В первой части статьи о продукте vGate R2, предназначенном для защиты виртуальной инфраструктуры VMware vSphere, мы рассмотрели механизмы того, как с помощью него можно защитить инфраструктуру сервис-провайдера от внешних уроз в сфере информационной безопасности. В этой части статьи мы рассмотрим не менее важный аспект защиты инфраструктуры виртуализации - защиту от внутренних (инсайдерских) угроз в датацентрах средствами сертифицированного ФСТЭК решения vGate R2.
Напомним основные возможности vGate R2:
Усиленная аутентификация администраторов виртуальной инфраструктуры и администраторов информационной безопасности.
Защита средств управления виртуальной инфраструктурой от НСД.
Защита ESX-серверов от НСД.
Мандатное управление доступом.
Контроль целостности конфигурации виртуальных машин и доверенная загрузка.
Контроль доступа администраторов ВИ к данным виртуальных машин.
Регистрация событий, связанных с информационной безопасностью.
Контроль целостности и доверенная загрузка ESX-серверов.
Контроль целостности и защита от НСД компонентов СЗИ.
Централизованное управление и мониторинг.
Начнем с того, что внутренние угрозы потенциально являются очень опасным моментом: например, в исследовании компании Код Безопасности они оказались на втором месте среди всех существующих угроз в сфере ИБ после вирусов и другого вредоносного ПО:
Вот другое похожее по результатам исследование:
Если добавить сюда риски потери и кражи персональных данных по причине инсайдерского несанкционированного доступа, то получается, что внутренние угрозы составляют чуть менее половины от всех опасений крупных и средних предприятий. В виртуальной инфраструктуре VMware vSphere эти риски еще выше - один хост-сервер виртуализации имеет доступ к множеству хранилищ (в целях обеспечения такой функциональности как vMotion/Storage vMotion/HA/DRS), а значит и ко всем виртуальным машинам на них, некоторые из которых содержат чувствительные данные. При этом средства шифрования данных внутри гостевых ОС применяются редко, а администратор может просто скачать виртуальную машину к себе на внешний носитель.
Кроме того, зачастую, в виртуальной среде полномочия администратора VMware vSphere практически не ограничены. Как правило, персоналу компании сервис-провайдера для удобства выделяются права administrator, а их действия не контролируются или контролируются частично. Приведем живой пример такой оплошности:
Да, многие используют удаленный сбор логов на сервер Syslog и встроенную ролевую модель vCenter, но обнаружение инцидентов ИБ, произошедших по вине администратора, является делом непростым:
Также у администратора vSphere есть на руках все инструменты, чтобы скрыть следы собственной сомнительной активности. Вот тут мы и выделим важнейшую функцию vGate R2 - разделение полномочий администраторов VMware. В концепции vGate R2 предлагается превратить администраторов vSphere в "пользователей" с точки зрения информационной безопасности инфраструктуры (АВИ - администратор виртуальной инфраструктуры), а функции администрирования ИБ отдать отдельному человеку, который будет отвечать за безопасность виртуальной среды (АИБ - администратор информационной безопасности). АИБ контролирует список АВИ, настраивает правила доступа к виртуальным ресурсам и отвечает за утверждение изменений, которые вносят АВИ в виртуальные машины, сети и т.п.
Более подробно о том, что делает АВИ в процессе функционирования защищенной среды vGate R2, можно узнать из нашей статьи "Администрирование vGate R2: роль администратора ИБ". Вкратце все выглядит следующим образом. Есть 5 видов ресурсов с точки зрения управления доступом пользователей к объектам или объектов друг к другу:
защищаемый ESX-сервер;
хранилище ВМ;
виртуальная машина;
физический сетевой адаптер;
виртуальная сеть (Virtual Network)
Учетной записи АВИ администратором ИБ назначается определенная метка конфиденциальности (т.е., по-сути, это его уровень допуска к информации в виртуальной инфраструктуре). А при выполнении ряда стандартных операций с объектами виртуальной инфраструктуры осуществляется сравнение меток конфиденциальности перечисленных ресурсов и учетных записей администраторов. В итоге виртуальная инфраструктура разделяется на домены безопасности (как иерархические, так и плоские), в рамках которых осуществляет свою деятельность АВИ:
Такая модель доступа к ресурсам виртуальной среды в инфраструктуре сервис-провайдера позволит организационно и технически ввести разделение полномочий администраторов по зонам ответственности на всех уровнях виртуальных ресурсов, а значит, защитить клиентов датацентра от внутренних угроз. АВИ не получит доступа к ресурсам чужого домена безопасности. Тут важно еще отметить то, что контролем ИБ будет заниматься человек, не занимающийся администрированием vSphere, что будет оптимальным решением, чтобы не смешивать разные по своей сути функции. АВИ при этом действует по отношению к инфраструктуре vGate R2 как пользователь.
