Подписаться
Читать в телеграм
Применимость подобных решений в производственной сфере – нефтегазовая индустрия, машиностроение, оборонная промышленность – дает выгоду в том случае, когда есть сложности с классическими решениями (платформенная несовместимость) и часть систем является «неприкосновенной» (например, проблемы с патч-менеджментом). Почти во всех ситуациях компании объединяют одни и те же интересы – потребность в снижении нагрузки на аппаратные платформы при использовании систем защиты и в относительной простоте управления этими решениями. Первый фактор представляет интерес в контексте получения пиковой полезной мощности от аппаратных средств. Другими словами, востребована возможность размещения на физических узлах максимального количества производственных систем и приложений. Как показывает практика, неадаптированные средства защиты часто приводят к сложностям с распределением свободных ресурсов и к избыточной нагрузке при выполнении второстепенных и нередко рутинных задач. Что же касается «неприкосновенности» систем, то в контексте задач безопасности почти всегда негативную роль играет длинный цикл проверки любых обновлений, устанавливаемых на работающие бизнес-системы. Это может отрицательно сказаться в случае целевых атак на такие системы.
Рис. 1. Функциональная схема решения Deep Security 8.0 
В конечном счете, именно необходимость комплексно решать задачи обеспечения безопасности серверов и систем обработки данных привела к появлению продукта Deep Security. Решение присутствует на рынке более 6 лет и с самого момента своего появления было ориентировано на работу с критическими бизнес-приложениями (с точки зрения как защиты, так и среды), учитывая также кроссплатформенность этих систем.
Продукт представляет собой классическое клиент-серверное решение с единым центром управления для всех типов защищаемых систем (физических, виртуальных, настольных) и хранением всей информации в широко распространенных СУБД – Microsoft SQL, Oracle.
Одним из ключевых элементов защиты долгое время являлось агентское приложение, устанавливаемое на каждую систему. С появлением виртуальной платформы VMware ESX 4.x и открытием API для разработчиков средств защиты данных функциональная роль агентского модуля стала более специфической. В контексте решения Deep Security это означает, что, кроме классической защиты, продукт способен обеспечивать и безагентскую защиту по нескольким фронтам. Приведенная таблица функциональных возможностей продукта в зависимости от типа защиты и операционной системы.
Табл. 1. Функциональные возможности продукта
| Функция | Агент | Безагентский модуль |
| Антивирусная защита | + (Windows, Linux) | + (Windows) |
| Обнаружение/предотвращение вторжений (IDS/IPS) | + (Windows, Linux, Solaris) | + (Windows, Linux, Solaris) |
| Межсетевой экран | + (Windows, Linux, Solaris) | + (Windows, Linux, Solaris) |
| Контроль приложений | + (Windows, Linux, Solaris) | + (Windows, Linux, Solaris) |
| Защита веб-приложений | + (Windows, Linux, Solaris) | + (Windows, Linux, Solaris) |
| Контроль целостности гостевых систем | + (Windows, Linux, Solaris, AIX, HP-UX) | + (Windows) |
| Контроль целостности гипервизора | - | + (требуется наличие модуля Intel TPM/TXT) |
| Инспектирование журнальных событий | + (Windows, Linux, Solaris, AIX, HP-UX) | + (Windows, Linux, Solaris, AIX, HP-UX) |
Если оценивать вопрос с позиций службы сопровождения – системных администраторов, то многим компаниям будет интересен вариант с безагентским методом защиты. Он обеспечивает решение большинства задач (защиту на сетевом уровне, антивирусные механизмы, контроль целостности) в рамках всего физического хоста независимо от количества виртуальных машин на нем. Отметим, что безагентский метод не усложняет жизнь специалистов трудностями на этапах внедрения и эксплуатации, в том числе из-за многочисленных проверок совместимости, чем часто грешат системы безопасности.
В условиях размывания границ ЦОД, что не в последнюю очередь связано с появлением виртуальных технологий, стала необходимостью консолидированная защита с использованием агента и виртуального шлюза безопасности (безагентский режим). Безагентская защита должна дополняться резидентной защитой гостевых систем (с помощью агента) в тех случаях, когда возникает необходимость добиться максимального уровня защищенности в системах, а также обеспечить защиту в тех средах, где гипервизор закрыт для интеграции сторонних решений (платформы от Microsoft, Citrix, Red Hat и др.). Есть ряд факторов, влияющих на принятие решения об использовании координированного подхода к защите:
- Риск перемещения гостевых систем с работающими в них приложениями в сегмент ЦОД, где будет отсутствовать безагентская защита Deep Security.
- Необходимость обеспечить контроль событий в рамках работы ОС и приложений (работает только при наличии агента).
Кроме этого, работа IDS/IPS, межсетевых экранов (МСЭ) или антивируса в различных режимах (на уровне хоста в целом или каждой гостевой системы в отдельности) также позволяет сказать, что степень защиты в гибридном режиме позволит блокировать более широкий спектр угроз. Основным плюсом смешанной защиты является то, что политики, создаваемые в привязке к защищаемым узлам, будут работать независимо от местонахождения гостевой системы. Например, МСЭ позволяет организовать полностью изолированную работу сервиса как при использовании агента Deep Security, так и без него, что является в ряде случаев – те же виртуализированные ЦОД – существенным плюсом.
