Невиртуальные угрозы виртуализированных инфраструктур

Илья Мейлихов, аналитик отдела безопасности сетевых технологий компании "Информзащита"

Виртуализация на пальцах

Если бы человеческий мозг позволял использовать виртуализацию сознания, тогда его вычислительные возможности были бы безграничны и один человек смог бы заменить аналитический отдел системного интегратора. Но сегодня мы поговорим не о неизведанных глубинах человеческого сознания, а о реализованной и вполне материальной технологии виртуализации вычислительных ресурсов на платформе х86, которая позволяет в рамках одного физического сервера запускать несколько виртуальных, каждый из которых способен работать как самостоятельная вычислительная среда. Если всего несколько лет назад вычислительная инфраструктура представляла собой физические серверы, в рамках каждого из которых решалась одна задача, то теперь ситуация в корне меняется - в рамках одного физического сервера при помощи виртуализации может выполняться несколько приложений, решающих различные задачи. Таким образом достигается архитектурная гибкость размещения виртуальных ресурсов, равномерная аппаратная загрузка физических серверов, экономия на их приобретении и обслужива-нии.

Если говорить о самой технологии, то виртуализация - это процедуры создания абстрагированного от аппаратного обеспечения уровня, позволяющие получать прозрачный разделяемый доступ операционных систем и программного обеспечения к мощностям аппаратных ресурсов. При этом абстрагирующим от аппаратного уровня элементом при виртуализации вычислительных ресурсов на платформе х86 выступает гипервизор, реализующий функции по управлению (созданию, включению/отключению, миграции, копированию/удалению) виртуальными серверами в рамках одного физического сервера виртуализации.

Технология виртуализации является фундаментальным элементом на пути к созданию эффективной с точки зрения использования вычислительных мощностей ИТ-инфраструктуры. Кроме того, технология виртуализации вычислительных ресурсов поднимает на качественно новый уровень процессы контроля и управления масштабируемостью информационных ресурсов и увеличивает показатели обеспечения их доступности.

Изначально технология виртуализации, изобретенная компанией IBM более 30 лет назад, применялась для оптимизации вычислительных ресурсов мейнфреймов. В наши дни виртуализацией решаются самые разные задачи, такие как консолидация серверной инфраструктуры, консолидация пользовательских рабочих мест, Web-хостинг, организация лабораторных стендов, организация стендов для обучения и демонстраций, организация Интернет-киосков и различных промышленных терминалов. В общем же случае технология виртуализации решает все те же задачи, что и 30 лет назад, -эффективное динамическое распределение вычислительных ресурсов, осуществление равномерной загрузки аппаратных платформ и, как следствие, снижение затрат на закупку и обслуживание оборудования.

Преимущественно виртуализация применяется для консолидации серверной инфраструктуры, однако все большую популярность набирает виртуализация пользовательских рабочих станций (Virtual Desktop Infrastructure - VDI), которая помогает сокращать время на их развертывание, минимизировать затраты на техническое обслуживание, а также существенно сокращать время восстановления рабочей станции в случае сбоя сервера виртуализации. В качестве пользовательских рабочих станций при этом могут выступать терминальные устройства, так называемые "тонкие клиенты", которые используются лишь для отображения графической сессии и пересылки на сервер виртуализации вводимой пользователем информации. Стоимость такого "тонкого клиента" значительно ниже стационарной рабочей станции по причине отсутствия необходимости в выполнении ресурсоемких вычислений, которые осуществляются на сервере виртуализации.

Угрозы виртуальных инфраструктур

Распространение и проникновение технологии виртуализации происходит намного быстрее, чем понимание необходимости применения особого подхода при обеспечении защиты виртуальных сред. Ведь виртуальная сущность сервисов, выполняющихся в рамках виртуальных серверов, не избавляет их от свойственных им уязвимостей. Более того, необходимо учитывать особую специфику обеспечения безопасности виртуальных серверов: в большинстве случаев виртуальные ресурсы программно-аппаратными комплексами защитить невозможно в силу того, что взаимодействие между двумя и более виртуальными серверами может осуществляться в пределах одного физического сервера виртуализации, и встроить аппаратный межсетевой экран между ними просто не представляется возможным. Конечно, можно при помощи реализации ряда технических мер обеспечить взаимодействие виртуальных машин за пределами сервера виртуализации, тем самым реализуя весь комплекс мероприятий по защите виртуальных серверов с использованием аппаратных средств. Но данный способ не так эффективен, как хотелось бы, по причине высокой стоимости таких решений. Очевидно, что защиту виртуальных сред должны обеспечивать специализированные средства, применение которых в виртуальном исполнении позволит снизить их совокупную стоимость владения за счет отсутствия необходимости приобретения соответствующих аппаратных платформ и их обслуживания. Среди таких средств можно выделить системы обнаружения вторжений и межсетевые экраны в виртуальном исполнении, позволяющие "плоскую" виртуальную сеть поделить на несколько небольших сегментов и реализовать комплекс мероприятий по обнаружению сетевых атак и межсетевому экранированию между ними.

