|
|
Обзор подготовлен
До 60% проектов по виртуализации на сегодняшний день проводятся без привлечения специалистов по информационной безопасности. Между тем, использование технологии влечет за собой спектр совершенно новых угроз. К началу 2010 года вендоры информационной безопасности вплотную подошли к внедрению технологий обеспечения защиты виртуальных сред и её компонентов. В ближайшем будущем рынок услуг может привнести гораздо большие изменения в ландшафтах виртуальных средств защиты безопасности, нежели прямое развитие специализированных средств защиты.
Олег Глебов,
специалист департамента маркетинга компании «Информзащита»
По итогам 2010 года 80% компаний на мировом рынке так или иначе реализуют проекты с применением виртуализации - либо для решения внутренних задач, либо как модель предложения услуг для клиентов, которая расширила продуктовый портфель и повысила прибыль. При этом общая рабочая нагрузка на виртуальные инфраструктуры составляет не более одной четверти от всех мировых серверных вычислений. Данный показатель за год вырос примерно на 50-60%, что плодотворно сказалось не только на рынке новых моделей виртуализации («инфраструктура-как-услуга» IaaS, «вычисления-как-услуга»PaaS и т.д.), но и расширило область применения технологии виртуализации.
Теперь эта технология применяется не только в среде высококвалифицированного ИТ-рынка, но и в других отраслях: банковском секторе, ритейле, промышленности. Небольшие компании стали охотно заниматься технологиями терминального доступа на базе виртуальных сред, предоставления распределяемых мощностей для сотрудников, переносом своих собственных разрозненных ресурсов в единое виртуальное пространство. Такой подход служит плодотворным плацдармом для развития компании и её инфраструктуры, позволяя за короткий срок получать централизованное управление всеми бизнес-процессами компании.
Крупные вендоры ИТ-индустрии в 2010 году перестраивали решения виртуализации согласно своим представлениям и видениям будущего коммерческого рынка. В обиход плотно вошел комплексный подход по обеспечению гибкости и масштабируемости серверных мощностей для организации виртуальных инфраструктур и построения облаков. Так, в конце 2010 года Cisco, EМС и VMware представили свой глобальный подход к этой задаче в рамках созданной коалиции VCE. Новое решение получило название V-Block, и представляет собой готовую стойку с серверами и коммутационным оборудованием Cisco, хранилищами от EMC и виртуальной средой от VMware. Тесная интеграция совместных решений и успешное тестирование позволили достичь небывалой производительности и возможности для масштабируемого развития. Таким образом, облачные вычисления имеют не только маркетинговый или коммерческий характер, но и опорную специализированную аппаратную базу, которая разработана специально под задачи виртуализации.
В 2010 году компания Microsoft активно стала продвигать на рынке своё решение для разработки и предоставления доступа к виртуальным инфраструктурам в рамках облака. Направление получило название Hyper-V. Оно предлагает среду разработки собственных масштабируемых облаков для компаний разного уровня возможностей и технических компетенций. Подход к этой задаче от Microsoft позволяет компаниям в кратчайшие сроки разработать и вывести на рынок новые модели услуг: «софт-как-слуга» и «инфраструктура-как-услуга». Примечательно, что система позволяет не только быстро, но и гибко настраивать конечное решение для распределения мощностей по клиентам вплоть до конечного числа виртуальных процессоров или серверных компонентов.
Заинтересованность рынка в виртуализации легко объяснить, если посмотреть на основополагающий локомотив роста и развития этой технологии. Причиной стало несоответствие классического подхода «один сервер – одно приложение» задачам оптимизации ресурсов и затрат, ставших особенно актуальными для компаний в кризисный период. Основная проблема заключалась в том, что зачастую до 80% серверных мощностей не использовались под нужды компаний. Логичным выходом из этой ситуации стало применение технологии виртуализации, настроенной прежде всего на перераспределение свободных мощностей между элементами ресурсов текущей инфраструктуры компании без дополнительных затрат на наращивание мощности на серверном уровне.
Итогом пристального внимания к развитию технологии, а также озвучиваемых масштабных планов на ближайшие 5 лет стало то, что в 2010 году компания Gartner выпустила волшебный квадрант для производителей платформ серверной виртуализации. Несмотря на то, что в лидерах представлена лишь компания VMware, в нишевых игроках и в визионерах уже сейчас есть целый десяток компаний, которые позволят в ближайшем будущем рынку виртуализации развиваться ещё быстрее.