Далее, в процессе функционирования инфраструктуры VMware vSphere, АВИ далает запрос на изменение виртуальных ресурсов, а АИБ дает или не дает "добро" на данные действия. Это позволит защититься от злонамеренных действий администраторов, которые могут использовать временные виртуальные машины или Redo-диски для сокрытия своих вредоносных действий.
Еще один удобный момент vGate R2 для защиты от внутренних угроз - это обеспечение контроля целостности программной среды и доверенной загрузки гостевых ОС виртуальных машин в vGate R2 на случай их несанкционированных изменений администратором vSphere. В решении доступны следующие виды контроля:
Контроль целостности настроек ВМ перед ее загрузкой.
Контроль целостности образа BIOS виртуальной машины.
Доверенная загрузка ОС — осуществляется путем контроля целостности загрузочного сектора виртуального диска.
Если у вас в виртуальной инфраструктуре vSphere обрабатываются персональные данные (а особенно это применимо к классам К1 и К2), то вы просто обязаны настроить контроль целостности компонентов виртуальной среды и средства защиты конфиденциальной информации (СЗКИ), чтобы пройти сертификацию в соответствующем органе. vGate R2 полностью автоматизирует эту процедуру.
При защите датацентра, построенного на базе VMware vSphere, возникает еще одна необходимость - в любой момент иметь отчет о выполненных за определенный промежуток времени действиях администраторов виртуальной среды, которых у сервис-провайдера, как правило, несколько человек. Для этого в vGate R2 есть специальный сервер отчетов, который обладает очень мощной функциональностью.
Вот какие виды репортов можно генерировать в vGate R2, отражающих состояние безопасности инфраструктуры vSphere:
Вход в систему в нерабочее время
Доступ к файлам ВМ
Изменение конфигурации политик безопасности
Изменение правил мандатного доступа
Изменение сетевых правил доступа
Использование учетных записей VMware
Мониторинг учетных записей vGate
Наиболее активные пользователи
Наиболее используемые виды доступа к защищаемым объектам
Наиболее частые события ИБ
Настройка правил сетевой безопасности
Настройка доступа к защищаемым объектам
Попытки несанкционированного изменения настроек безопасности
Применение политик безопасности
Проблемы с доверенной загрузкой ВМ
Проблемы со входом в vSphere
Проблемы со входом в систему
Проблемы со сменой пароля
Соответствие стандартам безопасности (кратко)
Соответствие стандартам безопасности (подробно)
Как мы видим, в vGate R2 есть шаблоны отчетов на все случаи жизни. И некоторые из них показывают события, на которые будет очень интересно взглянуть сотруднику службы информационной безопасности датацентра сервис-провайдера.
Виды отчетов сгруппированы в удобные категории (кликабельно):
Интересно взглянуть на статистику наиболее частых событий ИБ:
Функции аудита в vGate R2 также помогут расследовать инциденты ИБ, произошедшие в по вине администраторов датацентра, за счет регистрации всех событий, так или иначе относящихся к безопасности:
Таким образом, подводя итог, приведем основные средства, которыми обладает vGate R2 для защиты датацентра сервис-провайдера от внутренних угроз, исходящих со стороны собственных администраторов:
Организационное и техническое разделение полномочий администраторов vSphere
Выделение отдельной роли администратора ИБ, который будет управлять безопасностью ресурсов датацентра на базе vSphere
Разделение облака на зоны безопасности, в рамках которых действуют администраторы с соответствующим уровнем полномочий
Контроль целостности виртуальных машин
Возможность в любой момент получить отчет о защищенности инфраструктуры vSphere, а также провести аудит событий ИБ
В принципе, это практически все что нужно, чтобы защитить инфраструктуру виртуального датацентра от внутренних угроз с точки зрения именно виртуальной инфраструктуры. Безусловно, вам также потребуется защита на уровне оборудования, приложений и гостевых ОС, но это уже другая проблема, которая также решаема средствами продуктов компании Код Безопасности.
В заключение, приведем основные документы которые рекомендуется прочитать менеджерам компаний-провайдеров услуг на базе VMware vSphere:
В vGate R2 уже есть поддержка альтернативного метода лицензирования на базе платы за виртуальную машину за месяц (по модели SaaS). То есть уже сейчас, если вы являетесь сервис-провайдером, предлагающим виртуальные машины в аренду по программе VSPP, вы можете обратиться в компанию Код Безопасностис с вопросом о том, как по модели SaaS платить за сервисы обеспечения безопасности вашего ЦОД.
RSS
