Виртуализация в помощь бизнесу

Юрий
Сергеев

Заместитель начальника отдела проектирования защищенных систем компании “Инфосистемы Джет"

2. Принципиально новых решений в области защиты виртуальных сред в последнее время не появляется: по-прежнему можно выделить средства, обеспечивающие защиту самого гипервизора, и средства, направленные на обеспечение безопасности виртуальных машин.

Разработчики решений по виртуализации продолжают улучшать ядро гипервизоров в части возможностей контроля интерфейсов взаимодействия "гипервизор–виртуальная машина" и "виртуальная машина–виртуальная машина". Но при этом специалисты все же периодически находят уязвимости, позволяющие выходить за пределы ВМ и получать права на всю систему виртуализации.

Понятно, что абсолютную изоляцию обеспечить невозможно, поэтому планируя архитектуру виртуальной среды, следует задумываться о том, стоит ли размещать сервисы, обрабатывающие данные разных категорий безопасности, на единой аппаратной платформе.

Практически у всех средств виртуализации улучшаются возможности по журналированию событий ИБ, разграничению доступа, а также по интеграции с сервисами двухфакторной аутентификации. Это в значительной степени повышает доверие к гипервизорам с точки зрения защиты интерфейсов управления, атаки на которые могут осуществляться по сети.

Специализированные продукты, адаптированные для обеспечения безопасности виртуальных машин, предлагают на рынке и российские производители средств защиты.

Павел
Арбузов

Технический директор хостинга REG.RU

1. Во-первых, управляемость – аварийное обслуживание аппаратных серверов часто требует физического доступа к ним. Виртуальные машины решают эту проблему. Во-вторых, прозрачность – ВМ позволяют строить инфраструктуру исходя из логики ее работы, а не характеристик имеющихся серверов. И третья причина – изоляция. Виртуализация позволяет изолировать каждое приложение в его собственной среде выполнения, а значит, с каждым приложением можно работать, не опасаясь, что каждое обновление может неразрешимо конфликтовать с одним из выполняемых на сервере приложений. В целом же невозможно представить процесс администрирования без виртуализации.

2. Виртуализация сама по себе является средством повышения уровня информационной безопасности. Ее применяют, например, для безопасного выполнения потенциально уязвимого кода, а также для уменьшения объема утечки информации в случае успешной атаки злоумышленника. Контейнеризация может быть еще более удобным решением, которое позволяет не размещать весь набор стандартного ПО Linux на каждый запущенный контейнер. Однако какой бы совершенной ни была система, достаточно одной ошибки, чтобы сделать ее абсолютно небезопасной. Согласно известной теореме, каждая программа содержит хотя бы одну ошибку. А значит, виртуальные среды небезопасны, как и все остальное ПО, и ничего с этим не поделать.

Дмитрий
Соловьёв

Технический директор Stack Group

1. Три основные причины перехода на виртуализацию:

• Эффективное использование современных высокопроизводительных серверов и систем хранения данных и, как следствие, эффективное использование финансовых средств.
• Более высокая степень отказоустойчивости и малое время восстановления работоспособности сервера (бизнес-критичных процессов/приложений для компании), чем при использовании классической архитектуры построения ИТ.
• Большие гибкость, масштабирование и скорость запуска новых проектов по сравнению с традиционным подходом.

2. Уже сейчас ряд известных компаний в области защиты информации предлагают программные продукты, позволяющие разграничивать доступ в среде виртуализации таким образом, чтобы информационная система в целом могла соответствовать требованиям российского законодательства в части обработки персональных данных. По сути, данное ПО дополняет уже существующие механизмы, предусмотренные еще на этапе разработки гипервизоров, программ предоставления сервисов и оркестрации. Открытым до сих пор остается вопрос с защитой и разграничением доступа к данным на общих системах хранения. Этот компонент среды виртуализации, как правило, является одним из самых дорогостоящих и трудно поддается гарантированному (сертифицированному) разграничению доступа. Одновременно с безопасностью к системам хранения предъявляются жесткие требования по надежности и быстродействию.

В настоящее время с появлением более емких и дешевых носителей SSD (MLC, TLC), а также с развитием такого направления, как программно-определяемые системы хранения (SDS), перед администраторами информационных систем и разработчиками специализированного ПО в области ИБ открываются новые возможности по защите информации на системах хранения в средах виртуализации без существенного влияния на быстродействие. Как правило, если речь не идет об обязательном выполнении требований российского законодательства в части защиты ПДн или данных, представляющих государственную тайну, встроенных механизмов защиты достаточно для надежного разграничения доступа в средах виртуализации. Важно понимать, что на данный момент в сфере ИБ наиболее уязвимым местом является человеческий фактор. Утечка конфиденциальной информации может произойти по причине отсутствия регламентов и политик ИБ и контроля за их выполнением.

Сергей Корольков

Технический директор ЗАО “ДиалогНаука"

1. С нашей точки зрения, можно выделить следующие основные преимущества, которые дает переход на виртуализацию:

• удобство и минимизация расходов на управление виртуальной инфраструктурой;
• возможность использования всего имеющегося парка аппаратного обеспечения для размещения виртуальных ресурсов;
• наличие широких возможностей по обеспечению отказоустойчивости инфраструктуры.

2. Любая новая технология, а точнее, ее применение в сложных инфраструктурах, несет в себе как позитивные, так и негативные моменты с точки зрения обеспечения безопасности. В этой связи проблема обеспечения информационной безопасности виртуализированных сред, безусловно, является крайне актуальной. Вместе с тем, необходимо отметить, что на сегодняшний день существует широкий спектр дополнительных средств защиты информации, которые позволяют обеспечить безопасное использование виртуализированных сред. В частности, такие решения есть и у отечественных разработчиков.