Обзор средств защиты виртуальной инфраструктуры
Информационная безопасность Информационная безопасность

Вслед за бумом на рынке виртуализации и облачных вычислений растет рынок средств защиты для этих технологий. Все больше производителей предлагают средства защиты, адаптированные под виртуальные среды

Главная>Информационная безопасность>Обзор средств защиты виртуальной инфраструктуры
Информационная безопасность Обзор

Обзор средств защиты виртуальной инфраструктуры

Дата публикации:
30.03.2012
Посетителей:
5312
Просмотров:
4977
Время просмотра:
2.3

Авторы

Автор
Андрей Власов В прошлом - старший пресейл-инженер Отдела поддержки продаж Центра информационной безопасности компании «Инфосистемы Джет»
Вместо вступления
 
Вслед за бумом на рынке виртуализации и облачных вычислений растет рынок средств защиты для этих технологий. Все больше производителей предлагают средства защиты, адаптированные под виртуальные среды. И хотя средства, используемые в классических системах, можно применять в виртуальных средах, зачастую это ведет к потере преимуществ, которые дает виртуализация, а в некоторых случаях результатом использования классических решений может стать даже крах самой виртуальной системы. Не стоит забывать и о новых элементах виртуальной инфраструктуры, таких как гипервизор, системы управления средой виртуализации и т. д., которые влекут за собой появление новых угроз, от которых защититься традиционными средствами невозможно.

 

 

Все средства защиты в виртуальных системах (как и традиционные) можно разделить на ряд типовых классов: антивирусная защита, системы обнаружения вторжений и межсетевого экранирования, системы контроля доступа и т. д. Ниже мы рассмотрим решения – лидеры корпоративного уровня.

 

Антивирусная защита

 

Традиционные средства защиты, например, использование агентских антивирусов, одновременный запуск которых может вызвать так называемый «антивирусный шторм», не всегда применимы в условиях виртуализации. Производители находят решение этой проблемы разными способами. Стоит выделить три основных подхода: новаторский, консервативный и гибридный.

 

Новаторский подход состоит в том, что виртуальная среда предоставляет специальный программный интерфейс для контроля виртуальных машин (ВМ) через гипервизор, а антивирусное средство пользуется им, выводя всю защиту на специализированную ВМ. Это позволяет отказаться от использования антивирусных агентов на виртуальных машинах, но в силу выбранной архитектуры имеет ограничения по возможностям анализа работы оперативной памяти.

Авторы

Классический подход заключается в недоверии к новому интерфейсу и работе по старой схеме с использованием антивирусных агентов, которые нужно обновлять и настраивать. Но вместе с тем вендоры в своих решениях стараются предоставить новые возможности для оптимизации исполнения агентов в виртуальной среде.

 

Гибридный подход состоит в том, чтобы не отказываться от агентов полностью, делать их максимально легковесными и простыми для исполнения, но в то же время большую часть аналитики реализовывать на «соседней» ВМ, выделенной для задач антивирусной защиты. Этот подход более универсален, но, как и всё универсальное, в частных задачах может уступать первым двум вариантам. В целом же его эффективность по сравнению с неадаптированными для виртуальной среды решениями вполне ощутима.

 

Решение компании Trend Micro – Deep Security – использует безагентский режим, т.е. реализует новаторский подход. В виртуальную среду внедряется виртуальное устройство – шлюз безопасности, который берет на себя функции антивируса для всех ВМ, отслеживая операции ввода-вывода в рамках дисковой подсистемы через программный интерфейс гипервизора. Решение дает возможность экономить ресурсы хоста и за счет этого добиваться большей консолидации ВМ. В случае, если платформа виртуализации не позволяет использовать безагентский антивирус, есть альтернатива – установить агенты. Особенностью работы антивируса в режиме агента является больший контроль операций за счет мониторинга памяти. Рекомендуемой платформой развертывания является среда виртуализации VMware, но с помощью агентов могут защищаться и ВМ в других инфраструктурах.

