Юрий Бражников — директор 5Nine Software в Восточной Европе и странах СНГ.
Одними из основных объектов для внедрения новой Windows Server 2012 являются центры обработки данных как хостинг-провайдеров, так и крупных предприятий. Поскольку все больше решений создается в виртуальной среде и включает в себя приложения, критичные для клиента, одним из главных критериев выбора программной платформы для серверных решений центров обработки данных является обеспечение безопасности инфраструктуры от внутренних и внешних угроз и ее соответствие текущему мировому и российскому законодательству. В частности, Федеральному закону «О персональных данных» и PCI DSS — стандарту безопасности для банковских структур. Требования обеспечения безопасности для пользователей в виртуальной среде довольно сложны. Виртуальные машины уязвимы для вредоносных программ, вирусов, фишинга и DDoS-атак, а также подвержены новым угрозам, которых не было в физических средах: от распространения вирусов среди виртуальных машин до возникновения вирусных «штормов». Проблемы в виртуальных средах продолжают расти.
Кроме того, центр обработки данных должен поддерживать бизнес-модель, предусматривающую многопользовательскую безопасность виртуальных машин, клиентов и подразделений для обеспечения требуемого качества обслуживания. Для соблюдения соответствия нормам оператор центра обработки данных должен эффективно собирать, проверять и хранить данные о каждой виртуальной машине, а также контролировать и защищать трафик внутри нее. Традиционные антивирусы на основе агентов в виртуальных машинах, защита от вторжений и сетевые экраны, построенные для физических сред, не могут уберечь данные от новых рисков и угроз в виртуализованных средах. Они являются защитой, только если антивирусное программное обеспечение или его агент установлены на каждой виртуальной машине. Но в этом случае потребляются ценные ресурсы Hyper-V, снижается производительность, управляемость инфраструктуры и увеличиваются расходы.
Разработчики Microsoft, накопив опыт многочисленных внедрений своих решений для центров обработки данных на базе Windows Server 2008, внесли значительные изменения в механизмы защиты виртуальных и физических сред на базе Server 2012. Гипервизор Hyper-V 3.0 поддерживает многоабонентскую модель и предоставляет новые функции безопасности и изоляции: виртуальные машины остаются изолированными, даже если они хранятся в одной физической сети или на одном сервере. Кроме того, реализованный в Windows Server 2012 Hyper-V виртуальный сетевой коммутатор Extensible Virtual Switch поддерживает расширения сторонних разработчиков, дополняющие возможности сетевого взаимодействия и безопасности. Он обеспечивает применение политик безопасности, изоляции и уровней обслуживания для виртуальной среды. Благодаря встроенной поддержке драйверов-фильтров NDIS и драйверов внешнего вызова платформы фильтрации Windows виртуальный коммутатор Hyper-V позволяет независимым поставщикам программных продуктов создавать расширяемые подключаемые модули, расширения виртуального коммутатора, которые обеспечивают более эффективные возможности управления работой сети и безопасностью. На сегодня несколько партнеров Microsoft уже объявили о выпуске расширений для коммутатора Hyper-V, в том числе компания 5nine выпустила продукт под названием Security Manager.
. Системные требования для установки 5nine Security Manager приведены во врезке.
Описание продукта
Данный продукт контролирует сетевой трафик между виртуальными машинами, обнаруживает и блокирует попытки атак, осуществляет быструю антивирусную проверку и повышает уровень безопасности виртуальной среды (см. рисунок 1).
Рисунок 1. Архитектура 5nine Security Manager |
5nine Security Manager сочетает в себе несколько модулей защиты, в том числе антивирусный, программируемый виртуальный сетевой экран Firewall, реестр журналов, система обнаружения вторжений (IDS) и защиты веб-приложений, в одном централизованно управляемом программном продукте.
5nine Security Manager представляет собой инструмент мониторинга виртуальной инфраструктуры, определяющий правила сетевого трафика для виртуальных машин Hyper-V и обеспечивающий виртуальную инфраструктуру с точки зрения безопасности. Доступ к приложению возможен из стандартных средств управления Windows Server 2012 (см. экран 1).
Экран 1. Активация 5nine Security Manager |
5nine Security Manager доступен в трех редакциях: Essentials, Standard и Data Center. Редакция 5nine Security Manager Essentials, предназначенная для среднего и малого бизнеса, состоит из модулей базового управления стеком и антивируса, который обнаруживает и блокирует вредоносную деятельность и повышает безопасность виртуальной среды Hyper-V, исключая антивирусный «шторм»; сканирует виртуальные машины и хосты с использованием уникальной технологии, без применения агентов на виртуальных машинах.
Редакция 5nine Security Manager для Hyper-V Standard, обеспечивающая централизованно управляемое, комплексное решение для крупных компаний, состоит из нескольких модулей защиты: антивируса и виртуального сетевого экрана. Упрощенный пользовательский режим, который задействует Windows Filtering Platform для фильтрации сетевого трафика виртуальной машины в соответствии с созданными пользователем политиками, обеспечивает функции надежного и гибкого межсетевого экрана.
Наиболее функционально полная редакция Data Center работает в режиме Kernel Mode и предназначена для использования в крупных центрах обработки данных и у хостинг-провайдеров. Она включает в себя расширенные возможности, такие как глубокая инспекция пакетов и сетевого трафика с анализом аномалий, занесение событий с расширенным списком данных в базу данных для аудита, раздельное регулирование скорости исходящего и входящего трафика и установка лимитов по каждому из них.
