Системы защиты виртуальных инфраструктур

Ещё в середине 2010-х годов выбор гипервизора KVM как основы для построения виртуальной инфраструктуры не был, конечно, чем-то экзотическим, но всё же и назвать решения на его основе такими же распространенными и популярными, как решения от «гигантов виртуализации» VMware или Microsoft было нельзя. Согласно исследованию Gartner 2016 года [1] ни одна платформа виртуализации на базе гипервизора KVM не входила в число лидеров рынка. Конечно, и на сегодняшний день говорить о том, что VMware или Microsoft испытывают значительную конкуренцию со стороны других разработчиков серверной виртуализации рано, хотя в последние годы совершенно очевидна тенденция увеличения доли рынка KVM-виртуализации [2]. Стоит уточнить, что речь при этом идёт не только о связке QEMU/KVM в «чистом» виде (о свободном программном обеспечении), но и о коммерческих решениях, базирующихся, так или иначе, на этом гипервизоре, например, Red Hat Virtualization [3].

На отечественном рынке, пожалуй, тенденция использования решений на базе KVM проявляется ещё более ярко, чем в мире. Такое изменение предпочтений среди российских компаний связано не только с общемировыми трендами, но и с развитием и реализацией программы импортозамещения информационных технологий в России [4]. Так в последние годы появилось несколько набирающих популярность российских платформ, например, среда виртуализации «РЕД Виртуализация» [5], программный комплекс «Средства виртуализации «Брест» [6], вычислительный комплекс «AERODISK vAIR» [7].

Появление и распространение новых продуктов на рынке серверной виртуализации влечёт за собой развитие и смежных систем, например, систем хранения, аппаратных платформ, систем защиты информации. И если для виртуальных инфраструктур, основанных на решениях VMware vSphere или Microsoft Hyper-V, создано немало средств защиты [8-9], то для гипервизора KVM и платформ на его основе такие решения немногочисленны.

Одним из них является разработанное ОКБ САПР специальное программное обеспечение (СПО) «Аккорд-KVM» [10], которое позволяет не только создать полноценную защиту виртуальной инфраструктуры (ВИ), построенной на базе гипервизора KVM, но и привести эту систему в соответствие требованиям регуляторов. СПО «Аккорд-KVM» может применяться в информационных системах, использующих библиотеку управления виртуализацией libvirt версии не ниже 0.9.13 и библиотеку libguestfs версии не ниже 1.36.3, а также комплексов защиты «Аккорд-Х» или «Аккорд-Х К» на каждом сервере, выполняющем роль гипервизора.

Основными функциями «Аккорд-KVM» являются контроль запуска виртуальной машины (ВМ) на гипервизоре, а также контроль целостности файлов и оборудования ВМ. Контроль запуска обеспечивается за счёт явной настройки разрешения или запрета включения для каждой защищаемой виртуальной машины, а контроль целостности – за счёт сохранения в базе данных «Аккорд-KVM» информации об эталонном состоянии виртуального оборудования и о списке контролируемых файлов с их контрольными суммами для ВМ. Также «Аккорд-KVM» выполняет регистрацию всех произведенных собственных настроек, проверок целостности и наиболее важных событий ВИ в журнале безопасности.

Вследствие выполнения названных функций СПО «Аккорд-KVM» реализует следующие меры обеспечения безопасности в виртуальной инфраструктуре [11-13]: регистрация событий безопасности в виртуальной инфраструктуре (ЗСВ.3), управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных (ЗСВ.6) и контроль целостности виртуальной инфраструктуры и ее конфигураций (ЗСВ.7) [14]. Но для обеспечения безопасности информационной системы, построенной с использованием технологии виртуализации, должны быть выполнены не только специфические для гипервизоров и виртуальных машин меры защиты, но и общие для систем заданного класса защиты.

Так меры групп «Идентификация и аутентификация субъектов и объектов доступа (ИАФ)» и «Управление доступом субъектов доступа к объектам доступа (УПД)» в ИСПДн и ГИС могут быть выполнены за счёт совместного использования с «Аккорд-Х» («Аккорд-Х К»), а меры по «Регистрации событий безопасности (РСБ)» – за счёт непосредственной реализации в СПО «Аккорд-KVM». Также рассматриваемые средства защиты обеспечивают выполнение некоторых функций «Контроля (анализ) защищенности персональных данных (АНЗ)», «Обеспечения целостности информационной системы и персональных данных (ОЦЛ)» и «Защиты информационной системы, ее средств, систем связи и передачи данных (ЗИС)».

Итак, применение СПО «Аккорд‑KVM» в информационной системе персональных данных выполняет следующие меры, включенные в базовый набор мер защиты информации для соответствующего класса защищенности информационной системы: ИАФ.1, ИАФ.5; УПД.4, УПД.5; РСБ.1, РСБ.2, РСБ.3, РСБ.5, РСБ.7; АНЗ.2, АНЗ.4; ОЦЛ.1; ЗСВ.1, ЗСВ.3, ЗСВ.6, ЗСВ.7; ЗИС.1, ЗИС.15; а также дополнительные (не включенные в базовый набор) ИАФ: 7 и РСБ.8 [15].

Заметим, «Аккорд-KVM» относится к категории так называемых наложенных средств защиты: он устанавливается «поверх» виртуальной инфраструктуры на этапе её ввода в эксплуатацию или уже даже в процессе работы.

