Новости Статьи VMware Veeam StarWind vStack Microsoft Nakivo Citrix Symantec События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Все самое нужное о виртуализации и облаках

Более 6300 заметок о VMware, AWS, Azure, Veeam, Kubernetes и других

VM Guru / Articles / Безагентные технологии обеспечения безопасности виртуальной среды и Software-defined networking (SDN).

Безагентные технологии обеспечения безопасности виртуальной среды и Software-defined networking (SDN).

Безагентные технологии обеспечения безопасности виртуальной среды и Software-defined networking (SDN).

Автор: 5nine
Дата: 21/06/2016

Поддержите VM Guru!

USDT / TRC20, адрес: TCDP7d9hBM4dhU2mBt5oX2x5REPtq9QdU1




Статья:

Регулярные проблемы с нарушением конфиденциальности корпоративных данных, атаки на инфраструктуру и приложения, запущенные в виртуальной среде, прямые многомиллионные потери денег банками – это результат использования средств защиты информации (СЗИ) не соответствующих современной архитектуре виртуализированных ЦОД. 

Регуляторы, отслеживающие многочисленные инциденты ИБ стараются учесть широкое использование виртуальных сред в ИС. С февраля 2013 года действуют Приказы №17 и 21, регламентирующие требования к СЗИ для обеспечения безопасности персональных данных в среде виртуализации. Впервые в официальном документе появился перечень требований к защите виртуальной среды, но он не был достаточно детализирован.

Это привело к практике использования устаревших СЗИ, разработанных для физической среды в виртуальной, что было на руку производителям, но понизило уровень защиты ИС клиентов, потерявших из-за использования старых технологий деньги, информацию и клиентов. Производители платформ виртуализации тоже не успевали за развитием технических средств и компетенций злоумышленников, предлагая переходные архитектуры своих решений, не соответствовавших требованиям для виртуализированных ЦОД. Одной из ключевых характеристик современных СЗИ является безагентная архитектура.

Но в самой популярной три года назад платформе виртуализации VMware vSphere 5, анонсировавшей «безагентный» антивирус, на самом деле использовался агент vShield, который устанавливался в ВМ. Первым гипервизором, предложившим SDN архитектуру виртуального коммутатора, стал появившийся в Windows Server 2012R2 Extensible Switch Hyper-V, позволивший сторонним разработчикам: Cisco, NEC, Inmon и 5nine предложить расширения безопасности собственной разработки и впервые реализовать безагентный антивирус в виртуальной среде. Расширяемость коммутатора позволила приложениям безопасности работать непосредственно на уровне виртуальных сетей.

Примерами таких расширений являются межсетевые экраны с SPI (Stateful Packet Inspection) и DPI (Deep Packet Inspection), антивирусные сканеры, системы обнаружения и предотвращения вторжений (IDS/IPS), защищающие от атак на уровне приложений (DDoS, spoofing и т.п.), средства управления полосой пропускания, обеспечивающие QoS в виртуальной среде.  Создавая специализированные драйверы для фильтрации и изменения TCP/IP-пакетов, контроля и авторизации соединений, фильтрации протоколов, продукты партнеров   проверяют, фильтруют или отклоняют вредоносные или подозрительные пакеты, используя сигнатурные или эвристические методы анализа.

В отличие от СЗИ предыдущего поколения, которые обеспечивали безопасность только ВМ или хоста, современные технические средства позволяют контролировать и защищать всю среду виртуализации: parent partition хоста, vNIC, сетевой трафик, диски и память ВМ, не оставляя уязвимостей или неконтролируемых областей.

В чем же проблема использования устаревших агентных СЗИ?

1. Многие вирусы стараются блокировать работу агента в ВМ. Халатный работник или злоумышленник могут удалить агент или отключить его. Множество последних инцидентов начинались с проникновения и отключения СЗИ на рабочем месте, а потом злоумышленник получал доступ к управлению всей сетью предприятия или банка.