До 60% проектов по виртуализации на сегодняшний день проводятся без привлечения специалистов по информационной безопасности. Между тем, использование технологии влечет за собой спектр совершенно новых угроз. Более того, можно смело говорить о том, что безопасность виртуальных инфраструктур стоит на уровень ниже физических сетей и серверов и требует более пристального внимания со стороны разработчиков и клиентов.
Полностью перенимая весь спектр классических атак, которые используются для взлома физических серверных решений, технология виртуализации привнесла новые модели угроз для всех компаний, которые занимаются виртуализацией. Технология виртуальной инфраструктуры открывает новые критические точки для анализа и последующего проведения атак злоумышленниками: прежде всего, это монитор виртуальных машин («гипервизор»), сами виртуальные машины с установленными на них различными операционными системами и виртуальные сети передачи данных (виртуальные адаптеры и коммутаторы).
Проблемой обеспечения безопасности виртуальных сред является то, что классические решения по обеспечению защиты на базе программно-аппаратных комплексов (ПАК) не в состоянии контролировать безопасность виртуальной инфраструктуры. Простым примером такого несоответствия может быть приведён анализ проходящего по сети трафика, который используется в устройствах обнаружения и противодействия вторжений (IPS/IDC). В случае использования виртуальных сетей передачи данных и виртуальных адаптеров, трафик не покидает пределов физического сервера и его внутреннего адаптера, что усложняет процесс анализа. Но даже если удаётся детектировать трафик и перехватывать его, то анализ открывает целый спектр неразрешимых задач для незнакомых с ними классических IPS-решений.
В 2010 году произошло важное событие в рамках интеграции виртуализации в области подвластные крупным регуляторам. В стандарт мировых платёжных карт PCI DSS были внесены изменения, где впервые встретилось упоминание гипервизора и виртуальных сетей передачи данных. В требованиях стандарта PCI DSS по обеспечению безопасности виртуальная инфраструктура признана ничем не отличающейся от реальных сред. Так же чётко регламентировано, что правила стандарта должны выполняться, прежде всего, в части построения и поддержания средств защиты сети и строгого контроля доступа.Такая формулировка раскрывает само видение регулятором виртуальной технологии не как чего-то диковинного или малоизученного, а как полноправного элемента всей среды. Защита должна быть обеспечена как в рамках классических моделей угроз (антивирусы, файерволлы), так и новых, которые возникают во время использования технологии виртуализации (защита гипервизора, анализвиртуального трафика).
В российском законодательстве упоминание виртуальных средств обработки данных ещё не приводится, но жёсткие требования к защите автоматизированных систем и персональных данных (152 ФЗ) можно в полной мере отнести к виртуализации уже сейчас. И если нет чётких критериев по оценке защищённости регулятором, то подход к защите виртуальных сред со стороны некоторых вендоров информационной безопасности на российском рынке ИБ уже оценен сертификатами соответствия ФСТЭК.
Операционные системы пополняются всё новыми уязвимостями почти каждый месяц, на их основе разработчики делают патчи, а вендоры по ИБ - сканеры безопасности, а также обновляют свои сигнатуры. Ряд таких уязвимостей — критические, то есть позволяют злоумышленникам получать полный контроль над системой удалённо с правами администратора. В реальной информационной среде администратор безопасности с помощью сетевых средств анализа уязвимостей (IPS и др.) мог контролировать безопасность систем вплоть до того, что даже применять так называемые виртуальные патчи, которые в реальном времени закрывали найденные дыры в операционных системах, протоколах и программном обеспечении. В виртуальной среде такая проблема возникает с новой силой, но под другим ракурсом.
Нередко для быстрого восстановления виртуальной машины после сбоя у администратора имеется её копия, сделанная в какой-то момент времени ранее, которую можно легко развернуть и она будет работать на месте прежней. При этом не всегда учитывается, что патчи, которые выходили за время после её клонирования, на копию не применялись. В лучшем случае такая работа по обновлению патчей безопасности происходит сразу же при подсоединении виртуальной машины в сеть. Но и в таком подходе кроется одна проблема, а именно, период времени, когда уязвимая виртуальная машина находится в едином пространстве с другими элементами инфраструктуры. Так, злоумышленник может посредством одной непропатченной системы получить контроль вплоть до управления всей системой виртуализации, со всеми машинами, на которых в этом случае может быть удовлетворительный уровень безопасности, и установлены все последние критически важные патчи.
