02.11.2015

Кое-что о защите яиц

"Эксперт Урал", № 48 (668), ноябрь, 2015<br>
Экспертный комментарий Сергея Шалимова, заместителя руководителя направления по работе с технологическими партнёрами компании "Аладдин Р.Д."

Растущая популярность виртуализации меняет парадигму построения инфраструктуры информбезопасности. Главное, на что нужно обратить внимание обороняющимся, сверхцентрализация и динамичность среды

Виртуализация слово, которое в 2015 году стало гвоздём практически любой ИТ-конференции. Новости об альянсах, соглашениях, продуктах, внедрениях появляются с завидной регулярностью. NFV, SDN, OpenFlow, SPICE, VDI, SAN, NAS, in-band, out-of-band, прочие аббревиатуры и термины, как щебень из самосвала, сыплются со сцены, на которой вендоры презентуют свои достижения. И вот уже выпускник матмеха Уральского госуниверситета Александр Бриткин собирается отъесть кусок мирового рынка у Cisco, создав компанию NFWare, которая разработала решение, переносящее сетевую инфраструктуру телеком-компаний в облако и позволяющее запускать различные сервисы операторов на одном комплекте "железа".

Интерес к виртуализации в России перманентно растёт, правда, в массовые внедрения он пока материализовался в двух секторах серверном и рабочих мест (за рамками сетевая инфраструктура и хранилища данных). В первом проникновение технологии, по разным оценкам, за последние четыре года увеличилось с 15% до 40 56%. Во втором с нуля до 15 25%.

Ключевым вызовом в данных сегментах сегодня является отнюдь не выбор решений или сложность модернизации ИТ-активов, замечают специалисты. Загвоздка в защите среды.

Виртуализация, как и любая новая технология, привносит новые угрозы, констатирует ведущий эксперт направления информационной безопасности "Крок" Евгений Дружинин. Её особенность в том, что свойства физической среды теперь существуют в виде программных настроек, которые, с одной стороны, проще контролировать, но с другой проще несанкционированно изменить. Все это ведёт к тому, что для виртуальной среды должны существовать соответственные специфические механизмы контроля.

Основное отличие виртуальных сред от физических динамика, замечает руководитель регионального представительства SearchInform в Екатеринбурге Алексей Попов. Виртуализация позволяет создавать полноценные единицы ИT-инфраструктуры в несколько кликов, за секунды. В итоге ситуация меняется очень быстро. Возникает необходимость в постоянном контроле ситуации, так как одновременно с созданием нового компонента создаются и новые потенциальные угрозы.

Заместитель руководителя направления по работе с технологическими партнёрами компании "Аладдин Р.Д." Сергей Шалимов добавляет: "Виртуализация является одним из существенных факторов трансформации парадигмы обеспечения информбезопасности (ИБ). Основными объектами защиты становятся сервер и канал от пользователя до него. При таком построении ИT-инфраструктуры более не требуется контролировать каждую рабочую станцию".

Руководитель направления информбезопасности Softline Ольга Макарова идёт ещё дальше: "Использование виртуализации и построенных на ней облачных сервисов сменило парадигму защиты на парадигму контроля".

Критический момент

Защита виртуальной инфраструктуры все ещё остаётся трудной задачей для большинства компаний, уверены в Cnews Analytics. Им не хватает специальных знаний и эффективных инструментов.

Это мнение подтверждают данные недавнего исследования, проведённого Лабораторией Касперского и B2B International. Среди 5,5 тыс. опрошенных компаний из 25 стран 42% уверены, что виртуальная среда (ВС) безопаснее физической, 73% респондентов не используют специальные решения для защиты виртуальной инфраструктуры, а 34% даже не представляют, какие преимущества от их внедрения они могли бы получить.

В России ситуация ожидаемо хуже: лишь 18% компаний приняли все меры по обеспечению ИБ виртуальной среды. Любопытно, что 39% отечественных фирм, находящихся на стадии внедрения ИБ-инструментов, выбирают решения, разработанные для физической инфраструктуры и устанавливаемые на каждую виртуальную машину (это неэффективно, поскольку такие решения потребляют значительно больше ресурсов, замедляют функционирование системы и обесценивают вложения).

По подсчётам Лаборатории Касперского, в мире представители малого и среднего бизнеса теряют на каждом инциденте в ВС около 60 тыс. долларов, крупные фирмы (более 1500 сотрудников) около 800 тысяч. Виртуальные проблемы стоят вдвое дороже аналогичных физических. Причин этому две. Первая ВС гораздо чаще используется для критических задач. Соответственно, удар по такой системе принесёт гарантированно больше убытков, чем атака на отдельную рабочую станцию или сервер (согласно опросу, во время инцидентов в виртуальной среде доступ к критически важной информации теряли 66% респондентов, в физической 36%).

Вторая причина компании, как правило, хорошо готовят планы восстановления работоспособности после сбоев традиционной инфраструктуры, но не справляются с этой задачей при наличии виртуализации.