IDS/IPS также может работать в смешанном режиме, причем достоинство такой схемы при использовании одинаковых политик заключается в контроле активности внутри хоста благодаря безагентскому модулю и отслеживанию активности в каждой гостевой системе на этом хосте. Возможность защитить приложения на сетевом уровне в случае наличия уязвимостей в них является одной из главных сильных сторон решения. Эта функция в свое время получила название «виртуальный патчинг», и огромный интерес к ней со стороны заказчиков позволил термину прижиться в среде специалистов. Идея «виртуальности» заключается в том, что при попытке атаковать систему с имеющейся в ней брешью средства безопасности закрывают эту уязвимость на сетевом уровне, и для атакующей стороны система выглядит как «пропатченная» – возникает иллюзия установленных обновлений. Преимуществом такого метода является минимизация рисков, относящихся к тем системам, где процедура установки обновлений затруднена, – к критически важным для бизнеса и производства приложениям. При этом достигается максимальный эффект защиты.
Особенностью работы антивируса в режиме агента является больший контроль операций за счет мониторинга памяти. В безагентском режиме драйвер vShield обеспечивает только отслеживание операций ввода-вывода в рамках дисковой подсистемы. Нужно отметить, что это не столь критично в большинстве случаев, т.к. процент вредоносных приложений, которые ориентированы на перехват процессов в памяти, не столь велик по сравнению с вирусами, использующими дисковые операции. Данное утверждение особенно верно для серверного сегмента, где отсутствует интерактивное взаимодействие пользователя с внешними сетями.
Наличие в решении функции контроля доступа приложений в сеть представляет интерес с точки зрения задач контентной фильтрации. Несмотря на серверную ориентированность Deep Security, модуль позволяет решать вопросы с ограничением доступа к ресурсам сети настольных приложений (торрент-клиентов, программ обмена мгновенными сообщениями и т.д.). Этот функционал полезен при построении VDI-решений. Отметим, что количество поддерживаемых продуктов и их версий достаточно велико, чтобы задуматься об использовании модуля в целях усиления контроля.
Одной из ценных возможностей продукта является контроль целостности гостевых систем. Большинство вопросов, возникающих с выполнением этой задачи, связано с принятием решения о том, какие изменения являются легитимными, а какие относятся к нарушениям целостности, связанным с угрозой работоспособности систем. Если говорить о контроле на уровне файлов, большинство реализаций опираются на хэши файлов, что может быть недостаточно эффективным способом, позволяющим лишь избежать сложностей с определением принадлежности события к той или иной группе. В новой версии решения Trend Micro учли данную особенность путем использования тегирования похожих событий на различных системах. Технология позволяет существенно минимизировать ложные срабатывания, базируясь на истории сходных проверок для других узлов. В условиях виртуальной инфраструктуры, где узлы разворачиваются из шаблонов, это становится ключевой особенностью. Источником такой информации могут быть как локальные системы, так и глобальный центр Trend Micro (Certified Safe Software Service).
Наряду с гостевыми системами контроль целостности может обеспечиваться и для самой среды гипервизора. Однако это требует наличия специального модуля (Intel TPM/TXT), установленного на аппаратной плате хоста. Специфика рынка России и его ограничения не всегда позволяют испытать эту функцию в действии (указанный модуль обычно запрещен к ввозу на территорию страны в связи с наличием в нем криптографических функций). В то же время часто приходится слышать опасения ИТ-специалистов российских компаний, связанные с безопасностью самой среды, и подобная функция могла бы несколько облегчить их головную боль.
Большая часть функциональных возможностей Deep Security была уже неоднократно оценена международными лабораториями Tolly и NSS Labs. При этом Gartner в отчете за 2012 г. отмечает решение Trend Micro как единственный эффективный продукт на рынке, использующий безагентские возможности защиты на базе VMware vShield. Кроме того, статистические данные, приведенные в отчете, показывают увеличение максимальной плотности гостевых машин на хосте при использовании безагентского подхода по сравнению с классическим.
Дополнительным плюсом системы является наличие в ней функции сбора и нормализации событий из журналов различных систем и приложений с возможностью последующей их отправки внешним корреляторам событий (SIEM) или просто на хранение (syslog). Компания «Инфосистемы Джет» имеет опыт интеграции Deep Security с системой HP ArcSight, и эта связка хорошо себя зарекомендовала. Подобный функционал позволяет обеспечить контроль защищаемых систем на том уровне, где остальные компоненты бесполезны (например, при попытках перебора паролей при входе в систему). Поддержка основных форматов системных событий (Windows Events, Snort, syslog и др.), а также поддержка стандарта CEF (Common Event Format) позволяют объединить контроль инцидентов Deep Security с единой системой управления событиями ИБ.
В современных условиях становится все сложнее обеспечить защиту критически важных для бизнеса систем и приложений. Появление виртуализации стало причиной масштабной миграции большинства систем на ВМ, однако решение задач обеспечения безопасности, связанных с эксплуатацией приложений в новой среде, потребовало особого подхода. Отметим, что наличие средств защиты, подобных Deep Security, позволяет решить лишь некоторую часть общей задачи. Необходимость использования этих решений должна оцениваться не с позиций их удобства, хотя это немаловажно, а в контексте реальной выгоды, даже несмотря на сложность расчета ROI.
