поиск по сайту
Необходимо и достаточно, или контроль целостности виртуальных машин с помощью Аккорд-KVM

Необходимо и достаточно,  или контроль целостности виртуальных машин с помощью Аккорд-KVM

Н. В. Мозолина, ОКБ САПР, МФТИ

Перед открытием любого файла необходимо убедиться в его безопасности. Перед этим необходимо провести проверку тех программ, с помощью которых выбудете работать с файлом, и тех, с помощью которых будете эту проверку производить. А ещё раньше ─ убедиться в безопасности операционной системы, в которой будете работать, и оборудования вашей машины – необходим её контроль целостности.

Примечательно, что все сказанное выше верно как для физических ЭВМ, так и для виртуальных машин, для железа и программного обеспечения любого производителя и любой архитектуры, для любой платформы виртуализации.

В последнее время наблюдается тенденция перевода всё большего числа информационных систем на ОС семейства Linux – это касается как частных компаний, так и государственных учреждений. Причины могут быть разными, например,  импортозамещение и переход на отечественные дистрибутивы, снижение затрат на покупку ПО, повышение производительности с уменьшением требуемых для работы ресурсов и  многое другое. В любом случае, операционные системы Linux всё чаще используются и для рабочих мест пользователей, и для серверов, в том числе серверов виртуализации.

Одним из наиболее популярных решений для виртуализации в среде Linux является программное решение KVM. Оно позволяет создавать виртуальные машины (ВМ) с различными гостевыми ОС (Linux, Windows) и собственным виртуальным аппаратным обеспечением: жёстким диском, видеокартой, USB -контроллерами, дисплеем и т.д.

KVM является открытым программным обеспечением, и традиционно считается, что использование таких программ повышает безопасность системы. Трудно, да и незачем спорить с этим утверждением. Но стоит заметить, что использование программного обеспечение с открытым кодом не гарантирует безопасности и не отменяет необходимости в принятии мер по защите информации [1]. И одной из таких мер является контроль целостности ВМ .

Защита для виртуальных инфраструктур

Разработанное «ОКБ САПР» специальное программное обеспечение «Аккорд-KVM» предназначено для применения в виртуальных инфраструктурах, построенных на базе KVM и использующих библиотеку libvirt в качестве инструмента управления гипервизором. Основными функциями данного продукта являются контроль целостности ВМ, выполняемый до их запуска, и управление их размещением и перемещением между серверами виртуализации.

Конечно, использования одного только «Аккорд-KVM» недостаточно для полной защиты виртуальной инфраструктуры, её невозможно обеспечить лишь программными средствами. Необходимо применение дополнительных СДЗ для физических серверов виртуализации, СЗИ от НСД, как на гипервизорах, так и внутри ВМ для защиты их ресурсов. «Аккорд-KVM» успешно работает в связке с соответствующими средствами защиты «ОКБ САПР» и может использоваться в составе комплексного решения по защите виртуальной инфраструктуры.

Функции защиты «Аккорд-KVM»

Каждая ВМ характеризуется своим виртуальным аппаратным обеспечением (набором оборудования) и работающей на нём гостевой операционной системой со всеми её файлами. А потому в «Аккорд-KVM» контроль целостности ВМ включает в себя контроль 2 компонентов – конфигурации и файлов внутри ВМ Контроль целостности конфигурации заключается в расчёте эталонных контрольных сумм оборудования и его настроек и в сравнении их с текущими при каждом включении ВМ или её миграции. Аналогично осуществляется контроль системных и пользовательских файлов внутри машины. Поддерживаемые «Аккорд-KVM» файловые системы позволяют контролировать целостность ВМ с гостевыми ОС семейств и Windows, и Linux.

«Аккорд-KVM» также обеспечивает контроль за размещением исполняемых ВМ на серверах виртуализации, что позволяет исключить смешение информации различного уровня доступа, другими словами, не допустить размещения ВМ, обрабатывающих информацию ограниченного доступа, на серверах виртуализации, предназначенных для работы с общедоступной информацией.

«Аккорд-KVM» может применяться на гипервизорах с различными операционными системами – Red Hat, Ubuntu, CentOS – и не требует для работы дополнительных серверов. Это позволяет использовать «Аккорд-KVM» для защиты широкого спектра виртуальных инфраструктурах, администрируемых как с помощью консольного приложения virsh или довольно простой графической утилиты Virtual Machine Manager (virt-manager), так и в инфраструктурах, дополненных системой управления oVirt.

Информационные системы, использующие виртуализацию на базе KVM, могут значительно различаться, но в любом случае необходимой мерой их защиты является обеспечение контроля целостности ВМ Средству защиты для таких систем необходимо, но не достаточно решать эту задачу, кроме того, оно должно соответствовать всем факторам, характеризующим защищаемую виртуальную инфраструктуру: ОС гипервизоров, способы подключения хранилища, гостевые  версии ОС, системы управления и т.д.

«Аккорд-KVM» обладает всеми необходимыми для такого СЗИ характеристиками, и его использования достаточно для контроля целостности ВМ в самых различных виртуальных инфраструктурах.

Литература

  1. Лыдин С.С. Перспективы открытых программных и аппаратных решений для корпоративных и коммерческих ЦОД // Национальный банковский журнал. 2018. № 9 (сентябрь). С. 94-95.