 

Продукт Symantec – Endpoint Protection – использует классический подход с применением агентов, но при этом в решении значительно улучшено сканирование ВМ за счет технологии InSight Cache и специально оптимизированного планировщика запуска сканирований, автоматически распределяющего их по времени. Сервер Shared Insight Cache, один из компонентов продукта, позволяет агентам на ВМ обмениваться результатами сканирования таким образом, что идентичные файлы проходят проверку только один раз. Благодаря этому общее время сканирования существенно уменьшается. Утилита Virtual Image Exception сокращает объём сканирования путём исключения файлов достоверно надёжного, базового образа виртуальной системы. При этом Symantec Endpoint Protection автоматически определяет наличие гипервизора, на котором работает клиент на виртуальной платформе, что позволяет создавать политики для групп таких клиентов. Это средство защиты не зависит от платформы виртуализации, так как не использует специальных программных интерфейсов гипервизора.

 

Решение, предлагаемое компанией McAfee, – Management for Optimized Virtual Environments (MOVE) AntiVirus – использует гибридную схему, оптимизированную под виртуальную среду: в ней может быть установлен offload-сервер, принимающий от агентов-коннекторов в виртуальных машинах данные на сканирование. McAfee VirusScan Enterprise for Offline Virtual Images позволяет проводить анализ выключенных машин на наличие вредоносного ПО. Решение функционирует на платформах виртуализации Citrix XenServer, VMware ESX/ESXi и HyperV благодаря выбранной гибридной архитектуре.

 

Системы обнаружения вторжений и межсетевого экранирования

 

С появлением виртуальных сред появилась новая проблема – неконтролируемое сетевое взаимодействие между ВМ. Трафик между ВМ обычно не покидает виртуальной среды, как следствие, отследить его традиционными средствами защиты не представляется возможным. Стоит отметить, что каждая компания имеет свой взгляд на решение этой задачи. Некоторые  всё так же полагаются на программный интерфейс гипервизора, другие реализуют ВМ, встраиваемую между виртуальными коммутаторами, третьи заменяют сами коммутаторы, встраивая свою программную реализацию с возможностями по защите информации. Особенно интересны средства защиты с реализацией vNetwork Distributed Switch. В целом мы рекомендуем для контроля сетевых взаимодействий в виртуальной среде не полагаться целиком на программные решения, установленные в ней же, так как платформа Intel x86 имеет физические ограничения, устраняемые в аппаратных решениях специальными ASIC-процессорами. Итак, общая рекомендация: контролировать внешние подключения к среде виртуализации с помощью аппаратных решений, а внутренние – программных, реализуя таким образом комбинированный подход.

 

Теперь посмотрим на конкретные предложения на рынке. Продукт Deep Security, как и в случае с антивирусом, может работать в агентском, в безагентском, а также в смешанном режимах. Особенностью последнего является одновременный контроль трафика как между ВМ внутри хоста, так и со стороны каждой ВМ в отдельности (подробнее о продукте – в статье «Реальные проблемы виртуальных ЦОД»).

 

Обеспечить эффективную защиту от сетевых угроз позволяет семейство продуктов от Stonesoft – StoneGate Virtual Security, включающее в себя виртуальный межсетевой экран StoneGate Virtual Firewall/VPN и систему предотвращения вторжений StoneGate Virtual IPS. Решения отличаются тем, что реализуют координированный унифицированный подход к защите виртуальной и физической среды. При этом принимается во внимание, что реализация API с гипервизором не обеспечивает требуемую производительность решения по контролю сетевых взаимодействий. Контроль всех средств защиты осуществляется с помощью единого центра управления и мониторинга StoneGate Management Center. Дополнительным плюсом является тот факт, что продукты Virtual Firewall/VPN и Virtual IPS сертифицированы для платформ VMware ESX/vSphere и поддерживают технологию VMsafe.

 

Кроме того, на вопрос сетевой безопасности в виртуальных инфраструктурах ответила своими решениями компания Cisco Systems – один из лидеров рынка. Вендор предлагает виртуальную реализацию своих коммутаторов на базе Cisco Nexus 1000V, в том числе с возможностью создания распределенных коммутаторов на нескольких физических узлах. Cisco Virtual Security Gateway и Cisco ASA 1000V Cloud добавляют возможности для расширенного контроля сетевого трафика. Эти виртуальные устройства интегрируются с коммутатором Cisco Nexus 1000V, который может поддерживать несколько гипервизоров и позволяет одному экземпляру ASA 1000V защищать несколько узлов ESX. Динамическое управление многопользовательской средой на основе политик возложено на центр управления виртуальными сетями Cisco Virtual Network Management Center. Таким образом, можно создать «бесконечно» большой коммутатор, объединяющий все хосты виртуальной инфраструктуры, с единым центром управления и контролем всего трафика в виртуальной среде. Эти решения позволяют на низком уровне интегрировать сетевую подсистему системы виртуализации в существующую корпоративную сеть, построенную на базе продуктов Cisco Systems.

