Евгений Дружинин: "Сомнения заказчиков в безопасности виртуальных сред больше связаны с психологическими факторами, нежели с техническими"

- Какие угрозы информационной безопасности могут возникнуть при использовании виртуальной среды? С помощью каких средств можно их избежать?

- Можно выделить три основные категории таких угроз. Первая связана с угрозами самой платформе виртуальных машин. В данном случае виртуальную платформу, внедряемую в ИТ-инфраструктуру, необходимо защитить от несанкционированных действий. Соответственно применяются как организационные меры защиты (системы охраны, сигнализации), так и технические средства, способные заблокировать доступ по сети к виртуальной платформе: межсетевые экраны, системы обнаружения и предотвращения вторжения. Вторая категория угроз связана с реализацией настроек виртуальной платформы как компонента ИТ-инфраструктуры. Здесь, с нашей точки зрения, самое важное - обеспечить безопасность за счет проверки корректности настроек на соответствие лучшим практикам. Для этого можно воспользоваться специальными утилитами. Они позволяют, выполнив тестирование, определить, насколько значения тех или иных параметров настройки соответствуют рекомендуемым, и исправить ошибки. После того как настройки выполнены и проверены с точки зрения безопасности, важно зафиксировать их и в дальнейшем проводить контроль целостности системы, то есть с определенной периодичностью проверять, не отклонились ли значения параметров от заданных, и если да, то делать выводы о причинах и устранять отклонения.

Наконец, третья категория угроз присуща в равной степени виртуальной и реальной средам - это угрозы вирусного заражения, утечки данных и т.д. Подход к защите от этой категории угроз в виртуальной среде в целом не отличается от традиционного подхода к защите реальной среды. Единственное отличие: в качестве конкретных решений могут применяться так называемые Virtual Appliances (VA) - виртуальные машины, нацеленные на решение конкретных задач (в данном случае -на обеспечение функций безопасности). Сейчас многие вендоры, которые работают в области информационной безопасности, поставляют такие программные продукты. Компания VMware сертифицирует подобные решения, гарантируя, что VA будет корректно работать при внедрении в виртуальную среду. Однако ничто не мешает пользоваться также стандартными решениями, теми же антивирусными средствами, которые вполне корректно работают в виртуальной среде.

- Какие конкретно решения использует (или рекомендует использовать) компания КРОК при обеспечении безопасности виртуальной среды? Чем определяется выбор конкретного решения?

- На рынке существует достаточно много решений от известных производителей - это,  например, межсетевые экраны, системы обнаружения и предотвращения вторжений StoneSoft, CheckPoint, IBM-ISS и др. Стоит также упомянуть виртуальный коммутатор Cisco Nexus 1000V, предоставляющий широкий ассортимент сетевых политик безопасности. Так что вариантов множество.

Выбирая конкретное решение, мы руководствуемся, прежде всего, потребностями заказчика. Здесь учитывается имеющаяся инфраструктура, уже используемые технологии, те знания, которыми обладают специалисты заказчика. Если, работая с реальной инфраструктурой, заказчик привык применять определенные технологии защиты и они хорошо себя зарекомендовали, мы советуем использовать их и для обеспечения безопасности виртуальной среды. Это позволяет сократить затраты на лицензии и обслуживание. Применяемый технологический подход должен быть экономически обоснованным.

Что касается проверки настроек контроля целостности, то имеет смысл упомянуть, например, продукты компании Tripwire. Кстати, бесплатная утилита Tripwire ConfigCheck позволяет проанализировать возможность использования полноценного промышленного решения в инфраструктуре заказчика. Аналогичные задачи решает утилита Compliance Checker компании Configuresoft.

Хотелось бы отметить, что и в системах отечественных производителей появились профили, с помощью которых контролируется корректность настройки виртуальных сред, например в продукте MaxPatrol компании Positive Technologies. Собственно, сейчас решения по контролю соответствия стандартам (compliance) ориентированы в том числе и на вопросы, связанные с анализом корректности настроек виртуальных сред.

- Существуют ли ситуации, когда с точки зрения информационной безопасности виртуализацию использовать нецелесообразно в принципе?

