Количество и степень изощренности вредоносных программ постоянно растут, поэтому, невзирая на всплеск внимания к BYOD и мобилизации, защита корпоративных физических и виртуальных десктопов останется одной из актуальных задач для подразделений ИТ. До недавнего времени такая защита носила превентивный характер и была отдана на откуп компаниям, специализирующимся на информационной безопасности, которые накапливали сведения об угрозах, анализировали их, создавали антидоты и снабжали своих клиентов соответствующими инструментами защиты. Данная схема примечательна своей положительной обратной связью: чем больше угроз, тем больше бизнес у защитников от них (и так далее — в цикле, на протяжении уже пары десятков лет). Однако в реальной жизни дело обстоит несколько иначе, и хотя приходится пользоваться лекарствами, но все же лучше развивать иммунитет. В ИТ пока создать иммунный механизм нельзя, но есть шанс построить систему со встроенными средствами обеспечения безопасности (secure by design), систему с самообороной, систему, которой можно доверять (Trustworthy Computing, TwC).

Впервые желание создавать компьютерные системы с признаками TwC возникло одновременно с появлением внешних угроз, когда открылась возможность распределять ресурсы и доступ к ним. В середине 60-х годов попытки создать TwC были вызваны появлением систем с разделением времени (timе-sharing), и пионером была компания Alen-Babcock, определившая четыре актуальные на тот момент составляющие TwC: защищенная операционная система, проверенный персонал, необходимые уровни контроля и авторизации пользователей. С появлением Интернета со всеми угрозами этой сети стали активно задумываться о доверии в киберпространстве.

 

vSentry

Продукт Bromium vSentry обеспечивает защиту Windows-десктопов и позволяет не только обнаружить угрозу, но и анализировать ее в реальном времени, не нарушая нормальную работу — в процессе-преемнике вредоносный код завершает свою работу и становится объектом анализа без какого-либо риска для десктопа. Таким образом удалось разделить защиту и распознавание угрозы.

Windows видит vSentry и создаваемые micro-VM как обычные задачи (см. рисунок), работающие под управлением этой ОС, а на самом деле реализуется принцип постоянной защиты Protect-Always. Микровизор держит под контролем состояние задач, которым доступны только предписанные им ресурсы, — принцип Need to Know. Тонкое гранулирование позволяет пользователю открывать сомнительные файлы, посещать сомнительные сайты и при этом быть уверенным, что ограничения, наложенные на micro-VM, не позволят вредоносному коду выйти за ее пределы.

 

Микровизор в архитектуре компьютерной системы
Микровизор в архитектуре компьютерной системы

 

 

Пожалуй, самым заметным явлением второго поколения TwC стала инициатива Microsoft Trustworthy Computing. В 2002 году каждый сотрудник корпорации получил письмо за подписью Билла Гейтса, в котором он писал, что безопасность должна закладываться в ПО на уровне проекта и основываться на четырех опорах: безопасность (Security), конфиденциальность (Privacy), надежность (Reliability) и целостность бизнеса (Business Integrity). Понять тревогу руководства Microsoft можно, о надежности тогдашних версий Windows ходили анекдоты.

В современных условиях (Большие Данные, мультиарендные системы и т. п.) вопрос о TwC снова обострился, и одно из наиболее интересных решений предложила компания Bromium, назвав его микровиртуализацией (Micro-virtualization). Bromium основали известные по XenSource и по Citrix Ян Пратт и Саймон Кросби, а возглавил компанию Гурай Банга, занимавший пост директора по технологиям в компании Pheonix Technologies вплоть до того, как она перешла в собственность HP. Объединение не случайно, Кросби и Банга сотрудничают с 2008 года, и их опыт и знания удачно сочетаются: виртуализация (XenClient) — сильная сторона первого, а знание ядра операционных систем (HyperSpace) — преимущество второго. Совместно им удалось реализовать идею, положенную в основу их общего бизнеса. До середины 2011 года Bromium сохраняла скрытный режим существования, как это принято поначалу, затем раскрыла основные положения микровиртуализации, а недавно компания вывела на рынок свой первый продукт для защиты виртуальных и физических десктопов — vSentry.

 

Облако раздора

Саймон Кросби, технический директор Citrix, уверен в том, что только эта компания шагает в ногу с технологиями виртуализации. Сегодня в фокусе внимания Citrix облака во всех их ипостасях, а нынешняя корпоративная стратегия предполагает обеспечение взаимодействия трех типов облаков: Personal Cloud, Private Cloud и Public Cloud. Интерпретация того, что именно является облаком, в Citrix заметно отличается от трактовки других игроков ИТ-рынка.

