В последнее время становится все больше и больше компаний, предоставляющих сервисы аренды виртуальных машин в облачной инфраструктуре на платформе VMware vSphere. Несколько лет назад это стало возможным благодаря программе VSPP, позволяющей провайдерам услуг предоставлять пользователям из облака не только виртуальные машины по модели IaaS, но и другое программное обеспечение VMware. Между тем, защищенности таких инфраструктур и их соответствию стандартам безопасности (особенно российским), как правило, уделяется мало внимания. Согласно многочисленным исследованиям, безопаснось - это проблема номер 1 в сфере виртуализации, а значит и главная проблема публичных облаков, поскольку они хранят данные большого количества клиентов. Сегодня мы поговорим о том, что можно сделать с помощью продукта vGate R2 для защиты виртуальных сред в датацентрах провайдеров, предоставляющих виртуальные машины VMware в аренду.
Проблемы безопасности виртуальных облачных сред можно разделить на 2 категории:
Внешние - угрозы сервисам как из глобальной сети, так и со стороны клиентов облака, работающих в одной инфраструктуре с другими компаниями, а значит могущих оказать на них влияние.
Внутренние - управлением облачной инфраструктурой занимается сразу несколько администраторов, сферы ответственности у которых разделяются по различным моделям, но, при этом, один администратор платформы VMware vSphere почти всегда имеет доступ к объектам сразу нескольких организаций, а значит может завладеть их данными.
Внешие угрозы облака на платформе VMware vSphere
Как правило, организации провайдеров услуг не новички в сфере информационной безопасности и от традиционных внешних угроз защищаться умеют. Кроме того, и сама VMware предоставляет некоторые продукты и технологии, которые помогают менеджерам датацентров закрыть потенциальные бреши. К ним относятся, например, гранулированная ролевая модель доступа, профили хост-серверов (vSphere Host Profiles), сетевые экраны хост-серверов и специализированное ПО VMware vShield - комплексное решение для защиты от сетевых угроз и фреймворк для интеграции с антивирусами.
Безусловно, это все хорошо и правильно, но этого явно недостаточно и вот почему. В решении VMware vSphere и других продуктах VMware отсутствуют средства для автоматической настройки конфигураций виртуальной среды в соответствии с лучшими практиками и стандартами в сфере ИБ. Вместо этого, компания VMware предлагает достаточно полное, но не исчерпывающее, руководство по приведению инфраструкуры vSphere в состояние, отвечающее стандартам безопасности организации. Называется оно "VMware vSphere Security Hardning" и содержит описание многих типов потенциальных уязвимостей.
При этом выходит это руководство всегда с большим опозданием - платфома VMware vSphere 5 вышла еще в июле 2011 года, а по состоянию на май 2012-го Security Hardening для нее находится еще на стандии раннего черновика в виде экселевских табличек.
Если мы заглянем в этом руководство, то увидим весьма обширный список конфигураций, которые нужно изменять вручную для достижения необходимого облачной инфраструктуре уровня безопасности, которой сервис-провайдер будет хвастаться своим клиентам. Между прочим, там достаточно много способов атак типа "отказ в обслуживании" (DoS), которые может реализовать один из клиентов датацентра. В среде виртуализации отказ в обслуживании - одна из самых реальных угроз, поскольку виртуальные машины консолидированы как на хост-серверах, так и на хранилищах, поэтому, как правило, вычислительные ресурсы облака и так сильно нагружены в обычном режиме (для максимального снижения себестоимости машины), а в экстремальном режиме облако может просто оказаться простаивающим. А за простои, как известно, в облачной инфраструктуре надо платить, поскольку есть соглашения об уровне обслуживания (SLA), где превышение опреленного процента времени простоя влечет за собой возврат денег клиентам.