Мир дивный…

Очевидно, убеждённость отечественных компаний в том, что ВС безопаснее физической, очень крепка, рассуждает менеджер по продуктам Лаборатории Касперского Матвей Войтов. Но это миф. Доказательством тому может служить, например, недавно опубликованная уязвимость класса Sandbox Escape в гипервизоре (платформе, обеспечивающей запуск на физическом сервере нескольких операционных систем, а также их изоляцию) Xen. При ряде условий она позволяет получить полный контроль над системой из виртуальной машины (ВМ; чтобы был понятен масштаб катастрофы, скажем лишь, что кодовую базу Xen активно использует Amazon, General Electric, ещё несколько тысяч компаний. Ред.).

Попробуем разобраться в природе уверенности российских заказчиков в безопасности виртуальной среды. Признаем, от некоторых напастей она действительно спасает. Первый очевидный момент отсекаются любые "физические" атаки. Второй централизованное хранилище предотвращает потери важных данных, если пользовательское устройство утеряно, украдено или взломано. Третий при должной изоляции зараженную ВМ без особых последствий можно откатить до защищённого состояния. Также можно добиться того, что при атаке пострадает только одно приложение на одной операционной системе. "Виртуализация позволяет разделить сервисы по изолированным средам, чтобы уменьшить количество векторов атак и эффективнее противостоять им, замечает CEO компании SkyparkCDN Дмитрий Угай. За счёт модульности улучшается гибкость среды, растёт отказоустойчивость системы".

Четвёртый момент виртуализация сервера может привести к лучшей обработке инцидентов, так как его можно вернуть к предыдущему состоянию с целью проанализировать, что происходило до и во время атаки. Пятый момент ПО гипервизора само по себе не так уж сложно, поэтому поле уязвимостей и область для потенциальной атаки невелики.

Наконец, шестой момент при корректной настройке виртуальная среда позволяет использовать систему без доступа к критической информации.

но опасный

Однако "узких" мест у ВС тоже предостаточно. "Виртуальная среда менее безопасна, чем физическая, категоричен директор компании "Системы виртуальной защиты" Юрий Бражников. Во втором случае мы можем изолировать сервер, просто отключив его от сети. В первом сервер изолирован от сетей и других серверов программно, что подразумевает больше возможностей доступа к нему".

При опросе ИТ-специалистов мы выявили почти 40 рисков. Федеральная служба по техническому и экспортному контролю (помимо прочего занимается сертификацией средств защиты), к слову, опубликовала на своём сайте список из 182 угроз и более 12 тыс. уязвимостей, связанных с виртуализацией. Перечислять их все мы, конечно, не станем, однако на ключевых вызовах остановимся.

Садистский блеск в глазах у вендоров и интеграторов вызывает упоминание гипервизора, который является единой точкой входа в ВС. "Если он взломан или неправильно настроен, все виртуальные машины, вся среда подвергаются риску", предупреждает коммерческий директор компании "Аптайм" (партнёр ГК "Системные Технологии") Павел Сюмаков.

Администратор может сделать на гипервизоре все что угодно. Да, он защищён паролем, но его можно умышленно или случайно потерять или передать третьим лицам. К тому же гипервизоры позволяют ВМ связываться друг с другом. По сути это частная сеть машин, не имеющая отношения к физическому оборудованию, трафик, которого нет. Отследить и контролировать его крайне сложно.

Другая мантра виртуальные машины. Они чрезвычайно динамичны: создать, остановить, запустить заново, клонировать действия, занимающие минуту. Машины легко перемещаются между физическими серверами. Все это может привести к бесконтрольному распространению уязвимостей и заразы в ВС. Причём инфицированные ВМ могут передавать "болезнь" и исчезать до их обнаружения.

Одни безопасники сетуют: многие ИТ-директора уверены в том, что для устранения вируса, поселившегося в виртуальной машине, достаточно ее удалить и создать из шаблона новую, но вредоносы молниеносно перемещаются с одной машины на другую, проникают в гипервизор и используют технологии, помогающие им избежать удаления при перезапуске.

Другие качают головой: ВМ могут быть созданы пользователями без уведомления ИТ-отдела, а незамеченные машины лучшая среда для проникновения. Третьи предупреждают: неизолированные ВМ могут иметь полный доступ к ресурсам хоста. Компрометация машины может привести к взлому всех ресурсов.

У России есть два специфических вызова в области ИТ-безопасности. Первый регулирование. Второй кадры

И ещё один часто повторяющийся вызов управление ВС. В физической среде администраторы серверов и сетей разделены. В виртуальной нет. Менеджмент происходит в одной консоли, и это ставит новые задачи для эффективного разграничения обязанностей. "С точки зрения ИТ это оптимизация затрат, повышение прозрачности и скорости создания новых ресурсов, констатирует менеджер по продукту компании "Код Безопасности" Денис Полянский. А вот с точки зрения специалиста по безопасности это сосредоточение управления в одних руках (то есть отсутствие ролевой модели), снижение контроля за инфраструктурой, усугубление проблемы контроля привилегированных пользователей. При этом большинство инцидентов ИБ связаны именно с внутренними нарушителями".

