поиск по сайту
Перспективы развития средств защиты виртуальных инфраструктур

Перспективы развития средств защиты виртуальных инфраструктур

Угаров Д.В. ОКБ САПР

На дворе 2013 год, виртуализация применяется повсеместно, однако, при этом в статьях почему-то не перестают упоминать, что люди все еще сомневаются в безопасности перехода к данному типу инфраструктуры. Однако,  даже поверхностный взгляд позволяет понять, что представленных средств защиты для виртуальных инфраструктур уже более чем достаточно. К сожалению, в связи с этим назревает другая проблема - отсутствие четкого понимания, что именно нужно из представленных продуктов в каждом конкретном случае. Результатом этого непонимания становятся решения с чуть ли не  десятками одновременно установленных продуктов, обеспечивающих безопасность. Естественно, при таком «ответственном» подходе производительность системы проседает в разы, а об удобстве управления вообще говорить не приходится.

Причина непонимания заключается в том, что в настоящее время невозможно в полной мере решить все вопросы одновременно с использованием всего лишь одного продукта. Это ведет к необходимости использования нескольких решений, а это - в большинстве случаев к дублированию функционала. Помимо этого не стоит забывать, что часть решений повторяет функционал, предоставляемый самими средствами виртуализации, что окончательно лишает возможности разобраться в данном вопросе.

Т.к. отчет Gartner в очередной раз подтвердил лидерство решения VMware vSphere, то рассмотрение данной проблемы и пути её решения имеет смысл рассматривать именно на этом продукте. Однако стоит отметить, что большинство идей применимо в целом к защите виртуальных инфраструктур, вне зависимости от производителя.

Для того чтобы выявить узкие места появляющиеся на стыке используемых решений, обобщим имеющиеся технологии в текущих продуктах по защите информации для виртуальных инфраструктур.

I. В первую очередь это контроль обращения к файлам операционных систем (ОС) виртуальных машин (ВМ). Данная техника подразделяется на два типа решений:

1. Множество антивирусных продуктов использующих технологию VMware Endpoint security (EPSEC). Она позволяет обеспечивать контроль обращения к файлам ОС вне этой ОС.  Для ее использования необходимы установленные гостевые дополнения внутри ВМ и наличие специальной ВМ на каждом гипервизоре (посредством которой и будет осуществляться контроль). Такой подход в свою очередь позволяет значительно снизить нагрузку на инфраструктуру и упростить управление для администраторов за счет отказа от установки дополнительных агентов в каждую ВМ .

2. Продукты, обеспечивающие разграничение доступа к файлам за счет перехвата системных вызовов на уровне ядра. На текущий момент данная технология работы идентична как для физических машин, так и для виртуальных. Модули безопасности при этом в отличие от EPSEC находятся внутри самой ОС. Т.е. для виртуальных машин контроль происходит не с наружи ОС, а изнутри.

II. Следующим, но не менее важным подходом являются решения, обеспечивающие контроль управления объектами виртуальной инфраструктуры за счет добавления промежуточного звена, выступающего в роли шлюза. В большинстве случаев для этого на гипервизор добавляется специальная ВМ с фаерволом. Такой подход позволяет вклиниться в сетевые соединения и фильтровать необходимые запросы (т.е. запрещать управляющие команды или блокировать доступ к определенным объектам).

III. Завершают список модули доверенной загрузки. Здесь так же имеет место разделение на 2 подтипа:

1. «Физическая» имплементация - необходима для серверов с гипервизорами и серверов управления (для VMware - vCenter).

2. «Программная» имплементация - для ВМ. Необходимость данного элемента связана с тем, что работа EPSEC возможна  лишь после того, как включатся  гостевые дополнения, а это примерно +10 секунд  от включения ОС (образуя таким образом брешь, т.к. контроль не осуществляется непрерывно). Хотя данный модуль нет необходимости реализовывать в виде физического устройства по причине его работы на более высоком уровне,  он обязательно должен использоваться в связке со своим «старшим» собратом.

При одновременном использовании антивирусов и решений по разграничению доступа узким местом становится дублирование контроля обращения к файлам - внутри ОС ядром безопасности, а так же из ВМ, находящейся снаружи по отношению к данной ОС. Очевидно, что контролировать доступ из вне - является более правильным  решением, кроме того, дающим выигрыш в скорости и простоте управления.  Поэтому необходимым шагом в развитии этого направления является  интеграция между собой антивирусного ПО, использующего EPSEC, и решений, обеспечивающих разграничение доступа (по аналогии взаимодействия для антивирусов и средств разграничения для физических машин).

Использование шлюзов вместе с модулем доверенной загрузкой (МДЗ) ВМ приводит к дублированию  контроля состояния виртуальной машины (например,  попытку включения ВМ сначала перехватывает фаервол, а затем МДЗ). Поэтому логично снизить избыточность за счет передачи управления к МДЗ ВМ сразу после выявления сигнала фаерволом.

Аппаратные модули доверенной загрузки  в свою очередь обособлены от предыдущих подходов по двум причинам: во-первых, они обязательно должны использоваться как опорная точка для защищаемой системы (т.е. для них не встает вопрос «а нужно ли?»). Во-вторых,  по причине того, что они не дают перекрытия по функционалу с другими продуктами, и как следствие, могут использоваться в системе в своем текущем исполнении. Однако, их так же есть куда развивать:

1. В связи со спецификой виртуализации все чаще при построении виртуальной инфраструктуры предпочтение отдается blade-серверам, которые не подразумевают возможности установки PCI решений. Поэтому в первую очередь необходимо озаботиться возможностью перехода на альтернативные интерфейсы, например - USB.

2. За счет того, что в большинстве случаев сервера управляются удаленно, встает вопрос организации И/А при их загрузке. Решить эту проблему можно двумя путями: добавить возможность удаленной И/А или оставить необходимость И/А лишь на случай обнаружения инцидентов при загрузке. Хотя второй вариант предпочтительнее (т.к. ведет к упрощению системы), он требует дополнительного обоснования для принятия со стороны регуляторов, что может занять достаточно продолжительное время. Поэтому выбор в пользу одного из них неочевиден.

3. Существуют комплексы, предоставляющие АМДЗ как «опцию», что показывает не связанность всей системы. Однако просто добавить АМДЗ в систему недостаточно. Чтобы обеспечить непрерывную цепочку защиты, требуется взаимная увязка данного модуля с модулем находящимся на уровень выше. Таким образом, необходимо чтобы АМДЗ проверял целостность ПО и драйверов в ОС, ПО, стоящее выше,  в свою очередь проверяло наличие и работоспособность  АМДЗ, а так же хранило в нем все необходимые данные.

По отдельности все предлагаемые решения - более чем достойны внимания. С другой стороны в «полевых» условиях они чаще всего используются в связке. В результате возникает две задачи: не допустить дублирование функционала и тесно интегрировать решения с возможностью централизованного управления ими.

Выход же из данной ситуации возможен двумя путями:

1) Использование программно-аппаратных комплексов от одной компании. Такой подход позволит избавиться от наложения функционала и снизит количество элементов управления. Однако над сведением управления в действительно централизованное решение компаниям еще необходимо работать.

2) Выработать унифицированные API, позволяющие делать связки решений между собой, чтобы тем самым минимизировать накладные расходы и упростить управление. Примером такого подхода может служить выпущенный компанией VMware продукт vCenter Multi-Hypervisor Manager, который помимо управления ESXi гипервизорами может управлять и Hyper-V.

Скорее всего, функционал средств защиты виртуальных инфраструктур (в особенности сертифицированных) в самом ближайшем будущем будет идти вровень, а основу выбора в пользу одного из них будут составлять взаимосвязанность компонент и удобство использования. Поэтому чтобы новые решения были действительно «новыми»,   компаниям стоит сосредоточиться именно на этих аспектах.


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них