Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Информационная безопасность виртуальной среды

Фомин А.А.

Many companies, including Russian, already now introduce technologies of virtual servers and desktop systems, colliding thus with considerable quantity of problems. Though use of virtual machines now very fashionably, experts on protection of the information sees a significant source of threats of information safety in their use.

Виртуальная машина - это окружение, которое представляется для «гостевой» операционной системы, как аппаратное. Однако на самом деле это программное окружение, которое симулируется программным обеспечением клиентской системы.

Виртуализация на уровне операционной системы - виртуализирует физический сервер на уровне операционной системы, позволяя запускать изолированные и безопасные виртуальные серверы на одном физическом сервере.

На уровне приложений виртуализация существует уже давно - еще в 60-е и 70-е годы прошлого века данной технологией пользовались, чтобы «обманывать» однопользовательские однозадачные среды. Целью виртуализации была необходимость перехода от исключительно пакетной обработки к интерактивным приложениям и обеспечения параллельной работы нескольких пользователей и приложений. Сегодня большинство операционных систем занимается параллельным выполнением приложений и может обслуживать много пользователей, и все же средства виртуализации продолжают разрабатываться, чтобы обеспечить одновременную работу нескольких операционных систем на одной физической машине.

Виртуализация принесла в мир настольных компьютеров и серверных систем множество новых и перспективных возможностей, которые были с энтузиазмом восприняты большинством пользователей. Технологии виртуализации представляют собой целую концепцию, существенно изменяющую подход к инфраструктуре информационных технологий и позволяющую увеличить ее эффективность и гибкость за счет одновременного запуска нескольких виртуальных систем на одной физической машине. На данный момент виртуализация применяется на самых различных уровнях абстракции программных и аппаратных систем, начиная от виртуализации приложений и заканчивая виртуализацией корпоративных систем хранения данных.

При внедрении технологий виртуализации возрастает сложность программно-аппаратных комплексов. Это связано с необходимостью иметь вспомогательное программное либо аппаратное обеспечение. Появление в вычислительной инфраструктуре дополнительного программного или аппаратного обеспечения требует дополнительных затрат на сопровождение и поддержку, а также способно вызвать увеличение количества потенциальных точек отказа, что в свою очередь может привести к снижению надежности всей системы и сложности отслеживания отказов.

Проблемы возникают и на этапе интеграции решений по виртуализации от различных производителей. Отсутствие каких-либо стандартов приводит к тому, что эти решения либо вообще не интегрируются, либо требуют для интеграции дополнительный слой нестандартных решений, что приводит к снижению надежности или к необходимости построения всей инфраструктуры на решениях от одного производителя для устранения проблем несовместимости.

Повышение сложности информационной инфраструктуры, увеличение критичности сбоя компонента, обеспечивающего виртуализацию, применение узкоспециализированных решений предъявляет дополнительные требования к персоналу, обеспечивающему разработку решения, внедрение этого решения в существующую информационную инфраструктуру и реализацию последующей технической поддержки.

Среди других недостатков виртуализации следует отметить возможные проблемы, связанные с технической поддержкой решений, осуществляемой производителями программного обеспечения, проблемы лицензирования и проблемы централизованного мониторинга и управления средствами виртуализации. Производители программных продуктов, как правило, осуществляют техническую поддержку своих решений только в проверенных ими средах, а работоспособность в других не гарантируется. При использовании программного продукта в виртуальной среде, не поддерживаемой производителем программного обеспечения, могут возникнуть сложности с получением реальной технической помощи. Не все поставщики программного обеспечения пересматривают схемы лицензирования с учетом виртуализации, а некоторые вообще не поддерживают свои программные продукты для работы в такой среде. В том случае, если, политика лицензирования программного продукта привязана к вычислительной мощности сервера, то, размещая приложение в виртуальной среде, использующей только часть вычислительных ресурсов, пользователь все равно должен будет оплатить лицензии за мощность всего сервера. В гетерогенных средах, когда приложения размещены в разных средах виртуализации, каждой такой средой приходится управлять собственным инструментом. Общей консоли на данный момент не существует, и пока существует только один выход - использование скриптов, что довольно сложно, трудоемко и может значительно усложнить задачи управления и мониторинга.

