Преимущества технологий виртуализации единодушно признаются большинством экспертов: они помогают создать эффективный ландшафт ИТ с меньшими затратами, обеспечивают большую гибкость в использовании и быструю адаптацию к новым требованиям бизнеса или систем ИТ. Когда системы функционируют, как и планировалось, экономятся время и деньги, сохраняется природа, укрепляются позиции ИТ на предприятии.
Независимо от того, что именно виртуализируется и каким образом, характерным признаком этой технологии является наличие дополнительного слоя абстракции, отвечающего за формирование и администрирование виртуализированных инстанций рабочих систем или ресурсов хранения, а также за их взаимодействие. Исключительная роль этого слоя объясняет его особую чувствительность к уровню безопасности и потребность в отдельной защите. Ситуацию затрудняет тот факт, что все известные стратегии и инструменты, такие как брандмауэры, права доступа и антивирусное программное обеспечение, не поддаются простому переносу в виртуализированные среды.
Для получения некоторого представления об этой сфере полезно ознакомиться с пятью «незыблемыми правилами», которые Пит Линдсторм из компании Burton Group перечислил в обзорной статье Security and Risk Management Strategies, In-Depth Research Overview, опубликованной в январе 2008 года:
- Все известные атаки на уровне операционной системы используют один и тот же шаблон.
- К имеющемуся профилю системных рисков добавляются риски атак на гипервизор.
- Распределение функциональности и контента между разными виртуальными машинами снижает этот риск.
- Агрегация функций и ресурсов на одной физической платформе повышает риск.
- Система с доверенной виртуальной машиной на недоверенном хосте таит в себе более высокую угрозу, чем система с доверенным хостом и недоверенной виртуальной машиной.
В качестве особенно важного пункта Линдстром отмечает опасность того, что выполняемый код может покинуть «свою» виртуальную машину и выполнять неконтролируемые функции на физическом хосте. Как известно, гипервизор представляет собой достаточно сложное дополнительное программное обеспечение, которое одним только фактом своего существования повышает общий уровень риска.
Однако в виртуальном мире существуют и другие программные элементы, знакомые еще по традиционным архитектурам, и все они требуют обязательной защиты, которая, однако, должна осуществляться с помощью специальных инструментов, рассчитанных на новую ситуацию.
Еще один опасный сценарий — «откат» экземпляра виртуальной машины с примененной «заплатой» системы безопасности на экземпляр без «заплаты». В худшем случае при отсутствии адекватных механизмов управления этот факт может оставаться незамеченным на протяжении многих месяцев. Кроме того, для виртуальных инстанций действуют те же правила, что и для физических: если после установки «заплаты» требуется перезагрузка системы, то найти подходящий промежуток времени оказывается затруднительно.
Риск возникновения вышеописанных проблем безопасности еще не особенно высок, что подтверждают различные исследования, к примеру, опрос IDC: почти половина респондентов пока не видит необходимости в специализированных решениях безопасности для среды виртуализации.
ТЕХНОЛОГИЯ МЕР БЕЗОПАСНОСТИ
Приведенные технические аргументы явно показывают, что для обеспечения всесторонней защиты сначала потребуется своего рода базовая защита виртуальных машин. Продукт для решения этой задачи имеется, среди прочих, у Trend Micro: ПО Core Protection for Virtual Machines разработано, по данным производителя, специально для ESX/ESXi компании VMware и призвано обеспечить защиту от угроз, исходящих из Всемирной паутины, а также отразить атаки вирусов, червей и троянцев. То есть оно частично реализует упомянутые в начале меры по защите от стандартных рисков, однако изначально предназначено для применения на виртуальных машинах. Среди прочего Trend Micro указывает на специальную адаптацию своей архитектуры защиты к виртуальным средам (см. Рисунок 1).
Следует отметить, что, например, за процесс сканирования отвечает самостоятельная виртуальная машина. Тем самым выполняется третье правило из статьи Burton Group. Для того чтобы обеспечить некоторую независимость от статуса контролируемой виртуальной машины, Core Protection управляет безопасностью не только активных виртуальных машин, но и неактивных (на рисунке — бездействующая). Сканирование и обновление подписей таких виртуальных машин осуществляются без их активации. К ключевым свойствам Core Protection производитель причисляет способность взаимодействовать без сбоев с офисным сканером для физических машин, чем облегчается работа не только системных администраторов, но и конечных пользователей.
БЕЗОПАСНОСТЬ НА СЕРВЕРЕ
Для противостояния масштабным атакам на один или несколько серверов к этой части архитектуры должна применяться специальная концепция, оптимизированная в расчете на виртуальные среды. Простой перенос старого брандмауэра или системы обнаружения вторжений (Intrusion Detection System) может способствовать появлению незамеченных «дыр» в безопасности, что чревато катастрофой. В этом случае на помощь приходят программные решения, разработанные специально для использования в виртуальных и «облачных» средах (см. Рисунок 2). К числу наиболее востребованных функций относятся:
- детальная проверка пакетов (система обнаружения/предотвращения вторжений, защита приложений Web, контроль приложений);
- брандмауэр;
- контроль целостности;
- проверка журналов.
