физической среды

 

В физической среде (рис.1) нет ограничений на применение средств защиты на хосте: сетевой трафик может быть отфильтрован стандартным сетевым оборудованием, а злонамеренный код — обнаружен системами предотвращения вторжений и контентной фильтрации. В виртуальной же среде применение традиционных средств защиты иногда невозможно и даже опасно; например, одновременная антивирусная проверка жестких дисков нескольких виртуальных машин создаст значительную нагрузку на оборудование. Сетевой трафик между виртуальными машинами не покидает физического сервера, и, следовательно, традиционные сетевые средства защиты его не видят. Кроме того, имеется дополнительный программный слой, который также необходимо защищать.

 

Рис. 2. Элементы виртуальной среды

 

Уязвимые компоненты и методы их защиты

Разберем узкие места безопасности виртуализации (рис. 2) и приведем методы, позволяющие минимизировать их опасность.

Уровень гипервизора

Можно ли обеспечить безопасность публичных облаков?

Облака применяются все чаще, растет число компаний, использующих соответствующие сервисы, однако объединение виртуальных машин разных организаций на одном физическом сервере порождает новые проблемы обеспечения безопасности.

Компрометация гипервизора, как известно, может привести к компрометации всех его виртуальных машин. Автономный гипервизор (работающий непосредственно на оборудовании) наиболее распространенных платформ виртуализации представляет собой «урезанную» версию одной из ОС общего пользования (Windows, Linux, BSD и т.д.), и, несмотря на то что здесь отключен лишний функционал и разработчики обычно заявляют о повышенной безопасности hardened-версии, говорить о полном отсутствии в них невыявленных уязвимостей нельзя. Помимо кода самого гипервизора, на этом уровне может быть запущен и код сторонних разработчиков: дополнения, драйверы устройств и приложения. Для организации защиты на этом уровне требуется:

  • разработать и формализовать процессы доступа к гипервизору и изменения конфигурации;
  • максимально ограничить доступ к гипервизору по сети;
  • использовать возможность запуска гипервизора с флэш-памяти или с неизменяемого раздела жесткого диска;
  • следить за своевременной установкой всех обновлений;
  • регулярно проводить тесты сканерами уязвимостей;
  • тщательно отслеживать перемещение образов жестких дисков, подключение внешних накопителей и передачу больших объемов данных (на этом уровне не важны логирование и мониторинг — кража информации по сети или запись на внешний носитель для последующего взлома осуществляется элементарно);
  • тщательно проверять сторонний код (цифровая подпись драйверов, сертификация приложений вендором платформы виртуализации);
  • особо контролировать физический доступ к оборудованию.

Уровень консоли/сервера управления

Консоль или сервер управления (в зависимости от платформы виртуализации) — такой же программный код с доступом к его функциям по сети, следовательно, он может содержать уязвимости, которые способны привести к компрометации всех виртуальных машин. Для организации защиты на этом уровне требуется:

  • управлять изменениями конфигурации (существующие средства защиты платформ виртуализации позволяют отслеживать изменения настроек и проводить их проверку на соответствие различным стандартам и/или принятым в компании политикам безопасности);
  • ограничить доступ по сети (доступ только из определенных сегментов сети или размещение сервера управления в отдельном сегменте);
  • обеспечить регулярное обновление;
  • сканировать уязвимости;
  • организовать логирование и мониторинг.

Уровень виртуальной машины и приложений

Виртуализация как панацея?

Реализовать операционную систему так, чтобы она обеспечивала безопасность всего и вся, довольно сложно, поскольку библиотеки, драйверы и другие программные компоненты слишком велики для того, чтобы гарантировать абсолютную защиту. А может ли виртуализация решить задачу обеспечения компьютерной безопасности?

Стандартные средства защиты не всегда применимы для виртуальных серверов, однако развитие платформ виртуализации показывает, что этот недостаток становится еще одним преимуществом. Например, платформа VMware давно имеет набор интерфейсов VMsafe для взаимодействия со средствами защиты сторонних разработчиков. Для организации защиты на этом уровне требуется следующее.

  • Антивирусная защита. Для антивирусов, агенты которых устанавливаются на виртуальные серверы, необходимо предусмотреть расписание запуска полной проверки, чтобы избежать повышенной нагрузки на оборудование. Если платформа виртуализации предоставляет такую возможность, то наиболее эффективным средством является безагентный антивирус, который интегрируется с гипервизором и через API осуществляет проверку процессов в памяти виртуальной машины и ее дисков даже в том случае, если машина выключена. Кроме того, он позволяет избежать конкуренции за ресурсы оборудования.
  • Разделение виртуальных машин по зонам доверия. Возможна и допустима ситуация, когда на одном физическом сервере находятся, например, внешний веб-сервер компании и внутреннее бизнес-приложение, но при этом необходимо соблюдение как минимум тех же принципов, что и при разворачивании физических серверов. Комплексные средства защиты платформ виртуализации таких производителей, как Trend Micro, Reflex Systems, позволяют изолировать машины из разных зон доверия, а также создать профили и политики безопасности, автоматизирующие применение таких настроек. Более того, при перемещении машины на другой сервер такой профиль может предотвратить ошибочное подключение внутренней системы к внешней сети.
  • Своевременное выполнение обновлений ПО, периодические сканирования уязвимостей и мониторинг событий информационной безопасности.
  • Обновление средств защиты. Благодаря простоте включения, выключения и клонирования виртуальных серверов появление в сети машины с устаревшими антивирусными базами и обновлениями происходит гораздо чаще, чем для физических серверов. При использовании средств защиты, которые интегрируются с гипервизором, вероятность компрометации виртуальной машины минимальна.

