Защита виртуализации "в эпоху бурного развития"

Требования пользователей к их компьютерам, рабочим или домашним, постоянно растут: 640 Кбайт оперативной памяти уже не хватает, невозможно обойтись без поддержки многозадачности и выхода в Интернет, и даже тогда многим мало одного рабочего места. Информационная система эволюционирует от физической к виртуальной, от виртуальной – к центру обработки данных, от ЦОДа – через частное облако – к облаку гибридному или публичному.

Безопасники обычно утверждают, что использование публичных облаков для работы с корпоративными данными не подходит: информация выходит за пределы компании, безопасностью занимается провайдер (остается лишь верить в его благонадежность). Впрочем, когда технология виртуализации только занимала свое место на арене ИТ, опасений было не меньше. Новая технология – новые вызовы безопасности.

Сегмент–В

Сегодня уже созданы свои средства защиты информации (СЗИ) для многих задач: для антивирусной защиты, доверенной загрузки виртуальных машин [1–4], разграничения доступа к объектам виртуальной инфраструктуры (ВИ) [5].

Так, разработанный ОКБ САПР комплекс "Сегмент-В." предназначен для разграничения доступа к функциям управления ВИ на базе VMware vSphere. В состав комплекса входят прокси-сервер, специальное программное обеспечение для настройки разграничения доступа к ВИ и сервис регистрации событий.

Используя ПАК "Сегмент-В.", администратор безопасности получает возможность на основе иерархических мандатных меток задавать правила доступа пользователей (администраторов ВИ) к объектам, а через назначение списка действий определять перечень операций, которые пользователь может совершать.

Прокси-сервер обрабатывает в соответствии с заданными правилами разграничения доступа все запросы, поступающие с рабочего места администратора ВИ на сервер управления vCenter (или на ESXi). "Сегмент-В." пропускает только разрешенные действия. Правила разграничения доступа задаются администратором безопасности через графическую утилиту из состава "Сегмент-В.". Сервис регистрации событий, устанавливаемый на рабочем месте администратора безопасности, собирает информацию обо всех действиях в системе, как разрешенных, так и запрещенных для исполнения.

Через назначение меток также обеспечивается сегментирование ВИ – прокси-сервер "Сегмент-В." не допускает выполнение действий, в которых участвуют объекты различных уровней доступа или с непересекающимися множествами категорий.

У знакомых с VMware vSphere могут возникнуть вопросы, действительно ли необходим дополнительный продукт для разграничения доступа администраторов, если сама платформа виртуализации предоставляет пользователю возможность определить набор разрешенных ему действий через назначение соответствующей его обязанностям роли, а также предоставлять доступ лишь к необходимым для работы пользователя объектам. Не усложнит ли введение наложенного СЗИ работу администраторов ВИ? Не станет ли прокси-сервер, центральный элемент защиты, точкой отказа всей системы?

Дополнительный СЗИ – решение или проблема?

При использовании для разграничения доступа лишь встроенных механизмов VMware vSphere возникает проблема сосредоточения максимальных привилегий в рамках одной роли главного администратора ВИ, т.е. проблема "суперпользователя". Такой администратор может назначить любые права любому пользователю, дать доступ к любому объекту, являясь при этом администратором ВИ, а не безопасности; в рамках одного пользователя сосредоточены права двух администраторов, каждый из которых должен решать свои задачи и преследовать свои интересы.

Хотя решить данную проблему зачастую возможно организационными мерами, это не всегда удобно. "Сегмент-В." позволяет администратору безопасности самому разрешать пользователям выполнение только определенных действий, не являясь при этом администратором ВИ. Такое разделение полномочий администратора безопасности и администратора ВИ позволяет решить проблему "суперпользователя".

Несмотря на то что "Сегмент-В." позволяет разграничивать полномочия администраторов ВИ, после его установки в работе этих пользователей ничего не меняется, разве что настройки сети: теперь трафик проходит через прокси-сервер. На рабочем же месте не появляется дополнительных утилит, нет необходимости проходить аутентификацию в каких-либо дополнительных защитных сервисах, а для доступа к ВИ администратор может продолжать использовать привычные ему средства: vSphere Client (HTML5) для работы с последними версиями ВИ или Windows-клиент vClient для платформ vSphere 6.0 и ранее.

Использование резервирования прокси-сервера "Сегмент-В." позволяет обезопасить себя от создания точки отказа всей системы: работая в кластерном режиме, два прокси-сервера хранят одинаковые настройки правил разграничения доступа, а при выходе из строя одного из них автоматически происходит перенаправление трафика на второй.

Когда-то задачи разграничения действий пользователей в ВИ и обеспечение сегментирования были вызовом специалистам по защите информации, сегодня у нас есть решение. Наверняка завтра такой же обыденной задачей станет и защита данных в публичном облаке.

Литература

1. Мозолина Н. В. Необходимо и достаточно, или контроль целостности виртуальных машин с помощью Аккорд-KVM // Information Security/Информационная безопасность. – 2018. – № 5. – С. 33.

2. Рябов А. С., Угаров Д. В., Постоев Д. А. Безопасность виртуальных инфраструктур. Сложности и нюансы выполнения требований регулятора //Комплексная защита информации: материалы XXI научно-практической конференции, Смоленск, 17–19 мая 2016 г. М., 2016. – С. 217–220.

3. Конявская С. В. Инновации в традиционных решениях для ЦОДов // Национальный банковский журнал. – 2018. – № 3 (169). – С. 94.

4. Конявская С. В., Шамардина (Чепанова) Е. Г. Выводы о средствах защиты виртуализации // Национальный банковский журнал. – 2017. – № 9 (сентябрь). – С. 104.

5. Конявская С. В., Угаров Д. В., Постоев Д. А. Инструмент контроля доступа к средствам управления виртуальной инфраструктурой // Information Security/Информационная безопасность. – 2016.– № 2. – С. 9.