вторник, 2 июля 2013 г.

Про RISSPA о виртуализации


Попался мне документ по защите виртуальной инфраструктуры, который разработали Мария Сидорова и Евгений Родыгин при участии нескольких рецензентов. Красной нитью всего документа проходит мысль о том, что нужно использовать правильные СЗИ.
Приводятся актуальные угрозы виртуальной инфраструктуры:
·         НСД к ВМ через гипервизор;
·         НСД к ВМ через управление;
·         прямой доступ к файлам ВМ;
·         изменение конфигураций ВМ;
·         модификация команд управления;
·         модификация гипервизора в т.м. вирусом;
·         потеря производительности, отказ в обслуживании гипервизора.

Угрозы правильные, на их основе и должна строиться защита. А вот и нет!

Далее приводится стандартный список требований из 21 Приказа ФСТЭК, и сразу возникают вопросы, как это многочисленные МСЭ могут парировать чуть ли не все угрозы:


Требование
МСЭ
1
Идентификация и аутентификация субъектов доступа и объектов доступа в виртуализированной инфраструктуре, в том числе администраторов управления средствами виртуализации
Х
2
Управление доступом субъектов доступа к объектам доступа в виртуализированной инфраструктуре, в том числе внутри виртуальных машин
Х
3
Регистрация событий безопасности в виртуализированной инфраструктуре
Х
4
Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуализированной инфраструктуры, а также по периметру виртуализированной инфраструктуры
Х
5
Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией

6
Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных
Х
7
Контроль целостности виртуализированной инфраструктуры и ее конфигураций
Х
8
Резервное копирование данных, резервирование технических средств, программного обеспечения виртуализированной инфраструктуры, а также каналов связи внутри виртуализированной инфраструктуры
Х

9
Реализация и управление антивирусной защитой в виртуализированной инфраструктуре

10
Разбиение виртуализированной инфраструктуры на сегменты (сегментирование виртуализированной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей
Х

Понятно, что МСЭ будет располагаться перед входом в виртуальную инфраструктуру, но совершенно не понятно как его использование будет выполнять выделенные мною требования.

Было бы куда интереснее, если авторы прошлись по этим требованиям и рассмотрели возможность их реализации штатными средствами или же доказали невозможность этого подхода в принципе.
А теперь, берем Уровень защищенности 3, к которому придут большинство операторов ПДн, размышлением и последующим написанием правильной Модели угроз. Сертифицированные СЗИ также учитываться не будут в виду постоянной размытости формулировок «в том числе посредством», «в случаях, когда применение таких средств необходимо».

Требований по защите получается всего пять и с ними прекрасно справляются штатные средства:


Требование
Штатные средства
1
Идентификация и аутентификация субъектов доступа и объектов доступа в виртуализированной инфраструктуре, в том числе администраторов управления средствами виртуализации
VMware/Hyper-V
2
Управление доступом субъектов доступа к объектам доступа в виртуализированной инфраструктуре, в том числе внутри виртуальных машин
VMware/Hyper-V
3
Регистрация событий безопасности в виртуализированной инфраструктуре
VMware/Hyper-V
9
Реализация и управление антивирусной защитой в виртуализированной инфраструктуре
Любой антивирус
10
Разбиение виртуализированной инфраструктуры на сегменты (сегментирование виртуализированной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей
Любой МСЭ

Коллеги, если кто-то считает, что высказанная точка зрения не имеет право на существование, прошу закидать меня комментариями.

5 комментариев:

  1. Евгений, я как-то не совсем понял, почему вы считаете, что в обзоре приводились только МСЭ? Там перечислялись не только этот вид средств защиты для виртуальных сред, но и антивирусные средства (Kaspersky), средства резервного копирования (Symantec) и средства разграничения доступа к объектам виртуальной инфраструктуры, управления потоками в ней и регистрации событий (VGate) и пр.
    Вы можете закрывать требования и встроенными средствами ПО виртуализации (если у вас не ГИС). А также использовать любые АВС и МСЭ, но их работа не будет оптимизирована для виртуальных сред.

    ОтветитьУдалить
  2. Михаил, МСЭ был взят в качестве примера, т.к. слишком много чудодейственных возможностей им приписывалось. На продуктах других классах это не бросалось в глаза сразу.
    Кроме того, я указал недостатки сделанной авторами аналитике. Да, вы в праве закрывать требования и другими СЗИ если это не ГИС.

    Я вот хочу даже сказать больше: для УЗ-3 можно НЕ сегментировать ИСПДн, как и почему напишу в отдельной публикации.

    ОтветитьУдалить
    Ответы
    1. Ну тут, смотря что под данным требованием подразумевалось - либо выделение отдельных сегментов для администрирования серверов виртуальной инфраструктуры и для доступа к сервисам виртуальных машин, либо сегментирование под каждую группу пользователей, осуществляющих доступ к ПД.
      Если первое - то это классика внедрения технологий виртуализации, и избегать её ИМХО по факту не стоит, вне зависимости от УЗ (зачем давать юзерам возможность эксплойтить админский интерфейс, если есть возможность его от них изолировать). Если второе - то можно обосновать экономическую нецелесообразность создания отдельного сегмента для каждой группы пользователей и в качестве компенсирующей меры реализовать разграничение доступа к данным на уровне БД или портала.
      Если я конечно правильно понял суть тезиса.

      Удалить
  3. Занятно. Ждем новых сообщений на эту же тему

    ОтветитьУдалить
  4. Интересный никнейм. Даже не знаю что вам и ответить.

    ОтветитьУдалить