Уровень сетевого взаимодействия

К сожалению, часто не учитывают тот факт, что сетевой трафик между виртуальными машинами, находящимися на одном сервере, не покидает этого сервера, и предполагают, что систем фильтрации и предотвращения вторжений до платформы виртуализации достаточно, чтобы защитить все виртуальные серверы. Предположим, что злоумышленник получил доступ к одному из виртуальных серверов и это осталось незамеченным средствами защиты, стоящими на периметре платформы виртуализации, например он использовал одну из технологий туннелирования или раздобыл легитимный доступ к одному из серверов. Результатом могут стать атаки на соседние виртуальные серверы, и такие атаки могут быть не обнаружены. Организация защиты на этом уровне складывается из нескольких составляющих.

  • Защита сетевой среды платформы виртуализации не слабее, чем устанавливается для физической среды. Наиболее эффективным средством являются виртуальные модули (Virtual Appliance) систем предотвращения вторжений и межсетевого экранирования. Такие модули могут быть частью комплексного средства обеспечения безопасности платформы виртуализации или поставляться отдельно производителями сетевых средств защиты (Juniper, Check Point и др.).
  • Изоляция виртуальных машин, относящихся к разным зонам доверия.
  • Сетевая защита периметра платформы виртуализации. Эта мера, хотя и является недостаточной для обеспечения безопасности, но остается необходимой. Нужно учитывать объемы трафика на этом участке сети — выбранное средство защиты должно обеспечивать соответствующую пропускную способность, например, при построении виртуализованного ЦОД можно рассмотреть возможность применения высокопроизводительных решений (так, решения Crossbeam могут обеспечить пропускную способность в десятки гигабитов в секунду через средства обнаружения вторжений и межсетевые экраны).

Административные привилегии

По статистике Gartner, 40% всех проектов по внедрению платформы виртуализации на стадиях планирования и разработки архитектуры начинаются без привлечения специалистов по информационной безопасности. В результате нередко встречаются ситуации, когда подразделения информационной безопасности не могут обеспечить защиту развернутых систем. Еще один риск – нарушение принципа разделения полномочий; например, клонирование, копирование и другие манипуляции с виртуальными машинами, содержащими продуктивные данные, нередко проводятся без согласований и даже уведомления служб информационной безопасности. Значит, велика вероятность утечки конфиденциальной информации. Для организации защиты на этом уровне требуется к проектам по внедрению системы виртуализации привлекать сотрудников службы информационной безопасности, а требования по защите виртуальной инфраструктуры обязательно включать в техническое задание проекта.

Также неоходимо реализовать разделение полномочий при доступе к административным функциям. Здесь первоочередная задача – понимание и формализация того, кто и за управление какими рисками несет ответственность; например, управление сетевой инфраструктурой платформы виртуализации должно осуществляться подразделением, отвечающим за физические сети. Это справедливо и применительно к средствам защиты, установки обновлений, проведению аудита настроек на соответствие стандартам и политикам безопасности и т. д. Комплексные средства защиты виртуальных сред позволяют реализовать ролевое управление административными функциями и тем самым минимизировать вероятность предоставления избыточных привилегий.

Аудит и отчетность

В общем случае аудит настроек и анализ лог-файлов платформы виртуализации становятся еще одной задачей администраторов платформы виртуализации, и здесь главная рекомендация – соблюдать те же принципы разделения полномочий, что и для физической среды. Злоумышленник с административным доступом к серверу управления при недостаточном контроле настроек и журнальных файлов практически не ограничен в действиях. Для организации защиты на этом уровне требуется осуществлять анализ настроек платформы виртуализации на соответствие принятым политикам безопасности, а при необходимости — стандартам наподобие PCI DSS, таким нормативным актам, как закон Сарбейнса-Оксли в США и т. д. Кроме того, необходимо проводить мониторинг событий информационной безопасности и корреляцию событий для выявления потенциально опасных действий и, безусловно, учитывать, что проблемы с производительностью платформы виртуализации затронут все работающие на ней системы, поэтому анализ загруженности виртуальных машин и всей платформы в целом необходим для обеспечения ее непрерывной работы — это позволит своевременно обнаружить и устранить узкие места оборудования и ПО, создающее чрезмерную нагрузку.

Комплексный подход к обеспечению безопасности

Как видно по количеству рекомендаций и компонентов, которые должны быть защищены, к управлению защитой платформы виртуализации нужно подходить комплексно — неполная защита на одном из уровней может сделать бессмысленным использование всех остальных средств. Платформы виртуализации очень уязвимы с точки зрения безопасности и, помимо стандартных потенциально опасных мест, имеют и свои. «Точечное» внедрение средств защиты не принесет положительных результатов — количество компонентов, защиту которых нужно обеспечить, слишком велико, а риски при компрометации всей платформы слишком значительны.

Вячеслав Петрухин (netsec@jet.su) — руководитель направления инфраструктурных ИБ-решений компании «Инфосистемы Джет» (Москва).