несанкционированный доступ к виртуальным машинам;
Рубрикатор |
Статьи | ИКС № 07-08 2012 |
Александр ШИБАЕВ  | 31 июля 2012 |
Из тумана – в облака. Информационная безопасность в облаке
Окончание. Начало см. «ИКС» № 6, с. 67. Создавая макет облачной системы, в Банке России убедились, что только наличие специализированных программных средств для обеспечения информационной безопасности превращает комплекс виртуальных серверов и ПО администрирования и управления ими в полноценное облако.
В крупных организациях принимаются меры по обеспечению информационной безопасности, иногда очень глубокие и всеобъемлющие. Защищаются и контролируются все точки обработки и хранения данных. Разработаны требования по ИБ для серверов, локальных сетей, персональных компьютеров, баз данных и т.д. и т.п. Сотрудники служб ИБ знают свое дело и зорко следят за безопасностью… И вдруг – облака! Всё – сети, серверы, приложения и базы данных, ПК – перемещается внутрь нескольких физических серверов. Все подходы к информационной безопасности меняются. Службе информационной безопасности нужно научиться пользоваться виртуальными инструментами ИБ и, что не менее важно, доверять им. Должна измениться и степень участия службы безопасности в ИT-процессе: вместо контроля соблюдения регламентов и инструкций – активная работа в команде управления облаком с выполнением своей роли с помощью отдельной системы. Грядет трудная перестройка служб ИБ, небыстрая, но неизбежная! Иначе организация будет покупать и покупать «железо» и «софт», средства борьбы с ненужными функциями того и другого, а пользователь так и будет рассматриваться не как потребитель сервиса, а как потенциальный нарушитель правил информационной безопасности.
Одна из главных забот служб ИБ – где лежат данные, кто ими пользуется? Определяются точки защиты, периметры безопасности, списки доступа и т.д. А если данные в облаках, то это означает «неизвестно где»? Если администратор (провайдер облака) не знает, где и чья информация лежит, кто и когда имел к ней доступ, значит, реализован интернет-подход и ни о каком облаке речь не идет. Действительно, о какой услуге, о каком SLA можно говорить, если вы не контролируете ситуацию?! В облаке реализован контроль и учет всех ресурсов. Парадокс – данные перемещаются в облако, но должны стать (и становятся!) абсолютно контролируемыми.
Многообразие ресурсов и систем и разнотипные подсистемы информационной безопасности добавляют сложности в работе службы ИБ. Но комплексные решения для построения частного облака всех производителей реализованы в строгом соответствии с принципами ITSM. Это позволяет системно реорганизовать и упорядочить ИT-хозяйство, облегчив и типизировав функции контроля и защиты.
Таким образом, переход организации к частному облаку означает для службы ИБ серьезные изменения в идеологии защиты и должен обеспечить повышение уровня информационной безопасности в целом.
Конфигурация облачной системы информационной безопасности
В качестве первичных проблем информационной безопасности в облаке, решение которых необходимо было найти и показать на макете, создававшемся в Банке России, рассматривались следующие: отсутствие защиты гипервизора, контроля действий пользователей и вносимых ими изменений в виртуальной среде, требуемого уровня защиты виртуальных машин, долгое время находящихся в выключенном состоянии, межсетевых экранов в виртуальной среде, а также опасность перегрузки вычислительных ресурсов при использовании стандартных средств защиты от вредоносного кода.
Опасностей в виртуальной среде достаточно:
-
-
внедрение вредоносного ПО при работе пользователей на персональном виртуальном компьютере;
-
несанкционированный сетевой доступ внутри виртуальной инфраструктуры;
-
несанкционированное изменение виртуальных машин в выключенном состоянии;
-
компрометация образов виртуальных машин.
Для того чтобы парировать угрозы информационной безопасности в виртуальной среде, для макета был сформирован комплекс программных решений двух классов:
1. Система управления информационной безопасностью в облаке – ПО, реализующее контроль доступа к виртуальной инфраструктуре, механизмы регистрации событий ИБ, разграничение прав согласно потребностям заказчика и механизмы анализа хостов на соответствие политикам безопасности (HyTrust Appliance). ПО работает прозрачно (т.е. абсолютно незаметно) для системного администратора и пользователя, не затрудняет их работы, но без разрешения и контроля со стороны этого ПО и, соответственно, администратора информационной безопасности в облаке ничего сделать нельзя.
2. Система защиты информационных объектов – ПО, обеспечивающее защиту объектов виртуальной инфраструктуры от вредоносных и потенциально опасных программ и от известных и неизвестных уязвимостей; контроль целостности файлов объектов облачной инфраструктуры; обнаружение и предотвращение сетевых вторжений, а также межсетевое экранирование. Решение допускает интеграцию с системами централизованного сбора, анализа и корреляции событий информационной безопасности облачной инфраструктуры (Trend Micro Deep Security).
