4 марта, 2019, BIS Journal №1(32)/2019

VGATE: КАК ЗАЩИТИТЬ ЧАСТНОЕ ОБЛАКО ОТ РИСКОВ?


Коростелев Павел

руководитель отдела продвижения продуктов («Код безопасности»)

В «слепой зоне» традиционных средств защиты

За последние годы в концепции построения ИТ-инфраструктуры произошли значительные изменения. Одно из них – это повсеместное внедрение средств виртуализации. Благодаря такому подходу организация получает возможность экономии средств за счет отказа от дорогостоящего оборудования, а также гибкость и отказоустойчивость. Но использование средств виртуализации – это еще и дополнительные риски информационной безопасности.

КЛЮЧЕВАЯ ТОЧКА

Среда виртуализации – это ключевая точка в частном облаке. Значительная часть организаций, независимо от их размера и масштабов бизнеса, виртуализовала свою серверную инфраструктуру более чем на 50%. В этом случае вся инфраструктура получает дополнительный уровень абстракции – кластер гипервизоров, который объединяет ресурсы нескольких физических серверов и выдает из получившегося пула ресурсы для виртуальных машин. Он позволяет значительно повысить гибкость и скорость изменений в инфраструктуре.

Однако такой подход создает несколько проблем:

Гипервизор находится в «слепой зоне» традиционных средств защиты, они работают либо на уровне виртуальной машины, либо на уровне сети. Даже если решение позиционируется как средство защиты облаков, оно обеспечивает защиту только внутри виртуальных машин и поможет, если виртуальную машину атакуют через сеть. Если же злоумышленник украдет учетные данные администратора и атакует виртуальную машину «снизу», со стороны гипервизора, или скопирует файл с виртуальной машиной, он уйдет незамеченным.
Традиционные межсетевые экраны плохо приспособлены к защите виртуализованных сетей: они меняются намного чаще физических, постоянно требуется корректировать существующие правила фильтрации. Помимо прочего, они предполагают, что физическое устройство заменяется на виртуальное. Этот подход не обеспечивает необходимой производительности, уязвим перед вредоносными действиями администратора виртуальной среды и создает высокую нагрузку на администратора.
Если система, развернутая в виртуальной среде, подпадает под требования законодательства в области защиты информации, то организация должна нанять специалиста по безопасности именно виртуальной среды для проведения регулярных аудитов безопасности, что не всегда возможно в условиях кадрового дефицита. Нарушение требований в области безопасности чревато взысканиями со стороны регуляторов.

БОЙСЯ АДМИНИСТРАТОРА!

По данным исследования «Защита виртуальной инфраструктуры», проведенного компанией «Код безопасности», две трети компаний опасаются ущерба, нанесенного действиями администратора виртуальной среды, причем как умышленными, так и неумышленными.

Для решения перечисленных проблем организации часто разделяют виртуальные машины с разным уровнем критичности на несколько независимых гипервизоров. Это повышает уровень безопасности: в случае компрометации одного сегмента остальные не подвергаются угрозе. Однако это снижает эффект от виртуализации инфраструктуры в целом.

Если заказчик консолидирует в рамках одной среды виртуальные машины с разным уровнем критичности, то необходимо обеспечить дополнительные меры безопасности. Среди ключевых факторов обеспечения безопасности виртуальной среды участники исследования «Кода безопасности» назвали разграничение доступа внутри виртуальной инфраструктуры, защиту данных виртуальных машин, мониторинг событий безопасности и антивирусную защиту.

ТРИ ВОЛШЕБНЫХ АПЕЛЬСИНА

Для эффективной защиты виртуальной инфраструктуры необходимо выполнить следующие действия:

Реализовать сегментацию виртуализованной сети, что позволит защитить ее части от воздействия друг на друга. При этом политика безопасности виртуального межсетевого экрана должна автоматически подстраиваться под добавление новых виртуальных машин, только в этом случае подсистема безопасности не будет сдерживать скорость изменений в гибкой и быстро меняющейся среде. Также политика фильтрации должна применяться даже в случае миграции виртуальной машины на соседний физический сервер.
Контролировать активность администраторов виртуальной сети, причем журнал аудита их действий должен храниться не в самой виртуальной инфраструктуре, а отдельно. Доступ должен предоставляться по принципу минимально необходимых привилегий. Попытки несанкционированного обхода должны фиксироваться, а журнал этих попыток должен храниться отдельно от остальных журналов.
В автоматическом режиме настраивать и контролировать выполнение требований законодательства и лучших практик в области защиты среды виртуализации. Причем заказчик должен иметь возможность изменять шаблоны настроек с учетом специфики своей инфраструктуры.

ПО СОВЕТУ GARTNER

Аналитики Gartner выделяют все средства защиты среды виртуализации и облаков в класс продуктов Cloud Workload Protection Platform – средства защиты облачных серверов. В рамках этого класса продукты делятся на два типа:

Защита «Data plane». Это средства для защиты собственно виртуальных машин. Традиционные антивирусы, решения класса Application Whitelisting и т.д.
Защита «Control Plane». Это средства защиты гипервизора, контроля доступа администратора, контроля настроек сети и хранилища данных. Средства этого класса аналитики Gartner называют Cloud Security Posture Management (CSPM).

В своем отчете Market Guide for Cloud Workload Protection Platform Gartner отмечает, что считает обязательным использование продуктов класса CSPM для масштабных внедрений.

Разработанный компанией «Код безопасности» продукт vGate – это первое в России решение класса Cloud Security Posture Management (CSPM).

КОМПЛЕКСНАЯ ЗАЩИТА

Внедрение vGate позволит надежно разграничить виртуальные машины с разным уровнем критичности, снизить риски потери данных в результате случайных или намеренных действий администратора и сэкономить время администратора при аудите виртуальной инфраструктуры на соответствие требованиям безопасности.

vGate необходим для комплексной защиты среды виртуализации на базе VMware vSphere и MS Hyper-V. Комплексная защита включает в себя три направления (Рисунок 1):

защита виртуализованной сети;
контроль доступа администраторов к конфиденциальным данным на виртуальной машине;
автоматическая настройка и контроль соответствия виртуальной среды требованиям в области ИБ.

Рисунок 1

ПОЗНАКОМИМСЯ ПОБЛИЖЕ

vGate состоит из нескольких компонентов:

  • Сервер авторизации, расположенный между администратором виртуальной среды и системой управления. Он необходим для независимого аудита действий администратора, а также для запрета несанкционированных действий.
  • Агент на рабочем месте администратора виртуальной среды, который обеспечивает дополнительный уровень аутентификации администратора.
  • Агент в системе управления VMware vCenter или MS System Center Virtual Machine Manager, который контролирует корректность операций в виртуальной инфраструктуре.
  • Агент для хоста гипервизора, который контролирует настройки непосредственно гипервизора. Сюда же входит модуль межсетевого экрана виртуальных машин, он перехватывает весь сетевой трафик до того, как тот попадет в виртуальный свитч, а также проверяет, разрешено ли движение этого трафика.
  • Агент на рабочем месте администратора безопасности. Он необходим для централизованного управления vGate и настройки системы защиты.
  • Сервер мониторинга для сбора и корреляции событий виртуальной среды.

Важным преимуществом vGate является то, что для решения своих задач продукт не требует развертывания агентов на каждой виртуальной машине.

 

Внедрение vGate позволяет повысить уровень защищенности виртуальной инфраструктуры, застраховаться от ошибок или вредоносных действий администраторов, а также обеспечить эффективную защиту виртуализованных сетей.

 

 

Смотрите также

Утечки данных

28 февраля, 2019
Подпишись на новости!
Подписаться