Некоторые поставщики уже сегодня предлагают почасовою тарификацию для IaaS (инфраструктура как услуга), что обеспечивает недостижимую ранее гибкость при реализации ИТ-проектов. Это стало возможным благодаря виртуализации ЦОД, однако перенос физических серверов в разряд виртуальных – задача не такая простая, и одна из основных проблем на этом пути связана с обеспечением безопасности. Традиционные технологии, построенные на парадигме защиты периметра (сегментирование сети, обнаружение и предотвращение вторжений, шлюзовые антивирусы и т.д.) при крупномасштабной виртуализации не эффективны, что отчасти сдерживает процесс повсеместного «устремления в облака».
Традиционный центр обработки данных представляет собой некоторое число серверов, размещенных на одной площадке, а защита ЦОД подразумевает сетевую и физическую защиту, а также надежное электропитание. Сетевая защита, кроме собственно функций защиты средствами межсетевых экранов, предусматривает сегментирование внутренней сети ЦОД на подсети с разным уровнем доверия: серверы, доступные из Интернета, серверы, доступные только из внутренней сети компании, и т.д. Разумеется, на каждом сервере в ЦОД применяются те или иные средства защиты (криптография, контроль доступа, и т.п.), но этот бастион не находится в ведении администраторов самого ЦОД.
Переход от физических серверов к виртуальным влечет за собой изменение данной архитектуры, что кардинально сужает спектр возможностей традиционных средств безопасности.
Во-первых, теряется возможность гранулированно сегментировать сеть межсетевым экраном. Основная часть сетевого трафика циркулирует внутри среды виртуализации – между виртуальными машинами, что существенно снижает эффективность любых аппаратных средств сетевой защиты.
Во-вторых, увеличивается атакуемая поверхность из-за увеличения количества виртуальных серверов, которые теперь можно создавать чрезвычайно просто.
В-третьих, существенно усложняется процесс обновления средств безопасности (распространения заплат). Кроме активных (работающих) серверов, всегда имеется определенная доля выключенных виртуальных машин, которые, являясь, по сути, файлами, хранятся на гипервизоре, в системах резервного копирования, и могут быть в любой момент введены в эксплуатацию, но без обновленных средств безопасности.
В-четвертых, возникает экзотический на сегодняшний день пласт угроз, специфических именно для виртуальных сред, – например, взлом виртуальной среды на уровне гипервизора («побег из виртуальной машины»). У вредоносного кода, работающего на уровне гипервизора, появляются колоссальные возможности по контролю за работой множества машин, а следовательно, и всего ЦОД. Кроме полной изоляции от окружения, система виртуализации обычно предлагает канал взаимодействия между собственно виртуальными машинами и гипервизором, например, для работы буфера обмена данными. Если в подобном механизме будет уязвимость, то ничто не помешает злоумышленникам запустить из машины вредоносный код во внешней среде — на уровне гипервизора. Для превентивной защиты от подобной угрозы необходимо в системе виртуализации отключить механизм взаимодействия с виртуальными машинами.
Единственный пока способ устранения данных узких мест состоит в том, чтобы разместить все средства безопасности внутри каждой машины и централизованно управлять защитой, это обеспечит относительно безболезненный переход к виртуализованному ЦОД.
Разумеется, влияние виртуализации на информационную безопасность нельзя охарактеризовать лишь как негативное – имеются примеры, показывающие, что виртуализация позволяет реализовать технологии защиты, недоступные для традиционных систем. Так, антивирус Trend Micro Core Protection for Virtual Machines, специально разработанный для виртуальных сред, не только учитывает специфику среды виртуализации и не запускает сканирование всех систем одновременно, как это делает традиционный антивирус, но и реализует ряд дополнительных функций. С его помощью, например, можно очистить от вирусов выключенную виртуальную машину. Кроме того, если на ней установлен антивирус, то Core Protection принудительно обновляет его антивирусные базы, тем самым обеспечивая актуальность защиты до запуска виртуальной машины.
Тернии на пути к облакам
Обеспечение защиты виртуальных сред является необходимым, но еще не достаточным условием безболезненного переноса виртуализированных серверов на площадку поставщика услуг IaaS. Увы, но облака еще больше расширяют спектр уязвимостей.
Во-первых, полностью теряется возможность на пограничном межсетевом экране сегментировать корпоративную сеть, часть которой теперь находится в облаке. Выход один – разместить на каждой машине программный межсетевой экран, политики которого позволят уменьшить атакуемую поверхность системы.
Во-вторых, нельзя реализовать какие-либо средства защиты на уровне гипервизора, подобные применяемым в Core Protection, – у заказчика IaaS-услуг нет к нему доступа.
В-третьих, осложняется контроль доступа системных администраторов к серверам и приложениям. Одна из ключевых характеристик облачных вычислений – «самообслуживание», а в традиционных ЦОД доступ инженеров к серверам контролируется чаще всего лишь на физическом уровне. Критически важными становятся строгий мониторинг всех действий администраторов и контроль за прозрачностью изменений на системном уровне.