 

Еще одним типом средств защиты, заслуживающим внимания, является комплексное решение компании Reflex – Reflex Virtual Management Center (VMC). VMC – это виртуальное устройство, поддерживающее работу с VMsafe. Оно позволяет разместить агенты Virtual Security Appliance на всех хостах VMware ESX и контролировать сетевой трафик по аналогии с решениями других производителей. Стоит отдельно отметить дополнительное преимущество продукта – возможность организации зон доверия и описания взаимодействия между зонами без создания сложных правил доступа для различных сетей и узлов. Когда вся наша виртуальная среда разбита на такие зоны, контроль становится более эффективным. При этом решение интегрируется с Cisco Nexus 1000V и обеспечивает гибкий подход по защите виртуальной среды с учетом других своих возможностей.

 

Решение от IBM – IBM Security Virtual Server Protection for VMware – представляет собой виртуальный аплайнс, внедряемый в виртуальную среду как отдельная ВМ. Интеграция с VMsafe позволяет анализировать трафик между ВМ и предотвращать вторжения, выполнять обнаружение руткитов и обеспечивать межсетевое экранирование. Достаточно полезной особенностью является автоматическое применение политик безопасности к вновь проявляемым машинам, это позволяет избежать появления незащищенных машин в виртуальной среде. Кроме того, решение IBM помогает ускорить и упростить аудит, а также обеспечить соблюдение требований PCI DSS к средствам защиты и ведение отчетности в виртуальной инфраструктуре.

 

Приверженцев решений CheckPoint может порадовать наличие у вендора продукта VPN-1 VE (Virtual Edition) – виртуального устройства, которое обеспечивает защиту виртуальных сред от внешних и внутренних угроз безопасности. VPN-1 VE создано с учетом отработанных технологий, которые используются для защиты физических систем. Продукт состоит из нескольких модулей: межсетевого экрана, системы предотвращения вторжений, средства VPN, антиспама, антивирусного сканера сетевых потоков, URL-фильтра, защиты web-трафика. VPN-1 VE управляется централизованно, вместе со своими физическими собратьями, с помощью SmartCenter или Provider-1 и обладает всеми преимуществами и недостатками решений, архитектурно завязанных на VMsafe API.

 

Системы управления состоянием защиты виртуальной среды

 

Виртуальная среда представляет собой динамическую и сложную инфраструктуру, контроль которой с точки зрения ИБ – непростая задача. Этот класс решений предназначен для управления конфигурацией виртуальной среды и мониторинга состояния информационной безопасности, что зачастую не реализуется обычными средствами управления, такими как VMware vCenter. К лидирующим продуктам здесь можно отнести Reflex VMC и Catbird vSecurity. Оба решения имеют центр правления и виртуальные устройства, размещаемые на серверах ESX/ESXi.

 

В Reflex VMC входят компоненты vCapacity Configuration – vTrust (Planning), vWatch (Security), vProfile (Monitoring), которые позволяют повышать эффективность эксплуатации ресурсов виртуальной среды, обеспечивать ее защиту, расширенный мониторинг с точки зрения как ИБ, так и ИТ-операций, и управление конфигурациями.

 

Catbird vSecurity реализует расширенные функции аудита, инвентаризацию объектов и программного обеспечения виртуальной инфраструктуры (включая установленное ПО на сами ВМ), сетевой контроль и защиту гипервизора от сетевых атак, управление конфигурациями. Решение также гарантирует применение заданных с точки зрения ИБ параметров и позволяет управлять изменениями и уязвимостями.

 

Можно констатировать, что это комплексные многокомпонентные продукты, отличающиеся быстрым развертыванием за счет использования virtual appliance и требующие кропотливой работы по их настройке, так как они регламентируют работу среды в целом. Решения в том числе полезны для автоматизации операций по настройке компонентов среды и контроля этого процесса с точки зрения ИБ. На текущий момент не каждая российская компания готова к применению подобных решений, но интерес к ним, несомненно, повысится с общим развитием отрасли.

