Виртуализация как источник угроз и драйвер безопасности одновременно

Количество виртуальных серверов в мире уже заметно превышает число физических. Согласно некоторым исследованиям, на один физический сервер сегодня приходится более семи виртуальных. Популярность виртуальных серверов имеет экономическое обоснование: согласно опросам IDC, средства виртуализации позволяют сократить парк физических серверов в среднем на 20%, при этом затраты на оборудование, питание, охлаждение, помещение снижаются примерно на 25%. Порядка 70% осуществленных проектов виртуализации серверов в мире оцениваются как успешные, а многие компании имеют актуальные планы по дальнейшему развитию своей ИТ-инфраструктуры в данном направлении. Таким образом, зависимость бизнеса от виртуализации будет и дальше расти, а следовательно, цена ошибки по обеспечению безопасности новой, виртуальной среды тоже будет возрастать. На конференции Virtualization Security Conference 2012, организованной и проведенной компанией Trend Micro, выступающие затронули широкий круг вопросов безопасности ИТ-инфраструктуры бизнеса с учетом ее стремительной миграции в виртуальную среду. Попробуем сразу выразить основной посыл прозвучавших докладов: специфические проблемы обеспечения информационной безопасности существуют, они требуют особого внимания и специального инструментария, уже представленного на рынке, но бояться виртуальной среды не нужно, наоборот — ее специфику следует использовать для поднятия уровня безопасности ИТ-инфраструктуры бизнеса в целом.

ИБ виртуальной среды — общие соображения

Как рассказал участникам конференции Тимур Фарукшин, директор по консалтингу “IDC Россия/СНГ”, Россия по виртуализации серверов сегодня находится “посерединке” между странами региона. Вместе с тем, хотя в абсолютных величинах и по доле виртуальных серверов в общей массе физических Россия значительно уступает таким развитым странам, как Великобритания, Германия, Франция, наша страна демонстрирует выдающиеся темпы роста этого рынка (порядка 80—100% ежегодно — выше только у Саудовской Аравии). По прогнозам IDC, к 2015 г. Россия по общему количеству виртуальных серверов выйдет на сравнимые показатели с лидерами рынка.

Однако, несмотря на стремительный рост рынка виртуальных решений, вопросы безопасности виртуальной среды пока еще не попали в фокус внимания ИТ-директоров, а тем более — руководства компаний, констатировал Тимур Фарукшин. А между тем злоумышленники, получившие контроль над физическим хостом, получают доступ ко многим критически важным для бизнеса приложениям, работающим на виртуальных машинах. Таким образом, цена допущенного инцидента ИБ резко возрастает.

При осуществлении проектов виртуализации возникает целый ряд организационных угроз, напомнил представитель IDC. Во-первых, легкость, с которой создаются виртуальные машины, приводит к появлению незарегистрированных учетных записей, ненужных служб, ошибок конфигурирования виртуальной инфраструктуры. При этом возникают дополнительные проблемы с аудитом инфраструктуры, проверкой ее на соответствие внутренним и внешним политикам компании по обеспечению ИБ, управлением обновлениями. Возрастает сложность управления инфраструктурой, что приводит к снижению качества процесса управления и в целом уровня ИБ. Помимо организационных возникают и внешние угрозы — возрастает вероятность появления в виртуальной среде зараженных гостевых машин, захвата гипервизора, ряда других угроз, свойственных именно виртуальной среде.

Несмотря на реальность перечисленных угроз (которые, как добавил докладчик, без сомнения, будут со временем только расти и множиться), Тимур Фарукшин призвал не опасаться виртуализации среды, и не считать ее исключительно источником новых проблем, напротив — относиться к виртуальным решениям как к “драйверу информационной безопасности” ИТ-инфраструктуры компании. Он напомнил, что виртуальная среда позволяет безопасно, быстро и эффективно тестировать обновления бизнес-приложений, обеспечивает легкость создания “ловушек для вредоносного кода” (т.н. honeypot), имитирующих реальную ИТ-среду компании, дает возможность реализовать другие меры по обеспечению информационной безопасности.

