Специфические информационные угрозы виртуальных инфраструктур.Опыт решения задач защиты информации в виртуальной среде

Ukrainian Information Security Group

30 ИЮЛЯ 2010, КИЕВ

Заместитель руководителя направления "Защита виртуальных инфраструктур"

МАРИЯ СИДОРОВА

2

О виртуализации

Зачем нужна виртуализация?

3

• Позволяет быстро и дешево выделять серверные ресурсы

• Автоматически приводит к низкой утилизации, рассматривая все серверы и системы хранения как единое пространство, динамически выделяя дополнительные ресурсы при росте нагрузки и освобождая - при низкой

• …• …

Виртуализация в цифрах

4Источник: Gartner, 2009

Результаты опроса Garther “Top 10 Technology Priorities in 2010”:

1. Virtualization2. Cloud computing3. Web 2.04. Networking, voice and data communications5. Business Intelligence6. Mobile technologies7. Data/document management and storage8. Service-oriented applications and architecture9. Security technologies10. IT management

1. Virtualization

Виртуализация в цифрах

5

Виртуализация в цифрах

6

7Источник: Gartner, 2010

виртуальных машин защищены хуже, чем их физические аналоги

Виртуализация в цифрах

8Источник: Gartner, 2010

проектов виртуализации выполняются без привлечения специалистов в области ИБ

Виртуализация в цифрах

9

Специфические информационные угрозы

Виртуальная среда

10

Гипервизор

Сервер виртуализации

Ядро ОС Ядро ОС

Приложе-ния

Приложе-ния

Аппаратное обеспечение

Упр

авл

ение

вир

туал

ьной

ин

фра

стру

ктур

ой

Обычный компьютер

Ядро ОС

Приложения

Аппаратное обеспечение

Типы виртуализации

Тип 1 Тип 2

11

Уровни безопасности

• Разделение на уровни безопасности по версии Xtravirt– Уровень виртуализации– Виртуальные машины– Сервисная консоль – Сервер виртуализации– Сеть хранения данных– Сервер управления инфраструктурой

• Угрозы, что и для физической инфраструктуры• Появляются новые угрозы, специфичные для среды

виртуализации• В Интернете растет число публикаций по реализации

атак

12

Традиционные средства защиты!?

• Трафик между двумя виртуальными машинами, находящимися на одном сервере виртуализации, не покидает его

• Виртуальные машины и приложения не привязаны к одной физической платформе

• Сразу несколько виртуальных машин находятся в одном разделе в целях обеспечения "горячей" миграции и отказоустойчивости

• Возможность создать новую виртуальную машину за несколько минут

13

Использование специальных утилит

• Такой анализ не дает полной картины о состоянии информационной безопасности инфраструктуры виртуализации

14

Особенности мониторинга

• Стандартные средства мониторинга и логирования легко обойти

• Новые типы активности, которые необходимо интерпретировать

• Новые объекты для мониторинга

15

Обнаружение инцидентов

• Для инфраструктуры виртуализации существующие инструкции и регламенты по реагированию на инциденты могут оказаться неприемлемыми

• Примеры инцидентов– Клонирование машины в нерабочее время– Создание нового хранилища и последующее его удаление в течение

небольшого промежутка времени– Несколько идущих подряд изменений аппаратной конфигурации

гостевой ОС производственной виртуальной машины

16

Организационные проблемы

• Разделение ответственности:– Сервер– Приложения– Данные– Сеть

• Разделение обязанностей администраторов• Ряд ограничений, которые возможно не позволят их

встроить в существующие политики и регламенты по ИТ и ИБ

17

Мировые практики и рекомендации

• В каждом документе более 100 страниц настроек безопасности

Рекомендации CIS ESX Server Benchmark

• “Configure NTP on VMware ESX Server”• “Configure the Service Console Firewall for High

Security“• “Configure xinetd Access Control”• “Limiting Access to su*” • “Set GRUB Password” • “Prevent the Guest OS Processes from Flooding the ESX

Server Host” • “Remove Unnecessary Hardware Devices”• …

Более 100 рекомендаций…

…но, есть человеческий фактор

Будущее средств защиты

• Снижение затрат на процесс управления целостностью конфигураций системы безопасности (Gartner)

• Разделение и делегирование полномочий “суперпользователей” (отраслевые стандарты)

• Усиленный контроль доступа администраторов к виртуальной инфраструктуре (Gartner)

• Ролевой и мандатный контроль доступа (Atsec)

• Снижение затрат на соответствие требованиям законов и отраслевых стандартов (Gartner)

Каким путем пойти?

22

?

Использовать только специализированные нечувствительные к угрозам виртуализации средства защиты

Использовать традиционные средства

специализированное решение, закрывающее угрозы виртуализации

23

vGate 2.1Управление доступом и изменениями параметров

безопасности виртуальной инфраструктуры

24

vGate 2.1• Защита информации от утечек через специфические

каналы среды виртуализации• Усиленная аутентификация и контроль доступа

администраторов• Контроль изменений конфигурации • Соответствие требованиям

vGate 2.1: уникальные преимущества • Мандатное и ролевое управление доступом с помощью

бизнес-категоризации• Управление и контроль конфигураций через политики с

предоставленными шаблонами • Усиленная аутентификация, разделение ролей

администраторов, делегирование полномочий• Защита от утечек информации через каналы,

специфичные для виртуальной инфраструктуры – Контроль устройств– Доверенная загрузка виртуальных машин– Контроль доступа администраторов

• Аудит и глубокий мониторинг событий ИБ

vGate 2.1: мандатный контроль доступа

26

Два типа меток конфиденциальности:

• Степень важности информации:Открытая информация

Для внутреннего использования

Коммерческая тайна

Информация первых лиц

• Бизнес категории информации:БухгалтерияПродажиПроизводство

vGate 2.1: политики безопасности

27

• Позволяют контролировать параметры безопасности в автоматическом режиме

• Могут применяться к:– ESX-хостам– Виртуальным машинам

• Примеры:– Только ВМ с метками «Открытая информация»

могут клонироваться и помещаться в шаблоны ВМ– ESX-хосты и ВМ с меткой «Платежи» должны

соответствовать PCI DSS

vGate 2.1: соответствие требованиям

28

• Приведение в соответствие – PCI DSS– VMware Security Hardening Best Practice– CIS VMware ESX Server 3.5 Benchmark

• Возможность создания собственного шаблона соответствия

• Контроль изменения конфигурации

29

• Сервер авторизации • Модули защиты ESX• Рабочее место

администратора ВИ• Консоль управления

администратора ИБ

vCenter

ВМ ВМ ВМ ВМ

Администратор Администратор

ESX-хост ESX-хост

vGate

vGatevGate

Архитектура

30

• Право на использование Сервера авторизации vGate

• Право на использование vGate для защиты ESX-хостов

Лицензирование

vCenter

ВМ ВМ ВМ ВМ

Администратор Администратор

ESX-хост ESX-хост

vGateшт.

сокеты сокеты

Комплексная защита виртуализации• Задачи комплексной защиты виртуализации можно

разделить на следующие группы:– Защита инфраструктуры виртуализации

vGate– Защита информации от НСД

Secret Net Security Studio Suite

– Доверенная загрузка ESX хостов и виртуальных машин Соболь vGate

– Защита сети виртуальных машин Trust Access HoneyPot Manager

– Защита периметра (в случае территориально распределенных ЦОД) Континент

– Контроль ИБ Secret Net КБ Инвентаризация

31

32

vGate 2.1

Подробнее о vGate:• http://www.securitycode.ru/products/sn_vmware/ • m.sidorova@securitycode.ru

Предоставляем демо-версию vGate:• http://www.securitycode.ru/products/demo/

33

О Компании«Код Безопасности»

«Код Безопасности»

• Российский разработчик программных и аппаратных средств для защиты информации

• Входит в группу компаний «Информзащита», крупнейший специализированный холдинг российского рынка информационной безопасности

• Компания образована в октябре 2008 года на основе отдела собственных разработок ГК «Информзащита» (около 70 инженеров)

• Сейчас в компании работают более 200 человек

34

Как мы работаем

VMware (Technology Alliances Partner)www.vmware.com

Microsoft (Microsoft Gold Certified Partner в категории Решения безопасности и ISV/Software Solutions)www.microsoft.com

Citrix(Citrix Alliance Program, Technology Member)www.citrix.com

35

Нам доверяют защиту своей информацииАдминистрация Президента РФАдминистрация Президента РФЦентральный БанкЦентральный БанкГАС «Выборы»ГАС «Выборы»Министерство финансовМинистерство финансовФедеральное казначействоФедеральное казначействоОАО «Вымпелком»ОАО «Вымпелком»ОАО «Внешторгбанк»ОАО «Внешторгбанк»Региональные управления Банка Региональные управления Банка России и СбербанкаРоссии и СбербанкаРосэнергоатомРосэнергоатомГМК «Норильский никель»ГМК «Норильский никель»и т.д.и т.д.

СПАСИБО ЗА ВНИМАНИЕ!ВОПРОСЫ?

Ukrainian Information Security Group

МАРИЯ СИДОРОВА

30 ИЮЛЯ 2010, КИЕВ

• +7 (495) 980-2345 (многоканальный)• m.sidorova@securitycode.ru • www.securitycode.ru

37

Заместитель руководителя направления "Защита виртуальных инфраструктур"