В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Константин Пичугов
Менеджер по продукту компании "Код Безопасности"
Решения на базе виртуализации получают сегодня все большее распространение, что в общем-то неудивительно. Зрелость технологических решений этой области уже доросла до уровня промышленного использования. Кроме того, виртуальная инфраструктура позволяет вполне реально экономить на капитальных и операционных затратах. Однако в виртуальной среде возникают специфические особенности обеспечения информационной безопасности, без учета которых нельзя гарантировать сохранность конфиденциальной информации, в том числе персональных данных.
Обеспечение информационной безопасности ИТ-инфраструктуры предусматривает решение как минимум двух задач: обеспечение состояния конфиденциальности, целостности и доступности информации и обеспечение соответствия требованиям законодательства в отношении защиты определенных категорий информации (конфиденциальная информация, персональные данные и т.п.). Вместе с тем при обработке информации в виртуальной среде имеются свои специфические особенности, отсутствующие в физической среде:
Если в виртуальной среде обрабатываются данные ограниченного доступа (конфиденциальная информация, персональные данные, банковская информация, государственная тайна, коммерческая тайна и т.д.), защищенность виртуальной информационной системы должна соответствовать требованиям законодательства: Федерального закона от 27.07.2006 г. № 152-ФЗ, Постановления Правительства РФ от 17.11.2007 г. № 781. Методические рекомендации и материалы регуляторов по обеспечению безопасности персональных данных не делают различий между физической и виртуальной средой обработки данных. То же самое касается и руководящих документов регуляторов в части защиты конфиденциальной информации. В виртуальной инфраструктуре также необходимо применять сертифицированные средства защиты информации требуемого уровня защищенности и отсутствия в них недекларируемых возможностей. В этой связи особую важность приобретает профессиональное проектирование системы, причем в зависимости от категории обрабатываемых данных требуется проводить аттестацию виртуальной информационной системы.
Виртуальная инфраструктура повышает степень интеграции вычислительных средств в информационной системе, уменьшая количество физического оборудования, но совершенно не уменьшает, а скорее увеличивает количество объектов и субъектов информационного обмена и усложняет структуру их взаимодействия. Поэтому повышать защищенность виртуальной инфраструктуры нужно комплексно путем комбинации сетевых и локальных средств защиты наряду с интеграцией широкого набора защитных механизмов, применяемых одновременно.
Но насколько применимы традиционные СЗИ в виртуальной среде? Традиционные аппаратные СЗИ во многих случаях невозможно использовать для защиты виртуальных машин по техническим причинам. Действительно, чтобы, например, аппаратный замок мог обеспечивать контроль целостности и доверенную загрузку операционной системы виртуальной машины, то, во-первых, поддержка данного устройства должна быть обеспечена средой виртуализации, а во-вторых, само устройство должно быть разработано с учетом использования в виртуальной среде. Что касается программных СЗИ, установленных на виртуальные машины, то их операционная среда оказывается полностью скомпрометированной, если нарушитель получает доступ к средствам управления средой виртуализации. Поэтому традиционные программные СЗИ, разработанные без учета особенностей эксплуатации в виртуальной среде, зачастую не обеспечивают должный уровень защиты.
Одним из продуктов компании "Код Безопасности", нацеленным на защиту виртуализации, является новый продукт Security Code vGate for VMware Infrastructure. Это специализированное средство защиты информации, предназначенное для обеспечения безопасности управления виртуальной инфраструктурой VMware Infrastructure 3 и VMware vSphere 4. Продукт поступит на рынок в 3-м квартале этого года, а в настоящий момент можно получить доступ к тестовой версии. Для этого нужно зарегистрироваться на странице технологического партнерства компании "Код Безопасности" (http://www.securitycode.ru/ solutions/virtual/partnership/).
Продукт Security Code vGate for VMware Infrastructure неслучайно ориентирован на защиту именно управления виртуальных инфраструктур, а не на защиту отдельных виртуальных машин. К средствам управления виртуальной инфраструктурой относятся серверы виртуализации, серверы централизованного управления виртуальной инфраструктурой, средства резервного копирования виртуальных машин и т.п. Компрометация любого из этих средств приводит к компрометации группы виртуальных машин или всей виртуальной инфраструктуры. Ценность всех вышеперечисленных элементов с точки зрения информационной безопасности очень велика. Защита их от несанкционированного доступа позволяет, во-первых, де-актуализировать основные вышеупомянутые проблемы безопасности в виртуальной среде, а во-вторых, создать платформу для использования как традиционных, так и новых средств защиты, устанавливая их на виртуальные машины.
Какие же функции защиты обеспечивает Security Code vGate for VMware Infrastructure? Это аутентификация администраторов виртуальной инфраструктуры и разграничение доступа к средствам управления виртуальной инфраструктурой. Причем продукт берет на себя функции защиты всего периметра сети администрирования. Контроль целостности конфигурации виртуальных машин и доверенная загрузка ОС позволяет восполнить невозможность использования аналогичных функций аппаратных замков для защиты виртуальных машин. Присутствует также дискреционный механизм разграничения прав серверов виртуализации на виртуальные машины. Есть контроль целостности и доверенная загрузка серверов виртуализации, а также характерные для всех средств защиты функции аудита и контроля целостности самого СЗИ.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2009