Виртуальный центр обработки данных (ЦОД) может рассматриваться как специализирующаяся область с современной технической инфраструктурой (системы кондиционирования и вентиляция, общее и резервное электроснабжение, и т.п.). Информационная система на ней размещается не на физическом техническом обеспечении, а в виртуальной среде, охватывающей серверную и коммуникационную часть инфраструктуры. В этой ситуации сервисы, размещаемые в ЦОД все время, не привязаны к специфическим физическим ресурсам устройства и динамически двигаются между серверами виртуализации. И сетевая инфраструктура осуществляется таким образом, что после того, как вы перемещаете виртуальную машину (ВМ), она смогла бы продолжить свою работу.
Решение для этой среды основано на делении виртуальной среды на зоны безопасности, которые являются набором предварительноразмещенных основных служб безопасности как, например, антивирусная защита, защита от сетевых атак, контроль целостности, и т.п. Разделение для каждой зоны безопасности может выполняться в логическом уровне в управлении виртуальной средой. Это актуально, когда в виртуальном дата-центре обрабатывается информация, содержащая данные о платежных картах, что требует обеспечения соответствия стандарту PCI DSS. В таком случае для оптимизации области действия стандарта (для выполнения всех требований только для части виртуального ЦОД) желательно выделять в зону безопасности область PCI DSS на логическом уровне с помощью средств контроля доступа к виртуальной среде. При этом важно обеспечить доступ к интерфейсам управления только по результатам строгой аутентификации. В этом плане применение двухфакторной аутентификации с точки зрения ИБ приобретает особую значимость.
Разнообразие векторов атак, нацеленных на различные компоненты и службы виртуальной среды, приводит к тому, что для безопасности обработки информации в виртуальных центрах обработки данных недостаточно просто установить любой из специализированных продуктов. Обеспечение безопасности виртуального центра обработки данных требует создания всесторонней системы защиты, принимая во внимание критические векторы атаки и новые возможности для преступников. Однако из-за увеличения возможностей преодолеть системы защиты для управления несанкционированным доступом виртуальной среды увеличивается важность построения ряда процессов обеспечения ИБ. Среди них: обеспечивает доступ, управление инцидентами, событиями, обновления и конфигурации безопасности, анализ уязвимости и актуализацияугроз проекта и актуализации системы защиты[1, с. 101].
Индивидуальное внимание занимает разработка модели разделения полномочий пользователей и определение, в частности, какой доступ необходим для работы. Это может помочь избегать концентрации у одного из универсальных прав «гиперпользователя».
Основные векторы атаки, свойственные виртуальным ЦОД:
атаки на сетевые сервисы ВМ: сетевые службы виртуальной машины, так же, как и физической, доступны из сети для проведения атак;
атаки на сетевой стек гипервизора: сервер виртуализации и все виртуальные машины имеют общий программный сетевой стек, реализующий коммутацию пакетов между ВМ, сервером виртуализации и внешней средой;
атаки на гипервизор из гостевой машины: при программной реализации взаимодействия между ВМ и гипервизором возможны ошибки. Это может привести к выходу за пределы доступной одной виртуальной машине памяти;
атаки на интерфейс управления гипервизора: многие производители разрабатывают собственные Web-based API для управления гипервизорами, в которых уже были найдены уязвимости (CVE-2010-0633, CVE-2012-5703);
атаки на интерфейс управления средства управления гипервизорами: например, повышение привилегий за счет получения чужого SOAP session ID в vCenter (CVE-2011-1788);
атаки на прикладные сервисы, обеспечивающие работу средства управления гипервизорами: Web-интерфейс часто использует серверы приложений и базы данных, компрометация которых приводит к аналогичным последствиям для виртуальной инфраструктуры (например, уязвимость CVE-201 20022B ApacheTomcat, который использует VMwarevCenter);
атаки на интерфейс управления систем хранения данных, приводящие к получению доступа к образам виртуальных машин;
атаки на сетевые устройства, позволяющие перенаправлять сетевые потоки с последующим анализом паролей, перехватом сессий и др.;
атаки на серверы аутентификации: среда управления гипервизорами часто интегрируется с ActiveDirectory, поэтому уязвимости в ОС Windows контроллера домена создают риск получения значительных привилегий в виртуальной среде[2].
Опыт показывает, что реализация процесса управления установками обновлений и серьезное отношение к процедурам аутентификации и выдаче привилегий нивелируют значительную часть ИБ-рисков для виртуального ЦОД. В целом проектирование виртуального дата-центра требует от ИБ-специалистов уделять более пристальное внимание сокращению потенциальной области, доступной для атаки злоумышленника, заблаговременному планированию сегментации сетей, отключению неиспользуемых виртуальных устройств и сетевых сервисов.
Компания «ИнфосистемыДжет» - один из самых больших российских системных интеграторов, основана в 1991, с 1996 работает на рынке информационной безопасности, занимая лидирующую позицию в этом сегменте. Основные направления их работы: бизнес-решения и разработка программного обеспечения. IT- и телекоммуникационная инфраструктура, информационная безопасность, аутсорсинг IT и техническая поддержка, руководящие сложные проекты. Опыт этой работы включает выполнение проектов в поле виртуализации, которая стала фактическим стандартом в банковской системе[3,с.63].
Технология виртуализации быстро развивается и уязвимостей, связанных со средой виртуализации, с каждым месяцем становится все больше. Поэтому, основная задача состоит не только в ограничении возможности атакующего для использования уязвимостей, сколько активная работа по контролю управления исправлениями новых уязвимостей и анализ сетевых узлов, используя сканеры. Это происходит главным образом из-за причин IT разработки, в которых среда виртуализации уровня программного обеспечения часто разрабатывается без отношения к требованиям информационной безопасности. В конце может быть значительно затруднено расследование инцидентов и может возникнуть необходимость в потенциальной потребности реализовать меры по дополнительной защите или использованию специализированных средств управления доступом.
Рынок защиты, реагирующий на новые проблемы защиты виртуальных центров обработки данных, сегодня предлагает много оптимизированных средств, чтобы работать в виртуальной среде. Их использование позволит обеспечивать уровень информационной безопасности, которая сопоставима с центрами обработки данных, основываясь на старых принципах, и еще больше даст шанс сделать защиту более эффективной.
Список литературы
В.Е. Ходаков, Н.В. Пилипенко, Н.А. Соколова / Под ред. В.Е. Ходакова. Введение в компьютерные науки // Учебное пособие. – Херсон: Издательство ХГТУ – 2004. – 610 с.
Журнал«InformationSecurity»[Электронный ресурс]: Статья «Защита виртуальных ЦОД». – Режим доступа: http://www.itsec.ru/articles2/data-centers/zaschita-virtualnyh-tsod.
Компания «ИнфосистемыДжет»[Электронный ресурс]: Статья «Системный интегратор «ИнфосистемыДжет». – Режим доступа:https://jet.su/about/news/19161/.