Контакты
Подписка 2024

Защита виртуализации "в эпоху бурного развития"

Надежда Мозолина, 27/05/19

 

 

Требования пользователей к их компьютерам, рабочим или домашним, постоянно растут: 640 Кбайт оперативной памяти уже не хватает, невозможно обойтись без поддержки многозадачности и выхода в Интернет, и даже тогда многим мало одного рабочего места. Информационная система эволюционирует от физической к виртуальной, от виртуальной – к центру обработки данных, от ЦОДа – через частное облако – к облаку гибридному или публичному.

 

Безопасники обычно утверждают, что использование публичных облаков для работы с корпоративными данными не подходит: информация выходит за пределы компании, безопасностью занимается провайдер (остается лишь верить в его благонадежность). Впрочем, когда технология виртуализации только занимала свое место на арене ИТ, опасений было не меньше. Новая технология – новые вызовы безопасности.

Сегмент–В

Сегодня уже созданы свои средства защиты информации (СЗИ) для многих задач: для антивирусной защиты, доверенной загрузки виртуальных машин [1–4], разграничения доступа к объектам виртуальной инфраструктуры (ВИ) [5].

Так, разработанный ОКБ САПР комплекс "Сегмент-В." предназначен для разграничения доступа к функциям управления ВИ на базе VMware vSphere. В состав комплекса входят прокси-сервер, специальное программное обеспечение для настройки разграничения доступа к ВИ и сервис регистрации событий.

Используя ПАК "Сегмент-В.", администратор безопасности получает возможность на основе иерархических мандатных меток задавать правила доступа пользователей (администраторов ВИ) к объектам, а через назначение списка действий определять перечень операций, которые пользователь может совершать.

Прокси-сервер обрабатывает в соответствии с заданными правилами разграничения доступа все запросы, поступающие с рабочего места администратора ВИ на сервер управления vCenter (или на ESXi). "Сегмент-В." пропускает только разрешенные действия. Правила разграничения доступа задаются администратором безопасности через графическую утилиту из состава "Сегмент-В.". Сервис регистрации событий, устанавливаемый на рабочем месте администратора безопасности, собирает информацию обо всех действиях в системе, как разрешенных, так и запрещенных для исполнения.

Через назначение меток также обеспечивается сегментирование ВИ – прокси-сервер "Сегмент-В." не допускает выполнение действий, в которых участвуют объекты различных уровней доступа или с непересекающимися множествами категорий.

У знакомых с VMware vSphere могут возникнуть вопросы, действительно ли необходим дополнительный продукт для разграничения доступа администраторов, если сама платформа виртуализации предоставляет пользователю возможность определить набор разрешенных ему действий через назначение соответствующей его обязанностям роли, а также предоставлять доступ лишь к необходимым для работы пользователя объектам. Не усложнит ли введение наложенного СЗИ работу администраторов ВИ? Не станет ли прокси-сервер, центральный элемент защиты, точкой отказа всей системы?

Дополнительный СЗИ – решение или проблема?

При использовании для разграничения доступа лишь встроенных механизмов VMware vSphere возникает проблема сосредоточения максимальных привилегий в рамках одной роли главного администратора ВИ, т.е. проблема "суперпользователя". Такой администратор может назначить любые права любому пользователю, дать доступ к любому объекту, являясь при этом администратором ВИ, а не безопасности; в рамках одного пользователя сосредоточены права двух администраторов, каждый из которых должен решать свои задачи и преследовать свои интересы.

Хотя решить данную проблему зачастую возможно организационными мерами, это не всегда удобно. "Сегмент-В." позволяет администратору безопасности самому разрешать пользователям выполнение только определенных действий, не являясь при этом администратором ВИ. Такое разделение полномочий администратора безопасности и администратора ВИ позволяет решить проблему "суперпользователя".

