© 1995-2021 Компания «Инфосистемы Джет»
Реальные проблемы виртуальных ЦОД
Информационная безопасность

В настоящее время на рынке представлен широчайший спектр решений для защиты серверов и центров обработки данных от различных угроз. Несмотря на особенности каждого из продуктов, объединяет их одна общая черта - ориентированность на узкий спектр решаемых задач

Информационная безопасность Обзор

Реальные проблемы виртуальных ЦОД

Автор
Николай Романов Технический консультант компании TrendMicro в России и СНГ

30.03.2012

Посетителей: 84

Просмотров: 78

Время просмотра: 3.6 мин.

В настоящее время на рынке представлен широчайший спектр решений для защиты серверов и центров обработки данных от различных угроз. Несмотря на особенности каждого из продуктов, объединяет их одна общая черта – ориентированность на узкий спектр решаемых задач. Но с учетом постепенного вытеснения классических аппаратных систем виртуальными платформами спектр этих задач подвергся некоторому расширению. Дело в том, что к уже хорошо известным типам угроз (сетевые атаки, вредоносное ПО, уязвимости в приложениях и ОС) добавились сложности, связанные с контролем среды (гипервизора), трафика между гостевыми машинами и разграничением прав доступа. Расширились как внутренние вопросы и политики защиты ЦОД, так и требования внешних регуляторов. Как следствие, работа современных ЦОД в ряде отраслей требует закрытия не только чисто технических вопросов, связанных с их безопасностью. Финансовые институты (банки, процессинговые центры и пр.) подчинены ряду стандартов, выполнение которых может быть заложено на уровне технических решений. Если же судить о рынке в целом, то ясно одно: проникновение платформ виртуализации достигло того уровня, когда практически все компании, использующие эти системы, весьма серьезно занялись вопросами усиления безопасности в них. Отметим, что буквально год назад интерес был скорее теоретический.

Применимость подобных решений в производственной сфере – нефтегазовая индустрия, машиностроение, оборонная промышленность – дает выгоду в том случае, когда есть сложности с классическими решениями (платформенная несовместимость) и часть систем является «неприкосновенной» (например, проблемы с патч-менеджментом). Почти во всех ситуациях компании объединяют одни и те же интересы – потребность в снижении нагрузки на аппаратные платформы при использовании систем защиты и в относительной простоте управления этими решениями. Первый фактор представляет интерес в контексте получения пиковой полезной мощности от аппаратных средств. Другими словами, востребована возможность размещения на физических узлах максимального количества производственных систем и приложений. Как показывает практика, неадаптированные средства защиты часто приводят к сложностям с распределением свободных ресурсов и к избыточной нагрузке при выполнении второстепенных и нередко рутинных задач. Что же касается «неприкосновенности» систем, то в контексте задач безопасности почти всегда негативную роль играет длинный цикл проверки любых обновлений, устанавливаемых на работающие бизнес-системы. Это может отрицательно сказаться в случае целевых атак на такие системы.

 

Рис. 1. Функциональная схема решения Deep Security 8.0

 

В конечном счете, именно необходимость комплексно решать задачи обеспечения безопасности серверов и систем обработки данных привела к появлению продукта Deep Security. Решение присутствует на рынке более 6 лет и с самого момента своего появления было ориентировано на работу с критическими бизнес-приложениями (с точки зрения как защиты, так и среды), учитывая также кроссплатформенность этих систем.

 

Продукт представляет собой классическое клиент-серверное решение с единым центром управления для всех типов защищаемых систем (физических, виртуальных, настольных) и хранением всей информации в широко распространенных СУБД – Microsoft SQL, Oracle.

 

Одним из ключевых элементов защиты долгое время являлось агентское приложение, устанавливаемое на каждую систему. С появлением виртуальной платформы VMware ESX 4.x и открытием API для разработчиков средств защиты данных функциональная роль агентского модуля стала более специфической. В контексте решения Deep Security это означает, что, кроме классической защиты, продукт способен обеспечивать и безагентскую защиту по нескольким фронтам. Приведенная таблица функциональных возможностей продукта в зависимости от типа защиты и операционной системы.

