X Международная студенческая научная конференция Студенческий научный форум - 2018
РАЗВИТИЕ ВИРТУАЛИЗАЦИИ И ЕЕ ЗАЩИТА
КомментарииПолная версия работы доступна во вкладке "Файлы работы" в формате PDF
Инфраструктуру ЦОД с платформами виртуализации (VMware vSphere, Microsoft Hyper-V, Citrix XenServer или KVM).
Инфраструктуру хранения данных – файловые серверы, СХД разного типа.
Сетевую инфраструктуру, обеспечивающую взаимодействие компонентов ЦОД, а также виртуальные сети (например, на базе VMware NSX).Все эти компоненты критичны для работы ЦОД и требуют защиты с учетом особенностей конкретных технологий. Например, в виртуальной среде традиционные решения для обеспечения безопасности, не адаптированные к ее специфике, слишком «ресурсоемки», тормозят работу критических бизнес-приложений, создают неудобства для пользователей.
Решение для этой среды основано на делении виртуальной среды на зоны безопасности, который является набором предварительноразмещенных основных служб безопасности как например антивирусная защита, защита от сетевых атак, контроль целостности, и т.п. Эти услуги - обеспеченная технология VMS - не агенты, и новые виртуальные машины погружения в определенной области виртуального центра данных немедленно гарантирует безопасное действие без дополнительных хлопот. Выполнение такой защиты делает отобранную виртуальную машинную безопасность, которая близко интегрирована с функциями гипервизора. Пользуясь третьими виртуального центра обработки данных (относительно сервисных организаций) лица, выполняющие это понятие, предлагает определенный уровень защиты, полученной всеми пользователями, несмотря на уровень качества защиты администраторами каждой специфической виртуальной машины. Разделение для каждой зоны безопасности может выполняться в логическом уровне в управлении виртуальной средой. Это актуально, когда в виртуальном дата-центре обрабатывается информация, содержащая данные о платежных картах, что требует обеспечения соответствия стандарту PCI DSS. В таком случае для оптимизации области действия стандарта (для выполнения всех требований только для части виртуального ЦОД) желательно выделять в зону безопасности область PCI DSS на логическом уровне с помощью средств контроля доступа к виртуальной среде. При этом важно обеспечить доступ к интерфейсам управления только по результатам строгой аутентификации. В этом плане применение двухфакторной аутентификации с точки зрения ИБ приобретает особую значимость.
Про технику безопасности
Разнообразие векторов атак, нацеленных на различные компоненты и службы виртуальной среды, приводит к тому, что для безопасности обработки информации в виртуальных центрах обработки данных недостаточно, просто установить любой из специализированного продукта. Обеспечение безопасности виртуального центра обработки данных требует создания всесторонней системы защиты, принимая во внимание критические векторы атаки и новые возможности для преступников. Однако из-за увеличения возможностей преодолеть системы защиты для управления несанкционированным доступом виртуальной среды увеличивает важность построения ряда процессов обеспечения ИБ. Среди них: обеспечивая доступ, управление инцидентами, событиями, обновления и конфигурации безопасности, анализ уязвимости и актуализацию угроз, проекта и актуализации системы защиты[3,101].
Индивидуальное внимание занимает, разработка модели разделения полномочий пользователей и определение, в частности, какой доступ, необходимый для работы. Это может помочь избегать концентрации у одного я из универсальных прав "гиперпользователя".