С другой стороны, в больших компаниях число виртуальных машин может достигать десятков и сотен, что затрудняет установку обновлений и программного обеспечения на них вручную. Но и автоматизация процесса доставки обновлений до виртуальных машин встроенными средствами не всегда приводит к желаемым результатам и влечёт за собой более критичные проблемы, связанные с безопасностью. Не всегда администратор инфраструктуры и администратор безопасности – это одно и то же лицо. Во многих компаниях эти должности даже разнесены по разным департаментам, что усложняет согласованность их работы. Администратор безопасности виртуальной среды не всегда может с точностью понимать, какая виртуальная машина в какой момент времени будет работать, а какая — нет. Таким образом, создав план по применению обновлений на ряд виртуальных машин на определённый промежуток времени, администратор не может предугадать плановые перезагрузки, отключения или миграцию виртуальных машин в рамках виртуальной среды. Такая проблема опять же ведёт к появлению уязвимостей в инфраструктуре виртуальных сред и выявляет задачу необходимости централизованного управления и разграничения прав пользователей и прав администраторов.
Ещё одним уязвимым местом в задаче обеспечения безопасности компании, которая использует виртуализацию, является технология переноса виртуальных машин между физическими серверными средами (ЦОД). С одной стороны, технология V-motion от VMware не позволяет дублировать в полной мере политики безопасности при переносе виртуальной машины, что может повлечь за собой уязвимости управления уже не только самой этой машиной, но и всей инфраструктуры. С другой же стороны, можно назвать сам процесс миграции виртуальной машины и защиты этой технологии. Компания IBM в 2010 году впервые упоминает реализуемую атаку на технологию V-motion, которая позволяет подключиться к процессу переноса и полностью скопировать виртуальную машину со всеми данными, настройками и политиками. Идеологию такого процесса легко понять, просто оценив, что сама виртуальная машина - это лишь один файл, что заметно облегчает процесс воровства. В сравнении с реальной операционной системой на реальном сервере, сложно представить себе, что кто-то будет растаскивать по сети по файлам операционную систему, применительно к виртуальной среде – это вполне реализуемая атака.
Единое информационное пространство обмена данными в рамках гипервизора, даже при наличии логических разграничений, позволяет в основополагающий элемент защиты возводить именно защиту отдельной виртуальной машины, и контроля её безопасности, и, что немаловажно, её целостности во времени. Такой подход следует комплексно связать с выбором систем обеспечения безопасности, так как, обеспечивая высокую степень защиты по необходимым параметрам, вендоры не всегда уделяют внимание важным мелочам, присущим конкретной технологии. Отсюда возникает проблема подтягивания классических методов защиты к виртуальной среде, где на таком пути обязательно встречаются подводные камни.
К примеру, можно представить ситуацию, когда в виртуальной среде находится классический IPS с расширенным функционалом под виртуальные среды. При проведении атаки на заражение виртуальной ОС вирусом или внедрении вредоносного кода (руткита) IPS немедленно предотвратит такую атаку. Но что будет, если в виртуальную среду добавляют (с помощью технологии V-motion или просто подключают) уже заведомо заражённую виртуальную машину, которая содержит вирус или руткит в своих компонентах? Классическое решение не предотвратит такой атаки на инфраструктуру.
Отдельным звеном в рисках безопасности и использования виртуальных инфраструктур является повсеместное внедрение облачных технологий для конечного клиента. Если ещё в 2009 - начале 2010 года аналитики безопасности только говорили о том, что стоит задумываться над средствами защиты данных пользователя, который пользуется моделью «софт-как-услуга», то к концу 2010 года этот вопрос встал гораздо острее. Проблема контроля данных и их хранения в облаке озвучивается устами самих заказчиков и потенциальных покупателей, которые не готовы свои коммерческие данные хранить на чужой территории и под чужой ответственностью, которая регламентируется лишь договором о предоставлении услуг. В самом же договоре нет чётких формулировок по задачам провайдера услуг обеспечить безопасность и соблюдение конфиденциальности информации с помощью специальных специализированных средств защиты.