Несмотря на то что "Сегмент-В." позволяет разграничивать полномочия администраторов ВИ, после его установки в работе этих пользователей ничего не меняется, разве что настройки сети: теперь трафик проходит через прокси-сервер. На рабочем же месте не появляется дополнительных утилит, нет необходимости проходить аутентификацию в каких-либо дополнительных защитных сервисах, а для доступа к ВИ администратор может продолжать использовать привычные ему средства: vSphere Client (HTML5) для работы с последними версиями ВИ или Windows-клиент vClient для платформ vSphere 6.0 и ранее.

Использование резервирования прокси-сервера "Сегмент-В." позволяет обезопасить себя от создания точки отказа всей системы: работая в кластерном режиме, два прокси-сервера хранят одинаковые настройки правил разграничения доступа, а при выходе из строя одного из них автоматически происходит перенаправление трафика на второй.

Когда-то задачи разграничения действий пользователей в ВИ и обеспечение сегментирования были вызовом специалистам по защите информации, сегодня у нас есть решение. Наверняка завтра такой же обыденной задачей станет и защита данных в публичном облаке.

Литература

1. Мозолина Н. В. Необходимо и достаточно, или контроль целостности виртуальных машин с помощью Аккорд-KVM // Information Security/Информационная безопасность. – 2018. – № 5. – С. 33.

2. Рябов А. С., Угаров Д. В., Постоев Д. А. Безопасность виртуальных инфраструктур. Сложности и нюансы выполнения требований регулятора //Комплексная защита информации: материалы XXI научно-практической конференции, Смоленск, 17–19 мая 2016 г. М., 2016. – С. 217–220.

3. Конявская С. В. Инновации в традиционных решениях для ЦОДов // Национальный банковский журнал. – 2018. – № 3 (169). – С. 94.

4. Конявская С. В., Шамардина (Чепанова) Е. Г. Выводы о средствах защиты виртуализации // Национальный банковский журнал. – 2017. – № 9 (сентябрь). – С. 104.

5. Конявская С. В., Угаров Д. В., Постоев Д. А. Инструмент контроля доступа к средствам управления виртуальной инфраструктурой // Information Security/Информационная безопасность. – 2016.– № 2. – С. 9.

 

 

Темы:ВиртуализацияЗащита сетейОКБ САПРНадежда Мозолина

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Про m-TrusT для АСУ ТП в новой удобной форме
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    C самого начала мы позиционировали m-TrusT предназначенным в основном именно для АСУ ТП, и, казалось бы, об этом написано уже просто все. Более того, АСУ ТП и является одной из основных сфер фактического применения этого решения. Стоит ли писать еще один текст на ту же тему?
  • Актуальная проблема защиты информации в АСУ ТП
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Совершенно естественно, что регуляторы предъявляют требования к системам и выполнять их должны владельцы систем. На этом, пожалуй, все. Дальше начинается что-то неестественное. Давайте попробуем понять почему и исправить.
  • Аккорд-KVM Control Point: пункт управления защитой виртуальной инфраструктуры
    Екатерина Маренникова, Аналитик ОКБ САПР
    Для защиты инфраструктур виртуализации разработаны специальные средства защиты, они контролируют целостность ВМ и компонентов, исключая перехват управления
  • UserGate 7.0: новые возможности NGFW и экосистемы
    Компания UserGate объявила о релизе седьмой, существенно переработанной, версии собственной операционной системы, которая является основой для экосистемы UserGate SUMMA с флагманским продуктом UserGate NGFW во главе.
  • Технологический обзор российского рынка NGFW
    Дмитрий Хомутов, директор компании “Айдеко”
    Посмотрим правде в глаза: переходить с зарубежных Enterprise-продуктов на российские зачастую аналогично пересаживанию с иномарки на российский автомобиль
  • Обзор изменений в законодательстве. Январь и февраль 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Особенности трансграничной передачи ПДн, обработка биометрических ПДн, госсистема защиты информации, рекомендации ФСТЭК по безопасности ОС Linux и безопасность средств виртуализации

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Доверенные решения для защиты российских Linux и миграции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать

More...