Основной и мало изученной проблемой виртуализации на данный момент является проблема защищенности виртуальных ресурсов. Известно, что виртуализация, внедряемая без учета политики информационной безопасности, может повлечь неприятностями для компании. По данным экспертов аналитической компании Gartner Inc, безопасность предприятий, уже частично внедривших в свою инфраструктуру виртуальные технологии, скорее ухудшилась, чем улучшилась. Первоначально большинство пользователей считало, что виртуализация усилит безопасность. Но на практике дело обстоит иначе, и основная причина - с внедрением виртуализации администраторы безопасности продолжают применять к инфраструктуре старую политику информационной безопасности. Как считают аналитики компании Gartner Inc, в ближайшие два года 60% виртуальных серверов будут менее защищены, чем их физические аналоги.

Основными положениями, вызывающими недоверие организаций при внедрении виртуализации, являются:

- Надежность виртуальных систем. Несколько виртуальных машин, размещенных на одной физической платформе, существенно повышают риск выхода из строя критически важных систем по причине отказов оборудования, нестабильной работы платформы виртуализации и неправильного распределения нагрузки. Решения по обеспечению высокой доступности в платформах виртуализации являются непростыми в настройке и использовании и стоят немалых денег.

- Безопасность при использовании виртуальных систем. Виртуализация представляет собой еще один уровень абстракции компьютерных систем, который, безусловно, является потенциальным источником угроз. Ведь платформа виртуализации является еще одним звеном в цепочке объектов, нуждающихся в защите от несанкционированного доступа. При этом получение контроля над серверной частью виртуальной системы означает получение доступа ко всем виртуальным системам, запущенным на ней. Данный факт заставляет уделять повышенное внимание защите серверов виртуализации. К тому же, платформа виртуализации сама представляет собой объект для внутренних и внешних атак и уязвимости виртуальной среды могут привести к непоправимым последствиям для функционирования корпоративной инфраструктуры организации. Множество уязвимостей, найденных в последнее время в платформах виртуализации, заставили заговорить всерьез о безопасности виртуальных систем, как об одном из самых значимых факторов при принятии решения о внедрении виртуализации.

На данный момент, безопасность виртуальных машин является ключевой проблемой в их использовании и находится в центре внимания информационного сообщества. За 9 месяцев 2007 года в программном обеспечении VMware было найдено свыше 20 уязвимостей, что почти в полтора раза больше, чем за предыдущие два года в сумме.

Необходимо учитывать, что в цепочке объектов, нуждающихся в защите, появляется также платформа виртуализации, необходимо убедиться в ее соответствии современным стандартам безопасности, а также своевременно устанавливать на нее все необходимые обновления. В условиях большого количества серверов виртуализации необходимы средства централизованного управления обновлениями для поддержания уровня безопасности во всей инфраструктуре предприятия. Поскольку несколько виртуальных серверов размещены на одном оборудовании, то нельзя, к примеру, разделить приватные и публичные данные между ними физически, в отличие от реальных компьютеров, между которыми можно условно разъединить сетевой кабель. Кроме того, технологии виртуализации сами по себе являются средством для создания новых видов угроз. Несмотря на то, что в целом виртуальная машина в отношении ее поведения в пределах корпоративной инфраструктуры компании немногим отличается от физического сервера, существуют несколько специфических особенностей платформ виртуализации, которые могут привести как к угрозе несанкционированного доступа извне, так и к внутренним атакам. Простая переносимость виртуальных систем на другие физические платформы и популярность использования виртуальных машин по модели SaaS (Software as a Service) приводят к тому, что критически важные системы со всеми конфиденциальными данными могут быть украдены путем копирования виртуальной машины на флэш-накопитель за считанные минуты. Далее эта виртуальная машина может использоваться злоумышленником на любом компьютере. Кроме того, виртуальная машина может использоваться для незаконного распространения информации, находящейся внутри нее. Достаточно лишь запустить виртуальную машину и получить доступ к нелегальной информации или сервису. Простота развертывания виртуальных систем рождает их бесконтрольное использование в пределах инфраструктуры организации. Однако довольно часто развертываемые машины не соответствуют требованиям и политикам безопасности, установленным в компании. Такие системы, после их взлома злоумышленниками, могут использоваться в качестве исходных точек для проникновения в критически важные зоны.

