поиск по сайту
Подходы к защите виртуальных инфраструктур

Д. В. Угаров,

Россия, ОКБ САПР

Подходы к защите виртуальных инфраструктур

К настоящему времени про виртуализацию слышал каждый, однако заинтересованность к ней проявляют далеко не все. Возможности гибкого управления инфраструктурой, эффективного энергосбережения и отказоустойчивости еще можно попытаться проигнорировать. Но тот факт, что для одного только комплекса VMware vSphere количество виртуальных машин за 4 года увеличилось в 20 раз (до 20 миллионов) говорит о том, что данная технология  уже стала востребованной и специалистам по информационной безопасности необходимо присмотреться к ней повнимательнее.

При принятии решения о переходе к данному типу IT инфраструктуры одним из самых важных вопросов является вопрос безопасности, а в случаях построения виртуализированных ЦОДов «для себя» именно он часто становится камнем преткновения. К счастью (а может и, к сожалению), количество предлагаемых решений на данный момент не велико. А если рассматривать идеологические подходы (применительно к лидирующему на текущее время средству VMware vSphere), то их всего два.

В основе одного из них лежит управление информационными потоками, позволяющее разграничивать доступ к конфиденциальным ресурсам. Реализуется это следующим образом: все запросы пускаются через специально добавленный в систему сервер авторизации, который фильтрует нежелательные запросы, тем самым выступая в роли межсетевого экрана. Управление доступом «внутри» инфраструктуры производится путем назначения меток элементам инфраструктуры и её пользователям. Кроме того производится проверка контрольных сумм файла конфигурации виртуальной машины (ВМ), файла ее БИОС и главной загрузочной записи. Механизм работы данного подхода понятен и наблюдаем и за счет этого вызывает чувство защищенности, однако, встает ряд вопросов, ответов на которые авторы решения не дают: во-первых, детектирование проникновения в случае компрометации сервера авторизации, во-вторых, контроль целостности модуля защиты внутри ВМ.

В основе второго решения лежит принцип непрерывности контрольных процедур, учитывающий особенность старта виртуальной инфраструктуры - его «растянутость» на этапы, разнесенные по разным инфраструктурным элементам. Чтобы обеспечить защиту внутри виртуальных машин необходимо контролировать все этапы работы: провести доверенную загрузку гипервизора, проверить целостность компонента защиты на нем, удостовериться в неизменности файлов конфигурации ВМ, ее БИОС и  компонента защиты внутри ВМ до ее запуска, и только потом внутри корректно стартовавшей ВМ уже производить разграничение доступа, реализуя изолированную программную среду. Реализовано это в виде непрерывной цепочки контрольных процедур, каждая последующая из которых производится компонентом, проверенным на предыдущем шаге. Перехват управлением ВМ происходит непосредственно на гипервизоре, без использования API,предоставляемых средством виртуализации.

Данная идеология хотя и не изменяет архитектуры инфраструктуры виртуализации, но, тем не менее, она накладывает определенные требования, не всегда воспринимаемые лояльно: использование кроме программных средств еще и аппаратных, невозможность расположения vCenter сервера на ВМ. Однако данные выполнение данных требований необходимо для обеспечения физически независимого от защищаемой инфраструктуры базиса защиты - обязательного условия построения надежной подсистемы защиты. Точно так же, как невозможно контролировать одной программой другую, невозможно контролировать ВМ с другой ВМ - это также равносильно вытягиванию себя за волосы, необходим доверенный компонент - точка опоры, с которой можно начать отсчет.

Итак, подведем итоги. На настоящее время в России существует две идеологии защиты виртуальных инфраструктур: «управление ролями» и «контролируемая среда». В обоих решениях постулируется комплексная защита, однако методы её реализации в корне различаются. В одном случае это акцент на управлении потоками, подходящий для организации работы в рамках четко заданных ролей внутри компании. В другом - доверенный старт проверенной системы, в результате которого загружается доверенная среда, все компоненты которой, включая и средства защиты, функционируют корректно и контролируемо.

Оба подхода имеют право на жизнь, однако стоит четко понимать, что управление не может заменить защиту, а защита не должна решать задачи управления. Возможно, эффективным может оказаться комбинирование этих двух идеологий. Одно лишь можно сказать точно: препятствий к построению собственного ЦОДа нет! Остается определиться с целесообразностью.


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них