Попался мне документ по защите виртуальной инфраструктуры, который разработали Мария Сидорова и Евгений Родыгин при участии нескольких рецензентов. Красной нитью всего документа проходит мысль о том, что нужно использовать правильные СЗИ.
Приводятся актуальные угрозы виртуальной инфраструктуры:
· НСД к ВМ через гипервизор;
· НСД к ВМ через управление;
· прямой доступ к файлам ВМ;
· изменение конфигураций ВМ;
· модификация команд управления;
· модификация гипервизора в т.м. вирусом;
· потеря производительности, отказ в обслуживании гипервизора.
Угрозы правильные, на их основе и должна строиться защита. А вот и нет!
Далее приводится стандартный список требований из 21 Приказа ФСТЭК, и сразу возникают вопросы, как это многочисленные МСЭ могут парировать чуть ли не все угрозы:
Требование
|
МСЭ
| |
1
|
Идентификация и аутентификация субъектов доступа и объектов доступа в виртуализированной инфраструктуре, в том числе администраторов управления средствами виртуализации
|
Х
|
2
|
Управление доступом субъектов доступа к объектам доступа в виртуализированной инфраструктуре, в том числе внутри виртуальных машин
|
Х
|
3
|
Регистрация событий безопасности в виртуализированной инфраструктуре
|
Х
|
4
|
Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуализированной инфраструктуры, а также по периметру виртуализированной инфраструктуры
|
Х
|
5
|
Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией
| |
6
|
Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных
|
Х
|
7
|
Контроль целостности виртуализированной инфраструктуры и ее конфигураций
|
Х
|
8
|
Резервное копирование данных, резервирование технических средств, программного обеспечения виртуализированной инфраструктуры, а также каналов связи внутри виртуализированной инфраструктуры
|
Х
|
9
|
Реализация и управление антивирусной защитой в виртуализированной инфраструктуре
| |
10
|
Разбиение виртуализированной инфраструктуры на сегменты (сегментирование виртуализированной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей
|
Х
|
Понятно, что МСЭ будет располагаться перед входом в виртуальную инфраструктуру, но совершенно не понятно как его использование будет выполнять выделенные мною требования.
Было бы куда интереснее, если авторы прошлись по этим требованиям и рассмотрели возможность их реализации штатными средствами или же доказали невозможность этого подхода в принципе.
А теперь, берем Уровень защищенности 3, к которому придут большинство операторов ПДн, размышлением и последующим написанием правильной Модели угроз. Сертифицированные СЗИ также учитываться не будут в виду постоянной размытости формулировок «в том числе посредством», «в случаях, когда применение таких средств необходимо».
Требований по защите получается всего пять и с ними прекрасно справляются штатные средства:
Требование
|
Штатные средства
| |
1
|
Идентификация и аутентификация субъектов доступа и объектов доступа в виртуализированной инфраструктуре, в том числе администраторов управления средствами виртуализации
|
VMware/Hyper-V
|
2
|
Управление доступом субъектов доступа к объектам доступа в виртуализированной инфраструктуре, в том числе внутри виртуальных машин
|
VMware/Hyper-V
|
3
|
Регистрация событий безопасности в виртуализированной инфраструктуре
|
VMware/Hyper-V
|
9
|
Реализация и управление антивирусной защитой в виртуализированной инфраструктуре
|
Любой антивирус
|
10
|
Разбиение виртуализированной инфраструктуры на сегменты (сегментирование виртуализированной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей
|
Любой МСЭ
|
Коллеги, если кто-то считает, что высказанная точка зрения не имеет право на существование, прошу закидать меня комментариями.
Евгений, я как-то не совсем понял, почему вы считаете, что в обзоре приводились только МСЭ? Там перечислялись не только этот вид средств защиты для виртуальных сред, но и антивирусные средства (Kaspersky), средства резервного копирования (Symantec) и средства разграничения доступа к объектам виртуальной инфраструктуры, управления потоками в ней и регистрации событий (VGate) и пр.
ОтветитьУдалитьВы можете закрывать требования и встроенными средствами ПО виртуализации (если у вас не ГИС). А также использовать любые АВС и МСЭ, но их работа не будет оптимизирована для виртуальных сред.
Михаил, МСЭ был взят в качестве примера, т.к. слишком много чудодейственных возможностей им приписывалось. На продуктах других классах это не бросалось в глаза сразу.
ОтветитьУдалитьКроме того, я указал недостатки сделанной авторами аналитике. Да, вы в праве закрывать требования и другими СЗИ если это не ГИС.
Я вот хочу даже сказать больше: для УЗ-3 можно НЕ сегментировать ИСПДн, как и почему напишу в отдельной публикации.
Ну тут, смотря что под данным требованием подразумевалось - либо выделение отдельных сегментов для администрирования серверов виртуальной инфраструктуры и для доступа к сервисам виртуальных машин, либо сегментирование под каждую группу пользователей, осуществляющих доступ к ПД.
УдалитьЕсли первое - то это классика внедрения технологий виртуализации, и избегать её ИМХО по факту не стоит, вне зависимости от УЗ (зачем давать юзерам возможность эксплойтить админский интерфейс, если есть возможность его от них изолировать). Если второе - то можно обосновать экономическую нецелесообразность создания отдельного сегмента для каждой группы пользователей и в качестве компенсирующей меры реализовать разграничение доступа к данным на уровне БД или портала.
Если я конечно правильно понял суть тезиса.
Занятно. Ждем новых сообщений на эту же тему
ОтветитьУдалитьИнтересный никнейм. Даже не знаю что вам и ответить.
ОтветитьУдалить