 

Табл. 1. Функциональные возможности продукта

ФункцияАгентБезагентский модуль
Антивирусная защита+
(Windows, Linux)
+
(Windows)
Обнаружение/предотвращение
вторжений (IDS/IPS)
+
(Windows, Linux, Solaris)
+
(Windows, Linux, Solaris)
Межсетевой экран+
(Windows, Linux, Solaris)
+
(Windows, Linux, Solaris)
Контроль приложений+
(Windows, Linux, Solaris)
+
(Windows, Linux, Solaris)
Защита веб-приложений+
(Windows, Linux, Solaris)
+
(Windows, Linux, Solaris)
Контроль целостности гостевых
систем
+
(Windows, Linux, Solaris, AIX, HP-UX)
+
(Windows)
Контроль целостности
гипервизора
-+
(требуется наличие модуля Intel TPM/TXT)
Инспектирование журнальных
событий
+
(Windows, Linux, Solaris, AIX, HP-UX)
+
(Windows, Linux, Solaris, AIX, HP-UX)

 

Если оценивать вопрос с позиций службы сопровождения – системных администраторов, то многим компаниям будет интересен вариант с безагентским методом защиты. Он обеспечивает решение большинства задач (защиту на сетевом уровне, антивирусные механизмы, контроль целостности) в рамках всего физического хоста независимо от количества виртуальных машин на нем. Отметим, что безагентский метод не усложняет жизнь специалистов трудностями на этапах внедрения и эксплуатации, в том числе из-за многочисленных проверок совместимости, чем часто грешат системы безопасности.

 

В условиях размывания границ ЦОД, что не в последнюю очередь связано с появлением виртуальных технологий, стала необходимостью консолидированная защита с использованием агента и виртуального шлюза безопасности (безагентский режим). Безагентская защита должна дополняться резидентной защитой гостевых систем (с помощью агента) в тех случаях, когда возникает необходимость добиться максимального уровня защищенности в системах, а также обеспечить защиту в тех средах, где гипервизор закрыт для интеграции сторонних решений (платформы от Microsoft, Citrix, Red Hat и др.). Есть ряд факторов, влияющих на принятие решения об использовании координированного подхода к защите:

 

  1. Риск перемещения гостевых систем с работающими в них приложениями в сегмент ЦОД, где будет отсутствовать безагентская защита Deep Security.
  2. Необходимость обеспечить контроль событий в рамках работы ОС и приложений (работает только при наличии агента).

 

Кроме этого, работа IDS/IPS, межсетевых экранов (МСЭ) или антивируса в различных режимах (на уровне хоста в целом или каждой гостевой системы в отдельности) также позволяет сказать, что степень защиты в гибридном режиме позволит блокировать более широкий спектр угроз. Основным плюсом смешанной защиты является то, что политики, создаваемые в привязке к защищаемым узлам, будут работать независимо от местонахождения гостевой системы. Например, МСЭ позволяет организовать полностью изолированную работу сервиса как при использовании агента Deep Security, так и без него, что является в ряде случаев – те же виртуализированные ЦОД – существенным плюсом.

 

IDS/IPS также может работать в смешанном режиме, причем достоинство такой схемы при использовании одинаковых политик заключается в контроле активности внутри хоста благодаря безагентскому модулю и отслеживанию активности в каждой гостевой системе на этом хосте. Возможность защитить приложения на сетевом уровне в случае наличия уязвимостей в них является одной из главных сильных сторон решения. Эта функция в свое время получила название «виртуальный патчинг», и огромный интерес к ней со стороны заказчиков позволил термину прижиться в среде специалистов. Идея «виртуальности» заключается в том, что при попытке атаковать систему с имеющейся в ней брешью средства безопасности закрывают эту уязвимость на сетевом уровне, и для атакующей стороны система выглядит как «пропатченная» – возникает иллюзия установленных обновлений. Преимуществом такого метода является минимизация рисков, относящихся к тем системам, где процедура установки обновлений затруднена, – к критически важным для бизнеса и производства приложениям. При этом достигается максимальный эффект защиты.

 

Особенностью работы антивируса в режиме агента является больший контроль операций за счет мониторинга памяти. В безагентском режиме драйвер vShield обеспечивает только отслеживание операций ввода-вывода в рамках дисковой подсистемы. Нужно отметить, что это не столь критично в большинстве случаев, т.к. процент вредоносных приложений, которые ориентированы на перехват процессов в памяти, не столь велик по сравнению с вирусами, использующими дисковые операции. Данное утверждение особенно верно для серверного сегмента, где отсутствует интерактивное взаимодействие пользователя с внешними сетями.


Наличие в решении функции контроля доступа приложений в сеть представляет интерес с точки зрения задач контентной фильтрации. Несмотря на серверную ориентированность Deep Security, модуль позволяет решать вопросы с ограничением доступа к ресурсам сети настольных приложений (торрент-клиентов, программ обмена мгновенными сообщениями и т.д.). Этот функционал полезен при построении VDI-решений. Отметим, что количество поддерживаемых продуктов и их версий достаточно велико, чтобы задуматься об использовании модуля в целях усиления контроля.