Работа этих систем основана на использовании информации контроллера домена и интерфейса VMware vShield Endpoint, который позволяет интегрировать программное обеспечение, осуществляющее антивирусную защиту информации, с инфраструктурой виртуализации.
Применение на макете специализированного решения по защите объектов позволило централизовать антивирусную защиту и разграничить доступ в виртуальной среде. Все программные объекты в облаке проверяются централизованно, на уровне гипервизора. Отпала необходимость устанавливать антивирусные средства на виртуальные машины. Это позволило перенести основное внимание на централизацию защиты и сформировать отдельную роль «администратор антивирусной защиты облака».
Таким образом, выбранная комбинация программного обеспечения ИБ в совокупности с комплексом администрирования облачной инфраструктуры позволила полностью и бесконфликтно разделить в облачной системе права, зоны ответственности и полномочия системного администратора, администратора антивирусной защиты и администратора информационной безопасности.
Напомню, что для облака мы подбирали готовые составные части. Вы можете найти свои или создать некоторые элементы сами. Главное – учесть собственный опыт, спроецировать маркетинговые лозунги на ваши потребности.
Первые итоги тестирования облачных средств информационной безопасности
В ходе работы с макетом облака подтвердилось предположение, что облако максимально эффективно только при использовании программного обеспечения, написанного специально для облаков. Главное отличие облачного ПО от «физического» в том, что однотипные для всех виртуальных машин функции, одинаковые приложения должны выполняться централизованно, на уровне гипервизора, в то время как в «физическом» мире их требуется запускать на каждом ПК.
Низкую эффективность или даже невозможность использования в виртуальной среде программного обеспечения, разработанного для физической среды, наиболее ярко демонстрирует ПО защиты от вредоносного кода. Использование неадаптированного для облака антивирусного ПО приводит к тому, что на одном физическом сервере, на котором развернуто N виртуальных машин, размещаются N антивирусных баз. Каждое утро, почти в одно и то же время, базы обновляются, а пользователи проводят антивирусное сканирование. Нетрудно догадаться, что выполнение этих процедур требует огромных процессорных ресурсов и фактически останавливает работу других приложений облака.
Итак, для обеспечения защиты виртуальных машин от вредоносного кода централизованная антивирусная защита, т.е. защита всей системы, а не каждой виртуальной машины отдельно – единственно правильное решение. Прямой перенос идеологии и технологии антивирусной защиты из физической среды в виртуальную невозможен.
Макет основывается на парадигме частного облака. Это означает, что в нем реализованы необходимые средства информационной безопасности. Но для полного выполнения требований по разделению доступа к информации разного уровня, например, открытой, ДСП и закрытой информации, этих средств недостаточно. Необходимо зонирование – выделение в облаке отдельных зон, в каждой из которых обрабатывается информация одного уровня доступа. Я глубоко убежден в правильности этого вывода, но для его пояснения нужна отдельная статья.
Что показала работа макета облачной системы
1. Стало очевидным, что переход на облачную технологию эффективен только в масштабе всей организации. Иначе облако получается очень дорогим, незаметным для пользователя и организации и лишь облегчает работу системных администраторов. В организации может быть несколько облаков, обслуживающих разные сервисы. Для перевода на облачную технологию внутрикорпоративных систем на рынке имеется достаточное количество решений.
2. Тестирование облачных решений целесообразно продолжить в сочетании с использованием виртуальных рабочих мест пользователей (технологии VDI), собрать воедино рабочие места всех видов администраторов и пользователей. Созданная на макете конфигурация позволяет облегчить работу системных администраторов, администраторов ИБ, значительно повысить управляемость виртуальных серверов и программно-аппаратной части системы виртуальных серверов (СВС). Фактически это эталонная модель облака, но для конечного пользователя при внедрении такого облака изменения по сравнению с СВС несущественны. Облако становится максимально эффективным для организации при реализации концепции WaaS (Workplace as a Service). Реализация виртуальных рабочих мест в облаке создаст принципиально новую ситуацию – у пользователя появится быстродействующее, полнофункциональное, всегда с последними обновлениями виртуальное рабочее место. При этом произойдет полная централизация ресурсов, будет осуществляться тотальный, но не затрудняющий работу контроль соблюдения ИБ, а также исчезнет главная угроза информационной безопасности – персональный компьютер.
3. Для гарантированного разделения доступа к информации разного уровня необходимо применение специальных решений. У каждого пользователя должно быть отдельное виртуальное рабочее место для доступа к каждой категории информации.