Среди специфичных виртуальной среде угроз стоит отметить особо опасную - это получение несанкционированного доступа к рабочей станции администратора и консоли управления виртуальной инфраструктурой и, как следствие, ко всем ее серверам. В качестве меры защиты необходимо использовать специализированные средства защиты от несанкционированного доступа к консоли виртуальной инфраструктуры, устанавливаемые на рабочих станциях администраторов. Кроме того, необходимо применять средства, реализующие механизмы разграничения доступа к файлам образов дисков виртуальных серверов, кража которых равносильна краже жесткого диска физического сервера.

В составе технологии виртуализации, как правило, предусмотрена технология миграции виртуальных машин между физическими серверами виртуализации, объединенными в кластер. Динамическое распределение нагрузки между членами кластера серверов виртуализации в целях оптимизации использования вычислительных ресурсов сопряжено с периодической миграцией виртуальных серверов между членами кластера. Основная угроза безопасности в этом случае -это подмена и/или перехват данных оперативной памяти виртуальных серверов в процессе их миграции посредством реализации атаки вида "человек посередине". Криптографическая защита передаваемых в процессе миграции данных при этом не применяется по причине значительного снижения производительности. Практическая реализация данной атаки была успешно продемонстрирована на конференции Black Hat DC 2008 при помощи программы Xensploit, которая позволяет вносить любые изменения в оперативную память виртуальной машины "на лету". В том числе была представлена возможность манипуляции с сервисами аутентификации (sshd, /bin/login), а также перехват паролей и другой чувствительной информации. Таким образом, следует уделять особое внимание сетевой безопасности, предусматривая технические средства, способные реализовать функции сегментации и аутентификации устройств в сети, и тем самым обеспечивая защиту от ряда атак с подменой адреса и внедрением ложных сервисов. Данные меры позволяют локализовать скомпрометированный сервер виртуализации. Разграничение пользовательской сети, сети средств виртуализации и хранения, а также сети миграции при помощи межсетевого экрана является обязательным требованием для организации безопасной инфраструктуры виртуализации на предприятии.

Помимо реализации технических мер необходимо решить и организационные вопросы: должны быть четко регламентированы процессы по созданию новых виртуальных машин в целях контроля процесса увеличения их количества. Быстрое увеличение количества виртуальных машин опасно из-за увеличения операционных расходов на их обслуживание и возможное возникновение проблем во время их лавинообразных миграций. Таким образом, непосредственно перед внедрением виртуальной инфраструктуры на предприятии необходимо подготовить нормативную базу по организационным вопросам ее управления.

Будущее виртуализации

Анализируя тенденцию развития средств защиты виртуальных сред, можно предположить, что вскоре получат широкое распространение средства, находящиеся на уровне гипервизора и предоставляющие расширенные механизмы обеспечения безопасности, такие как: межсетевое экранирование, обнаружение и предотвращение атак сетевого и прикладного уровней, контроль целостности конфигурационных параметров виртуальных машин, развитые функции по разграничению доступа администраторов к файлам виртуальных машин, продвинутые технологии аппаратной аутентификации, авторизации и учета для доступа к элементам виртуальной инфраструктуры, а также непосредственная защита самого сервера виртуализации и гипервизора. Растущая с каждым годом вычислительная мощность аппаратных платформ наряду с разработками специализированных сетевых процессоров, поддерживающих расширенные технологии виртуализации и аппаратную поддержку криптографии (например, Netronome NFP-32xx), позволяют сделать вывод о том, что уже в недалеком будущем технические средства серверов виртуализации позволят реализовать комплекс задач по защите виртуальной инфраструктуры на скоростях выше 10 Гбит/c.

Кроме того, растущие вычислительные мощности позволят обеспечить криптографическую защиту трафика миграции виртуальных машин между членами кластера серверов виртуализации. Также стоит ожидать интеграции аппаратных платформ, активного сетевого оборудования и средств защиты информации в единый программно-аппаратный комплекс с централизованной консолью управления всеми компонентами, входящими в его состав.

