поиск по сайту
ВИРТУАЛИЗАЦИЯ: в поисках точки опоры

С. В. ЛАПШИН, Д. Ю. СЧАСТНЫЙ
РОССИЯ, МОСКВА, ОКБ САПР

ВИРТУАЛИЗАЦИЯ: в поисках точки опоры

Виртуализация платформ за последние годы получила широкое распространение. Продуктами виртуализации стало намного проще пользоваться, они стали более надежными и функциональными. Построенная на основе виртуализации ИТ-инфраструктура намного более гибкая, надежная и простая в эксплуатации, чем классическая. 

В системах виртуализации появляется два дополнительных программных уровня – гипервизор и виртуальные устройства. Это кардинально меняет подход к построению защиты, такие системы нельзя защищать так же, как классические. Но отказываться из-за этого от преимуществ виртуальной инфраструктуры не рационально.

 Поэтому на практике предпочитают жертвовать защищенностью, используя менее надежные методы, но которые легче, чем аппаратные, адаптируются к особенностями систем виртуализации. Так, некоторые решения позволяют контролировать целостность, функционируя исключительно внутри контролируемой среды. Проблема в том, что компонент безопасности таких решений никак не защищен. Виртуальную машину в выключенном состоянии можно модифицировать, следовательно, можно изменить и компонент безопасности. А ведь именно он хранит в себе эталонные параметры среды и сравнивает их с полученными в результате исследования. Следовательно, его модификация приведет к дискредитации системы контроля целостности, поэтому компонент безопасности должен находиться вне контролируемой программной среды. 

В то же время, он должен иметь доступ к контролируемой среде. Поскольку вычислительная среда меняется во времени, контроль целостности программной среды «снаружи» невозможен, и компоненту безопасности необходимо иметь возможность «влезть» в эту среду, исследовать ее, и сравнивать полученные параметры среды с эталонными. Под параметрами среды в данном случае подразумеваются не только параметры гостевой операционной системы, следует также учитывать настройки самой виртуальной машины, например набор ее оборудования. 

В данном случае нельзя использовать стандартный подход к обеспечению целостности ОС, потому что ядро гипервизора из соображений безопасности закрыто, а стало быть нельзя добавить в виртуальную машину устройство, которе будет основываться на аппаратном модуле и выполнять функции рассматриваемого компонента безопасности. 

Исходя из этих рассуждений, в системах виртуализации компонент безопасности должен находиться на уровне между гипервизором и виртуальными машинами. В этом случае очевидно, что необходимо обеспечивать целостность самого компонента безопасности. Это не потребует вмешаетельства в работу гипервизора, и поэтому может быть реализовано аппаратно.

Аппаратная реализация технологических операций, процедур и протоколов изначально обладает более высоким потенциалом защиты, чем программная. В виртуальной инфраструктуре необходимо также обеспечивать целостность самого гипервизора, что возможно только с аппаратного уровня. Поэтому, проверкой целостности самого компонента безопасности и гипервизора должен заниматься аппаратный модуль доверенной загрузки. 

Получается, что защищенная система контроля целостности виртуальной программной среды должна состоять из программного компонента безопасности и аппаратного модуля доверенной загрузки. Компонент безопасности должен иметь доступ защищаемой программной среде, но находиться на уровне между гипервизором и гостевой ОС. Защиту самого компонента безопасности и гипервизора должен обеспечивать аппаратный модель доверенной загрузки.


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них