Управление доступом к виртуальной инфраструктуре с помощью продукта HyTrust
Информационная безопасность Информационная безопасность

Динамичность виртуальной инфраструктуры как ее основное преимущество для бизнеса одновременно несет проблемы безопасности. Неконтролируемость среды управления виртуальной инфраструктурой приводит к возможности реализации утечек и атак как преднамеренного, так и случайного характера

Главная>Информационная безопасность>Управление доступом к виртуальной инфраструктуре с помощью продукта HyTrust
Информационная безопасность Обзор

Управление доступом к виртуальной инфраструктуре с помощью продукта HyTrust

Дата публикации:
30.03.2012
Посетителей:
320
Просмотров:
258
Время просмотра:
2.3

Авторы

Автор
Юрий Сергеев В прошлом - специалист Центра Информационной безопасности компании «Инфосистемы Джет»
Динамичность виртуальной инфраструктуры как ее основное преимущество для бизнеса одновременно несет проблемы безопасности. Неконтролируемость среды управления виртуальной инфраструктурой приводит к возможности реализации утечек и атак как преднамеренного, так и случайного характера. Администратор средства виртуализации становится лицом, доверие к которому должно быть выше, чем к администраторам вне контекста ее применения. К тому же в условиях виртуальной среды стандартные средства мониторинга и журналирования не обеспечивают полной защиты, т.к. утечку можно реализовать на базе средств управления или гипервизора. Например, просто выгрузить виртуальную машину целиком со всем ее содержимым.

 

 

Для решения задачи защиты виртуальной среды рекомендуется строить комплексные системы, учитывающие новые векторы атак, проводить организационные и технические мероприятия в рамках их развертывания. Это, конечно, и правильное сегментирование сетей, и внимательное проектирование с учетом требований ИБ инфраструктуры квалифицированными специалистами, и усиленная двухфакторная аутентификация (например, реализация OTP-технологии RSA SecurID), и средства сбора, анализа, управления и корреляции событий ИБ (лидирующие позиции здесь занимает семейство продуктов HP ArcSight), и специализированные решения для управления доступом к виртуальной среде (см. рис. 1).

 

Рис. 1. Пример технического решения по защите виртуальных сред VMware

Особенно важно уделить внимание последнему пункту. Это обусловлено тем, что средства управления виртуальной инфраструктурой часто разрабатывают, держа в фокусе ИТ-задачи и забывая об ИБ. Для полноценного контроля доступа, разделения полномочий (Separation of Duties) и одновременного исключения существования пользователя с постоянными правами суперадминистратора оптимально применение продукта HyTrust от одноименной компании. HyTrust был опробован несколькими нашими заказчиками и хорошо показал себя в том числе и при тестировании на виртуальной среде VMware vSphere как 4-й, так и 5-й версии.

 

 Продукт представляет собой шлюзовое решение по контролю доступа к интерфейсам управления виртуальной инфраструктурой. Он обладает широким функционалом, а также возможностями по интеграции с лидирующими продуктами на рынке ИБ. На деле HyTrust работает как шлюз для серверов VMware ESX и VMware vCenter, закрывая собой сеть управления (Management Network) и обеспечивая невозможность своего обхода, что позволяет маршрутизировать трафик между сетью управления и производственной сетью. Стоит отметить, что HyTrust перехватывает все соединения пользователей с виртуальной инфраструктурой VMware vCenter/ESX/ESXi, включая SSH, API, vSphere Client в конфигурациях vSphere-Client-to-ESX или vSphere-Client-to-vCenter, web-доступ. Продукт также позволяет разграничивать доступ к тем или иным объектам на базе ролей с высокой гранулярностью разрешений таким образом, что этот контроль осуществляется прозрачно для пользователя.

 

Опыт реализации подобных систем контроля доступа показывает, что на деле все они выполняют основную задачу примерно одинаково, основное же различие между ними – реальная цена их эксплуатации. Многие коммерческие компании за последние несколько лет не раз столкнулись с российскими разработками СЗИ от НСД, выполненными в строгом соответствии с требованиями руководящих документов, но имеющими существенные недостатки в части управляемости, влияния на работоспособность критических ИТ-систем, удобства эксплуатации и других характеристик, имеющих первостепенное значение в современных ИТ-средах. Преимуществом HyTrust в этом ключе является совокупность полноты контроля доступа, надежности и одновременной прозрачности работы с точки зрения пользователя виртуальной инфраструктуры. Ему не нужно заново учиться запускать дополнительные агенты для доступа к среде виртуализации, он продолжает использовать привычные средства – SSH и VMware vSphere Client. При этом служба ИБ контролирует и фиксирует все его действия, имеет возможность с помощью меток безопасности гибко настраивать уровни доступа и абсолютно не зависит от ИТ-администраторов в своем контроле – последние не могут отключить функции безопасности. Удобство использования решения также обусловливается наличием функций простого поиска объектов, политик и журнальных файлов внутри HyTrust Virtual Appliance, что очень полезно в условиях, когда количество контролируемых объектов исчисляется сотнями и тысячами единиц.

 

Монитор обращений, реализованный системой, оперирует как внутренними пользователями, созданными внутри виртуального устройства HyTrust, так и пользователями из внешних LDAP-хранилищ, например, Active Directory. Это позволяет создать эффективную унифицированную среду аутентификации, в том числе с использованием средств двухфакторной аутентификации как по сертификатам x.509, так и с помощью OTP-технологии RSA SecurID. При этом в случае необходимости всегда можно «отвязаться» от внешних источников. Система обладает каталогом базовых элементарных действий, типов доступов, объединение которых позволяет ей формулировать роли пользователей. За счет применения правил или их наборов, задающих дополнительный уровень возможностей реализации контроля, система позволяет сопоставить пользователей с их ролями по отношению к тем или иным объектам. Правила могут также содержать дополнительные ограничивающие критерии для ролевого доступа, учитывая параметры подключившегося пользователя, метки безопасности объектов, а также условия перемещения ВМ.

