Защита виртуальных ЦОД

Сегодняшние тенденции перехода к новой виртуализированной архитектуре дата-центров меняют подход к их построению, при котором увеличивается уровень консолидации ресурсов и повышается эффективность использования оборудования.
Юрий Сергеев
руководитель группы проектирования
Центра информационной безопасности
компании «Инфосистемы Джет»
Это требует соответствующего подкрепления в виде адаптированных к новой среде механизмов обеспечения ИБ. Кроме того, необходимо, чтобы применяемые средства защиты не только запускались в виртуальной среде, но и использовали ее возможности для получения новых преимуществ с точки зрения ИБ. 

Виртуальный ЦОД можно рассматривать как специализированную площадку с современной инженерной инфраструктурой (системами кондиционирования и вентиляции, общего и резервного электроснабжения, пожаротушения и т.д.). При этом информационные системы на ней размещаются не на физическом оборудовании, а в виртуальной среде, охватывающей серверную и телекоммуникационную части инфраструктуры. В такой ситуации сервисы, размещаемые в ЦОД постоянно, не привязаны к ресурсам конкретного физического устройства и динамически перемещаются между серверами виртуализации. А сетевая инфраструктура реализуется таким образом, чтобы после перемещения виртуальная машина (ВМ) могла полноценно продолжать свою работу.

В зоне безопасности — разделяй!

1Наиболее удачное решение для рассматриваемой среды основано на разделении виртуальной среды на зоны безопасности, являющиеся набором преднастроенных базовых сервисов защиты, в том числе антивирусной защиты, защиты от сетевых атак, контроля целостности и пр. Эти сервисы предоставляются виртуальным машинам по безагентской технологии, и при погружении новой виртуальной машины в ту или иную зону виртуального ЦОД сразу же обеспечивается ее защищенное функционирование без каких-либо дополнительных усилий. Реализацией такой защиты занимаются выделенные ВМ безопасности, тесно интегрируемые с функциями гипервизора. При этом, когда виртуальным дата-центром пользуются третьи (по отношению к обслуживающей организации) лица, выполнение этой концепции позволяет с уверенностью говорить об определенном уровне защиты, получаемом всеми пользователями вне зависимости от качественности защиты администраторами каждой конкретной ВМ.

Разделение на указанные зоны безопасности может быть выполнено на логическом уровне при управлении виртуальной средой. Это особенно актуально, когда в виртуальном дата-центре обрабатывается информация, содержащая данные о платежных картах, что требует обеспечения соответствия стандарту PCI DSS. В таком случае для оптимизации области действия стандарта (для выполнения всех требований только для части виртуального ЦОД) желательно выделять в зону безопасности область PCI DSS на логическом уровне с помощью средств контроля доступа к виртуальной среде. При этом важно обеспечить доступ к интерфейсам управления только по результатам строгой аутентификации. В этом плане применение двухфакторной аутентификации с точки зрения ИБ приобретает особую значимость.

Про технику безопасности

Многообразие векторов атак, направленных на различные компоненты и сервисы виртуальной среды, приводит к тому, что для обеспечения безопасности обработки информации в виртуальном ЦОД недостаточно установки какого-либо одного специализированного продукта. Обеспечение безопасности виртуальных ЦОД требует создания комплексной системы защиты, учитывающей критические векторы атаки и новые возможности нарушителей. При этом из-за повышения возможностей преодоления систем защиты при получении несанкционированного доступа к управлению виртуальной средой возрастает значимость построения ряда процессов обеспечения ИБ. Среди них: предоставление доступа, управление инцидентами, событиями, обновлениями и конфигурациями ИБ, анализ уязвимостей и актуализация угроз, проектирование и актуализация системы защиты.

На чем сосредоточиться?

Зачастую данные процессы невозможно реализовать без участия выделенных ИБ-специалистов и организации их работы на постоянной основе. Безусловно, что-то эффективнее автоматизировать, используя различные технологии и продукты. Отдельного внимания заслуживают проработка модели разделения полномочий пользователей и определение, кому конкретно какой доступ необходим. Это позволяет избежать концентрации у одного человека универсальных прав «гиперпользователя».

