поиск по сайту
Аккорд-В. Виртуализация без белых пятен. Часть 3

С. В. Конявская

Аккорд-В. Виртуализация без белых пятен. Часть 3.

Каковы принципы? Или «Почему нельзя защитить виртуальную инфраструктуру иначе?»

Виртуальная система строится на «реальной», стало быть принципиальные методы защиты должны быть те же. В основе виртуальных решений, так же, как и в основе «реальных», лежат машины фон-неймановской архитектуры, что означает необходимость соблюдения  и в этих системах основных принципов обеспечения информационной безопасности, дополненных новыми механизамами, отвечающими новым особенностям инфраструктур. Утверждения о том, что системы виртуализации в меньшей степени нуждаются в защите благодаря самой своей структуре, не имеют под собой оснований, но не намного больше оснований имеют под собой утверждения, что методы защиты информации в виртуальных инфраструктурах должны быть принципиально иными, чем в реальных.

Список может претендовать на исчерпанность, если он содержит либо 3, либо 7 элементов.

В основе нашей системы защиты - 3 принципа:

  • Принцип независимости
  • Принцип непрерывности
  • Принцип полноты и достаточности

Контролирующие компоненты должны быть независимы от контролируемых  (принцип независимости)

Основой всех эффективным методов и средств защиты информации является наличие в системе резидентного компонента безопасности (РКБ) - независимого от защищаемой системы устройства, контролирующего целостность аппаратного и программного окружения и защитных механизмов.

Очевидно, что аппаратный модуль доверенной загрузки (далее - АМДЗ) не может контролировать процессы загрузки виртуальных машин (далее - ВМ) и выполнять таким образом функции резидентного компонента безопасности. Отсюда оказывается очень заманчивым сделать вывод о том, что РКБ в виртуальной инфраструктуре не то что бы не нужен, но, скажем, имеет факультативное значение. На самом деле это, конечно, не так.

В результате концепция контролируемого старта сводится в некоторых решениях к самому факту наличия аппаратного компонента, причем этот компонент не является частью комплекса средств защиты, а рекомендуется к дополнительной установке. Производители рекомендуют к установке СЗИ собственной разработки, но допускают и применение других аналогичных продуктов. Это говорит о том, что аппаратный замок является не базой комплекса, а отдельным СЗИ, то есть не может считаться РКБ, лежащим в основе комплекса СЗИ НСД для системы виртуализации. Фактически, можно сказать, что аппаратного РКБ в основе такого комплекса СЗИ - нет. А так быть не должно.

Резидентный компонент безопасности необходим потому, что именно на его основе единственно возможно выполнение пошагового контроля целостности. Необходимо решение, позволяющее РКБ иметь доступ к новой контролируемой среде, находясь вне этой среды.

Выбор средства защиты должен быть обусловлен его соответствием особенностям защищаемой среды.

Цепочка контрольных процедур должна быть непрерывной (принцип непрерывности)

«Пошаговый» контроль - это контроль каждого следующего объекта только тем механизмом или средством, которое уже проверено (с положительным результатом) на предыдущем шаге и является доверенным, и на основе только тех данных, достоверность которых уже установлена на предыдущем шаге.

Применительно к системам виртуализации это означает, что весь набор процедур от старта физического сервера до старта гостевой ОС и создания внутри нее изолированной программной среды (ИПС) для каждого пользователя - это связанная цепочка последовательных и основанных одно на другом действий.

Очевидно, что в виртуальной инфраструктуре необходимо обеспечивать целостность гипервизора и его механизмов управления, а также целостность компонента безопасности, который в системах виртуализации находится на уровне между гипервизором и виртуальными машинами. Проверку целостности самого компонента безопасности и гипервизора должен производить аппаратный модуль доверенной загрузки, являясь не дополнительной возможностью, а основой системы защиты, а уже проверенные им компоненты безопасности должны контролировать ВМ, обеспечивая ее контролируемый старт, целостность ОС, файлов и оборудования, а также создавать ИПС каждого пользователя. 

Выбор средства защиты должен быть обусловлен взаимосвязанностью и взаимообусловленностью всех производимых им контрольных процедур.

Защищены одинаково надежно должны быть все звенья системы (принцип полноты и достаточности)

В случае если в системе есть незащищенные участки, эффект от системы защиты сводится на нет, поэтому помимо гипервизора необходимо контролировать и средство его управления, Service Console, а помимо загрузочного сектора дисков виртуальных машин - контролировать файлы ОС внутри ВМ. Иначе получится точечная защита, носящая скорее декоративный характер.

Выбор средства защиты должен быть обусловлен полнотой охвата компонентов системы его защитными функциями, полнотой функций системы, остающихся доступными после внедрения и настройки системы защиты, а также учитывать "нагрузку", которую система защиты наложит на инфраструктуру. Поэтому "Аккорд-В." не требует добавления в виртуальную инфраструктуру дополнительных серверов и не ограничивает таких полезных возможностей виртуальной инфраструктуры, как, например, клонирование или снапшоты.


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них