Как сделать виртуальную безопасность реальной с решениями Stonesoft
Информационная безопасность Информационная безопасность

Особые подходы к организации виртуальной среды диктуют и свои правила по обеспечению безопасности

Главная>Информационная безопасность>Как сделать виртуальную безопасность реальной с решениями Stonesoft
Информационная безопасность Обзор

Как сделать виртуальную безопасность реальной с решениями Stonesoft

Дата публикации:
30.03.2012
Посетителей:
72
Просмотров:
54
Время просмотра:
2.3

Авторы

Спикер
Дмитрий Ушаков Руководитель отдела по подготовке технических решений Stonesoft Corp.
Виртуализация и ее проблемы
 
Особые подходы к организации виртуальной среды диктуют и свои правила по обеспечению безопасности. Для начала следует сделать небольшой экскурс в мир виртуальных технологий и понять, в чем заключаются основные недостатки физических решений, которые до недавних пор (всего 3–4 года назад) всех устраивали и вполне справлялись с поставленными перед ними задачами. Пожалуй, основными причинами появления виртуальных инфраструктур на рынке явились следующие несовершенства компонентов физической среды:

 

 

  • неэффективное использование ресурсов отдельно стоящих серверов;
  • сложность эксплуатации большого числа серверов;
  • сложности масштабирования (проблема устранялась только за счет покупки нового оборудования);
  • трудности с организацией высокодоступных инфраструктур;
  • требование экономии ресурсов (электропитание, кондиционирование и пр.).

 

Иными словами, в основном нарекания сводились не к обеспечению безопасности как таковой, а к самому применению ИТ-технологий. Таким образом, к традиционным задачам обеспечения безопасности, первоначально характерным для физической среды, при переносе серверов в виртуальную инфраструктуру добавились еще и проблемы, относящиеся именно к особенностям организации виртуальных вычислений. Просто установить систему виртуализации на сервер недостаточно, поскольку возникают «второстепенные» задачи, такие как организация взаимодействия компонентов новой инфраструктуры, хранения данных и резервного копирования, обеспечение высокой доступности и эффективное распределение сервисов по виртуальным платформам. В результате специфика обеспечения ИБ в виртуальной среде, помимо борьбы с традиционными угрозами типа вирусов, несанкционированных потоков и приложений, заключается в:

  • cоздании многорубежной сетевой защиты, осложняющейся виртуализацией сетевых потоков;
  • управлении множеством виртуальных устройств защиты;
  • интеграции средств защиты с инфраструктурой;
  • создании политик и управлении потоками.

 

Продукты компании Stonesoft позволяют решить если не все, то многие из перечисленных проблем.

 

Подходы к защите сетевых взаимодействий

 

Согласно статистике Gartner, до 95% всех инцидентов, связанных с информационной безопасностью, так или иначе имеют отношение к некорректной настройке, проектированию, обслуживанию и пр. И когда в виртуальной среде решения разворачиваются без оглядки на управляемость и возможность визуализации происходящих событий, оставшиеся 5% могут быть успешно засчитаны в пользу злоумышленников. Всегда нужно помнить о том, что сложности с организацией самой виртуальной инфраструктуры нисколько не облегчают выполнение задач, связанных с безопасностью.

 

Особенностями виртуальных решений также являются разделение информационных потоков и потенциальные воздействия на гипервизор. Проблемы, которые могут здесь возникнуть, зачастую оказываются взаимосвязанными: разделением виртуальных потоков обычно занимается компонент, который интегрируется в цепочку обработчиков, находящихся на уровне гипервизора.

 

Например, если говорить о широко применяемой еще некоторое время назад технологии VMsafe в отношении сетевых устройств защиты (т.е. с DVFilter API), то и у нее есть своя специфика использования и ограничения. Безусловно, VDDK полезен, когда нужно внедрить консолидированное решение для антивирусной защиты виртуальной инфраструктуры: в этом случае достаточно иметь одну виртуальную машину, способную «залезть» во все остальные с целью проверки их дисков и состояния памяти. Но когда речь идет о перехвате сетевых пакетов, то тут все не так просто. Для перехвата DVFilter помещается между vSwitch'ем и vNIC'ом. Более того, на Fast Path'е главным образом можно (и обоснованно) осуществлять лишь первичную фильтрацию, поэтому рассуждения о производительности и высоком уровне безопасности здесь неуместны – для этого нужно идти на Slow Path. В этом смысле мы все равно приходим к концепции виртуальной машины (или физического устройства, которое дополняет виртуальную инфраструктуру), которая работает в соответствии с некоторой политикой безопасности, реализуя заданные функциональные возможности.

 

При проектировании можно применять и обычную виртуальную машину, включив ее в точке разветвления между vSwitch'ами или даже просто между VLAN'ами – по старинке (интерфейсы VMsafe работают только с VMWare 4.x или более новыми).

 

Таким образом, мы перенаправили и перехватили трафик, теперь нужно его фильтровать, а для этого необходима правильная настройка. И здесь человеческий фактор начинает играть главенствующую роль. Даже если все новые виртуальные машины автоматически попадают под действие фильтра перехвата, для них нужно предусмотреть политику безопасности, создать правила доступа, журналирования, включить в отчет и т.п. На проблему нужно смотреть комплексно – следует грамотно использовать все механизмы безопасности как единую систему, стойкость к взлому которой, как известно, определяется самым слабым звеном.