Вместе с тем докладчик признал, что тема безопасности виртуальной среды — новая, опыта в данной сфере крайне мало и даже в развитых странах еще не пришли к единому пониманию реального соотношения “виртуальная среда — информационная безопасность”. Ясно одно, подчеркнул Тимур Фарукшин, что все наработки по обеспечению ИБ для физической инфраструктуры должны переноситься на виртуальную среду, но и этого будет недостаточно — необходимо добавлять специфические виртуальные решения по безопасности в силу специфики виртуальной среды и того, что цена ошибки здесь многократно возрастает.

Новая среда — новая архитектура — новая защита

Эффективны ли традиционные средства и подходы защиты ИБ от внешних угроз в условиях виртуального хоста? По словам Вениамина Левцова, регионального менеджера Trend Micro в России и СНГ, практика доказывает, что — нет. Докладчик сразу подчеркнул, что компания, которую он представляет, — партнер VMware, и что бóльшая часть того, о чем он расскажет собравшимся, апробировано для решений именно на платформе виртуализации VMware vSphere.

В числе ключевых особенностей виртуальной среды, которые необходимо учитывать при построении системы защиты от внешних угроз, г-н Левцов назвал необходимость использования гипервизора, актуальность традиционных угроз ИБ и появление новых, целесообразность максимального снижения использования средствами ИБ ресурсов как виртуальных машин, так и хоста в целом, активный сетевой трафик между виртуальными машинами в пределах хоста, сложность управления программными обновлениями, а также вероятность перенесения виртуальной машины на другой хост.

Управление при помощи гипервизора, особенно выделил представитель Trend Micro, — в числе принципиальных отличий виртуальной среды от физической. Гипервизор позволяет видеть общую картину хоста, все его виртуальные машины, процессы файлообмена и соединения. Новая концепция архитектуры ИБ в виртуальной среде, которую обрисовал докладчик, предполагает вынесение системы обеспечения ИБ на специализированную виртуальную машину — сервер безопасности. Проинтегрированный с интерфейсами гипервизора, сервер безопасности получает доступ к предметной информации для осуществления проверок. При таком подходе функционал ИБ не задействует ресурсы виртуальных машин, используемых под бизнес-приложения. Новая архитектура имеет существенное преимущество перед традиционной и в плане эффективности противодействия внешним атакам, подчеркнул докладчик. Не секрет, что современное вредоносное ПО давно уже использует механизмы подавления антивирусов, когда сложные атаки начинаются именно с подавления антивирусного ядра. В случае, когда средства ИБ размещены на изолированной виртуальной машине, внешних пользовательских интерфейсов она практически не имеет и соответственно подавить работу антивирусного кода, по мнению Вениамина Левцова, практически невозможно. Крупнейшие игроки антивирусного рынка, получив доступ к интерфейсам VMware, уже представили прототипы решений с подобной архитектурой или активно работают над их созданием, констатировал докладчик.

Проблема атак между виртуальными машинами внутри хоста решается путем использования специализированных межсетевых экранов и систем обнаружения вторжений (IDS). Что касается управления обновлениями, то оно осложнено тем, что виртуальные машины время от времени “засыпают”, а потом “просыпаются”. В момент пробуждения виртуальной машины ее антивирусные сигнатуры часто оказываются неактуальными, в результате чего машина становится уязвимой для атак. Современный подход к решению данной проблемы, отметил представитель Trend Micro, — обнаружение и пресечение попыток использования существующих, но по различным причинам временно не закрытых уязвимостей путем контроля сетевого трафика, обращений на определенные порты, учета особенностей поведения внешнего ПО в виртуальной среде и т. д. При таком подходе к защите для нападающего системы выглядят как обновленные (“запатченные”), поэтому данную технологию защиты еще называют “виртуальный патчинг”, т. е. “как бы обновление”. Ключевое концептуальное требование для реализации такой защиты — наличие коллектива экспертов, постоянно работающих с вендорами и поддерживающих базу сигнатур известных уязвимостей в актуальном состоянии.