Основные векторы атаки, свойственные виртуальным ЦОД:

  • атаки на сетевые сервисы ВМ: сетевые службы виртуальной машины, так же как и физической, доступны из сети для проведения атак;
  • атаки на сетевой стек гипервизора: сервер виртуализации и все виртуальные машины имеют общий программный сетевой стек, реализующий коммутацию пакетов между ВМ, сервером виртуализации и внешней средой. Например, известны уязвимости виртуальных коммутаторов, в том числе и распределенных, когда обработка потока заблокированных пакетов приводила к падению гипервизора (CVE-2011 — 0355);
  • атаки на гипервизор из гостевой машины: при программной реализации взаимодействия между ВМ и гипервизором возможны ошибки. Это может привести к выходу за пределы доступной одной виртуальной машине памяти. Например, известны escape-атаки для ESX (CVE-2012-2450, когда неверная регистрация SCSI-устройств позволяла атакующему вызывать отказ в обслуживании или запуск произвольного кода, записывая данные в процесс VMX сервера виртуализации из ВМ) и для XenServer (CVE-2012-3516, при которых ошибка в реализации grant table гипервызова позволила записывать информацию в память гипервизора, что чревато получением повышенных привилегий);
  • атаки на интерфейс управления гипервизора: многие производители разрабатывают собственные Web-based API для управления гипервизорами, в которых уже были найдены уязвимости (CVE-2010-0633, CVE-2012-5703);
  • атаки на интерфейс управления средства управления гипервизорами: например, повышение привилегий за счет получения чужого SOAP session ID в vCenter (CVE-2011-1788);
  • атаки на прикладные сервисы, обеспечивающие работу средства управления гипервизорами: Web-интерфейс часто использует серверы приложений и базы данных, компрометация которых приводит к аналогичным последствиям для виртуальной инфраструктуры (например, уязвимость CVE-201 20022B Apache Tomcat, который использует VMware vCenter);
  • атаки на интерфейс управления систем хранения данных, приводящие к получению доступа к образам виртуальных машин;
  • атаки на сетевые устройства, позволяющие перенаправлять сетевые потоки с последующим анализом хэшей паролей, перехватом сессий и др.;
  • атаки на серверы аутентификации: среда управления гипервизорами часто интегрируется с Active Directory, поэтому уязвимости в ОС Windows контроллера домена создают риск получения значительных привилегий в виртуальной среде.

Опыт показывает, что реализация процесса управления установками обновлений и серьезное отношение к процедурам аутентификации и выдаче привилегий нивелируют значительную часть ИБ-рисков для виртуального ЦОД. В целом проектирование виртуального дата-центра требует от ИБ-специалистов уделять более пристальное внимание сокращению потенциальной области, доступной для атаки злоумышленника, заблаговременному планированию сегментации сетей, отключению неиспользуемых виртуальных устройств и сетевых сервисов.

Всем уязвимостям по мере защиты

Технологии виртуализации бурно развиваются и уязвимостей, связанных со средой виртуализации, с каждым месяцем становится все больше. Поэтому основная задача — не столько ограничение возможностей злоумышленника для использования уязвимостей, сколько проактивная работа по контролю исправлений новых уязвимостей и проведению анализа сетевых узлов с помощью сканеров. В основном это развитие обусловлено IТ-причинами, в результате которых программный слой среды виртуализации зачастую разрабатывается без оглядки на требования И Б. Кроме большего количества уязвимостей, это приводит к тому, что средства управления виртуальной средой не обеспечивают фиксацию достаточного количества полей сообщений при ведении журналов действий пользователей. В итоге могут существенно затрудниться расследование инцидентов и возникнуть необходимость в реализации дополнительных мер защиты либо применении специализированных средств контроля доступа.

Рынок средств защиты, реагируя на новые вызовы защиты виртуальных ЦОД, сегодня предлагает множество оптимизированных для работы в виртуальной среде средств. Их использование позволит обеспечить такой уровень ИБ, который сопоставим с дата-центрами, построенными по старым принципам, и даже более того — даст шанс сделать защиту еще более эффективной.

Источник: Журнал «Information Security/ Информационная безопасность» #6, 2012