Защита информации в виртуальных средах: главные моменты

В практике защиты виртуальных сред следует учитывать три основных фактора:

• размывание границ нахождения информации;
• доверие к средству защиты;
• комплексность подхода к защите информации во всей информационной системе.

Размывание визуальной границы

Можно констатировать, что применение средств виртуализации приводит к снижению прозрачности ИТ-инфраструктуры предприятия. Это проявляется в целом ряде моментов.

Так, сетевые коммуникации между виртуальными машинами, находящимися на одном аппаратном сервере, выполняются без вывода трафика за его пределы — сетевой обмен между машинами идет через виртуальный коммутатор гипервизора.

Очень часто в одном аппаратном сервере (блейд-сервере) размещаются виртуальные машины интернет-сегментов и виртуальные машины внутренней сети (например, СУБД, серверы приложений). В этом случае провести визуальную границу между уровнями конфиденциальности (например, К1 и К2) невозможно. Разделение коммуникаций между сегментами обычно выполняется с использованием встроенных средств гипервизора — как вариант, виртуальные машины подключаются к разным программным коммутаторам.

В любой момент времени можно удаленно (зачем идти в серверную комнату?) и без регистрации соответствующей информации в анализируемых логах (как правило!) внести несанкционированные изменения в архитектуру системы виртуализации. О таких изменениях, как правило, узнают только в результате расследования инцидента, связанного с компрометацией информации, если, конечно, такой инцидент выносится за пределы ИТ- или ИБ-службы.

Доверие к средству защиты

В случае организации защиты данных в виртуальных средах и смешения уровней конфиденциальности на одном аппаратном устройстве придется полагаться на высокий уровень доверия к выбранным средствам защиты. Как правило, требования к ним определяются нормативными требованиями в отношении информации того или иного рода (например, требованиями закона “О персональных данных”). Уровень же доверия к различным инструментам защиты информации (СЗИ) формируется с учетом множества характеристик — сертификатов ФСТЭК и ФСБ, уровней EAL, отзывов профессионалов в области информационной защиты о том или ином средстве.

В любом случае подход “на доверии” чреват различными рисками: бизнес рискует тем, что конфиденциальная корпоративная информация может быть скомпрометирована или утрачена, что, как правило, приводит к прямым или косвенным финансовым потерям, а ИБ-специалист, отвечающий за систему безопасности, — своей профессиональной репутацией. По своему опыту могу утверждать, что в профессиональном ИБ-сообществе, где все хорошо знают друг друга, информация о том или ином специалисте молниеносно распространяется между заинтересованными компаниями из самых разных отраслей бизнеса. Как говорится, мир тесен.

Комплексный подход

Даже если внутри виртуальной среды все сделано “правильно” и с использованием сертифицированных средств защиты, этого может оказаться недостаточно. Для полноценной защиты информации в корпоративной ИТ-инфраструктуре необходимо создание комплексной ИБ-экосистемы.

Почему так происходит и почему недостаточно защитить только систему виртуализации? Потому что в силу специфики виртуальных сред увеличиваются возможности несанкционированного доступа к конфиденциальной информации.

При использовании виртуальных машин, чтобы похитить данные, достаточно похитить файлы виртуальной машины. Это можно сделать, получив доступ к средству управления или к среде виртуализации. Весьма часто, как показывает практика, ни первое, ни второе адекватно не защищены, вплоть до того, что не настроено разграничение доступа, а интерфейсы управления подключены к общей пользовательской сети. Получив доступ к таким файлам, можно скопировать их по сети в Интернет либо на флэшку и вынести за пределы компании.

При реализации технологий отказоустойчивости виртуальных машин по сети передаются сегменты их оперативной памяти. При этом средства виртуализации не осуществляют шифрование этих данных, а это прямая возможность для перехвата данных оперативной памяти. Получить доступ к этим данным становится (по опыту) сложнее, если сети обмена выводят либо на отдельное сетевое оборудование, либо в отдельную VLAN существующих сетей.

При использования “обычных” аппаратных серверов, если это необходимо, их можно вынести в отдельную зону безопасности (за межсетевой экран). В случае использования виртуализации сделать это намного труднее — как минимум увеличивается сложность серверной и сетевой архитектуры. И поэтому при взломе одного сервера виртуальной машины злоумышленнику проще взламывать и другие виртуальные машины на этом же аппаратном сервере. Для защиты от таких взломов есть и межсетевые экраны, и IPS, но их мало кто использует.

Появление “ошибки администрирования” — часто ввиду

повышенной консолидации разнородных виртуальных машин на аппаратных серверах (до нескольких десятков на один сервер) и сложности межсетевых взаимодействий — действия по администрированию системы будут снижать безопасность среды виртуализации и виртуальных машин.

В любом случае (в том числе в нашей практике) применяется классический подход к обеспечению безопасности:

• категорирование и упорядочивание ресурсов по степени критичности обрабатываемой информации (сегментирование);
• применение мер защиты как на границах сегментов, так и внутри их;
• защита средств управления, в том числе и инструментами защиты межсерверных коммуникаций.

Отметим также, что в построении именно комплексной и действенной системы защиты информации, охватывающей и виртуальные среды, очень важную роль играют организационные решения и контроль изменений ИТ-инфраструктуры. Ведь обеспечение безопасности — это процесс постоянный.

Автор статьи — начальник отдела системной архитектуры компании “Информзащита”.

СПЕЦПРОЕКТ