Как сделать виртуальную безопасность реальной с решениями Stonesoft

• cоздании многорубежной сетевой защиты, осложняющейся виртуализацией сетевых потоков;
• управлении множеством виртуальных устройств защиты;
• интеграции средств защиты с инфраструктурой;
• создании политик и управлении потоками.

Продукты компании Stonesoft позволяют решить если не все, то многие из перечисленных проблем.

Подходы к защите сетевых взаимодействий

Согласно статистике Gartner, до 95% всех инцидентов, связанных с информационной безопасностью, так или иначе имеют отношение к некорректной настройке, проектированию, обслуживанию и пр. И когда в виртуальной среде решения разворачиваются без оглядки на управляемость и возможность визуализации происходящих событий, оставшиеся 5% могут быть успешно засчитаны в пользу злоумышленников. Всегда нужно помнить о том, что сложности с организацией самой виртуальной инфраструктуры нисколько не облегчают выполнение задач, связанных с безопасностью.

Особенностями виртуальных решений также являются разделение информационных потоков и потенциальные воздействия на гипервизор. Проблемы, которые могут здесь возникнуть, зачастую оказываются взаимосвязанными: разделением виртуальных потоков обычно занимается компонент, который интегрируется в цепочку обработчиков, находящихся на уровне гипервизора.

Например, если говорить о широко применяемой еще некоторое время назад технологии VMsafe в отношении сетевых устройств защиты (т.е. с DVFilter API), то и у нее есть своя специфика использования и ограничения. Безусловно, VDDK полезен, когда нужно внедрить консолидированное решение для антивирусной защиты виртуальной инфраструктуры: в этом случае достаточно иметь одну виртуальную машину, способную «залезть» во все остальные с целью проверки их дисков и состояния памяти. Но когда речь идет о перехвате сетевых пакетов, то тут все не так просто. Для перехвата DVFilter помещается между vSwitch'ем и vNIC'ом. Более того, на Fast Path'е главным образом можно (и обоснованно) осуществлять лишь первичную фильтрацию, поэтому рассуждения о производительности и высоком уровне безопасности здесь неуместны – для этого нужно идти на Slow Path. В этом смысле мы все равно приходим к концепции виртуальной машины (или физического устройства, которое дополняет виртуальную инфраструктуру), которая работает в соответствии с некоторой политикой безопасности, реализуя заданные функциональные возможности.

При проектировании можно применять и обычную виртуальную машину, включив ее в точке разветвления между vSwitch'ами или даже просто между VLAN'ами – по старинке (интерфейсы VMsafe работают только с VMWare 4.x или более новыми).

Таким образом, мы перенаправили и перехватили трафик, теперь нужно его фильтровать, а для этого необходима правильная настройка. И здесь человеческий фактор начинает играть главенствующую роль. Даже если все новые виртуальные машины автоматически попадают под действие фильтра перехвата, для них нужно предусмотреть политику безопасности, создать правила доступа, журналирования, включить в отчет и т.п. На проблему нужно смотреть комплексно – следует грамотно использовать все механизмы безопасности как единую систему, стойкость к взлому которой, как известно, определяется самым слабым звеном.

Подход компании Stonesoft концептуально отличается от подходов других вендоров к построению и сопровождению систем информационной безопасности. Stonesoft акцентируется исключительно на продуктах в области сетевой безопасности, в том числе и для виртуальной среды. Представленные на рынке решения компании образуют комплексную систему ИБ, которая позволяет с легкостью обеспечивать необходимый уровень защиты как для небольших, так и для крупных и географически распределенных компаний. При этом все элементы решения тесно интегрированы между собой, работают с системой централизованного управления и мониторинга, поддерживающей масштабирование средств защиты информации.

Рис. 1. Применение решений для разных нишевых сегментов

Область позиционирования решений компании Stonesoft – так называемая зона комфорта – включает в себя те компании, для которых важны отказоустойчивость, широкие функциональные возможности системы безопасности, её «отзывчивость» (т.е. способность реагировать на изменения и своевременно оповещать о них администратора). Именно эти компании смогут по максимуму выиграть от возможностей решений, которые предлагает Stonesoft. Заказчики другого типа – SMB и нераспределенные офисы – тоже получат определенную выгоду, но для них в силу особенностей ведения бизнеса она будет несущественна. Эти компании могут с аналогичным результатом использовать и решения других производителей, поскольку зачастую функциональные возможности продуктов Stonesoft для них избыточны.

Особенности использования решений Stonesoft

Исходя из специфики решений и подхода к построению инфраструктур, нацеленных на обеспечение ИБ в виртуальной среде, Stonesoft может дать следующие преимущества:

• централизованное управление средствами защиты по всей виртуальной инфраструктуре;
• высокая доступность компонентов – исполнительных устройств, как с применением, так и без использования технологий, заложенных в саму виртуальную платформу (vMotion, DRS и т. п.);
• удобство, простота и легкость создания устройств и работы с управляемыми компонентами (в том числе за счет облачных технологий и сервисов быстрого развертывания);
• высокий уровень контроля и глубины инспекции.

Таким образом, построение эшелонированной комплексной системы информационной безопасности на базе решений Stonesoft как для физической, так и для виртуальной среды не представляет никаких сложностей. Последовательность шагов для запуска решения (в большинстве случаев) следующая:

• провести импорт готовых virtual appliance в инфраструктуру;
• инсталлировать систему управления SMC;
• провести автоматическую инициализацию исполнительных устройств;
• установить политику безопасности для детектирования информационных потоков;
• собрать статистическую информацию о прохождении трафика (происходит автоматически), при необходимости вносить корректирующие действия по результатам сбора информации (для этого имеются автоматизированные инструменты).

Сроки такого автоматизированного развертывания решения могут составлять менее часа для всей инфраструктуры. Результатом внедрения становится полностью управляемая распределенная многорубежная система сетевой безопасности.

Следует отметить, что применение сетевых решений по ИБ существенно отличается от узловых (особенно в виртуальной среде). То, что можно реализовать на уровне хоста с помощью специализированной безагентной технологии путем использования специальных API-интерфейсов, предоставляемых платформой, зачастую неприменимо для случаев, когда требуется выполнить контроль проходящего трафика, маршрутизацию, трансляцию/сокрытие адресов и/или сегментирование ресурсов. Особенно сложными представляются создание и управление политиками для консолидированных или распределенных сегментов, равно как и контроль и управление информационными потоками. Отметим, что эффективное решение именно этих задач всегда было приоритетным направлением компании Stonesoft.