Доклады, выступления, видео и электронные публикации

Контроль целостности виртуальной инфраструктуры и её конфигурации

Н. В. Мозолина,

Закрытое акционерное общество «ОКБ САПР», Москва, Россия

В тезисах предлагается определение предмета контроля целостности виртуальной инфраструктуры и её конфигурации и способ контроля с помощью представления конфигурации виртуальной инфраструктуры графом специального вида.

Ключевые слова: контроль целостности, виртуальная инфраструктура, конфигурация виртуальной инфраструктуры.

Integrity monitoring of the virtual infrastructure and its configuration

The thesis offers the definition of integrity monitoring object of the virtual infrastructure and its configuration and the method of control by representing virtual infrastructure configuration as graph of a special kind.

Keywords: integrity monitoring, virtual infrastructure and virtual infrastructure configuration.

Для защиты среды виртуализации требуется выполнение множества мер [1], в том числе должен выполняться контроль целостности виртуальной инфраструктуры и ее конфигураций. Для обеспечения контроля в первую очередь следует определить, что является предметом контроля и каким способом можно его осуществить.

Целостность — одно из трёх основных свойств информации с точки зрения безопасности[2], обеспечение которых является общепринятой практикой защиты информации.

Целостность информации определяется как свойство безопасности информации, при котором отсутствует любое ее изменение либо изменение субъектами доступа, имеющими на него право [1].

При таком определении целостности информация рассматривается исключительно как неделимый объект в том смысле, что нельзя разбить его на контролируемые и неконтролируемые части.

Например, есть некоторый текст, целостность которого контролируется. Безусловно, в нём можно выделить отдельные абзацы, предложения, слова, но при этом изменения в любой части текста могут повлечь за собой искажение смысла информации в целом, а потому нельзя пренебрегать контролем целостности любой из частей.

На практике данный подход не может быть применим, так как реальные объекты имеют сложную структуру и чаще всего являются динамическими, то есть содержат в себе части, изменяющиеся в процессе работы. Например, файловая система хранит на диске в составе директории атрибуты файлов, в том числе меняющиеся данные о дате последнего открытия файла [3], а работа операционной системы и компьютера в целом невозможна без изменений в оперативной памяти. В таких случаях принято выделять критически важные части сложного объекта и контролировать их целостность [4].

Для защиты виртуальных инфраструктур подход, при котором контролируется целостность абсолютно всех частей инфраструктуры, также не подходит. Виртуальная инфраструктура должна рассматриваться как система, состоящая из различных объектов: виртуальных машин, хостов, хранилищ и других объектов в зависимости от конкретной реализации. При этом каждый объект также не является неделимым, и потому вопрос о контроле целостности виртуальной инфраструктуры сводится к контролю целостности только критически важных объектов виртуальной инфраструктуры и их частей.

Вместе с тем, такой подход имеет и недостаток: он не учитывает связи между объектами виртуальной инфраструктуры и различные параметры настройки, то есть конфигурацию.

Для различных виртуальных сред общими будут связи, характеризующие принадлежности одних объектов другим (например, виртуальная машина принадлежит хосту в том смысле, что запущена на нём), связи, характеризующие управление (например, в рамках решения vSphere кампании VMware возможно управление множеством хостов-гипервизоров ESXi с помощью vCenter Server), связи, отражающие передачу данных (например, подключение виртуальных машин к сети).

Игнорирование связей между объектами может повлечь за собой возникновение угроз безопасности. Пусть в виртуальной инфраструктуре существуют 2 сегмента, предназначенные для работы с информацией различного уровня доступа. Первый сегмент для работы с информацией ограниченного доступа включает в себя хост-гипервизор № 1 с работающими на нём виртуальными машинами, второй сегмент предназначен только для работы с общедоступной информацией и состоит из хоста-гипервизора № 2, на котором запущены некоторые виртуальные машины. Если через некоторое время виртуальные машины, работающие на гипервизоре № 1, окажутся включенными на гипервизоре № 2, то возникнет угроза безопасности, связанная со смешением двух различных сегментов, что может повлечь за собой и смешение информации различного уровня доступа. Несмотря на возникновение угрозы и нарушение целостности системы в целом, целостность каждого хоста-гипервизора и каждой виртуальной машины может быть сохранена.

Помимо связей контроль целостности виртуальной инфраструктуры должен учитывать также параметры настройки виртуальной среды. Они значительно разнятся в зависимости от конкретного программного обеспечения, используемого для виртуализации. Примером параметра настройки для среды виртуализации, построенной на платформе vSphere, может служить разрешение или запрет на управление гипервизором ESXi напрямую, в обход vCenter Server (lockdown mode).