- Для ответа на этот вопрос нужно рассматривать конкретные ситуации. Скорее всего, здесь речь может идти о системах повышенной критичности с высокими требованиями по производительности. Иногда у заказчиков существуют системы, для которых необходимо обеспечивать дополнительный уровень физической безопасности: отдельное специальное помещение с ограниченным доступом, противопожарной защитой и пр. Такие среды, конечно, не всегда имеет смысл виртуализировать.

Вместе с тем стоит отметить, что современные технологии виртуализации шагнули далеко вперед и к настоящему времени достигли высокой степени зрелости. Сомнения, которые остаются у заказчиков, больше связаны с психологическими факторами, нежели с техническими.

- Насколько хорошо, на Ваш взгляд, российские заказчики осведомлены об угрозах, возникающих при построении виртуальных сред, и о мерах защиты?

- Учитывая настороженное подчас отношение заказчиков к виртуализации, можно сказать, что пока недостаточно хорошо. Мы, со своей стороны, пытаемся доносить до потребителей эту информацию, разъяснять, чего следует и чего не стоит опасаться. В центрах компетенции КРОК развернуты демо-стенды, кроме того, многие внутренние сервисы компании работают на виртуальной платформе. Мы можем продемонстрировать заказчикам предлагаемые технологии и решения, дать возможность протестировать те или иные продукты, в том числе на предмет безопасности.

Технологии виртуализации развиваются очень активно, и, полагаю, проблема недоверия к ним заказчиков в скором времени будет решена. Уже сейчас спектр компаний, которые интересуются возможностью построения безопасной виртуальной среды, очень широк.

- Сейчас "горячая" тема для многих компаний - приведение информационных систем в соответствие с требованиями Закона "О персональных данных". Может ли виртуализация оказаться с этой точки зрения полезной?

- Как раз с этой точки зрения технологии виртуализации позволяют решить ряд актуальных задач. Представьте распределенную компанию со множеством региональных филиалов. В каждом - своя инфраструктура, собственная информационная система, специалисты с разной подготовкой. И каждую конкретную систему нужно защищать.

Технологии виртуализации позволяют объединить различные системы и обеспечить их отказоустойчивость. Согласитесь, консолидировать распределенную инфраструктуру на базе центрального офиса и организовать ее централизованное управление и защиту - подход гораздо более эффективный и менее затратный, нежели контроль и защита каждого объекта по отдельности. Стоимость мер по обеспечению соответствия Закону "О персональных данных" и требованиям регуляторов можно существенно снизить, поэтому для распределенной структуры есть прямая выгода применять технологии виртуализации. Эту тему мы сейчас активно обсуждаем с операторами персональных данных, и многие уже пошли по такому пути.

- Какие конкретно услуги предлагает КРОК в рамках построения виртуальной среды?

- Для заказчиков мы, в первую очередь, разрабатываем модель угроз, исходя из этого подбираем соответствующие технологические решения, выполняем эскизное проектирование, последующее внедрение и, естественно, техническую поддержку.

Интеллектуальная виртуальная среда с обеспечением функций безопасности может предоставляться заказчику также на базе центра обработки данных КРОК: заказчик получит сбалансированное отказоустойчивое решение, обслуживаемое из единой точки и с единым уровнем сервиса.

- На базе собственного ЦОД компания КРОК предлагает аренду виртуальных ресурсов. Учитывая существующие предубеждения по поводу безопасности виртуальной среды, не является ли аренда физического оборудования более предпочтительной для заказчика?

- Здесь я готов поспорить. Интерес к услуге высок. Иногда арендованная виртуальная среда используется в целях тестирования. Достаточно часто встречаются ситуации, когда, скажем, региональные структуры (например, банки) открывают представительства в Москве и нужно организовать управляемую инфраструктуру для поддержки их работы. И они работают именно с виртуальной инфраструктурой. Тем более что заказчик необязательно точно знает, какой мощности сервер ему необходим. Виртуальная среда позволяет обеспечить для определенных видов сервисов необходимый уровень производительности и доступности, что тоже входит в понятие информационной безопасности. На физической платформе не всегда есть возможность оперативно выделить дополнительный ресурс процессоров и памяти, а виртуальная платформа это позволяет.

В конце концов, меры безопасности не должны мешать бизнесу, они призваны поддерживать его развитие. Технологии виртуализации совершенствуются, производители решений предлагают новые модели безопасности.

И, я думаю, за ними - будущее.