О том, как решается вопрос защиты виртуализованных сред на платформе Hyper-V, рассказывает Юрий Бражников, генеральный директор по России и СНГ компании 5nine Software Inc.
Юрий Бражников: «Система обнаружения вторжений анализирует весь трафик внутри виртуального коммутатора Hyper-V» |
Как обстоит дело с защитой виртуализованных сред? Насколько они безопасны?
Виртуализация уже давно стала основой инфраструктурных решений многих крупных компаний и государственных структур. Гипервизоры увеличивают функциональность, становятся все более масштабируемыми и защищенными. Однако клиенты часто используют в виртуальной среде устаревшие технологии защиты конечных устройств с установкой агентов в виртуальные машины и изоляцией при помощи виртуальных локальных сетей. Эти технологии порождают уязвимости информационных систем, связанные с возможностью блокирования или удаления агента в виртуальной машине, потребляют дефицитные ресурсы оборудования, усложняют администрирование виртуализованных ЦОД крупных компаний.
Безусловно, инструменты обеспечения безопасности в самой Windows Server 2016 совершенствуются. Появилась технология Shielded VM, которая позволяет шифровать диск виртуальной машины из инфраструктуры гостевых операционных систем. Существенно увеличило безопасность инфраструктуры ЦОД использование Nano Server, новой версии ОС, в которой отсутствует графический интерфейс и значительно снижено количество направления атак путем минимизации набора ролей. Еще одно новшество – защита компонентов, отвечающих за целостность ядра операционной системы, паролей и других важных системных данных при помощи отдельного контейнера Hyper-V — Virtual Security Module.
Однако в операционной системе отсутствует ряд важных, но не свойственных ей функций, связанных с обеспечением безопасности. Эти «пробелы» ликвидируют партнеры Microsoft, которым она обеспечила доступ к своим технологиям, в частности к виртуальному коммутатору гипервизора Hyper-V.
Коммутатор дает возможность изолировать пользователей виртуальных машин, управлять всем трафиком внутри виртуальной среды, защищать машины от вредоносных атак. А наличие PowerShell API позволяет независимым разработчикам создавать расширения виртуального коммутатора, которые увеличивают возможности защиты и управления безопасностью инфраструктуры Hyper-V. Одним из таких партнеров Microsoft по разработке является 5nine.
Мы сотрудничаем с Microsoft в разработке средств защиты и управления Hyper-V c 2009 года. Последняя версия программы 5nine Cloud Security была представлена на ежегодной конференции Ignite, одновременно с Windows Server 2016.
Какие функции осуществляет Cloud Security?
Наш продукт контролирует сетевой трафик между виртуальными машинами, изолирует отдельные виртуальные машины и группы машин при помощи виртуального межсетевого экрана, обнаруживает вредоносные атаки на уровне приложений, осуществляет быстрое антивирусное сканирование и блокировку угроз, повышая безопасность виртуальной среды.
Система обнаружения вторжений анализирует весь трафик внутри виртуального коммутатора Hyper-V, используя технологию Cisco Snort for Business для проверки аномалий пакетов, которые могут быть потенциальными атаками. Поскольку сигнатурный метод защиты не покрывает всех направлений и методик атак, 5nine Software усиливает более современные эвристические методы защиты, основанные на анализе поведения пользователей, профиля трафика и искусственном интеллекте. Для этого мы разрабатываем собственные алгоритмы и используем технологии Microsoft Azure, например интеграцию с OMS (Operations Management Suite). Система создает модель нормального рабочего трафика, а затем постоянно отслеживает соответствие текущего трафика модельному и при наличии отклонений или аномалий немедленно уведомляет о возможности нападения.
В отличие от аналогичных решений других вендоров, наше решение обнаруживает атаки не только при пересечении периметра вредоносными пакетами, но и внутри виртуальной среды. Это очень важно, поскольку сценарий атаки, в котором одна зараженная виртуальная машина становится центром атак внутри контура защиты, все более распространен.
Распространенная претензия к системам защиты — они перегружают защищаемую систему, замедляют ее работу, делают ее менее стабильной...
Важное преимущество 5nine Cloud Security, которое отмечают все его пользователи, — ее «легкость». Это избавляет систему от широко распространенных антивирусных штормов, свойственных классическим антивирусам, когда одновременное сканирование ряда зараженных ВМ приводит к существенному падению производительности инфраструктуры. В нашем продукте, даже если задействовать все сервисы решения, нагрузка на хосты увеличится всего на 3-4%. При том что некоторые аналогичные продукты могут «съедать» до половины пропускной способности виртуальной сети и понижать производительность до 30%.
Кроме того, в случае падения управляющего сервиса на базе виртуальной машины, у нас не пропадают важные сетевые настройки. При отключении машины с управляющим сервисом 5nine, все настройки сохраняются и Cloud Security продолжает осуществлять бесперебойную защиту виртуальной инфраструктуры.
В чем особенности решения 5nine?
Самое важное отличие — Cloud Security является единственным безагентным решением для обеспечения безопасности Hyper-V Server. Это позволяет не устанавливать программное обеспечение в гостевую операционную систему, анализируя и управляя трафиком на уровне виртуального коммутатора.
Еще одно преимущество нашей разработки — простота установки. Ее может осуществить специалист со знаниями, эквивалентными квалификации Microsoft Certified Solutions Associate.
Решение также может быть интегрировано с System Center Virtual Machine Manager путем установки плагина, позволяющего управлять инфраструктурой ЦОД и безопасностью виртуализации из единой консоли. А расширение для Azure Pack дает возможность управления функциями Cloud Security из портала самообслуживания, что позволяет хостинговым компаниям развернуть новую услугу «Безопасность как сервис».
Какие продукты используются для антивирусного сканирования?
Можно использовать один из трех поддерживаемых движков и баз сигнатур — от «Лаборатории Касперского», Bitdefender или Threat Track.
При этом продукты работают принципиально по-другому, чем у самих вендоров. Благодаря функционированию на уровне гипервизора сканирование возможно без установки агента в виртуальной машине, что повышает их защищенность, так как администратор гостевой операционной системы не может отключить антивирус.
Использование технологии инкрементального сканирования увеличивает скорость его работы до 70 раз, при этом нагрузка на хост падает до 30%. Эта технология в сочетании с настройкой количества сканируемых виртуальных машин позволяет гибко управлять ресурсами хостов и избежать «антивирусного шторма».
Насколько масштабируемо решение 5nine? Функционирует ли оно в ИТ-системах географически распределенных компаний?
Cloud Security позволяют клиентам надежно защитить виртуальную инфраструктуру Windows Server любого размера и сложности. Крупные компании могут осуществлять миграцию политик безопасности в распределенных центрах обработки данных. Если их ЦОД или филиалы не имеют прямых каналов связи, то они все равно смогут синхронизировать настройки 5nine Cloud Security между ИТ-системами.
Также для крупных компаний предусмотрен отказоустойчивый режим работы защиты с кластеризованным управляющим сервисом и Recovery Action для перезапуска при падении.
Наши продукты используют ведущие российские и мировые компании, такие как «Северсталь», «СКБ Контур», KPMG, Motorola и многие другие для защиты сотен хостов Hyper-V по всему миру. 5nine помогает обеспечить защиту облаков таких известных хостинг провайдеров, как Hostway, Global Micro, Active Cloud, Dataline. Причем, стоимость продукта невысока и начинается с 25 тысяч рублей за хост, что помогает делать гибридные облака Microsoft эффективнее и безопаснее.
Большинство клиентов расматривают миграцию своих ИС в облака. Чем могут им помочь решения 5nine Software?
Концепция развития решения 5nine включает в себя поддержку гибридных облаков клиента. Он начинает защищать ресурсы в своем ЦОД при помощи 5nine Cloud Security, интегрированного в SC VMM. Если клиент арендует ресурсы у провайдеров облаков, построенных на технологиях Microsoft (COSN), он может использовать наше решение, интегрированное в портал самообслуживания. Таким образом, клиент может использовать System Center, как инструмент управления обеспечения и безопасности своего гибридного облака.
В апреле мы выпускаем новую версию продукта для управления базовым уровнем защиты ВМ клиента в Azure и будем развивать это приложение для построения комплексной интегрированной системы защиты виртуализованных ресурсов клиента в своем ЦОД, у локального хостинг-провайдера и в глобальных публичных облаках из одного приложения 5nine.
Решение адаптировано к нашему рынку, соответствует требованиям законодательства в области информационной безопасности?
Наличие всех систем защиты позволяет клиентам выполнять требования российских регуляторов. И разумеется, продукт удовлетворяет самым строгим требованиям международных стандартов в области информационной безопасности. За свои уникальные возможности 5nine Cloud Security выбран Cyber Defense Magazine лучшим решением для защиты центров обработки данных в 2016 году.