В случае миграции хоста из защищенной, доверенной среды в среду менее защищенную (например, к внешнему провайдеру облачных сервисов) для данной виртуальной машины специалист считает целесообразным использование традиционного полнофункционального агента, отслеживающего как антивирусную активность, так и другие параметры ИБ. В числе важных проблем Вениамин Левцов назвал изменчивость виртуальной среды, в которой сложно отследить действия администраторов, неизменность важнейших компонентов ИС (выход — внедрение контроля целостности ключевых файлов, программных приложений).

Именно такие подходы к архитектуре и возможностям системы комплексной защиты виртуальной среды от внешних угроз заложены в продуктах ведущих поставщиков решений для защиты виртуальной среды, включая Trend Micro, подчеркнул Вениамин Левцов. В заключение своего доклада выступающий перечислил некоторые основные критерии для сравнительного анализа при выборе решений по защите виртуальной среды от внешних угроз: наличие модуля антивирусной защиты, сетевых экранов, управления обновлениями, форм-фактор (в каком виде поставляется решение — “железо” или “железо + ПО”), наличие интеграции с VMware vCenter и, что немаловажно, — сертификации ФСТЭК.

Эксперт по решениям VMware Сергей Лисачев согласился с коллегой из Trend Micro: традиционные подходы к обеспечению ИБ не работают в виртуальных средах, а ключевой элемент виртуальной среды — гипервизор, двигатель виртуальной среды. Виртуализация ИТ-среды вызывает опасения у многих специалистов, отметил Сергей Лисачев, — у специалистов по нормативам ИБ (конфиденциальность данных), у специалистов службы безопасности и ИТ-сотрудников (защита от вредоносного кода, хакерских атак), но ее обеспечение — решаемая задача. И в первую очередь безопасность новой среды должна быть реализована на уровне архитектуры виртуальных решений и кода гипервизора, уверен представитель VMware.

Проверка глубокой защиты на практике

Дмитрий Сафронов, начальник отдела защиты информации департамента информационных технологий ВГТРК, рассказал, что в прошлом году компанией был введен в эксплуатацию большой дата-центр. В результате появилась возможность перевести ряд ИТ-решений инфраструктуры в виртуальную среду на базе решений компании VMware. Защита виртуальной среды от внешних угроз была реализована на решении Trend Micro Deep Security (компания Trend Micro), опытом эксплуатации которого и поделился докладчик.

Отметив, что решение по защите от внешних угроз уже было успешно апробировано на практике в первой декаде мая, когда были предприняты серьезные атаки на ресурсы российского телевидения, представитель ВГТРК в числе достоинств данного продукта отметил тот самый “виртуальный патчинг”, т. е. возможность защиты бизнес-приложений, еще не закрытых последними обновлениями. Данная возможность оказалась очень кстати для “ряда систем отечественного производства”, как дипломатично пояснил докладчик, которые критично относятся к обновлениям Microsoft. Второе достоинство решения, отмеченное Дмитрием Сафроновым, — отсутствие антивирусных агентов на виртуальных машинах, что особенно важно для систем, работающих в круглосуточном режиме и чувствительных к любому уменьшению доступных ресурсов. Для самого докладчика, как руководителя отдела защиты информации компании, было важно получить инструмент управления безопасностью виртуальной среды с разграничением прав доступа и возможностью контролировать действия администраторов. Характерно, что, несмотря на последние достижения — как со стороны разработчиков ИТ, так и злоумышленников, одной из основных угроз безопасности, признался Дмитрий Сафронов в заключение своего выступления, по-прежнему остается человеческий фактор, т. е. халатное поведение сотрудников (не ИТ-специалистов), забывающих подчас о своих обязательствах по соблюдению правил и норм техники информационной безопасности.