Рубрикатор |
Статьи | ИКС № 9 2010 |
Михаил КОНДРАШИН  | 14 сентября 2010 |
Виртуализация – страшный сон отдела безопасности
Несостоятельность классического подхода к информационной безопасности виртуальных сред очевидна. Виртуализация и облачные вычисления ставят с ног на голову традиционные представления о том, что и как нужно защищать.
Последние годы в корпоративном секторе ИТ прошли под знаком виртуализации. Этот процесс постоянно набирает обороты, ведь, по сути, виртуализованные системы работают так же, как и традиционные, только позволяют экономить на аппаратном обеспечении, счетах за электричество и людских ресурсах.
По мнению экспертов1, следующим этапом эволюции корпоративных ЦОДов будет переход к корпоративным «облакам» (private clouds). Виртуализованный корпоративный ЦОД предлагает вычислительные мощности как внутрикорпоративную услугу. Ключевое преимущество корпоративных облаков – это повышение эффективности работы ИТ-подразделений, которые получают в свое распоряжение вычислительные мощности, необходимые им в данный момент. нужно только написать заявку: выделение виртуальной машины необходимой конфигурации – дело нескольких минут. При этом сохраняется возможность обеспечить соответствие корпоративным регламентам, стандартам и т.д.
Истинной революцией станет дальнейшее развитие идей виртуализации, а именно переход к облачным вычислениям в рамках концепции IaaS (Infrastructure as a Service), когда корпоративные заказчики не будут строить собственные ЦОДы, а необходимую вычислительную мощность будут брать в аренду у поставщика IaaS-услуг, т.е. произойдет перенос ЦОДов в публичные «облака».
Сегодня все перечисленные модели эволюции корпоративных ЦОДов сосуществуют с перевесом в сторону традиционных ЦОДов, хотя при нынешнем бурном росте популярности технологий виртуализации такое соотношение сил продержится недолго. Облачные сервисы пока не являются сколько-нибудь значимой платформой для построения ИТ-инфраструктуры, но и они активно развиваются и многие эксперты сходятся во мнении, что за ними будущее2.
На каждом из этапов эта эволюция сталкивается со всевозможными препятствиями, не позволяющими предприятиям в полной мере насладиться инновационными технологиями и испытать на себе все преимущества, которые обещают облачные вычисления. При пристальном изучении трудностей, встающих на пути инновационных технологий построения ИТ-инфраструктуры, обнаруживается основной негативный аспект – информационная безопасность3.
Виртуальная машина = физический компьютер
На раннем этапе развития технологий виртуализации основным тезисом было утверждение об эквивалентности физической и виртуальной машины (ВМ). Скорее всего, именно поэтому долгое время в ИТ-среде бытовало устойчивое мнение, что вопросы ИБ в виртуализованных средах решаются так же, как и в физических. То есть традиционными средствами: антивирусами, криптографией, межсетевыми экранами, системами обнаружения и предотвращение вторжений. Однако с ростом популярности технологий виртуализации несостоятельность традиционного подхода к ИБ в применении к виртуальным средам стала очевидной. С одной стороны, использование виртуальных систем существенно сужает возможности применения традиционных средств защиты, а с другой, эксперты по безопасности выявили новый пласт угроз, специфических для современных платформ виртуализации.
Одно из основных отличий виртуальных машин от физических – наличие гипервизора, т.е. программной прослойки, которая обеспечивает эмуляцию аппаратной части компьютера, позволяя на одном физическом сервере запускать множество виртуальных. Присутствие такого компонента в архитектуре неизбежно порождает сложности при обеспечении безопасности. Во-первых, становится сомнительной возможность применения в виртуальных системах аппаратных средств защиты, например, криптографических плат расширения (ведь они проектировались без учета того, что будут использоваться одновременно несколькими ОС). Во-вторых, сам гипервизор является новой мишенью для всевозможных атак, против которых все традиционные решения бессильны.
Гипервизор – новая цель для атаки
Только на первый взгляд гипервизор полностью спрятан от виртуальной машины. На самом деле для эффективной работы системы виртуализации необходимо обеспечить взаимодействие между ВМ и гипервизором или ВМ друг с другом. Например, такая необходимость возникает при передаче данных через буфер обмена между ВМ и внешней ОС в реализациях систем виртуализации для рабочих станций.
