Джошуа Корман: Прежде всего потому, что любое обострение общественных процессов способствует увеличению количества криминальных угроз. Не составляют исключения и сферы высоких технологий. Среди производителей, принявших участие в конференции, - недавно открывшая свое представительство в России Trend Micro, Blue Coat, Web Сontrol, "Лаборатория Касперского", IBM, Check Point, Symantec, Leta IT и Websence. Заказчиков представляли специалисты по безопасности из крупнейших банковских структур и телекоммуникационных компаний.

Самым запоминающимся стал доклад Джошуа Кормана, специалиста по разработке стратегии информационной безопасности из IBM ISS. Сегодня Корман - одна из самых ярких фигур в сфере безопасности, а журнал Network World включил его в список наиболее влиятельных персон современных информационных технологий. Эта номинация не случайна, но неожиданна - опыт работы Кормана составляет всего десять лет, и все это время он работал в компании Internet Security Systems, а после ее поглощения в 2006 году - в отделении IBM ISS. В прошлом году Корман выступил на конференции Interop 2008 с докладом, имевшим скандальное название "Опасен на любой скорости, 7 гнусных секретов информационной безопасности". (Корман перефразировал название книги Ральфа Надера "Опасно на любой скорости". Эта книга была бестселлером 1965 года, а название стало идиомой; в ней автор подверг уничижительной критике продукцию автомобильной промышленности тех лет, и под влиянием книги представления американцев об автомобилях заметно изменились - и технически, и эстетически, а критерий безопасности стал одной из важнейших характеристик.)

Если почитать статьи Кормана и посчитать, то оказывается, что раскрытых им секретов не семь, а на один больше. Главный "секрет Полишинеля", получивший номер ноль, гласит: "Цель производителей средств безопасности - не безопасность, а извлечение прибыли". Естественно, что подобного рода крамольные высказывания не остались незамеченными. Прошел год, и на конференции Interop 2009 история повторилась. Нынешнее выступление оказалось не столь шокирующим, как прошлогоднее, но не менее важным для всей индустрии. В нем Корман обратил внимание аудитории на слабость средств обеспечения безопасности, обнаруживаемую в виртуализованных инфраструктурах. Увлекшись виртуализацией, большинство специалистов не заметили очевидного факта, а именно: любая техническая новация несет новые угрозы.

По мнению Кормана, виртуализация - не только благо. И если она позволяет разобраться без особых проблем со сложностями на пользовательском уровне, то на серверном уровне виртуализация создает больше проблем для безопасности, чем решает. У этих проблем две причины. Одна состоит в том, что новое поколение специалистов увлеклось собственно виртуализацией и сосредоточилось только на ней. При этом они упустили из виду, что виртуализованные серверы обладают ровно теми же уязвимостями, которые присущи физическим. Для решения проблем нужны специалисты, привыкшие обеспечивать безопасность сетей и приложений, а администраторы такими навыками не обладают. Вторая причина кроется в новых уязвимостях, которые возникают в виртуализованных инфраструктурах. Проблемами чреват, казалось бы, разумный механизм миграции. Если количество виртуальных серверов велико, а управление ими несовершенно, может начаться лавинообразный процесс миграции в поиске свободных мощностей на физических серверах и наступить крах системы. Тракты, по которым мигрируют серверы, не имеют криптографической защиты. Это обеспечивает максимальную производительность, но открывает возможность для перехвата целиком сервера и его подмены при атаке с участием человека. Такая атака называется man-in-the-middle attack. Множество проблем также связано с тем, что часть виртуальных серверов может пребывать в "спящем состоянии" в те периоды времени, когда выполняется обновление операционных систем и систем обеспечения безопасности. Наконец, сами гипервизоры тоже обладают уязвимостями: если они повреждаются, то возникает ситуация, которая "не лечится". В заключение своего выступления Корман дал несколько полезных практических советов, казалось бы, очевидных. Вот некоторые из них.

  • Убедитесь, что каждая виртуальная машина снабжена средствами обеспечения безопасности.
  • Детальным образом пропишите, на какие физические машины могут перемещаться виртуальные.
  • Снабдите физическую среду периметром безопасности.
  • Избегайте "чудодейственных" инструментов для создания безопасных виртуальных систем.

Поделитесь материалом с коллегами и друзьями