Использование в России

Специфика использования различных программно-технических средств, реализующих функции по защите информации, в России такова, что обязательным требованием нормативно-правовых документов РФ является наличие действующих сертификатов соответствия этих средств требованиям руководящих документов для их применения в информационных системах, в которых циркулирует информация, защищенная федеральными законами, например № 152 ФЗ "О персональных данных". Это же требование касается и всех средств защиты информации при их применении в автоматизированных системах федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также организаций, выполняющих государственные заказы. В связи с этим проблематика носит зависимый от требований государственного регулятора характер. Таким образом, организации, являющиеся операторами персональных данных (фактически - любая организация) в России, обязаны применять только сертифицированные средства защиты информации, требования в отношении которых сформулированы в нормативно-методических документах регуляторов. Логично, что данное требование применяется и к виртуальным средам вышеуказанных организаций - несертифици-рованные средства защиты информации в виртуальных средах, в которых обрабаты-вается информация ограни-ченного доступа, применяться не могут. Но поскольку в большинстве случаев только организационными мерами специфичные угрозы, присущие виртуальной инфраструктуре, нейтрализовать не получится, то придется использовать специализированные технические средства защиты информации, предназначенные для обеспечения безопасности серверов виртуализации.

В настоящий момент в России не известен ни один прецедент успешно пройденной процедуры сертификации таких средств. Актуальность их появления на российском рынке беспрецедентна по причине перехода многих крупных организаций на виртуальную инфраструктуру, включающую в себя виртуальные серверы, которые обрабатывают информацию, классифицируемую согласно нашему законодательству как "персональные данные". В настоящее время к выходу готовится отечественный комплексный продукт от несанкционированного доступа к элементам виртуальной инфраструктуры, компоненты которого встраиваются как на уровне гипервизора VMWare ESX (самый распространенный гипервизор - по данным Gartner, 89% рынка виртуализации в 2008 г.), так и на уровне администрирования виртуальной инфраструктуры.

Комментарий эксперта

Михаил Романов, директор по развитию бизнеса компании StoneSoft в России, СНГ и странах Балтии

Как отметил автор статьи, виртуальные системы обладают такими же проблемами, что и реальные, но к ним добавляются еще и специфичные.

Особенно остро стоят проблемы внутренней безопасности, когда внутри виртуальной среды все системы работают в плоской сети без сегментации. Вопросы устойчивости таких систем также являются определенной проблемой: средства безопасности внутри виртуальной среды должны отвечать определенным требованиям по обеспечению, в том числе и отказоустойчивости, поскольку такая среда становится практически единой точкой отказа в доступе.

• угрозы  платформе с виртуальной средой;
• угрозы, вызванные проблемами конфигурации виртуальной среды;
• стандартные угрозы реальной среды в виртуальном про­странстве.

Кроме того, угрозы для виртуальной среды выглядят несколько иначе, чем для обычной.

Например, сетевые атаки на ESX-сервер, который имеет ограниченное количество портов: здесь можно ожидать DDoS-атаку или вообще атаку на собственно среду VMWARE, чего нет в обычной среде. Злоумышленники могут легко уничтожить виртуальную машину, просто стерев ее (однако ее мож­но и легко восстановить из копии). Можно украсть виртуальную машину или изменить логику сетевых внутренних взаимодействий. Существует и большой пласт обычных атак, таких же, как и для обычной инфраструктуры.

С точки зрения защиты получается, что необходимо защищать и сервер с виртуальными машинами и обеспечивать безопасность внутри абсолютно такими же способами, как и в обычной среде.

И тут многое действительно зависит от средств сетевой безопасности, способных работать внутри виртуальной среды. На сегодняшний момент сертифицированных для работы в среде VMWARE средств достаточно много. Некоторые издания делают даже рейтинги лучших средств для виртуальных сред. Например, http://www.eweek.com/c/a/Virtualization/eWE-EK-Labs-WalkThrough-Top-5-Rated-VMware-Virtual-Appliances/?kc=rs.

Написано немало статей, и есть уже реальный опыт применения средств безопасности в виртуальной среде. Есть даже средства безопасности и для среды IBM! Переводя проблему в практическую плоскость, следует рассматривать решения, позволяющие обеспечивать безопасность как в физической среде (серверы с виртуальными машинами также надо защищать), так и в виртуальной, без изменения системы управления или принципов работы. Современные системы отдельных вендоров поддерживают также и обычные функции отказоустойчивости, позволяя кластеризоваться внутри виртуальной среды точно так же, как и в физической, обеспечивая тем самым высший уровень безопасности и отказоустойчивости. Касательно сертификации виртуальных средств безопасности - сейчас уже находятся на сертификации некоторые такие продукты, однако тут не все гладко. В соответствии с документами регулирующих органов получается, что среда VMWARE ТАКЖЕ подлежит сертификации, а в данном деле вопросов пока больше, чем ответов. Надеюсь, что в ближайшем будущем все сдвинется в лучшую сторону.