Опасность бесконтрольного развертывания виртуальных систем заключается еще и в том, что участились случаи нарушения лицензионного соглашения на операционные системы или программное обеспечение при создании их копий в виртуальных машинах, что может явиться источником проблем для организации. Кроме того, особенности реализации внутреннего и внешнего сетевого взаимодействия платформами виртуализации часто приводят к тому, что создается угроза для большого количества систем при получении контроля над одной из виртуальных машин.

Рассмотрим ряд подходов к обеспечению безопасности виртуальных систем. После того, как технологии виртуализации доказали свою эффективность на множестве примеров, многие аналитики разделились во мнениях по поводу того, как следует защищать виртуальные системы от внешних и внутренних угроз. Некоторые аналитики и специалисты по безопасности говорят о том, что виртуальные системы в контексте безопасности ничем не отличаются от физических систем. Им также требуется антивирусное программное обеспечение, межсетевые экраны, спам - фильтры и другие классические системы безопасности. Другая часть специалистов, напротив, утверждает, что специфика технологий виртуализации требует совершенно иного подхода к виртуальным системам, чем к физическим системам, поскольку первые обладают значительно большей гибкостью, простотой развертывания, что требует большего контроля за соблюдением политик информационной безопасности. Нередко виртуальные машины развертываются из единого сконфигурированного шаблона на несколько экземпляров систем в корпоративной информационной системе предприятия. Образование уязвимостей в виртуальной среде приведет к тому, что все подобные виртуальные системы окажутся скомпрометированными.

Это означает, что необходимо централизованно следить за обновлениями программного обеспечения и применять специализированное программное обеспечение для защиты виртуальных систем в рамках несколько иной стратегии, чем в реальной инфраструктуре.

В отношении построения периметра безопасности для защиты от внутренних угроз виртуальная инфраструктура также требует выбора особой стратегии защиты, поскольку виртуальные машины, во-первых, могут быть значительно легче украдены, а во-вторых, разграничение доступа между пользователями виртуальных систем сервера виртуализации реализуются средствами самой платформы, что не всегда соответствует требованиям безопасности. Наряду с угрозами информационной безопасности виртуальной среды существуют также и способы ее защиты. При использовании парка виртуальных машин в пределах инфраструктуры компании необходима аналогичная защита, как и физических серверов. Все традиционные меры и политики безопасности, применимые к ним, требуется использовать и в виртуальной инфраструктуре. Поскольку сервер с платформой виртуализации является наилучшей точкой для получения доступа злоумышленников к целевым системам в виртуальных машинах, нужно уделить особенное внимание его защите и обновлениям. Все виртуальные системы, к которым может быть осуществлен доступ, не должны быть неуправляемыми и должны поддерживаться в соответствии с корпоративными стандартами безопасности. Также необходимо внимательно следить за развертыванием виртуальных машин на серверах компании и не позволять уязвимой системе работать в ее информационной среде. Для контроля данного фактора могут использоваться такие системы, как продукты семейства Microsoft System Center.

Далее рассмотрим ряд рекомендаций для поддержания виртуальной инфраструктуры в безопасном состоянии:

- необходимо контролировать защиту данных не только внутри виртуальных машин, но и сами образы виртуальных систем;

- необходимо использовать специализированные решения для защиты серверов виртуализации;

- для особо значимых машин в пределах серверов виртуализации можно использовать системы обнаружения или предотвращения вторжений;

- в случае распространения конфиденциальной информации в виртуальных машинах необходимо использовать специализированные защищенные платформы виртуализации.

Все это приводит нас к выводу, что вопросы безопасности виртуальных технологий должны продумываться еще на этапе подготовки проекта, а не после его внедрения, и этот анализ будущей политики безопасности может повлиять на выбор того или иного решения виртуализации, представленного в настоящий момент на рынке.

В последнее время безопасность является одним из ключевых факторов при принятии решения об использовании технологий виртуализации. В условиях необходимости защиты конфиденциальной информации виртуальные машины требуют повышенного внимания, хотя они и, напротив, могут использоваться для обеспечения безопасности. В то же время, виртуализация сама по себе, как еще не опробованная технология, таит в себе множество опасностей. Поэтому при использовании виртуализации необходимо грамотно спланировать политику информационной безопасности виртуальной среды.

информационная безопасность виртуальный

Литература

1. iXBT.com [Текст] // 2006. - №49.

2. Системный администратор [Текст] // 2006. - №11. - 96 с.

Размещено на Allbest.ru