Виртуализация помогает создать инфраструктуры ИТ, отличающиеся небывалой динамичностью и гибкостью. Однако ее внедрение несет не только преимущества, в частности возможность более быстрой адаптации к меняющимся на предприятии требованиям, но и повышает сложность — к примеру, в результате установки гипервизоров или вследствие постоянного изменения конфигурации. К тому же администратор может в любой момент создавать новые виртуальные серверы и ликвидировать ненужные. Все это оказывает влияние на концепции безопасности.

 

Виртуальные ИТ уже давно стали реальностью. Еще в 2008 году аналитики компании IDC исходили из того, что виртуализации подвергнется 52% всех приобретаемых серверов. Но такими же реальными стали и новые угрозы безопасности, с которыми предприятию приходится сталкиваться в результате внедрения этой технологии.

Большим заблуждением являются заявления о том, что виртуальные системы повышают уровень защищенности, так как конфигурация виртуальных сетей разрешает только взаимодействие определенных виртуальных машин, а доступ к виртуальным ресурсам хранения ограничен. Скорее, наоборот: в результате появления промежуточного программного обеспечения (Middleware) для виртуализации возникают дополнительные мишени для атак со стороны опытных хакеров и новые слабые места, которые необходимо защищать от угроз Guest Hopping или нападений на гипервизор (см. Рисунок 1).

 

Рисунок 1. Виртуализация повышает сложность программного стека и поэтому требует применения дополнительных мер безопасности.

 

РАСТУЩЕЕ МНОГООБРАЗИЕ

Сложность инфраструктур ИТ возрастает с повышением количества (виртуальных) серверов, а также в результате новой динамики в предоставлении ресурсов (Provisioning) и из-за неоднородности применяемых технологий виртуализации, которые могут быть разработаны производителями аппаратных решений (компаниями HP, IBM, Fujitsu, Sun) или специалистами по программному обеспечению (VMware, Citrix, Microsoft, Red Hat, Novell, Oracle). Кроме того, зачастую средств защиты, поставляемых в комплекте с серверной операционной системой или гипервизором, оказывается недостаточно, и ИТ-специалистам приходится решать эту сложную задачу.

Итак, при виртуализации требуется дополнительное решение для управления доступом, которое закроет бреши, возникающие в процессе взаимодействия механизмов безопасности гипервизора и гостевых операционных систем, а также следует позаботиться о том, чтобы и права администраторов ограничивались и не переносились с гипервизора на гостей. Из-за недостаточного контроля виртуализированные серверы могут превратиться в «Дикий Запад мира ИТ», если ради быстрого предоставления ресурсов систем пренебречь безопасностью. При этом необходимо учитывать следующее: виртуальные серверы защищены не больше и не меньше, чем физические, они просто другие и потому нуждаются в иных — дополнительных — мерах защиты. Виртуальные «гостевые системы» представляют собой мощные серверы, а значит, нельзя обойтись без традиционных механизмов защиты, таких как брандмауэр, права пользователей, аудит (Auditing), протоколирование событий (Logging) и антивирусные сканеры.

Некоторые задачи, связанные с вопросами обеспечения безопасности, приобретают новое измерение, это касается, к примеру, управления установкой «заплат» (Patch). Дело в том, что на практике часто встречаются «осиротевшие» виртуальные серверы, которые продолжают активно использоваться, но не включены в инвентаризационные списки системных администраторов или недоступны для классической доставки программного обеспечения (Software Delivery) и развертывания «заплат». Поскольку в этом случае ошибки, влияющие на безопасность, не устраняются, такие серверы могут быть атакованы с большой долей вероятности.

Кроме того, некоторые атаки ориентированы именно на виртуальные серверы, к примеру, атака Guest Hopping или нападения на гипервизоры. При атаке Guest Hopping злоумышленник пытается найти две виртуальные машины, которые размещаются на одном и том же аппаратном обеспечении. Если злоумышленнику удается заполучить доступ к одной из этих машин, он пытается подобным образом пробраться и на вторую, даже если нельзя туда проникнуть напрямую. Атаки Guest Hopping еще редки, но с распространением виртуализации наверняка будут происходить чаще. Атаки на гипервизора нацелены на базовую операционную систему, которая обеспечивает функционирование виртуальных гостевых систем на сервере. Гипервизор не только имеет прямой доступ ко всему аппаратному обеспечению системы ИТ, но и управляет доступом виртуальных серверов к этому оборудованию и отвечает за взаимодействие серверов. Вполне вероятно, что, взломав гипервизор, злоумышленник сможет навредить каждой из его гостевых систем.

Из соображений улучшения производительности гипервизоры представляют собой операционные системы с сильно урезанным функционалом, а это существенно упрощает эффективную защиту и снижает угрозу атак на них. С другой стороны, гипервизоры являются привлекательной мишенью, так как контролируют работу всего аппаратного обеспечения. Особую опасность представляют атаки DoS, ведь если удастся добиться отказа гипервизора, то все его гостевые системы тоже станут недоступны.

Одной из наиболее известных атак является Subvirt Virtual Machine Based Rootkit (VMBR). Разработанная в 2006 году для анализа осуществимости, Subvirt VMBR вызвала большую шумиху, так как внедряется между аппаратным обеспечением и непосредственно операционной системой, начинающей функционировать в качестве гостевой ОС на Subvirt. Ее очень трудно обнаружить, и это может причинить большой ущерб. Правда, до сих пор нет сведений о реальных атаках Subvirt, возможно, потому, что для их осуществления требуются права администратора.

