ВИРТУАЛИЗАЦИЯ: в поисках точки опоры

С. В. ЛАПШИН, Д. Ю. СЧАСТНЫЙ
РОССИЯ, МОСКВА, ОКБ САПР

Виртуализация платформ за последние годы получила широкое распространение. Продуктами виртуализации стало намного проще пользоваться, они стали более надежными и функциональными. Построенная на основе виртуализации ИТ-инфраструктура намного более гибкая, надежная и простая в эксплуатации, чем классическая.

В системах виртуализации появляется два дополнительных программных уровня – гипервизор и виртуальные устройства. Это кардинально меняет подход к построению защиты, такие системы нельзя защищать так же, как классические. Но отказываться из-за этого от преимуществ виртуальной инфраструктуры не рационально.

Поэтому на практике предпочитают жертвовать защищенностью, используя менее надежные методы, но которые легче, чем аппаратные, адаптируются к особенностями систем виртуализации. Так, некоторые решения позволяют контролировать целостность, функционируя исключительно внутри контролируемой среды. Проблема в том, что компонент безопасности таких решений никак не защищен. Виртуальную машину в выключенном состоянии можно модифицировать, следовательно, можно изменить и компонент безопасности. А ведь именно он хранит в себе эталонные параметры среды и сравнивает их с полученными в результате исследования. Следовательно, его модификация приведет к дискредитации системы контроля целостности, поэтому компонент безопасности должен находиться вне контролируемой программной среды.

В то же время, он должен иметь доступ к контролируемой среде. Поскольку вычислительная среда меняется во времени, контроль целостности программной среды «снаружи» невозможен, и компоненту безопасности необходимо иметь возможность «влезть» в эту среду, исследовать ее, и сравнивать полученные параметры среды с эталонными. Под параметрами среды в данном случае подразумеваются не только параметры гостевой операционной системы, следует также учитывать настройки самой виртуальной машины, например набор ее оборудования.

В данном случае нельзя использовать стандартный подход к обеспечению целостности ОС, потому что ядро гипервизора из соображений безопасности закрыто, а стало быть нельзя добавить в виртуальную машину устройство, которе будет основываться на аппаратном модуле и выполнять функции рассматриваемого компонента безопасности.

Исходя из этих рассуждений, в системах виртуализации компонент безопасности должен находиться на уровне между гипервизором и виртуальными машинами. В этом случае очевидно, что необходимо обеспечивать целостность самого компонента безопасности. Это не потребует вмешаетельства в работу гипервизора, и поэтому может быть реализовано аппаратно.

Аппаратная реализация технологических операций, процедур и протоколов изначально обладает более высоким потенциалом защиты, чем программная. В виртуальной инфраструктуре необходимо также обеспечивать целостность самого гипервизора, что возможно только с аппаратного уровня. Поэтому, проверкой целостности самого компонента безопасности и гипервизора должен заниматься аппаратный модуль доверенной загрузки.

Получается, что защищенная система контроля целостности виртуальной программной среды должна состоять из программного компонента безопасности и аппаратного модуля доверенной загрузки. Компонент безопасности должен иметь доступ защищаемой программной среде, но находиться на уровне между гипервизором и гостевой ОС. Защиту самого компонента безопасности и гипервизора должен обеспечивать аппаратный модель доверенной загрузки.

Авторы: Лапшин С. В.; Счастный Д. Ю.

Дата публикации: 01.01.2009

Библиографическая ссылка: Лапшин С. В., Счастный Д. Ю. Виртуализация: в поисках точки опоры // Комплексная защита информации. Материалы XIV международной конференции (19–22 мая 2009 года). Мн., 2009. С. 147.

---