Предложения о расширении требований к защите виртуальных инфраструктур

Технология виртуализации не нова [1], даже атаки, и конечно, защита  информационных систем, построенных на этой технологии, имеют свою историю [2]. Так в профессиональных кругах можно встретить мнение, что обеспечение безопасности виртуальных машин, пожалуй, базового объекта в виртуальной инфраструктуре, (ВИ) – это простая инженерная задача с известным решением (например, [3]). Как разработчик средств защиты информации (СЗИ), в том числе для систем виртуализации [4-5], я согласна с этим мнением, но лишь отчасти. В вопросах защиты виртуальных инфраструктур есть аспект, связанный с контролем целостности конфигураций, внимание которому не уделено в должной мере ни регуляторами, ни, зачастую, разработчиками СЗИ. В тоже время сегодня нельзя не заметить появление новых и активное развитие уже существующих отечественных платформ виртуализации и средств защиты для них, а значит, именно сейчас следует пересмотреть настоящие требования к обеспечению безопасности виртуальный инфраструктур и, возможно, усилить их.

В данном докладе сфокусируемся на контроле целостности конфигураций виртуальных инфраструктур, и начать разговор о нём хотелось бы с самого понятия целостности. Зачастую в среде специалистов по информационной безопасности можно встретить различные подходы к его определению.

Первый звучит следующим образом: «Состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право».

Согласно второму подходу «целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения)».

Несмотря на противоречивость данных определений (как их самих, так и друг другу), оба зафиксированы в действующих нормативных документах: в [6] и [7] соответственно. Так, в [7] речь идёт о целостности информации как о свойстве средства вычислительной техники (СВТ), или, иными словами, свойство информации – это свойство ресурса, хотя информация и СВТ – объекты различной природы. Приведённое же в [6] определение не учитывает, например, что изменения, проведённые субъектами, обладающими соответствующими правами, могут быть хоть и преднамеренными, но но преследующими деструктивные цели.

Есть и третий подход: целостность информации как отсутствие ненадлежащих изменений. Смысл понятия “ненадлежащее изменение” раскрывается в [8]: ни одному пользователю информационной, в том числе и авторизованному, не должны быть разрешены такие изменения данных, которые повлекут за собой их разрушение или потерю.

Нельзя не заметить, что в двух из приведённых выше определений целостность определялась для информации, то есть для некоторых данных. И хотя именно данные – это тот объект, защита которого является итоговой целью, но для достижения этой цели могут быть применены два различных подхода: защита собственно данных и защита процессов преобразования и хранения информации, ресурсов программ, обрабатывающих данные, средств вычислительной техники, то есть всего, что можно отнести к информационным ресурсам [9. С. 18]. В сфере обеспечения и контроля целостности, как одном из направлений защиты информации, эти 2 подхода (целостность данных и целостность информационных ресурсов) также выделяются. 

В нормативных документах оба подхода закреплены. Например, в действующем ГОСТ «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения» 2016 года можно встретить меры, направленные на защиту данных («контроль целостности данных, хранимых на машинных носителях информации, подключенных к виртуальной инфраструктуре») и направленные на защиту информационных технологий («контроль целостности микропрограммного обеспечения аппаратной части ИС») [10]. В приказах ФСТЭК № 17 и № 21 2013 года разделение подходов можно увидеть уже в названии одного из блоков мер защиты – «Обеспечение целостности информационной системы и информации» [11, 12], то есть приказы задают меры, направленные на контроль целостности не только данных, но информационных технологий, которые являются неотъемлемой частью информационной системы.

Получается, что сегодня в российской нормативной базе не только нет единства в определении «целостности информации», но и вовсе не закреплено понятие «целостность» применительно к другим объектам защиты, информационным технологиям, хотя оно и используется повсеместно. Несмотря на указанное упущение, – которое, конечно, надлежит исправить, – в профессиональной среде всё же есть общее понимание «целостности» в обоих контекстах и достаточные для решения практических задач представления о том, чем эти контексты различаются, что позволяет перейти непосредственно к защите виртуальных инфраструктур.

