Виртуальные серверы – реальные риски

Виртуализация инфраструктуры ИТ позволяет сократить расходы, упростить эксплуатацию серверов и клиентских устройств, однако одновременно возникают новые угрозы для безопасности данных и сетей. Решения по обеспечению защиты таких платформ перестали быть исключительно техническими, теперь в них включаются организационные меры и предусматриваются практические мероприятия по устранению проблемных ситуаций.

Для консолидации аппаратного обеспечения ИТ применяются две ключевые технологии виртуализации: абстрагирование и распределение аппаратных ресурсов. Гостевые операционные системы и пользователи изолируются от физических систем посредством слоя виртуализации. Реально доступные ресурсы абстрактно и однородно распределяются гипервизором между всеми виртуальными машинами. К настоящему времени успешно виртуализированы уже многие области, и системы, ранее не вовлеченные в этот процесс из соображений безопасности, теперь часто оказываются следующими в очереди. Однако виртуализация порождает не только преимущества, но и риски для инфраструктуры ИТ, в случае если виртуализировать необходимо специально защищаемые системы и содержащуюся в них конфиденциальную информацию.

НОВЫЕ РИСКИ ДЛЯ БЕЗОПАСНОСТИ В РЕЗУЛЬТАТЕ ВИРТУАЛИЗАЦИИ

Концентрация нескольких виртуальных машин на одном аппаратном устройстве повышает сложность конфигурации. При интеграции в существующую сетевую среду гипервизор охватывает множество зон, что позволяет предоставлять сервисы в разных точках сети. При этом возможно перекрытие с классическими системами сетевой безопасности, частые обновления которых усугубляют ситуацию.

Таким образом, наибольшая опасность для виртуализированных инфраструктур таится в том, что слабые места в решениях для виртуализации позволяют использовать гостевую систему для выполнения вредоносного кода на гипервизоре. Если злоумышленник получит полный контроль над гипервизором, ему станут доступны все подключенные разделы сети, массовые системы хранения и виртуальные машины.

Если раньше пострадать могли только отдельные серверы и приложения, то теперь в зону риска попадает сразу множество виртуальных машин из-за их концентрации на одном аппаратном устройстве. В связи с этим для контроля виртуального сетевого трафика и строгого соблюдения директив необходимо принять дополнительные меры безопасности в отношении платформы виртуализации и работающих на ней виртуальных машин.

Безопасность начинается с организационных мероприятий. Внедрение виртуализации в ИТ привело к устранению привычного распределения обязанностей: администратор виртуальной среды превращается в ответственного за работу серверов, сетей и за обеспечение безопасности. Между тем экспертиза по данным вопросам остается в компетенции других отделов. Таким образом, безопасность платформ виртуализации начинается с установления зон ответственности и разделения обязанностей (Separation of Duties).

ПРЕДВАРИТЕЛЬНАЯ ОРГАНИЗАЦИОННАЯ РАБОТА

Привязка к централизованным каталогам обеспечивает техническую поддержку распределения полномочий, что достигается с помощью ролей, базирующихся на распределении пользователей по группам. При этом всегда необходимо действовать по принципу, согласно которому полномочия для выполнения того или иного действия ограничиваются лишь необходимым минимумом (Principle of Least Privilege).

УКРЕПЛЕНИЕ ГИПЕРВИЗОРА

Когда определены организационные рамочные условия, можно приступать к технической защите инфраструктуры (см. Рисунок 1). Поскольку гипервизор представляет собой базовую платформу для виртуализации, он нуждается в особой защите. Все производители решений для виртуализации публикуют рекомендации по обеспечению безопасности, в которых описывается, как следует укреплять соответствующие системы после установки. Этим директивам следует уделить особое внимание, так как с их помощью можно добиться предоставления только тех служб, которые действительно потребуются для виртуализации.

Еще одна возможность снижения потенциальных рисков заключается в разработке надежной сетевой концепции. Центральные функции, такие как доступ к системам хранения и средствам управления, должны применяться только в изолированных сегментах сети. Некоторые протоколы (iSCSI, VMotion и т. д.) используются без полного шифрования, и доступ к этим областям сети должен предоставляться только авторизованным администраторам.

Фильтрацию обычно выполняют брандмауэры, которые — особенно в сочетании с системой предотвращения вторжений (Intrusion Prevention System, IPS) — способны обеспечить эффективную двунаправленную защиту виртуальной и физической инфраструктуры (см. врезку «Алгоритм действий для безопасной виртуализации»).

Помимо опасностей, таящихся в непосредственном сетевом окружении виртуальной инфраструктуры, большинство атак осуществляется напрямую из виртуальных машин. Такие системы должны защищаться так же хорошо, как и физические. Используемые методы определяются индивидуальными требованиями к безопасности виртуальных машин. Сначала следует произвести классификацию рисков, а для распределения виртуальных машин по группам использовать простые критерии: операционная система, выполняемая ВМ задача и коммуникационные отношения. Для сформированных групп можно обеспечить дополнительные меры защиты, хорошо знакомые администраторам по сфере безопасности физических серверов и клиентов, — к примеру, брандмауэры и системы предотвращения вторжений, виртуальные частные сети (Virtual Private Network, VPN), шифрование и контроль сетевого доступа (Network Access Control, NAC).

До сих пор активация таких компонентов безопасности отличалась высокой трудоемкостью в связи с необходимостью осуществления дополнительной сегментации, а для обеспечения возможности анализа сетевой трафик должен был перенаправляться через физические или виртуальные системы безопасности.

ФУНКЦИИ БЕЗОПАСНОСТИ ПОСРЕДСТВОМ API

В компании VMware осознали эту проблему и внедрили в vSphere 4 интерфейс безопасности под названием VMsafe (см. Рисунок 2). Он позволяет осуществлять прямой доступ к системам хранения, процессорам, сетям, пакетным фильтрам, процессам и накопителям большой емкости. Именитые производители решений безопасности используют этот интерфейс при разработке нового поколения продуктов, рассчитанных на применение в среде виртуализации. Прямая интеграция в ядро VMware позволяет осуществлять фильтрацию данных без привязки к сети, маршрутизации или програм-мным агентам, обеспечивая максимальную производительность.

Система безопасности VMsafe включает в себя несколько модулей: центр администрирования для управления правилами, модуль ядра, загружаемый в ядро VMware, и контрольный модуль в виде виртуальной машины. Последний создает соединение с модулем ядра при помощи специализированного коммутатора VMservice Vswitch, позволяющего создавать соединения по TCP/IP. Через контрольный модуль система администрирования управляет функциями безопасности в модуле ядра. Если контроль и дальнейшее перенаправление данных осуществляются в ядре, то речь идет о реализации по технологии Fast Path, когда теоретически можно использовать полную мощность гипервизора. А если данные перенаправляются на виртуальный контрольный модуль, где осуществляется их дальнейшая проверка, значит, применяется метод Slow Path, обеспечивающий заметно меньшую производительность.

ЗАКЛЮЧЕНИЕ

Ориентация на безопасность в виртуальных средах ИТ обеспечивает соблюдение правил безопасности и выполнение требований, предъявляемых к защите сетей и данных, даже в эпоху виртуализации и облачных вычислений. Компания VMware способствует продвижению инноваций в области виртуализации, однако совсем скоро за ней последуют другие поставщики платформ виртуализации. Уже сейчас производители решений безопасности не ограничиваются только продуктами VMware, планируя в дальнейшем осуществлять интеграцию на другие платформы.

Филипп Якоби — старший консультант по развитию бизнеса и сертифицированный специалист по защите информационных систем (CISSP) компании Integralis Deutschland.