Обмен данных между ВМ и гипервизором не может быть реализован в рамках стандартных операций компьютера, так как гипервизор по определению все стандартные операции обрабатывает как настоящий физический компьютер. Для взаимодействия с гипервизором ВМ подготавливает данные для передачи и использует нестандартный порт ввода-вывода или несуществующую инструкцию процессора. Такая нештатная ситуация вызывает прерывание, в результате чего управление передается в гипервизор, который и обрабатывает подготовленные данные. Очевидно, что подобный механизм может содержать в себе уязвимости, а значит, им могут воспользоваться вредоносные программы. Атака позволит им получить контроль над гипервизором, но для него традиционный антивирус неприменим, а специализированные продукты защиты только начинают появляться на рынке. В качестве примера можно привести vSecurity компании Catbird.
Превратности виртуализации
Кроме атак на гипервизор, виртуализация обладает еще рядом свойств, которые способны превратить работу отдела безопасности в страшный сон. В первую очередь при переходе к виртуализованному ЦОДу значительно увеличивается число серверов, что неудивительно: для ввода в эксплуатацию новой машины достаточно сделать копию файла с образом подходящего сервера и «включить» его. Получается, что число охраняемых объектов постоянно меняется. Но хуже другое. Серьезную угрозу представляют образы как таковые, ведь они могут быть созданы за несколько месяцев до начала эксплуатации. Соответственно, на них и последние заплаты не установлены, и старые уязвимости не залатаны. Именно такие, «проверенные временем», уязвимости наиболее популярны у хакеров и вирусописателей.
Другая проблема – сложности при настройке межсетевых экранов. Защищаемые ими серверы не привинчены к стойке, а способны перемещаться между физическими платформами, чем охотно пользуются ИТ-специалисты, поскольку это позволяет на недостижимом ранее уровне оптимизировать производительность. В результате становится весьма непросто формировать строгую политику на межсетевом экране и отслеживать все изменения. На самом деле сложностей при обеспечении сетевой защиты еще больше. В системе виртуализации основная часть сетевого трафика проходит внутри платформы виртуализации, т.е. минуя аппаратный межсетевой экран и систему обнаружения и предотвращения вторжений. Таким образом, у скомпрометированных ВМ появляется возможность бесконтрольно атаковать соседние машины.
И это еще не всё. Такой, казалось бы, простой продукт, как традиционный корпоративный антивирус, также создает проблемы при применении его в виртуализованной среде. Типичный пример: полное сканирование всей системы. Если в корпоративной сети полное сканирование устраивают в какое-то определенное время, скажем, в обеденный перерыв или ночью, то при проверке ВМ это может привести к неприятным последствиям: если все ВМ одновременно существенно повысят потребление вычислительных ресурсов, то производительность всех сервисов всех ВМ катастрофически снизится.
Средства защиты систем виртуализации
Очевидно, что для защиты виртуализованных сред необходимы специализированные продукты. В настоящий момент доступны такие сетевые программные решения, как Cisco Nexus 1000V Series Switches, которые позволяют подменить стандартную сетевую подсистему платформы виртуализации и обеспечить сквозное управление сетью вне зависимости от числа используемых аппаратных платформ. В этом случае появляется возможность формулировать строгие политики безопасности для каждой ВМ и не перенастраивать их при миграции ВМ между аппаратными платформами.
Другой подход к решению вопросов безопасности – использование так называемых виртуальных устройств (virtual appliance), готовых виртуальных образов систем защиты, с помощью которых можно построить защиту на сетевом уровне непосредственно внутри среды виртуализации. Фактически подобные продукты являются полными аналогами аппаратных решений, доступных на рынке уже не один год. Виртуальное устройство представляет собой программный код, который при традиционном подходе поставляется вместе с аппаратной платформой в виде ее «прошивки». Примерами таких устройств могут служить межсетевые экраны McAfee Firewall Enterprise (Sidewinder), Kerio WinRoute Firewall, семейство продуктов StoneSoft StoneGate Firewall/VPN, Altor VF Virtual Firewall, системы предотвращения вторжений Check Point Connectra NGX Virtual Appliance, StoneGate Virtual IPS Appliance, StillSecure Strata Guard. Кроме продуктов широкого профиля, встречаются более специализированные решения, нацеленные на защиту, например, непосредственно веб-приложений, такие как Profense Web Application Firewall.