2. Базы сигнатур, их регулярные обновления и сам антивирусный агент потребляют большой объем ресурсов ВМ, загружая сеть, приводя к понижению производительности хоста или количества ВМ, что уменьшает экономический эффект от виртуализации ресурсов.

3. При инфицировании одной или нескольких ВМ на хосте или одновременном сканировании повышается количество обращений к дискам, что приводит к антивирусному шторму и резкому снижению производительности хоста.

4. Атаки на уровне виртуальной сети или с одной ВМ на другую не определяются аппаратными СОВ   контролирующих физическую среду и атаки in/out. Этим активно пользуются злоумышленники, которые при помощи средств социальной инженерии или ненадежности персонала получают доступ к одной ВМ и, затем, развивают атаку на всю внутреннюю сеть, обойдя мощные и дорогие пограничные межсетевые экраны и COB.

Современные безагентные СЗИ, такие как 5nine Cloud Security для Hyper-V, в базовом режиме не устанавливают агенты в ВМ, сканируя VHD/VHDX ВМ при помощи собственного сервиса управления на хосте. Продукт использует современную технологию инкрементального сканирования при помощи драйвера CBT (Changed Block Tracking), обрабатывая только измененные блоки данных файлов на диске ВМ. В результате повторные сканирования занимают всего от 40 секунд до 3 минут, вместо обычного многочасового процесса, сохраняя ресурсы процессора и памяти.

Сканирование безагентного антивируса производится до 70 раз быстрее, чем у устаревших решений на базе агентов в ВМ. Также на наличие вирусов сканируется трафик HTTP виртуальной сети, что вообще недоступно технологиям предыдущего поколения.

Итак, используя современные безагентные технологии защиты виртуальной среды компании и организации могут:

1. Защититься от новых угроз в виртуальной среде и получить надежную комплексную многоуровневую защиту без «пробелов».

2. Уменьшить влияние своего персонала на безопасность.

3. Понизить трудоемкость обеспечения безопасности: нет необходимости проверять и обновлять сигнатуры на каждой ВМ. Эти процедуры автоматически выполняются на хосте.

4. Избежать конфликта ресурсов, таких как антивирусные штормы.

Инкрементальное сканирование повышает производительность виртуальной инфраструктуры. На хосте можно запустить больше ВМ, повысить плотность виртуализации и экономический эффект от ее внедрения.

Понимание серьезных угроз, связанных с использованием устаревших технологий появилось и в банковской отрасли, одной из самых критичных к угрозам и потерям. Наблюдая за последние годы череду инцидентов, которые приводят к потерям миллиардов рублей и доверия клиентов, ЦБ РФ проанализировал их причины и выпустил в 2015 году рекомендации по «Обеспечению информационной безопасности при использовании технологии виртуализации».

В этом документе даются подробные и точные указания, как сделать свой бизнес безопасным и защититься от современных угроз. В главе 9 «Рекомендации по обеспечению ИБ виртуальных машин» прямо указано: «Рекомендуемым решением является использование средств защиты от воздействия вредоносного кода на уровне гипервизора без установки агентского ПО на виртуальные машины.»

Какие же варианты реализации этого требования существуют на рынке сейчас?  Один из лидеров рынка – компания VMware приобрела стартап Nicira, разработчика комплексного решения Software-defined networking (SDN).

Доработав и интегрировав их решение, VMware выпустила свою платформу NSX, которая является основой архитектуры Software Defined Data Center (SDDC). Помимо расширенных функций сетевого управления, платформа NSX используется для построения защищенной инфраструктуры, базирующейся на межсетевом экране с SPI (Stateful Packet Inspection) и высокой детализации контроля по MAC, IP, портам группам active directory и т.д. NSX использует решения партнеров для реализации расширенных сценариев защиты инфраструктуры: Palo Alto Networks, Checkpoint, Fortinet и McAffee.

В составе сервисов безопасности, предлагаемых партнерами VMware, появился безагентный антивирус, межсетевой экран уровня приложений L7, IPS и мониторинг трафика. Недостатком решения является его цена, которую производитель анонсировал на уровне 6000 долларов за 1 процессор.

Что еще из новых технологий безопасности ожидает нас в этом году? На вторую половину года намечен релиз коммерческой версии Windows Server 2016. Наряду с обновлениями проверенных безагентных расширений виртуального коммутатора Hyper-V, нас ждет новый SDN свитч – конкурент NSX, который помимо традиционных задач управления сетевым трафиком и его безопасностью, обеспечит возможность построения гибридного облака и прозрачного перемещения рабочих нагрузок в Microsoft Azure и обратно.

Основные возможности Microsoft Network Controller аналогичны NSX:

1. Наличие RESTful API для управления SDN Host Agent, запущенными на каждом хосте Hyper-V. SDN Host Agent управляет каждым Hyper-V Virtual switch.

2. Поддержка VxLAN или NVGRE для создания логических сетей L2 в рамках уже существующих сетей L3.

3. Наличие балансировщика нагрузки (Software Load Balancer), транслирующего внешние IP адреса в виртуальные с использованием BGP.

Новые технологии позволили создать многоуровневый управляемый межсетевой экран Datacenter Firewall. Он многопользовательский, сетевого уровня, с фильтрацией по протоколу, типам порта и IP-адреса, Stateful Packet Inspection и защищает виртуальные сети клиента от нежелательного трафика из интернет и интранет сетей. На уровне хоста безагентной защитой ВМ обеспечит антивирус и IDS от 5nine.

Кроме того, в Windows Server 2016 появилось еще ряд новшеств, повышающих безопасность клиентов в частном, публичном или гибридном облаке Microsoft.

Для защиты ВМ в Windows Server 2016 появится технология Shielded Virtual Machines, позволяющая зашифровать диски ВМ со стороны гостевого администратора, надежно закрыв его содержимое от администратора хоста при помощи клиентского Bitlocker. 

Появились принципиально новые инструменты безопасности, использующие возможности большого Azure. Первая – это Microsoft Advanced Threat Analytics (ATA). Это платформа, разворачиваемая в частном облаке, использующая трафик Active Directory и данные SIEM для обнаружения и предупреждения о потенциальных атаках с помощью продвинутых технологий, использующих machine learning. АТА выявляет отклонения в поведении, вредоносные атаки и «узкие места» в безопасности.

Вторая платформа – это  Microsoft Operations Management Suite (OMS) Он обрабатывает журналы безопасности и событий МСЭ в частном или публичном облаке для анализа и выявления нестандартного поведения. Получив данные анализа, сотрудник информационной безопасности может решить, требуется ли дальнейшее расследование, затем использовать возможности подробного поиска, чтобы отслеживать и исследовать инциденты.

Это хорошо масштабируемый облачный сервис, который в состоянии обрабатывать несколько терабайт данных каждый день. Вы можете использовать возможности Microsoft Azure, чтобы соотнести данные, полученные в вашей сети с базами IP адресов, полученных от специализированных фирм, правительственных агентств и других источников.

Все эти современные технологии помогут вам создать многоуровневую защиту, объединяющую вычислительные мощности, использующие как облачные ресурсы, так и собственные ЦОД. Вы можете отказаться от огромных разовых затрат на малоэффективные СЗИ предыдущих поколений, неэффективных в виртуальной среде, комбинировать покупку современного безагентного ПО с оплатой сервисов по требованию, в т.ч. по модели SECaaS. 

Это позволит вам существенно повысить защиту критичной для бизнеса информации, выполнить требования регуляторов и не допустить перерасхода бюджета. Помните, что при покупке антивируса, межсетевого экрана или IDS для виртуальной среды вам нужно проверить - безагентные ли они?  