Требования современной защиты предполагают, что такое решение должно реагировать на известные и неизвестные атаки (атаки «нулевого дня»). По данным Trend Micro, такие системы обнаружения и предотвращения вторжений (Intrusion Detection and Prevention System, IDS/IPS) способны закрыть новые распознанные бреши за несколько часов. При необходимости в течение нескольких минут защиту можно распространить на тысячи серверов, причем без перезагрузки последних. В борьбе с атаками «нулевого дня» производитель делает ставку на так называемые умные правила (Smart Rules), при использовании которых вредоносный код распознается на основе аномальных протокольных данных. Эта защита распространяется на более чем 100 приложений — базы данных, решения для электронной почты или серверы FTP.
БРАНДМАУЭР
В такой среде брандмауэр должен быть в состоянии защитить как физические, так и виртуальные серверы. Типичным может считаться следующий спектр функций защиты: двунаправленный брандмауэр с контекстной проверкой и централизованным администрированием правил, предварительно настроенные шаблоны для наиболее распространенных типов корпоративных серверов, фильтров IP- и MAC-адресов и совместимость со всеми распространенными протоколами на базе IP (TCP, UDP, ICMP и т. д.) и всеми типами кадров (IP, ARP и т. д.). К этому добавляется защита от атак с целью вызвать отказ в обслуживании (Denial of Service).
Как уже упоминалось, список функций довольно типичен для современного брандмауэра, однако, чтобы такой пакет смог эффективно работать в виртуальных и «облачных» средах, в архитектуру придется внести некоторые дополнительные изменения. Это обеспечивается с помощью трех важных компонентов. Во-первых, на каждом требующем защиты физическом или виртуальном сервере запускается программный агент, на который возлагается задача соблюдения необходимого списка функций. Во-вторых, работу администратора призвана облегчить центральная консоль управления, на которой, среди прочего, можно создавать правила безопасности и администрировать их, управлять обновлениями и получать отчеты. И наконец, нужно собрать команду специалистов, с которыми пользователи програм-много обеспечения будут связываться посредством клиентского портала. Заметим, этот портал, кроме прочего, используется решением управления для получения обновлений системы безопасности.
ЗАКЛЮЧЕНИЕ
Помимо решений, знакомых по традиционным архитектурам (брандмауэр, антивирус, система обнаружения вторжений), виртуальным средам требуются дополнительные меры безопасности. По своей архитектуре, опциям администрирования, способам развертывания обновлений и заплат программное обеспечение безопасности должно соответствовать новой рабочей среде, то есть при необходимости работать на виртуальных машинах. Кроме того, важно, чтобы его функции отвечали требованиям виртуальной среды: к примеру, во время установки обновлений неактивные виртуальные машины также должны получить обновленные подписи или заплаты. Однако, судя по всему, предприятия еще не до конца осознали важность рассматриваемой проблемы. В любом случае, тот факт, что некоторые производители стали активно предлагать продукты безопасности, рассчитанные специально на виртуальные среды, является демонстрацией того, что отрасль движется в верном направлении.
Сусанне Франке – независимая журналистка.
Рисунок 2. Решение Deep Security 6 разработано специально для виртуальных и «облачных» сред.
Виртуализация позволяет достичь высочайшего уровня гибкости, масштабируемости и доступности информационных систем за счет разделения ресурсов, виртуализации приложений и отказоустойчивости. Однако ее широкое применение порождает новые виды рисков. Например, программное обеспечение, с помощью которого реализуется виртуальная инфраструктура, может иметь уязвимости и представлять угрозу безопасности для всей инфраструктуры ИТ.
Виртуальные машины потенциально небезопасны для своего окружения, и для их защиты требуются специализированные межсетевые экраны и средства обнаружения и предотвращения угроз (такие, например, как Check Point VPN-1 VE). Теоретически, что справедливо отмечается в статье, в виртуальной среде даже гипервизор может стать нарушителем безопасности. Легкость, с которой могут создаваться виртуальные машины, приводит к еще одному риску, так называемому виртуальному расползанию (virtual sprawl), которое характеризуется плохо контролируемым ростом числа виртуальных систем, в результате чего, естественно, снижается общий уровень безопасности.
При рассмотрении вопросов безопасности применительно к виртуализации чаще всего делается акцент на защите виртуальных приложений. Для этой цели используется технология VMsafe, благодаря которой виртуальные окружения VMware стали намного безопаснее. Однако существует и другой подход, который позволяет не только защитить виртуальные приложения, но и реализовать виртуальные шлюзы безопасности на единой аппаратной платформе. Эта необходимость возникает, когда сети имеют высокую степень сегментации, что характерно для центров обработки данных и крупных корпоративных сетей. Примером такой системы является решение компании Check Point VPN-1 Power VSX, которое позволяет развернуть до 250 виртуальных шлюзов на одном физическом устройстве.
Необходимо отметить, что высокая эффективность и безопасность виртуальной инфраструктуры могут быть достигнуты только при централизованном управлении как самими платформами виртуализации, так и системами информационной безопасности.
Алексей Андрияшин — консультант по безопасности Check Point Software Technologies.