Такой конфликт интересов особенно остро может встать в 2011-2013 годах на российском рынке, где законодательно жёстко регламентируется хранение и обработка критически важных данных, в том числе и персональных данных граждан Российской Федерации. Тем более вызывает настороженность тот факт, что разработчиков специализированных средств защиты персданных, которые сертифицированы согласно законам РФ, можно посчитать на пальцах одной руки - например, российская компания «Код безопасности», которая имеет в своё портфеле комплексное решение для защиты перс данных в виртуальных средах – до 1-го класса включительно.
К началу 2010 года вендоры информационной безопасности вплотную подошли к внедрению технологий обеспечения защиты виртуальных сред и её компонентов. Первой тенденцией в подходах стал выпуск виртуальных версий собственных продуктов, благо перенести работу программных комплексов в среду VMware не составляет большого труда. Особенно быстро данный процесс пошёл в силу роста и положительной оценки аналитиками в своё время технологии UTM (UnifiedThreatManagement), и её независимых программных компонентов. Сам по себе подход в UTM-устройствах позволил разработчикам предлагать клиенту в рамках одного купленного программно-аппаратного комплекса защиты сразу большой спектр функционала на выбор, который легко подключается в нужный момент покупкой лицензии. Поэтому такие вендоры, как CheckPoint, Fortinet и IBM, первыми стали выпускать аналогичные своим ПАКпрограммные средства DLP, IPS и т.д.
Обычно в виртуальной среде такие решения представляются в виде отдельной виртуальной машины, которая цепляется к виртуальным адаптерам и предлагаемым интерфейсам VMware. Производительностьже таких решений полностью зависит от выделяемых на виртуальную машину мощностей и доступного канала передачи данных физического коммутатора при гипервизоре. Примечательно, что такие решения изначально не были нацелены на решения задач обеспечения безопасности только виртуальных сред, а скорее позволяли за небольшие деньги внедрить технологии защиты в компаниях, используя вместо программно аппаратных средств виртуальную машину, через которую мог насквозь идти анализируемый трафик в физическую сеть.
Следующим шагом в обеспечении безопасности виртуальных сред стал переход от узконаправленного подхода обеспечения защиты к комплексному подходу. Новые решения позволяли организовывать централизованное управление политиками доступа к виртуальным машинам, политиками безопасности и были тесно интегрированы с технологиями от самих VMware: Vsafe и V-adapter. Такие решения на российском рынке предлагают как мировые вендоры по ИБ – IBM, TrendMicro, так и российские разработчики – «Код безопасности». У каждого решения есть свои отдельные плюсы, которые вендоры продвигают на рынке.
В решении VSP – virtualServerProtection от IBM представлен целый ряд инновационных методов в подходе к защите, впервые в технологии используется безагентный контроль виртуальных машин на наличие руткитов. Продукт от компании «Код Безопасности»Vgate является зарекомендованным сертифицированным средством защиты виртуальных сред VMware, которые включают усиленную аутентификацию и жёсткие политики безопасности. Решение Vgate позволяет проводить системы по стандарту PCIDSS и российскому законодательству средств защиты от НСД. Компания TrendMicro развила собственный продукт из задач оптимизации работ антивируса в виртуальной сети. Так в тесной связи с технологией Vshieldendpoint от VMware компания TrendMicro предлагает своё решение DeepSecurity, которое организовывает не только работу безагентного антивируса в виртуальной среде, но и помогает устранять антивирус из цели атак хакеров, тем самым, исключая возможность его изъятия из работы инфраструктуры.
Растущей тенденцией в информационной безопасности конца 2010 года был отмечен большой рост предлагаемых решений по модели «*-как-услуга» (Security-as-a-Service). Вендоры и разработчики средств безопасности предлагают целый спектр услуг, которые пользователю даже не нужно устанавливать на рабочем месте, чтобы начать использовать. В обиход компаний идут облачные антивирусы, облачное обеспечение безопасности трафика, в том числе и облачная очистка трафика в рамках модели «анти-DDoS-как-услуга». Конечно, нельзя расценивать это направление деятельности ИБ интеграторов и вендоров как прямую защиту технологии виртуализации, но определённые аспекты растущей тесной интеграции решений ИБ и виртуальных сред — очевидны.
В ближайшем будущем 2013-2015 годах рынок услуг может привнести гораздо большие изменения в ландшафтах виртуальных средств защиты безопасности, нежели прямое развитие специализированных средств защиты. Массовый переход классических решений ИБ к облачной модели непременно повлечёт за собой инновации и рост в области обеспечения безопасности и самих виртуальных сред.
Олег Глебов, специалист департамента маркетинга компании «Информзащита»