 

Системы контроля доступа к виртуальной инфраструктуре

 

Один из лидеров этого рынка – решение HyTrust от одноименной компании. Как и многие средства защиты для виртуальных сред, оно представляет собой виртуальное устройство. Решение позволяет повысить безопасность виртуальной инфраструктуры за счет перехвата всех соединений пользователей с ней и разграничения доступа по ролям с применением меток безопасности. Продукт выгодно отличается стабильностью работы и невлиянием на работоспособность самой виртуальной инфраструктуры. HyTrust удобен для администраторов, так как при выполнении всех функций контроля доступа и журналирования действий, не зависимых от управляемой ими среды, они продолжают работать с теми же VMware vSphere Client и консолями SSH. Благодаря встроенным ролям и правилам доступа в решении реализована самозащита от выключения. Продукт интегрируется с Microsoft Active Directory (или с любым другим провайдером LDAP v3) и использует уже существующие списки пользователей, ролей и групп в унифицированной среде доступа HyTrust (подробнее – в статье «Управление доступом к виртуальной инфраструктуре с помощью  продукта HyTrust», cтр. 22).

 

Классические системы защиты

 

И, конечно, не стоит забывать о классических средствах защиты, таких как контроль защищенности, мониторинг и управление событиями, система обнаружения вторжений и межсетевое экранирование на входе в среду виртуализации, защита систем хранения данных и организация доступа к интерфейсам управления аппаратными ресурсами серверов (iLO/ILOM/DRAC и другие). Большинство средств защиты для виртуальных сред интегрируется в единую систему управления и имеет коннекторы для подключения к SIEM, что позволяет интегрировать их с общей системой обеспечения ИБ, действующей в физической среде.

 

Заключение

 

Как мы видим, многие продукты совмещают в себе сразу несколько функций безопасности. Это позволяет упростить (путем автоматизации), удешевить систему защиты в виртуальных средах и построить ее как сервис, используя продукты одного вендора, а также не только не потерять все достоинства виртуализации, но и обеспечить ее защищенность, как минимум, на том же уровне, что и классических систем.

Уведомления об обновлении тем – в вашей почте

Унифицированная ИТ-инфраструктура для SAP ERP в концерне «Силовые машины»

Проектируя ИТ-инфраструктуру для внедрения SAP ERP, специалисты компании «Инфосистемы Джет» должны были решить сразу две глобальные задачи

Облако. Финансовая сторона вопроса

В этой статье мы приводим конкретные кейсы заказчиков по решению бизнес-задач с помощью облачных сервисов.

Преимущества для бизнеса, обеспечиваемые решением для управления идентификационными данными и доступом

Сегодня организации сталкиваются с множеством задач, в том числе связанных с растущим количеством пользователей, приложений и точек доступа. При этом им необходимо заботиться о выполнении регулирующих норм.

Стандартное средство контроля над распределенными неоднородными клиентскими средами

Точное и предсказуемое управление ИТ-инфраструктурой и её поддержка - это сложная задача. Каждый день администраторы сталкиваются с необходимостью развертывания или миграции систем, установки нового ПО и исправлений, устранения неполадок и др.

Виртуальные рабочие места - угроза или преимущество?

Очевидно, но остаётся фактом, что потребности современного бизнеса не стоят на месте

Guardium - гвардеец от ИБ

Пожалуй, на современном российском рынке нет компании, которая бы не стремилась минимизировать риски, связанные с несанкционированным доступом к ее критичной информации, которая хранится в базах данных. В своеобразном wish list по обеспечению ИБ бизнеса также находятся поддержание максимальной безопасности данных и контроль действий пользователей БД.

Миграция в облако: наш опыт

На сегодняшний день создание частного облака — очень популярное направление развития ИТ-инфраструктуры во многих компаниях.

Принципы организации IP-телефонии на базе решений Cisco Systems

Конечно, такое решение явно не подходит для организации телефонии в серьезной фирме, однако идея передачи голоса через сеть передачи данных очень заманчива, особенно если фирма имеет множество офисов в разных городах

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня