Мы уже много писали о продукте vGate R2 - средстве номер 1 для защиты виртуальной инфраструктуры VMware vSphere, которое полностью поддерживает пятую версию этой платформы, имеет сертификаты ФСТЭК и предназначено для безопасной настройки хост-серверов и ВМ средствами политик, а также защиты от НСД. В прошлых статьях мы рассказывали о защите облачных инфраструктур сервис-провайдеров от внутренних и внешних угроз. Сегодня мы постараемся обобщить угрозы, существующие в виртуальной среде, и предложить средства защиты на базе продукта vGate R2 и других решений от компании Код Безопасности.
Угроза 1 - Использование виртуальной машины для атаки на сервер виртуализации ESXi, сервер управления vCenter или другую виртуальную машину.
В большой виртуальной инфраструктуре присутствуют десятки, сотни, а иногда и тысячи виртуальных машин. При этом, зачастую, организации не всегда выполняют рекомендации вендоров по обновлению операционных систем, а также часто не разделяют производственное и тестовые окружения на уровне хостов и кластеров. Вследствие этого, появляются так называемые "Unmanaged VMs" - виртуальные машины, которые давно не обновлялись, с неизвестным уровнем безопасности. Используя такю машину, злоумышленник может попытаться получить доступ к управляющим компонентам виртуальной инфраструктуры, а также использовать уязвимости в платформе виртуализации. Кроме того, виртуальные машины предоставляют большую гибкость, чем физический сервер в плане заметания следов - ее можно обратно откатить к снапшоту, использовать неперсистентные диски и т.п. Особенно это актуально, когда злоумышленник находится внутри организации (например, администратор системы с правами VM Administrator).
Чем vGate R2 может нам помочь защититься от такой угрозы:
Прежде всего - это безопасная настройка хост-серверов виртуализации согласно лучшим практикам, рекомендациям и стантартам с помощью встроенного механизма политик безопасности. Об этом мы детально писали тут и тут. Изучив огромный список политик безопасности vGate R2, можно выбрать наиболее актуальные для вашей организации и создать на их базе шаблон, который применяется автоматически к определенным хостам. При этом для некоторых политик определяются настройки (например, пароль загрузчика GRUB).
Примеры политик, которые могут быть актуальными для вашей виртуальной среды:
Правила для межсетевого экрана (ESXi Firewall)
Запрет удаленных операций в гостевой системе
Запрет контроля устройств ESX/ESXi-сервера со стороны виртуальных машин
Очистка памяти виртуальных машин и т. п.
Во-вторых, поможет контроль целостности файлов виртуальных машин и их доверенная загрузка. Об этом мы детально писали тут. Для обеспечения контроля целостности программной среды и доверенной загрузки гостевых ОС виртуальных машин в vGate R2 на каждый хост-сервер ESX / ESXi устанавливаются компоненты, выполняющие следующие функции:
Контроль целостности настроек ВМ перед ее загрузкой.
Контроль целостности образа BIOS виртуальной машины.
Доверенная загрузка ОС — осуществляется путем контроля целостности загрузочного сектора виртуального диска.
Если у вас в виртуальной инфраструктуре vSphere обрабатываются персональные данные (а особенно это применимо к классам К1 и К2), то вы просто обязаны настроить контроль целостности компонентов виртуальной среды и средства защиты конфиденциальной информации (СЗКИ), чтобы пройти сертификацию в соответствующем органе. vGate R2 существенно упрощает эту процедуру.
После того, как, например, администратор VMware vSphere что-нибудь поменяет в файлах виртуальной машины (например, расширит vmdk-диск), в консоли vGate R2 администратор ИБ увидит, что контрольная сумма для ВМ изменилась. Для таких событий можно настроить оповещения и процедуру согласования со стороны администратора ИБ:
При нарушении целостности ВМ на экран выводится сообщение, блокируется запуск ВМ, а в журнал событий безопасности вносится соответствующая запись.
Для самих виртуальных машин есть также некоторый набор политик безопасности (например, "запрет доступа к консоли виртуальной машины"), чтобы обезопасить ее от подобных угроз.
