поиск по сайту
ОСОБЕННОСТИ ЗАЩИТЫ СИСТЕМ ВИРТУАЛИЗАЦИИ, ИСПОЛЬЗУЮЩИХ СЕТИ ХРАНЕНИЯ ДАННЫХ

С.В. ЛАПШИН

РОССИЯ, МОСКВА, ОКБ САПР

ОСОБЕННОСТИ ЗАЩИТЫ СИСТЕМ ВИРТУАЛИЗАЦИИ, ИСПОЛЬЗУЮЩИХ СЕТИ ХРАНЕНИЯ ДАННЫХ

Системы виртуализации наиболее эффективны тогда, когда для хранения данных они используют сетевые хранилища. Ключевые преимущества виртуализации, такие как обеспечение отказоустойчивости и динамическое распределение нагрузки, работают только при условии использования таких хранилищ - очевидно, что невозможно быстро перенести, и тем более спасти виртуальную машину с отказавшего сервера, если она хранилась локально. Но использование сетевых систем хранения данных вносит дополнительные трудности в организацию защиты таких систем. Основными проблемами являются разграничение доступа и очистка освобождаемой памяти.

Рассмотрим сначала вопросы разграничения доступа к данным, хранящимся в общем для некоторого множества серверов виртуализации хранилище. Для того чтобы иметь возможность динамически распределять нагрузку и обеспечить отказоустойчивость, необходимо, чтобы каждый из рассматриваемых серверов имел равный доступ ко всем виртуальным машинам, а значит и ко всем данным, которые эти виртуальные машины обрабатывают. Разграничения доступа к данным хранилища просто нет, и любой подключившийся к сети хранения сервер может с ними работать. Это особенно опасно, если учесть многочисленные слабости сетей передачи от серверов до хранилища. Например, большинство протоколов семейства Fiber Channel уязвимо ко многим типам атак, в частности «человек посередине», перехват сессии и «маскировка» LUN'ов.

Вторым типом проблем, появляющихся при обеспечении безопасности систем виртуализации с сетевыми хранилищами, является очистка освобождаемого в хранилище пространства. Согласно РД ФСТЭК "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" в аттестованных по классам защищенности 3А, 2А, 1А, 1Б, 1В и 1Г системах должна производиться очистка внешней памяти путем двукратной произвольной записи.

На обычных ПК и серверах, использующих локальные диски, такая очистка реализуема. Система защиты работает напрямую с драйвером жесткого диска и имеет возможность многократно переписать секторы удаленного файла. При использовании сетевых хранилищ это невозможно, вне зависимости от того, какая файловая система используется.

Дело в том, что многие современные сетевые хранилища данных используют переадресацию дискового пространства. Суть процесса заключается в том, что адресация, о которой знает файловая система, отличается от той, которая существует на самом деле. Например, если от сервера на хранилище приходит запрос на чтение «LUN ID=1, LBA=27», то это еще не значит, что нужные данные там хранятся. Хранилище по метаданным определяет реальное положение запрашиваемого блока и возвращает, например, то, что хранится на самом деле на «LUN ID=5, LBA=32». Чаще всего это делается для ускорения работы сетевых хранилищ, но иногда и для уменьшения их стоимости. Фактически происходит абстрагирование адресации, о которой «знает» сервер, от той, что есть на самом деле. Проблема заключается в том, что таблица переадресации может меняться динамически, это делается, в основном, для оптимизации скорости работы дискового хранилища. Но сервер об этом никогда не узнает. Перезапись определенных секторов со стороны файловой системы становится бессмысленной, т.к. физически секторы «удаленного» файла и секторы, в которые осуществляется перезапись, могут отличаться.

Указанные проблемы технически разрешимы, но для этого имеющиеся на рынке системы хранения данных и системы виртуализации должны быть существенно модифицированы. Разграничение доступа в некоторых сетевых хранилищах если и реализовано, то поддерживается не всеми основными системами виртуализации. К тому же потребуется дополнительная сертификация таких систем. Для решения этой проблемы в первую очередь необходимо реализовать надежную систему разграничения доступа к ресурсам сети хранения данных и защищенные каналы передачи этих данных серверам, а также поддержку этих мер защиты со стороны систем виртуализации. Что касается очистки освобождаемой памяти в хранилище, то о системах, способных ее осуществлять в соответствии с руководящими документами, в настоящее время не известно.

Пока же организовать надежную защиту систем виртуализации, использующих сетевые хранилища данных, предлагается организационными мерами. Для этого, во-первых, необходимо, чтобы серверы и хранилища, которые они используют, находились в одном защищаемом помещении. Это позволит максимально снизить риск атак на протоколы передачи между ними. Во-вторых, любое изъятие дисков из хранилища должно сопровождаться обязательной очисткой всего диска в соответствии с руководящими документами.

Реализация этих мер, в дополнении с жесткими организационными мерами, в настоящий момент необходима для построения надежной системы безопасности систем виртуализации, использующих сети хранения данных.

 


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них