Основные векторы атаки, свойственные виртуальным ЦОД:
атаки на сетевые сервисы ВМ: сетевые службы виртуальной машины, так же как и физической, доступны из сети для проведения атак;
атаки на сетевой стек гипервизора: сервер виртуализации и все виртуальные машины имеют общий программный сетевой стек, реализующий коммутацию пакетов между ВМ, сервером виртуализации и внешней средой. Например, известны уязвимости виртуальных коммутаторов, в том числе и распределенных, когда обработка потока заблокированных пакетов приводила к падению гипервизора (CVE-2011 - 0355);
атаки на гипервизор из гостевой машины: при программной реализации взаимодействия между ВМ и гипервизором возможны ошибки. Это может привести к выходу за пределы доступной одной виртуальной машине памяти;
атаки на интерфейс управления гипервизора: многие производители разрабатывают собственные Web-based API для управления гипервизорами, в которых уже были найдены уязвимости (CVE-2010-0633, CVE-2012-5703);
атаки на интерфейс управления средства управления гипервизорами: например, повышение привилегий за счет получения чужого SOAP session ID в vCenter (CVE-2011-1788);
атаки на прикладные сервисы, обеспечивающие работу средства управления гипервизорами: Web-интерфейс часто использует серверы приложений и базы данных, компрометация которых приводит к аналогичным последствиям для виртуальной инфраструктуры (например, уязвимость CVE-201 20022B Apache Tomcat, который использует VMware vCenter);
атаки на интерфейс управления систем хранения данных, приводящие к получению доступа к образам виртуальных машин;
атаки на сетевые устройства, позволяющие перенаправлять сетевые потоки с последующим анализом паролей, перехватом сессий и др.;
атаки на серверы аутентификации: среда управления гипервизорами часто интегрируется с Active Directory, поэтому уязвимости в ОС Windows контроллера домена создают риск получения значительных привилегий в виртуальной среде[1].
Опыт показывает, что реализация процесса управления установками обновлений и серьезное отношение к процедурам аутентификации и выдаче привилегий нивелируют значительную часть ИБ-рисков для виртуального ЦОД. В целом проектирование виртуального дата-центра требует от ИБ-специалистов уделять более пристальное внимание сокращению потенциальной области, доступной для атаки злоумышленника, заблаговременному планированию сегментации сетей, отключению неиспользуемых виртуальных устройств и сетевых сервисов.
Компания "Инфосистем Джет" - один из самых больших российских системных интеграторов, основана в 1991, с 1996 работает на рынке информационной безопасности более чем 16 лет, занимая лидирующую позицию в этом сегменте. Основные направления их работы: бизнес-решения и разработка программного обеспечения. IT- и телекоммуникационная инфраструктура, информационная безопасность, аутсорсинг IT и техническая поддержка, руководящие сложные проекты. Опыт этой работы включает выполнение проектов в поле виртуализации, которая стала фактическим стандартом в банковской системе[2,с.63].
Технология виртуализации быстро развивается и уязвимости, связанные со средой виртуализации, с каждым месяцем становится все больше. Поэтому, основная задача состоит не только в ограничение возможности атакующего для использования уязвимостей, сколько активная работа по контролю управления исправлениями новые уязвимости и анализ сетевых узлов, используя сканеры. Это происходит главным образом из-за причин IT разработки, в которых среда виртуализации уровня программного обеспечения часто разрабатывается без отношения к требованиям информационной безопасности. В конце, может быть значительно затруднено расследование инцидентов и может возникнуть необходимость в потенциальной потребности реализовать меры по дополнительной защите или использование специализированных средств управления доступом.
Рынок защиты, реагирующий на новые проблемы защиты виртуальных центров обработки данных, сегодня предлагает, много оптимизированных средств, чтобы работать в виртуальной среде. Их использование позволит обеспечивать уровень информационной безопасности, которая сопоставима с центрами обработки данных, основываясь на старых принципах, и еще больше даст шанс сделать защиту более эффективной
Использованные источники:
1. Журнал "Information Security".URL: http://www.itsec.ru/articles2/data-centers/zaschita-virtualnyh-tsod.
2. Каталог форума открой свой мир ЦОД .URL:/https://www.ospcon.ru/files/media/mircod2014.pdf
3. В.Е. Ходаков, Н.В. Пилипенко, Н.А. Соколова / Под ред. В.Е. Ходакова. Введение в компьютерные науки: Учеб. пособ. – Херсон: Издательство ХГТУ – 2004.