Обнаружение инцидентов ИБ в виртуальной инфраструктуре

Денис Безкоровайный
RSA

Новые риски, связанные с переносом производственных ресурсов в виртуальную инфраструктуру

В то время как виртуализация становится мейнстрим-технологией, помогающей организациям экономить средства и достигать новых высот в оптимальном использовании существующих ресурсов, сотрудникам служб информационной безопасности следует более внимательно отнестись к новым рискам, вызванным повсеместным переходом к виртуализации.

Одна из основных характеристик виртуальной среды - динамичность - является как преимуществом для эксплуатирующих служб, позволяющим быстро выполнять операции развертывания и миграции виртуальных машин, так и недостатком для служб информационной безопасности, поскольку именно с этим связаны основные риски в виртуальной среде.

Перенеся производственные серверы на виртуальную платформу, нам следует осознать, что:

• ОС, приложения и данные больше не привязаны к одной физической  платформе. Мы уже не можем точно сказать, на каком именно сервере работает то или иное приложение;
• администратор становится очень важной персоной, так как именно он может осуществить копирование/клонирование виртуальных машин и целых томов данных;
• стандартные средства мониторинга и журналирования легко обойти, ведь операционная система не сможет сообщить о том, что ее целиком склонировали или остановили средствами гипервизора.

Использование технологии виртуализации порождает принципиально новые риски, требующие понимания службы ИБ, и ставит перед ней новые вопросы:

• Кто создает/клонирует/перемещает виртуальные машины?
• Кто имеет доступ к физической инфраструктуре, которая обслуживает виртуальные машины?
• Учитывая скорость создания виртуальных машин, как удостовериться, что на гостевые ОС вовремя установлены все необходимые обновления?
• Как избежать появления неподконтрольных виртуальных машин? Как избежать разрастания парка виртуальных машин?
• Как обеспечить сегрегацию данных различных степеней конфиденциальности? Этот вопрос может встать особо остро в связи с внешними нормативными требованиями по защите информации.
• Как защитить гипервизор? Теперь вместо заботы о приложениях и их операционных системах необходимо обеспечивать защиту еще и на уровне виртуализации (как минимум access control, patch management, configuration management).

Все эти вопросы необходимо решить в рамках программы управления рисками ИБ, в том числе требуется понять, какие принципиально новые инциденты ИБ могут возникнуть вследствие появления новых рисков, связанных с виртуализацией.

Примеры инцидентов, характерных для виртуальной среды

Чтобы понять, что может являться инцидентом в мире виртуальных машин, приведем характерные примеры для VMware Virtual Infrastructure. Предположим, что в каждом случае в сети имеется средство сбора событий и выявления инцидентов (Security Information and Event Management, SIEM), которое до перехода на виртуальную платформу использовалось для мониторинга физической инфраструктуры, и посмотрим, насколько эффективным окажется SIEM-решение в новых условиях.

• Администратор виртуальной среды приносит из дома небольшую домашнюю систему хранения, во внерабочее время подключает ее к ESX-хосту, создает на ней новый раздел и клонирует на этот раздел производственную виртуальную машину с базой данных о клиентах компании или кадровой системой. Это действие может остаться совершенно незамеченным при традиционном подходе к мониторингу - контроль и аудит приложения и операционной системы. В физической инфраструктуре копирование файлов можно было бы обнаружить, включив аудит на уровне файловой системы, но в виртуальной среде есть еще один уровень абстракции, который позволит скопировать данные и ОС целиком для дальнейшей обработки вне защищенной зоны, например, для взлома пароля ОС и проведения прочих атак.
• Администратор виртуальной инфраструктуры приостанавливает (suspend) виртуальную машину, на которой работает система защиты (например, IDS), защищающая Web-сервер, внешний злоумышленник осуществляет атаку на Web-сервер, а затем администратор включает машину обратно, при этом атака остается незамеченной. В физической инфраструктуре выключение IDS-сервера или даже остановка одного сервиса была бы зарегистрирована подсистемой аудита и при наличии соответствующих процессов вызвала бы оповещение, в виртуальной среде такие действия остаются незамеченными.
• Нарушения политик ИБ - это тоже инциденты, которые необходимо выявлять. Рассмотрим, например, процесс тестирования патчей для кадрового приложения с помощью виртуальной инфраструктуры. Обычной практикой является клонирование производственной машины, применение и тестирование патча на клоне, затем применение патча на производственной виртуальной машине. Однако при таком подходе следует учитывать следующие вопросы:
  а) Было ли клонирование санкционированным?
  б) Достаточно ли защищена среда тестирования, в которой работает клон, для того чтобы обрабатывать производственные данные из кадровой базы данных?
  в) Кто имел доступ к клону виртуальной машины и ее данным?
  г) Был ли клон своевременно удален после проведения тестирования?

