В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Примечательно, что все сказанное выше верно как для физических ЭВМ, так и для виртуальных машин, для железа и программного обеспечения любого производителя и любой архитектуры, для любой платформы виртуализации.
В последнее время наблюдается тенденция перевода все большего числа информационных систем на ОС семейства Linux – это касается как частных компаний, так и государственных учреждений. Причины могут быть разными, например импортозамещение и переход на отечественные дистрибутивы, снижение затрат на покупку ПО, повышение производительности с уменьшением требуемых для работы ресурсов и многое другое. В любом случае операционные системы Linux все чаще используются и для рабочих мест пользователей, и для серверов, в том числе серверов виртуализации.
Одним из наиболее популярных решений для виртуализации в среде Linux является программное решение KVM. Оно позволяет создавать виртуальные машины (ВМ) с различными гостевыми ОС (Linux, Windows) и собственным виртуальным аппаратным обеспечением: жестким диском, видеокартой, USB-контроллерами, дисплеем и т.д.
KVM является открытым программным обеспечением, и традиционно считается, что использование таких программ повышает безопасность системы. Трудно, да и незачем спорить с этим утверждением. Но стоит заметить, что использование программного обеспечения с открытым кодом не отменяет необходимости принятия мер по защите информации [1]. И одной из таких мер является контроль целостности ВМ.
Разработанное ОКБ САПР специальное программное обеспечение "Аккорд-KVM" предназначено для применения в виртуальных инфраструктурах, построенных на базе KVM и использующих библиотеку libvirt в качестве инструмента управления гипервизором. Основными функциями данного продукта являются контроль целостности ВМ, выполняемый до их запуска, и управление их размещением и перемещением между серверами виртуализации.
Конечно, использования одного только "Аккорд-KVM" недостаточно для полной защиты виртуальной инфраструктуры, ее невозможно обеспечить лишь программными средствами. Необходимо применение СДЗ для физических серверов виртуализации, СЗИ от НСД, как на гипервизорах, так и внутри ВМ для защиты их ресурсов. "Аккорд-KVM" успешно работает в связке с соответствующими средствами защиты ОКБ САПР и может использоваться в составе комплексного решения по защите виртуальной инфраструктуры.
Каждая ВМ характеризуется своим виртуальным аппаратным обеспечением (набором оборудования) и работающей на нем гостевой операционной системой со всеми ее файлами. А потому в "Аккорд-KVM" контроль целостности ВМ включает в себя контроль двух компонентов – конфигурации и файлов внутри ВМ. Контроль целостности конфигурации заключается в расчете эталонных контрольных сумм оборудования и его настроек и в сравнении их с текущими при каждом включении ВМ или ее миграции. Аналогично осуществляется контроль системных и пользовательских файлов внутри машины. Поддерживаемые "Аккорд-KVM" файловые системы позволяют контролировать целостность ВМ с гостевыми ОС семейств и Windows, и Linux.
"Аккорд-KVM" также обеспечивает контроль за размещением исполняемых ВМ на серверах виртуализации, что позволяет исключить смешение информации различного уровня доступа, другими словами, не допустить размещения ВМ, обрабатывающих информацию ограниченного доступа, на серверах виртуализации, предназначенных для работы с общедоступной информацией.
"Аккорд-KVM" может применяться на гипервизорах с различными операционными системами – Red Hat, Ubuntu, CentOS. "Аккорд-KVM" и не требует для работы дополнительных серверов. Это позволяет использовать "Аккорд-KVM" для защиты широкого спектра виртуальных инфраструктур, администрируемых как с помощью консольного приложения virsh или довольно простой графической утилиты Virtual Machine Manager (virt-manager), так и в инфраструктурах, дополненных системой управления oVirt.
Информационные системы, использующие виртуализацию на базе KVM, могут значительно различаться, но в любом случае необходимой мерой их защиты является обеспечение контроля целостности ВМ. Средству защиты для таких систем необходимо, но не достаточно решать эту задачу, кроме того, оно должно соответствовать всем факторам, характеризующим защищаемую виртуальную инфраструктуру: ОС гипервизоров, способам подключения хранилища, гостевым версиям ОС, системам управления и т.д.
"Аккорд-KVM" обладает всеми необходимыми для такого СЗИ характеристиками, и его использования достаточно для контроля целостности ВМ в самых различных виртуальных инфраструктурах.
Литература
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2018