В последние годы компания 5nine Software, участвовала во множестве проектов, в которых клиенты строили свою виртуальную инфраструктуру на платформе Windows Server, начиная от версии 2008 до 2016. Это были, как правило, проекты крупных компаний с повышенными требованиями к безопасности. Не секрет, что в последнее время инциденты ИБ в крупных компаниях и государственных организациях стали регулярными. В условиях, когда пользователи теряют конфиденциальную информацию и крупные средства, такие требования выглядят разумными. Почему же участились инциденты ИБ и как можно повысить безопасность своей инфраструктуры с новой серверной ОС Microsoft?
Виртуализация уже давно стала традиционной частью инфраструктурных решений. Безусловно, возможности гипервизоров существенно расширились, трансформируясь в частные и гибридные облака, вследствие чего инфраструктура клиентов стала более гибкой и динамичной, что соответствует современным условиям ведения бизнеса — нужно быстро создавать и обслуживать новые сервисы и виртуальных машины в их составе, поддерживать несколько кластеров или ЦОД с миграцией и балансировкой ВМ между ними.
Но, тем не менее, клиенты часто используют в виртуальной среде устаревшие технологии end-point security с установкой агентов в ВМ и изоляции при помощи VLAN. Эти технологии добавляют уязвимости, связанные с возможностью блокирования или удаления агента в ВМ, потребляет дефицитные ресурсы оборудования, усложняют администрирование виртуализированных ЦОД крупных компаний.
Что же предлагают для решения этих проблем Microsoft и его технологические партнеры?
Во-первых, для защиты от «эффекта Сноудена» в Windows Server 2016 появилась технология Shielded VM, которая позволяет шифровать диск ВМ из инфраструктуры гостевых операционных систем, защищая его от копирования и просмотра администратором хоста. Существенно увеличить безопасность инфраструктуры ЦОД поможет использование Nano Server, новой версии ОС, в которой отсутствует графический интерфейса GUI и существенно снижена площадь атаки путём минимизации набора ролей, как результат — в 3 раза меньше портов и в 10 раз меньше критических обновлений. Еще одно новшество – защита компонентов, отвечающих за целостность ядра ОС, паролей и других важных системных данных при помощи отдельного контейнера Hyper-V - Virtual Security Module (VSM). Все это существенно увеличивает защищённость новой ОС и инфраструктуры пользователя.
Но вместе с этим, ряд важных функций безопасности и соответствия законодательству в ней отсутствуют, т.к. они не являются характерными для серверной ОС и должны быть реализованы сторонними решениями. Microsoft существенно облегчил реализацию этих функций дав доступ нескольким технологическим партнерам к коммутатору Hyper-V. Расширяемый виртуальный коммутатор Hyper-V дает возможность изоляции пользователей ВМ, управления всем трафиком внутри виртуальной среды, защиты ВМ от вредоносных атак.
Благодаря встроенной поддержке драйверов-фильтров NDIS и драйверов внешнего вызова платформы фильтрации Windows, виртуальный коммутатор Hyper-V позволяет независимым разработчикам программных продуктов (ISV) создавать расширения виртуального коммутатора, которые увеличивают безопасность ВМ и сетей.
Компания 5nine Software является одним из ключевых вендоров, с которым Microsoft сотрудничает по разработке средств защиты и управления Hyper-V c 2009 года. Последняя версия программы 5nine Cloud Security была представлена на ежегодной конференции Ignite, одновременно с Windows Server 2016.
5nine Cloud Security интегрирован в виртуальный коммутатор и является единственным безагентным решением для обеспечения безопасности Hyper-V Server. Он контролирует сетевой трафик между виртуальными машинами, изолирует отдельные ВМ и группы, обнаруживает вредоносные атаки на уровне приложений, осуществляет быстрое антивирусное сканирование и блокировку угроз, повышая безопасность виртуальной среды.
Основным отличием от других СЗИ является безагентная архитектура решения, позволяющая не устанавливать программное обеспечение в гостевую операционную систему, анализируя и управляя трафиком на уровне виртуального коммутатора.
