Опытные взломщики хорошо знают, что, получив доступ к учетной записи системного администратора, они завладевают всей сетью. Как же защитить свое предприятие, сохранив при этом контроль за системой?

Операционная система Qubes OS с повышенным уровнем безопасности может обеспечить хороший эффект при построении глубоко эшелонированной обороны. Два ключевых слова при построении сети и проектировании ОС — «бреши» и «разделение». На протяжении последних восьми лет разработчики Qubes OS без лишней шумихи занимаются внедрением инноваций, призванных гарантировать безопасность.

Операционная система, предложенная исследователем Йоанной Рутковской, построена на базе гипервизора (в настоящее время это Xen) и позволяет разделять работу между несколькими виртуальными машинами с соответствующими доменами безопасности. Такой способ открывает возможность на одной машине изолировать друг от друга задачи с высоким и низким уровнем безопасности. В настоящее время Qubes поддерживает виртуальные машины Linux и Windows.

«Особо ценна Qubes для тех отраслей, где важные данные должны быть разделены в целях безопасности, например для финансовой отрасли и здравоохранения, — указал Эндрю Дэвид Вонг, директор по коммуникациям компании Invisible Things Lab, занимающейся разработкой Qubes. — Эта система хорошо подходит работникам умственного труда, которым в процессе создания ценной интеллектуальной собственности требуется доступ к ненадежным ресурсам».

Изоляция используется в Qubes для разделения сети на независимые виртуальные машины. Драйверы USB запускаются на отдельной виртуальной машине, чтобы снизить риски заражения вредоносными программами через интерфейс USB. Бессетевые «сейфы» виртуальных машин идеально подходят для хранения кодовых ключей и подписей, диспетчера паролей, кошельков криптовалют и других конфиденциальных данных. Одноразовые виртуальные машины снижают вероятность просмотра зараженных сайтов.

Версия Qubes 4.0 предложит возможность гибкого развертывания и управления парком защищенных ноутбуков, обеспечивая тем самым высокую безопасность оконечных узлов; эти функции придают операционной системе особую ценность. Системным администраторам станет проще укреплять безопасность устройств, с которыми работают хорошо подготовленные пользователи — например, разработчики программного обеспечения, исследователи вопросов безопасности и руководители, интересующиеся новыми технологиями.

«Для Qubes это очень важная веха, и Йоанна со своей командой продолжает набирать очки, — заявил руководитель Open Crypto Audit Project Кен Уайт. — Хотя панацеи от всех бед в области безопасности и не существует, виртуальные микромашины, создаваемые на аппаратном уровне, и сегментированная архитектура рабочего пространства позволяют устранить целый класс наиболее общих уязвимостей.

Два ключевых компонента Qubes специально проектировались с прицелом на корпоративных пользователей. Интеграция стека Qubes Salt, появившаяся в версии Qubes 3.2, упрощает настройку новых портативных компьютеров.

«Большинство операционных систем допускают удаленное администрирование, но это, как правило, требует серьезных компромиссов с точки зрения безопасности и конфиденциальности, — подчеркнул Вонг. — Удаленный администратор обычно получает фундаментальный контроль над управляемыми системами, особенно в корпоративном контексте. Новый же Qubes Admin API позволяет организовать дистанционное управление без ущерба для безопасности».

Хитрость заключается в непривилегированном администрировании и разрешении удаленного управления виртуальными машинами на пользовательском ноутбуке без возможности чтения пользовательских данных.

Особенно полезной Qubes будет для разработчиков программного обеспечения, решающих свои задачи в корпоративной среде. Разработчики любят Qubes за возможность поддерживать отдельные среды для сборки и за более простое безопасное тестирование ненадежного кода.

Очень часто компании и их сотрудники в погоне за эффективностью смешивают безопасные и небезопасные действия на одной и той же машине. Qubes решает эту проблему весьма элегантно, объединяя безопасность неограниченного числа изолированных контейнеров с эффективностью единой физической машины.

Qubes распространяется свободно; по оценкам участников проекта, в настоящее время насчитывается около 30 тыс. пользователей этой ОС

Дополнительно следует отметить эффективность Qubes при блокировании уязвимости Meltdown, особенно в новой версии 4.0.

Одним из разочарований, с которыми столкнулась команда Qubes, стала фундаментальная невозможность выстроить доверительные отношения между программным и аппаратным обеспечением при движении вниз по стеку. Безопасность гипервизора в кольце –1 не приносит особой пользы, если Intel ME запускает полнофункциональную операционную систему Minix, включающую веб-сервер, в кольце –3. Или если оборудование само по себе уязвимо к атакам с использованием эксплойтов Meltdown и двух вариантов Spectre.

Между тем полностью виртуальные машины Qubes 4.0 предотвращают атаку Meltdown — наиболее опасного из трех эксплойтов, затрагивающих большинство современных процессоров. Впрочем, почивать на лаврах разработчики Qubes не намерены и продолжают искать способы создания доверенных конечных узлов, не зависящих от базового оборудования.

«Про отсутствие доверительных отношений с аппаратными средствами мы помним, — заметила создатель Qubes OS Рутковска. — Это как раз одна из проблем, которую мы намерены решить с помощью Qubes Air».

Массовая тенденция перехода в облако заставила команду Qubes пересмотреть безопасность оконечных узлов. Но что означает безопасность оконечного узла в то время, когда данные перемещаются или находятся в облаке, а не на пользовательском устройстве?

«Людям, не желающим размещать свои конфиденциальные данные в ненадежном облаке, не стоит прямо сейчас прерывать чтение этого материала, — отмечает Рутковска. — Квинтэссенцией Qubes является не фундамент гипервизора Xen и даже не само понятие изоляции, а тщательная декомпозиция различных рабочих процессов, устройств и приложений между безопасными контейнерами. Мы уже сейчас можем легко представить себе Qubes, работающую поверх виртуальных машин в каком-нибудь облаке — Amazon EC2, Microsoft Azure, Google Compute Engine или даже в децентрализованной компьютерной сети, такой как Golem».

Технологию Qubes Air еще нельзя «пощупать», но, учитывая многолетнюю устремленность разработчиков Qubes к обеспечению безопасности оконечных узлов, думается, что окончательный успех неизбежен. «Теперь владельцы (или администраторы) могут распределять нагрузку между множеством различных платформ почти незаметно, рассматривая одну аппаратную платформу в качестве одного источника сбоев», — подчеркнула Рутковска.

Qubes распространяется свободно и рекомендована многими известными экспертами. По оценкам участников проекта, в настоящее время насчитывается около 30 тыс. пользователей этой системы. Но есть и ряд особенностей: для того чтобы воспользоваться функциями безопасности Qubes, нужна аппаратная поддержка виртуализации VT-x и VT-d. Кроме того, большинству пользователей захочется иметь большой объем оперативной памяти. Системные администраторы, разработчики программного обеспечения и технически подготовленные пользователи найдут Qubes OS весьма удобной, но у технически неискушенных пользователей могут возникнуть трудности.

Купить номер с этой статьей в PDF