Для того чтобы ответить на подобные вопросы, необходимо формализовать процедуры использования виртуальных машин, встроить новые подходы и методы, появившиеся в результате перехода к виртуальной инфраструктуре, в стандартные процессы управления и обслуживания IT-ресурсов, и, конечно же, учитывать вопросы информационной безопасности в этих процедурах. Кроме того, важно осуществлять постоянный контроль выполнения этих политик и процедур, а также быть готовым подтвердить их исполнение данными из журналов событий в случае проведения аудита или расследования инцидента.

Способы выявления инцидентов в виртуальной инфраструктуре

Основное отличие при выявлении инцидентов в физической и виртуальной среде состоит в том, что в последней нельзя полагаться лишь на привычные механизмы журналирования и аудита гостевых ОС и приложений.

Для выявления подобных инцидентов необходимо производить мониторинг и аудит следующих компонентов:

• гипервизора на уровне его ОС (ESX). Системные события, как правило, низкоуровневые, и их невозможно напрямую связать с активностью на уровне виртуализации (копирование, перемещение виртуальных машин и т.д.), однако это необходимо для выявления сбоев, перезагрузок ESX-серверов и аутентификации в консоли ESX;
• уровня виртуализации (VMware Virtual Center). Все самое интересное, с точки зрения сотрудника ИБ, происходит здесь. К сожалению, не все SIEM-системы на данный момент способны "понимать" события с этого уровня;
• гостевой ОС и интересующих приложений. Это стандартный подход, который не стоит игнорировать;
• физической инфраструктуры, обслуживающей виртуальные ЦОД.

Кроме мониторинга, необходимо также реализовать правила выявления специализированных инцидентов, присущих виртуальной среде, то есть понять логику проведения атак, подобных описанным выше, и соответственно формализовать правила их обнаружения.

Например, SIEM-система с помощью правил корреляции может выявлять и оповещать о таких инцидентах, как:

• клонирование машины в нерабочее время;
• создание нового data store и последующее его удаление в течение небольшого промежутка времени;
• остановка (suspend) и включение виртуальной машины в течение небольшого промежутка времени;
• создание клона производственной виртуальной машины;
• несколько идущих подряд изменений аппаратной конфигурации гостевой ОС производственной виртуальной машины;
• подключение и отключение новых виртуальных машин в виртуальный свитч и/или кратковременный перевод виртуального свитча в promiscuous mode.

Резюме

Использование виртуализации позволяет компаниям получать ряд бесспорных преимуществ, таких как эффективное использование ресурсов, масштабирование производительности приложений, реализация катастрофоустойчивых конфигураций и другие, однако, как любое существенное изменение парадигмы в технологиях, несет в себе ряд рисков и дополнительных задач по обеспечению информационной безопасности. Одной из важнейших задач является мониторинг всех уровней виртуальной инфраструктуры для контроля выполнения политик ИБ и выявление инцидентов. Для выявления специфичных инцидентов виртуальной инфраструктуры вполне могут использоваться современные средства обнаружения инцидентов при условии, что данные решения способны собирать и интерпретировать события от нового логического слоя - от различных компонентов виртуальной инфраструктуры.