 

Одной из ценных возможностей продукта является контроль целостности гостевых систем. Большинство вопросов, возникающих с выполнением этой задачи, связано с принятием решения о том, какие изменения являются легитимными, а какие относятся к нарушениям целостности, связанным с угрозой работоспособности систем. Если говорить о контроле на уровне файлов, большинство реализаций опираются на хэши файлов, что может быть недостаточно эффективным способом, позволяющим лишь избежать сложностей с определением принадлежности события к той или иной группе. В новой версии решения Trend Micro учли данную особенность путем использования тегирования похожих событий на различных системах. Технология позволяет существенно минимизировать ложные срабатывания, базируясь на истории сходных проверок для других узлов. В условиях виртуальной инфраструктуры, где узлы разворачиваются из шаблонов, это становится ключевой особенностью. Источником такой информации могут быть как локальные системы, так и глобальный центр Trend Micro (Certified Safe Software Service).

 

Наряду с гостевыми системами контроль целостности может обеспечиваться и для самой среды гипервизора. Однако это требует наличия специального модуля (Intel TPM/TXT), установленного на аппаратной плате хоста. Специфика рынка России и его ограничения не всегда позволяют испытать эту функцию в действии (указанный модуль обычно запрещен к ввозу на территорию страны в связи с наличием в нем криптографических функций). В то же время часто приходится слышать опасения ИТ-специалистов российских компаний, связанные с безопасностью самой среды, и подобная функция могла бы несколько облегчить их головную боль.

 

Большая часть функциональных возможностей Deep Security была уже неоднократно оценена международными лабораториями Tolly и NSS Labs. При этом Gartner в отчете за 2012 г. отмечает решение Trend Micro как единственный эффективный продукт на рынке, использующий безагентские возможности защиты на базе VMware vShield. Кроме того, статистические данные, приведенные в отчете, показывают увеличение максимальной плотности гостевых машин на хосте при использовании безагентского подхода по сравнению с классическим.

 

Дополнительным плюсом системы является наличие в ней функции сбора и нормализации событий из журналов различных систем и приложений с возможностью последующей их отправки внешним корреляторам событий (SIEM) или просто на хранение (syslog). Компания «Инфосистемы Джет» имеет опыт интеграции Deep Security с системой HP ArcSight, и эта связка хорошо себя зарекомендовала. Подобный функционал позволяет обеспечить контроль защищаемых систем на том уровне, где остальные компоненты бесполезны (например, при попытках перебора паролей при входе в систему). Поддержка основных форматов системных событий (Windows Events, Snort, syslog и др.), а также поддержка стандарта CEF (Common Event Format) позволяют объединить контроль инцидентов Deep Security с единой системой управления событиями ИБ.

 

В современных условиях становится все сложнее обеспечить защиту критически важных для бизнеса систем и приложений. Появление виртуализации стало причиной масштабной миграции большинства систем на ВМ, однако решение задач обеспечения безопасности, связанных с эксплуатацией приложений в новой среде, потребовало особого подхода. Отметим, что наличие средств защиты, подобных Deep Security, позволяет решить лишь некоторую часть общей задачи. Необходимость использования этих решений должна оцениваться не с позиций их удобства, хотя это немаловажно, а в контексте реальной выгоды, даже несмотря на сложность расчета ROI.

Уведомления об обновлении тем – в вашей почте

В России появляется спрос на отраслевые и специализированные облачные решения

На текущий момент мы видим несколько сильных трендов, и в России действительно есть своя специфика.

Обзор решений Anti-APT: от слов к делу

Современные вредоносы zero-day легко обходят традиционную защиту, поэтому появился новый класс решений Anti-APT

Advanced Persistent Threat в действии: демонстрация методов доставки вирусов

Специалисты компании «Инфосистемы Джет» продемонстрировали, что такое таргетированные атаки на практике

Защита виртуальных сред и облачных сервисов - модно или актуально?

Трудно найти более обсуждаемую тему в области ИБ, чем защита виртуальных сред и облачных сервисов

Обзор решений по защите от таргетированных атак

Обзор представляет решения Anti-APT от ведущих производителей: FireEye, Trend Micro Deep Discovery, Check Point SandBlast, Kaspersky Anti Targeted Attack Platform (KATA)

Управление доступом к виртуальной инфраструктуре с помощью продукта HyTrust

Динамичность виртуальной инфраструктуры как ее основное преимущество для бизнеса одновременно несет проблемы безопасности. Неконтролируемость среды управления виртуальной инфраструктурой приводит к возможности реализации утечек и атак как преднамеренного, так и случайного характера

Проблемы безопасности виртуальных сред: заплаточный подход

Прошедший 2012-й год показал, что компании в России начали вести реальную работу в области обеспечения защиты своих виртуальных сред (ВС)

Миграция в облако: наш опыт

На сегодняшний день создание частного облака — очень популярное направление развития ИТ-инфраструктуры во многих компаниях.

Как сделать виртуальную безопасность реальной с решениями Stonesoft

Особые подходы к организации виртуальной среды диктуют и свои правила по обеспечению безопасности

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня