Особенности защиты систем виртуализации, использующих сети хранения данных

Системы виртуализации наиболее эффективны тогда, когда для хранения данных они используют сетевые хранилища. Ключевые преимущества виртуализации, такие как обеспечение отказоустойчивости и динамическое распределение нагрузки, работают только при условии использования таких хранилищ - очевидно, что невозможно быстро перенести, и тем более спасти виртуальную машину с отказавшего сервера, если она хранилась локально. Но использование сетевых систем хранения данных вносит дополнительные трудности в организацию защиты таких систем. Основными проблемами являются разграничение доступа и очистка освобождаемой памяти.

Рассмотрим сначала вопросы разграничения доступа к данным, хранящимся в общем для некоторого множества серверов виртуализации хранилище. Для того чтобы иметь возможность динамически распределять нагрузку и обеспечить отказоустойчивость, необходимо, чтобы каждый из рассматриваемых серверов имел равный доступ ко всем виртуальным машинам, а значит и ко всем данным, которые эти виртуальные машины обрабатывают. Разграничения доступа к данным хранилища просто нет, и любой подключившийся к сети хранения сервер может с ними работать. Это особенно опасно, если учесть многочисленные слабости сетей передачи от серверов до хранилища. Например, большинство протоколов семейства Fiber Channel уязвимо ко многим типам атак, в частности «человек посередине», перехват сессии и «маскировка» LUN'ов.

Вторым типом проблем, появляющихся при обеспечении безопасности систем виртуализации с сетевыми хранилищами, является очистка освобождаемого в хранилище пространства. Согласно РД ФСТЭК "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" в аттестованных по классам защищенности 3А, 2А, 1А, 1Б, 1В и 1Г системах должна производиться очистка внешней памяти путем двукратной произвольной записи.

На обычных ПК и серверах, использующих локальные диски, такая очистка реализуема. Система защиты работает напрямую с драйвером жесткого диска и имеет возможность многократно переписать секторы удаленного файла. При использовании сетевых хранилищ это невозможно, вне зависимости от того, какая файловая система используется.

Дело в том, что многие современные сетевые хранилища данных используют переадресацию дискового пространства. Суть процесса заключается в том, что адресация, о которой знает файловая система, отличается от той, которая существует на самом деле. Например, если от сервера на хранилище приходит запрос на чтение «LUN ID=1, LBA=27», то это еще не значит, что нужные данные там хранятся. Хранилище по метаданным определяет реальное положение запрашиваемого блока и возвращает, например, то, что хранится на самом деле на «LUN ID=5, LBA=32». Чаще всего это делается для ускорения работы сетевых хранилищ, но иногда и для уменьшения их стоимости. Фактически происходит абстрагирование адресации, о которой «знает» сервер, от той, что есть на самом деле. Проблема заключается в том, что таблица переадресации может меняться динамически, это делается, в основном, для оптимизации скорости работы дискового хранилища. Но сервер об этом никогда не узнает. Перезапись определенных секторов со стороны файловой системы становится бессмысленной, т.к. физически секторы «удаленного» файла и секторы, в которые осуществляется перезапись, могут отличаться.

Указанные проблемы технически разрешимы, но для этого имеющиеся на рынке системы хранения данных и системы виртуализации должны быть существенно модифицированы. Разграничение доступа в некоторых сетевых хранилищах если и реализовано, то поддерживается не всеми основными системами виртуализации. К тому же потребуется дополнительная сертификация таких систем. Для решения этой проблемы в первую очередь необходимо реализовать надежную систему разграничения доступа к ресурсам сети хранения данных и защищенные каналы передачи этих данных серверам, а также поддержку этих мер защиты со стороны систем виртуализации. Что касается очистки освобождаемой памяти в хранилище, то о системах, способных ее осуществлять в соответствии с руководящими документами, в настоящее время не известно.

Пока же организовать надежную защиту систем виртуализации, использующих сетевые хранилища данных, предлагается организационными мерами. Для этого, во-первых, необходимо, чтобы серверы и хранилища, которые они используют, находились в одном защищаемом помещении. Это позволит максимально снизить риск атак на протоколы передачи между ними. Во-вторых, любое изъятие дисков из хранилища должно сопровождаться обязательной очисткой всего диска в соответствии с руководящими документами.

Реализация этих мер, в дополнении с жесткими организационными мерами, в настоящий момент необходима для построения надежной системы безопасности систем виртуализации, использующих сети хранения данных.

Автор: Лапшин С. В.

Дата публикации: 01.01.2010

Библиографическая ссылка: Лапшин С. В. Особенности защиты систем виртуализации, использующих сети хранения данных // Комплексная защита информации. Материалы XV международной научно-практической конференции (Иркутск (Россия), 1–4 июня 2010 г.). М., 2010. С. 122–124.