Таким образом, необходимо контролировать не только целостность выделенных (критически важных) объектов (частей объектов) виртуальной инфраструктуры, но и целостность её конфигурации, связей между объектами, а также параметры настройки среды виртуализации. Как и в случае с объектами, следует рассматривать лишь критически важные связи и настройки. Минимальный набор наиболее значимых для контроля объектов, связей и настроек должен быть основан на требованиях государственных регуляторов [5, 6] и рекомендациях производителей сред виртуализации [7, 8].

Вопрос обеспечения целостности виртуальных инфраструктур на платформах vSphere и Hyper-V решён с помощью ПАК «Аккорд-В.» и ПАК СЗИ НСД «ГиперАккорд», которые обеспечивают доверенную загрузку виртуальных машин, контролируя целостность оборудования, операционной системы, BIOS и MBR виртуальных машин [9, 10]. Входящий в их состав аппаратный модуль доверенной загрузки, Аккорд-АМДЗ, контролирует целостность технических и программных средств физических серверов (гипервизоров, хранилищ). [11] Эти средства защиты позволяют обеспечить целостность всех объектов виртуальной инфраструктуры.

Вопрос контроля конфигурации требует выбора способа представления связей между объектами. Если каждый объект виртуальной инфраструктуры представить в виде вершины графа, то связи между объектами будут представляться рёбрами. Такой способ представления конфигурации инфраструктуры не является новым, привычен для пользователей сред виртуализации [12] и вместе с тем удобен как для визуального восприятия, так и для хранения в памяти компьютера [13].

В отличие от привычного определения графа, когда рёбра отличаются друг от друга только вершинами, которые они связывают (и, возможно, порядком вершин в случае ориентированного графа), для представления конфигурации виртуальной инфраструктуры стоит назначить каждому ребру некоторое свойство, тип связи, которую данное ребро отражает.

Учитывать различие между связями следует по той причине, что изменение типа связи влечёт за собой изменения в работе инфраструктуры. Например, на хосте-гипервизоре ESXi работает виртуальная машина, целостность которой контролируется. После установки на эту машину vCenter Server целостность как виртуальной машины, так и хоста может быть сохранена, связь между объектами, если не учитывать её тип, также останется прежней, но вместе с тем произойдёт существенное изменение в работе системы: появится возможность управлять хостом-гипервизором ESXi с этой виртуальной машины. Если учитывать тип связи между объектами, то такое преобразование повлечёт за собой нарушение целостности конфигурации, что отражает реальные изменения в системе.

Каждый контролируемый параметр настройки можно соотнести с одним или несколькими объектами виртуальной инфраструктуры и хранить свойство соответствующих вершин графа.

Представление конфигурации виртуальной инфраструктуры в виде графа изложенным способом возможно в любой момент жизни виртуальной инфраструктуры и такой граф определён однозначно критически важными объектами, связями и параметрами. Это позволяет сравнивать текущую конфигурацию системы с некоторой эталонной (фиксированной) через сравнение двух графов и тем самым контролировать целостность конфигурации системы.

Таким образом, при применении предложенного подхода предметом контроля целостности виртуальной инфраструктуры и её конфигурации являются критически важные объекты инфраструктуры, связи между ними и параметры настройки. Обеспечение контроля целостности объектов осуществляется с помощью соответствующих средств защиты информации, а для контроля связей и настроек может использоваться представление виртуальной инфраструктуры с помощью графа специального вида и последующее сравнение текущего графа с эталонным.

Список литературы:

  1. Методический документ ФСТЭК России от 11 февраля 2014 г. «Меры защиты информации в государственных информационных системах».
  2. Девянин П.Н. Модели безопасности компьютерных систем: Учеб. пособие для студ. высш. учеб. заведений. М.: Академия, 2005. С. 5.
  3. Карпов В.Е., Коньков К.А. Основы операционных систем. Курс лекций. Учебное пособие. М.: Интернет-университет информационных технологий, 2005. С. 173.
  4. Конявский В. А., Гадасин В. А. Основы понимания феномена электронного обмена информацией. 3.1.4. Свойства документа — доступность, целостность, легитимность [Электронный ресурс] URL: http://www.okbsapr.ru/docs/books/opf/37_opf.htm (дата обращения: 12.04.2016)
  5. Приказ № 17 ФСТЭК России от 11 февраля 2013 г. «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
  6. Приказ № 21 ФСТЭК России от 18 февраля 2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
  7. VMware Security Hardening Guides [Электронный ресурс] URL: http://www.vmware.com/ru/security/hardening-guides (дата обращения: 12.04.2016)
  8. Security guide for Hyper-V in Windows Server 2012 [Электронный ресурс] URL: https://technet.microsoft.com/en-us/library/dn741280.aspx (дата обращения: 12.04.2016)
  9. ПАК СЗИ НСД «ГиперАккорд» [Электронный ресурс] URL: http://www.accord.ru/hyper-accord.html (дата обращения: 12.04.2016)
  10. ПАК АККОРД-В. [Электронный ресурс] URL: http://www.accord.ru/accord-v.html (дата обращения: 12.04.2016)
  11. Конявская С. В., Мищенко М. Г., Синякин С. А.. Аппаратные СЗИ Н. Д. Повторение пройденного. [Электронный ресурс] URL: http://www.okbsapr.ru/konyavskayahtml#_ftn2 (дата обращения: 12.04.2016)
  12. Using VirtualCenter maps to display VMware Infrastructure relationships [Электронный ресурс] URL: http://searchvmware.techtarget.com/tip/Using-VirtualCenter-maps-to-display-VMware-Infrastructure-relationships (дата обращения: 12.04.2016)
  13. Томас Х. Кормен, Чарльз И. Лейзерсон, Рональд Л. Ривест, Клиффорд Штайн. Алгоритмы: построение и анализ, 3-е издание.: Пер. с англ. — М.: Вильямс, 2013. С. 626