 

При этом именование меток и принципы их формирования абсолютно свободны: у администратора есть возможность исполнения любой удобной ему модели. Если есть необходимость отделить Linux- от Windows-администраторов, вводятся метки Linux и Windows. В результате пользователи с меткой Linux могут работать только с виртуальными машинами, отмеченными соответствующими метками. Другой тактикой является разделение защищаемых ресурсов по их принадлежности: например, ресурсы финансового или HR-отдела могут быть также подконтрольны с помощью меток. Достаточно отметить, что тот или иной datastore или виртуальная сеть относятся к Finance или к HR, и возможность их использования будет только у пользователя с соответствующей меткой при наличии достаточных привилегий, диктуемых присвоенной ему ролью. Сценариев применения здесь множество, в том числе и в формате стандарта PCI DSS. Выделив метками объекты PCI-среды – как виртуальные машины, так и хранилища данных, сети и т. д., – мы можем обеспечить невозможность их подключения к ресурсам, не имеющим аналогичных меток, в том числе запретить миграцию PCI-объектов в среду без соответствующей метки. Такой контроль не сможет обойти даже администратор всей виртуальной инфраструктуры: специалисты ИБ всегда будут в курсе происходящего, а несанкционированные попытки будут пресечены.

 

Рис. 2. Схема взаимосвязей объектов и субъектов доступа

 

На практике права суперпользователя нужны в рамках процесса обслуживания виртуальной инфраструктуры для установки патчей и решения других административных задач из консоли SSH. Просто отобрать эти права – неэффективное решение. В то же время заморозить версию системы и не проводить обновлений в современных динамичных условиях – почти невыполнимая задача. Продукт HyTrust реализует устраняющую указанные проблемы технологию Root Password Vault, которая позволяет передать привилегии Root-пользователя другой учетной записи на ограниченное время, чтобы, например, доверенный администратор мог провести операцию по обслуживанию виртуальной инфраструктуры, а его постоянные права доступа при этом не изменились. Технология обеспечивает отсутствие прав суперадминистратора на ESX/ESXi у конечных пользователей при сохранении возможности администрирования от имени Root. Это существенно повышает уровень реальной безопасности, одновременно не осложняя жизнь администратору, которому нужно «накатить» очередной патч из консоли.

 

В промышленных решениях виртуальные устройства HyTrust могут объединяться в федеративный комплекс (Federated Deployment), между компонентами которого будет осуществляться репликация политик безопасности.

 

Стоит отметить, что, помимо контроля доступа, немаловажны и фиксация действий пользователей, т.е. аудит, и контроль состояния защищённости виртуальной среды. Эти функции также обеспечиваются в полном объеме. Для каждого ESX-узла можно задать шаблон контроля с набором параметров, влияющих на безопасность функционирования, и проводить их мониторинг. Существуют предустановленные шаблоны, например, для стандарта PCI DSS. Сами данные аудита действий пользователей могут отправляться во внешние SIEM-системы по средствам протоколов syslog или secure syslog.

 

Построение взаимоинтегрированных, работающих как единое целое решений позволяет достигать бизнес-целей гораздо эффективнее, чем с использованием множества несвязанных, работающих отдельно, а иногда и конфликтующих продуктов. Рассматривая вопросы взаимодействия HyTrust с другими решениями, стоит отметить, что в разрезе контроля соответствия параметров конфигурации виртуальной инфраструктуры возможна его интеграция с внешними системами, обеспечивающими безопасность виртуальной среды, такими как Deep Security. В конечном счете это позволяет обеспечивать комплексный контроль ее состояния с точки зрения информационной безопасности.

Уведомления об обновлении тем – в вашей почте

3D-графика удаленно и в средах VDI - обзор на 360

Не секрет, что 3D-графика широко используется на промышленных предприятиях

В России появляется спрос на отраслевые и специализированные облачные решения

На текущий момент мы видим несколько сильных трендов, и в России действительно есть своя специфика.

Обзор SDN-решений: Cisco ACI, VMware NSX и Nuage VSP

SDN – наверняка вы слышите этот термин не в первый раз. Интерес компаний к теме программно-определяемых сетей неуклонно растёт, у ИТ-специалистов уже складывается понимание концепции SDN.

ТОП 10 ошибок эксплуатации виртуальной инфраструктуры

На сегодняшний день большинство крупных российских компаний использует в своих ИТ-ландшафтах технологии виртуализации

Практика защиты виртуальных сред

Для защиты виртуальных сред (ВС) появляется все большее число средств, также оптимизируются существующие

Консалтинг в области информационной безопасности

Консалтинг в области информационной безопасности представляет собой комплекс услуг, оказываемых компанией-консультантом заказчику с целью определения ..

Облако. Финансовая сторона вопроса

В этой статье мы приводим конкретные кейсы заказчиков по решению бизнес-задач с помощью облачных сервисов.

Приведение двух процессинговых центров компании «МультиКарта» в соответствие с требованиями международного стандарта безопасности в индустрии платежных карт PCI DSS

Соответствие требованиям стандарта PCI DSS – обязательное требование международных платежных систем, распространяющееся на все организации, которые хранят, обрабатывают или передают данные держателей платежных карт.

Самый безопасный SOC

По оценкам отечественных специалистов в области ИБ, в настоящее время уровень информационной безопасности в российских компаниях по сравнению с западными не очень высок, но темпы развития в разы выше

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня