Все средства защиты в виртуальных системах (как и традиционные) можно разделить на ряд типовых классов: антивирусная защита, системы обнаружения вторжений и межсетевого экранирования, системы контроля доступа и т. д. Ниже мы рассмотрим решения – лидеры корпоративного уровня.
Антивирусная защита
Традиционные средства защиты, например, использование агентских антивирусов, одновременный запуск которых может вызвать так называемый «антивирусный шторм», не всегда применимы в условиях виртуализации. Производители находят решение этой проблемы разными способами. Стоит выделить три основных подхода: новаторский, консервативный и гибридный.
Новаторский подход состоит в том, что виртуальная среда предоставляет специальный программный интерфейс для контроля виртуальных машин (ВМ) через гипервизор, а антивирусное средство пользуется им, выводя всю защиту на специализированную ВМ. Это позволяет отказаться от использования антивирусных агентов на виртуальных машинах, но в силу выбранной архитектуры имеет ограничения по возможностям анализа работы оперативной памяти.
Классический подход заключается в недоверии к новому интерфейсу и работе по старой схеме с использованием антивирусных агентов, которые нужно обновлять и настраивать. Но вместе с тем вендоры в своих решениях стараются предоставить новые возможности для оптимизации исполнения агентов в виртуальной среде.
Гибридный подход состоит в том, чтобы не отказываться от агентов полностью, делать их максимально легковесными и простыми для исполнения, но в то же время большую часть аналитики реализовывать на «соседней» ВМ, выделенной для задач антивирусной защиты. Этот подход более универсален, но, как и всё универсальное, в частных задачах может уступать первым двум вариантам. В целом же его эффективность по сравнению с неадаптированными для виртуальной среды решениями вполне ощутима.
Решение компании Trend Micro – Deep Security – использует безагентский режим, т.е. реализует новаторский подход. В виртуальную среду внедряется виртуальное устройство – шлюз безопасности, который берет на себя функции антивируса для всех ВМ, отслеживая операции ввода-вывода в рамках дисковой подсистемы через программный интерфейс гипервизора. Решение дает возможность экономить ресурсы хоста и за счет этого добиваться большей консолидации ВМ. В случае, если платформа виртуализации не позволяет использовать безагентский антивирус, есть альтернатива – установить агенты. Особенностью работы антивируса в режиме агента является больший контроль операций за счет мониторинга памяти. Рекомендуемой платформой развертывания является среда виртуализации VMware, но с помощью агентов могут защищаться и ВМ в других инфраструктурах.
Продукт Symantec – Endpoint Protection – использует классический подход с применением агентов, но при этом в решении значительно улучшено сканирование ВМ за счет технологии InSight Cache и специально оптимизированного планировщика запуска сканирований, автоматически распределяющего их по времени. Сервер Shared Insight Cache, один из компонентов продукта, позволяет агентам на ВМ обмениваться результатами сканирования таким образом, что идентичные файлы проходят проверку только один раз. Благодаря этому общее время сканирования существенно уменьшается. Утилита Virtual Image Exception сокращает объём сканирования путём исключения файлов достоверно надёжного, базового образа виртуальной системы. При этом Symantec Endpoint Protection автоматически определяет наличие гипервизора, на котором работает клиент на виртуальной платформе, что позволяет создавать политики для групп таких клиентов. Это средство защиты не зависит от платформы виртуализации, так как не использует специальных программных интерфейсов гипервизора.
Решение, предлагаемое компанией McAfee, – Management for Optimized Virtual Environments (MOVE) AntiVirus – использует гибридную схему, оптимизированную под виртуальную среду: в ней может быть установлен offload-сервер, принимающий от агентов-коннекторов в виртуальных машинах данные на сканирование. McAfee VirusScan Enterprise for Offline Virtual Images позволяет проводить анализ выключенных машин на наличие вредоносного ПО. Решение функционирует на платформах виртуализации Citrix XenServer, VMware ESX/ESXi и HyperV благодаря выбранной гибридной архитектуре.
Системы обнаружения вторжений и межсетевого экранирования
С появлением виртуальных сред появилась новая проблема – неконтролируемое сетевое взаимодействие между ВМ. Трафик между ВМ обычно не покидает виртуальной среды, как следствие, отследить его традиционными средствами защиты не представляется возможным. Стоит отметить, что каждая компания имеет свой взгляд на решение этой задачи. Некоторые всё так же полагаются на программный интерфейс гипервизора, другие реализуют ВМ, встраиваемую между виртуальными коммутаторами, третьи заменяют сами коммутаторы, встраивая свою программную реализацию с возможностями по защите информации. Особенно интересны средства защиты с реализацией vNetwork Distributed Switch. В целом мы рекомендуем для контроля сетевых взаимодействий в виртуальной среде не полагаться целиком на программные решения, установленные в ней же, так как платформа Intel x86 имеет физические ограничения, устраняемые в аппаратных решениях специальными ASIC-процессорами. Итак, общая рекомендация: контролировать внешние подключения к среде виртуализации с помощью аппаратных решений, а внутренние – программных, реализуя таким образом комбинированный подход.
Теперь посмотрим на конкретные предложения на рынке. Продукт Deep Security, как и в случае с антивирусом, может работать в агентском, в безагентском, а также в смешанном режимах. Особенностью последнего является одновременный контроль трафика как между ВМ внутри хоста, так и со стороны каждой ВМ в отдельности (подробнее о продукте – в статье «Реальные проблемы виртуальных ЦОД»).
Обеспечить эффективную защиту от сетевых угроз позволяет семейство продуктов от Stonesoft – StoneGate Virtual Security, включающее в себя виртуальный межсетевой экран StoneGate Virtual Firewall/VPN и систему предотвращения вторжений StoneGate Virtual IPS. Решения отличаются тем, что реализуют координированный унифицированный подход к защите виртуальной и физической среды. При этом принимается во внимание, что реализация API с гипервизором не обеспечивает требуемую производительность решения по контролю сетевых взаимодействий. Контроль всех средств защиты осуществляется с помощью единого центра управления и мониторинга StoneGate Management Center. Дополнительным плюсом является тот факт, что продукты Virtual Firewall/VPN и Virtual IPS сертифицированы для платформ VMware ESX/vSphere и поддерживают технологию VMsafe.
Кроме того, на вопрос сетевой безопасности в виртуальных инфраструктурах ответила своими решениями компания Cisco Systems – один из лидеров рынка. Вендор предлагает виртуальную реализацию своих коммутаторов на базе Cisco Nexus 1000V, в том числе с возможностью создания распределенных коммутаторов на нескольких физических узлах. Cisco Virtual Security Gateway и Cisco ASA 1000V Cloud добавляют возможности для расширенного контроля сетевого трафика. Эти виртуальные устройства интегрируются с коммутатором Cisco Nexus 1000V, который может поддерживать несколько гипервизоров и позволяет одному экземпляру ASA 1000V защищать несколько узлов ESX. Динамическое управление многопользовательской средой на основе политик возложено на центр управления виртуальными сетями Cisco Virtual Network Management Center. Таким образом, можно создать «бесконечно» большой коммутатор, объединяющий все хосты виртуальной инфраструктуры, с единым центром управления и контролем всего трафика в виртуальной среде. Эти решения позволяют на низком уровне интегрировать сетевую подсистему системы виртуализации в существующую корпоративную сеть, построенную на базе продуктов Cisco Systems.
Еще одним типом средств защиты, заслуживающим внимания, является комплексное решение компании Reflex – Reflex Virtual Management Center (VMC). VMC – это виртуальное устройство, поддерживающее работу с VMsafe. Оно позволяет разместить агенты Virtual Security Appliance на всех хостах VMware ESX и контролировать сетевой трафик по аналогии с решениями других производителей. Стоит отдельно отметить дополнительное преимущество продукта – возможность организации зон доверия и описания взаимодействия между зонами без создания сложных правил доступа для различных сетей и узлов. Когда вся наша виртуальная среда разбита на такие зоны, контроль становится более эффективным. При этом решение интегрируется с Cisco Nexus 1000V и обеспечивает гибкий подход по защите виртуальной среды с учетом других своих возможностей.
Решение от IBM – IBM Security Virtual Server Protection for VMware – представляет собой виртуальный аплайнс, внедряемый в виртуальную среду как отдельная ВМ. Интеграция с VMsafe позволяет анализировать трафик между ВМ и предотвращать вторжения, выполнять обнаружение руткитов и обеспечивать межсетевое экранирование. Достаточно полезной особенностью является автоматическое применение политик безопасности к вновь проявляемым машинам, это позволяет избежать появления незащищенных машин в виртуальной среде. Кроме того, решение IBM помогает ускорить и упростить аудит, а также обеспечить соблюдение требований PCI DSS к средствам защиты и ведение отчетности в виртуальной инфраструктуре.