Более радикальное решение предлагала компания Third Brigade, поглощенная в прошлом году японским производителем антивирусов компанией Trend Micro. Решение Third Brigade (носящее теперь название Trend Micro Deep Security) основано на программных агентах, которые внедряются непосредственно в каждую ВМ. При таком подходе миграция ВМ не является препятствием. Все возможности Deep Security (межсетевой экран, система предотвращения вторжений, защита веб-приложений, анализ подозрительной активности в системе и пр.) обеспечиваются вне зависимости от того, где и как запущена ВМ.
На горизонте – облачные вычисления
Несомненно, эволюция ЦОДов на виртуализации не закончится. Следующий этап – переход к облачным вычислениям в рамках концепции IaaS. Облачные вычисления в их IaaS-ипостаси представляют собой публичные виртуальные ЦОДы, сдающие виртуальные серверы архитектуры x86 в аренду. Первопроходцами были хостинг-провайдеры, предлагавшие виртуальные Linux-серверы на основе решений Parallels Virtuozzo и им подобных. Сейчас же все чаще заходит речь о переносе в «облако» всей инфраструктуры. Разумеется, этот процесс не может идти очень активно, так как поднятые выше вопросы безопасности становятся еще острее. Более того, многие специалисты по ИБ полностью отвергают возможность перехода на облачные платформы.
При переходе к использованию услуг IaaS стирается периметр корпоративной сети и теряется контроль над всей защитой уровня гипервизора и ниже. С другой стороны, появляется неоспоримое преимущество – возможность получить «здесь и сейчас» именно ту вычислительную мощность, которая нужна, а главное, отказаться от нее в будущем, если необходимость отпадет.
Частично решить означенные проблемы способны продукты класса Deep Security, функциональность которых не зависит от того, частный ли это ЦОД или облачная инфраструктура.
Есть и другая фундаментальная проблема облачных вычислений. Это доверие, а вернее, недоверие потенциального заказчика к поставщику услуги IaaS.
Один из подходов, позволяющих безбоязненно разворачивать свои сервера в «облаке» вне зависимости от уровня доверия к поставщику, – сквозная криптографическая защита всего сервера и его транзакций. Подобную инициативу в рамках инициативы Secure Cloud уже предложила компания Trend Micro, но сейчас сложно сказать, насколько благосклонно отнесутся к этой затее заказчики.
Виртуализация не есть нечто принципиально новое для ИТ. Еще в 60-е годы XX века она была основой широко распространенной архитектуры мэйнфреймов IBM/360. Новый виток популярности этой технологии начался уже в XXI веке, когда компания VMware не пошла по пути разработки собственной виртуальной среды, подобной Java от Sun Microsystems, а создала систему эмуляции аппаратной части архитектуры x86. Именно это дало толчок развитию технологий виртуализации во всех областях ИТ. Ведь многозадачность современных ОС оставалась не востребована в полной мере. Чаще всего на предприятиях каждый сервер выполнял только одну функцию. И это несмотря на то что современные ОС способны одновременно предоставлять различные сервисы и изолировать друг от друга процессы и приложения. Именно виртуализация позволила решить всевозможные проблемы, связанные с неэффективностью сложившегося подхода.
Теперь на одном физическом сервере можно развернуть несколько ОС, но каждая будет обслуживать только одно приложение. Но вместе с очевидными преимуществами подобной архитектуры обозначилось множество проблем с обеспечением информационной безопасности. Сегодня стало очевидно, что о дальнейшем распространении данной технологии нечего и говорить без специализированных средств защиты виртуальных сред. Только последовательное внедрение таких средств даст возможность предприятиям безболезненно виртуализировать свои ЦОДы и даже частично перенести серверы в облачные среды, получив несомненные конкурентные преимущества.
__________________________________________
1 См. Томас Битман (Thomas Bittman), Gartner, http://blogs.gartner.com.
2 См. Джеймс Уркухарт (James Urquhart), The three routes to cloud computing's future, CNET, март 2009.
3 IDC Enterprise Panel, август 2008,
http://blogs.idc.com.