 

СТРОГИЙ КОНТРОЛЬ ДОСТУПА

По одной только этой причине руководителям предприятий следует строго ограничить и контролировать доступ ко всем гипервизорам, разрешив администратору выполнять только самые необходимые действия (см. Рисунок 2). Еще одна мера предосторожности — ограничение функции гипервизора только самыми необходимыми действиями. Это поможет снизить как возможность атак, так и вред, который будет ими нанесен. К примеру, VMware ESX можно инсталлировать и без сервера Web, а Microsoft Hyper-V — только с ядром Windows Server 2008, а не с полной операционной системой.

 

Рисунок 2. Контроль доступа администраторов должен быть частью концепции обеспечения безопасности в виртуализированных инфраструктурах.

 

Доступ к гипервизору должны иметь только уполномоченные пользователи, как правило, это ИТ- или сетевые администраторы, отвечающие за производительность и доступность серверной фермы. Для выполнения этих задач им предоставляются права, существенно превосходящие права обычных пользователей — к примеру, разрешается изменять конфигурацию серверов. Если такой «суперпользователь» совершит ошибку или будет злоупотреблять своими правами, безопасность корпоративных ИТ-систем окажется под ударом.

Предотвратить такое развитие событий можно, только неукоснительно соблюдая три правила: контроль, протоколирование и отчетность. Предприятиям следует использовать этот подход не только для предотвращения неконтролируемого доступа обычных пользователей или злоумышленников — в первую очередь в этот механизм контроля надо включить привилегированных пользователей из отдела ИТ. А обычно имеющиеся в наличии и вполне функциональные решения для управления идентификацией и доступом (Identity and Access Management, IAM) необходимо дополнить специальными функциями для администрирования привилегированных пользователей (Privileged User Management, PUM).

 

Не так страшна виртуализация

Обеспечение защиты виртуальных сред входит в число тем, которые обсуждаются наиболее остро. С одной стороны, виртуализация позволила более эффективно использовать физические ресурсы, с другой — породила новые угрозы информационной безопасности. Как и любая технология, виртуализация требует правильного и корректного подхода. Организация централизованного управления, обслуживание, контроль обновлений и конфигураций, резервирование сотен серверов и тысяч рабочих мест — задачи достаточно трудоемкие и дорогостоящие, если для их решения использовать классический подход.

Применение современных средств виртуализации позволяет быстро, легко и эффективно выполнить все эти требования. В частности все виртуальные серверы и рабочие станции работают с единым образом операционной системы (ОС), к которому применяются необходимые обновления, настройки и правила информационной безопасности. Таким образом, вместо того чтобы поручать десяткам администраторов обслуживать сотни распределенных компьютеров, достаточно поддерживать в актуальном состоянии один образ ОС.

Среди наиболее опасных потенциальных угроз для любой среды можно выделить атаку на гипервизор как на ядро, обеспечивающее функционирование виртуальной инфраструктуры. Гипервизор устанавливается на физический сервер (bare metal) и поддерживает работу всей инфраструктуры. В отличие от обычной ОС, объем кода гипервизора на порядок меньше и не содержит «избыточных» компонентов, чем облегчается его анализ на предмет ошибок и уязвимостей. К тому же программный код гипервизора (например, XenServer) опубликован и доступен аналитикам и специалистам ИБ. Стоит отметить, что на сегодняшний день не было еще ни одной успешной атаки на гипервизор, чего нельзя сказать о «традиционных» ОС.

В организационном плане несомненную опасность представляет передача всех ролей одному человеку. Поэтому, если планируется построение «правильной» системы, то необходимо выделить как минимум три роли:

  • администратор по средствам виртуализации, отвечающий за их развертывание и обслуживание;
  • системный администратор, который занимается обслуживанием виртуальных машин и серверов;
  • администратор ИБ, в зоне ответственности которого находится управление информационной безопасностью на виртуальных машинах.

Таким образом, опираясь на мировой опыт и лучшие практики, можно эффективно обеспечить безопасность виртуальных инфраструктур.

Игорь Гонебный — руководитель направления по работе с технологическими партнерами компании «Аладдин Р.Д.»

 

Основная проблема заключается в том, что конкретные права доступа для быстро растущего числа серверов приходится задавать и администрировать вручную. Поскольку это очень трудоемкая работа, возникает соблазн предоставить всем привилегированным пользователям пароль Root, позволяющий выполнять любые действия в системе. В результате многим предоставляются права, которые им не требуются. Кроме того, из-за активного использования пароля Root предприятия стараются его не менять, опасаясь того, что кто-либо из привилегированных пользователей не будет проинформирован о смене пароля и не сможет выполнять свою работу. Но чем большему кругу лиц известен пароль и чем реже он меняется, тем выше вероятность того, что он станет известен третьим лицам.

Еще одна проблема широко распространенных паролей Root заключается в том, что в случае какого-либо злоупотребления данными попавшим под подозрение системным администраторам будет очень сложно доказать свою невиновность. Даже самая простая система регистрации входа/выхода (Check in/Check out) позволяет определить, в какое время какой из администраторов был активен. Но только система PUM проверяет и документирует активность привилегированных пользователей.

 

Нильс Майер — старший технический консультант по продажам в компании CA Technologies.