Вообще необходимость применения дополнительных средств защиты при использовании отечественных платформ виртуализации может быть неочевидна, ведь по заявлениям производителей эти системы изначально спроектированы таким образом, что обеспечивают безопасность информации в ней обрабатываемой. Также многие из этих платформ сертифицированы и могут использоваться в государственных информационных системах, системах субъектов КИИ или системах обработки персональных данных высоких классов, а использование встроенных механизмов исключает необходимость покупки дополнительных средств защиты информации (СЗИ), а потому может выглядеть более привлекательно (на первый взгляд) с экономической точки зрения по сравнению с использованием наложенных.

С другой стороны, встроенные механизмы защиты привносят существенные ограничения на конфигурацию таких платформ виртуализации: используемая аппаратная платформа, гостевые операционные системы, системы управления виртуальной инфраструктурой определяются зачастую жёстко и не могут быть изменены ввиду узких границ действия сертификата. Другим минусом использования исключительно встроенных средств защиты является низкая скорость обновления таких систем, ведь для новых версий программного обеспечения должны быть проведены особые процедуры контроля и сертификации, нередко с участием испытательных лабораторий. Стоит отметить, что разработка и выпуск новых версий «Аккорд-KVM» также сопряжены с сертификацией или инспекционным контролем программного обеспечения, но ввиду небольшого объема исходных кодов «Аккорд-KVM» контрольные процедуры выполняются в значительно более короткий срок.

Разработанное ОКБ САПР специальное программное обеспечение «Аккорд-KVM» позволяет построить полноценную защиту виртуальной инфраструктуры, а также привести систему в соответствие с требованиями регуляторов. Являясь наложенным средством защиты, «Аккорд-KVM» обеспечивает выполнение защитных механизмов, не накладывая ограничения на функциональные возможности ВИ, а также может быть применён для широкого спектра виртуальных инфраструктур, использующих гипервизор KVM, в том числе и для отечественных [16].

Список литературы

1. Bittman T. J., Dawson P., Warrilow M. Magic Quadrant for x86 Server Virtualization Infrastructure [Электронный ресурс]. URL: https://learnvmware.online/wp-content/uploads/2018/01/gartner-reprint_x86-virtualization.pdf (дата обращения 20.08.2021)
2. The 2020 State of Virtualization Technology [Электронный ресурс]. URL: https://www.spiceworks.com/marketing/reports/state-of-virtualization/ (дата обращения 22.08.2021)
3. VIRTUALIZATION PLATFORMS. Red Hat Virtualization // Официальный сайт компании Red Hat [Электронный ресурс]. URL: https://www.redhat.com/en/technologies/virtualization/enterprise-virtualization (дата обращения 20.08.2021).
4. Носов Н. В. Российский рынок серверной виртуализации: тенденции и игроки [Электронный ресурс]. URL: https://www.iksmedia.ru/articles/5542238-Rossijskij-rynok-servernoj-virtuali.html (дата обращения 20.08.2021).
5. РЕД Виртуализация // Официальный сайт компании РЕД СОФТ [Электронный ресурс]. URL: https://www.red-soft.ru/ru/content/rv (дата обращения 20.08.2021).
6. Программный комплекс «Тест» // Официальный сайт компании AstraLinux [Электронный ресурс]. URL: https://astralinux.ru/products/pk-brest/ (дата обращения 20.08.2021).
7. Официальный сайт компании AERODISK [Электронный ресурс]. URL: https://aerodisk.ru/vair/ (дата обращения 20.08.2021).
8. Шамардина (Чепанова) Е. Г. Формирование критериев сравнения модулей доверенной загрузки // Вопросы защиты информации: Научно-практический журнал/ФГУП «ВИМИ», 2014. Вып. 4 (107). С. 60–63.
9. Ледовский В. Обзор средств защиты виртуальных сред VMware vSphere [Электронный ресурс]. URL: https://www.anti-malware.ru/analytics/Virtualization_Security (дата обращения 20.08.2021).
10. Аккорд-KVM // Официальный сайт компании ОКБ САПР [Электронный ресурс]. URL: https://www.okbsapr.ru/products/virtsys/accord-kvm/ (дата обращения 20.08.2021)
11. Приказ № 17 ФСТЭК России от 11 февраля 2013 г. «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
12. Приказ № 21 ФСТЭК России от 18 февраля 2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
13. Приказ № 31 ФСТЭК России от 14 марта 2014 г. «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»
14. ТУ 501410-073-37222406-2018 Специальное программное обеспечение «Аккорд-KVM». Технические условия.
15. Аккорд-KVM: Меры приказов ФСТЭК России // Официальный сайт компании ОКБ САПР [Электронный ресурс]. URL: https://www.okbsapr.ru/about/license/certificates/certifikaty-na-spo-akkord-kvm/mery-prikazov-fstek-akkord-kvm/ (дата обращения 28.08.2021).
16. Совместимость: СПО Аккорд-KVM // Официальный сайт компании ОКБ САПР [Электронный ресурс]. URL: https://www.okbsapr.ru/support/compatible/sovmestimost-s-spo-akkord-kvm/ (дата обращения 28.08.2021).

Автор: Мозолина Н. В.

Дата публикации: 05.10.2021

Библиографическая ссылка: Мозолина Н. В. Системы защиты виртуальных инфраструктур // Information Security/Информационная безопасность. М., 2021. № 4. С. 26–27.

---