Леонид Черняк

Современная история виртуализации процессоров началась в 1999 году с выпуска VMware Virtual Platform для IA-32, за которой последовали Type 1 (гипервизор ниже ОС) и Type 2 (гипервизор поверх ОС). При всей непохожести их объединяет то, что они так или иначе создают независимые виртуальные машины (VM), служащие средством для распределенного использования ресурсов. По определению, каждая VM — это отдельная машина со своим образом ОС и дисковой памятью, на протяжении всего своего жизненного цикла управляемая гипервизором и независимая от приложений. Помимо всех достоинств, у программной виртуализации есть основная слабость — недостаточная изолированность виртуальных машин от одного гипервизора.

На первых порах виртуалиазция процессоров преследовала единственную цель — повысить КПД процессоров, до этого момента не превышавший 10%. Естественно, на этот факт обратили внимание производители процессоров, но им потребовалось не менее пяти лет на подготовку ответа, и только в середине нулевых AMD и Intel дополнили свои процессоры технологиями аппаратной виртуализации. Это стало решающим шагом в массовом принятии виртуализации — появилась более серьезная изоляция между VM и гипервизором, что открыло возможности для внедрения виртуализации в критически важные прикладные области, например создание мультиарендных облачных приложений. Но и в этом случае изоляция оказалась неполной и была ограничена наличием у каждой VM своей полноценной OC и своих приложений, то есть работа VM подконтрольна лишь частично. Как следствие, вредоносный код, тем или иным способом проникнув в VM, может атаковать гипервизор и далее по восходящей, однако сам гипервизор о происходящем ничего не узнает — внутренности VM не входят в его епархию. В конечном итоге любой виртуализированный сервер или десктоп уязвим.

На преодоление этой слабости нацелена технология микровиртуализации, которая обеспечивает более эффективное взаимодействие между аппаратной виртуализацией и ОС. Применение методов микровиртуализации позволяет сделать следующий шаг по направлению к большей изолированности и управляемости приложений и, как следствие, гарантировать их безопасность. Как и предшественники, она построена с использованием средств аппаратной виртуализации, но теперь объектом виртуализации является не VM в целом, а отдельная задача. Роль гипервизора здесь играет микровизор (Microvisor). В общем случае эта технология не ограничена какой-то одной ОС — теоретически такой подход способен изолировать выполняемые задачи в любой среде, но пока технология рассматривается только в приложении к корпоративным ПК, работающим под Windows.

В терминологии Bromium изолированные задачи называются micro-VM, они создаются мгновенно, просты в защите, выполняются в естественном режиме и очень малы, поскольку содержат лишь данные о выполняемой задаче. Микровизор не нужно устанавливать (как гипервизор) на голое железо перед установкой ОС — он устанавливается как любое другое приложение размером несколько десятков мегабайт. Микровизор использует вызовы API для создания и последующего уничтожения micro-VM, причем для пользователя все эти процедуры совершенно прозрачны. Проверенные задачи, входящие в «белый список» и работающие с проверенными данными, устанавливаются на ПК специалистами ИТ-служб как обычно, а уязвимые и нуждающиеся в защите задачи (имеющие доступ к сервисам ОС, файловым системам, клавиатуре и другим устройствам) попадают в зону внимания микровизора.

Идея контроля за задачами чрезвычайно проста: когда создается micro-VM, то заранее определяется, что ей можно, а что нельзя. Если вдруг задача оказывается зараженной и пытается обратиться за теми ресурсами, которые ей не положены, аппаратная виртуалиазация ловит этот момент, прерывает выполнение и передает управление микровизору. Далее происходящее напоминает работу системного вызова fork () в ОС Unix — управление передается процессу-потомку, который наследует адресное пространство и состояние процесса-родителя, но писать он может только в копию (copy-on-write, CoW).

Будущее технологии виртуализации в приложении к облакам Кросби видит не в серверной виртуализации и средствах управления виртуальными машинами, а в адаптированных к облачным требованиям гипервизорах, способных работать одновременно с несколькими экземплярами приложений (multi-tenant hypervisor). Используя микровиртуализацию, Bromium реализует принципиально новый подход к обеспечению безопасности — вместо обнаружения и блокирования осуществляется изоляция. Изолированный вредоносный код не может нанести заметный ущерб — нарушается исполнение только одной задачи; после того, как она переведена в режим потомка, что-то можно восстановить и продолжить работу, а полученную информацию — использовать для совершенствования системы защиты.