Возвращаясь к обсуждению контроля целостности конфигураций виртуальных инфраструктур, остановимся на самом понятии конфигурации. Опять же, нормативная база не содержит определения конфигурации, хотя и указывает её как один из объектов защиты (мера ЗСВ.7 в [11,12]).

Виртуальная инфраструктура состоит из различных компонентов (объектов): виртуальных машин, хостов, хранилищ, сетей, серверов управления и т.д. в зависимости от используемой платформы виртуализации. Каждый из этих объектов обладает набором характеристик (настроек, атрибутов), которые определяют их состояние. Объекты виртуальной инфраструктуры связаны между собой отношениями принадлежности (например, виртуальная машина принадлежит хосту в том смысле, что запущена на нём), управления (например, в рамках решения vSphere кампании VMware возможно управление множеством хостов-гипервизоров ESXi с помощью vCenter Server, передачи данных и т.д. Связи между объектами наряду с их атрибутами определяют функционирование виртуальной инфраструктуры. Таким образом, конфигурация ВИ может быть определена как совокупность множеств объектов, связей между объектами и атрибутами объектов, составляющих информационную систему. Игнорирование обеспечения и контроля целостности любого множества, составляющего конфигурацию ВИ, может привести к возникновению угроз безопасности информационной системы [13, 14].

Подробное описание требований к реализации меры ЗСВ.7 «Контроль целостности виртуальной инфраструктуры и её конфигураций» приведено в Методическом документе «Меры защиты информации в государственных информационных системах» [15]. Сопоставив приведённые в нём указания с определением конфигурации ВИ и её контролем целостности, получим таблицу 1. Для каждого требования к реализации и  усилению ЗСВ.7 было определено, относится ли оно к контролю целостности объектов, атрибутов объектов или связей между объектами, и в зависимости от этого оно приведено в соответствующем столбце. В некоторых требованиях есть указание по КЦ и самого объекта, и его атрибутов, в таком случае требование указывается сразу с обеих столбцах.

Таблица 1. Сопоставление требований к реализации меры ЗСВ.7 и требований к контролю конфигурации ВИ.

Контроль целостности (КЦ) конфигурации виртуальной инфраструктуры
КЦ объектов	КЦ атрибутов объектов	КЦ связей между объектами
Требования к реализации ЗСВ.7:
В информационной системе должен обеспечиваться контроль целостности компонентов виртуальной инфраструктуры в соответствии с ОЦЛ.1
контроль целостности компонентов, критически важных для  функционирования  хостовой операционной системы, гипервизора, гостевых  операционных систем и (или) обеспечения безопасности обрабатываемой в них информации (загрузчика, системных файлов, библиотек операционной системы и иных компонентов)
контроль целостности состава и конфигурации виртуального оборудования
	контроль целостности файлов, содержащих параметры настройки  виртуализированного программного обеспечения и виртуальных машин
контроль целостности файлов-образов виртуализированного программного обеспечения и виртуальных машин, файлов-образов,  используемых для обеспечения работы виртуальных файловых систем
В информационной системе должен обеспечиваться контроль целостности резервных копий виртуальных машин (контейнеров)
Требования к усилению ЗСВ.7:
в информационной системе должен обеспечиваться контроль целостности базовой системы ввода-вывода вычислительных серверов и консолей управления виртуальной инфраструктуры;
в информационной системе должен обеспечиваться контроль  целостности микропрограмм и служебных данных элементов аппаратной части виртуальной инфраструктуры (в том числе загрузочных записей машинных носителей информации);
в информационной системе должен обеспечиваться контроль состава аппаратной части компонентов виртуальной инфраструктуры;
в информационной системе должен обеспечиваться контроль целостности программного обеспечения облачных клиентов

Как видно из таблицы 1, приведённые требования не учитывают контроль целостности связей между объектами виртуальной инфраструктуры. Стоит отметить, что отчасти связь объектов контролируется мерами ЗВС.6 «Управлением перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных», хотя и лишь в отношении виртуальных машин. В связи с этим требование контроля связей между объектами можно рассматривать как усиление меры КЦ виртуальной инфраструктуры.

Также таблица 1 показывает, что меры защиты не учитывают контроль атрибутов таких объектов, как хостовая операционная система, гипервизор, сервер и консоль управления виртуализацией. Эти объекты играют ключевую роль в построении и функционировании ВИ, а потому контроль их настроек необходим.

