Доклады, выступления, видео и электронные публикации

Проблемы реализации разграничения доступа к функциям управления виртуальных сред

Д. В. Угаров, Д. А. Постоев

Закрытое акционерное общество «ОКБ САПР», Москва, Россия

Статья посвящена обзору проблем, которые возникают при реализации разграничения доступа к функциям управления виртуальных сред. Предложены требования к наложенному средству защиты информации, позволяющему избежать ограничений существующих решений.

Ключевые слова: виртуальная инфраструктура, виртуальная машина, разграничение доступа, сегментация виртуальных инфраструктур

  1. V. Ugarov, D. A. Postoev

Closed Joint Stock Company «OKB SAPR», Moscow, Russia

The article provides an overview of the problems in the implementation of access control system in virtual environments. Authors propose set of requirements for security solution, which avoids the limitations of existing approach.

Keywords: virtual infrastructure, virtual machine, access control, segmentation virtual infrastructures.

В современных условиях реализация разграничения доступа к объектам инфраструктуры является неотъемлемой частью процесса построения защищенной информационной системы. Однако, несмотря на то, что для этого уже разработано множество моделей безопасности, независящих от конкретной информационной системы, большинство реализаций на практике имеют изъяны.

Не обошла эта проблема и виртуальные инфраструктуры, где мы сталкиваемся со следующим фактом:

Администратор виртуальной инфраструктуры (АВИ) имеет максимальный уровень доступа ко всем объектам (в числе которых могут находиться ВМ, обрабатывающие информацию, различную как по уровню секретности, так и категориям доступа) и функциям управления информационной системы.

Какие проблемы это принесет архитектору при проектировании системы?

  • Для виртуальных сред в настоящее время не предусмотрено разделение ролей АВИ, то есть того, кто управляет объектами информационной системы, и администратора безопасности информации (АБИ), того, кто назначает права пользователям системы, в том числе и А. И. Таким образом, возникает ситуация сосредоточения максимальных привилегий в рамках одной роли (пользователя), то есть проблема «суперпользователя».

Для большинства систем такое положение неприемлемо, АБИ должен иметь возможность ограничивать действия АВИ: запрещать критичные для безопасности действия и разрешать некоторые только по согласованию, например, к удалению виртуальной машины (нарушение целостности и доступности) или экспорту ее на диск (нарушение конфиденциальности).

  • Так как система может содержать различную информацию (иерархически категорируемую, то есть разного уровня секретности или неиерархически, то есть разного вида), может возникнуть ситуация, при которой она будет «перемешана». Например, случайное или умышленное переключение секретной ВМ в подсеть к несекретным или миграция ВМ разработчика на хранилище бухгалтерии.

К сожалению, данная задача не может быть решена средствами самой виртуальной инфраструктуры, так как существующие продукты не предполагают мандатного механизма разграничения доступа, а сетевого сегментирования (с помощью VLAN или средствами межсетевых экранов) недостаточно в случае, если необходимо обеспечить не только изоляцию сети, но и изоляцию среды обработки информации и средств ее хранения. По этой причине архитектор сталкивается с проблемой сегментирования, то есть разбиения системы на сегменты и обеспечения их изоляции.

Что приходится делать для решения рассмотренных задач в настоящее время?

Устранять проблему «суперпользователя» приходиться организационными мерами, например, заменять учетную запись АВИ на аналогичную с урезанными правами, а учетные данные «суперпользователя» запечатывать в конверте до возникновения нештатных ситуаций. Однако это не решает проблемы полностью, а только переносит ее на иной уровень. Более того, в больших инфраструктурах это и вовсе может быть неприменимо из-за необходимости частого доступа к вырезанным у АВИ функциям и их постоянного согласования с АБИ.

В свою очередь, на решение проблемы сегментирования претендуют следующие способы:

  • Полное физическое разделение, то есть под каждый сегмент (в нашем случае это ВМ бухгалтерии и разработчика, а также ВМ с секретными и несекретными данными) выделить отдельные сервера, не имеющие связи между собой (чтобы АВИ при желании не мог выполнить неправильное действие).

Минус такого подхода заключается в значительно возрастающих расходах на оборудование. Помимо этого, разделение приведет к снижению эффективности использования физических ресурсов (инфраструктура более разрознена), что скажется на эффективности балансировки нагрузки и отказоустойчивости.

  • Для каждого сегмента сделать отдельную учетную запись АВИ.

Недостаток такого способа в значительном увеличении количества учетных записей (например, вместо 1 учетной записи АВИ в нашем случае получим 4) и усложнении работы с системой (в частности отслеживании состояния всей системы).

Что в итоге?

Из рассмотренных решений следует, что они ведут либо к дополнительным значительным затратам ведущим к снижению эффективности использования средств виртуализации, либо к введению дополнительных организационных мер усложняющих работу А. И. По этой причине логичным шагом является перенимание опыта из смежных областей и создание наложенного средства защиты для ухода от описанных проблем.

При этом данное средство защиты должно реализовывать:

  • разграничение доступа к функциям управления виртуальной инфраструктурой, критичным, с точки зрения безопасности;
  • возможность создания нескольких ролей (пользователей), между которыми будут разделены полномочия по управлению виртуальной инфраструктурой, а также осуществлять контроль назначения прав доступа с помощью отдельной учетной записи АБИ, которая имеет права только на чтение в рамках виртуальной системы;
  • мандатную политику безопасности и изолировать доступ к разным сегментам информационной системы на основе иерархических и неиерархических меток;

В заключение отметим, что разработчикам СЗИ, в свою очередь, стоит обратить внимание на данную сферу, так как, несмотря на популярность систем виртуализации, решения для большинства сред до сих пор отсутствуют.

Авторы: Угаров Д. В.; Постоев Д. А.

Дата публикации: 01.01.2016

Библиографическая ссылка: Угаров Д. В., Постоев Д. А. Проблемы реализации разграничения доступа к функциям управления виртуальных сред // Комплексная защита информации: материалы XXI научно-практической конференции, Смоленск, 17–19 мая 2016 г. М., 2016. С. 231–233.


Scientia potestas est
Кнопка связи