Установка Cloud Security достаточно проста и может быть без проблем выполнена администратором Windows Server со знаниями, эквивалентными квалификации MCSA, в отличие от аналогичных решений других вендоров, значительно более сложных, дорогих и требующих гораздо больше усилий и квалификации.
Для запуска приложения нужно установить три основных компонента:
Управляющая служба (Management Service) — устанавливается в гостевом или родительском разделе, которые будут определены как управляющие серверы для всей инфраструктуры Hyper-V. Возможна установка нескольких управляющих серверов, которые обеспечивают функцию аварийного восстановления,
Управляемая служба (HostManagementService) — устанавливается на каждом защищаемом сервере,
Консоль управления (ManagementConsole) — устанавливается на каждом рабочем месте, используемом для управления и контроля применения правил системы безопасности.
Решение также может быть интегрировано с System Center Virtual Machine Manager путём установки бесплатного плагина, позволяющего управлять инфраструктурой ЦОД и безопасностью виртуализации из единой консоли.
Расширение для Azure Pack дает возможность управления функциями Cloud Security из портала самообслуживания, что позволяет хостинговым компаниям развернуть новую услугу «Безопасность как сервис» (SECaaS).
В продукте реализована ролевая модель управления безопасностью. Доступны три роли: администратор информационной безопасности, ИТ-администратор и аудитор.
Из собственной консоли или SCVMM администратор может достаточно просто настроить политики безопасности виртуального межсетевого экрана, в т.ч. при помощи шаблонов. Поддерживаются виртуальные машины как под управлением Windows, так и Linux. Изолировать можно как отдельные ВМ, так и их группы, благодаря поддержке мультитенантности. Доступна функция защиты самого родительского раздела сервера Hyper-V, в том числе антивирусная.
С помощью функций межсетевого экрана можно реализовать следующую функциональность:
Фильтрация по MAC-адресу
Поддержка ARP
Фильтрация трафика с применением SPI (Stateful Packet Inspection) и DPI (Deep Packet Inspection)
Анализ аномалий сетевого трафика
Управление входящей и исходящей полосой пропускания для каждой виртуальной машины.
Фильтрация MAC-вещания
Журналирование отфильтрованных события безопасности (в т.ч. антивируса и IDS) с возможностью экспорта в форматы SYSLOG и SIEM SPLUNK
Поддержка технологии виртуализации сети NVGRE
Управление доступом к виртуальной машине по расписанию
Антивирусный сервис использует по выбору один из трех движков и баз сигнатур (Лаборатория Касперского, Bitdefender или Threat Track), однако механизм сканирования принципиально иной, чем у самих антивирусных вендоров. Благодаря функционированию на уровне гипервизора, антивирусное сканирование возможно без установки агента в ВМ, что повышает их защищённость, т.к. администратор гостевой операционной системы не может отключить антивирус.
Использование технологии инкрементального сканирования увеличивает его скорость до 70 раз, при этом нагрузка на хост падает до 30%. Эта технология в сочетании с настройкой количества сканируемых ВМ, позволяет гибко управлять ресурсами хостов и избегнуть «антивирусного шторма». Также доступно антивирусное сканирование сетевого трафика и опция активной защиты виртуальной машины, при котором сканируются не только диски, но и оперативная память гостевого раздела.
Базы сигнатур антивирусов и IDS могут обновляться централизованно для всей инфраструктуры Hyper-V через локальный прокси-сервер, позволяя изолировать хосты от публичных сетей с одновременным их размещением внутри ЦОД для минимизации уязвимости родительских разделов от внешней атаки. В интерфейсе антивирусного сервиса доступны настройки режимов сканирования, расписания и исключений для типов файлов, и папок.
Система обнаружения вторжений (IDS) анализирует весь трафик внутри виртуального коммутатора Hyper-V, используя технологию Cisco Snort for Business для проверки аномалий пакетов, которые могут быть потенциальными атаками. В отличие от аналогичных решений других вендоров, возможно обнаружение атак не только in-out, но и внутри виртуальной среды с одной ВМ на другую.
Такой сценарий атаки стал все более распространён как в виртуализированных ЦОД хостинг-провайдеров, так и в крупных компаниях, где одна захваченная ВМ становится центром атаки внутри контура защиты. Для обнаружения атак используется не только сигнатурный, но и эвристический метод. СОВ определяет модель вашего нормального рабочего трафика в течение дня. Затем постоянно отслеживает его профиль и при наличии отклонений или аномалий, немедленно уведомляет о возможности нападения.
Для крупных компаний будет интересна возможность миграции политик безопасности в распределенных ЦОД. Если у вас есть несколько ЦОД или филиалов, которые не имеют прямых каналов связи, вы все равно можете синхронизировать настройки 5nine Cloud Security между ними, поддерживая миграцию ВМ, отказоустойчивость и безопасность бизнеса в случае аварий. Простая интеграция продукта в System Center VMM позволяет объединить в рамках единого решения управление ИТ инфраструктурой и информационной безопасностью предприятия.
Это упрощает и удешевляет стоимость владения Microsoft Cloud в собственном ЦОД и позволяет контролировать и управлять безопасностью инфраструктуры в облаке хостинг-провайдера, построенном на технологии Cloud OS. Сейчас такие облака предоставляют все ведущие провайдеры в России и в мире: ActiveCloud, Dataline, Ростелеком и т.д.
Наличие всех систем защиты: межсетевого экрана, антивируса, IDS, логирования событий безопасности и ролевой модели доступа позволяет пользователям экосистемы Windows Server выполнить требования регуляторов: 152-ФЗ «О персональных данных», приказов №17 и №21 ФСТЭК, стандарта PCI-DSS и других.
5nine Cloud Security – легко устанавливаемое средство защиты виртуальной среды Hyper-V, которое просто интегрируется в средства управления Microsoft. Настройка занимает немного времени и интуитивно понятна. Основное преимущество – высокий уровень защиты на уровне гипервизора при низкой нагрузке на ресурсы хостов. Тестирование производительности системы при всех включённых сервисах 5nine Cloud Security, показывает дополнительную нагрузку в пределах 3-4%.
Подобные продукты других вендоров при тестировании показывают деградацию такого параметра, как ширина пропуска виртуальной сети до 50%. Кроме того, при тестировании этих продуктов выясняется, что в случае падения управляющего сервиса на базе ВМ, пропадают важные сетевые настройки и сеть становится практически не работоспособна. При отключении ВМ с управляющим сервисом 5nine, все настройки сохраняются и Cloud Security продолжает осуществлять бесперебойную защиту виртуальной инфраструктуры.
Для крупных компаний с ответственными ИС предусмотрен отказоустойчивый режим работы защиты с кластеризованным управляющим сервисом и Recovery Action для перезапуска при падении.
Функция Распределенных серверов управления позволяет оптимизировать производительность управляющих сервисов 5nine Cloud Security для крупных проектов и повысить их масштабируемость. Новая технология обеспечивает одновременную работу нескольких управляющих сервисов, применение и изменение правил и настроек безопасности ЦОД. Это также увеличивает отказоустойчивость и высокую доступность сервисов 5nine, обеспечивающих комплексную безопасность виртуальной инфраструктуры со сложной топологией, в том числе территориально распределенной.
Администраторы, исходя из архитектуры ЦОД, смогут запускать несколько серверов управления в непосредственной близости от управляемых ресурсов для ускорения распространения новых настроек безопасности и изменения существующих. Эти настройки распределены и синхронизированы между всеми управляющими сервисами для гибкости конфигурации. Если сервис управления становится недоступными, группа хостов переключается на ближайший работоспособный. Администратор может назначить каждой группе хостов определенный управляющий сервис из имеющихся в списке. После настройки хосты будут обмениваться данными с назначенным сервисом для получения уведомлений, конфигураций и логов.
Все эти функции 5nine Cloud Security позволяют клиентам надежно защитить виртуальную инфраструктуру Windows Server любого размера и сложности без потери производительности и простоты управления, а также выполнить жесткие требования законодательства РФ и международных стандартов ИБ.
Более чем для 100 тысяч клиентов по всему миру уже выбрали решения 5nine Software для защиты и управления облаками Microsoft. За свои уникальные возможности 5nine Cloud Security выбран изданием Cyber Defense Magazine лучшим решением 2016 года в категории Data Center Security.