Интересное:





Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

Быстрый переход:
VMware Broadcom Offtopic Microsoft Veeam Cloud StarWind VMachines NAKIVO vStack Gartner Vinchin Nakivo IT-Grad Teradici VeeamON VMworld PowerCLI Citrix VSAN GDPR 5nine Hardware Nutanix vSphere RVTools Enterprise Security Code Cisco vGate SDRS Parallels IaaS HP VMFS VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud DevOps Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Softline EMC Login VSI Xen Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs IDC Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V VMUG Private AI HCX vSAN VCPP VCF Workstation Labs Backup Explore vDefend Data Protection ONE Tanzu AI Intel Live Recovery VCP V2V Aria NSX DPU Update EUC Avi Community Skyline Host Client GenAI Chargeback Horizon SASE Workspace ONE Networking Ransomware Tools Performance Lifecycle Network AWS API USB SDDC Fusion Whitepaper SD-WAN Mobile SRM ARM HCI Converter Photon OS Operations VEBA App Volumes Certification VMConAWS Workspace Imager SplinterDB DRS SAN vMotion Open Source iSCSI Partners HA Monterey Kubernetes vForum Learning vRNI UAG Support Log Insight AMD vCSA NSX-T Graphics NVMe HCIBench SureBackup Docs Carbon Black vCloud Обучение Web Client vExpert OpenStack UEM CPU PKS vROPs Stencils Bug VTL Forum Video Update Manager VVols DR Cache Storage DRS Visio Manager Virtual Appliance PowerShell LSFS Client Datacenter Agent esxtop Book Photon Cloud Computing SSD Comparison Blast Encryption Nested XenDesktop VSA vNetwork SSO VMDK Appliance VUM HoL Automation Replication Desktop Fault Tolerance Vanguard SaaS Connector Event Free SQL Sponsorship Finance FT Containers XenApp Snapshots vGPU Auto Deploy SMB RDM Mirage XenClient MP iOS SC VMM VDP PCoIP RHEV vMA Award Licensing Logs Server Demo vCHS Calculator Бесплатно Beta Exchange MAP DaaS Hybrid Monitoring VPLEX UCS GPU SDK Poster VSPP Receiver VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Documentation Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V KB VirtualCenter NFS ThinPrint Director Memory SIOC Troubleshooting Stretched Bugs ESA Android Python Upgrade ML Hub Guardrails CLI Driver Foundation HPC Orchestrator Optimization SVMotion Diagram Ports Plugin Helpdesk VIC VDS Migration Air DPM Flex Mac SSH VAAI Heartbeat MSCS Composer
Полезные постеры:

Постер VMware vSphere PowerCLI 10

Постер VMware Cloud Foundation 4 Architecture

Постер VMware vCloud Networking

Постер VMware Cloud on AWS Logical Design Poster for Workload Mobility

Постер Azure VMware Solution Logical Design

Постер Google Cloud VMware Engine Logical Design

Постер Multi-Cloud Application Mobility

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Сравнение Oracle VirtualBox и VMware Workstation.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Диски RDM (Raw Device Mapping) для виртуальных машин VMware vSphere и серверов ESX.

Работа с дисками виртуальных машин VMware.

Где скачать последнюю версию VMware Tools для виртуальных машин на VMware ESXi.

Подключение локальных SATA-дисков сервера VMware ESXi в качестве хранилищ RDM для виртуальных машин.

Как перенести виртуальную машину VirtualBox в VMware Workstation и обратно

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Полезные ресурсы:

Последние 100 утилит VMware Labs

Новые возможности VMware vSphere 8.0 Update 1

Новые возможности VMware vSAN 8.0 Update 1

Новые документы от VMware

Новые технологии и продукты на VMware Explore 2022

Анонсы VMware весной 2021 года

Новые технологии и продукты на VMware VMworld 2021

Новые технологии и продукты на VMware VMworld 2020

Новые технологии и продукты на VMware VMworld Europe 2019

Новые технологии и продукты на VMware VMworld US 2019

Новые технологии и продукты на VMware VMworld 2019

Новые технологии и продукты на VMware VMworld 2018

Новые технологии и продукты на VMware VMworld 2017



Copyright VM Guru 2006 - 2025, Александр Самойленко. Правила перепечатки материалов.
vExpert Badge