В практике защиты виртуальных сред следует учитывать три основных фактора:
— размывание границ нахождения информации;
— доверие к средству защиты;
— комплексность подхода к защите информации во всей информационной системе.

Размывание визуальной границы

Можно констатировать, что применение средств виртуализации приводит к снижению прозрачности ИТ-инфраструктуры предприятия. Это проявляется в целом ряде моментов.

Так, сетевые коммуникации между виртуальными машинами, находящимися на одном аппаратном сервере, выполняются без вывода трафика за его пределы — сетевой обмен между машинами идет через виртуальный коммутатор гипервизора.

Очень часто в одном аппаратном сервере (блейд-сервере) размещаются виртуальные машины интернет-сегментов и виртуальные машины внутренней сети (например, СУБД, серверы приложений). В этом случае провести визуальную границу между уровнями конфиденциальности (например, К1 и К2) невозможно. Разделение коммуникаций между сегментами обычно выполняется с использованием встроенных средств гипервизора — как вариант, виртуальные машины подключаются к разным программным коммутаторам.

В любой момент времени можно удаленно (зачем идти в серверную комнату?) и без регистрации соответствующей информации в анализируемых логах (как правило!) внести несанкционированные изменения в архитектуру системы виртуализации. О таких изменениях, как правило, узнают только в результате расследования инцидента, связанного с компрометацией информации, если, конечно, такой инцидент выносится за пределы ИТили ИБ-службы.

Доверие к средству защиты

В случае организации защиты данных в виртуальных средах и смешения уровней конфиденциальности на одном аппаратном устройстве придется полагаться на высокий уровень доверия к выбранным средствам защиты. Как правило, требования к ним определяются нормативными требованиями в отношении информации того или иного рода (например, требованиями закона «О персональных данных»). Уровень же доверия к различным инструментам защиты информации (СЗИ) формируется с учетом множества характеристик — сертификатов спецслужб, уровней EAL, отзывов профессионалов в области информационной защиты о том или ином средстве.

В любом случае подход «на доверии» чреват различными рисками: бизнес рискует тем, что конфиденциальная корпоративная информация может быть скомпрометирована или утрачена, что, как правило, приводит к прямым или косвенным финансовым потерям, а ИБспециалист, отвечающий за систему безопасности, — своей профессиональной репутацией. По своему опыту могу утверждать, что в профессиональном ИБсообществе, где все хорошо знают друг друга, информация о том или ином специалисте молниеносно распространяется между заинтересованными компаниями из самых разных отраслей бизнеса. Как говорится, мир тесен.

Комплексный подход

Даже если внутри виртуальной среды все сделано «правильно» и с использованием сертифицированных средств защиты, этого может оказаться недостаточно. Для полноценной защиты информации в корпоративной ИТ-инфраструктуре необходимо создание комплексной ИБ-экосистемы. Почему так происходит и почему недостаточно защитить только систему виртуализации? Потому что в силу специфики виртуальных сред увеличиваются возможности несанкционированного доступа к конфиденциальной информации.

При использовании виртуальных машин, чтобы похитить данные, достаточно похитить файлы виртуальной машины. Это можно сделать, получив доступ к средству управления или к среде виртуализации. Весьма часто, как показывает практика, ни первое, ни второе адекватно не защищены, вплоть до того, что не настроено разграничение доступа, а интерфейсы управления подключены к общей пользовательской сети. Получив доступ к таким файлам, можно скопировать их по сети в Интернет либо на флэшку и вынести за пределы компании.

При реализации технологий отказоустойчивости виртуальных машин по сети передаются сегменты их оперативной памяти. При этом средства виртуализации не осуществляют шифрование этих данных, а это прямая возможность для перехвата данных оперативной памяти. Получить доступ к этим данным становится (по опыту) сложнее, если сети обмена выводят либо на отдельное сетевое оборудование, либо в отдельную VLAN существующих сетей. При использования «обычных» аппаратных серверов, если это необходимо, их можно вынести в отдельную зону безопасности (за межсетевой экран). В случае использования виртуализации сделать это намного труднее — как минимум увеличивается сложность серверной и сетевой архитектуры. И поэтому при взломе одного сервера виртуальной машины злоумышленнику проще взламывать и другие виртуальные машины на этом же аппаратном сервере. Для защиты от таких взломов есть и межсетевые экраны, и IPS, но их мало кто использует.

Появление «ошибки администрирования» — часто ввиду повышенной консолидации разнородных виртуальных машин на аппаратных серверах (до нескольких десятков на один сервер) и сложности межсетевых взаимодействий — действия по администрированию системы будут снижать безопасность среды виртуализации и виртуальных машин.

В любом случае (в том числе в нашей практике) применяется классический подход к обеспечению безопасности: — категорирование и упорядочивание ресурсов по степени критичности обрабатываемой информации (сегментирование); — применение мер защиты как на границах сегментов, так и внутри их; — защита средств управления, в том числе и инструментами защиты межсерверных коммуникаций.

Отметим также, что в построении именно комплексной и действенной системы защиты информации, охватывающей и виртуальные среды, очень важную роль играют организационные решения и контроль изменений ИТ-инфраструктуры. Ведь обеспечение безопасности — это процесс постоянный.

Автор статьи — начальник отдела системной архитектуры компании «Информзащита»