Теперь вернемся к настройке безопасности VMware vSphere вручную. Допустим вы даже нашли не только Security Hardening, но и другие руководящие стандарты, и решили провести настройку безопасности своими силами (функции vSphere Host Profiles не заточены под безопасность). Посчитайте в деньгах сколько труда администраторов на это уйдет. А потом добавьте еще постоянные издержки на ежедневное поддержание такой конфигурации при вводе в эксплуатацию новых объектов инфраструктуры (хосты, виртуальные машины). А потом еще придумайте способ доказать клиенту, что вы все защитили и делаете это постоянно. Прибавьте к этому еще и риски человеческой ошибки - когда в облачном датацентре десятки (а иногда сотни) хост-серверов, вероятность ошибки в настройке конфигурации хоста или виртуальных машин многократно возрастает, что может стать хорошей мишенью для злоумышленника, разбирающихся в тонкостях безопасности vSphere. Получается весьма неутешительная картина.
Вот тут и возникает необходимость в средстве защиты vGate R2 от Кода Безопасности. Политики безопасности, реализованные в vGate R2, контролируют критичные для безопасности виртуальной среды настройки хост-серверов ESX / ESXi и виртуальных машин. Алгоритм применения политик выглядит так:
На базе одного или нескольких имеющихся шаблонов (по западным и российским стандартам) формируются наборы политик, необходимые для вашей организации.
Набор политик назначается для категории или уровня конфиденциальности объекта виртуальной среды.
Объекту (хост ESX\ESXi, виртуальная машина, сетевой адаптер, виртуальная сеть или хранилище) назначается метка безопасности и производится автоматическая настройка в соответствии с политикой для этой метки.
Если необходимо запускается формирование итогового отчета о соответствии инфраструктуры политикам безопасности.
На предмет соответствия самим политикам (то есть, настройкам безопасности) инфраструктуру виртуализации можно просканировать абсолютно бесплатно с помощью бесплатного средства vGate Compliance Checker с поддержкой vSphere 5. Ну а далее, с помощью vGate R2, эти политики можно уже централизованно контролировать.
То есть, смысл политик в vGate R2 - освободить администратора vSphere от рутинных операций за счет автоматизации настройки безопасности для хостов и виртуальных машин. Выгода здесь двойная: во-первых, вы защищаете виртуальную среду, имея сертифицированное ФСТЭК специализированное средство безопасности (как само работающее ПО, так и сертификат, вы можете показать клиентам своего ЦОД), а, во-вторых, существенно экономите на этом по сравнению с ручной настройкой. Это мы уже разбирали в отдельной статье, где показан экономический эффект от использования vGate:
Ну и следующий важный момент - vGate R2 уже поддерживает VMware vSphere 5, сам продукт достаточно часто обновляется, обновляются политики, и вы, в отличие от ситуации не всегда вовремя появляющихся документов по защите виртуальной среды, будете иметь инфраструктуру VMware up-to-date в плане информационной безопасности. Отметим также, что сертификат vGate позволяет вам работать с персональными данными (ПДн) любой категории, включая К1, что делает ваш ЦОД еще более привлекательным для клиентов.
Как дополнительный бонус отметим то, что продукт vGate R2 полностью на русском языке и создан с учетом российских стандартов в области ИБ, поэтому проблем с его использованием и доказательством эффекта клиентам не возникнет.
Лицензирование vGate R2 для облачных сред
В vGate R2 уже есть поддержка альтернативного метода лицензирования на базе платы за виртуальную машину за месяц (по модели SaaS). То есть уже сейчас, если вы являетесь сервис-провайдером, предлагающим виртуальные машины в аренду по программе VSPP, вы можете обратиться в компанию Код Безопасностис с вопросом о том, как по модели SaaS платить за сервисы обеспечения безопасности вашего ЦОД.
Внутренние угрозы облака на платформе VMware vSphere
Если подумать, то главной опасностью являются вовсе не внешние угрозы, как мы уже отметили выше, а угрозы внутренние - ведь администратор VMware vSphere в датацентре провайдера часто имеет доступ к виртуальным машинам различных организаций, а значит и ко всем файлам пользователей, в которых могут содержаться конфиденциальные данные (можно просто примонтировать vmdk-диск и скопировать их, если они не зашифрованы).
Поэтому в следующей части статьи мы рассмотрим механизмы того, как vGate R2 позволяет избавиться от инсайдерских угроз, исходящих от самих администраторов VMware vSphere в вашем облачном датацентре.
RSS