References:

  1. Metodicheskiy dokument FSTEK Rossii ot 11 fevralya 2014 g. «Mery zashchity informatsii v gosudarstvennykh informatsionnykh sistemakh».
  2. Devyanin P.N. Modeli bezopasnosti kompʼyuternykh sistem: Ucheb. posobie dlya stud. vyssh. ucheb. zavedeniy. M.: Akademiya, 2005. S. 5.
  3. Karpov V.E., Konʼkov K.A. Osnovy operatsionnykh sistem. Kurs lektsiy. Uchebnoe posobie. M.: Internet-universitet informatsionnykh tekhnologiy, 2005. S.173.
  4. Konyavskiy V. A., Gadasin V. A. Osnovy ponimaniya fenomena elektronnogo obmena informatsiey. 3.1.4. Svoystva dokumenta — dostupnost', tselostnost', legitimnost' [Elektronnyy resurs] URL: http://www.okbsapr.ru/docs/books/opf/37_opf.htm (data obrashcheniya: 12.04.2016)
  5. Prikaz № 17 FSTEK Rossii ot 11 fevralya 2013 g. «Ob utverzhdenii trebovaniy o zashchite informatsii, ne sostavlyayushchey gosudarstvennuyu taynu, soderzhashcheysya v gosudarstvennykh informatsionnykh sistemakh».
  6. Prikaz № 21 FSTEK Rossii ot 18 fevralya 2013 g. «Ob utverzhdenii sostava i soderzhaniya organizatsionnykh i tekhnicheskikh mer po obespecheniyu bezopasnosti personalʼnykh dannykh pri ikh obrabotke v informatsionnykh sistemakh personalʼnykh dannykh»
  7. VMware Security Hardening Guides [Elektronnyj resurs] URL: http://www.vmware.com/ru/security/hardening-guides (data obrashcheniya: 12.04.2016)
  8. Security guide for Hyper-V in Windows Server 2012 [Elektronnyj resurs] URL: https://technet.microsoft.com/en-us/library/dn741280.aspx (data obrashcheniya: 12.04.2016)
  9. PAK SZI NSD «GiperAkkord» [Elektronnyj resurs] URL: http://www.accord.ru/hyper-accord.html (data obrashcheniya: 12.04.2016)
  10. PAK AKKORD-V. [Elektronnyj resurs] URL: http://www.accord.ru/accord-v.html (data obrashcheniya: 12.04.2016)
  11. Konyavskaya S. V., Mishchenko M. G., Sinyakin S. A. Apparatnye SZI NSD. Povtorenie proydennogo. [Elektronnyj resurs] URL: http://www.okbsapr.ru/konyavskaya_2007_3.html#_ftn2 (data obrashcheniya: 12.04.2016)
  12. Using VirtualCenter maps to display VMware Infrastructure relationships [Elektronnyj resurs] URL: http://searchvmware.techtarget.com/tip/Using-VirtualCenter-maps-to-display-VMware-Infrastructure-relationships (data obrashcheniya: 12.04.2016)
  13. Tomas Kh. Kormen, Charlʼz I. Leyzerson, Ronalʼd L. Rivest, Klifford Shtayn. Algoritmy: postroenie i analiz, 3-e izdanie.: Per. s angl. — M.: Vilʼyams, 2013. S. 626

Автор: Мозолина Н. В.

Дата публикации: 01.01.2016

Библиографическая ссылка: Мозолина Н. В. Контроль целостности виртуальной инфраструктуры и её конфигурации // Комплексная защита информации: материалы XXI научно-практической конференции, Смоленск, 17–19 мая 2016 г. М., 2016. С. 167–170.


Scientia potestas est
Кнопка связи