Приверженцев решений CheckPoint может порадовать наличие у вендора продукта VPN-1 VE (Virtual Edition) – виртуального устройства, которое обеспечивает защиту виртуальных сред от внешних и внутренних угроз безопасности. VPN-1 VE создано с учетом отработанных технологий, которые используются для защиты физических систем. Продукт состоит из нескольких модулей: межсетевого экрана, системы предотвращения вторжений, средства VPN, антиспама, антивирусного сканера сетевых потоков, URL-фильтра, защиты web-трафика. VPN-1 VE управляется централизованно, вместе со своими физическими собратьями, с помощью SmartCenter или Provider-1 и обладает всеми преимуществами и недостатками решений, архитектурно завязанных на VMsafe API.
Системы управления состоянием защиты виртуальной среды
Виртуальная среда представляет собой динамическую и сложную инфраструктуру, контроль которой с точки зрения ИБ – непростая задача. Этот класс решений предназначен для управления конфигурацией виртуальной среды и мониторинга состояния информационной безопасности, что зачастую не реализуется обычными средствами управления, такими как VMware vCenter. К лидирующим продуктам здесь можно отнести Reflex VMC и Catbird vSecurity. Оба решения имеют центр правления и виртуальные устройства, размещаемые на серверах ESX/ESXi.
В Reflex VMC входят компоненты vCapacity Configuration – vTrust (Planning), vWatch (Security), vProfile (Monitoring), которые позволяют повышать эффективность эксплуатации ресурсов виртуальной среды, обеспечивать ее защиту, расширенный мониторинг с точки зрения как ИБ, так и ИТ-операций, и управление конфигурациями.
Catbird vSecurity реализует расширенные функции аудита, инвентаризацию объектов и программного обеспечения виртуальной инфраструктуры (включая установленное ПО на сами ВМ), сетевой контроль и защиту гипервизора от сетевых атак, управление конфигурациями. Решение также гарантирует применение заданных с точки зрения ИБ параметров и позволяет управлять изменениями и уязвимостями.
Можно констатировать, что это комплексные многокомпонентные продукты, отличающиеся быстрым развертыванием за счет использования virtual appliance и требующие кропотливой работы по их настройке, так как они регламентируют работу среды в целом. Решения в том числе полезны для автоматизации операций по настройке компонентов среды и контроля этого процесса с точки зрения ИБ. На текущий момент не каждая российская компания готова к применению подобных решений, но интерес к ним, несомненно, повысится с общим развитием отрасли.
Системы контроля доступа к виртуальной инфраструктуре
Один из лидеров этого рынка – решение HyTrust от одноименной компании. Как и многие средства защиты для виртуальных сред, оно представляет собой виртуальное устройство. Решение позволяет повысить безопасность виртуальной инфраструктуры за счет перехвата всех соединений пользователей с ней и разграничения доступа по ролям с применением меток безопасности. Продукт выгодно отличается стабильностью работы и невлиянием на работоспособность самой виртуальной инфраструктуры. HyTrust удобен для администраторов, так как при выполнении всех функций контроля доступа и журналирования действий, не зависимых от управляемой ими среды, они продолжают работать с теми же VMware vSphere Client и консолями SSH. Благодаря встроенным ролям и правилам доступа в решении реализована самозащита от выключения. Продукт интегрируется с Microsoft Active Directory (или с любым другим провайдером LDAP v3) и использует уже существующие списки пользователей, ролей и групп в унифицированной среде доступа HyTrust (подробнее – в статье «Управление доступом к виртуальной инфраструктуре с помощью продукта HyTrust», cтр. 22).
Классические системы защиты
И, конечно, не стоит забывать о классических средствах защиты, таких как контроль защищенности, мониторинг и управление событиями, система обнаружения вторжений и межсетевое экранирование на входе в среду виртуализации, защита систем хранения данных и организация доступа к интерфейсам управления аппаратными ресурсами серверов (iLO/ILOM/DRAC и другие). Большинство средств защиты для виртуальных сред интегрируется в единую систему управления и имеет коннекторы для подключения к SIEM, что позволяет интегрировать их с общей системой обеспечения ИБ, действующей в физической среде.
Заключение
Как мы видим, многие продукты совмещают в себе сразу несколько функций безопасности. Это позволяет упростить (путем автоматизации), удешевить систему защиты в виртуальных средах и построить ее как сервис, используя продукты одного вендора, а также не только не потерять все достоинства виртуализации, но и обеспечить ее защищенность, как минимум, на том же уровне, что и классических систем.