Угроза 2 - Атака на сервер виртуализации VMware ESXi или сервер vCenter из физической сети.
Атака на хост-сервер VMware ESXi может быть проведена злоумышленником из внутренней или внешней сети с использованием либо известных уязвимостей в платформе виртуализации VMware vSphere (они публикуются на портале VMware Security Advisories), либо за счет использования ошибок в конфигурации хост-серверов. В первом случае поможет своевременное обновление программного обеспечения, а во втором - грамотная настройка конфигурации средствами политик vGate R2. Некоторые пользователи VMware для этих целей используют механизм vSphere Host Profiles, однако он позволяет управлять не всеми аспектами конфигураций хостов с точки зрения безопасности. Например, ограничение запуска программного обеспечения в гипервизоре и правила доступа к внутренним файлам ESXi (права, удаление и прочее) можно настроить только в vGate R2.
Можно взять один из руководящих документов по настройке безопасности, например, VMware vSphere Security Hardening и настроить безопасность хостов самостоятельно, однако это потребует больших трудозатрат, а значит обойдется довольно дорого. В статье "Экономическая эффективность и обоснование покупки vGate for VMware" мы уже показывали, что дешевле купить vGate R2, чем тратить сотни человекочасов на настройку инфраструктуры и поддержание безопасной конфигурации.
С точки зрения защиты сервера vCenter, продукт vGate R2 имеет специальный компонент - межсетевой экран vGate Personal Firewall:
Угроза 3 - Использование серверов, хранилищ и сетей для компрометации виртуальной инфраструктуры.
Безусловно, защита инфраструктуры виртуализации - это дело комплексное, и одними политиками тут не обойдешься. Злоумышленник, получивший доступ к гипервизору - потенциально получает доступ к данным всех виртуальных машин организации (в силу использования общих хранилищ и технологий vMotion/DRS/SDRS). Если он получит доступ хотя бы к одному из томов VMFS - он тоже получит массу интересной информации, так как на нем обычно лежат несколько десятков виртуальных машин разного уровня конфиденциальности. Ну а опасность сетевых вторжений знакома всем из физического мира.
Особенно это все акутально, когда возможная угроза исходит от собственных админстраторов виртуальной среды (см., например, как украсть виртуальную машину). Поэтому наиболее логичный подход - это разделение виртуальной инфраструктуры на домены безопасности по иерархическому или плоскому принципу. В первом случае хосты, виртуальные машины, хранилища и сети разделяются на уровни конфиденциальности (Несекретно->ДСП->Секретно->Совсекретно), а во втором можно разделять на домены в рамках отделов, независимых друг от друга (ресурсы бухгалтерии, отдела продаж и прочее).
Если вы используете иерархический подход, инфраструктура может выглядеть подобным образом:
В этом случае механизм меток для хостов, виртуальных машин, хранилищ и сетей позволит реализовать базовый принцип разделения информации: секретная ВМ никогда не окажется на ДСП-хосте или в неконфиденциальной сети, а хранилище с меткой "Секретно" никогда не будет содержать машину категории "ДСП". Таким образом, защищая ресурсы виртуальной среды в рамках домена безопасности, в соответствии с определенными для них правилами, можно защититься от ситуаций, когда злоумышленник получает виртуальные машины с наименее защищенного хоста, хранилища или сети, хранящие в себе различные категории информации.
Также отметим, что у компании Код Безопасности есть продукт vGate-S R2, предназначенный для защиты организаций, работающих с гостайной.
Дополнительно для обеспечения защиты сетевого доступа к виртуальным машинам и контроля трафика между виртуальными машинами на одном сервере виртуализации рекомендуется применять распределенный межсетевой экран высокого класса защиты TrustAccess, также от компании Код Безопасности.
Применение TrustAccess для сегментирования ИСПДн позволяет отнести отдельные сегменты к более низкому классу и добиться снижения затрат на защиту информации. У TrustAccess также есть все необходимые сертификаты ФСТЭК.
Угроза 4 - Бесконтрольный рост виртуальных машин (VM Sprawl) и сложность мониторинга событий ИБ
Процесс развития виртуальной инфраструктуры сильно отличается от такового для физических серверов. Виртуальные машины создаются и удаляются каждый день, они перемещаются между хост-серверами и хранилищами, а значит генерируют очень большой поток событий, который сложно отследить штатными средствами для аудита в платформе виртуализации:
Вручную разгребать и анализировать всю эту пачку событий весьма трудозатратно, поэтому vGate R2 дает вам возможность сделать это удобно из центральной консоли в едином Журнале событий. Но vGate R2 - это не обработчик логов на хостах VMware ESX / ESXi. За счет собственных агентов на хост-серверах он сам регистрирует все события, относящие к информационной безопасности инфраструктуры виртуализации. Это именно те события, аудит которых позволяет своевременно обнаружить и пресечь попытки несанкционированного доступа.
Подробнее о мониторинге событий в vGate R2 мы уже писали тут.
Кроме того в решении есть сервер отчетов ИБ, который позволит составить срез по текущему состоянию виртуальной инфраструктуры VMware vSphere в контексте безопасности и взглянуть на нее "at a glance":
Угроза 5 - Физический доступ к компонентам инфраструктуры виртуализации
С точки зрения физической безопасности хост-серверов продукт vGate R2, конечно же, ничего не может сделать, так как это чисто программное решение для защиты программного обеспечения серверов виртуализации и виртуальных машин. Но у компании Код Безопасности есть решение на этот случай - электронный замок ПАК «Соболь» версии 3.0 для реализации следующих защитных механизмов:
идентификация и аутентификация пользователей на входе в систему (непосредственно при запуске сервера);
ведение журнала безопасности;
сигнализация попыток нарушения защиты;
запрет загрузки с внешних носителей;
контроль конфигурации (PCI-устройств, ACPI, SMBIOS и оперативной памяти).
Перечисленный комплекс возможностей не позволит злоумышленнику (в случае если он получил физический доступ к серверу виртуализации) реализовать одну из наиболее распространенных угроз – перезагрузку сервера и загрузку с внешнего носителя для получения доступа ко всей информации, хранящейся на сервере.
Так как, во-первых, злоумышленник столкнется с необходимостью идентификации/аутентификации до старта операционной системы, при этом реализованный механизм защиты от подбора паролей после трех неудачных попыток заблокирует сервер. Во-вторых, если злоумышленник, имея в распоряжении идентификационные данные, пройдет «первый барьер защиты», то на «втором» его будет ждать блокировка всех внешних устройств (CD-ROM, USB, eSata и т.д.), что исключает возможность загрузки нештатной ОС с любых внешних носителей.
Таким образом, применение обоих средств защиты информации – ПАК «Соболь» версии 3.0 и vGate R2 – в комплексе позволяет защитить сервер с установленной платформой для виртуализации VMware vSphere 5 и нейтрализовать угрозы непосредственного доступа (угрозы, реализуемые до загрузки ОС, и угрозы, реализуемые после загрузки ОС).
Угроза 6 - Утечка персональных данных
Про защиту персональных данных средствами vGate R2 мы уже много писали, поэтому приведем лишь ссылки на статьи, где вы сможете почитать о том, почему для защиты ПДн нужен именно этот продукт:
Основная мысль здесь в том, что нужно не только технически защитить персональные данные пользователей, но и сделать это средствами сертифицированных решений. В этом плане продукт vGate R2 обладает всеми необходимыми сертификатами ФСТЭК (включая сертификаты на vSphere 5.0), что позволит пройти проверку со стороны контролирующих органов.
Подводя итог, скажем, что решение vGate R2 позволяет защититься от большинства специфических видов угроз, присущих виртуальной среде. Очевидно, что одного этого решения для создания безопасной инфраструктуры недостаточно, так как есть еще физические компоненты: хранилища, серверы и сети, которые также нуждаются в защите традиционными средствами. Такие средства есть у компании Код Безопасности - это TrustAccess, ПАК "Соболь", упомянутые в этой статье, а также продукт SecretNet для защиты отдельных виртуальных машин от НСД.
Напомним, что версия vGate R2 с поддержкой vSphere 5 уже поступила в продажу, а бесплатную пробную версию продукта можно скачать тут.
RSS