В-четвертых, на облачных серверах необходимо строго следить за целостностью системы, ведь взлом может никак не проявиться на уровне корпоративных систем предотвращения и обнаружения вторжений. А в облачной среде злонамеренные модификации системы возможны не только вследствие действий хакеров, недобросовестных администраторов и традиционного вредоносного кода, но и со стороны вредоносного кода, действующего на уровне гипервизора. Согласно отчету 2009 Data Breach Investigations Report, опубликованному Verizon Business Risk Team, 64% утечек данных является результатом работы хакеров, поэтому следует ожидать, что специализированные ресурсы будут более защищенными, чем ресурсы разделяемые, и, соответственно, атакуемая поверхность полностью или частично разделяемой облачной среды будет находиться под большей угрозой. Предприятия должны обладать возможностью проверить лично и доказать внешним аудиторам, что ресурсам не нанесен вред и системы не скомпрометированы.
В-пятых, изменяется процесс установки обновлений. Услуги облачных вычислений в ряде случаев предполагают самообслуживание, что может породить путаницу в управлении обновлениями. Как только компания подписалась на облачный сервис, например создание Web-сервера из шаблонов, установка обновлений на платформу и Web-сервер уже не находится в ведении провайдера и за обновление отвечает клиент.
Согласно уже упомянутому отчету 2009 Data Breach Investigations Report, для подавляющего большинства уязвимостей, использовавшихся злоумышленниками, обновления были выпущены в среднем за полгода до инцидента. Если оперативная установка обновлений по каким-то причинам невозможна, то необходимо использовать «виртуальные заплаты», предполагающие блокировку нацеленных на уязвимости атак непосредственно на сетевом уровне.
Практика подготовки к облакам
Сегодня многие организации предпринимают меры по подготовке ЦОД к виртуализации, а затем и к перемещению их облака. Практическую помощь в этом может оказать пакет Trend Micro Deep Security, позволяющий в ряде случаев относительно безболезненно перейти от физических к облачным средам. Пакет предоставляет следующие возможности.
Межсетевой экран позволяет уменьшить атакуемую «поверхность» виртуализованных серверов и содержит шаблоны для типовых корпоративных серверов, которые обеспечивают следующие возможности: изоляцию виртуальной машины внутри определенного сетевого сегмента; фильтрацию трафика; анализ протоколов семейства IP (TCP, UDP, ICMP и др.); предотвращение атак класса «отказ в обслуживании»; внедрение политики безопасности; рекогносцировочное сканирование сетевого окружения на серверах облачных вычислений; учет местоположения при применении политики безопасности, который обеспечивает бесшовный перенос сервера из внутренней сети на облачные ресурсы, позволяя автоматически переключаться на оптимальные параметры для каждой среды.
IDS/IPS – экранирование уязвимостей ОС и приложений до момента установки «заплат». Внедрение системы предотвращения и обнаружения вторжений (intrusion detection/prevention systems) в виде программного агента на виртуальных машинах позволяет обеспечить защиту от любых атак на известные уязвимости без установки заплат, а также блокировать атаки типа XSS и SQL Injection. Атака типа XSS (межсайтовый скриптинг) опасна для форумов, сайтов социальных сетей и вообще любых сайтов, где пользователям дается хоть какая-то возможность самим создавать наполнение. Суть атаки в том, что пользователь размещает не данные, а вредоносный код JavaScript, который выполняется в браузере каждого посетителя сайта. Еще большую опасность представляет атака SQL Injection, которая может быть реализована злоумышленником в том случае, если на сайте неаккуратно проверяются передаваемые пользователем данные, что позволяет модифицировать SQL-запросы к базе данных. При успешной реализации такой атаки хакер может, например, получить список всех ранее зарегистрировавшихся пользователей.
Контроль целостности ОС и приложений позволяет выявить опасные изменения, возникающие вследствие компрометации системы вредоносным кодом. Данная подсистема выполняет: проверку по запросу или расписанию; контроль свойств файлов, включая атрибуты; контроль на уровне каталогов; гранулированную настройку объектов контроля; составление отчетов для аудита.
Анализ журналов заключается в сборе и просмотре журналов работы ОС и приложений, что позволяет выявить значимые события в огромном массиве записей: подозрительное поведение пользователей; мониторинг действий администратора по безопасности; сквозной сбор событий со всех физических, виртуальных и облачных серверов.
Специализированная защита от вредоносных программ учитывает особенности виртуализации благодаря специальным программным интерфейсам гипервизора, в частности VMsafe компании VMware. При этом производится как сканирование в реальном времени, обеспечиваемое антивирусным агентом внутри каждой виртуальной машины, так и сканирование виртуальных машин целиком на уровне гипервизора, что гарантирует «чистоту» даже неактивной виртуальной машины. Такой подход позволяет защищаться от вредоносных программ, деинсталлирующих антивирус или блокирующих его работу.
***
Корпоративные заказчики облачных услуг должны учитывать угрозы, которые порождает передача их корпоративной инфраструктуры в облака, – с переносом виртуальных машин на уровень публичных облачных сервисов защитный периметр сети размывается, и общая степень безопасности начинает определяться уровнем защиты наименее слабого узла. Ситуацию усугубляет отсутствие на сегодняшний день стандартов и нормативных актов, регулирующих надежность предоставления облачных услуг.
Михаил Кондрашин (mkondrashin@apl.ru) –руководитель центра компетенции и дистрибуции ЗАО «АПЛ» (Москва).