К сожалению, виртуализация не следует правилу "не клади все яйца в одну корзину", замечает Сергей Шалимов. ВС строится на единой платформе, все приложения, пользовательские рабочие места и сервера завязаны на неё.

У России есть два специфических вызова в области безопасности ВС. Первый регулирование.

В 2013 году появились нормативные документы ФСТЭК (21 и 17 приказы, определяющие требования к защите виртуальной инфраструктуры), комментирует Ольга Макарова. К сожалению, в данных документах отражены не все "лучшие практики". Например, отсутствует требование контроля за администраторами. Есть ещё одно неудобство со стороны регулятора сертификация средств защиты для новых версий продуктов по виртуализации "запаздывает" в среднем на полгода. Старший менеджер группы по управлению информационными рисками КПМГ в России и СНГ Илья Шаленков приводит два примера сложности практического соблюдения отечественной нормативной базы.

Во-первых, при использовании виртуальных сред для обработки персональных данных, согласно требованиям ФСТЭК, требуется внедрить журналирование действий на ещё одном уровне инфраструктуры администраторов ВС. Во-вторых, по причине того, что гипервизор реализует механизмы разграничения доступа для эксплуатируемых операционных систем, сертификация средств его защиты может стать трудоёмкой задачей (сравнимой по сложности с сертификацией ОС).

Руководитель департамента развития корпоративных продаж компании "Системный софт" Денис Каширин придерживается несколько иной точки зрения. Он признает, что сертификация замедляет внедрения и сужает выбор средств защиты, однако уверен: "Российское законодательство в определённой степени является локомотивом ИБ в области виртуализации, особенно это заметно в части банковской безопасности и защиты в государственных информационных системах".

Второй специфический вызов кадры. Людей, готовых к работе в ВС на стороне заказчика, не так много (что типично для развивающегося рынка). "Обратной стороной низкого порога вхождения при внедрении виртуализации являются повышенные требования к квалификации ИТ- и ИБ-сотрудников, обслуживающих виртуальную инфраструктуру, добавляет замдиректора удостоверяющего центра "ПНК" Елена Лукашина. Некомпетентность специалистов приводит к появлению уязвимостей в виртуальной системе и недостаточному охвату всех аспектов защиты".

Тропа здоровья

Вендоры и интеграторы в один голос заявляют: подход к защите ВС (как, впрочем, любых других инфраструктур) должен быть комплексным и системным.

Главное комплексно оценивать не только стоимость владения систем, но также риски с точки зрения возможных утечек информации из виртуальных сред. Следует думать об обеспечении необходимого уровня конфиденциальности и надёжности систем, обеспечения шифрования данных, которые используются и хранятся на ВМ, поясняет заместитель гендиректора по развитию продуктов компании Positive Technologies Михаил Башлыков.

Директор по развитию Stack Group Владимир Лебедев предлагает готовый алгоритм действий:

Выделить, описать и оценить дополнительно возникающие угрозы при применении виртуальных сред; выбрать организационные и технические меры по нейтрализации данных угроз в разрезе оценки их влияния на основные бизнес-процессы; реализовать выбранные меры; отразить изменения в организационно-распорядительной документации; вести периодический контроль эффективности применения реализованных мер.

Ведущий специалист по внедрению систем защиты проекта "Контур-Безопасность" компании "СКБ Контур" Артур Скок, исповедуя модель комплексного подхода, тем не менее, замечает, что главным "злом" ВС является её сверхцентрализация:

При организации виртуальной среды лучше ввести дополнительные меры по резервированию: зеркалирование носителей, на которых установлен гипервизор; проведение плановых копирований его конфигурации на отдельный носитель; возможно, установку отказоустойчивого кластера. Также это заставляет сделать больший акцент на физической защите сервера виртуализации и уменьшении количества точек удалённого доступа к средствам управления гипервизором, а по возможности их исключить в принципе или инкапсулировать соединения в защищённый канал со средствами двухфакторной аутентификации.

На приоритетном разграничении прав и усилении контроля доступа (особенно администраторов) настаивает и Сергей Шалимов:

Так как все данные, по сути, находятся и обрабатываются на единой платформе, необходимо разграничивать доступ как к данным, так и к вычислительным ресурсам. Достигается это при помощи усиленной многофакторной аутентификации благодаря использованию, к примеру, токенов или смарт-карт, а также настройками среды виртуализации в соответствии с выбранной моделью разграничения доступа. Илья Шаленков уверен, что кроме обязательного соблюдения лучших практик и следования рекомендациям по безопасному конфигурированию ВС, внимание следует уделять регламенту восстановления в случае возникновения инцидентов. Отсутствие чёткого плана может привести к существенному снижению скорости реагирования персонала и, как следствие, к потенциально безвозвратной потере критических данных.