Банк России совместным услисиями с ТК122 летом 2015 выпустил очередной документ из стека СТО БР ИББС касающиеся защиты виртуальной инфраструктуры - «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологии виртуализации» (РС БР ИББС-2.8-2015). Не смотря на то, что данный стандарт, согласно действующему законодательству, носит рекомендательный характер все документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение о присоединении к стандарту. А технологии виртуализации сегодня используют практически все организации вне зависимости от своего масштаба.
В сегодняшнем материалы мы более детально рассмотрим указанный документ ЦБ РФ и чуть чуть подробнее поговорим об особенностях защиты виртуальной ИТ-инфраструктуры
Виртуализация
Виртуализация — предоставление набора вычислительных ресурсов или их логического объединения, абстрагированное от аппаратной реализации, и обеспечивающее при этом логическую изоляцию друг от друга вычислительных процессов, выполняемых на одном физическом ресурсе.
Примером использования виртуализации является возможность запуска нескольких операционных систем на одном компьютере или целого виртуального пула на севере. Также могут быть подвергнуты виртуализации сети передачи данных, сети хранения данных, платформенное и прикладное программное обеспечение.
Сегодня специалисты выделяют следующие типы:
- виртуализация серверов, под которой понимают либо размещение нескольких логических (виртуальных) серверов в рамках одного физического (например, VMware ESX Server или KVM), либо объединение нескольких физических серверов в один логический для решения определенной задачи (например, в виде кластера);
- виртуализация рабочих станций (VDI), являющаяся развитием идеи терминального подключения и заключающаяся в возможности предоставить пользователю свой собственный "рабочий стол", но работающий на удаленном сервере и не использующий ресурсы компьютера пользователя (например, Citrix XenDesktop);
- виртуализация приложений позволяет разворачивать приложения "по требованию", изолировав их от других приложений (например, Citrix XenApp или VMware ThinApp);
- виртуализация сети позволяет построить несколько изолированных друг от друга сетей – как в рамках одного предприятия (технология VLAN), так и в рамках оператора связи (технология MPLS);
- виртуализация аппаратного обеспечения, позволяющая эмулировать оборудование;
- виртуализация безопасности, которая может трактоваться и как средства защиты, специально созданные для поддержки виртуализированных сред (например, Cisco ASAv или решения Virtuata), и как виртуальные средства защиты в рамках одного устройства защиты, каждое из которых действует независимо от других и в соответствии со своей политикой (например, виртуальные МСЭ или виртуальные сенсоры системы обнаружения вторжений).
Виртуализация с точки зрения ИБ
Есть ряд особенностей отличающих виртуальную ИТ-инфраструктуры от физической:
Во-первых, виртуализация серверов, приложений или рабочих мест позволяет приложениям перемещаться между серверами, удаленными ЦОДами и даже облачными средами (гибкая миграция). Такая мобильность увеличивает сложность того уровня сети, который отвечает за безопасность. Обычно он работает с неподвижными ресурсами и их адресами, а также статичными сетями при реализации политик безопасности. Гибкость перемещения политик безопасности в соответствии с изменением виртуальных рабочих нагрузок является сложной задачей, требующей особого внимания.
В результате виртуализации серверов возникают новые точки атак, в частности на уровне виртуализации, включая гипервизор, среду виртуальных машин и программные коммутаторы, заменяющие физические уровня контроля доступа в сети. Появление этих дополнительных слоев увеличило число уязвимых мест современного ЦОДа или облачной среды. Действительно, по своей сути уровень виртуализации хуже защищен по сравнению с физическими устройствами из-за отсутствия физического разделения и особенностей, связанных с большим числом пользователей.
В физических локальных сетях для разделения групп пользователей и ресурсов в основном используются виртуальные сети (VLAN, PVLAN и т.п.). Такое решение непригодно для виртуальных ЦОДов, поскольку, как правило, виртуализируемые приложения или ОС не могут перемещаться между виртуальными сетями. В результате исчезает основное преимущество виртуализации – возможность использования любого доступного ресурса в центре. Поэтому возникает необходимость в новых средствах разделения сетей и обеспечения безопасности (например, специальные метки безопасности Security Group Tag, технология TrustSec и т.п.).
Во-вторых, информационных технологиях принято строгое распределение ответственности между администраторами серверов, сетей и службой безопасности. Виртуализация серверов усложнила такое разделение труда, поскольку те, кто работает с серверами, как правило, взяли на себя вопросы обслуживания сетей и обеспечения безопасности уровня виртуализации, закрепленного за серверами и средой виртуальных машин. Поэтому необходимо использовать средства, позволяющие использовать функции групп безопасности и единообразные политики безопасности на уровне виртуализации.
В своем интервью, Руководитель ИБ-решений Юрий Черкас выделяет три технологических вектора, по которым сегодня развивается защита виртуализированных сред сегодня.
- Первый — защита доступа к платформе виртуализации.
- Второй — контроль доступа, прежде всего административного, к виртуализированной инфраструктуре.
- Третий — защита виртуализированных ИКТ-сервисов, для чего используются специально созданные под виртуализированные среды ИБ-технологии (антивирусные, технологии IDS/IPS, точек на дюйм и т. п.)
Обеспечение информационной безопасности в таком случае можно условно разделить на следующие составляющие:
1. ИБ-функции уровня аппаратных платформ. К ним относят контроль аппаратной среды, доверенную загрузку ПО виртуализации, аппаратное шифрование данных в системах хранения данных (СХД). Наложенные средства на этом уровне возможны, но накладывают неприемлемые ограничения. Например, модули доверенной загрузки российского производства рассчитаны на применение в классических серверах и неприменимы на серверах-лезвиях, а наложенное средство шифрования данных в СХД может снизить скорость обмена до неприемлемой для пользователя.
2. ИБ-функции уровня ПО виртуализации. На этом уровне должны выполняться базовые ИБ-функции, которые одновременно являются неотъемлемой частью самой технологии виртуализации. Основная из них — разграничение доступа к данным, обрабатываемым в ВМ, и изоляция ВМ. На этом уровне также должны решаться задачи, такие как:
- по управлению виртуальной инфраструктурой с применением мандатно-ролевого принципа доступа к объектам
- контроля целостности ПО виртуализаторов;
- доверенной загрузки образов ВМ;
- межсетевого экранирования (контроль трафика на сетевом уровне);
- контроля миграции образов ВМ.
СТО БР ИББС и виртуализация
Требования по обеспечению информационной безопасности при управлении доступом и регистрацией, при использовании средств антивирусной и криптографической защиты, ресурсов сети интернет являются общими для физических и виртуальных сред обработки. Тем не менее, обработка данных в виртуальной среде имеет свои особенности, на которые надо обратить особое внимание.
В рассматриваемом нами документе содержится 8 групп рекомендаций, таких как:
- разделение потоков информации и изоляция виртуальных машин,
- обеспечение ИБ виртуальных машин,
- обеспечение ИБ образов виртуальных машин,
- обеспечение ИБ серверных компонентов виртуализации,
- обеспечение ИБ систем хранения данных (СХД),
- обеспечение ИБ АРМ пользователей (терминалов и персональных электронных вычислительных машин), используемых при реализации технологии виртуализации рабочих мест пользователей, а также
- мониторинг ИБ
- определение состава ролей и разграничение полномочий эксплуатационного персонала.
Каждая группа содержит общие или специфические требования предъявляемые к рассматриваемым объектам с точки зрения информационной безопасности.
Так же можно отметить, что группа экспертов ЦБ РФ потрудилась и над перечнем терминов, и теперь четко определены все действующие компоненты системы. К примеру, формально закреплены следующие понятия:
Средство виртуализации (гипервизор) – программное средство, используемое для реализации технологии виртуализации, которое обеспечивает эмуляцию на одном физическом средстве вычислитель- ной техники (хост-сервере) нескольких виртуальных машин.
Серверные компоненты виртуализации – совокупность гипервизора, технических средств, необходимых для функционирования гипервизора, технических средств, предназначенных для управления и администрирования гипервизора, ПО, предназначенного для предоставления доступа к виртуальным машинам с АРМ пользователей (брокер соединений)
Контролируемый периметр виртуальной ИТ-инфраструктуры назван "Контур безопасности" – совокупность аппаратно-программных средств и информационных ресурсов, для которых в организации БС РФ установлен единый набор требований к обеспечению информационной безопасности.
Комментариев нет:
Отправить комментарий
Вы можете добавить свой комментарий...
Примечание. Отправлять комментарии могут только участники этого блога.