Подход компании Stonesoft концептуально отличается от подходов других вендоров к построению и сопровождению систем информационной безопасности. Stonesoft акцентируется исключительно на продуктах в области сетевой безопасности, в том числе и для виртуальной среды. Представленные на рынке решения компании образуют комплексную систему ИБ, которая позволяет с легкостью обеспечивать необходимый уровень защиты как для небольших, так и для крупных и географически распределенных компаний. При этом все элементы решения тесно интегрированы между собой, работают с системой централизованного управления и мониторинга, поддерживающей масштабирование средств защиты информации.

 

Рис. 1. Применение решений для разных нишевых сегментов

 

Область позиционирования решений компании Stonesoft – так называемая зона комфорта – включает в себя те компании, для которых важны отказоустойчивость, широкие функциональные возможности системы безопасности, её «отзывчивость» (т.е. способность реагировать на изменения и своевременно оповещать о них администратора). Именно эти компании смогут по максимуму выиграть от возможностей решений, которые предлагает Stonesoft. Заказчики другого типа – SMB и нераспределенные офисы – тоже получат определенную выгоду, но для них в силу особенностей ведения бизнеса она будет несущественна. Эти компании могут с аналогичным результатом использовать и решения других производителей, поскольку зачастую функциональные возможности продуктов Stonesoft для них избыточны.

 

Особенности использования решений Stonesoft

 

Исходя из специфики решений и подхода к построению инфраструктур, нацеленных на обеспечение ИБ в виртуальной среде, Stonesoft может дать следующие преимущества:

 

  • централизованное управление средствами защиты по всей виртуальной инфраструктуре;
  • высокая доступность компонентов – исполнительных устройств, как с применением, так и без использования технологий, заложенных в саму виртуальную платформу (vMotion, DRS и т. п.);
  • удобство, простота и легкость создания устройств и работы с управляемыми компонентами (в том числе за счет облачных технологий и сервисов быстрого развертывания);
  • высокий уровень контроля и глубины инспекции.

 

Таким образом, построение эшелонированной комплексной системы информационной безопасности на базе решений Stonesoft как для физической, так и для виртуальной среды не представляет никаких сложностей. Последовательность шагов для запуска решения (в большинстве случаев) следующая:

 

  • провести импорт готовых virtual appliance в инфраструктуру;
  • инсталлировать систему управления SMC;
  • провести автоматическую инициализацию исполнительных устройств;
  • установить политику безопасности для детектирования информационных потоков;
  • собрать статистическую информацию о прохождении трафика (происходит автоматически), при необходимости вносить корректирующие действия по результатам сбора информации (для этого имеются автоматизированные инструменты).

 

Сроки такого автоматизированного развертывания решения могут составлять менее часа для всей инфраструктуры. Результатом внедрения становится полностью управляемая распределенная многорубежная система сетевой безопасности.

 

Следует отметить, что применение сетевых решений по ИБ существенно отличается от узловых (особенно в виртуальной среде). То, что можно реализовать на уровне хоста с помощью специализированной безагентной технологии путем использования специальных API-интерфейсов, предоставляемых платформой, зачастую неприменимо для случаев, когда требуется выполнить контроль проходящего трафика, маршрутизацию, трансляцию/сокрытие адресов и/или сегментирование ресурсов. Особенно сложными представляются создание и управление политиками для консолидированных или распределенных сегментов, равно как и контроль и управление информационными потоками. Отметим, что эффективное решение именно этих задач всегда было приоритетным направлением компании Stonesoft.

Уведомления об обновлении тем – в вашей почте

Облако. Финансовая сторона вопроса

В этой статье мы приводим конкретные кейсы заказчиков по решению бизнес-задач с помощью облачных сервисов.

Эффективнее, еще эффективнее

На текущий момент существует достаточно много подходов к виртуализации рабочих столов

Миграция в облако: наш опыт

На сегодняшний день создание частного облака — очень популярное направление развития ИТ-инфраструктуры во многих компаниях.

Реальные проблемы виртуальных ЦОД

В настоящее время на рынке представлен широчайший спектр решений для защиты серверов и центров обработки данных от различных угроз. Несмотря на особенности каждого из продуктов, объединяет их одна общая черта - ориентированность на узкий спектр решаемых задач

Актуальность проблем безопасности в виртуальных средах

Развитие информационных технологий зачастую идет по пути усложнения и создания дополнительных уровней абстракции, позволяющих облегчать развертывание и обслуживание ИТ-систем. Этой участи не удалось избежать и операционным системам, которые все чаще разворачиваются в среде виртуализации

Сертифицированные средства защиты информации для виртуальных сред

Сегодня сложно представить себе российскую компанию, которая не сталкивалась бы с требованиями регуляторов в сфере технической защиты информации.

VDI – теперь и для проектировщиков

В последние годы VDI (Virtual Desktop Infrastructure) активно применяется не только в качестве альтернативы классическим решениям терминального доступа, но и как основа для организации рабочих мест сотрудников.

На чем стоим

Реализация вычислительного комплекса, сочетающего в себе оперативность, гибкость и надежность предоставляемых ИТ-сервисов, была непростой задачей

Обзор SDN-решений: Cisco ACI, VMware NSX и Nuage VSP

SDN – наверняка вы слышите этот термин не в первый раз. Интерес компаний к теме программно-определяемых сетей неуклонно растёт, у ИТ-специалистов уже складывается понимание концепции SDN.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня