Виртуализация без белых пятен. Часть II

К счастью для нас — безопасников — уровень недоверия в нашей стране таков, что новые технологии в сфере IT, даже очень полезные, начинают внедряться и применяться на действительно значимых участках только тогда, когда каким-то образом становится возможным доказать их защищенность. А для этого нужно хорошо понимать уязвимости, которые придется блокировать. Разъяснение этих уязвимостей, снятие с них покрова таинственности и иррациональности — это очень важная часть работы специалистов по защите информации.

Следующий шаг после выявления и разъяснения «опасностей» очевиден: требуется предложить меры противодействия им. Такая связка всегда выглядит крайне убедительно. Есть ли надежный способ определить, какое же из решений, предлагаемых профессионалами, хорошо знающими свое дело, действительно лучшее?

Наиболее бесспорным утверждением, связывающим виртуализацию и защиту информации, является положение о том, что виртуализация помимо выгод несет в себе ряд дополнительных рисков, связанных с защитой информации. Это не раз и убедительно доказано.

Значит, защищая систему виртуализации, необходимо использовать не те же средства защиты информации (СЗИ), что и при защите «обычных» систем, а специальные. Это тоже можно считать доказанным.

По той же причине скорее целесообразно использовать в системе виртуализации наложенные СЗИ, чем полностью полагаться на встроенные защитные механизмы. Равно как полагаться на виртуальную инфраструктуру, созданную разработчиком СЗИ (или, допустим, IP-телефонии), было бы не совсем целесообразно.

Руководствуясь здравым смыслом, из того же положения о дополнительных уязвимостях получаем, что основные для любой автоматизированной системы, построенной на фон-неймановской архитектуре, никуда из систем виртуализации не деваются, и значит, они должны блокироваться. А кроме них — еще и те, что специфичны для виртуальных инфраструктур.

Вряд ли кому-то покажется логичным наоборот — блокировать в первую очередь дополнительные риски, а уж заодно — основные.

Эта логика диктует классический для философии подход «восхождения от абстрактного к конкретному»: реализовать для виртуальной инфраструктуры все те методы защиты, которые давно и надежно доказаны теоретически и показали свою эффективность в «реальных» системах, и проверить, так ли велика окажется пропасть между «виртуальным» и «реальным».

Мы создали наше СЗИ для систем виртуализации — «Аккорд-В.», исходя именно из этих принципов, хотя известны и совершенно другие примеры, тоже заслуживающие внимания.

В программно-аппаратном комплексе «Аккорд-В.» реализованы следующие механизмы защиты:

• доверенная загрузка всех элементов инфраструктуры виртуализации;
• пошаговый контроль целостности гипервизора, виртуальных машин, файлов внутри виртуальных машин и серверов управления инфраструктурой;
• разграничение доступа администраторов виртуальной инфраструктуры и администраторов безопасности;
• разграничение доступа пользователей внутри виртуальных машин;
• аппаратная идентификация всех пользователей и администраторов инфраструктуры виртуализации.

Неправда ли, даже немножко скучно? Это стандартные и очевидные требования, которые просто несколько сложнее реализовать для виртуальной инфраструктуры. Однако, если посмотреть через призму выполнения этих требований на «специфичные» для систем виртуализации уязвимости, то станет ясно, что они блокируются при условии добросовестного применения всех этих предложенных механизмов.

Разделение ролей администратора системы и администратора безопасности информации, настоятельно рекомендуемое для любой серьезной системы защиты, в том числе и «реальной», наряду с настраиваемой политикой разграничения доступа для администраторов и контролем за их действиями — сводит на нет такую особенность виртуализации, как то, что ВМ — это файлы, которые находятся в практически неограниченной власти администраторов виртуальной инфраструктуры.

Настройка изолированной среды для каждого пользователя каждой виртуальной машины исключает классические «атаки ВМ на ВМ», так как неконтролируемые процессы при таком положении вещей просто исключены — без необходимости контролировать трафик внутри одного сервера, что является задачей крайне нетривиальной.

«Аккорд-В.» обеспечивает защищенность всех компонентов среды виртуализации: ESX-серверов и самих виртуальных машин, серверов управления vCenter, дополнительных серверов со службами VMware (например, VMware Consolidated Backup).

Управление системой защиты осуществляется централизованно с сервера управления виртуальной инфраструктурой. Доступ к инструментам управления системой защиты предоставляется только администраторам безопасности, от администраторов виртуальной инфраструктуры эти инструменты скрыты.

И наконец, система защиты «Аккорд-В.» полностью интегрируется в инфраструктуру виртуализации, поэтому для ее функционирования не требуются дополнительные серверы. При этом «Аккорд-В.» не ограничивает в целях безопасности возможностей виртуальной инфраструктуры, оставляя доступными все ее преимущества.

Автор: Конявская С. В.

Дата публикации: 01.01.2010

Библиографическая ссылка: Конявская С. В. Виртуализация без белых пятен. Часть II // Information Security/Информационная безопасность. М., 2010. № 4. С. 17.

---