Исходя их приведённых выше рассуждений требования по защите виртуальных инфраструктур, закреплённые в приказах ФСТЭК №17 и №21 [11, 12] и детализированные в Методическом документе «Меры защиты информации в государственных информационных системах» [15], предлагается расширить следующим образом:

• Требование к реализации ЗВС.7 дополнить указанием обеспечения контроля целостности компонентов, содержащих настройки функционирования хостовой операционной системы, гипервизора и серверов управления виртуализацией и консолей управления виртуализации;
• Требования к усилению меры ЗСВ.7 дополнить указанием, что в информационной системе должен обеспечиваться контроль целостности связей между объектами виртуальной инфраструктуры.

Кроме того целесообразно зафиксировать в нормативных документах определение целостности, которое может быть применено для произвольного объекта защиты: информации, файла, оборудования, информационной технологии или системы.

Список литературы

1. Fedoseenko. A brief history of virtualization, or why do we divide something at all [Электронный ресурс]. URL: https://www.ispsystem.com/news/brief-history-of-virtualization (дата обращения: 13.04.2021).
2. Tsifountidis F. Virtualization security: Virtual machine monitoring and introspection //Signature. – 2010. – Т. 49. [Электронный ресурс]. URL: https://www.ma.rhul.ac.uk/static/techrep/2011/RHUL-MA-2011-09.pdf (дата обращения: 13.04.2021).
3. Как подружить ГОСТ Р 57580 и контейнерную виртуализацию. Ответ Центробанка (и наши соображения на этот счет) // Блог компании ITGLOBAL.COM [Электронный ресурс]. URL: https://habr.com/ru/company/itglobalcom/blog/516102/#comment_21987238 (дата обращения: 13.04.2021).
4. СПО «Аккорд-KVM». Основные сведения // Официальный сайт ОКБ САПР [электронный ресурс]. URL: https://www.okbsapr.ru/products/virtsys/accord-kvm/main/ (дата обращения: 11.05.2021).
5. СПО «Аккорд-В.» и «Сегмент-В.». Основные сведения // Официальный сайт ОКБ САПР [электронный ресурс].URL: https://www.okbsapr.ru/products/virtsys/accord-v-and-segment-v/main-segment-v/ (дата обращения: 11.05.2021).
6. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения
7. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Решение председателя Гостехкомиссии России от 30 марта 1992 г.
8. A Comparison of Commercial and Military Computer Security Policies. Authors: D. Clark & D. Wilson. IEEE Symposium on Security and Privacy, pp.184-194
9. Конявский В. А., Гадасин В. А. Основы понимания феномена электронного обмена информацией. — Минск, 2004. С.18
10. ГОСТ Р 56938-2016. Защита информации. Защита информации при использовании технологий виртуализации. Общие положения [Электронный ресурс]. URL: http://docs.cntd.ru/document/1200135524 (дата обращения: 30.04.2021).
11. Приказ № 17 ФСТЭК России от 11 февраля 2013 г. «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
12. Приказ № 21 ФСТЭК России от 18 февраля 2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
13. Мозолина Н. В. Контроль целостности виртуальной инфраструктуры и её конфигураций. // Комплексная защита информации. Материалы XXI Международной конференции. Смоленск 2016. С. 167–170.
14. Мозолина Н. В. Задание эталона при контроле целостности конфигурации виртуальной инфраструктуры // Новые Информационные Технологии и Системы. Сборник научных статей XII Международной научно-технической конференции г. Пенза 23–25 ноября 2016г. Пенза, 2017. C. 219–225.
15. Методический документ ФСТЭК России от 11 февраля 2014 года «Меры защиты информации в государственных информационных системах»

Автор: Мозолина Н. В.

Дата публикации: 19.08.2021

Библиографическая ссылка: Мозолина Н. В. Предложения о расширении требований к защите виртуальных инфраструктур // Комплексная защита информации: материалы XXVI научно-практической конференции. Минск. 25–27 мая 2021 г. Минск: Издатель Владимир Сивчиков, 2021. С. 100–103.

---