Защита виртуализации VMware: кратко обо всем и чуть-чуть подробнее о новинках, ведущий семинара: Мозолина Н. В., выставка InfoSecurity-2017

ПАК АККОРД-В.

Что это?

Программно-аппаратный комплекс «Аккорд-В.» предназначен для защиты виртуальных инфраструктур на базе VMware vSphere версий 5.x и 6.x

В случае приведения защиты виртуальной инфраструктуры в соответствие требованиям регуляторов (руководящие документы и приказы ФСТЭК) важно понимать следующее:

В настоящее время невозможно в полной мере решить все вопросы защиты с использованием всего лишь одного продукта. Это ведет к необходимости использования нескольких решений, а это - в большинстве случаев к дублированию функционала (и проблемам совместимости). Поэтому при проектировании системы защиты требуется продуманная и удобная связка решений.

«Связка» упомянуто не просто так. Можно закрыть требования по защите виртуальных инфраструктур множеством средств, но при этом все равно остаться не защищенными. Как, например, доверять антивирусу, если в загрузочном секторе MBR уже модифицированные данные?

В чём проблема? (было)

Чтобы в эффективности средств защиты не приходилось сомневаться, требуется построить доверенную среду, а для этого необходимо придерживаться принципа непрерывности контрольных процедур.

Для обычных, физических АРМ выполнение данного принципа успешно реализуется связкой «АМДЗ + СЗИ от НСД», но при переходе к виртуальным инфраструктурам этого уже недостаточно.

В чём проблема? (стало при переходе к ВИ)

Требуется учитывать «новый слой» и обеспечивать доверенную загрузку ВМ.

Что контролировать при доверенной загрузке ВМ?

Как и в случае в физической машиной, необходим контроль конфигурации BIOS, конфигурации оборудования и файлов на жёстком диске.

Как решаем в «Аккорд-В.»?

Доверенная загрузка ВМ обеспечивается за счёт агентов «Аккорд-В.», устанавливаемых на ESXi.

Общая архитектура «Аккорд-В.»

Рассмотрим состав «Аккорд-В.» и реализованные в нём механизмы защиты.

ПАК СЗИ НСД «Аккорд-В.» состоит из следующих компонентов:

АМДЗ – модули доверенной загрузки для физических АРМ (в т.ч. серверов). В различных вариациях исполнения от PCI и M2 до USB.

Агенты Аккорд-В. устанавливаемые на ESXi для осуществления доверенной загрузки ВМ. При этом работают независимо от АРМ администратора безопасности (после настройки доверенной загрузки ВМ).

СЗИ от НСД Аккорд – ПО, осуществляющее разграничение доступа в ОС (Windows/Linux), применяемое для ВМ / физических АРМ. Решение применимо как для VDI, так и для терминальных серверов.

В состав СПО «Аккорд-В.» входит утилиты управления агентами, осуществляющие настройку доверенной загрузки ВМ, а также сервис регистрации событий в ВИ.

Таким образом, программно-аппаратном комплексе «Аккорд-В.» реализованы следующие механизмы защиты:

• Доверенная загрузка и контроль целостности всех элементов инфраструктуры виртуализации (и ВМ – за счёт агентов, и физических серверов – за счёт АМДЗ);
• Разграничение доступа администраторов виртуальной инфраструктуры (АВИ) и администраторов безопасности информации (АБИ);
• Разграничение доступа пользователей внутри виртуальных машин;

• Механизмы дискреционного/мандатного контроля доступа пользователей и процессов к защищаемым объектам инфраструктуры виртуализации, включая ресурсы внутри ВМ;
• Механизм очистки оперативной и внешней памяти путём записи маскирующей информации в память при её освобождении (перераспределении);
• Механизм изоляции модулей (процессов) в оперативной памяти;

• Аппаратная идентификация всех пользователей и администраторов инфраструктуры виртуализации.

Важно! Система защиты «Аккорд-В.» не ограничивает в целях безопасности возможностей виртуальной инфраструктуры, оставляя доступными все ее преимущества.

Приказы ФСТЭК №17 и №21

Также ПАК «Аккорд-В.» закрывает 7 из 10 требований по защите виртуальных инфраструктур (ВИ) приказов ФСТЭК №17 и №21, а именно:

И/А в ВИ (ЗСВ. 1)

Управление доступом (ЗСВ. 2)

Регистрация событий (ЗСВ. 3)

Доверенная загрузка (ЗСВ. 5)

Управление миграцией (ЗСВ. 6)

Контроль целостности (ЗСВ. 7)

Сегментирование ВИ (ЗСВ.10)

Исключения*:

Управление потоками (ЗСВ.4)

Резервирование (ЗСВ.8)

Антивирусная защита (ЗСВ.9)

*закрываются существующими решениями на рынке

Таким образом, ПАК «Аккорд-В.» связку решений необходимую для выполнения большинства требований и при этом не мешает продуктам, необходимым для выполнения оставшихся (что значительно упрощает проектирование системы).

Ключевые моменты

«Аккорд-В.» - комплексное решение . «Аккорд-В.» включает в себя все необходимые элементы для реализации большинства требований по защите информации в виртуальных инфраструктурах, а оставшиеся пункты требований легко закрыть уже существующими на рынке решениями, функционал которых не пересекается с функционалом «Аккорд-В.» . В этом также проявляется адаптируемость решения.

«Аккорд-В.» - адаптируемое решение. ПАК «Аккорд-В.» позволяет защищать виртуальные инфраструктуры, дополненные различными подсистемами. Например, VDI (Horizon View, XenDesktop), антивирусы (Deep Security, Касперский для виртуальных сред) или средства резервирования (Acronis backup, Veeam backup).

«Аккорд-В.» - отказоустойчивое решение. Агенты «Аккорд-В.» в составе ПАК работают независимо от АРМ АБИ (т.е. децентрализовано), что повышает уровень функционирования всей системы в целом, т.к. отсутствует «единая точка отказа» системы.

Сертификаты

ПАК «Аккорд-В.» имеет сертификат ФСТЭК России №3241 на соответствие требованиям НДВ-2, СВТ-3 и может использоваться для защиты информации в автоматизированных системах до классов защищенности 1Б включительно.

В настоящее время последняя версия «Аккорд-В.» 1.3.581 уже прошла проверку испытательной лабораторией и в самое ближайшее время получит сертификат ФСТЭК.

Вот я упомянула новую версию ПАКа, что же в неё нового по сравнению в предыдущей сертифицированной версией (1.3.545)?

Основное и самое главное изменение – это добавление поддержки VMware vSphere 6.5, то есть последней релизной версии платформы виртуализации.

Также новый Аккорд-В. обладает рядом улучшений:

• улучшена работа с файловой системой NTFS и постановкой файлов из неё на контроль
• улучшена процедура получения списка файлов для виртуальных машин в процессе их постановки на контроль
• улучшена регистрация событий
• и, наконец, улучшен пользовательский интерфейс в плане корректности отображения имён объектов, доступных для них настроект.

К сожалению, формат семинара на выставке не позволяет мне показать «в живую» работу ПАК «Аккорд-В.», но посмотреть небольшое видео, демонстрирующее возможности комплекса мы можем.

(смотрим отрывок видео)

Если кому-то из вас захочется ознакомиться с «Аккордом-В.» подробнее, мы можем предоставить продукт во временное пользование в обмен на небольшой отчёт в свободной форме о Вашей работе, Вашем тестировании продукта. Подробности Вы можете узнать, если обратитесь к представителю отдела продаж на нашем стенде.

А мы с вами перейдём к разговору о другом продукте ОКБ САПР для защиты систем виртуализации на базе VMware vSphere.

СЕГМЕНТ-В.

Что это?

ПАК «Сегмент-В.» предназначен для разграничения доступа к функциям управления виртуальных инфраструктур на базе VMware vSphere версий от 5.0 и выше.

Зачем?

Для того чтобы понять основное назначение комплекса «Сегмент-В.», проведём аналогию с работой в физической среде.

В ней «опорной точкой» защиты является АМДЗ, обеспечивающий построение доверенной среды. Но после загрузки операционной системы АМДЗ становится пассивным устройством и защита во время исполнения обеспечивается другими средствами от НСД, Аккорд-Win или Аккорд-X. Эти продукты позволяют разграничить доступ пользователей и процессов к ресурсам.

Для виртуальной инфраструктуры опорной точкой, обеспечивающей построение доверенной среды, является «Аккорд-В.»: АМДЗ, входящий в состав комплекса, обеспечивает доверенную загрузку физических серверов (ESXi, vCenter Server), а модули «Аккорд-В.», работающие на ESXi, обеспечивают доверенную загрузку виртуальных машин. И как в случае с физическими машинами, во время работы ВМ защита внутри них обеспечивается Аккорд-Win или Аккорд-X. Но при таком подходе не уделяется внимание работе в самой виртуальной инфраструктуре, то есть её администрированию: например, миграции машин, их подключению к сетям. (Не добавление/удаление сетевой карты – это контроль оборудования ВМ, который осуществляет «Аккорд-В.», а именно подключение к конкретной сети, к различным группам портов vSwitch.) Для защиты виртуальной инфраструктуры на этапе администрирования и предназначен ПАК «Сегмент-В.», который обеспечивает разграничение доступа в виртуальной инфраструктуре.

Обобщённая архитектура «Сегмент-В.»

В состав комплекса «Сегмент-В.» входят прокси-сервер «Сегмент-В.», СПО «Сегмент-В.» для настройки разграничения доступа к виртуальной инфраструктуре и сервис регистрации событий.

Прокси-сервер обрабатывает в соответствии с заданными правилами разграничения доступа все запросы, поступающие с АРМ администратора виртуальной инфраструктуры на сервер управления vCenter (или на ESXi). «Сегмент-В.» пропускает только разрешённые действия. Правила разграничения доступа задаются СПО «Сегмент-В.». Сервис регистрации событий собирает информацию обо всех действиях в ВИ как разрешённых, так и запрещённых для исполнения.

Функционал

Как было сказано ранее, ПАК «Сегмент-В. обеспечивает разграничение доступа в виртуальной инфраструктуре. Для этого используются мандатная и дискреционная политики. Объектам ВИ (виртуальным машинам, ESXi хостам, хранилищам, шаблонам ВМ, сетям) могут быть заданы иерархические и неиерархические метки, а для пользователей ВИ задаются разрешённые действия (например, создание снапшотов ВМ или работа с сетью – таких действий более 20).

ПАК «Сегмент-В.» позволяет работать с несколькими vCenter, в том числе при их использовании в Linked Mode.

Также комплекс осуществляет сегментирование ВИ на основе заданных объектам меток и запрет на смешивание информации из различных сегментов.

«Сегмент-В.» может использоваться в режиме отказоустойчивости: 2 прокси-сервера образуют кластер, и при выходе из строя основного сервера автоматически произойдёт переключение на резервный сервер для продолжения работы.

Пример применения.

Остановимся подробнее на сегментировании ВИ.

Пусть администратор виртуальной инфраструктуры имеет максимальный уровень доступа ко всем объектам. И пусть в этой ВИ есть машины, обрабатывающие информацию различного уровня доступа: например, общедоступную и совершенно секретную, - в зависимости от уровня доступа обрабатываемой информации ВМ подключены к различным подсетям.

Наша задача – исключить возможность АВИ по ошибке или умышленно переключить ВМ, обрабатывающую совершенно секретную информацию, в подсеть, в которой работают «общедоступные» ВМ. При этом мы хотим оставить у АВИ максимальный уровень прав доступа.

Вариант 1. Полное физическое разделение ВМ, обрабатывающих информацию различного уровня доступа, на 2 различных сегмента – отдельные ESXi, не имеющие связи между собой. Это решение позволит исключить смешение информации из различных сегментов, но это, во-первых, затратно – число сегментов может быть намного больше 2, и для каждого требуется отдельный сервер ESXi, во-вторых, уменьшает преимущества виртуальной инфраструктуры, такие как DRS, HA.

Вариант 2 – создание отдельных учётных записей АВИ для каждого сегмента. Недостаток такого способа в увеличении количества учётных записей и усложнении работы с системой, в частности, в отслеживании состояния всей системы. Также этот подход требует введения дополнительных организационных мер.

Вариант 3 – при помощи ПАК «Сегмент-В.» назначить различные метки для объектов ВИ, принадлежащих различным сегментам. «Сегмент-В.» контролирует, что в каждой операции участвуют объекты с одинаковыми метками и тем самым не позволяет информации из разных сегментов ВИ смешиваться.

Варианты использования

«Сегмент-В.» может использоваться как самостоятельный продукт или совместно с «Аккорд-В.»

Варианты исполнения и состав

«Сегмент-В» имеет 2 реализации: программную и аппаратную.

В первом случае прокси-сервер предоставляется пользователю как ISO образ преднастроенной операционной системы, которая может быть установлена на физический сервер или внутрь ВМ.

Аппаратная реализация включает в себя прокси-сервер, уже установленный на защищённый сервер Aquarius (его доверенная загрузка обеспечивается АМДЗ, данное решение избавляет пользователя о необходимости дополнительных проверок совместимости физического оборудования с аппаратными и программными СЗИ).

ПО управления комплексом входит в состав обеих реализаций и не зависит от вида исполнения прокси-сервера.

Приказы ФСТЭК №17 и №21

ПАК «Сегмент-В.» как отдельного продукта при защите ВИ позволяет удовлетворить следующим требованиям:

• ЗСВ.1 Идентификация и аутентификация в виртуальной инфраструктуре.
• ЗСВ.2 Управление доступом
• ЗСВ.3 Регистрация событий
• ЗСВ.6 Управление миграцией
• ЗСВ.10 Сегментирование виртуальной инфраструктуры

При использовании «Сегмент-В.» вместе «Аккорд-В.» также обеспечиваются:

• ЗСВ.5 Доверенная загрузка
• ЗСВ.7 Контроль целостности

Несмотря на то, что первые 5 требований из списка удовлетворяются и в случае использования ПАК «Аккорд-В.», «Сегмент-В.» позволяет производить более тонкую настройку.

Если в случае «Аккорд-В.» управление доступом к ВИ осуществляется через полный запрет или разрешение. Например, администратор безопасности может либо запретить доступ пользователя к ПО управлению виртуальной инфраструктурой VMware vSphere Client, либо разрешить его, а права пользователя в самой ВИ назначает и изменяет уже администратор ВИ. Возникает проблема сосредоточения максимальных привилегий в рамках одной роли администратора ВИ (он может назначить любые права пользователю, которому разрешён доступ к ПО управления виртуальной инфраструктуры), то есть проблема «суперпользователя». Решить данную проблему возможно организационными мерами, но это не всегда удобно.

«Сегмент-В.» позволяет администратору безопасности самому разрешать пользователям выполнение только определённых действий, не являясь при этом администратором виртуальной инфраструктуры. Такое разделение полномочий администратора безопасности и администратора виртуальной инфраструктуры позволяет решить проблему «суперпользователя».

Оставшаяся часть требований по управлению потоками, резервированию и антивирусной защите могут быть покрыты с помощью других уже существующих решений на рынке.

Ключевые моменты

«Сегмент-В.» - законченное решение. Отсутствуют скрытые затраты (например, на ОС), для начала работы с комплексом требуется лишь настроить приобретенный сервер или «развернуть» новую ВМ.

«Сегмент-В.» - отказоустойчивое решение. Комплекс поддерживает кластерную конфигурацию, что обеспечивает автоматическое переключение на резервный сервер в случае непредвиденных ситуаций, повлекших отказ основного сервера.

«Сегмент-В.» - простое решение. Его использование не усложняет работы администратора виртуальной инфраструктуры, отсутствуют какие-либо агенты. При этом комплекс поддерживает любые варианты исполнения виртуальной инфраструктуры – vCenter Server для Windows, vCSA, Linked Mode, standalone ESXi.

Если честно, всё, что я сказала до этого момента про Сегмент-В., вы могли слышать и раньше, например, на InfoSecurity-2016.

Что же нового произошло с Сегментом-В. за прошедший год?

Главное наше достижение – почти завершена разработка новой версии, которая будет разграничивать действия АВИ в web клиенте, а именно в HTML5 клиенте.

Мы умеем определять на прокси-сервере, какое действие сейчас пытается выполнить через HTML5 клиент в своём браузере администратор ВИ, разрешить его или заблокировать в зависимости от настроек, ведём учёт всех действий, то есть работает регистрация событий.

К слову, если вам ранее уже доводилось работать с Сегмент-В., то с точки зрения пользовательского (под пользователем я сейчас имею ввиду АБИ, который производит настройку Сегмента-В») интерфейса ничего не поменялось.

Почему я говорю «почти»? Что же ещё не доделано?

Хотя VMware уже объявили, что собираются отказаться от webClient’а на flash, они этого ещё не сделали. И ни разу не объявили HTML5 клиент релизным. А без этого и мы не можем выпускать свою версию Сегмента-В.

Планируем ли мы сертифицировать Сегмент-В.? И надеемся сделать это как можно быстрее после выхода нового релиза VMware vSphere с официальной поддержкой HTML5 клиента.

Автор: Мозолина Н. В.

Дата публикации: 01.01.2017