| Рубрикатор |  |
 |
| Статьи |  |
ИКС № 9 2010 | |
|
| Михаил РОМАНОВ | 14 сентября 2010 |
Пять тактик защиты от угроз в виртуальной среде
Сегодня многие компании активно внедряют технологии виртуализации, но специалистов по информационной безопасности, как правило, не привлекают вовсе или привлекают в последний момент. В результате в существующую систему сетевой безопасности не вносится никаких изменений, не меняются и технологии защиты. Это резко ослабляет общую защищенность корпоративной сети, поскольку не учитываются те новые угрозы, которые появились вследствие самого перевода сетевой инфраструктуры в виртуальную среду.
По результатам последних исследований Gartner1, более 60% виртуальных серверов, которые заменят традиционные серверные системы до 2012 г., будут менее защищены, чем заменяемые ими физические собратья.
Для снижения рисков облачных вычислений корпорация Stonesoft предлагает пять тактик, которые помогут ИТ-специалистам эффективно защититься от угроз в виртуальной среде:
1. Используйте технологии однократной аутентификации. Для облачной вычислительной среды характерна хаотичность доступа пользователей к различным приложениям и сервисам, вследствие чего компании могут потерять контроль над обеспечением строгой аутентификации пользователей в виртуальной среде. Чтобы уменьшить этот риск, необходимо организовать «единый вход» (Single Sign On), который позволит пользователям получать доступ к многочисленным приложениям и сервисам, единожды пройдя аутентификацию под своей учетной записью.
2. Подумайте над обеспечением непрерывности бизнеса. Когда большинство критически важных бизнес-данных хранятся в «облаке», простои сети или временная недоступность сервисов могут представлять серьезную проблему. Доступ к сервису «облака» должен быть всегда, даже во время технического обслуживания, что потребует применения в рамках всей сетевой инфраструктуры высокотехнологичных решений, таких, как кластеризация в режиме Active / Active, динамическая балансировка нагрузки на серверы, балансировка нагрузки между провайдерами связи и др. При этом лучше использовать технологии, штатно встроенные в сетевые решения, а не приобретать их в качестве автономных продуктов, поскольку каждое дополнительное устройство само по себе может стать точкой отказа.
3. Обеспечьте многоуровневую защиту в виртуальной среде. Расширение «облачной» вычислительной среды и постоянно возникающие новые угрозы требуют построения многоуровневой системы защиты как периметра, так и внутренних сетевых потоков в виртуальной среде. Для решения этой задачи рекомендуется внедрить в виртуальную инфраструктуру виртуальный межсетевой экран, обладающий интегрированными возможностями межсетевого экрана и IPS, что позволит осуществлять глубокий анализ всех уровней трафика – начиная с базового просмотра веб-страниц до анализа зашифрованного SSL-трафика. Дополнительно может быть внедрено отдельное IPS-решение для защиты от внутренних атак, направленных на получение несанкционированного доступа к «облаку», выявления фактов использования нерегламентированного или вредоносного программного обеспечения.
4. Обеспечьте централизованное управление. Человеческий фактор остается одной из самых серьезных угроз безопасности, в том числе и в виртуальной среде. Для защиты виртуальных сетей компании внедряют все новые и новые сетевые устройства. При этом, с одной стороны, экспоненциально повышаются риски, обусловленные неправильным управлением и настройкой этих устройств, что в итоге снижает уровень безопасности информационной системы в целом. С другой стороны, увеличиваются эксплуатационные затраты на систему информационной безопасности, поскольку процессы управления, мониторинга и конфигурации всего конгломерата средств становятся более трудоемкими, менее организованными и хуже контролируемыми. Поэтому целесообразно использовать единую консоль управления и мониторинга для всех устройств безопасности – как физических, так виртуальных, а также связанных устройств ИТ-инфраструктуры.
5. Защитите виртуальные рабочие станции. Виртуальные рабочие места даже более уязвимы, нежели их физические аналоги. Для организации надлежащей защиты виртуальных рабочих станций рекомендуется выделить их в отдельный сетевой сегмент и постоянно инспектировать сетевой трафик в этом сегменте с целью эффективного предотвращения внутренних и внешних угроз. Для этого хорошо подходят современные IPS, предназначенные для работы в виртуальной среде и обеспечивающие многоуровневую защиту: предотвращение несанкционированного доступа изнутри, защиту удаленного доступа через IPsec, SSL и др., а также защиту клиентов от воздействия вредоносного ПО. Для защиты от несанкционированного доступа извне в виртуальной среде могут применяться многофункциональные решения SSL VPN, позволяющие задать детальные политики доступа и верификации клиента.
Грамотный подход и подключение специалиста по информационной безопасности на начальном этапе проекта по виртуализации даст возможность избежать многих ошибок и построить эффективную систему защиты в виртуальной и физической среде.
_____________________________
1Исследование Addressing the Most Common Security Risks in Data Center Virtualization Projects, Gartner, январь 2010.
Адрес: 105082, Россия, г. Москва, 2-й Ирининский пер, д. 3