5nine Security Manager в редакции Data Center — это комплексное решение, обеспечивающее простую в применении многоуровневую защиту в режиме реального времени, безагентный мониторинг большого количества серверов и виртуальных машин (см. рисунок 2).
Рисунок 2. Архитектура редакции Data Center продукта 5nine Security Manager |
Виртуальный сетевой экран
Виртуальный сетевой экран 5nine Virtual Firewall контролирует трафик между виртуальной машиной под управлением Hyper-V и между виртуальными машинами и внешней сетью. Это значительно упрощает развертывание нескольких гостевых операционных систем и управление ими, благодаря расширению нового Hyper-V Virtual Switch. Virtual Firewall позволяет проверять журналы сетевого трафика для каждой из контролируемых виртуальных машин и генерировать соответствующие отчеты. Специальная функция Heartbeat service обязательно проверяет применение правил брандмауэра и приостанавливает виртуальную машину, если установленные для нее правила не выполняются. Важно, что контроль ведется не за отдельной виртуальной машиной, а за всеми машинами на хосте, что позволяет обеспечить безопасность всей инфраструктуры и предотвратить такие операции, как, например, спуфинг или подмена IP-адреса.
Сетевой экран Virtual Firewall в редакции Data Center включает режим Kernel mode, который обеспечивает фильтрацию МАС-адресов, реализацию правил ARP, выполнение инспекции пакетов Stateful Packet Inspection (SPI), проверку пакетов и сетевого трафика с анализом аномалий, управление полосой пропускания входящих и исходящих соединений для каждой виртуальной машины.
Антивирус
Модуль 5nine Антивирус обнаруживает и блокирует вредоносную деятельность и повышает безопасность виртуальной среды Hyper-V без создания антивирусных «штормов» и снижения производительности, обеспечивая при этом минимальные потери производительности с помощью безагентной архитектуры, поддержку всех видов гостевых операционных систем, осуществляемую Hyper-V, быстрое инкрементальное сканирование, согласованное управление сканированием с учетом пороговых значений счетчиков производительности, установленных на виртуальных машинах, выборочное сканирование для обеспечения оптимальной производительности и кэширование на виртуальных машинах. При этом предоставляется простая централизованная консоль управления.
Консоль управления
Интеллектуальная консоль управления 5nine обеспечивает централизованное управление, контроль безопасности и соответствия нормам. Консоль управления, которая может быть установлена как на сервер, так и на виртуальную машину, позволяет системному администратору получить доступ к правилам, журналам и отчетам (см. экран 2).
Экран 2. Консоль управления |
Из окна консоли можно выполнять множество операций:
-добавить хост для мониторинга в диалоговом окне или выбрать из списка;
-установить и/или добавить правила виртуального брандмауэра и его параметры;
-добавить правила IP и трансляции IP;
-добавить правила для нескольких виртуальных машин;
-настроить график работы антивируса, установить нагрузочные пороги для серверных процессоров, памяти, дискового ввода-вывода и сетевого обмена;
-установить пропускные лимиты на передачу/прием;
-вести сетевую статистику и журналы: данные о сетевой активности собираются в базу или файл.
Система обнаружения вторжений IDS
Система обнаружения вторжений 5nine Hyper-V IDS идентифицирует и блокирует аномальный сетевой трафик, вызванный уязвимостями, в том числе угрозами на уровне приложений:
*защищает от вредоносных действий, в том числе DDoS, XSS (Cross-Site Scripting) и т.д.;
*осуществляет мониторинг сетевого трафика и предупреждает о подозрительной активности;
*обеспечивает глубокий уровень защиты приложений;
*включает Web Application Firewall (WAF) для обнаружения и предотвращения атак с детальной аналитикой. WAF лицензируется на каждую виртуальную машину.
Возможности для «облаков»
Безагентная архитектура 5nine Security Manager обеспечивает безопасность, соответствие требованиям и нормам, максимальную производительность «облачных» структур на базе Hyper-V 3.0. С помощью 5nine Security Manager операторы центра обработки данных могут:
-увеличить плотность виртуальных машин без дополнительных затрат на аппаратные средства;
-повысить производительность «облачных» сред за счет простого внедрения продукта;
-поддерживать безопасность в виртуальной многоабонентской среде;
-обеспечить соблюдение норм законодательства клиентом.
Системные требования для установки 5nine Security Manager
-Операционная система
*базовая: Windows Server 2012 или Windows 8 с установленной ролью Hyper-V;
*гостевая виртуальная машина: любая.
-Для системы управления подходит физическая или виртуальная система XP Pro SP3, Vista SP1 (редакции Business, Enterprise или Ultimate), Win 2003 R2 SP2, Win 2008 Server или более новые, x64 или x86.
-Виртуальная машина с консолью v- Firewall Web Console Virtual должна быть на том же хосте Hyper-V, где установлена служба и драйвер.
-Необходимо наличие инфраструктуры. NET 3.5 Sp1 или более новой на сервере или виртуальной машине, на которой установлен API управления и программа управления.
-На сервере управления или виртуальной машине требуется наличие редакции SQL 2008 Express (для ведения журналов в базе данных).
-Необходимо наличие модуля Microsoft PowerShell для IIS.