Анализ защиты образов дисков виртуальных машин и снапшотов

Системы виртуализации сейчас широко и повсеместно распространены в организациях по всему миру. Виртуализация позволяет консолидировать аппаратные средства и запускать несколько виртуальных машин, каждая со своей операционной системой, на одной физической, тем самым, оптимизируя ресурсы.

Однако внедрение технологий виртуализации требует пересмотра вопросов безопасности. Виртуализация добавляет новые уровни (гипервизор, виртуальная машина), которые также нуждаются в дополнительной защите и контроле. В данной статье рассмотрен, один из вопросов защиты виртуальных машин на платформе виртуализации VMware vSphere. Это решение было выбрано в силу его большой распространенности и широких возможностей.

Виртуальная машина - это полностью изолированный программный контейнер, представленный в виде совокупности файлов различного назначения, основными из которых являются:

1) .vmx - файл конфигурации виртуальной машины, он содержит информацию о гостевой системе, количестве ядер процессора, выделенной оперативной памяти или подключенных устройствах;

2) .vmdk - файл образа диска виртуальной машины, содержащий файлы гостевой системы и метаданные о жестком диске (размер, файловая система);

Остановимся подробнее на последнем и рассмотрим связанные с ним угрозы:

1. Получение доступа к конфиденциальным данным внутри гостевых систем.

Образы виртуальных машин и снапшоты могут хранить конфиденциальную информацию, в том числе состояние оперативной памяти (в файле конфигурации снапшотов - .vmsn). Единственный способ защититься от несанкционированного доступа на чтение к этим данным - запретить доступ к хранилищу виртуальных машин всем, кроме администратора безопасности информации и администратора СХД (систем хранения данных).

2. Внесение вредоносного кода внутрь виртуальной машины.

Для организации защиты от подобного рода атак необходимо контролировать целостность, во-первых, загрузочного раздела диска, во-вторых, критичных системных файлов (kernel32.dll, ntdll.dll,...), в-третьих, использовать антивирусные решения для виртуальных сред для индикации и предотвращения вредоносной активности.

3. Получение доступа к гипервизору.

Эта угроза является наиболее опасной, так как компрометация гипервизора делает уязвимой все имеющиеся на нем виртуальные машины, поэтому остановимся на ней подробнее. На сегодняшний день известна одна успешная атака, позволяющая использовать данную угрозу с применением vmdk-файлов. Чтобы понять, как она работает, и как от нее защититься, рассмотрим подробнее устройство образа виртуальной машины.

Сам образ, как и снапшот, состоит из двух частей: файла дескриптора и файла с данными. Файл данных хранит непосредственно файлы гостевой ОС. В файле дескрипторе содержится информация о размере виртуального жесткого диска, ссылка на родителя в дереве снапшотов, уникальный идентификатор и пути к файлу с данными. Основным, интересующим нас, моментом является именно этот путь. Если его подменить, например, на файл логов ESXi - /scratch/log/vmkernel.0.gz, то мы получим доступ к файлу гипервизора, таким же образом можно получить доступ к бэкапу папки /etc/ или даже физическим дискам хоста. Эта угроза особо актуальна при использовании облачных сервисов, когда используемая виртуальная машина, а, следовательно, и сам .vmdk-файл предоставляется облачному провайдеру пользователем.

Как же защититься от подобного рода атак? В-первую очередь, надо ограничить доступ к хранилищу виртуальных машин, во-вторую, надо контролировать целостность не только отдельных файлов внутри виртуальной машины, но и самого файла дескриптора. Для облачных систем необходимо проверять соответствие предоставляемых файлов дескрипторов и файлов данных.

Общепринятые стандарты (PCI-DSS, NIST SP800-125) тоже не обходят этот вопрос стороной, призывая защищать образы виртуальных машин и снапшоты. Это также нашло отражение и в проекте приказа ФСТЭК «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», где предусматривается «контроль целостности конфигураций компонентов виртуальной инфраструктуры и самих компонентов».

Виртуальные технологии имеют много различных приложений и применений, и системы защиты, используемые в одних, могут быть нереализуемы для других. В виртуальных системах изначально существуют компоненты, которые при неправильной настройке и управлении могут привести к атакам.

В
данной статье был рассмотрен только один из видов угроз, возникающий в
виртуальной среде. При проектировании конкретной системы должны учитываться ее
индивидуальные особенности и риски. Если защита виртуальной инфраструктуры
построена и функционирует правильно, то это позволяет использовать все плюсы
виртуализации без ущерба для безопасности.

Автор: Постоев Д. А.

Дата публикации: 01.01.2013

Библиографическая ссылка: Постоев Д. А. Анализ защиты образов дисков виртуальных машин и снапшотов // Комплексная защита информации. Электроника инфо. Материалы XVIII Международной конференции 21–24 мая 2013 года, Брест (Республика Беларусь). 2013. С. 141.