Защита виртуального ЦОД
В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Защита виртуального ЦОД
Преимущества и простота реализации привели к тому, что технология промышленной виртуализации достаточно быстро стала широко использоваться для критичных для бизнеса приложений. Но насколько можно доверять ЦОД нового поколения, основанным на виртуализации? Привносит ли технология виртуализации новые риски и угрозы в инфраструктуру или устраняет проблемы безопасности, характерные для традиционных сред?
Родион Тульский
старший консультант
по решениям компании VMware
старший консультант
по решениям компании VMware
Новые технологии, новые вопросы, скрытые угрозы
С одной стороны, виртуализация позволяет консолидировать несколько серверов в виде виртуальных машин и одновременно обслуживать операционные системы и приложения данных виртуальных машин мощностями единого аппаратного сервера. Консолидация серверов – очевидное преимущество для бизнеса – позволяет сократить затраты на электричество, охлаждение и размещение серверов, повысить отдачу от аппаратного обеспечения и снизить затраты на него за счет сокращения аппаратных компонентов. С другой – мы получаем единую исполняемую среду, в которой работает множество операционных систем и приложений в отличие от традиционных инфраструктур, где каждая операционная система и приложение изолированы в рамках аппаратных ресурсов и обслуживающих мощностей отдельного сервера. В связи с этим возникает вопрос: каким образом обеспечивается изоляция ресурсов, предназначенных для определенной виртуальной машины?
Согласно отчету компании IDC Accelerate Hybrid Cloud Success: Adjusting the IT Mindset, количество новых аппаратных серверов в 2009–2010 гг., которые появились в инфраструктурах, меньше количества виртуальных серверов, введенных в эксплуатацию. Популярность данной технологии обусловлена преимуществами, которые она предоставляет как бизнесу, так и IТ-специалистам.
Ввиду множества исполняемых виртуальных машин одной из наиболее важных угроз становится атака при помощи переполнения буфера, что позволит выйти за рамки исполняемого пространства одной виртуальной машины и воздействовать на остальные виртуальные машины. Для минимизации риска возникновения такой атаки монитор виртуальной машины предотвращает атаки с помощью технологии, которая обеспечивается чипами NX и XD в процессорах Intel и AMD. При использовании в гипервизоре технологии бинарной трансляции поддерживается только ограниченная очередь из 12 инструкций любой исполняемой транзакции, что предотвращает возможность атаки при помощи переполнения буфера.
Использовать варианты с большим количеством инструкций невозможно ввиду того, что они не будут обслуживаться гипервизором. Что же касается оперативной памяти, то, предоставляя пространство оперативной памяти в распоряжение гостевой среды, гипервизор "обманывает" операционную систему. Монитор виртуальной машины предоставляет адресное пространство гостевой операционной системе, которое не имеет ничего общего с реальными адресами оперативной памяти, где будут располагаться данные, фактически выполняется дополнительное преобразование реальных физических адресов оперативной памяти в адреса, которыми оперирует гостевая операционная система и приложения. Если же гостевая среда даже не подозревает о реальных адресах своего исполняемого пространства, такая среда не может быть использована для атаки на другие системы через оперативную память.
Обеспечение безопасности системных модулей гипервизора достигается разработчиками при помощи технологии ASLR, использования цифровых подписей таких модулей и проверку этих подписей перед запуском каждого модуля, что гарантирует их целостность.
Другим элементом является единое хранилище, где располагаются диски виртуальных серверов. Гостевая среда может только работать с виртуальным SCSI- или IDE-интерфейсом, который предлагается монитором виртуальной машины и, как следствие, изначально не подозревает, на каком хранилище она реально располагается и сосуществует совместно с другими. Эта особенность виртуализации "дисковой подсистемы" предлагает изоляцию каждого сервера.
Единственным элементом, при помощи которого взаимодействуют виртуальные серверы между собой и внешней инфраструктурой, является сеть. У каждой виртуальной машины есть свой уникальный, не разделяемый с другими виртуальный сетевой адаптер и поэтому они не могут быть использованы как единый ресурс многих виртуальных серверов для атаки. Виртуальные машины взаимодействуют по сети, созданной виртуальным коммутатором. Следует отметить, что виртуальные коммутаторы повышают уровень безопасности по отношению к традиционным коммутаторам за счет невосприимчивости к таким видам атак, как подмена MAC-адресов, атаки на основе случайного кадра и другие атаки, использующие механизм обучения коммутаторов. Виртуальные коммутаторы не изучают и не анализируют полученный при изучении трафик, потому как вся информация предоставляется и контролируется гипервизором. Это упраздняет необходимость использования механизма обучения. Кроме того, не существует кода, который бы объединял виртуальные коммутаторы между собой. Значит, атаки, использующие эти особенности взаимодействия коммутаторов, невозможны для виртуальных коммутаторов. Например, атака с использованием протокола Spanning Tree.
В данной модели ни операционные системы, ни установленные приложения не имеют прямого доступа к реальным аппаратным ресурсам и, как следствие, не могут оказать воздействие через эти ресурсы на соседние системы.
Новая парадигма управления: готовы ли мы к этому?
Для построения достаточного уровня безопасности IТ-специалисты должны полностью переосмыслить подход с учетом слоя и возможностей виртуализации и принять во внимание компоненты и парадигму управления. В мире виртуализации приложение не замкнуто в рамках одного сервера, одного порта на коммутаторе и единого физического периметра. Виртуализация разрушает эти барьеры, предоставляя определенные преимущества, но ставит дополнительные вопросы.
Безопасность инфраструктуры вне зависимости от того, используется технология виртуализации или нет, необходимо рассматривать целиком, что подразумевает безопасность программного аппаратного комплекса, периметров, физической инфраструктуры, а также политики и процедуры и, конечно же, обслуживающий персонал.
В виртуальных инфраструктурах появляются и другие особенности, с которыми IT-специалисты не сталкиваются в традиционных средах. Например, новые сущности серверов, такие как приостановленные, временные виртуальные машины. Появляется возможность получить в распоряжение доступ к серверу, всего лишь скопировав один файл – диск виртуальной машины. Виртуализация обеспечивает высокий уровень мобильности, что повышает уровень масштабируемости инфраструктуры и привносит независимость от аппаратного обеспечения сервера, с другой стороны, рушится оплот безопасности вокруг связки "сервер – операционная система – приложение". Теперь непонятно, где обслуживается то или иное приложение, как и чем оно защищается. Виртуальные серверы могут взаимодействовать по сети в рамках одного аппаратного сервера через виртуальную сеть, при этом трафик не будет покидать этот сервер и не может быть проанализирован внешними корпоративными межсетевыми экранами.
В ответ на эти вызовы разработчики виртуальных платформ предлагают свои контрмеры. Они могут быть реализованы в качестве практик по планированию и обслуживанию виртуальных сред или могут быть представлены конкретными продуктами безопасности.
Комплексный подход построения многоуровневой защиты, начиная от обучения персонала и создания политик и процедур безопасности и заканчивая настройками отдельных компонентов и приложений, – это ключевой способ обеспечения безопасности инфраструктур, в том числе и виртуальных ЦОД.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2011
